人脸识别技术频发争议，个人信息保护法呼之欲出

曹柠

今年3月，清华大学法学院教授劳东燕发现，她居住的小区贴出安装人脸识别门禁系统的公告，要求业主提供房产证、身份证、人脸识别等信息。物业对于个人信息的粗暴收集方式和业主防范意识的淡薄引起了她的不安，令她最担心的是数据的保存，“物业有何动力维护和保护这个数据系统？数据由谁保管？怎么保护？”

借助专业背景做了一系列研究后，她把搜集到的有关人脸识别风险的报道和法律依据，发到两个各有数百名业主的微信群里，一方面是提醒大家，另一方面也是希望得到物业回应。

个体的警觉

人脸识别是近年AI浪潮中的标志性技术，被广泛应用于安防、金融等领域。MarketsandMarkets咨询公司研究预计，到2024年，全球面部识别市场规模达70亿美元。从2015年到2019年，人脸识别、视频监控的专利申请数量从1000件飙升到3000件，其中四分之三在中国。

中商产业研究院的《2019年中国人脸识别行业市场前景研究报告》显示，据测算，2018年中国人脸识别行业市场规模突破100亿元大关，随着人脸识别技术在各行业应用渗透的不断深入，预计2019年人脸识别市场规模在120亿元左右。

在支付宝、微信等支付应用和各大手机厂商推广下，人脸识别正在逐步替代传统的密码安全系统，在公司、商场、机场、学校等场景下，人脸识别技术可以提升管理效率，提升交互体验。但人脸作为生物识别信息具备唯一性，一旦发生信息泄露风险不可预估。

支付宝在最新的隐私权政策中显示，仅在若干情形下向第三方共享或转让数据：某些服务可能由第三方提供或由支付宝与第三方共同提供，由此只有共享信息才能提供服务；事先获得用户明确同意等。在另一份用户规则中，支付宝还写道，为了提高验证准确性，“用户同意我们在必要时将您向我们提供的人脸图像，与法律法规允许或政府机关授权的机构所保存的您的人脸图像进行比对核验”。

尽管每家公司都会坚称会将保护用户的数据隐私安全放在首位，但现实却是我们的数据并没有那么安全。2018年7月，浙江绍兴一名叫张富的大专毕业生，利用非法购买的公民个人身份信息，将相关公民的照片制成3D头像，通过支付宝人脸识别认证。在他被查获的电脑里，警方发现了2000万条公民个人信息。2019年，18岁、初中文化的田某，通过抓取、拦截、保存银行系统下发的人脸识别身份信息数据包，在一个手机银行APP内使用虚假身份信息成功注册了账户。

人脸识别技术的广泛应用正在引发越来越多个体的警觉。

2019年5月，英国首宗人脸识别诉讼开庭，英国人布里奇斯将南威尔士警察局告上了法院，认为后者在公共区域扫描分析他的脸部数据，未经其知情同意，侵犯隐私。但法院认为警方从闭路监控中抽取人像信息，跟嫌疑人面部信息进行对比，如果匹配未成功，数据立马删除，如果匹配成功了保留24小时，这都在合法范围内。

同年6月15日，浙江杭州富阳区法院，被称为“中国人脸识别第一案”开庭审理。对簿公堂的是浙江理工大学副教授郭兵和杭州野生动物世界，因动物园在去年改装系统，不注册人脸识别将无法入园，也无法办理退卡退费，年卡用户郭兵将园方告上法庭。

郭兵和劳东燕一样，只是作为普通市民出现在事件中，因为专业背景的缘故，他们面对强制使用的人脸识别技术多问了几个问题，这撬动了舆论的反思意识。郭兵曾在接受采访时说，除了感到权益受到侵害，作为一个教授法律的大学老师，他更希望推动一个具有公益性质的诉讼：在个人信息失控的当下，促成相关制度的完善。

人臉识别技术的广泛应用正在引发越来越多个体的警觉。

北京航空航天大学法学院副教授余盛峰甚至认为，“当代隐私的最大敌人已不是某项技术，而是数字社会本身对于数据的无限欲望，以及‘连接一切意识形态所带来的自由幻觉”。因为狭义的人脸识别只是固态机器的认证，而广义的人脸识别，则涉及整个生存空间的数字化和监控化。

一项《人脸识别应用公众调研报告（2020）》显示，64.39%的受访者认为人脸识别技术有滥用趋势，超过三成的受访者表示已经因人脸信息泄露、滥用等遭受损失或隐私被侵犯。

劳东燕、郭兵这些个体的“挣扎”也提醒着人脸识别的利益相关群体，合法合规的问题不解决，大规模商用就存在着巨大隐患。

谁能收集我的脸，争议不断

争议还出现在人脸识别的使用范围如何界定。

去年8月，中国药科大学在一些教室安装了人脸识别设备，除具有考勤功能外，这种设备据称还可以追踪、识别学生听讲、发呆、睡觉等上课状态。相较于常见的用于门禁“刷脸”的身份识别能力，识别人的状态对技术提出了更高的要求。

消息一经公布，起初的论调是学校应用了先进的AI技术，但过了不久，舆论开始对教室里无时无刻的监控感到担忧。教育部科技司司长雷朝滋9月初公开回应称：“包含学生的个人信息都要非常谨慎，能不采集就不采，能少采集就少采集，尤其涉及个人生物信息的。”

类似的案例在欧洲就曾遇到重罚。瑞典一所高中因使用了人脸识别系统记录学生的出勤率，经过调查后被认定学校对学生个人信息处理不符合GDPR（《通用数据保护条例》）的规定，收到了第一张基于GDPR的罚单，金额为20万瑞典克朗（约合人民币14.5万元）。

2018年，被称为“史上最严”的数据保护法规—GDPR在欧洲生效。按照规定，任何机构，无论是政府还是企业，要触动任何人的隐私权时，必须得到个人的允许。而违规收集个人信息（其中包含指纹、人脸识别等）、没有保障数据安全的互联网公司，最高可罚款2000万欧元或全球营业额的4%。

2019年5月，美国旧金山议会通过了《禁止秘密监控条例》，明文禁止旧金山执法部门使用人脸识别技术。这是史上第一次政府被法律明文禁止使用人脸识别类的监控技术。

在美国，对人脸识别的抗议还在于“算法歧视”，由于数据量不足，识别算法更容易在深色皮肤、儿童等人群中出错，这些技术上难以排除小概率问题，使大型科技公司屡遭指责。美国大型非营利组织公民自由联盟（ACLU）的律师卡格尔称，国会和立法机关必须迅速停止在执法中使用人脸识别，企业也应该停止推动人脸识别警用的合法化。他援引了一项政府研究称，非洲裔和亚裔人群被算法错误识别的概率，要比白人高出100倍，“任一差池就可能引发不当逮捕、长时间的审问，乃至致命事件”。

“技术可以提高透明度、帮助警察保护社区，但绝不能放大歧视与种族不平等。”今年6月8日，IBM CEO 克里希纳（Arvind Krishna）向美国国会议员发出公开信，宣布不再提供通用人脸识别软件，提议制定负责任的技术政策；随后，另有两家互联网巨头亚马逊和微软也宣布放缓步调，亚马逊暂停向警方提供人脸识别技术一年时间；微软则停止向警方销售人脸识别软件，直到有相关国家法律出台。

就在10月26日，《杭州市物业管理条例（修订草案）》被提请至杭州市第十三届人大常委会审议。这是国内首部对小区人脸识别作出规范的正式立法，草案规定，物业服务人不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备。

立法听证会后，“修订草案”第四十四条企业义务条款中新增了一款规定，即“不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备，保障业主对共用设施设备的正常使用权”。

市场扩张与隐私保护的赛场

相比于欧美社会的审慎，国内则更像是“野蛮生长”，技术应用广泛和风险意识淡薄并存。赛道的两旁，一方是日益发展的技术条件和规模诱人的市场需求，另一方则是模糊疏松的监管和逐渐加重的忧虑。

2018年3月26日，百度董事长兼首席执行官李彦宏在中国发展高层论坛上表达了“中国人愿用隐私交换便利”的观点，隐私保护绝对是互联网行业的政治正确，此言虽然刺耳，却是句大实话。

因为李彦宏还有后半句话，“如果这个数据能让用户受益，他们又愿意给我们用，我们就会去使用它。这就是我们能做什么和不能做什么的基本标准”。

草案规定，物业服务人不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备。

这类观点的逻辑是出让一部分隐私权换取经济价值是无可厚非的，关键是甄别这一决策过程是不是自愿做出的，以及经济价值是否真实地反馈到用户身上。

经济学家、长江商学院教授许成钢认为，隐私权并不能完全覆盖个人信息的范畴，个人信息权不只是人权，而且是产权，具有经济价值。多数情况下，用户愿意出让一部分隐私权来获得更多便利和利益。

“在市场交换界定清楚产权的时候，每个人可以自主决定，在多大程度上愿意放弃某一部分的隐私来获得什么样的收益，这个收益可以是有价值地归个人所有，也可以自愿为社会作贡献。”许成钢说。

不得不承认，中国人脸识别技术和产业的发展，得益于互联网上大量的数据，比如网民很乐于在各种AI换脸应用上分享自己的照片。而这些应用往往操作门槛很低，用户在通过人脸识别完成肖像权验证之后，就可以通过拍摄或上传人脸照片来合成视频。用户在体验新技术带来的乐趣的同时，多少都忽略了收集人脸等个人生物识别信息未获用户明示同意、个人信息处理规则不清晰、数据泄露或滥用等潜在风险。

而李开复的发言则是“细思恐极”的表达不清。今年9月12日，创新工场董事长李开复在HICOOL全球创业者峰会上，介绍自己如何帮助投资项目旷视时称，“我们早期帮助他们（旷视）寻找了合作伙伴，包括美图、蚂蚁金服，让他们拿到了大量的人脸数据”。

用户的人脸数据正在被共享使用？李开复这一句话捅了马蜂窝，引得被提及的公司不得不当晚就出面否认。蚂蚁和美图声明，从未提供任何人脸数据给旷视科技，双方过往合作仅限旷视科技授权其图像识别算法能力给蚂蚁单独部署和使用，不涉及任何数据的共享和传输。旷视也声明，不掌握也不会主动收集终端用户的任何个人信息。

国内科技行业对此不感冒的也大有人在。现实的一大困境是没有应用就没有数据，AI就无法迭代进化。多位科技界的人士都曾公开表示，并不看好欧美规则先行的办法，认为这只是缓兵之计，不适用于AI时代。对于中国快速增长的市场规模来说，这很好理解，如果不先推应用，整个国家的AI技术发展很可能会落后一大截。如果完全追随美国和欧洲对数据和隐私的保护，对人脸识别发展会产生很大的阻碍。

李开复就曾在德国讲演时说，“如果隐私保护走向极端，商业变现、价值创造也会停下来。”他不认为隐私保护完全是一个非白即黑的问题。人工智能是一項中心化技术，受益于收集起来的数据。如果强制数据分散在各处，价值就会降低。

他表示，很多欧洲的政策制定者相信放慢速度是聪明的做法。但他建议，在制定下一版本GDPR的时候，能让技术专家参与其中，确保决策者明白每一项监管可能带来的结果。他相信，中国和美国会占据全球多数的AI市场。

中国人民大学法学院副教授丁晓东也比较反对过度渲染人脸识别的风险，他表示“不能因为风险事件就对这一技术采取禁止的态度，而是要在具体的场景中进行风险的防范”。

被寄予厚望的个人信息保护法

10月13日至17日召开的十三届全国人大常委会第二十二次会议，初次审议了备受关注的《个人信息保护法（草案）》。针对个人信息的收集、处理，草案确立了以“告知—同意”为核心的个人信息处理系列规则。草案规定，处理个人信息的同意，应当由个人在充分知情的前提下，自愿、明确作出意思表示，个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。此外，基于个人同意而进行的个人信息处理活动，个人有权撤回其同意。

我国之前采取分散立法的模式进行个人信息保护，个人信息保护的相关规定分布在全国人大常委会出台的《关于加强网络信息保护的决定》，刑法修正案（九）整合规定的侵犯公民个人信息罪，以及《网络安全法》和《民法典》等各种法律法规中。

但尴尬的现实是，以《民法典》为代表的私法救济路径，目前不足以拯救海量的个人信息泄露。而以《刑法》为代表的公法打击路径，目前也抓不完非法使用、泄露信息的犯罪活动。而根据相关司法解释，非法出售、提供、获取特定（敏感）个人信息50条即可构成犯罪。在每日产生海量个人数据的今天，不能一网打尽某种程度就意味着法不责众。况且，在规则尚不明确的灰色地带频发触动刑法不仅代价高昂，同时也会带来罪刑不均衡的问题。

通过经济手段，政府执法机构与企业形成“巨额罚款—监督整改—形成规则”的公平信息实践，这样不仅可以有效保护个人信息，也不至于抑制产业发展。

北京和昶律师事务所律师王亮亮认为这是“法律组合拳”出错了力。个体无力维权，群体也面临着集体诉讼的诸多难题，成本收益严重不平衡的情况下，指望公民通过民事诉讼维权的方法无法形成有效制约。

目前看来最有效的监管手段是行政处罚。通过经济手段，政府执法机构与企业形成“巨额罚款—监督整改—形成规则”的公平信息实践，这样不仅可以有效保护个人信息，也不至于抑制产业发展。但相比于欧美各国政府对互联网巨头的密切监控和时常开出的天价罚单，我国对个人信息违法行为的行政处罚的力度还很弱，罚款几乎低于违法收益。以《网络安全法》六十四条为例，侵犯公民个人信息，有违法所得的没收，处违法所得一倍以上十倍以下罚款；没有违法所得的，处一百万元以下罚款。

“行政执法位于柔和的民法救济与剧烈的刑法打击之间，具有辗转腾挪的余地，执法方式多样，包括约谈、通报批评、限期改正，罚款等措施都能在不同层次上发挥效果。”王亮亮表示。

值得注意的是，讨论的另一现实语境是疫情，于是需要受到监管的不只是企业，还有公共部门。

虽然大量敏感性数据管理机构自身有严格管理，如地方政府如果想要调取公民的手机定位记录，要么公民自身进行单次授权，要么需中央、地方多层级多单位的依次审批。要调取银行交易数据，只有司法机关有权限。

但在疫情管控的强需求下，大到公安、交通、电信运营商，小到社区、商场、超市，物业人手不够，又要对付查证、测温和登记等多道流程，恰有機器换人的需求，数据也随之生成，一下子扫码填身份证号无处不在，人脸识别更是常有。劳东燕的遭遇正是在这种背景下发生的。

华南师范大学法学院副研究员马颜昕在调研中就发现，防疫中大量疫情信息并不是从专门数据管理部门流出，而是由社区、卫健委等基层工作人员流出，说明基层没有建立起严格的数据使用审查框架。

赵鹏表示，在疫情期间，公共危机下可以扩充政府的权力，但这些做法不应常态化，有的政府部门收集的信息不删除甚至高度侵犯个体自由的做法应当警惕。