作者：趙宏

　　發(fā)于2024.12.16總第1168期《中國新聞周刊》雜志

　　近日，上海進行了“亮劍浦江2024”消費領域個人信息權益專項執(zhí)法行動的總結，明確提出公共場所“不刷臉為原則、刷臉為例外”。這則消息是繼今年酒店業(yè)普遍取消“刷臉才能入住酒店”的規(guī)定后，對人臉識別技術濫用的另一明確抑制舉措。

　　在較長一段時間內，人臉識別技術在我國被持續(xù)泛化濫用。由全國信息安全標準化技術委員會等機構發(fā)布的《人臉識別應用公眾調研報告》顯示，在兩萬名受訪者中，有94.7%的人表示使用過人臉識別技術，而近30.86%的人反映已出現(xiàn)過隱私泄露和權利受損的問題。實踐中，刷臉支付、刷臉開門、刷臉進站等早已隨處可見。

　　這種對個人信息的精準化和大規(guī)模收集，雖然帶來管理的高效，卻埋下數(shù)據(jù)泄露甚至個人被數(shù)據(jù)操縱的風險。其原因就在于，人臉識別技術具有侵入性強的特點，可在當事人不知情的情況下反復收集，而且此種信息又因為具有單獨的可識別性和明確的可辨性，一旦被泄露就會給當事人的基本權利乃至人格尊嚴都造成巨大傷害。

　　所以，在適用新興技術時，技術可能引發(fā)的風險大小和強度以及是否可逆，必須是考慮其是否可被允許適用的基準。如果某項技術應用可能帶來無法估量且難以逆轉的風險，在道德與倫理層面也受到一致批判，就應為法律所完全禁止；如果某項技術應用雖然帶來較大效益但風險難以預測，其中蘊含的政治性和社會性風險甚至會對個人權利構成嚴重威脅，就只應例外適用而原則禁止。歐盟對人臉識別技術采取原則上禁止的立場就是基于這一考慮。

　　我國的《民法典》和《個人信息保護法》對人臉信息收集和適用的規(guī)定，迄今都較為粗疏?！秱€人信息保護法》僅將人臉信息歸入“敏感個人信息”，并借由“只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息”的規(guī)定，對其予以規(guī)范。但無論是“特定目的”“充分必要”還是“嚴格保護”，這些要件因為過于模糊，所以對抑制人臉識別技術的濫用并無太大作用。而司法實務中，也已大量出現(xiàn)因人臉信息泄露所導致的“被貸款”“被詐騙”等案件?？傊?，無限度的刷臉已經導致很多個體“臉面盡失”。

　　也是在上述背景下，國家網信辦在去年8月出臺《人臉識別技術應用安全管理規(guī)定(試行)(征求意見稿)》(下稱《征求意見稿》)。該《征求意見稿》對人臉識別技術應用的門檻，設備安裝到圖像采集，數(shù)據(jù)的處理、存儲、提供、刪除以及技術應用的準度、精度到置信度閾值、技術適用者或服務提供者的責任都做了有針對性的規(guī)定。

　　尤其值得指出的是，該《征求意見稿》首先明確，為防止人臉識別的濫用，在公共浴室、衛(wèi)生間、酒店客房、更衣室等涉及個人隱私的場所，不得安裝圖像采集和個人身份識別設備。而在賓館、銀行、車站、機場、體育場館、博物館、圖書館等經營場所，除非法律、行政法規(guī)有明確規(guī)定，否則不得以辦理義務、提升服務質量等為由強制個人接受人臉識別驗證身份。

　　該《征求意見稿》還明確，即使是酒店賓館等公共場所有法律、行政法規(guī)授權可以采集個人的人臉信息，也必須堅守“特定目的”和“充分必要”的要求。換言之，人臉識別終端的安裝和使用對于酒店和賓館來說并非強制，如果可采用其他非人臉識別技術就可達到核實客人身份的目的，就不能再采用人臉識別。相應地，個人完全可基于自主權和控制力，對人臉識別說“不”。

　　從這個角度出發(fā)，上海提出的公共場所“不刷臉為原則、刷臉為例外”的原則，相較《征求意見稿》更加明確了地方政府對于人臉識別技術適用的基本立場。上海還進一步細化了公共場所安裝人臉識別設備要遵循的三大原則：“為公共安全所必須”“有法律依據(jù)”“做到單獨告知”；還提出了在收集端總體減量，存儲端確保安全的總體目標，以及“最大可能退”“最小范圍用”“最小范圍存”的基本手段。

　　上海的舉措無疑為未來人臉識別技術應用管理規(guī)范，乃至更大范圍內的生物識別信息應用管理規(guī)范的制定都提供了樣本和參照。技術的發(fā)展無疑會帶來社會治理和政府監(jiān)管的極大賦能，但同樣伴有巨大的，甚至是不可控的風險。由此，法律也必須盡力平衡可能的收益和風險，避免新興技術反而成為壓制個人自由甚至吞噬個人主體性的工具。

　　(作者系北京大學法學院研究員)

　　《中國新聞周刊》2024年第46期

　　聲明：刊用《中國新聞周刊》稿件務經書面授權