□ 魏书音 刘玉琢

近年来，人脸识别技术应用在社会的方方面面，“刷脸时代”已经到来。人脸识别技术的进化和快速应用，利弊共存，给监管提出了更多的挑战。如何对其进行适度监管和规范，在人脸识别技术的发展上，寻求科技创新与隐私保护的“最大公约数”是一个重要的课题。

国外在建立人脸识别信息保护制度方面，对收集信息主体进行限制。对于政府部门，美国加利福尼亚州旧金山市制定的《停止秘密监控条款》，原则上禁止政府收集、存储、使用公民生物识别数据，如果是政府非主动获取的，则应及时披露获取使用情况。马萨诸塞州众议院第1538号/参议院第1358号法案，原则上禁止政府使用面部识别技术，并且禁止在司法程序中采用人脸识别软件系统产生的数据或证据，除非有法律明确授权。2020年2月，美国议员向参议院提出《人脸识别道德使用法案》，要求在出台政府使用准则和限制条件前，暂时禁止政府机构使用人脸识别技术，防止侵犯公民隐私权和影响公民自由。对于私人主体，美国伊利诺伊州发布的《生物识别信息隐私法案》规定，私人实体收集生物识别信息，应向信息主体书面通知，说明收集使用的目的和期限，并获得信息主体书面同意。澳大利亚的《隐私法》规定，原则上实体不能收集个人敏感信息，除非获得法律或法院授权，或执法机关为执行任务合理收集，或者非营利组织收集与其工作相关的人员信息。

对于被收集主体、使用场所或目的进行限制。由于缺乏技术适用的法律依据，目前在德国、法国等无法合法使用实时人脸识别技术，德法仅针对志愿者开展了实时人脸识别技术测试，同时在未来实际部署中还需要进一步限定被实时收集人脸信息的群体类型，例如，与恐怖主义有关人员、性犯罪者、逃狱犯人或失踪孩子。近期，欧盟考虑在人脸识别技术影响评估方法和风险管理措施研究出来之前，可能会暂时（3年~5年）禁止在公共场所使用该项技术。美国德克萨斯州发布的《生物标识符的获取及使用》规定，原则上禁止基于商业目的获取生物标识符，除非获取前取得信息主体同意。2019年脸书就因未经用户同意使用照片自动标记功能而引发人脸识别集体诉讼，向原告支付5.5亿美元和解费。

对人脸识别信息的收集使用行为进行限制。美国伊利诺伊州发布的《生物识别信息隐私法案》规定，私人实体应采取合理且更安全的措施存储生物识别信息。德克萨斯州发布的《生物标识符的获取及使用》规定，禁止信息获取主体通过出售、出租等方式披露生物标识符，除非是法律规定的例外情况；信息获取主体应采取合理的与存储、传输保密信息同等或更安全的措施保护生物识别信息；生物识别信息的存储时间应当合理，原则上不应晚于收集目的完成后或法律规定时间到期后一年内。澳大利亚的《隐私法》规定，如果实体披露的是生物识别信息或生物特征模板，则只能在特定收集目的范围内进行披露，不得以直接营销为目的使用或披露个人敏感信息，除非已获得信息主体同意。

要求符合正当、合比例原则。关于新技术的使用，欧洲人权法院在S.and Marper诉英国政府一案中表示，应在保护基本权利与开发新技术之间“达到适当的平衡”。人脸识别技术也是如此，必须收集目的必须正当，且在最小必要范围之内使用。瑞典数据保护机构针对当地一所高中利用人脸识别记录学生出勤的行为，开出了GDPR生效以来的第一张人脸识别罚单，认为学校的数据收集行为违反必要性原则且缺乏正当性依据。英国高等法院在“Edward Bridges诉南威尔士警察局长等人案”中，判决英国警察使用自动人脸识别技术不违反《人权法案》和相关的数据保护法案，而这一判决的前提是收集的人脸识别信息仅在有限时间、为特定有限目的使用，并在对获得的成像与监控清单中的成像进行比对等合理使用后，立即删除所有获得的数据和个人信息。