人臉識别資訊保護亟待專門立法

作者： 楊華 上海政法學院人工智能法學院教授

　　習近平總書記指出，“國家網絡安全工作要堅持網絡安全為人民、網絡安全靠人民，保障個人資訊安全，維護公民在網絡空間的合法權益”“要加強人工智能發展的潛在風險研判和防範，維護人民利益和國家安全，確定人工智能安全、可靠、可控”。由于人臉識别資訊作為敏感資料保護的複雜性、人臉識别技術與法律的融合性、人臉識别技術應用的具體标準尚未完備，人臉識别技術應用的邊界、如何避免人臉識别技術濫用、人臉識别資訊受到侵害後如何救濟，等等，亟待通過專門立法予以明确。

　　人臉識别資訊保護法律規制的現狀及其存在的問題

　　（一）對“人臉識别資訊”缺乏明确的法律界定

　　什麼是“人臉識别資訊”，目前法律并沒有統一的規定。從語義上講，人臉識别資訊，屬于人臉資訊的子類概念，但其具體的法律概念界定仍需要進一步明确。個人資訊保護法并沒有對“人臉識别資訊”給出明确的界定。大陸其他立法如民法典、資料安全法和網絡安全法對“人臉識别資訊”的法律界定更是缺乏。

　　（二）缺乏人臉識别資訊保護的專門規定

　　與人臉識别資訊保護密切相關的法律有個人資訊保護法、資料安全法和網絡安全法，三部法律通過對個人資訊或資料保護的法律規範，對人臉識别資訊保護起到了間接規範作用。此外，憲法、民法典、刑法、電子商務法、《全國人民代表大會常務委員會關于加強網絡資訊保護的決定》以及《關鍵資訊基礎設施安全保護條例》、電信條例、《征信業管理條例》等法律、行政法規，均無法直接适用于人臉識别資訊保護。

　　（三）司法解釋無法替代人臉識别資訊保護的立法和執法問題

　　郭兵訴杭州野生動物世界有限公司濫用人臉識别案，在一定程度上推動了2021年7月《最高人民法院關于審理使用人臉識别技術處理個人資訊相關民事案件适用法律若幹問題的規定》的出台。然而，司法解釋解決不了人臉識别資訊保護的立法問題和執法問題。一方面，全民守法的前提是“有法可依”。司法解釋正是在立法缺失的情況下，在審判領域确立人臉識别資訊保護糾紛解決依據的被動之舉。另一方面，人臉識别資訊保護的執法工作急劇增長，根據“依法行政”的執法原則，缺少人臉識别資訊保護的立法，必然會給執法工作帶來極大的不便。

　　（四）地方法規沒有實質性推動人臉識别立法

　　很多地方政府或人大制定了人臉識别的立法規定。例如，《上海市資料條例》《廣東省社會信用條例》《天津市社會信用條例》《深圳經濟特區資料條例》等，展現了人臉識别在全國很多地方正在走向法治化道路。然而，這些地方立法大都是參照現有國家立法所做的簡單重複，而且條文比較少，對人臉識别技術應用的過程規範性、對自然人人臉識别資訊的保護及其受到侵害後的損害救濟，均缺乏相應的規定。

　　完善人臉識别資訊保護的實體法律規範

　　（一）法律規範應注重人臉識别技術應用的利益平衡

　　人臉識别過程中，有多方利益需要平衡。一是國家因對人臉資訊資料的歸集、整理和分析，提高了國家治理體系和治理能力現代化水準，實作了國家數字經濟、技術經濟的快速發展。二是行使國家管理權的機構或部門可以在提高效率、節省人力、強化權威等方面受益。三是行使公共管理職能的企事業機關、基層自治組織既完成了國家授權的職能，也實作了自身利益需求。四是營利性的私營企業可以精準排查客戶、節省營運成本、提高營運效率，還可以對客戶的資訊資料進行加工、整理形成獨具特色的商業模式。五是公衆可以享受人臉支付、人臉乘車、人臉住宿等系列便利。在這五個方面的受益主體中，誰将享受到最大的利益？誰應當享受最大的利益？利益主體之間是否會存在此消彼長的關系？怎麼保障各利益主體之間的平衡？這是人臉識别法律規範制定過程中需要考慮的問題。

　　（二）确立人臉識别資訊保護的基本原則

　　屬于敏感個人資訊的人臉識别資訊相較于一般個人資訊而言，受到侵害時的後果更為嚴重，應受法律的特殊保護。大陸在制定人臉識别資訊保護規範時應當确立如下原則：一是使用人臉識别的合法、正當和必要原則。二是處理人臉識别資訊應當遵循誠實信用、公開透明原則。三是保障自然人的知情同意權和選擇權原則。四是嚴格人臉識别商業性技術應用标準原則。五是明确人臉識别資訊的最小化收集、利用和事後删除原則。六是确立鼓勵技術創新原則。

　　（三）厘定人臉識别資訊權益的保護範圍

　　人臉識别資訊權益的保護範圍至少包括如下幾個方面：一是民法典中規定的權利。具體包括與人臉識别資訊相關的人格權、肖像權、隐私權、人臉識别資訊産生的财産權、個人資訊權等。二是個人資訊保護法中規定的與人臉識别資訊保護有關的人格尊嚴與人身财産安全以及通信自由和通信秘密等利益，為實作個人資訊權益保護的同意權、知情權、查閱權、複制權、轉移權、更正權、補充權、删除權、請求解釋說明權等權利。

　　（四）明确人臉識别技術商業應用規則

　　由于商業應用的風險較大，大陸有必要為人臉識别技術商業應用的主體設定人臉識别的“告知-同意-限制使用-及時删除-損害賠償”規則。告知是指使用人臉識别技術收集人臉資訊時必須告知對方。同意是指在收集、使用、披露個人資訊之前也必須征得個人明示或默示的同意。限制使用是指使用人臉識别資訊必須有加密措施并獲得相應許可後方可使用。及時删除是指将不必要保留的人臉識别資訊按照法律規定的時間、方式和途徑予以删除。損害賠償是對于違反法律規定的人臉識别技術應用主體賠償受害人的标準和方式。

　　（五）規範公權力機構人臉識别技術應用

　　為了防止公權力的濫用，要适當規範政府或公共機構安裝使用人臉識别技術或裝置的行為。一是要減少政府或公共機構安裝、使用人臉識别裝置的随意性。二是政府部門擷取、儲存、通路、使用人臉識别技術擷取的資訊，要經過嚴格的許可程式。三是人臉資訊的主體有權向政府部門申請檢視自己的人臉資訊并有權要求政府部門或公共機構删除自己的人臉資訊。四是行使公共職能的機構要嚴格履行政府的授權或審批程式後方可使用人臉識别技術或裝置。

　　（六）明确人臉識别資訊保護的違法責任

　　首先，界定人臉識别資訊保護違法責任主體及法律責任。需要依法明确承擔人臉識别資訊保護違法責任的主體、方式和内容，明确違法責任的主觀狀态和客觀行為表現。其次，嚴厲打擊利用人臉識别技術的相關犯罪行為。由于違法犯罪分子使用資料的目的和手段不符合規定，應當施加嚴格責任。

　　（七）優化人臉識别資訊保護的程式性規範

　　對人臉資訊受侵權人的救濟，除了通過實體規則确立其相應權利之外，還要通過程式法的規定确立或優化其權利的實作路徑。優化人臉識别資訊保護的程式規則，可以通過确立人臉資訊侵權行為的舉證責任倒置規則、建立人臉資訊侵權行為的集團訴訟機制和完善司法救濟機制等方式實作自然人人臉識别資訊權益保護。

來源：法治日報