中國政法大學傳播法中心研究員、副教授朱巍

DCCI互聯網研究院院長劉興亮

中國社會科學院科學技術和社會研究中心主任段偉文

北京大學法學院教授薛軍

近期，一系列事件引發了公衆對于人臉識别技術濫用的廣泛關注。随着人工智能技術不斷發展，人臉識别大規模地應用于安防、支付等日常生活場景中，但這項改變生活的技術當前卻處于争議中。此前，全國人大常委會法工委發言人嶽仲明在記者會上表示，人臉識别等新技術的應用和發展，給個人信息保護帶來許多新挑戰。全國人大常委會法工委将就有關問題進一步廣泛聽取意見，深入研究論證。就此，新京智庫組織舉辦“人臉識别不能被濫用”專題研讨會，邀請多位法律學者與專業人士進行深入的探讨。

議題一

新京智庫：根據我們的調查顯示，許多人對人臉識别的使用已經比較警惕，更傾向于選擇輸入密碼或指紋等驗證方式。人臉識别技術為何會出現濫用問題，根本原因是什麼？

“技術崇拜”導緻人臉識别泛濫，須建立防火牆機制

人臉識别可能誘發智能化官僚主義

劉興亮：我是一個技術派，人臉識别剛出來的時候感覺還是很酷的。在車站、機場刷臉通過，非常快捷。但現在越來越多的地方和場景都在濫用人臉識别。這是因為人臉識别太方便了，而且準确率越來越高。很多需要核實身份的地方，如小區門禁、上班考勤等都要進行人臉識别。有些是出于管理方便，有些則是商業用途。

人臉識别是個好技術，但是毫無限制地在各種各樣的應用場景中使用，“圖方便、圖省事”，為了效率而不顧背後潛在的隐患。可以說，對技術的盲目崇拜和樂觀導緻人臉識别技術的泛濫使用。

段偉文：企業或管理部門出于效率考慮，部署了人臉識别。但這隻是表面上的原因，更深層次上，還有其他因素，比如說，人臉識别技術使用起來很方便，但可能誘發某種意義上的官僚主義，可稱之為機械或者智能化的官僚主義。

現在很多城市依賴智能監測技術手段進行城市治理，如果人們越來越多地生活在智能監測環境之中，就意味着需要一種新型的社會契約，但是人們還沒有想清楚。過去講技術治理通常稱之為技術統治論或技治主義，是當作貶義詞在讨論，但現在更多的卻是肯定，缺乏必要的反思。

使用人臉識别必須要滿足必要性條件

薛軍：人臉信息和其他一些生物識别信息，都具有終身不可能或者不太可能被更改的特征。公衆對人臉識别有擔憂，主要原因在于公衆擔心自己的人臉信息在被搜集、被使用過程中失去控制，特别是很可能在不知不覺中被他人搜集了相關信息。這是人臉信息和指紋等其他生物識别信息存在比較大的差别之處。

由于人臉識别技術高效、便捷，隻要把臉湊過去就可以，因此很容易激勵大家去使用這個技術。但是技術帶來的便利，還要與其存在的隐患、風險進行綜合考量。在很多刷臉的場景中，相關操作單位并沒有建立數據後台的專業能力，隻能連通到其他的存儲網站或第三方公司才能完成刷臉認證。這樣的機構能否确保信息安全，會不會導緻洩露出去，這都是大家特别擔心的問題。

所以，如果一定要利用人臉識别進行身份驗證，那麼必須要滿足必要性的條件。比如進入高度機密、特别重要的場合，需要絕對杜絕冒名頂替者時，運用人臉識别具有一定的合理性。但進入自己的小區或者其他營業場所，動用人臉識别的必要性與可能存在的風險就不成比例。從法律上來說，将來可能要規定一個可選擇性機制，讓人可以選擇不采用人臉識别的方法進行身份驗證。

建立采集、處理分離的防火牆很關鍵

朱巍：為什麼人臉識别争議這麼大，因為人臉是一把鑰匙，後面關聯到我們的身份信息。如果再結合其他的行為軌迹、IP地址等信息，就可以挖掘出很多個人的信息，并應用到許多的商業場景中去。

人臉識别是趨勢，是發展的方向。它能解決很多現在其他方式解決不了的問題。比如網絡遊戲中規定小朋友不能玩，但如果沒有人臉識别，很多小孩就會用家長的賬号密碼登錄使用。

人臉識别重要的是後面的兩個字——識别。這意味着它跟個人的隐私權聯系在一起。隐私權是絕對的權利。國外有這樣的案例，瑞典的一個高中事先未經學生和家長同意，對學生進行人臉識别，結果遭到了瑞典政府的罰款。

因此我要提出兩個建議。一是要有一個防火牆。采集者是采集者，處理者是處理者，二者要分開。目前，這個機制還沒有建立起來，誰采集了歸誰。

二要讓用戶擁有自我決定權。動物園、兒童樂園等場所做人臉識别，我是贊同的。因為有人臉識别，可以保障這些場所的公共安全。但如果有人不接受人臉識别，那可以用身份證等人工方式辨别。這個決定權應該交給消費者本人。

議題二

新京智庫：《個人信息保護法（草案）》第13條中首次明确了個人信息處理的6項依據。如何才能真正确保對個人信息的處理合理合法？

被動“同意”不能真實反映個人自主意願

需進一步把人臉數據當做特殊類型信息

段偉文：目前普通人的權利意識并不是那麼強，在這樣的信息素養環境下，把個人信息權利或個人數據權利當成“絕對”的權利，體現出一定的逆向制衡的智慧。

對人臉、虹膜、步态等信息的采集和使用實際上都走在了立法的前面。但與之對應的現實卻是缺乏有效保護個人信息權利的機制，個人往往也沒有維護自己信息權利的意識和能力。

而且，人臉數據在采集之後完全可以用于其他目的，比如說做情感分析、心理評估等。這就導緻了新的信息和認知的不對稱。所以，人臉識别數據是一種具有開放性社會法律倫理影響的敏感的個人信息，在一定程度上賦予個人對其人臉數據的“絕對權利”，有利于應對未來可能爆發的更大的社會法律倫理風險。

但我覺得，還是要更進一步，在認知上把人臉數據當做特殊類型的信息。這就需要更多的研究，并且在概念上有所創新，這些概念可以是對經驗的提煉或由場景觸發，運用它們可以更好地揭示人臉數據的法律與倫理内涵，促進人們對人臉數據濫用的法律與倫理風險的認知。也就是說，人臉識别的法律規制與倫理治理需要更多具有創造性的實踐智慧。

同意隻是入口，要重視強制性規則設置

薛軍：《民法典》規定個人信息是可以基于個人信息主體的同意，授權他人進行處理。這個原則沒有問題。除此之外，在其他情況下合理、合法地處理他人的個人信息，必須明确列舉事由，并且範圍要明确，不能開太大口子。

現在比較大的問題在于“個人的同意”。一是“同意”可能淪為一種純粹的形式，二是“同意”可能帶有某種被迫，不是自由、真實地反映個人自主意思的“同意”。所以，怎麼确保“同意”機制不淪為形式，這值得關注。

我曾經與歐盟國家的數據保護專員讨論過這一問題，發現他們也面臨同樣的困惑。雖然“同意”規則可以規定得比較細緻，但是企業在獲得用戶的同意方面，可以很容易地做到形式上的合規。而如果用戶需要利用企業提供的服務，其實就隻能同意，否則就沒有辦法獲得服務。

我可以很明确地說，未來能夠真正發揮作用的，是對于正當、合理、必要收集個人信息之類的帶有強制性的規則。“同意”隻是一個入口，不一定能夠真正發揮把關的作用。我認為未來的個人信息保護體制應該是以行政為主導的。因為個體太分散，維權意識和能力都比較弱，即使被侵害個人信息權益，也很難證明侵害者以及實際的損失，所以還是要高度重視相關法規中帶有強制性特征規則的設置是否合适、充分。

個人隐私權多數時候無需讓渡

劉興亮：個人隐私權，包括肖像權，是我們每個人“絕對”的權利。當然，這種權利在某些時候要做一定的讓渡，比如在面對突發公共衛生事件時，會有一些措施需要個人做出讓步，像疫情期間的健康碼就是一種案例。

一些企業和機構可能認為人們應該是不在乎自己的隐私權，或者會為了某些便利而放棄隐私權。這是不對的。個人隐私權一定是在極少數的情況下才做出讓渡。

朱巍：技術的發展不能犧牲個人的權利。“同意”有主動同意和被動同意兩種。《個人信息保護法（草案）》規定的敏感信息處理的“同意”原則是主動同意。被動同意則包括一攬子協議，比如企業彈出的“同意”事項。通常，用戶都沒有仔細看，全部點同意。其實，很多隐私條款是需要單獨同意的。

而且，互聯網技術不斷叠代，在叠代過程中會更改網民協議和隐私條款，但并不會覆蓋此前的協議。這意味着，這些應用或平台在叠代技術，甚至變更服務的同時，卻不縮減索權，導緻它們的索權範圍非常大，有些甚至已經跟現在的服務沒有任何關系。

議題三

新京智庫：人臉識别技術在使用過程中，“同意”是一個重要環節。《個人信息保護法（草案）》第14條對不同情形的“同意”做了細化。此外第24條、第30條，也都涉及相關内容。“同意”權利真的能保護個人隐私和數據安全嗎？

人臉識别使用的必要性，才是“同意”的關鍵

保護個人隐私不宜過分依賴“同意”

薛軍：《個人信息保護法（草案）》有一個很大的亮點，就是對“同意”規則進行了細化。主要的思路是針對不同的場景，對于“同意”要求的強度或者方式，進行差異化設置。這體現出區别對待的立法思路。

同時，可能還考慮了匹配性、比例性的要求。比如，區分敏感個人信息和其他個人信息，相應的，對這些信息進行處理時，在法律層面上所需要的“同意”的方式就是不一樣的。

“同意”能否保護個人隐私和數據安全？我覺得肯定是能發揮一定的積極作用，至少告知了用戶，讓用戶清晰地了解其個人信息是否被收集了，并且如何被處理了。同時，也便于相關監管部門審查，企業是否存在違規搜集個人信息的問題。

但是，也不宜過分依賴“同意”。因為現在的各種個人信息處理的主體，肯定都會詳盡地研究個人信息保護方面的法律法規的要求，并做到形式上的合規。而用戶如果真的需要這個服務，他就隻能同意，如果不同意就不能享有服務。

“同意”環節裡最重要的是，它是不是應該放在同意範圍内

段偉文：現在很多所謂的隐私條款，或“同意”條文，都隻是為了達到數據合規的要求。但裡面并沒有講清楚，這些采集的數據到底是幹什麼用，有時甚至明确表示，采集的數據如果對用戶造成傷害，企業是不負責任的。

這樣的“同意”條款存在兩個問題，一是形式化，過于冗長，讓人不好理解。二是，有的企業利用這樣的“同意”條款，使得對用戶隐私的侵犯和數據的洩露，變成了合法合規的事。

所以，從原則上說，“同意”的權利當然是需要的，但更重要的是如何能夠真正地保證個人隐私和數據。

這意味着企業必須要有相應的技術措施和手段，如果沒有采取相應的技術措施和手段，這樣的“同意”就是形同虛設，甚至是明面上的欺騙。

“同意”環節裡最重要的一點是，我們同意的是什麼，以及它是不是應該放在同意範圍内。因此，讨論“同意”要從必要性的角度切入，讓一些不必要的應用受到制約。

現在這一訴求是非常明确的，就是要禁止一些領域裡不必要的人臉識别，比如公園進行人臉識别就是沒有必要的。

知情權是“同意”的前提，自我決定權是“同意”的核心

朱巍：“同意”不單純是能不能用的問題，這不是問題中最重要的。“同意”的核心，首先是跨場景使用問題。但是，目前這個問題在《個人信息保護法（草案）》和《民法典》中都沒有規定。

比如說用戶在這個場景上“同意”了，但你卻拿這些數據用到其他諸如人臉适配、消費記錄等場景裡，這樣就有問題了。

其次，用戶要有知情權。沒有知情權的“同意”沒有意義。比如，用戶要知道這個人臉識别到底用來做什麼，對接什麼數據庫，數據會保存多久，何人使用、何時會删除等信息。

第三，用戶要知道對其個人信息、數據進行處理用的是什麼技術。現在有一種成熟的照片活化技術，可以将靜态照片變成動态，從而能夠用于進行人臉支付等場景。

因此，應該在用戶“同意權”裡加更多的分支，包括技術處理的限制，數據告知的限制等。

知情權是“同意”的前提，自我決定權是“同意”的核心。讨論“同意”要把握住這兩點。

最後，對于個人的敏感信息還要進行單獨的“同意”。敏感信息在不同的法律規定中的定義都不一樣。如果這個問題得不到解決，那麼“同意”的問題就解決不了。

議題四

新京智庫：人臉識别被濫用的現象也側面反映了科技倫理問題，目前有哪些手段可以緩解技術與風險之間的張力？未來新技術的出現應如何建立相應的倫理，并重獲公衆的信任呢？

約束人臉識别技術，需要訂立新型社會契約

讨論人臉識别技術倫理的三個前提

段偉文：讨論人臉識别技術倫理、規範的建立，首先要考慮三個層面的問題。第一，人臉識别技術本身存在局限性和由易獲得性造成的濫用風險。隻要不是百分百精準，就意味着技術本身存在風險；同時，人臉識别技術也是非常容易獲得的，但技術水準參差不齊，人臉識别技術因門檻低易濫用而具有很大的風險性。

第二，對于個人信息的保護和數據治理，公共部門既是數據治理的監管者，又是數據的應用者。雖然政府在很多領域具有更強的權威性，推廣起來更高效，但公共使用的邊界是什麼，技術治理的公共倫理又是什麼？

第三，從技術的長遠發展來講，其應用怎樣才能普惠公衆？這可能需要訂立新型社會契約。沒有契約，任何企業、任何人、任何地方隻要存在可能就能夠部署人臉識别技術，采集的數據還能夠作為其他用途，這其中的風險非常大。

考慮這三點後，我們可以從三方面着手。一是相關技術的部署方和相關企業的利益相關方、受益人的責任，并且這種責任是要面向不确定性的開放後果的責任，要通過哲學上、倫理上的考量，一定程度上體現在法律裡面。

二是要通過設計來保護一般使用對象、被監測對象的權利。比如對人臉數據的加密技術或者遮蔽技術。

現在，人臉識别技術已經開始打破皮膚表面和表面下的環節，通過熱敏識别，在戴口罩的情況下也可以進行人臉識别，這意味着在技術上已經能夠越過體表識别體内的血液循環，包括靜脈曲張甚至甲亢都有可能識别。因此，需要加入相關的加密技術來保密數據；如果沒有，又沒有相關的法律和倫理規範，技術就不能“跑”這麼快。

第三，我們不要忘記非技術性解決方案。在依靠大量技術手段時，同時要看到更多的人，包括老年人、少年兒童等需要特殊保護和關照的群體，應該提供一些技術手段之外的非技術手段來滿足這些人的需要。

約束新技術需要一套新社會規制體系

薛軍：高新技術的使用很受關注，需要一些社會規制，包括通過制定标準、法律法規、行業守則等。規制的體系可以很豐富而且多元化。不能把法律當作唯一能夠發揮作用的角色，還需要通過更多靈活、多元化的機制。這是因為技術本身發展很快，法律很難及時制定與修改。

所以，我們一定要發展出适應高科技時代的新社會規制體系。技術準則、安全評估準則或者技術規範等，都是很有效的規制手段，都能夠發揮一定的作用。具體到人臉識别技術，目前雖然有一些規制手段，但是還是欠缺。

比如小區能否使用人臉識别技術，至少得有一個相對比較權威的指導性技術準則來說明，在什麼情況下，有技術保障能力、具備防範風險要求的時候可以使用，而其他情況則不能使用。如果有這樣的科技準則就可以獲得很好的指導，并且标準可以随着時間的演變不斷發展。

同時，技術問題可能還是要回歸到技術層面解決。比如像虛拟号碼技術以及條碼化就解決了網約車、快遞件上個人信息洩露的風險；比如在進行算法模型訓練時，模型動而數據不動等方式，也有利于确保不産生數據合并、轉移等風險。

朱巍：對相關技術進行立法，并不是拖了技術、社會發展的後腿，而是為了維持社會更好的平衡。不能因為人臉識别技術提供了更高的效率，就把效率當作新的正義觀。效率任何時候都不可能成為正義觀，除非有一定的背景制度。這個背景制度就是我們今天讨論的，人臉識别技術需要一定的約束。隻有在具備約束的背景下，技術産生的效率，才能被認為符合正義觀。

現在很多企業強調科技向善、強調算法倫理等問題，不是在拉效率的後腿，而是要讓整個社會的福祉和個體權益的正義回到很高的位置上。人永遠都是目的，而不是手段。（訪談員 鄭偉彬 柯銳 王春蕊）

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!