□ 吳豐

人臉識(shí)別技術(shù)屬于生物識(shí)別技術(shù)的一種。隨著人工智能、大數(shù)據(jù)技術(shù)的發(fā)展，人臉識(shí)別技術(shù)開始在商業(yè)領(lǐng)域以及社會(huì)生活中得到廣泛應(yīng)用。例如，支付、旅游、交通、銀行等行業(yè)的經(jīng)營(yíng)者和一些網(wǎng)絡(luò)服務(wù)提供者往往采用人臉識(shí)別的方式進(jìn)行身份識(shí)別或要求用戶注冊(cè)進(jìn)行人臉識(shí)別認(rèn)證等。新冠肺炎疫情發(fā)生以來，人臉識(shí)別技術(shù)在疫情防控等社會(huì)管理方面也得到應(yīng)用。例如，全國(guó)各地在健康碼中普遍采用人臉識(shí)別方式進(jìn)行身份識(shí)別并采取相應(yīng)的防控措施。

人臉識(shí)別技術(shù)的應(yīng)用在精準(zhǔn)確定用戶身份、提高效率節(jié)約成本、公共場(chǎng)所安全保障、社會(huì)管理精細(xì)化等方面確實(shí)有其積極的作用，這是技術(shù)進(jìn)步帶來的便利。技術(shù)是中立的，但技術(shù)的應(yīng)用是否需要管控以及管控的程度，取決于社會(huì)對(duì)某種技術(shù)應(yīng)用的安全的風(fēng)險(xiǎn)以及控制能力的判斷上。與其他個(gè)人信息比較，人的生物信息具有唯一性和終身不變性，人臉識(shí)別等通過生物識(shí)別技術(shù)收集的信息一旦被泄露，受害人便無法通過更改信息加以防控和補(bǔ)救，因而具有不可逆性，而人臉識(shí)別與指紋識(shí)別、虹膜識(shí)別、脈搏識(shí)別等其他生物識(shí)別技術(shù)相比，通過非接觸性、遠(yuǎn)程、不自覺收集的方式就可以實(shí)現(xiàn)，應(yīng)用更加廣泛、直觀，收集成本和難度較低，信息和隱私被侵害的風(fēng)險(xiǎn)遠(yuǎn)遠(yuǎn)大于其他類型的個(gè)人信息，而人臉信息一旦被泄露，對(duì)受害人造成的侵害或危險(xiǎn)將是長(zhǎng)期的、全面的、不可消除的。因此，相對(duì)于特定身份、行程軌跡、金融賬戶等敏感信息，人臉識(shí)別信息應(yīng)當(dāng)更加嚴(yán)格保護(hù)，對(duì)于人臉識(shí)別技術(shù)的應(yīng)用，應(yīng)當(dāng)在個(gè)人信息保護(hù)法的基礎(chǔ)上，進(jìn)一步增強(qiáng)安全保護(hù)嚴(yán)格性，細(xì)化完善相關(guān)制度和機(jī)制，以最大可能地保護(hù)個(gè)人信息、隱私以及人身安全。

首先，應(yīng)當(dāng)明確人臉識(shí)別信息處理充分必要性的標(biāo)準(zhǔn)。由于互聯(lián)網(wǎng)技術(shù)的普遍應(yīng)用和網(wǎng)絡(luò)平臺(tái)經(jīng)濟(jì)雙邊市場(chǎng)的特性，用戶選擇經(jīng)營(yíng)者的余地有限，用戶同意原則在實(shí)踐中往往流于形式，難以單靠告知同意手段解決。因此，除了用戶同意以外，對(duì)于人臉識(shí)別技術(shù)的應(yīng)用，通過強(qiáng)制性規(guī)定的形式，明確應(yīng)用的具體范圍和條件，對(duì)人臉識(shí)別技術(shù)的應(yīng)用領(lǐng)域加以限制，細(xì)化判斷人臉識(shí)別信息處理具有充分必要性的標(biāo)準(zhǔn)。筆者認(rèn)為，充分必要性應(yīng)分為必要性和充分性兩個(gè)層面。必要性應(yīng)同時(shí)具備個(gè)人信息處理目的的正當(dāng)性和人臉識(shí)別技術(shù)應(yīng)用的必須性兩個(gè)要件。人臉識(shí)別技術(shù)應(yīng)用的必須性應(yīng)以“非此不能”為標(biāo)準(zhǔn)，即如果不采取人臉識(shí)別技術(shù)，將難以實(shí)現(xiàn)信息處理目的或極大地增加識(shí)別成本。具體而言，應(yīng)從身份識(shí)別精確度、識(shí)別成本、識(shí)別效率等方面判斷。充分性應(yīng)以具備人臉識(shí)別信息的安全保護(hù)能力為標(biāo)準(zhǔn)。僅有必要性，不具備充分性，也不得收集使用人臉識(shí)別信息。為此，應(yīng)實(shí)行一定的市場(chǎng)準(zhǔn)入要求，對(duì)于不具備安全保護(hù)能力或風(fēng)險(xiǎn)難以控制的情形，禁止使用人臉信息識(shí)別技術(shù)。

其次，實(shí)行類型化安全保護(hù)制度。個(gè)人信息處理目的和適用范圍不同，應(yīng)按照類型化處理的原則對(duì)安全保護(hù)程度方面進(jìn)行區(qū)分。對(duì)于沒有明確授權(quán)同意期限但個(gè)人信息處理目的為完成特定事項(xiàng)或具有期限性的情形，在該目的實(shí)現(xiàn)后，不再具有人臉識(shí)別信息處理的必要性，應(yīng)當(dāng)確立個(gè)人信息處理者主動(dòng)刪除人臉識(shí)別信息的義務(wù)，防止因長(zhǎng)期存儲(chǔ)導(dǎo)致的次生損害。

最后，建立人臉信息識(shí)別和其他身份識(shí)別的用戶選擇機(jī)制。除了實(shí)現(xiàn)公益目的或個(gè)人信息處理技術(shù)上必須外，經(jīng)營(yíng)活動(dòng)中出于效率和成本的必要性使用人臉信息識(shí)別技術(shù)的，應(yīng)當(dāng)同時(shí)設(shè)置非人臉識(shí)別的身份信息驗(yàn)證渠道，允許用戶可選擇是否接受人臉識(shí)別方式。另外，在強(qiáng)化人臉識(shí)別信息安全義務(wù)的同時(shí)，應(yīng)完善侵犯人臉識(shí)別信息的刑法規(guī)制。目前，我國(guó)刑法制度中沒有專門針對(duì)實(shí)施人臉識(shí)別信息犯罪認(rèn)定標(biāo)準(zhǔn)的直接規(guī)定，涉及非法收集、泄露、利用人臉識(shí)別信息的犯罪通過其侵犯公民個(gè)人信息罪統(tǒng)一調(diào)整。但在針對(duì)侵犯人臉識(shí)別信息方面缺乏認(rèn)定是否構(gòu)成犯罪的具體標(biāo)準(zhǔn)。由于侵害人臉識(shí)別信息犯罪屬于新型犯罪領(lǐng)域且對(duì)用戶人身財(cái)產(chǎn)安全的影響持久，有必要通過相關(guān)司法解釋，把侵犯人臉識(shí)別信息明確列入侵犯公民個(gè)人信息犯罪的主要類型，并明確相應(yīng)的定罪量刑標(biāo)準(zhǔn)，以加強(qiáng)人臉識(shí)別信息的刑法保護(hù)。（中南財(cái)經(jīng)政法大學(xué)）