【摘要】人臉識別作為人工智能的前沿科技，成為各國爭奪的新興技術戰略高地。相伴而生的數據權利、信息安全及隱私保護等問題也受到廣泛關注。從以社會為本位的價值取向、以機構為主體的權利設置和以流轉為抓手等方面著手規制人臉識別技術，可平衡人臉識別技術發展與公眾合法權利保障之間的關系，架構符合中國歷史傳統及社會發展現狀的良性法律規制體系。

【關鍵詞】人臉識別 人工智能 數據 法律規制 【中圖分類號】D913 【文獻標識碼】A

人臉識別，以個人面部生物特征數字信息為基本單元，集聚了物聯網、大數據和人工智能等新興數字科學領域的最新成就，被視為全球高新技術產業賽道中的戰略至高點。我國自2002年黨的十六大會場試用人臉識別以來，出臺了系列積極的產業政策，催生了大批優秀的產學研機構，這為我國在“第四次工業革命”浪潮中實現彎道超車奠定了良好基礎。然而，當前人臉識別技術的應用和發展存在著數據權利、信息安全、隱私保護等亟須破解的問題。對此，建議從本位價值取向、核心權利主體及主要治理環節三個維度出發，設計出符合我國國情的法律規制政策。

以社會為本位的價值取向

以個人為本位還是以社會為本位，是法律規制的內在價值標準，其取向或選擇決定了法律在促進人臉識別技術發展，與保障公民權利之間的必須明確的平衡支撐點。

作為信息領域的領跑者，歐美對于人臉信息等個人數據保護的出發點和歸宿都是個人的獨立自主或自治。我國以《信息安全法》為代表的諸多規范性文件，汲取了歐美法律中的“告知-同意”規則，即規定獲取人臉數據等敏感信息需要明確告知且得到被采集對象的明示同意。但是在具體操作過程中，終端用戶要么處于“不同意即無服務”的狀態，要么處于根本無從知曉就已經被采集的狀態。事實上，不僅沒有取得法律保護個人信息安全的預期效果，反而助長了相關企業過度采集、隨意采集的不良風氣。因此，應以社會為本位構建人臉識別技術法律規制體系。

首先，中國社會歷來推崇集體觀念。習近平新時代中國特色社會主義思想在揚棄中國傳統文化和全球發展先進理念的基礎上，堅持“以人民為中心”的理念，用以平衡國家、政府、社會組織和個人之間的關系，促進社會和諧發展。這種價值本位的選擇下的制度自信，贏得了全世界的尊敬，因此，習近平新時代中國特色社會主義思想也應當是人臉識別技術發展過程中，平衡技術進步與公民權利保障的最深層次的內核，以及最高的指針。其次，中國的國情需要充分釋放科技的力量，從制度上解綁束縛人臉識別技術的羈絆。處于社會主義初級階段的基本國情決定了我國不能以抑制技術發展換取優先滿足個人抽象權利。最后，在社會本位價值觀的指導下限定個人應受保護的范圍。具體到人臉識別技術法律規制而言，不能機械地將歐美以個人為本位的而設計的“個人數據權”或“信息隱私權”加以套用。中國應當把個人在人臉識別領域的受保護范圍限定在“權益”，把“權利”開放給社會，形成對個人的弱保護與對科技發展的強保護之間的現實平衡。

以機構為主體的權利設置

將人臉識別的主要權利開放給社會，不僅可以糾正個人權利集中的弊病，而且能夠充分激發以企業為主體的機構（本文暫不討論軍工與國防領域的相關問題）的潛能，同時自然找到法律規制的責任主體。

以個體為人臉數據權利主體的規制邏輯存在嚴重缺陷。歐美國家的現實證明，在以個人為本位的價值取向指引下，法律將人臉識別技術所涉及的基本權利賦予到個體，從被采集面部信息的個人的“知情-同意權”開始，到“被遺忘權”結束，也就是說，個人行使權利往往淪為“法律上的不能”和“事實上的不能”。而以機構為代表的其他主體則處于權利傳遞鏈中的某個環節，構建了權利運行的閉環。因此，應將法律規制的權利基點放置于以企業為主體的機構。

以企業為主體的機構享有權利，不僅是對人臉識別技術發展的促進，更是對資本乃至經濟增長動力的保護。這一思路早在商務部2009年發布的《網上商業數據保護指導辦法（征求意見稿）》第十條已經有所體現:“（數據統計分析）任何機構或個人可以對其合法取得的網上商業數據進行統計分析，并可將結果用于科研、商業等活動。統計分析人對經統計分析產生的數據享有合法權益。”

如果把“合法權益”進一步明確為“合法權利”，并將權利賦予信息的采集者、聚合者、挖掘者、應用者等具體的社會機構，這樣，人臉識別法律規制的路徑更為明晰。

機構作為人臉數據權利主體具有顯著的優勢。首先，以企業為主體的機構被賦予了權利，就獲得了經濟社會中的內在驅動力。他們自然就會想辦法加強對于這些權利及其所屬財富的保護，其形式及手段不需要政府推動就會遠遠超過法律或管理學者們能夠想到的邊界。其次，作為社會管理者，政府只須援引現有的法律制度并作適當的擴充以維系正常的競爭秩序。比如以合同法中的買賣或租賃關系來規范數據的市場交易行為；以最簡單的盜竊罪或者變形方式來規范數據竊取行為；以知識產權中關于技術措施的保護及濫用防止規則來規范數據控制者阻礙數據流通的行為；等等。最后，權利同時一定對應著義務，人臉數據權利主體享有數據專有權，也必定要承擔相應的責任：一是正當使用自己的數據權利，二是防止他人不當利用數據。原有的法律規制體系自然而然適用于這些主體，無須另起爐灶。

以流轉為抓手的治理重點

如果將人臉數據的權利從個體身上剝離（特別是取消現有法律框架下的數據采集同意權），怎樣才能保障自然人的人臉信息不因被無節制地利用而受到嚴重的權利侵害？研究顯示，人臉信息主要在數據流動與應用中受到侵害。因此，應加強對人臉識別技術信息流通環節的治理。

界定人臉數據流轉環節權利屬性有助于采取針對性的法律規制。直接來源于人臉信息的數據為原始數據，可以由不同的主體采集，由于原始采集的信息被界定為源于公共領域，因此這些不同的主體均可以獲得相應的權利。顯然，人臉信息的權利主體只有將信息或信息處理的結果提供給社會才能取得實際的生產力，因此在流轉環節落實相關權利，賦予相關主體直接的信息流轉權利，是人臉識別技術法律規制的直接抓手，并且可以從根本上直接避免關于數據或數據庫是否具有獨創性的艱難判斷。

厘清人臉識別產業鏈上的數據流轉環節的權利和義務，有助于具體法律規制的設計。在人臉識別產業鏈中，包括上游的人工智能芯片、核心算法和人臉數據采集，中游的人臉識別、數據庫比對解決方案以及下游的安防、金融、交通、零售等場景應用等，這是法律義務設定中可以參考的具體節點。比如：原始數據的取得階段需要遵循知情權的規范；數據轉讓或轉移要有清晰明確的去向及約束條款；再生數據的獲得應當有合法來源；等等。同樣，法律責任的設定，也是依據人臉數據生成之后的各個主體在保管、整理、挖掘、交易、屏蔽或刪除、輸出等之間的流轉關系，逐一進行界定。對于其中的非法獲取或轉移數據的行為，設定相應的民事、行政和刑事責任。

當然，以下幾個重點領域仍然需要作進一步的研究與完善：人臉信息采集、保存與流轉的強制披露；人臉數據的合理使用與強制許可；專業公司的準入資質與審核；人臉識別產品的強制認證及標準；類似機動車的產品責任強制保險；人臉數據來源合法性的舉證責任；對不正當競爭行為的界定與打擊；反壟斷；等等。

（作者為杭州電子科技大學法學院副教授）

【注：本文系中國法學會部級法學研究課題（項目編號：CLS（2016）D102）成果】

【參考文獻】

①高富平：《個人信息保護：從個人控制到社會控制》，《網絡信息法學研究》，2018年第2期。

②方禹：《個人信息保護中的“用戶同意”規則：問題與解決》，《網絡信息法學研究》，2018年第1期。

③史宇航：《數據的法律屬性與保護模式》，《網絡信息法學研究》，2019年第1期。

責編/陳楠 美編/王夢雅