人脸识别技术的法律规制：价值、主体与抓手

    核心提示： 人脸识别作为人工智能的前沿科技，成为各国争夺的新兴技术战略高地。相伴而生的数据权利、信息安全及隐私保护等问题也受到广泛关注。从以社会为本位的价值取向、以机构为主体的权利设置和以流转为抓手等方面着手规制人脸识别技术，可平衡人脸识别技术发展与公众合法权利保障之间的关系，架构符合中国历史传统及社会发展现状的良性法律规制体系。

    【摘要】人脸识别作为人工智能的前沿科技，成为各国争夺的新兴技术战略高地。相伴而生的数据权利、信息安全及隐私保护等问题也受到广泛关注。从以社会为本位的价值取向、以机构为主体的权利设置和以流转为抓手等方面着手规制人脸识别技术，可平衡人脸识别技术发展与公众合法权利保障之间的关系，架构符合中国历史传统及社会发展现状的良性法律规制体系。

    【关键词】人脸识别 人工智能 数据 法律规制 【中图分类号】D913 【文献标识码】A

    人脸识别，以个人面部生物特征数字信息为基本单元，集聚了物联网、大数据和人工智能等新兴数字科学领域的最新成就，被视为全球高新技术产业赛道中的战略至高点。我国自2002年党的十六大会场试用人脸识别以来，出台了系列积极的产业政策，催生了大批优秀的产学研机构，这为我国在“第四次工业革命”浪潮中实现弯道超车奠定了良好基础。然而，当前人脸识别技术的应用和发展存在着数据权利、信息安全、隐私保护等亟须破解的问题。对此，建议从本位价值取向、核心权利主体及主要治理环节三个维度出发，设计出符合我国国情的法律规制政策。

    以社会为本位的价值取向

    以个人为本位还是以社会为本位，是法律规制的内在价值标准，其取向或选择决定了法律在促进人脸识别技术发展，与保障公民权利之间的必须明确的平衡支撑点。

    作为信息领域的领跑者，欧美对于人脸信息等个人数据保护的出发点和归宿都是个人的独立自主或自治。我国以《信息安全法》为代表的诸多规范性文件，汲取了欧美法律中的“告知-同意”规则，即规定获取人脸数据等敏感信息需要明确告知且得到被采集对象的明示同意。但是在具体操作过程中，终端用户要么处于“不同意即无服务”的状态，要么处于根本无从知晓就已经被采集的状态。事实上，不仅没有取得法律保护个人信息安全的预期效果，反而助长了相关企业过度采集、随意采集的不良风气。因此，应以社会为本位构建人脸识别技术法律规制体系。

    首先，中国社会历来推崇集体观念。习近平新时代中国特色社会主义思想在扬弃中国传统文化和全球发展先进理念的基础上，坚持“以人民为中心”的理念，用以平衡国家、政府、社会组织和个人之间的关系，促进社会和谐发展。这种价值本位的选择下的制度自信，赢得了全世界的尊敬，因此，习近平新时代中国特色社会主义思想也应当是人脸识别技术发展过程中，平衡技术进步与公民权利保障的最深层次的内核，以及最高的指针。其次，中国的国情需要充分释放科技的力量，从制度上解绑束缚人脸识别技术的羁绊。处于社会主义初级阶段的基本国情决定了我国不能以抑制技术发展换取优先满足个人抽象权利。最后，在社会本位价值观的指导下限定个人应受保护的范围。具体到人脸识别技术法律规制而言，不能机械地将欧美以个人为本位的而设计的“个人数据权”或“信息隐私权”加以套用。中国应当把个人在人脸识别领域的受保护范围限定在“权益”，把“权利”开放给社会，形成对个人的弱保护与对科技发展的强保护之间的现实平衡。

    以机构为主体的权利设置

    将人脸识别的主要权利开放给社会，不仅可以纠正个人权利集中的弊病，而且能够充分激发以企业为主体的机构（本文暂不讨论军工与国防领域的相关问题）的潜能，同时自然找到法律规制的责任主体。

    以个体为人脸数据权利主体的规制逻辑存在严重缺陷。欧美国家的现实证明，在以个人为本位的价值取向指引下，法律将人脸识别技术所涉及的基本权利赋予到个体，从被采集面部信息的个人的“知情-同意权”开始，到“被遗忘权”结束，也就是说，个人行使权利往往沦为“法律上的不能”和“事实上的不能”。而以机构为代表的其他主体则处于权利传递链中的某个环节，构建了权利运行的闭环。因此，应将法律规制的权利基点放置于以企业为主体的机构。

    以企业为主体的机构享有权利，不仅是对人脸识别技术发展的促进，更是对资本乃至经济增长动力的保护。这一思路早在商务部2009年发布的《网上商业数据保护指导办法（征求意见稿）》第十条已经有所体现:“（数据统计分析）任何机构或个人可以对其合法取得的网上商业数据进行统计分析，并可将结果用于科研、商业等活动。统计分析人对经统计分析产生的数据享有合法权益。”

    如果把“合法权益”进一步明确为“合法权利”，并将权利赋予信息的采集者、聚合者、挖掘者、应用者等具体的社会机构，这样，人脸识别法律规制的路径更为明晰。

    机构作为人脸数据权利主体具有显著的优势。首先，以企业为主体的机构被赋予了权利，就获得了经济社会中的内在驱动力。他们自然就会想办法加强对于这些权利及其所属财富的保护，其形式及手段不需要政府推动就会远远超过法律或管理学者们能够想到的边界。其次，作为社会管理者，政府只须援引现有的法律制度并作适当的扩充以维系正常的竞争秩序。比如以合同法中的买卖或租赁关系来规范数据的市场交易行为；以最简单的盗窃罪或者变形方式来规范数据窃取行为；以知识产权中关于技术措施的保护及滥用防止规则来规范数据控制者阻碍数据流通的行为；等等。最后，权利同时一定对应着义务，人脸数据权利主体享有数据专有权，也必定要承担相应的责任：一是正当使用自己的数据权利，二是防止他人不当利用数据。原有的法律规制体系自然而然适用于这些主体，无须另起炉灶。

    以流转为抓手的治理重点

    如果将人脸数据的权利从个体身上剥离（特别是取消现有法律框架下的数据采集同意权），怎样才能保障自然人的人脸信息不因被无节制地利用而受到严重的权利侵害？研究显示，人脸信息主要在数据流动与应用中受到侵害。因此，应加强对人脸识别技术信息流通环节的治理。

    界定人脸数据流转环节权利属性有助于采取针对性的法律规制。直接来源于人脸信息的数据为原始数据，可以由不同的主体采集，由于原始采集的信息被界定为源于公共领域，因此这些不同的主体均可以获得相应的权利。显然，人脸信息的权利主体只有将信息或信息处理的结果提供给社会才能取得实际的生产力，因此在流转环节落实相关权利，赋予相关主体直接的信息流转权利，是人脸识别技术法律规制的直接抓手，并且可以从根本上直接避免关于数据或数据库是否具有独创性的艰难判断。

    厘清人脸识别产业链上的数据流转环节的权利和义务，有助于具体法律规制的设计。在人脸识别产业链中，包括上游的人工智能芯片、核心算法和人脸数据采集，中游的人脸识别、数据库比对解决方案以及下游的安防、金融、交通、零售等场景应用等，这是法律义务设定中可以参考的具体节点。比如：原始数据的取得阶段需要遵循知情权的规范；数据转让或转移要有清晰明确的去向及约束条款；再生数据的获得应当有合法来源；等等。同样，法律责任的设定，也是依据人脸数据生成之后的各个主体在保管、整理、挖掘、交易、屏蔽或删除、输出等之间的流转关系，逐一进行界定。对于其中的非法获取或转移数据的行为，设定相应的民事、行政和刑事责任。

    当然，以下几个重点领域仍然需要作进一步的研究与完善：人脸信息采集、保存与流转的强制披露；人脸数据的合理使用与强制许可；专业公司的准入资质与审核；人脸识别产品的强制认证及标准；类似机动车的产品责任强制保险；人脸数据来源合法性的举证责任；对不正当竞争行为的界定与打击；反垄断；等等。

    （作者为杭州电子科技大学法学院副教授）

    【注：本文系中国法学会部级法学研究课题（项目编号：CLS（2016）D102）成果】

    【参考文献】

    ①高富平：《个人信息保护：从个人控制到社会控制》，《网络信息法学研究》，2018年第2期。

    ②方禹：《个人信息保护中的“用户同意”规则：问题与解决》，《网络信息法学研究》，2018年第1期。

    ③史宇航：《数据的法律属性与保护模式》，《网络信息法学研究》，2019年第1期。