作为AI技术落地最广泛的场景之一，近年来，人脸识别技术在零售业、金融业、安防等领域得到了广泛应用，智能硬件解锁、支付以及公共服务等身份验证方面都直接应用了人脸识别技术。作为个人隐私中最敏感和重要的组成部分，面部信息具有唯一性和不可撤销性，这意味着一旦人脸信息落入不法分子之手，就有可能出现伪造身份或假冒身份等违法犯罪后果。因此，人们在享受该技术带来便捷的同时，也对其对个人隐私和公共安全带来的威胁产生了顾虑，而诸如杭州野生动物园人脸识别案、某地房产开发商在售楼处安装摄像头用于人脸识别等事件进一步引发了社会各界对人脸识别技术是否构成对个人信息保护的侵犯、以及该技术如何被监管的讨论和思考。

本文从人脸识别技术的定义和基本功能谈起，简要梳理和分析了在人脸识别技术的研发和应用场景中与个人信息保护相关的若干问题。

何为人脸识别技术？美国政府问责局（Government Accountability Office, GAO）在其于2020年发布的名为“Facial Recognition Technology Privacy and Accuracy Issues Related to Commercial Uses”的报告中将“人脸识别技术”表述为“通过估量和分析身体特征和行为特征来识别个体的一种生物识别技术”[1]。

欧盟基本权利局（European Union Agency for Fundamental Rights, FRA）在其于2019年发布的名为“Facial Recognition Technology: Fundamental Rights Considerations in the Context of Law Enforcement”的报告中将“人脸识别”描述为“为对个体进行识别、验证/证实或分类而对包含该些个体人脸的数字图像所进行的自动处理”，而“人脸识别技术”，则是“应用上述自动处理过程以自动识别和匹配人脸的生物特征识别系统”[2]。

国内一些专家学者认为，人脸识别技术是通过“自动定位、跟踪采集、比对提取、分离存储”等人脸特征信息处理环节完成录入数据与人脸数据库的关联比对，最终指向特定自然人的技术[3]。

综合上述GAO、FRA以及国内一些专家学者对人脸识别技术的概念表述，我们认为，人脸识别技术属于生物识别技术的一种，是能够将所探测到的人脸图像经过处理转化为脸部模型或数学表达，从而实现人脸检测、验证等功能的技术。

人脸识别技术基本功能通常可以分为检测、验证、识别三类。检测功能用于识别图像中是否有人脸但无需识别人群身份。该功能可以使商场、公园、景区等场所计算某些特定地点或时间段的人数，如货架边的顾客数量、景区排队等候人群数等，从而可以分析判断顾客偏好或游览峰值时间段等。验证功能是通过对检测到的人脸和现存的特定人脸模型进行比较以验证被检测人员身份，解决的是“被检测人员是否是特定人”的问题，如手机人脸解锁、刷脸支付、客运站检票乘车等。识别功能则是将检测到的人脸与已知的人脸模型库进行匹配，以识别其是否是库中人脸，解决的是“被检测人员是谁”的问题，如人脸识别门禁系统、商店VIP和盗贼识别系统、失踪人口查找系统等。目前应用相对比较广泛的是验证模式和识别模式。

由于人脸识别技术的对象为“人脸”，而“人脸”属于包含个人生物识别特征的个人信息[4]，因此现有的法律法规、司法解释和国家标准（以下统称“法律法规”）中与个人信息保护有关的规定适用于人脸识别技术。

《民法典》第四编第六章“隐私和个人信息保护”对个人信息的定义、处理个人信息的原则和免责事由、个人信息决定权等问题做了规定。《网络安全法》和《消费者权益保护法》对相关主体收集、使用、删除、对外提供个人信息的原则和应采取的措施进行了规定，并成为监管部门作出行政处罚的重要法律依据。《刑法》中的侵犯公民个人信息罪、非法获取计算机信息系统数据罪、破坏计算机信息系统罪、拒不履行信息网络安全管理义务罪等罪也与个人信息有关。此外，《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》和《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等司法解释则对审判中与侵犯个人信息和隐私相关的民事和刑事适用法律问题做了进一步规定。

相关监管部门、协会也对特定应用场景下个人信息的保护做出了规定。如中国支付清算协会就其会员单位应用人脸识别线下支付场景中的人脸信息全生命周期安全管理机制、用户权益保护等问题制定了《人脸识别线下支付行业自律公约（试行）》。全国信息安全标准化技术委员会发布了《移动互联网应用程序（APP）个人信息保护常见问题及处置指南》《网络安全标准实践指南—移动互联网应用程序（APP）收集使用个人信息自评估指南》等指南，国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局等部门在联合整治侵害用户权益的APP工作中发布了相关文件如《APP违法违规收集使用个人信息自评估指南》《APP违法违规收集使用个人信息行为认定方法》等。这些行业自律公约、国家标准等对人脸等生物识别特征的采集、存储等处理做出了详细、更具实操性的规定，是国家监管部门判断信息处理者是否违法时的参考，因而对人脸识别技术的开发者、应用者自身的合规运营有重要指导意义。

此外，国家市场监督管理总局、国家标准化管理委员会、国家质量监督检验检疫总局等部门也对人脸识别技术在具体应用场景中的性能、安全等技术方面的要求制定了多部国家标准。例如，《信息安全技术 远程人脸识别系统技术要求》规定了采用人脸识别技术在服务器端远程进行身份鉴别的信息系统的功能、性能和安全要求、安全保障要求；《生物特征识别防伪技术要求 第1部分：人脸识别》则规定了生物识别中人脸识别的流程、制作和应用过程以及防伪级别等技术要求；《公共安全 人脸识别应用 图像技术要求》规定了公共安全人脸识别应用中人脸图像技术要求。

我们可以看到，现有的法律法规对于个人信息的处理、网络数据安全和人脸识别技术实际应用时的技术要求等方面都有相应的规定。因此，在研发和应用人脸识别技术过程中相关主体也应在这三个方面遵守相关要求。

个人信息处理方面的合规要求主要是指在人脸识别技术研发或应用环节，信息处理者——即研发或应用主体应遵循法律法规对人脸信息在采集、存储、使用、传输、公开等方面的要求。

就个人信息采集而言，相关法律法规的要求概括而言主要有三个方面，即获得同意、公示目的、展示隐私政策。在人脸识别技术的研发阶段，因建立人脸图像模型的需要，研发主体需要大量人脸照片以训练和测试深度学习算法。一般情况下，研发主体会通过以下方式获取人脸照片：一是向合法持有人脸照片数据库的第三方购买人脸照片或是由自愿者提供人脸照片。在与第三方和自愿者签署合同约定人脸照片使用范围的前提下，这种获取方式侵犯个人信息相关权利的可能性较低。但由于研发阶段需要的人脸照片数量往往是百万级的，因此研发者向第三方支付的购买费用不菲，成本较高。而自愿者能提供的照片数量往往有限，不能满足算法训练的数量要求。二是研发者可以通过爬虫自动程序抓取网络上已公开的照片。这种方式可能存在几个问题：首先，照片来源或照片内容本身可能不合法，如照片为偷拍后上传网络或照片本身涉及侵犯社会公共利益（如淫秽色情照片等），因而研发主体对这些照片的使用可能存在侵权风险。其次，爬虫自动程序这种获取方式本身也有一定的风险，如某些网络平台的ROBOTS协议禁止用自动程序抓取照片，或自动程序的抓取妨碍平台服务器的正常运行，进而造成平台服务器瘫痪或其他严重后果的，则有可能构成不正当竞争甚至有刑事风险。

人脸识别技术在实际应用场景中也须以采集人脸图像为前提。如果应用于手机APP，则图像采集应当遵循的原则可以通过隐私政策、弹窗提示等方式得以体现。但商场、动物园、公司等具体场所在应用人脸识别技术时，该些应用主体无法像APP运营者一样可以直接在智能终端上显示信息采集的原则，因此很多主体在无明示告知采集的目的和使用原则等情形下直接用设备采集人脸图像，从而使被采集对象的个人信息和隐私权被侵害的风险加大。鉴于目前法律对这些场景下采集人脸信息的具体要求尚无相应规定，相关应用主体可以采取在图像采集场所以显著方式展示其采集人脸图像的目的、形式以及隐私政策的方法来告知公众。同时，应用主体应提供替代方案，例如商家提供刷脸支付功能的同时，应当支持现金支付、一般移动支付等其它方式支付。

在人脸图像的存储方面，研发主体或应用主体应运用去标识化或加密措施对人脸图像进行处理，并将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理。同时，还应将人脸图像信息与个人其他身份信息分开存储，防止个人生物识别信息与个人其他信息打通，提升信息安全性。在采集了人脸图像后，如非技术或用途必要，可将存储的原始图像删除，仅保留所生成的数字表达或数字模型，尽可能减少数据泄露的风险。

对人脸信息的使用，应当遵循的基本原则是不超出获得同意的使用范围，更不能未经同意或处理便对外提供。研发主体或应用主体因业务范围的调整或应用功能的升级，可能会导致对人脸信息的使用超出初始同意的范围。当出现这种情形时，应当开展安全影响评估，采取有效保护措施。同时，也应当允许信息主体对相关个人信息进行更正、删除、撤回授权同意，保障人脸信息主体对其信息自主决定的权利。

数据安全是指包括存储在内的处理人脸数据信息的系统是否符合网络安全的相关法律和技术要求。

在存储人脸信息方面，不同的处理主体对应不同级别的风险。例如，某小区物业使用人脸识别技术作为门禁，物业给出三种数据存储的方案：存放在物业的电脑系统或社区便民服务中心，也可以让公安部门保管[5]。显然，物业、社区便民服务中心和公安部门三者对信息存储系统风险防范的能力不同，从而导致数据存储安全系数的区别。如果数据存储的主体未对数据系统和设施采用充分的防护措施，或内部管理不善，均可能导致人脸信息数据泄露或被窃取的风险加大。

对此，如果人脸信息数据仅在处理主体本地存储，则需加强对员工和存储环境的管理；若数据需上传其它网络服务商的服务器，《网络安全法》对网络运营者的要求可供企业参考，以防止数据泄露或者被窃取、篡改：（1）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（2）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（3）采取监测、记录网络运行状态、网络安全事件的技术措施，并留存相关的网络日志；（4）采取数据分类、重要数据备份和加密等措施。

人脸识别技术准确率在近年来得到了极大提升，但在不同人群中其准确率仍存在差异，由此引发的问题是错误识别可能导致歧视、个人权利受侵害、支付安全、门禁系统安全等问题，还会引发因错误识别导致的救济问题。为进一步提高识别准确率，可以在研发过程中使采集使用的人脸图像样本尽可能覆盖不同性别、种族、民族、肤色、年龄等不同人群。在应用环节，则应当增加投诉和救济渠道，如在人脸识别设备无法识别特定人员时，应当允许相关人员提出异议。同时应当提供人脸识别技术的可替代方案措施，保障人脸识别技术失灵情况下的其他应用途径。

随着人脸识别技术的应用场景日益广泛，获取人脸信息也相对容易，我们每个人都在不知不觉中被采集了人脸信息，因此，信息泄露的风险也在加大。日常生活中，我们看到不仅有像银行、学校、APP等用人脸识别技术用于个人身份验证，也有像野生动物园、房地产公司、住宅小区等采用人脸识别技术[6]。这些现象引发了人们对人脸识别技术被滥用的担忧，也促使人们思考究竟谁可以部署人脸识别技术这一问题。

《个人信息保护法》草案中要求在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定,并设置显著的提示标识。该部法律草案中规定的“为维护公共安全必需”以及“设置显著的提示标识”两个要求将成为人脸识别等身份识别设备安装要求的必要条件。当然，对于这两个条件的具体含义有待法律进一步细化规定。另外，《民法典》第一百一十一条规定了“任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全。”。《消费者权益保护法》第二十九条也要求“经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失”。

因此，未来对于安装人脸识别设备的主体而言，首先需要考虑的是必要性，即是否满足维护公共安全必需这一前提。其次，在具体措施上还需要具备相应的技术条件和内部的信息数据管理制度以确保数据安全。如本文前述，人脸识别技术在应用场景中需要应用主体满足现行法律对个人信息处理的各项要求。因此，法律法规需要对上述各项要求所对应的软硬件条件进行细化规定，以使未来的内部管理和外部监管更具针对性。

通过本文上述分析，我们可以看到，人脸识别技术在大幅提高效率、给生活带来便利的同时，也会给我们带来诸多风险和担忧。而当前人脸识别技术的监管相对宽松，未来的实践中，在技术层面上，我们应当进一步完善人脸识别技术，提高识别准确率。在法律层面上，除了现行相关法律需要进一步明确细化之外，我们还须出台针对包括人脸信息在内的生物识别技术的更为详细的法规，明确对收集、使用、存储等处理该些生物识别信息的主体的责任和义务。技术是中立的，我们需要在保证人们个人信息安全的前提下，对其进行规范，以使技术更好地服务于整个社会的发展。