公共場所不刷臉，應全面推廣嗎？

來源：中國新聞週刊

近日，上海進行了「亮劍浦江2024」消費領域個人信息權益專項執法行動的總結，明確提出公共場所「不刷臉為原則、刷臉為例外」。這則消息是繼今年酒店業普遍取消「刷臉才能入住酒店」的規定後，對人臉識別技術濫用的另一明確抑制舉措。

在較長一段時間內，人臉識別技術在我國被持續泛化濫用。由全國信息安全標準化技術委員會等機構發佈的《人臉識別應用公眾調研報告》顯示，在兩萬名受訪者中，有94.7%的人表示使用過人臉識別技術，而近30.86%的人反映已出現過隱私泄露和權利受損的問題。實踐中，刷臉支付、刷臉開門、刷臉進站等早已隨處可見。

這種對個人信息的精準化和大規模收集，雖然帶來管理的高效，卻埋下數據泄露甚至個人被數據操縱的風險。其原因就在於，人臉識別技術具有侵入性強的特點，可在當事人不知情的情況下反復收集，而且此種信息又因為具有單獨的可識別性和明確的可辨性，一旦被泄露就會給當事人的基本權利乃至人格尊嚴都造成巨大傷害。

所以，在適用新興技術時，技術可能引發的風險大小和強度以及是否可逆，必須是考慮其是否可被允許適用的基準。如果某項技術應用可能帶來無法估量且難以逆轉的風險，在道德與倫理層面也受到一致批判，就應為法律所完全禁止；如果某項技術應用雖然帶來較大效益但風險難以預測，其中蘊含的政治性和社會性風險甚至會對個人權利構成嚴重威脅，就只應例外適用而原則禁止。歐盟對人臉識別技術採取原則上禁止的立場就是基於這一考慮。

我國的《民法典》和《個人信息保護法》對人臉信息收集和適用的規定，迄今都較為粗疏。《個人信息保護法》僅將人臉信息歸入「敏感個人信息」，並借由「只有在具有特定的目的和充分的必要性，並採取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息」的規定，對其予以規範。但無論是「特定目的」「充分必要」還是「嚴格保護」，這些要件因為過於模糊，所以對抑制人臉識別技術的濫用並無太大作用。而司法實務中，也已大量出現因人臉信息泄露所導致的「被貸款」「被詐騙」等案件。總之，無限度的刷臉已經導致很多個體「臉面盡失」。

也是在上述背景下，國家網信辦在去年8月出台《人臉識別技術應用安全管理規定（試行）（徵求意見稿）》（下稱《徵求意見稿》）。該《徵求意見稿》對人臉識別技術應用的門檻，設備安裝到圖像採集，數據的處理、存儲、提供、刪除以及技術應用的準度、精度到置信度閾值、技術適用者或服務提供者的責任都做了有針對性的規定。

尤其值得指出的是，該《徵求意見稿》首先明確，為防止人臉識別的濫用，在公共浴室、衛生間、酒店客房、更衣室等涉及個人隱私的場所，不得安裝圖像採集和個人身份識別設備。而在賓館、銀行、車站、機場、球場館、博物館、圖書館等經營場所，除非法律、行政法規有明確規定，否則不得以辦理義務、提升服務質量等為由強製個人接受人臉識別驗證身份。

該《徵求意見稿》還明確，即使是酒店賓館等公共場所有法律、行政法規授權可以採集個人的人臉信息，也必須堅守「特定目的」和「充分必要」的要求。換言之，人臉識別終端的安裝和使用對於酒店和賓館來說並非強製，如果可採用其他非人臉識別技術就可達到核實客人身份的目的，就不能再採用人臉識別。相應地，個人完全可基於自主權和控制力，對人臉識別說「不」。

從這個角度出發，上海提出的公共場所「不刷臉為原則、刷臉為例外」的原則，相較《徵求意見稿》更加明確了地方政府對於人臉識別技術適用的基本立場。上海還進一步細化了公共場所安裝人臉識別設備要遵循的三大原則：「為公共安全所必須」「有法律依據」「做到單獨告知」；還提出了在收集端總體減量，存儲端確保安全的總體目標，以及「最大可能退」「最小範圍用」「最小範圍存」的基本手段。

上海的舉措無疑為未來人臉識別技術應用管理規範，乃至更大範圍內的生物識別信息應用管理規範的製定都提供了樣本和參照。技術的發展無疑會帶來社會治理和政府監管的極大賦能，但同樣伴有巨大的，甚至是不可控的風險。由此，法律也必須盡力平衡可能的收益和風險，避免新興技術反而成為壓制個人自由甚至吞噬個人主體性的工具。

（作者係北京大學法學院研究員）

發於2024.12.16總第1168期《中國新聞週刊》雜誌

雜誌標題：「不刷臉為原則」應推而廣之

作者：趙宏