石佳友：人臉識别全球立法争議激烈，國内不宜完全照搬歐美

2021年，人臉識别落地繼續推進的同時，亂象也在發生，立法監管已經到來。立法為何必要？全球立法實踐如何？有哪些争議與難點？

12月17日，由南都個人資訊保護研究中心主辦的“2021啄木鳥資料治理論壇”在北京舉行。在會上，中國人民大學法學院教授、民商事法律科學研究中心執行主任石佳友發表了主旨演講，探讨人臉識别治理的國際經驗和中國模式。

1

全球立法實踐豐富，存在分歧與争議

石佳友介紹，近年來，在全世界範圍内，關于人臉識别立法的争議極其激烈。究其原因，首先，人臉識别算法的品質有很大差異，過度依賴人臉識别技術容易導緻對特定族群的歧視，形成“種族偏見”。例如在美國，如果用人臉識别技術探測犯罪嫌疑人，黑人被識别成犯罪嫌疑人的機率遠遠高于白人，這就屬于種族偏見。其次，所拍攝照片的品質對于比對的精度有顯著影響。如照片本身的光線、角度較差，距離較遠，拍攝品質差，像素低等等，這些都可能導緻錯誤識别或者無法識别。第三，系統的某些設定也可能導緻識别錯誤發生。如果置信度門檻值的設定較低，可以相對容易地觸發比對，但比對結果的準确率較低。第四，人臉識别技術的應用對個人的隐私和自由可能構成嚴重威脅。

他介紹了引發全世界高度關注的Clearview AI公司通過抓取社交媒體公開照片建立30億人臉資料庫的案例。事件曝光後，Clearview AI在美國多個州遭遇了訴訟。Google和Twitter也明确向Clearview發出了停止通路函，禁止其從它們網站上收集人臉照片。而其他一些國家（如瑞典）的執法機構也發生了由于購買Clearview AI的人臉識别服務而遭到本國的資料保護機構處罰的事例。

人臉識别立法在全球已經有豐富實踐。石佳友介紹，在美國，率先就人臉識别問題作出法律規定的是一些州的城市。舊金山、薩默維爾、奧克蘭、波士頓、伊斯特漢普頓、斯普林菲爾德等城市陸續立法禁止政府使用人臉識别技術。而波特蘭、紐約等城市則立法禁止針對公衆開放的餐廳、零售店等商業機構使用人臉識别技術。随後，州的層面，美國一些州對于生物識别資訊作出了法律規定，例如德州、伊利諾伊和華盛頓州出台法律要求企業收集和使用生物識别資訊必須盡到事先告知和知情同意義務。

在歐洲，歐盟委員會2021年4月所送出的“人工智能條例”草案将執法機構在公共場所所使用的實時生物識别系統定性為“不可接受的風險”，除非基于某些明确限定的目的。石佳友分析，該法案中的例外情形都是為實作重大的公共利益所必須，所保護利益的重要性超過其風險，包括查找潛在的犯罪受害人包括失蹤兒童，對自然人的生命和身體安全的某些威脅或者恐怖主義攻擊，偵測、定位、識别或檢控犯罪嫌疑人。

在石佳友看來，歐洲不同國家的立法出現了分歧和争議。2021年6月，英國資訊專員辦公室釋出了新的“實踐指南”， 認為可以允許公共機構和企業在公共場所使用遠端生物識别技術，但認為應設定較高的準入門檻。而法國資料保護監管機構CNIL認為，就人臉識别而言，除涉及個人資訊保護外，還牽涉對個人自由的可能侵害，譬如個人匿名往返的自由。CNIL曾拒絕同意尼斯和馬賽的兩所中學在其入口處安裝人臉識别裝置。2021年12月，意大利國會通過了禁止人臉識别技術視訊監控的禁令（moratorium），禁令禁止私立機構在公共場所使用此種裝置；禁令暫定至2023年12月31日截止。

2

中國立法模式：不宜一刀切禁止

國内人臉識别治理的模式是怎樣的？在石佳友看來，鑒于中國的經濟與社會發展的實際情況，不能照搬歐洲或者美國的方法，對人臉識别不宜采取一刀切式的完全禁止。

但他強調，立法規制是必要的。今年7月，最高人民法院釋出了《關于審理使用人臉識别技術處理個人資訊相關民事案件适用法律若幹問題的規定》，這是中國迄今專門規定人臉識别問題的唯一法律檔案，具有裡程碑意義；8月，《中華人民共和國個人資訊保護法》由立法機關通過，在法律層面對人臉識别應用進行了規制。個人資訊保護法第28條第二款規定，隻有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人資訊處理者方可處理敏感個人資訊。根據《個人資訊保護法》的相關規定，人臉資訊作為敏感資訊，對其處理必須征得個人的單獨同意，經營者不得在消費者不知情的情況下擅自采集其人臉資訊并進行身份識别；在公共場所設定的人臉識别監控裝置隻能用于維護公共安全，而不得用于分析個人的職業、消費能力、消費頻率及習慣等其他無關目的。針對“刷臉”門禁的現象，必須賦予受影響的個人以選擇權，有權選擇以人臉識别之外的其他方式驗證識别身份。

另外，個人資訊保護法第27條規定，個人資訊處理者處理已公開的個人資訊，對個人權益有重大影響的，應當依照本法規定取得個人同意。石佳友認為，這條規定對于防止Clearview AI類似案件的發生非常重要。“使用者願意在社交媒體公開照片并不等于願意被他人收集用于人臉識别，這種識别的用途往往對使用者不利，甚至有可能被用于從事違法犯罪行為，這顯然違反了使用者公開照片資訊的目的。”他說。

他還特别強調了對未成年人人臉資訊的保護。他認為，無論是線上還是線下應用，原則上應禁止對不滿十四周歲的未成年人進行人臉識别；如果基于公共安全（如校園安全）等原因确需安裝人臉識别裝置，其識别的對象應該是進出校園的成年人，而不應該是未成年人。

出品：南都人工智能倫理課題組

采寫：南都記者李娅甯