作者：蔡雄山（騰訊研究院法律研究中心副主任）；作者：袁俊（騰訊研究院助理研究員）

當前，人臉識別已經(jīng)應用到地鐵安檢、動車檢票、移動支付等多個日常生活領域，人臉生物信息利用日益普及的同時也存在濫用風險。例如，網(wǎng)絡中大量存在的針對電商平臺、特定設備的“過臉”技術解答與技術教程，不斷地鉆技術漏洞濫用人臉信息；人臉識別企業(yè)也發(fā)生過相關數(shù)據(jù)泄露事件，超過250萬人的核心數(shù)據(jù)被獲取，容易滋生數(shù)據(jù)黑灰產交易，進一步擴大安全風險。

人臉識別作為新興生物信息技術，尚無專門立法規(guī)定，也尚未建立嚴格的準入制度與監(jiān)管制度。面對面部信息的收集主體多、安全保障弱的現(xiàn)狀，監(jiān)管有待于進一步探索如何建立分級應對精細化管理機制。

人臉識別等類似大規(guī)模隱私技術切身涉及公民基本權利，需要引入“正當程序”。在公共政策的出臺過程中，要廣泛進行話題辯論，鼓勵公眾討論，甚至在爭議較大的核心問題上聽取公眾意見，充分保障民眾在公共話題上的參與權與知情權。

美國的人臉識別監(jiān)管法案

美國在聯(lián)邦層面沒有統(tǒng)一的法律規(guī)制人臉識別數(shù)據(jù)的收集和使用，而是各州針對生物特征信息單獨立法，其中美國伊利諾伊州與加利福尼亞州頒布的《生物信息隱私法案》最為典型。

伊利諾伊州于2008年頒布了《生物信息隱私法案》，是美國國內第一部旨在規(guī)范生物標識符以及信息的收集、使用、處理、存儲、保存和銷毀的法律。加利福尼亞州于2017年頒布了《加州生物信息隱私法案》。綜合這兩部法案，其對規(guī)制人臉識別體現(xiàn)如下特點：一是明確人臉識別數(shù)據(jù)屬于生物信息。《加州生物信息隱私法案》首先以概括式+列舉式的立法技術對“生物信息”內涵予以細化。其規(guī)定任何能夠捕獲的直接或間接源自視網(wǎng)膜或虹膜掃描、指紋、聲紋、手或臉掃描的信息都屬于生物信息，但不包括文身或身體描述（例如身高，體重，頭發(fā)的顏色或眼睛的顏色）。二是確立知情同意原則。法案要求初次收集面部數(shù)據(jù)需要符合“知情同意原則”，告知生物信息收集的情形、收集目的、信息留存時間，并獲得書面同意。同時在未經(jīng)當事人同意或者非法律規(guī)定的例外情形時，不得將面部識別數(shù)據(jù)出售于第三方。三是施加企業(yè)法定期限刪除義務。企業(yè)需在書面政策中設立生物識別數(shù)據(jù)保留時間表。當面部收集數(shù)據(jù)的目的已達或距信息主體與企業(yè)最后一次聯(lián)絡已滿三年時，應該銷毀相關數(shù)據(jù)。四是確立企業(yè)審計制度，需要對技術使用相關情況提供報告。

在州法制定之外，美國個別城市也嘗試采取禁令方式禁止政府使用人臉識別技術。舊金山市于2019年5月通過了《停止秘密監(jiān)視條例》，成為美國第一個禁止政府使用人臉識別系統(tǒng)的城市。除了由聯(lián)邦政府控制的機場與港口外，禁止全市53個政府部門包括警察局在內隨意使用人臉識別技術。如果正在使用該技術的，必須向市議會暨郡監(jiān)督理事會匯報過去的使用情況；而個別有特殊需要、將來準備使用該技術的部門，包括購買該技術所需器材、研究經(jīng)費等，均必須向議會暨理事會提交詳細報告，說明使用目的、場所、范圍，并召開公眾聽證會。此外，條例也規(guī)定了在急需監(jiān)視技術應對迫在眉睫的死亡危險或嚴重人身損害時可以使用的若干情形。例如使用時間要控制在事態(tài)發(fā)生后的7天內或事件結束后（以較早時間為準）；原則上只保留與緊急事件相關的面部數(shù)據(jù)，銷毀無關數(shù)據(jù)，不得泄露給第三方；在緊急情況發(fā)生后的45天內，向監(jiān)事會提交書面報告等內容。

薩默維爾市與奧克蘭市也于今年6、7月分別通過了《人臉識別全面禁止條例》與修正后的《監(jiān)視及社區(qū)安全法案》，對政府使用人臉識別技術進行了規(guī)制。

架構合理前沿技術治理體系的國際趨勢

面對面部識別可能侵犯公民隱私的現(xiàn)狀，歐盟先是2019年6月份成立了人工智能高級別專家組（HLEG），考慮面部識別需要何種方式的監(jiān)管。專家組此后發(fā)布報告，提議歐洲應該禁止AI進行大規(guī)模監(jiān)視和社會信用評分。報告寫道，政府應承諾只部署和采購值得信賴的人工智能系統(tǒng)，其設計宗旨是尊重法律和基本權利，符合倫理原則，保障技術對全社會的向善品質。

在專家組不斷評估的同時，立法也不斷跟進。今年8月22日，歐盟委員會擬通過新立法以全面改革面部識別法規(guī)，限制公司和公共機構不加選擇地使用面部識別技術，以保護公民免受公開監(jiān)視，甚至為人工智能面部識別設定國際通行的清晰、可預測的標準。

技術進步的大勢不可逆轉，但是如何趨利避害，在用好新技術的同時防范內險的方法卻值得深思。

首先，應完善人臉識別相關立法，尤其對于公共場合大規(guī)模應用需要有章可循。對于公共場合大規(guī)模應用，應明確人臉識別信息收集的范圍需與提供服務直接相關的必要性，信息使用應將對隱私的不利影響控制在最小范圍和限度內，必要場景考慮設立“黑名單”制度。

其次，以倫理準則為起點，建立一套人工智能治理體系，確保科技向善。企業(yè)應發(fā)揮倫理準則和行業(yè)自律等軟法性質的非強制性規(guī)則，積極設立人工智能倫理委員會，對人工智能相關爭議問題進行倫理審查，確保科技向善。

再次，政府公共部門應嚴格遵守正當程序，廣泛聽取民意。公共機構若要大規(guī)模采用人臉識別技術應當遵守嚴格的程序限制，履行嚴格的審批。