作者：蔡雄山（騰訊研究院法律研究中心副主任）；作者：袁?。v訊研究院助理研究員）

當(dāng)前，人臉識(shí)別已經(jīng)應(yīng)用到地鐵安檢、動(dòng)車檢票、移動(dòng)支付等多個(gè)日常生活領(lǐng)域，人臉生物信息利用日益普及的同時(shí)也存在濫用風(fēng)險(xiǎn)。例如，網(wǎng)絡(luò)中大量存在的針對(duì)電商平臺(tái)、特定設(shè)備的“過(guò)臉”技術(shù)解答與技術(shù)教程，不斷地鉆技術(shù)漏洞濫用人臉信息；人臉識(shí)別企業(yè)也發(fā)生過(guò)相關(guān)數(shù)據(jù)泄露事件，超過(guò)250萬(wàn)人的核心數(shù)據(jù)被獲取，容易滋生數(shù)據(jù)黑灰產(chǎn)交易，進(jìn)一步擴(kuò)大安全風(fēng)險(xiǎn)。

人臉識(shí)別作為新興生物信息技術(shù)，尚無(wú)專門(mén)立法規(guī)定，也尚未建立嚴(yán)格的準(zhǔn)入制度與監(jiān)管制度。面對(duì)面部信息的收集主體多、安全保障弱的現(xiàn)狀，監(jiān)管有待于進(jìn)一步探索如何建立分級(jí)應(yīng)對(duì)精細(xì)化管理機(jī)制。

人臉識(shí)別等類似大規(guī)模隱私技術(shù)切身涉及公民基本權(quán)利，需要引入“正當(dāng)程序”。在公共政策的出臺(tái)過(guò)程中，要廣泛進(jìn)行話題辯論，鼓勵(lì)公眾討論，甚至在爭(zhēng)議較大的核心問(wèn)題上聽(tīng)取公眾意見(jiàn)，充分保障民眾在公共話題上的參與權(quán)與知情權(quán)。

美國(guó)的人臉識(shí)別監(jiān)管法案

美國(guó)在聯(lián)邦層面沒(méi)有統(tǒng)一的法律規(guī)制人臉識(shí)別數(shù)據(jù)的收集和使用，而是各州針對(duì)生物特征信息單獨(dú)立法，其中美國(guó)伊利諾伊州與加利福尼亞州頒布的《生物信息隱私法案》最為典型。

伊利諾伊州于2008年頒布了《生物信息隱私法案》，是美國(guó)國(guó)內(nèi)第一部旨在規(guī)范生物標(biāo)識(shí)符以及信息的收集、使用、處理、存儲(chǔ)、保存和銷毀的法律。加利福尼亞州于2017年頒布了《加州生物信息隱私法案》。綜合這兩部法案，其對(duì)規(guī)制人臉識(shí)別體現(xiàn)如下特點(diǎn)：一是明確人臉識(shí)別數(shù)據(jù)屬于生物信息?！都又萆镄畔㈦[私法案》首先以概括式+列舉式的立法技術(shù)對(duì)“生物信息”內(nèi)涵予以細(xì)化。其規(guī)定任何能夠捕獲的直接或間接源自視網(wǎng)膜或虹膜掃描、指紋、聲紋、手或臉掃描的信息都屬于生物信息，但不包括文身或身體描述（例如身高，體重，頭發(fā)的顏色或眼睛的顏色）。二是確立知情同意原則。法案要求初次收集面部數(shù)據(jù)需要符合“知情同意原則”，告知生物信息收集的情形、收集目的、信息留存時(shí)間，并獲得書(shū)面同意。同時(shí)在未經(jīng)當(dāng)事人同意或者非法律規(guī)定的例外情形時(shí)，不得將面部識(shí)別數(shù)據(jù)出售于第三方。三是施加企業(yè)法定期限刪除義務(wù)。企業(yè)需在書(shū)面政策中設(shè)立生物識(shí)別數(shù)據(jù)保留時(shí)間表。當(dāng)面部收集數(shù)據(jù)的目的已達(dá)或距信息主體與企業(yè)最后一次聯(lián)絡(luò)已滿三年時(shí)，應(yīng)該銷毀相關(guān)數(shù)據(jù)。四是確立企業(yè)審計(jì)制度，需要對(duì)技術(shù)使用相關(guān)情況提供報(bào)告。

在州法制定之外，美國(guó)個(gè)別城市也嘗試采取禁令方式禁止政府使用人臉識(shí)別技術(shù)。舊金山市于2019年5月通過(guò)了《停止秘密監(jiān)視條例》，成為美國(guó)第一個(gè)禁止政府使用人臉識(shí)別系統(tǒng)的城市。除了由聯(lián)邦政府控制的機(jī)場(chǎng)與港口外，禁止全市53個(gè)政府部門(mén)包括警察局在內(nèi)隨意使用人臉識(shí)別技術(shù)。如果正在使用該技術(shù)的，必須向市議會(huì)暨郡監(jiān)督理事會(huì)匯報(bào)過(guò)去的使用情況；而個(gè)別有特殊需要、將來(lái)準(zhǔn)備使用該技術(shù)的部門(mén)，包括購(gòu)買該技術(shù)所需器材、研究經(jīng)費(fèi)等，均必須向議會(huì)暨理事會(huì)提交詳細(xì)報(bào)告，說(shuō)明使用目的、場(chǎng)所、范圍，并召開(kāi)公眾聽(tīng)證會(huì)。此外，條例也規(guī)定了在急需監(jiān)視技術(shù)應(yīng)對(duì)迫在眉睫的死亡危險(xiǎn)或嚴(yán)重人身?yè)p害時(shí)可以使用的若干情形。例如使用時(shí)間要控制在事態(tài)發(fā)生后的7天內(nèi)或事件結(jié)束后（以較早時(shí)間為準(zhǔn)）；原則上只保留與緊急事件相關(guān)的面部數(shù)據(jù)，銷毀無(wú)關(guān)數(shù)據(jù)，不得泄露給第三方；在緊急情況發(fā)生后的45天內(nèi)，向監(jiān)事會(huì)提交書(shū)面報(bào)告等內(nèi)容。

薩默維爾市與奧克蘭市也于今年6、7月分別通過(guò)了《人臉識(shí)別全面禁止條例》與修正后的《監(jiān)視及社區(qū)安全法案》，對(duì)政府使用人臉識(shí)別技術(shù)進(jìn)行了規(guī)制。

架構(gòu)合理前沿技術(shù)治理體系的國(guó)際趨勢(shì)

面對(duì)面部識(shí)別可能侵犯公民隱私的現(xiàn)狀，歐盟先是2019年6月份成立了人工智能高級(jí)別專家組（HLEG），考慮面部識(shí)別需要何種方式的監(jiān)管。專家組此后發(fā)布報(bào)告，提議歐洲應(yīng)該禁止AI進(jìn)行大規(guī)模監(jiān)視和社會(huì)信用評(píng)分。報(bào)告寫(xiě)道，政府應(yīng)承諾只部署和采購(gòu)值得信賴的人工智能系統(tǒng)，其設(shè)計(jì)宗旨是尊重法律和基本權(quán)利，符合倫理原則，保障技術(shù)對(duì)全社會(huì)的向善品質(zhì)。

在專家組不斷評(píng)估的同時(shí)，立法也不斷跟進(jìn)。今年8月22日，歐盟委員會(huì)擬通過(guò)新立法以全面改革面部識(shí)別法規(guī)，限制公司和公共機(jī)構(gòu)不加選擇地使用面部識(shí)別技術(shù)，以保護(hù)公民免受公開(kāi)監(jiān)視，甚至為人工智能面部識(shí)別設(shè)定國(guó)際通行的清晰、可預(yù)測(cè)的標(biāo)準(zhǔn)。

技術(shù)進(jìn)步的大勢(shì)不可逆轉(zhuǎn)，但是如何趨利避害，在用好新技術(shù)的同時(shí)防范內(nèi)險(xiǎn)的方法卻值得深思。

首先，應(yīng)完善人臉識(shí)別相關(guān)立法，尤其對(duì)于公共場(chǎng)合大規(guī)模應(yīng)用需要有章可循。對(duì)于公共場(chǎng)合大規(guī)模應(yīng)用，應(yīng)明確人臉識(shí)別信息收集的范圍需與提供服務(wù)直接相關(guān)的必要性，信息使用應(yīng)將對(duì)隱私的不利影響控制在最小范圍和限度內(nèi)，必要場(chǎng)景考慮設(shè)立“黑名單”制度。

其次，以倫理準(zhǔn)則為起點(diǎn)，建立一套人工智能治理體系，確保科技向善。企業(yè)應(yīng)發(fā)揮倫理準(zhǔn)則和行業(yè)自律等軟法性質(zhì)的非強(qiáng)制性規(guī)則，積極設(shè)立人工智能倫理委員會(huì)，對(duì)人工智能相關(guān)爭(zhēng)議問(wèn)題進(jìn)行倫理審查，確保科技向善。

再次，政府公共部門(mén)應(yīng)嚴(yán)格遵守正當(dāng)程序，廣泛聽(tīng)取民意。公共機(jī)構(gòu)若要大規(guī)模采用人臉識(shí)別技術(shù)應(yīng)當(dāng)遵守嚴(yán)格的程序限制，履行嚴(yán)格的審批。

《光明日?qǐng)?bào)》（ 2019年12月26日 14版）