公共场所人脸识别不得用于分析职业、消费能力等目的

　　 小区“门禁”刷脸是否安全？人脸识别信息是否被过度收集？人脸信息应如何避免用在其他地方？

　　 在12月17日的南都2021啄木鸟数据治理论坛上，专家针对“人脸识别”分享自己的观点和看法。

　　关于人脸识别

　　劳东燕 清华大学法学教授、博士生导师　人脸识别需单独立法 应将规制重心转向数据处理者

　　从风险预防能力与风险预防效果来看，也应该将“鞭子”打到数据处理者身上。相应地，立法对人脸信息技术的规制重心，应当从知情同意机制转向数据处理者的合规义务体系。

　　会上，清华大学法学教授、博士生导师劳东燕在人工智能伦理分论坛上提出了对于人脸识别立法规制的观点。

　　去年，劳东燕曾因一次维权经历引发关注。当时她拒绝小区强制刷脸的要求，并通过发律师函、向街道工作人员列举人脸识别的种种风险等方式维权，后来小区的门禁改造工作没再继续。这段经历引发了很多人的共鸣。

保护个人信息具有重大社会意义

　　会上，劳东燕强调立法规制人脸识别的重要性，并对个人隐私及信息安全之争提出了自己的观点：在人脸识别议题上，人们常常将隐私与安全对立起来，认为需要让渡部分隐私以交换安全。这样的认知是有问题的，个人信息的话题涉及的并非是隐私和安全之间的冲突。

　　公共安全中的公共是由众多的个体所组成，众多个人信息的泄露与滥用，会严重危及公众的财产安全与人身安全。如果人脸识别技术在缺少法治监管的基础上广泛推广，最终的结果很可能是，公众在牺牲隐私的同时也没有获得安全。对个人信息的保护，具有超越个体权益保障的重大社会意义。

人脸识别大面积不当使用

会导致社会性风险

　　劳东燕强调，网络时代，匿名性是作为私人领域与公共领域的分界线而存在。也因此，对个体匿名性的保护具有重大的社会意义，它使得个体有可能保留必要的私人领域，也有助于社会保持活力，推动创新发展的出现。这也是为什么目前法律上对个人信息的认定，采用的是可识别性的标准，即是否可以单独或结合其他信息识别到特定的自然人，而没有采取私密性的标准。

　　这意味着，“保护个人信息的意义，不只是对个体而言，也是社会层面的重要秩序安排，因为它直接关涉公共领域与私人领域的界分。”谈及个人信息保护中的利益衡量时，她认为，大面积滥用人脸识别技术，会带来巨大的社会性风险，如果过度追求产业的利益而不顾社会发展的走向，将会因小失大，“相当于捡了芝麻而丢了西瓜。”

应该把“鞭子”打到数据处理者身上

　　劳东燕认为，个保法有关敏感信息的规定难以有效保护个人生物识别信息的安全，对于这类高度敏感的信息，有进行专项立法的必要性，并采取以公法保护为主的方式。在专项立法的规定中，需要明确数据处理者才应当是个人信息保护责任的主要承担者。

　　“在数据处理过程中，究竟是谁制造了相应的风险？”劳东燕说，“同时，谁是其中最大的获益方？肯定不可能是个人，而是作为数据处理者的科技企业与监管部门。”

　　因此，她认为从风险预防能力与风险预防效果来看，也应该将“鞭子”打到数据处理者身上。相应地，立法对人脸信息技术的规制重心，应当从知情同意机制转向数据处理者的合规义务体系。

　　石佳友 中国人民大学法学院教授、民商事法律科学研究中心执行主任　人脸识别全球立法争议激烈 中国不宜一刀切

　　用户愿意在社交媒体公开照片并不等于愿意被他人收集用于人脸识别，这种识别的用途往往对用户不利，甚至有可能被用于从事违法犯罪行为。

　　中国人民大学法学院教授、民商事法律科学研究中心执行主任石佳友发表主旨演讲，探讨人脸识别治理的国际经验和中国模式。

全球立法存在分歧与争议

　　石佳友介绍，近年来，在全世界范围内，关于人脸识别立法的争议极其激烈。究其原因，首先，人脸识别算法的品质有很大差异，过度依赖人脸识别技术容易导致对特定族群的歧视，形成“种族偏见”。

　　例如在美国，如果用人脸识别技术探测犯罪嫌疑人，黑人被识别成犯罪嫌疑人的概率远远高于白人，这就属于种族偏见。其次，所拍摄照片的质量对于匹配的精度有显著影响。如照片本身的光线、角度较差，距离较远，拍摄质量差，像素低等等，这些都可能导致错误识别或者无法识别。第三，系统的某些设置也可能导致识别错误发生。如果置信度阈值的设置较低，可以相对容易地触发比对，但比对结果的准确率较低。第四，人脸识别技术的应用对个人的隐私和自由可能构成严重威胁。

中国立法模式：不宜一刀切禁止

　　国内人脸识别治理的模式是怎样的？在石佳友看来，对人脸识别不宜采取一刀切式的完全禁止。

　　但他强调，立法规制是必要的。今年7月，最高人民法院发布了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》，这是中国迄今专门规定人脸识别问题的唯一法律文件，具有里程碑意义；8月，《中华人民共和国个人信息保护法》由立法机关通过，在法律层面对人脸识别应用进行了规制。

公开照片不等于愿意被用于人脸识别

　　个人信息保护法第28条第二款规定，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。人脸信息作为敏感信息，对其处理必须征得个人的单独同意，经营者不得在消费者不知情的情况下擅自采集其人脸信息并进行身份识别；在公共场所设置的人脸识别监控设备只能用于维护公共安全，而不得用于分析个人的职业、消费能力、消费频率及习惯等其他无关目的。针对“刷脸”门禁的现象，必须赋予受影响的个人以选择权，有权选择以人脸识别之外的其他方式验证识别身份。

　　个人信息保护法第27条规定，个人信息处理者处理已公开的个人信息，对个人权益有重大影响的，应当依照本法规定取得个人同意。“用户愿意在社交媒体公开照片并不等于愿意被他人收集用于人脸识别，这种识别的用途往往对用户不利，甚至有可能被用于从事违法犯罪行为，这显然违反了用户公开照片信息的目的。”　　

出品：南都人工智能伦理课题组 采写：南都记者 李娅宁 见习记者 胡耕硕