摘　要

　　人臉識別技術在維護公共安全、打擊犯罪行為等方面具有廣泛應用，但同時使用該技術也存在著風險，包括侵犯隱私權、自由權等基本權利，技術被商業(yè)組織或政府部門濫用， 因技術不成熟而導致歧視、偏見等問題。基于對上述風險的擔憂，目前美國對人臉識別技術應用采取謹慎態(tài)度，在相關規(guī)則尚未出臺前，限制政府部門對該技術的使用。在聯(lián)邦和州立法層面，已經(jīng)有規(guī)制人臉識別技術的立法嘗試。這些嘗試對我國規(guī)范人臉識別技術使用是很好的借鑒。

　?。?/p>

　　引　言

　　人臉識別是根據(jù)人的臉部特征自動識別或驗證個人身份的一種生物識別技術。出于對人臉識別技術可能侵犯隱私、自由等基本權利的擔憂，及因技術不成熟可能導致的歧視風險， 美國對人臉識別技術應用采取了謹慎態(tài)度。目前，美國還沒有專門的聯(lián)邦層面立法，一些州如華盛頓州、加利福尼亞州出臺法律對人臉識別技術應用進行規(guī)范。這些立法提出了嚴格限制人臉識別數(shù)據(jù)的收集和使用、對基于人臉識別作出的重大決定進行人工審查、測試人臉識別技術的準確性等措施，對我國規(guī)范人臉識別技術應用是很好的借鑒。

　?。?/p>

　　美國聯(lián)邦層面

　　美國聯(lián)邦層面尚沒有制定專門的法律規(guī)制人臉識別技術使用。2019—2020 年美國參眾兩院提出了多項人臉識別法案，最典型的有三項， 分別是《道德使用人臉識別法案》（2020 年）、《商業(yè)人臉識別隱私法案》（2019 年）、《人臉識別技術授權法案》（2019 年）。

　　1.1　《道德使用人臉識別法案》

　　《道德使用人臉識別法案》[1]（Ethical Use of Facial 5 Recognition Act，S. 3284） 由參議員Jeff Merkley 于 2020 年 2 月 12 日提出， 已經(jīng)提交參議院國土安全和政府事務委員會審議。法案要求暫時禁止美國政府機構使用人臉識別技術，直到國會委員會形成政府使用準則和限制條件，以防止人臉識別技術侵犯公民隱私權、自由權等基本權利。具體內容包括：

　　一是禁止政府機構使用人臉識別技術。在國會委員會發(fā)布人臉識別技術使用指南之前， 美國政府機構不得安裝任何與人臉識別技術相連接的攝像機，不得在未經(jīng)授權的情況下獲取或使用通過人臉識別技術獲得的個人信息，不得在沒有逮捕令的情況下使用人臉識別技術來識別特定個人。除非法律另有規(guī)定，美國聯(lián)邦和地方政府機構不得使用美國聯(lián)邦基金投資人臉識別軟件、購買人臉識別技術服務或者獲取圖像以用于人臉識別系統(tǒng)。

　　二是提供人臉識別技術侵害權利的司法救濟。任何人如果認為美國政府機構違反規(guī)定使用人臉識別技術使自己遭受侵害的，均可向相應的美國地方法院提起民事訴訟，以獲取禁止令或者宣告性救濟。

　　三是成立國會委員會負責制定人臉識別技術使用規(guī)則。委員會由 13 人組成，負責制定規(guī)則，管理和限定人臉識別技術的使用。該規(guī)則應涉及以下方面內容 ：（1）在未經(jīng)許可的情況下，人臉識別技術是否可以在私人或公共場所適當使用；（2）商業(yè)化使用人臉識別技術的情形和限制是什么，個人對于其數(shù)據(jù)所享有的權利是什么；（3）在何種情形下，政府官員可以未經(jīng)許可使用人臉識別技術；（4）考慮個人對于保護隱私或匿名的合理期望，應采用何種規(guī)則來控制通過人臉識別技術對于人臉圖像的獲?。唬?）在何種情形下，個人能夠選擇退出或選擇使用人臉識別技術；（6）需要采取什么保障措施以防止人臉識別技術的濫用；（7）當人臉識別技術被濫用時有哪些適當?shù)木葷胧?；?）個人應享有哪些與人臉識別技術所產(chǎn)生的數(shù)據(jù)及他們肖像的使用相關的權利。

　　1.2　《商業(yè)人臉識別隱私法案》

　　《商業(yè)人臉識別隱私法案》（Commercial Facial Recognition Privacy Act of 2019，S. 847）由參議員 Roy Blunt 于 2019 年 3 月 14 日提出，已經(jīng)提交給參議院貿易、科學和交通委員會。法案主要規(guī)范商業(yè)使用人臉識別技術，要求在使用前獲得個人的同意，在未經(jīng)同意情況下禁止將人臉識別數(shù)據(jù)共享給非關聯(lián)第三方。法案較多借鑒歐盟《通用數(shù)據(jù)保護條例》提出了人臉識別隱私保護要求，對技術的限制較少，獲得了多數(shù)科技企業(yè)的支持。具體內容包括：

　　一是要求收集人臉識別數(shù)據(jù)獲得明確同意?？刂普撸ㄖ竼为毣蚺c其他機構聯(lián)合決定數(shù)據(jù)處理目的和方式的商業(yè)機構）使用人臉識別技術收集人臉識別數(shù)據(jù)，應當獲得個人的明確同意?？刂普咴讷@取用戶同意時，應當向用戶提供處理者（指代表控制者處理人臉識別數(shù)據(jù)的機構） 如何收集、存儲和使用人臉識別數(shù)據(jù)的說明， 包括：（1）處理者收集和共享人臉識別數(shù)據(jù)的合理可預見的目的或示例；（2）處理者對數(shù)據(jù)進行保留和取消數(shù)據(jù)標識的做法；（3）如果控制者提供查看、糾正或刪除人臉識別信息的能力，則處理者應完成這類操作。在人臉識別技術已經(jīng)使用的情況下，控制者應當最大限度地以適當方式向個人提供該技術已經(jīng)使用的通知， 便于個人查找控制者使用該技術更多信息，并以個人易于理解的方式，提供人臉識別技術功能和使用限制的相關文檔。

　　二是對人臉識別數(shù)據(jù)的處理提出限制性要求?？刂普卟坏檬褂萌四樧R別技術歧視違反聯(lián)邦或州法律的個人，不得將人臉識別數(shù)據(jù)用于約定之外的其它目的，不得在未獲得個人同意的情況下將人臉識別數(shù)據(jù)與非關聯(lián)第三方共享。當人臉識別技術不是提供服務的必要條件時， 控制者不得要求個人以放棄隱私權利作為使用服務的條件，不得在個人拒絕同意時終止或拒絕個人使用服務。如果控制者和處理者基于人臉識別技術做出關于個人的最終決定，且該決定可能會對個人造成合理可預見的實質性傷害， 或對個人而言是意料之外的，或具有冒犯性的， 則控制者和處理者應當在做出最終決定前進行人工審查。

　　三是明確可使用人臉識別技術的例外情形。例外情形包括：（1）使用人臉識別技術進行個人文件管理或照片、視頻分類或存儲；（2）用于識別新聞媒體的公眾人物；（3）識別版權材料中的公眾人物以供劇院上映；（4）在可能造成個人死亡或嚴重人身傷害迫在眉睫的危險等緊急情況下使用；（5）使用人臉識別數(shù)據(jù)以前確定個人是否已給予同意，在個人未給予同意后立即永久銷毀人臉識別數(shù)據(jù)。

　　四是要求對人臉識別技術的準確性進行獨立第三方測試。使用人臉識別技術的實體，應當提供一個應用程序編程接口，使至少一名合法從事獨立測試的第三方能夠對人臉識別技術的準確性和偏見進行合理測試。

　　1.3　《人臉識別技術授權法案》

　　《人臉識別技術授權法 案》[5]（Facial Recognition Technology Warrant Act of 2019，S. 2878） 由參議員 Christopher A. Coons 于 2019 年11 月 14 日提出，已經(jīng)提交給參議院司法委員會。

　　法案旨在限制聯(lián)邦調查局、移民與海關執(zhí)法局等機構通過人臉識別技術開展持續(xù)監(jiān)視，明確只有在取得法院命令等情況下才能將人臉識別技術用于持續(xù)監(jiān)視。具體內容包括：

　　一是規(guī)定了將人臉識別技術用于持續(xù)監(jiān)視的條件。持續(xù)監(jiān)視是指利用人臉識別技術在公共場所跟蹤被識別個人的身體運動超過 72 小時， 無論是實時的還是使用該技術進行歷史記錄。政府機構及其雇員不得使用人臉識別技術在公共場所對個人或群體進行持續(xù)監(jiān)視，除非：（1） 支持執(zhí)法機構的活動；（2）取得了法院的命令， 確因緊急情況無法獲得法院命令的，應在使用人臉識別技術進行持續(xù)監(jiān)視 48 小時后申請法院命令。授權監(jiān)視時間不能超過 30 天，必要時可延期，最多不得超過 30 天。

　　二是對通過持續(xù)監(jiān)視獲取的證據(jù)的使用進行限制。任何持續(xù)監(jiān)視的受害者，在審判、聽證、訴訟過程中，可以基于下述理由對利用人臉識別技術直接獲取的信息，或由此直接獲得證據(jù)， 提出不得在訴訟中使用的申請：（1）信息是非法獲得的；（2）授權獲取信息的法院發(fā)出命令的理由不充分；（3）與法院命令授權使用的目的不相符。申請應當在審判、聽證或訴訟前提出， 除非沒有機會提出申請或個人未意識到申請的理由。如果申請被批準，則使用人臉識別技術獲取的信息或由此直接獲得的證據(jù)，將被認為是違反本節(jié)規(guī)定而獲得的。

　　三是要求對人臉識別進行人工審查和測試。政府機構要對使用人臉識別技術得出的結論進行人工審查，并與美國技術和標準研究院（NIST） 協(xié)商建立人臉識別系統(tǒng)測試程序，定期對系統(tǒng)性能進行獨立測試，測試跨亞群使用的人臉識別系統(tǒng)的錯誤率，審查人臉識別系統(tǒng)相關測試， 并采取行動提高系統(tǒng)的準確率。

　?。?/p>

　　美國州或者地方政府層面立法

　　在聯(lián)邦立法缺位的情況下，美國地方政府已經(jīng)開始對人臉識別技術使用進行規(guī)范。舊金山市、奧克蘭市、薩默維爾市等城市立法禁止政府機構在公共場所使用人臉識別技術。伊利諾伊州、華盛頓州、加利福尼亞州、德克薩斯州等州通過法律，規(guī)范人臉等生物識別信息的收集和使用 [6]。一些州如華盛頓州和加利福尼亞州還引入了專門的人臉識別立法。

　　2.1　華盛頓州《人臉識別服務法》

　　2020 年 3 月 12 日，華盛頓州參眾兩院通過了第 6280 號關于人臉識別的法案 ，3月 31日 華盛頓州州長簽署通過，2021 年 7 月 1 日起正式生效。該法旨在規(guī)范州和地方政府使用人臉識別服務，防止以危害民主自由、威脅公民自由的方式使用人臉識別服務。該法沒有禁止政府機構使用人臉識別服務，但建立了問責、人工審查、測試等機制來規(guī)范人臉識別服務使用， 并對政府機構使用提出了諸多限制性要求。具體內容  包括：

　　一是建立使用人臉識別服務的問責機制。州或地方政府使用人臉識別技術，應當向立法機關提交意向通知，說明使用該技術的目的， 并編制問責報告，報告應說明：（1）人臉識別服務提供商和版本名稱；（2）該服務的功能及限制；（3）該服務如何生成、收集和處理數(shù)據(jù)；（4）使用人臉識別服務的目的，人臉識別服務是最終決定系統(tǒng)還是輔助決定系統(tǒng)，人臉識別服務的預期收益；（5）使用和數(shù)據(jù)管理政策， 包括為減少額外數(shù)據(jù)采集所采取的措施、如何保存收集的數(shù)據(jù)、數(shù)據(jù)安全措施、對使用人員的培訓、人臉識別技術的錯誤率及潛在影響、人臉識別服務對公民權利或自由的潛在影響等。問責報告定稿前，應當經(jīng)公眾評議。

　　二是建立人臉識別服務的人工審查和測試機制。使用人臉識別服務的州或地方政府機構做出對個人產(chǎn)生法律效力或具有類似重大影響的決定，必須確保該等決定遵守有意義的人工審查要求。該等決定包括：導致提供或拒絕提供金融和貸款服務、住房、保險、教育入學、刑事司法、就業(yè)機會、醫(yī)療服務或獲得基本生活必需品（如食物和水）、或影響個人公民權利的決定。有意義的人工審查是指由政府機構中經(jīng)過培訓的一人或多人進行的審查或監(jiān)管。部署人臉識別服務的州或地方政府機構必須要求人臉識別服務提供商提供其人臉識別服務的應用程序編程接口或其他技術能力，并對人臉識別服務進行合法、獨立、合理的測試，以確定不同亞群之間的準確性和不公平的性能差異。

　　三是對州或地方政府使用人臉識別服務提出限制性要求。州或地方政府不得使用人臉識別服務進行持續(xù)監(jiān)視、開展實時或近乎實時的識別、啟動持續(xù)跟蹤，除非：獲得逮捕證、存在緊急情況、獲得法院命令。州或地方政府不得基于以下事由對個人使用人臉識別服務：個人的宗教、政治或社會觀點或活動；參與某一非犯罪組織或合法活動；個人的種族、公民身份、出生地、年齡、殘疾、性別、性別認同、性取向或其他受法律保護的特征。對個人使用人臉識別服務，絕不允許創(chuàng)建個人畫像。州或地方政府不得使用人臉識別服務生成記錄，不得將人臉識別服務的結果作為確定刑事調查蓋然性調查的唯一依據(jù)。

　　四是設立人臉識別工作組。工作組的職責包括：（1）就使用人臉識別服務對公民權利和自由、隱私和安全，對弱勢群體的歧視所造成的潛在濫用、威脅及其他潛在傷害提出建議；（2）研究人臉識別服務的質量、準確性和有效性， 包括但不限于針對不同亞群體的質量、準確性和有效性；（3）就法律的充分性和有效性提出建議。

　　2.2　加利福尼亞州《人臉識別技術法（草案）》

　　2020 年 2 月 14 日，加利福尼亞州眾議院通過了第 2261 號關于人臉識別技術的法案。該法在加州民法典隱私保護部分增加人臉識別章節(jié)，內容上主要涉及人臉識別信息的收集和處理、政府機構使用人臉識別服務的限制性要求。該法諸多內容與華盛頓州《人臉識別服務法》一致，體現(xiàn)了相同的立法思路。具體內容 包括：

　　一是收集人臉識別信息應當征得個人同意。在公共場所部署人臉識別服務的自然人或法人（不包括政府機構），應以顯著且符合特定使用場景的方式，向個人發(fā)出通知，告知關于部署目的、個人如何獲得人臉識別服務、個人的權利義務等。在收集個人圖像或面部模板前， 應當取得個人的同意，除非基于安保或安全目的：（1）根據(jù)某一特定事件，合理懷疑個人從事了犯罪活動；（2）僅為安?；虬踩康亩R別、核實或持續(xù)追蹤個人，且存儲人臉識別信息的數(shù)據(jù)庫與其他數(shù)據(jù)庫分離；（3）每年至少兩次對人臉識別數(shù)據(jù)庫中人臉信息進行審查， 當對個人從事犯罪活動的合理懷疑已不存在或者面部模板已保存3 年以上時，應刪除面部模板；（4）建立程序，允許個人對納入數(shù)據(jù)庫的人臉識別信息進行糾正或挑戰(zhàn)。

　　二是建立人臉識別服務的人工審查和測試機制。提供人臉識別服務的自然人或法人，應提供應用程序，使第三方能夠對人臉識別服務進行合法、獨立、合理的測試，以確定技術的準確性及在不同亞群之間表現(xiàn)出的不公平的性能差異，如果測試結果發(fā)現(xiàn)存在不公平的性能差異，應制定并實施緩解計劃。使用人臉識別服務做出對個人產(chǎn)生法律影響或類似重大影響的決定時，應確保這些決定接受了實質性的人工審查。

　　三是建立政府機構使用人臉識別服務的問責機制。政府機構使用或擬使用人臉識別服務， 應編制問責報告，說明如下信息：（1）人臉識別服務提供商和版本名稱；（2）該服務的功能及限制；（3）該服務輸入、輸出的數(shù)據(jù)類型，如何處理這些數(shù)據(jù)；（4）使用該服務的目的；（5）使用和數(shù)據(jù)管理政策；（6） 對該服務進行測試的程序；（7）該服務對公民權利和自由的影響；（8）機構接收反饋信息的程序。問責報告在人臉識別服務投入使用90 日前應向公眾通報，并發(fā)布在官方網(wǎng)站上。機構應編寫年度報告，披露使用人臉識別服務的程度、對遵守問責報告的評估情況、已知的違反問責報告的行為等。

　　四是限制政府機構對人臉識別服務的使用。機構不得使用人臉識別服務持續(xù)監(jiān)視，除非已獲得搜查令，或者為防止或應對迫在眉睫的危險、可能造成人員死亡、嚴重身體傷害的緊急情況。機構不得基于以下事由對個人使用人臉識別服務：個人的宗教、政治或社會觀點或活動；參與某一非犯罪組織或合法活動；個人的種族、公民身份、出生地、年齡、殘疾、性別、性別認同、性取向或其他受法律保護的特征。機構不得使用人臉識別服務生成記錄，除非獲得法律授權， 或者合理懷疑該人已實施、正在實施或即將實施嚴重刑事犯罪。

　?。?/p>

　　對我國立法規(guī)制人臉識別技術的啟事

　　美國聯(lián)邦立法及州立法主要從人臉識別數(shù)據(jù)收集和使用、商業(yè)使用人臉識別的情形和限制、防止人臉識別技術被政府濫用等方面，對人臉識別技術予以規(guī)范。美國立法中提出的人臉識別技術測試、人工審查、嚴格限定持續(xù)監(jiān)視情形等都對我國是很好的借鑒。

　　3.1　嚴格敏感個人信息的收集和處理

　　人臉等生物信息是敏感個人信息，其收集、使用、存儲、傳輸在滿足《民法典》《網(wǎng)絡安全法》等法律規(guī)定的同時，應該有更嚴格的要求。例如，面部模板等信息收集應當取得個人的明確同意，保障個人對敏感個人信息的撤回同意、獲取信息、信息修改等權利，禁止在未經(jīng)同意情況下將敏感個人信息與非關聯(lián)第三方共享等。建議在《個人信息保護法》制定過程中區(qū)分一般個人信息和敏感個人信息，對敏感個人信息的收集和處理的要求予以進一步明確。

　　3.2　建立人臉識別技術應用監(jiān)管框架

　　通過立法建立人臉識別技術應用監(jiān)管框架， 主要涵蓋三個方面：一是評估特定應用場景下使用人臉識別技術的必要性，并結合技術實現(xiàn)方式、數(shù)據(jù)收集和處理等方面，評估技術對隱私、自由等基本權利的影響。二是就技術準確性開展測試和評估，在部署人臉識別技術前，對人臉識別的錯誤率、圖像質量等開展第三方獨立測試，目前 NIST 已經(jīng)啟動了人臉識別供應商測試計劃 ，協(xié)助政府機構和商業(yè)組織確定并以最好的方式部署人臉識別技術。三是在基于人臉識別做出對個人有重大影響的決定時，要求作出決定的一方對人臉識別服務給出的建議進行有意義的人工審查。

　　3.3　明確劃定政府機構使用人臉識別的界限

　　為避免政府機構對人臉識別技術的濫用， 應通過立法，明確劃定政府機構使用人臉識別服務的界限，哪些情形下可以使用、哪些情形下不可以使用。對政府可否使用的判定應以使用目的為主進行判定，且可使用的情形應當在法律中以列舉方式明確列出，不得超出該范圍使用。同時，對禁止政府機構使用人臉識別技術的情形也要在法律中明確列出。

　　3.4加強對人臉識別技術應用法律問題的研究

　　目前全球對人臉識別技術應用是否合法尚在爭議中，許多問題還沒有形成一致意見。例如， 商業(yè)化使用人臉識別技術的情形和限制是什么， 個人對于其數(shù)據(jù)所享有的權利是什么，在何種情形下政府官員可以未經(jīng)許可使用人臉識別技術，需要采取什么保障措施以防止人臉識別技術的濫用等。對這些問題需要不斷加強研究， 隨著技術的成熟和應用不斷得到解答。

　?。?/p>

　　結語

　　美國對人臉識別技術應用采取了謹慎態(tài)度。目前聯(lián)邦層面和州層面立法主要規(guī)制三個方面：人臉識別數(shù)據(jù)收集和使用、商業(yè)使用人臉識別的情形和限制、防止人臉識別技術被政府濫用。借鑒美國在相關制度方面的探索，我國應嚴格敏感個人信息的收集和處理，建立人臉識別技術應用監(jiān)管框架，并明確劃定政府機構使用人臉識別的界限。