中國人民大學一級教授、中國法學會副會長、民法學會會長王利明

人臉識別技術正在不斷地改變我們的生活，現在已經被大規模地應用于安防、支付等重要場景中。但這項改變生活的技術，如今卻處于前所未有的爭議之中。針對人臉識別技術被濫用的原因、如何保護好個人隱私等問題，中國人民大學一級教授、中國法學會副會長、民法學會會長王利明表示，在平衡“利用與保護”關系時，人臉信息等敏感信息要更注重保護，其他非敏感信息則更多地強調“利用”。

以公共利益為限制標準，防范人臉識別被濫用

人臉信息是個人核心隱私，也是個人敏感信息。人臉信息不僅涉及個人肖像，還包括身體、健康、年齡、種族等信息，甚至可能包括個人的心理信息。

并且，人臉信息廣泛涉及個人其他私密信息。比如，有些銀行賬戶和人臉信息進行綁定、關聯。因此，一旦人臉信息被泄露，或被不法分子違法共享、轉讓，會造成嚴重后果。因此，對于人臉識別被濫用的現象，確實應該引起高度的關注。

人臉信息屬于敏感信息，必須權利人“明確同意”才能進行采集，如果權利人沒有明確同意，則必須要基于公共利益的需要才能收集。

現在人臉識別之所以被濫用，是因為有些使用已經明顯超出公共利益范疇。雖然公共利益的解釋可能會比較寬泛，但還是有特定內涵，比如為了公共安全、保護個人生命財產安全等，都屬于公共利益的范圍；而出于商業目的或盈利目的，則不屬于公共利益范圍。在“人臉識別第一案”中，動物園就屬于商業機構，其收集很難說是為了公共利益。

因此，未經權利人“明確同意”的采集，應該符合公共利益的需要。這可能是防范人臉識別技術被濫用最重要的規則。并非所有的機構都能夠進行人臉識別信息的收集。

人臉信息屬于個人敏感信息，要用戶明確同意

保護人臉信息，首先要認真遵守貫徹好《民法典》對人的信息保護的應用。《民法典》第1035條明確收集信息應當堅持合法、正當、必要原則，堅持最小化原則，能不收集盡量不收集，能少收集盡量少收集。這里自然也涉及人臉信息保護的規范問題。

同時，《民法典》第1038條也明確規定這些信息不得擅自轉讓、共享；在共享時要再次取得權利人的同意，除非已進行匿名化處理。但即便如此，相關方也要負起安全維護職責。

此外，對于人臉信息的保護，僅僅依靠《民法典》還不夠，還要通過正在制定的《個人信息保護法》來加強保護，特別是以下幾方面，要格外關注。

首先是個人敏感信息的概念。《民法典》沒有提到個人敏感信息的概念，是因為《民法典》只是規定了一般信息的保護規則，不可能規定得非常詳盡，需要在《個人信息保護法》中作出規定。

其次是“同意”的方式。一般信息的收集處理規則，《民法典》中用的是“同意”。這可以采取默示同意方式，也可以采取明示同意方式。但人臉信息有別于一般信息，屬于敏感信息。對于敏感信息不能泛泛地采用默示同意方式，除非是為了公共利益的需要，必須權利人“明確同意”才可收集。并且，在此之前還要有告知義務，使權利人詳細知道搜集的信息是要干什么，做什么用途。

所以，建議在《個人信息保護法》中可以針對人臉信息，進一步要求明確同意，這樣可能更有利于保護人臉信息。

第三，要加強對未成年人人臉信息的保護。采集未成人人臉信息，必須要取得其監護人同意。

第四，要嚴格限制人臉信息的共享。如果收集方要與他人共享人臉信息，須取得權利人的明確同意。只有進行第二次的“明確同意”，才能更好地保護人臉信息。

最后，要強化對采集人臉信息的安全維護。如果沒有建立相應的維護措施，這些信息一旦被泄露，后果很嚴重。因此，從法律層面上看，不僅迫切需要確立安全維護的義務，而且對沒有盡到義務、導致大面積信息泄露、對權利人造成損害的有關單位，應該明確承擔相應的責任。

人臉信息屬于隱私權，應該強調保護而非利用

從全世界范圍來看，法律層面上處理個人信息，都要面對兩個問題，一是對個人信息進行保護，二是在保護的同時又要注重對個人信息的利用。

可以說，在法律層面上如何平衡好個人信息的保護與利用的關系，是各國個人信息保護法制定時需要考慮的最大問題。

在我國《民法典》的制定過程中，就反復討論、平衡兩者的關系。如果保護過度會影響個人信息的利用，影響數據產業的發展，甚至影響技術的發展。但如果保護門檻太低，對個人人格權益的保護也是非常不利的。

因此，現在《民法典》中的“個人信息保護”后面沒有跟著一個“權”字，主要就是擔心如果將個人信息提升到人格權層面，會不會使得其保護程度過高，影響和妨礙了信息的利用。并且，在《民法典》中，個人信息和隱私是區別對待的，隱私保護程度要比個人信息更高。

人臉信息比較特殊，與一般個人信息有所不同，涉及隱私和個人信息的交叉。人臉信息不僅是個人信息，實際上還包括個人核心隱私。所以，人臉信息應該成為隱私權的重要組成部分。

我更傾向于將人臉信息等敏感信息與一般的信息保護進行區別對待，在如何平衡“利用與保護”兩者關系時，人臉信息要更注重保護，而其他非敏感信息則是更多地強調“利用”。

國際人臉識別立法與案例

在生物識別信息中，人臉識別是最為火熱的應用技術。但由于人臉信息涉及許多隱私數據，使用不當將存在巨大的風險，因此亟須立法規范。歐美是此領域立法的先行者。尤其是美國，近兩年來許多城市均出臺相應的禁令。

2008年

●美國伊利諾伊州《生物信息隱私法》

該法是美國州層面第一部保護個人生物信息的法律。該法要求私人實體收集個人生物信息之前，須提供通知，并獲得個人的同意，且應當是書面的。

2018年5月

●歐盟《通用數據保護條例》（GDPR）

GDPR被譽為“史上最嚴格數據保護法”，但對更為敏感的生物識別數據，比如人臉數據，GDPR仍存在局限性。

2019年5月

●英國威爾士卡迪夫

英國威爾士首府卡迪夫的埃德·布里奇斯向法庭提訴訟，稱警方對他使用人臉識別技術是非法侵犯他的隱私權。這一案件被認為是英國，乃至世界第一例涉及人臉識別技術的案件。

2019年8月

●瑞典謝萊夫特奧市

瑞典數據監管機構（DPA）對當地一所高中開出第一張基于歐盟GDPR的罰單。該學校使用人臉識別系統記錄學生的出勤率。

2019年

●美國《商用人臉識別隱私法》（草案）

該法案到2019年3月已被美國國會審議兩次，并提交到“商業、科學和交通委員會”。該法案主要目的是禁止商業機構在未獲得個人明示同意的情況下使用人臉識別技術。

2020年2月

●美國《加州人臉識別技術法案》

該法案主要對州內私營主體與公共主體分別應如何使用人臉識別技術問題做出了規定。該法案對公共主體使用面部識別技術的態度較為寬松，但對于使用人臉信息和人臉識別進行持續監視的行為，原則上仍被禁止。

2020年4月

●美國華盛頓州《人臉識別服務法》

該法是美國第一部嚴格限制執法部門使用人臉識別技術的州法律。這使得華盛頓州成為美國首個通過面部識別法案的州。該法適用于華盛頓州所有公共機構。