內(nèi)容摘要

　　當(dāng)前，刷臉的屬性已發(fā)生了轉(zhuǎn)變。刷臉不再限于“把人認出來”的身份識別過程，而是重在人臉驗證/人臉辨析基礎(chǔ)上所進行的人臉分析或其他關(guān)聯(lián)分析，已從純粹的身份識別機制轉(zhuǎn)換為識別分析機制。識別分析機制的應(yīng)用正是刷臉引起社會普遍憂慮的核心問題所在。此時，刷臉的安全風(fēng)險被重新放大，監(jiān)視權(quán)力進一步擴張，為基本權(quán)利保護帶來了更為嚴峻的挑戰(zhàn)。為應(yīng)對風(fēng)險變遷，刷臉的規(guī)制機制適用亦出現(xiàn)了轉(zhuǎn)向的需求，即在生物識別信息保護機制中限制告知同意的適用；在公共監(jiān)控信息保護機制中引入自動化決策及風(fēng)險影響評估的框架；在規(guī)制理念上向數(shù)字人權(quán)保護與場景化規(guī)制轉(zhuǎn)向。對此，構(gòu)建適應(yīng)識別分析機制的法律治理路徑要求：應(yīng)以比例原則作“最小必要”檢驗，適用自動化決策框架進行場景化規(guī)制，通過優(yōu)化架構(gòu)設(shè)計以進一步降低識別分析的風(fēng)險。

　　關(guān)鍵詞：人臉識別  個人信息保護法  生物識別信息  公共監(jiān)控 數(shù)字人權(quán)  用戶畫像

　　引 言

　　人臉識別俗稱刷臉，刷臉解鎖、刷臉支付、刷臉進站、刷臉入校等形塑了數(shù)字時代的生活方式，也帶來了信息保護的挑戰(zhàn)。2021年4月全國信息安全標(biāo)準化技術(shù)委員會公布了《信息安全技術(shù)人臉識別數(shù)據(jù)安全要求（征求意見稿）》（以下簡稱“人臉識別國標(biāo)草案”），從安全處理的角度對刷臉進行規(guī)范；2021年7月最高人民法院發(fā)布“人臉識別司法解釋”（法釋〔2021〕15號），明確將刷臉納入生物識別信息保護的范疇；2021年8月20日通過的《個人信息保護法》第62條第2項更是明確要求國家網(wǎng)信部門針對人臉識別制定專門的規(guī)則。

　　在比較法上，部分發(fā)達國家和地區(qū)亦發(fā)布了相關(guān)規(guī)范。例如，早在2012年，美國聯(lián)邦通訊委員會即發(fā)布了“人臉識別技術(shù)的最佳商業(yè)實踐建議”；2019年，美國馬塞諸塞州薩默維爾市、加州奧克蘭市等地通過立法禁止政府部門使用人臉識別；同年，歐盟人工智能高級專家組（HLEGAI）提出必須適當(dāng)使用人臉識別技術(shù)，歐盟基本權(quán)利機構(gòu)發(fā)布了“人臉識別技術(shù)：執(zhí)法過程中的基本權(quán)利考慮”報告；2020年，美國華盛頓州通過了針對政府機構(gòu)的“人臉識別法”，紐約州亦立法禁止了在學(xué)校中使用人臉識別。

　　然而，直接套用上述規(guī)范實難以對刷臉的根本問題形成清晰的認識。在“刷臉進小區(qū)”的爭議中，為何保安“看”可以而機器“看”不行？在我國“人臉識別第一案”中，同為利用生物識別信息進行的身份識別，又為何當(dāng)事人能接受指紋識別卻強烈反對刷臉？這些問題均與刷臉的技術(shù)肌理密不可分。筆者將沿著刷臉技術(shù)屬性轉(zhuǎn)換的主線，考察刷臉的風(fēng)險變遷與規(guī)制機制轉(zhuǎn)向，最終提出適應(yīng)于技術(shù)發(fā)展的法律治理路徑。

　　一、刷臉的屬性轉(zhuǎn)換

　　從人“看”到技術(shù)“看”的升級中，刷臉的技術(shù)特征就是模仿人的認知模式，底層技術(shù)邏輯是通過捕獲圖像、人臉檢測、人臉提取、匹配，最終完成驗證或識別，屬于一種身份識別機制。隨著技術(shù)發(fā)展，在眾多應(yīng)用場景中，刷臉又走向了利用人臉信息對個人進行分析的技術(shù)路線。此時，刷臉進一步使用了人工智能技術(shù)，在識別/驗證的基礎(chǔ)上對人進行了情感計算、健康評估、習(xí)慣分析等畫像，其屬性已轉(zhuǎn)換為一種識別分析機制。

　?。ㄒ唬┧⒛樀钠鹪磁c實質(zhì)：身份識別機制

　　“臉”具有直接識別性、方便性、不可更改性、易采集性、不可匿名性等獨特的屬性，是“生物性的通用標(biāo)識符”。臉是人體的重要組成部分。人類一直以來都通過臉來表達情感、辨識個人。以小區(qū)刷臉門禁系統(tǒng)為例，在沒有采用刷臉的技術(shù)系統(tǒng)前，小區(qū)門衛(wèi)保安亦通過直接的臉部特征、行為模式辨識業(yè)主。刷臉實際是通過自動化手段完成人工的身份識別。這一技術(shù)源于20世紀60年代，伍迪·布萊索團隊發(fā)明的第一套半自動的面部識別系統(tǒng)，該系統(tǒng)通過計算機識別人像照片的若干特征，進而進行進一步的人工測量。隨著計算機與人工智能技術(shù)的發(fā)展，最終實現(xiàn)在自然環(huán)境下對人臉信息的完全自動化采集與比對，發(fā)展成為今天的刷臉科技。又由于臉的普遍性和獨特性，刷臉被應(yīng)用在密碼驗證、安全監(jiān)控、受害者和失蹤者識別等多種領(lǐng)域，成為了應(yīng)用最廣泛的生物識別方法。

　　刷臉與賬號密碼、數(shù)字簽名、人工核驗等多種方式共同發(fā)揮著身份識別機制的作用?！度嗣穹ㄔ涸诰€訴訟規(guī)則》規(guī)定，既可以“通過證件證照在線比對、身份認證平臺認證等方式驗證身份”，也可以“采取人臉識別方式驗證身份”?！度嗣駲z察院辦理網(wǎng)絡(luò)犯罪案件規(guī)定》指出，“賬戶信息、身份認證信息、數(shù)字簽名、生物識別信息等”都可用于識別犯罪嫌疑人。中國銀保監(jiān)會更是明確指出，可通過“銀行預(yù)留信息核實、人臉識別、人工核驗方式”“設(shè)置有效的身份識別機制”。實踐中，刷臉在一定程度上替代了密碼，成為更為便捷的識別/驗證機制。密碼驗證對保密的安全要求較高，部分系統(tǒng)會定期提示用戶更換密碼，部分系統(tǒng)更會要求用戶采用高度復(fù)雜的密碼，如同時包含大小寫字母與特殊字符。然而，用戶將不可避免地會忘記密碼，從而需要郵箱驗證、短信驗證、掃二維碼驗證等其他識別/驗證機制找回密碼。與之相對，通過刷臉驗證有顯而易見的優(yōu)勢，其不僅極為便捷而且還不存在密碼丟失的煩惱。2018年，國務(wù)院辦公廳即將刷臉登錄便捷辦理民生服務(wù)作為優(yōu)化營商環(huán)境的典型做法進行通報。

　　（二）刷臉的發(fā)展與憂慮：識別分析機制

　　在身份識別外，臉亦是被觀察、分析的對象。生活中，人們時常直觀地通過臉對人的個性、狀態(tài)進行分析。慈眉善目、兇神惡煞、賊眉鼠眼、蓬頭垢面均指向截然不同的狀態(tài)。這些判斷大多是主觀的，有時還具有一定的迷信色彩，如民間大多將“天庭飽滿、地閣方圓”視為福相。采取量化分析方法，對臉進行分析可追溯至一百多年以前龍勃羅梭的“天生犯罪人”理論，其根據(jù)“對1279名意大利罪犯的人體測量和相貌分析”，指出特定外貌特征的人具有犯罪傾向。顯然，這一理論有極大的歷史局限性，且極易導(dǎo)致種族主義傾向的結(jié)論。2002年著名科幻電影《小數(shù)派報告》描繪了刷臉的識別分析應(yīng)用的兩類場景：一是根據(jù)預(yù)測性分析在嫌疑人將要實施犯罪前就實施逮捕；二是購物消費時對顧客進行刷臉以調(diào)取其購物記錄并結(jié)合已知的數(shù)據(jù)庫進行分析。當(dāng)前，電影中的商業(yè)應(yīng)用場景已經(jīng)成為現(xiàn)實，部分商場的刷臉廣告牌已具備了根據(jù)路過人群進行客流量統(tǒng)計、根據(jù)停留時間或其他注意力標(biāo)準作參與度估算、根據(jù)個性化分析結(jié)果進行定向廣告等多項功能。在部分公共監(jiān)控中，刷臉也已被用于識別目標(biāo)對象的情緒，服務(wù)于社會治理與維穩(wěn)目的。廣州互聯(lián)網(wǎng)法院的在線調(diào)解系統(tǒng)便使用了情感計算，根據(jù)臉部的微表情進行數(shù)據(jù)畫像，實時顯示出當(dāng)事人的“平靜、高興、憤怒、恐懼、悲傷、厭惡、驚奇”7項指標(biāo)數(shù)值。

　　此時，刷臉的屬性已發(fā)生了轉(zhuǎn)變。刷臉不再限于“把人認出來”的身份識別過程，而是重在人臉驗證/人臉辨析基礎(chǔ)上所進行的人臉分析或其他關(guān)聯(lián)分析，已從純粹的身份識別機制轉(zhuǎn)換為識別分析機制。從技術(shù)上看，刷臉的這種識別分析機制又極具特殊性，與人主觀的“看臉”、龍勃羅梭的測量分析系相比至少有三大差異。第一，不僅采用量化的數(shù)學(xué)方法進行，而且預(yù)測分析的特征更為深入和廣泛。通過刷臉可對個人進行性別、年齡和種族的特征進行深入分析。第二，利用互聯(lián)網(wǎng)與既有數(shù)據(jù)庫，能結(jié)合大數(shù)據(jù)進行預(yù)測分析。實驗表明，可以輕易地將刷臉設(shè)備所采集的信息與社交網(wǎng)站上的公開信息相關(guān)聯(lián)，進而推斷出額外的信息。第三，能分析更為隱秘的、敏感的信息，且分析結(jié)論更為準確、可信。2017年，斯坦福大學(xué)即開發(fā)出一套通過人臉識別判斷性取向的神經(jīng)網(wǎng)絡(luò)算法，準確率達91%。

　　刷臉的識別分析機制通過自動化的技術(shù)閉環(huán)對個人信息進行整合分析，正是引起社會普遍憂慮的根本問題所在。借用技術(shù)哲學(xué)的分析框架，人的直接“看臉”行為無關(guān)技術(shù)；人利用工具對臉進行測量，工具是一階技術(shù)；刷臉的身份識別機制中，人通過設(shè)備感知臉部，再作用于識別、驗證程序，是二階技術(shù)運用；刷臉的識別分析機制中，往往是完全自動化的，形成了設(shè)備感知、識別/驗證、關(guān)聯(lián)分析的三階技術(shù)邏輯。此時，相關(guān)結(jié)論往往又重新作用于新的識別分析，由此形成技術(shù)閉環(huán)。在此種技術(shù)閉環(huán)中，公眾擔(dān)心的不是身份識別機制本身，而是將人臉信息與個人的購物記錄、健康情況、行蹤軌跡、親友關(guān)系等信息進行關(guān)聯(lián)匹配，以及可能產(chǎn)生的歧視、異化等問題。

　　二、刷臉的風(fēng)險變遷

　　伴隨著從身份機制到識別分析機制的屬性轉(zhuǎn)換，刷臉的風(fēng)險也發(fā)生了變化和遷移。雖然，隨著技術(shù)的升級，身份識別機制的信息安全風(fēng)險已在很大程度上得到了有效控制，但在識別分析機制的應(yīng)用中，安全風(fēng)險又被重新放大。此外，刷臉的識別分析機制在公共監(jiān)控中的應(yīng)用更是直接導(dǎo)致監(jiān)視權(quán)力的擴張，為基本權(quán)利保護帶來更為嚴峻的挑戰(zhàn)。

　?。ㄒ唬┌踩L(fēng)險的產(chǎn)生、緩解與再現(xiàn)

　　身份識別機制中，刷臉的安全風(fēng)險突出地表現(xiàn)為錯誤率高與易被破解。一方面，刷臉系統(tǒng)的錯誤率較高。刷臉受姿態(tài)、表情、光線、角度等因素的影響，并極大局限在正面識別的應(yīng)用。2017年，英國警方嘗試在歐冠決賽中使用刷臉系統(tǒng)，但卻出現(xiàn)了高達92%的誤報率。另一方面，刷臉系統(tǒng)有被破解的風(fēng)險。曾經(jīng)有小學(xué)生成功用打印照片開啟了小區(qū)的智能快遞柜。近年更是出現(xiàn)了利用刷臉技術(shù)漏洞實施違法犯罪的案件，如利用公民照片制作3D人臉動態(tài)圖像后通過刷臉登錄竊取網(wǎng)絡(luò)賬戶金額，或結(jié)合相關(guān)人臉圖像與其他非法獲取的個人信息，假冒他人身份注冊網(wǎng)絡(luò)賬戶牟利。

　　隨著刷臉的算法不斷發(fā)展，識別分析機制的上述安全風(fēng)險已在一定程度上得到緩解。當(dāng)前，刷臉的正確率已大為提升。所采集的人臉關(guān)鍵點亦已由最初的21個提高到240個甚至更高精度的采集，能適應(yīng)側(cè)臉、表情變化、局部遮擋等變化。例如，DeepID算法驗證準確率已達97.45%。部分刷臉系統(tǒng)已升級至動態(tài)的活體檢測系統(tǒng)，要求用戶完成一定動作，亦提升安全性。若采取雙重或多重因子認證，將進一步提升身份識別機制的安全性。在這個意義上，刷臉增強了身份識別的安全可靠。例如教育部即明確提出，高考考生身份核驗要輔之以刷臉的技術(shù)措施；國家廣播電視總局亦曾經(jīng)要求，要結(jié)合實名驗證、人臉識別、人工審核等措施以落實網(wǎng)絡(luò)實名制。

　　然而，識別分析機制的應(yīng)用，又再次放大了刷臉的安全風(fēng)險。一方面，刷臉的代碼/算法一旦出現(xiàn)漏洞，將不僅僅涉及身份識別錯誤，更可能得出對個人不利的分析結(jié)論，進而作出侵害個人權(quán)益的自動化決策。另一方面，識別分析機制也可能關(guān)聯(lián)錯誤的信息，且可能導(dǎo)致錯誤在技術(shù)閉環(huán)的反饋中被反復(fù)放大。因此，在刷臉的識別分析機制中，即便是極低的錯誤率也有可能帶來不可接受的風(fēng)險。

　?。ǘ┍O(jiān)視權(quán)力的形成、擴張及后果

　　一方面，借助刷臉的身份識別機制，監(jiān)控能更為高效、迅速地在公共空間中識別出特定個人，其運行邏輯高度契合“確保不對稱、不平衡和差異”的權(quán)力機制。?？略栌眠吳叩摹叭俺ㄒ暠O(jiān)獄”闡釋監(jiān)視權(quán)力的邏輯，即面對觀看的權(quán)力，被觀看者只能選擇服從?！俺掷m(xù)可見”的監(jiān)視“造成一種有意識的和持續(xù)的可見狀態(tài)，從而確保權(quán)力自動地發(fā)揮作用”。聯(lián)合國人權(quán)事務(wù)高級專員曾表示這種監(jiān)視權(quán)力有可能侵犯人權(quán)。

　　另一方面，刷臉的識別分析機制，又使監(jiān)視權(quán)力進一步擴張。研究表明，公共視頻監(jiān)控實現(xiàn)權(quán)力規(guī)訓(xùn)的程度，往往取決于監(jiān)控系統(tǒng)的網(wǎng)絡(luò)化程度、回應(yīng)速度與識別分析能力。識別分析機制中，常借助互聯(lián)網(wǎng)、大數(shù)據(jù)對人臉信息進行分析。2020年《紐約時報》報道用于執(zhí)法的Clearview刷臉應(yīng)用，可以自動地對人們在就業(yè)、新聞、教育、社交等各種網(wǎng)站上的數(shù)據(jù)進行爬取。利用網(wǎng)絡(luò)社會所形成“觀看—權(quán)力”關(guān)系，識別分析機制將輕易揭示出極為隱秘的信息，形成個人的數(shù)字形象，對個人進行持續(xù)的追蹤和監(jiān)視，“構(gòu)成了一座‘超級全景監(jiān)獄’”。

　　監(jiān)視權(quán)力的野蠻生長直接對基本權(quán)利保護帶來更為嚴峻的挑戰(zhàn)。當(dāng)下，刷臉至少涉及以下基本權(quán)利保護問題。第一，政治權(quán)利和自由的保護。2019年，歐盟基本權(quán)利機構(gòu)即表示，類似應(yīng)用將產(chǎn)生寒蟬效應(yīng)，對言論自由、集會自由、結(jié)社自由以及行動自由帶來消極影響。第二，平等權(quán)利的保護。研究表明，女性和有色人種刷臉出錯率更高，容易產(chǎn)生有偏見的結(jié)果。第三，人格尊嚴、信息權(quán)利的保護。2016年，俄羅斯開發(fā)商TrinityDigital推出“FindFace”程序，通過該程序進行人臉識別，可以找出個人的社交賬號，有網(wǎng)民利用該服務(wù)披露性工作者和色情影片演員的真實身份。這些刷臉應(yīng)用“正在迅速地將一個以信息保護為基礎(chǔ)的社會轉(zhuǎn)變?yōu)橥该魃鐣薄?/p>

　　值得注意的是，刷臉的識別分析機制亦指向大數(shù)據(jù)經(jīng)濟中的另一種監(jiān)視。被稱為“監(jiān)視資本主義”的生產(chǎn)過程，即通過對用戶數(shù)據(jù)進行識別分析，并將相關(guān)分析結(jié)果用作定向營銷，最終實現(xiàn)數(shù)據(jù)要素向利潤的轉(zhuǎn)化。刷臉廣告的運行機制與這一過程完全吻合。由此亦帶來了個人信息保護的風(fēng)險。

　　三、刷臉的規(guī)制機制適用與轉(zhuǎn)向

　　刷臉作為一種身份識別機制指向特定自然人，屬于個人信息的處理，適用信息保護機制。隨著刷臉技術(shù)的發(fā)展，生物識別信息保護機制的適用，需要限制告知同意的適用；公共監(jiān)控信息保護機制的適用，又需要引入自動化決策及風(fēng)險影響評估的框架；信息保護的規(guī)制理念，更需向數(shù)字人權(quán)保護與場景化規(guī)制轉(zhuǎn)向。

　?。ㄒ唬┥镒R別信息保護機制的適用與轉(zhuǎn)向

　　從生物識別信息保護機制來看，“人臉識別司法解釋”第1條第3款明確規(guī)定人臉信息屬于生物識別信息。無論是身份識別還是識別分析，刷臉均適用生物識別信息保護機制。傳統(tǒng)的生物識別信息保護機制在很大程度上仍遵循告知同意的規(guī)則?；诿舾袀€人信息的處理規(guī)則，個人信息保護法第29條、“人臉識別司法解釋”第2條第3項均強調(diào)了單獨同意或書面同意的要求。個人信息保護法第13條第2款亦實際確立了同意為原則的個人信息合法處理要件。域外法中，美國伊利諾斯州生物信息隱私法（以下簡稱BIPA）第15條即明確提出了書面告知與書面同意的要求。歐盟通用數(shù)據(jù)保護條例（以下簡稱GDPR）第9條亦將“信息主體明確同意”規(guī)定為敏感信息的處理依據(jù)之一。

　　然而，在刷臉的實踐中，告知同意的機制已經(jīng)出現(xiàn)失靈。歐洲國家的個人信息保護機構(gòu)已明確表示，面對不特定主體自動化運行的刷臉應(yīng)用難以依靠同意而獲得合法性。分析可知，告知同意機制的適用存在以下障礙：第一，臉部信息具有易采集性，刷臉是通過非接觸方式進行的，無須自然人進行配合。尤其是在無感刷臉的場景中，信息主體難以知悉其正在被技術(shù)監(jiān)控。第二，刷臉常在權(quán)力/地位不對等的環(huán)境中被使用，難以確保同意的有效性。2019年，瑞典的一所學(xué)校采用刷臉方式考勤，且征得了學(xué)生同意，瑞典數(shù)據(jù)保護局認為“鑒于信息主體和信息控制者之間的不平衡，同意不是有效的法律依據(jù)”，最終對該學(xué)校開具了1000萬瑞典克朗的罰單。該案件也是瑞典適用GDPR的首個案件。第三，刷臉技術(shù)較為復(fù)雜且缺乏透明度，信息主體難以理解同意的后果和風(fēng)險。尤其是在識別分析機制下，信息主體不僅難以知悉其臉部信息在何種程度上與何種數(shù)據(jù)庫進行關(guān)聯(lián)比對，最終又將被何種機構(gòu)用于何種用途，更難以獲得關(guān)于信息存儲安全性、自動化決策算法邏輯的信息。

　　因此，在刷臉的生物識別信息保護中，需要嚴格限制告知同意的事由。參照歐盟法的規(guī)定，同意只有在自由的、知情的前提下作出，而且是明確、單獨地針對具體的信息處理行為的同意，才是有效的。在告知同意外，BIPA第15條亦提出“不得出售、出租、交易或以其他方式”利用生物識別信息牟利的規(guī)定。GDPR第9條則亦規(guī)定了履行義務(wù)或?qū)嵤?quán)利所必要、保護信息主體權(quán)利所必須等多項例外事由。事實上，無論同意是否有效，刷臉的合法性亦必須回歸到敏感信息處理的一般條款中進行分析。根據(jù)個人信息保護法第28條，刷臉的處理必須符合“具有特定的目的和充分的必要性”“并采取嚴格保護措施”的規(guī)定。

　?。ǘ┕脖O(jiān)控信息保護機制的適用與轉(zhuǎn)向

　　當(dāng)刷臉被用于公共監(jiān)控場景時，此時刷臉不僅適用于生物識別信息的保護機制，而且還適用建立在人權(quán)法框架之下的公共監(jiān)控信息保護機制。從制度發(fā)展來看，公共監(jiān)控信息保護隨著技術(shù)的發(fā)展而不斷加強。在美國法中，監(jiān)控技術(shù)的發(fā)展直接推翻了“公共場無隱私”的觀點。在著名的“凱諾案”中，美國聯(lián)邦最高法院認定使用熱成像設(shè)備掃描住宅外部構(gòu)成了不合理的搜查?！碍偹拱浮敝?，美國聯(lián)邦最高法院又認定未經(jīng)授權(quán)使用GPS信息監(jiān)控構(gòu)成違憲。英國“調(diào)查權(quán)力法案”和“公共監(jiān)控實務(wù)守則”，更是直接適用于公共監(jiān)控中的刷臉，其規(guī)定公共監(jiān)控必須遵循比例性、合法性、可靠性、必要性原則，限定在合法必要的目的使用，且充分考慮對個人權(quán)利的影響。隨著刷臉被廣泛使用于商業(yè)和其他目的，發(fā)端于人權(quán)法框架的公共監(jiān)控規(guī)制邏輯也逐漸被拓展到一般的公共場所刷臉之中。近年來，我國法院也注意到私人主體在公共空間安裝智能監(jiān)控的風(fēng)險。例如，在“劉某與沈某隱私權(quán)糾紛案”中，法院認為具有刷臉功能的智能門鈴對鄰居的“出行規(guī)律、人員流動等進行了記錄”，造成了侵擾后果，應(yīng)予拆除。

　　然而，傳統(tǒng)公共監(jiān)控信息保護制度實難以全面回應(yīng)前述監(jiān)視權(quán)力擴張的風(fēng)險。對于刷臉的識別分析機制，至少還應(yīng)涵蓋自動化決策框架下的透明度和結(jié)果公平合理的要求，以及引入風(fēng)險影響評估制度，這些要求將對公共監(jiān)控的合法性判斷產(chǎn)生重要影響。2019年英國“布里奇斯案”中，基于傳統(tǒng)公共監(jiān)控信息保護制度，英國高等法院認定南威爾士警方對示威者使用自動面部識別技術(shù)合法。英國信息專員辦公室對該案提出批評，認為警方?jīng)]有對信息保障進行恰當(dāng)?shù)娘L(fēng)險影響評估，在“全面和不加區(qū)分的基礎(chǔ)上”收集個人信息將產(chǎn)生過大風(fēng)險。2020年英國上訴法院改判，認定該刷臉系統(tǒng)的使用方式侵犯了人權(quán)。針對刷臉的最新發(fā)展與應(yīng)用，2021年英國信息專員辦公室發(fā)布“公共場所中人臉識別技術(shù)的使用”報告指出，公共場所中的刷臉應(yīng)當(dāng)符合公平、透明、必要性、風(fēng)險影響評估等基本要求。

　　此外，從我國立法來看，公共監(jiān)控信息保護機制與生物識別信息保護機制之間存在相對割裂的問題。根據(jù)個人信息保護法第26條規(guī)定“公共場所安裝圖像采集、個人身份識別設(shè)備”，是“為維護公共安全所必需”以及“設(shè)置顯著的提示標(biāo)識”?！叭四樧R別司法解釋”第5條第2項規(guī)定亦將“為維護公共安全，依據(jù)國家有關(guān)規(guī)定在公共場所使用人臉識別技術(shù)的”作為明確的免責(zé)事由，缺乏對公共安全作基本的必要性分析與比例原則衡量的要求。若直接適用這些條款，將存在架空敏感個人信息保護機制的危險。公共監(jiān)控信息保護機制是進一步限制刷臉的機制，不應(yīng)成為突破生物識別信息保護機制的例外。必須通過相關(guān)條例的解釋，使得公共監(jiān)控中的刷臉適用“生物識別信息保護機制+公共監(jiān)控信息保護機制”的雙重限制。

　?。ㄈ┖魡拘畔⒈Ｗo的理念轉(zhuǎn)向

　　信息保護機制失靈的根本原因在于，傳統(tǒng)隱私和信息保護的代表性理論已難以適應(yīng)刷臉的技術(shù)發(fā)展。第一，從獨處權(quán)理論來看，一個多世紀以前，為應(yīng)對新興的攝影技術(shù)，沃倫、布蘭代斯首次借用“獨處權(quán)”的概念對隱私權(quán)進行了論述。這一經(jīng)典理論所強調(diào)的是物理空間的隱私保護，難以適應(yīng)于數(shù)字時代的刷臉。第二，從有限接近和保密理論來看，加夫森將隱私描述為“保密、匿名和獨處”。有國內(nèi)學(xué)者亦指出，“看破不說破”是隱私規(guī)范的重要內(nèi)容，即要求知情人“在一定范圍內(nèi)掩飾其對特定信息的占有或使用狀態(tài)”。然而，刷臉對個人權(quán)益的侵害不因其泄密，在識別分析機制中更是常會利用信息主體主動上傳分享的數(shù)據(jù)。第三，從個人信息控制權(quán)理論來看，“隱私是對自己信息的控制”。對于是否被刷臉，刷臉信息如何被比對，信息主體往往缺乏控制力。

　　對此，首先應(yīng)從數(shù)字人權(quán)的高度把握刷臉中的信息保護理論命題。刷臉的機制與人的“數(shù)字屬性”息息相關(guān)，刷臉的信息保護必須堅持數(shù)字人權(quán)的引領(lǐng)。在“雙層空間、虛實同構(gòu)”的數(shù)字時代中，發(fā)生了“從自然人到‘信息人’的轉(zhuǎn)變”。一方面，刷臉的身份識別機制本身就是一種通過“信息人”證明自然人身份的“可信身份認證”模式；另一方面，刷臉的識別分析機制通過數(shù)據(jù)匯集、比對、分析，進一步強化了“生活方式的數(shù)字化表達”。正是人的“數(shù)字屬性”賦予了人權(quán)數(shù)字屬性，構(gòu)成了數(shù)字人權(quán)的基礎(chǔ)。以數(shù)字人權(quán)的理念引領(lǐng)，即要求以人權(quán)的尺度作為評判刷臉的根本標(biāo)準，由此可對信息保護機制進行重新審視。

　　其次，從信息保護理論發(fā)展角度，應(yīng)通過“情景脈絡(luò)完整性理論”，引入場景化規(guī)制的方法。尼森鮑姆指出，若信息流動脫離既定的語境和場景，將構(gòu)成對隱私的侵犯。也就是說，信息保護與具體場景中的社會規(guī)范息息相關(guān)。物理空間的生活中“看臉”與設(shè)備刷臉的場景有極大差異，在身份識別意義上的刷臉又與在識別分析意義上的刷臉場景大為不同。身份識別的場景中，信息流動的范圍較為有限，對傳統(tǒng)信息保護機制的挑戰(zhàn)較小。識別分析的場景中，卻極易使人臉信息脫離其特定的使用背景，必須予以重點規(guī)制。由此，可進一步構(gòu)建適應(yīng)識別分析機制的法律治理路徑。

　　四、適應(yīng)識別分析機制的法律治理路徑

　　在邁向識別分析的屬性轉(zhuǎn)換中，刷臉的法律治理路徑可分為三個層次。第一，在刷臉法律治理的一般原則上，強調(diào)比例原則的檢驗。第二，在識別分析機制的特殊規(guī)制上，適用自動化決策框架進行場景化規(guī)制。第三，以架構(gòu)設(shè)計進一步降低識別分析的風(fēng)險，支持刷臉的合法應(yīng)用與發(fā)展。

　　（一）一般原則的優(yōu)化：以比例原則作“最小必要”檢驗

　　適應(yīng)識別分析機制的法律治理，絕非只適用于識別分析機制的法律治理。如前所述，刷臉的識別分析機制中的許多突出問題，是身份識別機制中相關(guān)問題的放大。對此，必須根據(jù)數(shù)字人權(quán)的價值指引，從信息保護一般原則的優(yōu)化出發(fā)，以比例原則作“最小必要”檢驗。

　　比例原則的檢驗是個人信息保護“最小必要”原則的題中應(yīng)有之義。必要原則一直是我國個人信息保護的基本原則。個人信息保護法第6條更是明確指出處理個人信息“應(yīng)當(dāng)采取對個人權(quán)益影響最小的方式、限于實現(xiàn)處理目的的最小范圍”。同時，刷臉作為生物識別信息處理，依該法第28條亦須以“充分的必要性”為前提?！叭四樧R別國標(biāo)草案”更是將“非人臉識別方式安全性或便捷性顯著低于人臉識別方式”作為刷臉的前提條件。

　　比例原則要求信息處理者在使用刷臉系統(tǒng)前應(yīng)嚴格審查使用該系統(tǒng)的預(yù)期目標(biāo)，同時考慮對信息主體權(quán)利的影響。信息處理者必須證明其不能通過使用侵入性較低的其他方式合理地實現(xiàn)相關(guān)目的。如果有可能通過其他對個人權(quán)利干預(yù)較小的方式合理地實現(xiàn)相同或類似結(jié)果，那么刷臉的使用就是不合比例的。當(dāng)刷臉并非實現(xiàn)目標(biāo)的唯一可能手段時，就必須考慮其他侵入性較小的替代措施。提高效率并非刷臉的正當(dāng)理由，即便稍微比其他不使用生物識別信息的措施更具效率，刷臉也可能是不必要的。在前述瑞典對學(xué)校使用刷臉考勤的處罰案件中，瑞典數(shù)據(jù)保護局即根據(jù)比例原則指出，應(yīng)采取對學(xué)生個人信息權(quán)益侵害更小的其他方式實現(xiàn)考勤目的。

　　未經(jīng)比例原則檢驗，僅憑“為維護公共安全”本身不能認定刷臉的必要性。如前所述，個人信息保護法第26條、“人臉識別司法解釋”第5條第2項必須作嚴格限縮。對信息保護基本權(quán)利的限制需要有充分的理由。即便是為執(zhí)法的目的，對敏感個人信息的處理亦必須符合“充分的必要性”要求。在“馬普爾案”中，歐洲人權(quán)法院即表示，以公共利益為由無限期保留已無罪釋放的嫌疑人的生物識別信息屬于不合比例的措施。

　　此外，比例原則檢驗是一個利益衡量的過程。追求的是信息處理者的利益、個人的權(quán)利和社會的公共利益之間的平衡，因此必須進行風(fēng)險影響評估。實際上，根據(jù)個人信息保護法第55條第1項及第2項，刷臉的機制至少涉及“處理敏感個人信息”與“利用個人信息進行自動化決策”，必須在事前進行風(fēng)險評估。根據(jù)該條，至少應(yīng)結(jié)合刷臉的目的、處理方式、對個人可能造成的影響、安全措施進行綜合評判。參照GDPR序言第75條，可通過對個人身體、財產(chǎn)或其他非物質(zhì)損害的角度評價具體風(fēng)險。經(jīng)風(fēng)險評估和利益衡量，若刷臉的預(yù)期目標(biāo)足夠重要，且能證明對個人信息權(quán)益的干預(yù)是必要、合理的，即可進行相關(guān)應(yīng)用。例如，在特定地點進行刷臉以抓捕逃犯、為高效防控疫情進行刷臉均符合數(shù)字人權(quán)價值與比例原則的要求。

　?。ǘ┨厥庖?guī)則的細化：自動化決策框架下的場景化規(guī)制

　　在個人信息保護法第73條第2款的意義上，自動化決策的概念與識別分析存在一定混同。刷臉的識別分析機制天然應(yīng)適用自動化決策的分析框架。從自動化決策的角度，根據(jù)該法第24條第1款，刷臉的識別分析至少需要滿足“保證決策的透明度和結(jié)果公平、公正”的基本要求。第一，透明度的要求超越了該法第30條敏感信息處理的告知義務(wù)。參照英國的相關(guān)文件，自動化決策的透明度不僅要求向信息主體告知“必要性以及對個人權(quán)益的影響”，而且需要提供關(guān)于臉部信息被如何處理的清晰信息，即需要采取便利、可獲取的方式，向信息主體充分展示刷臉的使用狀態(tài)與目的、數(shù)據(jù)處理方式、維權(quán)途徑等信息。第二，結(jié)果公平、公正不僅要求技術(shù)的上有效和準確，而且要求排除偏見和歧視的風(fēng)險。參照歐盟的相關(guān)文件，刷臉系統(tǒng)不得根據(jù)種族、民族、宗教信仰、性取向等高風(fēng)險類別對人群進行分類。

　　自動化決策的分析框架，應(yīng)進一步適用于刷臉的具體應(yīng)用場景中。尤其是當(dāng)刷臉的識別分析機制被用于金融、住房、保險、教育、司法、就業(yè)、健康等將對個人權(quán)益有重大影響的場景時，根據(jù)個人信息保護法第24條第3款，信息主體具有“要求個人信息處理者予以說明”的權(quán)利與自動化決策拒絕權(quán)。該條款在邏輯結(jié)構(gòu)上與GDPR第22條第1款高度相似。參考算法解釋權(quán)的理論，應(yīng)將“予以說明”解釋為以簡單易懂的語言、易于獲取的形式，清晰地向信息主體解釋刷臉識別分析機制的基本邏輯，展示根據(jù)何種要素作出相關(guān)決策，以便信息主體行使拒絕權(quán)。此外，就信息主體的拒絕權(quán)而言，對于刷臉的拒絕權(quán)絕不限于自動化決策。對于任何不符合比例原則、不必要的刷臉，個人均有權(quán)拒絕?！叭四樧R別司法解釋”第10條即指出，個人有權(quán)拒絕將刷臉作為“出入物業(yè)服務(wù)區(qū)域的唯一驗證方式”，并有權(quán)“請求其提供其他合理驗證方式”。

　　值得注意的是，常見的公共部門/私營部門分別規(guī)制的模式，不應(yīng)作為場景化規(guī)制引入。該種規(guī)制模式下，公共部門刷臉可以分為絕對禁止和嚴格限制兩種類型。前述美國馬塞諸塞州薩默維爾市、加州奧克蘭市等即嚴格禁止公共部門獲得、保留、接入或使用人臉識別技術(shù)。美國華盛頓州“人臉識別法”則采取了嚴格限制的立場，對刷臉明確提出了算法解釋、算法問責(zé)、算法審計等要求。與之相比，對私營部門的刷臉則更為強調(diào)告知同意機制的優(yōu)化。筆者并不贊同我國采用這一規(guī)制邏輯，理由有三：第一，公共部門與私營部門的劃分多見于美國法，是美國行業(yè)分散立法的信息保護模式所決定的。我國個人信息保護已采取統(tǒng)一立法模式，無須根據(jù)行業(yè)或部門對某一信息保護事項進行區(qū)分。第二，對公共部門進行重點規(guī)制的理由并不充分。公共部門刷臉不一定比私營部門具有更高的風(fēng)險。而且從社會公共利益與商業(yè)利益比較的角度，更可能得出對私營部門嚴格規(guī)制的結(jié)論。第三，公共部門與私營部門只是刷臉的主體，無法指向刷臉的具體應(yīng)用場景。唯有從具體的應(yīng)用場景出發(fā)，才能充分評估刷臉對信息主體的影響和風(fēng)險，并提出相應(yīng)的規(guī)制策略。

　?。ㄈ半[私設(shè)計”與去標(biāo)識化、匿名化的倡導(dǎo)

　　個人信息保護法第51條明確要求信息處理者應(yīng)采取措施實現(xiàn)個人信息保護。該規(guī)定契合了“隱私設(shè)計”的邏輯。參照GDPR第25條，“隱私設(shè)計”即要求將個人信息保護理念提前融入到刷臉的產(chǎn)品設(shè)計之中。就刷臉的架構(gòu)設(shè)計而言，至少可采取以下方式：第一，在選擇技術(shù)解決方案時，應(yīng)首選“隱私計算”技術(shù)，并不斷提高刷臉的安全性、精確度、活體檢測技術(shù)，制定合理的安全保護措施，以“最小必要”原則約束產(chǎn)品代碼。第二，在開發(fā)刷臉產(chǎn)品和服務(wù)時考慮信息的敏感性，且采取措施保障信息主體的知情權(quán)、選擇權(quán)。例如在手機端的刷臉應(yīng)用中，可通過“彈窗”的方式直接履行告知義務(wù)，且應(yīng)同時提供其他驗證方式，不得通過“默認勾選”的方式逾越信息采集的必要范圍。第三，鼓勵開發(fā)供用戶使用的信息保護技術(shù)。例如感應(yīng)到鏡頭時發(fā)出閃光從而破壞圖像“防狗仔裝置”，或通過手機端向一定范圍內(nèi)的信息處理者廣播拒絕刷臉的技術(shù)。

　　針對刷臉的識別分析機制，應(yīng)充分發(fā)揮去標(biāo)識化與匿名化的作用。個人信息保護法第51條第3項即明確將去標(biāo)識化規(guī)定為一種安全技術(shù)措施。通過“計算機視覺偽裝”技術(shù)，可對臉部圖像可作去標(biāo)識化處理。當(dāng)達到“經(jīng)過處理無法識別特定自然人且不能復(fù)原”的標(biāo)準時，即進一步構(gòu)成匿名信息。在前述刷臉廣告的事例中，當(dāng)相關(guān)信息被用于日后的廣告推送時，即便進行了相關(guān)去標(biāo)識化處理也必然是具有識別性的，屬于個人信息處理。然而，這并不表明人臉信息就無法實現(xiàn)匿名。2016年，德國零售商Real使用AdPack人臉分析技術(shù)進行戶外廣告，該技術(shù)僅在150毫秒內(nèi)對所采集的人臉信息進行本地化緩存隨后即馬上刪除。對于類似的“瞬態(tài)刷臉”而言，無論是信息處理者還是任何第三方均無法通過合理的成本復(fù)原相關(guān)信息并識別到特定個人，已經(jīng)實現(xiàn)了匿名化。

　　盡管如此，以AdPack為代表的應(yīng)用還是受到了大量批評與投訴，最終被迫下架。這里的核心問題是：識別分析機制中的匿名信息是否應(yīng)受到信息保護機制約束。對此，有學(xué)者主張，“應(yīng)當(dāng)將用戶匿名行為信息納入個人信息的范疇”，“采取特殊的個人信息保護機制”。筆者認為，不能輕易動搖個人信息的基本概念，作為非個人信息的匿名信息屬于可自由流動的信息。對刷臉的限制措施并非越多越好，刷臉的法律治理必須從刷臉的實際風(fēng)險出發(fā)，切勿由于對新技術(shù)的恐懼而不當(dāng)限制技術(shù)的發(fā)展。桑斯坦指出，對新風(fēng)險的認知偏差導(dǎo)致容易產(chǎn)生“概率忽視”的現(xiàn)象，即人們傾向于關(guān)注負面結(jié)果，而不是它的可能性。法律可能會過度補償以解決消費者的憂慮，從而導(dǎo)致“花費巨大卻收效甚微或毫無收獲”。歷史經(jīng)驗表明，如果過度補償短期恐懼，基于最敏感的一方設(shè)定規(guī)則，將不利于新技術(shù)的發(fā)展與應(yīng)用。

　　就刷臉的法律治理而言，必須認識到滯后性不是法律的缺點而是法律的特性，對于一個尚未發(fā)展成熟的新技術(shù)應(yīng)保持適當(dāng)?shù)闹t抑。當(dāng)前，刷臉的匿名化有極大的應(yīng)用空間和現(xiàn)實需求。刷臉的分析機制本身即不一定建立在身份識別的基礎(chǔ)之上，人臉驗證、人臉辨析、人臉分析可以相互獨立。公共場所人流量統(tǒng)計、體溫檢測、圖片美化都屬于典型的不以識別為基礎(chǔ)的人臉分析應(yīng)用。在匿名化后，刷臉即可合法地應(yīng)用于自動駕駛的行人判斷、公共場所的人流量統(tǒng)計等眾多場景之中。由此，通過架構(gòu)設(shè)計的優(yōu)化，推動刷臉的合法應(yīng)用不斷發(fā)展，刷臉的風(fēng)險將會降低，人們對刷臉的恐懼也將消除。

　　結(jié) 語

　　信息保護制度隨著技術(shù)的發(fā)展而發(fā)展。1890年，在攝影技術(shù)的背景下，沃倫與布蘭代斯提出了“隱私權(quán)”的理論。1983年，在計算機技術(shù)的背景下，在著名的“人口普查案”基礎(chǔ)上，德國學(xué)者提出了“個人信息自決權(quán)”理論。當(dāng)前，數(shù)字時代已經(jīng)到來，刷臉作為一種高效、便捷、可用的技術(shù)，其未來應(yīng)用必將更加廣泛和深入?？偠灾谌恕翱础钡郊夹g(shù)“看”升級的過程中，刷臉風(fēng)險的核心既不在于“看”也不于“臉”，而在于對個人信息的數(shù)字化處理、比對和分析。作為一種身份識別機制，刷臉的技術(shù)邏輯與規(guī)制方式均不復(fù)雜。在身份識別機制向識別分析機制的轉(zhuǎn)換中，刷臉的風(fēng)險了發(fā)生遷移，規(guī)制機制的適用產(chǎn)生了轉(zhuǎn)向。對此，必須從比例原則檢驗、自動化決策下的場景化規(guī)制與技術(shù)架構(gòu)設(shè)計三個方面予以應(yīng)對，使野蠻生長的刷臉回歸到合法的軌道上，捍衛(wèi)數(shù)字時代的個人信息權(quán)益。