三重内在及法令规制告知你为什么这是一个要脸的年代

资讯2019-11-17 21:33:35 阅读：3547+ ·

编者按：本文来自微信公众号“全媒派”（ID：quanmeipai），作者朱芸阳，36氪经授权发布。

继变脸软件ZAO的刷屏风波后，又一起新闻引发了社会大众对于人脸识别技术的热议。而如果说ZAO的风波只是一个影响了一小撮人的故事，那近期新闻中所报道的——北京地铁将应用人脸识别技术对乘客实施分类安检以提高乘客通过效率——所涉及的则会是城市里的多数人。这直接触动了大众担心个人信息安全的神经，光明日报评论员在文章中直截了当地指出，“别把人脸识别技术搞成现代‘刺黥’”。

那么，“脸”到底代表着什么？我们该怎么对待我们的这张脸呢？本期全媒派（ID：quanmeipai）获得授权，转载腾讯研究院（ID：cyberlawrc）的文章，抽丝剥茧，从法律层面剖析“脸”的三层内涵。

概况而言，我们每个人的这张“脸”，实际上在不同的场景之下表现为不同层次的意义，可以分解为「外部形象—身份—个性」三种内涵，依次体现出其「社会—弱社会—私人」的不同程度的公私属性，从而法律也展现了从弱至强的不同保护模式。

“脸”的三重内涵之一：外在形象与其社会属性

“脸”的内涵首先体现为肖像这种“外在形象”，也就是自然人包括面部在内的外部形象的再现，往往需要通过照片、影像等载体表现出来。我国立法对“脸”的保护，最早就体现在对肖像权的保护。

早在《民法通则》第100条就规定公民享有肖像权，但是，此时对个人肖像权的保护很有局限性，即只有在满足“未经本人同意+营利为目的”这两个要件时，才构成侵犯肖像权的行为。随着人格权保护呈现出不断加强的趋势，司法实践中不再将“营利为目的”作为构成要件，除了以营利为目的以外，未经本人同意，以侮辱性的方式使用（比如把头像安放在不雅照片、动物等上），也构成侵害他人肖像权的行为。

“脸”的肖像权保护模式具有以下特征；

第一，不追求“脸”的精准性。

例如，以漫画的形式表达出来的某个人的外部形象也是肖像，甚至表现为侧面或其他部位，只要社会一般人能以此来判断其身份的便构成肖像。照片上只展示出某个人具有高度辨识度的、外在形象的局部，如舒淇的厚嘴唇、赵本山的楔脸，即使不是面部外形的全貌，也会受到肖像权的保护。

第二，受到肖像合理使用的限制。

图片来自：豆瓣

例如，为维护社会利益需要、为维护自然人本人利益、为时事新闻报道、基于科研教学的目的使用他人肖像等等。比如，各省市出台相关安全技术防范管理条例允许在城市出入口、主要道路、人行过街设施等安防重点区域安装摄像头进行拍摄；金融机构基于履行反洗钱等法定义务的需要，为客户办理业务有必要进行「双录」；媒体对明星、政府官员等公众人物的新闻报道。

在2013年《鲁迅像传》引发的肖像权之争中，法院认为，被告利用博物馆的鲁迅藏品照片出版《鲁迅像传》，向社会广大读者介绍鲁迅事迹、解读鲁迅精神，属于对鲁迅肖像的合理使用，不构成侵权。

第三，能够直接进行商业化利用。

不同于生命权、健康权、名誉权等等人格权，我们大家可以许可他人使用这张“脸”进行商业化利用，明星广告代言正是属于此类。

概括而言，“脸”首先体现为“外在形象”这种外部特征时，具有较强的社会属性，在瑞士法上就有社会性人格权的概念，肖像权和姓名权、名称权、声音权等都被归为彰显身份的人格权（即所谓“标表性人格权”）。

“脸”是人在社会交往中所必需的，与其主人的社会交往息息相关，用来向其社会关系中的其他人证明“我是张三，而不是李四”，用来判断这张脸的主人和社会其他人之间的关系。对外在形象的不法利用，例如通过深度伪造技术变脸成我们熟悉的人，就会影响个人对自己与伪造者之间的社会关系的判断。因此，民法典人格权编草案二审稿对“变脸”进行回应并规定，任何组织或者个人不得以利用信息技术手段伪造的方式侵害他人的肖像权。

所以这就很好地解释了我们身边的一些现象：

为什么我们会在意我们朋友圈照片本身的“美丑”？通常只有在照片本身被丑化时，我们才会主张我们的肖像权利，因为“被丑化”会影响我们在社会关系中的地位和认可度。

为什么与某明星长得很相似的人代言费与真正的明星天壤之别？因为虽然外形相似，但是只有真正的明星的脸（即代言），才能得到粉丝认可，才能代表粉丝与偶像之间存在的社会关系。

在公众场合中拍照时，你会征求其他误入镜头的人同意才会拍摄吗？同样，不小心当了背景的人会认为摄影师侵犯了本人的肖像权吗？因为在“脸”的主人的潜意识里，这种情形通常不可能影响我自己的特定社会关系（除非拍得实在太丑）。

因此，在“脸—外在形象—社会属性”的肖像权保护模式下，对「脸」的法律保护反而是最弱的，通常只有在未经本人同意（合理使用不需要征得本人同意），以不法方式（如侮辱性、伪造等）使用“脸”，才构成侵害他人的肖像权的行为。

“脸”的三重内涵之二：身份与其弱社会属性

“脸”的第二重内涵体现为“身份”，在法律意义上，就是每个人的面部识别特征，作为个人生物识别信息的一种，属于个人敏感信息。它和人的指纹、虹膜等一样，都是一组能够区别人脸的组合特征，每个人的眼睛、鼻子和嘴等面部特征之间的距离、面积和角度等几何关系各不相同，具有唯一性。因此，通过个人的面部识别特征，就可以确定到具体特定的个人。

面部识别信息不同于照片本身。欧盟《通用数据保护法规》（GDPR）对面部识别数据和照片进行了区分。第51条叙文指出，“处理照片并不能完全被认为是处理个人敏感数据。仅在通过特定技术方法对照片做处理，使其能够识别或认证特定自然人时，照片才被认为是生物识别数据。”（参见洪延青：《人脸识别技术的法律规制研究初探》，公众号“网安寻路人”8月16日。）

人脸识别技术中的“识别”，其实就是通过特定的技术手段和方法，对含有面部特征的载体例如照片、影像等做处理，通过提取人脸的面部特征，能够识别或认证特定自然人。因此，人脸识别的过程就是认证和识别特定自然人。而在实践应用场景中，人脸识别技术的功能又可以被分为“验证”和“识别”，“脸”的内涵也相对应地体现为“身份”和“个性”，两者是相互区别的，而我们往往会将两者混为一谈。

人脸识别技术的第一种功能是指“验证”，也可以称为“认证”。通俗地说，就是来认定“你是谁”，即你是张三还是李四。在这种场景下，这张脸的内涵就是人的身份，即脸代表的是这张脸的主人是具体哪个人，用个形象的比喻来说，就是每个人“随时携带和展示带有个人照片的身份证”。

比如在火车站、机场等应用场景下，通过人脸识别技术来进行身份比对，这就是通过人脸识别技术对乘机人、乘车人进行“人证合一”核验。在这种场景下，通过人脸识别技术来进行身份验证，和过去通过人工来完成“人证合一”的比对工作相比并无差异。相反，它具有非接触性、一次性多人识别、节约人工成本的优势，能够提高人证合一比对的效率、便捷和舒适感。

此外，这种“验证”功能还体现在很多相似的应用场景下。例如，可当作政府保障公民安全和打击犯罪的有力手段，为抓捕犯人、打击犯罪以及追踪、监控恐怖主义活动提供帮助，有利于增强公共安全和监控警情；还能用于追踪失踪儿童、在远程支付中认定是否是本人交易等等。总而言之，在这种应用场景下，脸的含义，就为了证明“身份”，只要能达到认证“此人是张三”的程度即可。

总体而言，人脸识别技术的验证功能是作为社会管理的辅助手段，这中间还包括安全、打击犯罪、提高社会效率等等社会公共利益和社会福祉，在这种场景之下，脸具有一定的社会属性，或者可以称为“弱社会属性”。本人认为，在这种“脸—身份—弱社会属性”的应用场景下，如果合法合规，那么可以适当提倡人脸识别技术的应用。但是，仍然需要关注以下三项法律问题：

第一，在公权力行为（包括特定主体被授权履行特定社会管理职能时）的应用场景下，需要仔细考虑行为的合法性依据和比例原则。

比如在世界首例警方使用人脸识别技术合法性判决，即“R (Bridges) v CCSWP and SSHD”一案中，针对南威尔士警方自2017年起试点使用自动人脸识别技术的行为（对从闭路电视中获取的公众人脸进行实时处理，抽取面部生物识别信息，并将该信息与监视名单上的人的面部生物识别信息进行比对），法院认为，该行为是行使法律或法律原则所赋予某人的职能所必需的，而警察负有普通法上预防和侦查犯罪的义务，而且，执法目的符合比例标准，并且“处理是绝对必要的”。

在是不是满足“比例标准”的测试中，要考虑“措施的目标是否重要到足以证明对基本权利的限制是合理的；措施是否与目标有合理联系；是否能采取限制更少的措施，同时避免对目标作出不可接受的妥协；考虑这些情况及后果的严重性，是否可以达成个体权利和社群利益的平衡。”（参见王新锐等，《解读世界首例警方使用人脸识别技术合法性判决》，公众号“网安寻路人”10月13日）

因此，人脸识别技术在抓捕逃犯、追踪儿童、打造智慧城市等等场景下的应用，也通常会被认为是具有合法性和符合比例原则。而在曾经媒体所曝光的“厕所用人脸识别技术来达到避免人们重复取纸”的应用，与这张脸的重要性和可能的泄露风险相比，实在是没有采用人脸识别技术的必要。

此外，对于曾被关注的“用人脸识别技术识别行人，并公示违反交通法规的行人部分信息”，笔者认为，这是被新技术（人脸识别技术）掩盖下的老问题，不管人脸识别技术是否被应用，我们实际上更关注的是，主管交通部门是否有合法权力对违反交通法规的行人个人隐私信息进行公示？

第二，在商业行为的应用场景下，应当严格遵循知情同意原则和最小必要原则，并且不得将人脸识别作为唯一的身份认证方式。例如在远程支付确认主体身份、小区门禁、健身房门禁等应用场景下，应该向信息主体充分、明确地做出说明，并征得信息主体的明示同意。在信息主体拒绝提供人脸进行身份认证的时候，应当提供其他可供选择的认证方式，比如人工核验身份。

在“人脸识别进校园”被判违反欧盟GDPR的案件中，瑞典一所高中用人脸识别技术来统计学生的出勤率，正是违反了知情同意原则，因为学生在学校董事会管理之下，该学校征得的同意不是“自由做出的”，而且学校收集生物识别信息的目的只是为了监控学生出勤，为实现这一目的，可以采取其他更能保护个人数据的方式。

第三，无论是在公权力行为还是商业行为的场景之下，都需要充分考虑人脸这一面部特征信息的敏感性和重要性，需要选择最适当的安全保护措施加强保护。毕竟这张脸作为个人生物识别信息的一种，不仅是个人隐私信息，更属于个人敏感信息，一旦泄露、被非法提供或滥用，可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害。

“脸”的三重内涵之三：个性与其私人属性

人脸识别技术的第二种功能是指“识别”，和认证功能下确认脸的主人的身份不同，通俗地说，“识别”就是来指出“你和别人有何区别”，也就是你之所以是你，而不是另一个人，具有什么样的特质。在这种场景下，“脸”代表的内涵是这张脸所代表的个性。

人脸识别技术中的识别功能，直白的说，就是穿透过这张表面的脸，通过特定的算法来直接触达我们的内心，确认我们是怎样的人。比如，之前被新闻所报道的，用人脸识别技术来判断脸的主人性取向是否异常、是否有暴力倾向；新零售场景下的特定人群是否属于有购买能力的客户；北京地铁将应用人脸识别技术对乘客实施分类安检等，都是通过人脸识别技术，而对脸的主人进行区别、识别、归类。

在这里，“脸”的第三重内涵，即“个性”就具有很强的私人属性，类似于私人信息。例如，作为脸的主人在性取向、购物倾向、兴趣爱好等方面，除非是自愿对其他人公开或者披露，否则脸的主人有权利以自己希望的方式呈现自己的个性，也有权利保留自己的这种私人信息，而不是通过人脸识别技术，被动的、赤裸裸的把自己认为私密的信息向其他人展示。

不可否认，在新零售领域，通过人脸识别技术可能会更快地甄别出是不是VIP顾客，更精准地匹配购物者的购物倾向，但是这也应当是建立在客户基于完全主动自愿的基础上。否则，谁还不能享受一下“蒂芙尼早餐”中windows shopping的乐趣呢？难道因为我买不起（通过我以往的消费记录等信息推断出），我就连接受销售员的推荐、试一试漂亮衣服的资格也将被剥夺吗？

现在没有信息能够表明北京地铁将通过何种人员分类标准，来应用人脸识别技术对乘客实施分类安检，但是，如果是通过特定户口地域、国籍、职业、是否有前科等等人员分类标准来进行识别，我认为都是不可取的，因为这实质上是在推定特定户口地域、职业、有前科的人都是比其他人更危险、更有必要进行安检的人，这直接违背了平等、公正、公平的基本价值理念。

而且，以算法为基础的人脸识别技术本身，仍然存在着算法黑箱，很难保证这种穿透过脸的外表来揭示脸背后的个性是不是真的存在错误，是否会带来社会不公平和歧视。美国亚马逊人脸识别软件将28名议员识别成罪犯的故事就是明证。犹记得，当年孙志刚事件中，孙志刚因为没有带身份证被当做“三无”人员收容后遭到其他被收容人员殴打致死的惨剧。谁能保证今天的人脸识别技术本身不会识别身份出错，我们中的某个人在某一天不会因被当成潜在的坏蛋而遭到区别对待？

因此，在“脸—个性—私人属性”的应用场景下，应当严格限制人脸识别技术的应用，并且在应用中应当满足以下两个前提条件：

第一，严格遵循知情+明示同意的原则。

在信息主体充分、明确知晓个人生物识别信息会被如何收集、使用以及其后果的情形下，得到信息主体明确的同意，才能够使用。

第二，应当遵循最小必要原则。

信息收集者应当采取必要措施保障个人生物识别信息的安全，尽可能通过对生物识别信息做处理，如采用提取信息特征、而不直接存留个人面部特征信息的方式来进行应用，即使在留存个人面部特征信息的情形下，保存也不得超出实现业务目的所必需的最短时间。