余圣琪：人脸识别技术的风险与法律规制( 二 ) 中薪|高薪|智能|全屋|京东|生活

个人“信息自决权”最早是由德国的施泰姆勒在70年代个人信息保护法的草案中提出。个人“信息自决权”强调的是信息主体对于个人信息的自我决定的权利。从“个人信息权”的角度出发，个人行使自决权的前提是充分知情，即个人需要充分了解风险，同时要求个人全程参与个人信息流动的过程。人脸识别技术进行无感抓拍、实行非接触性的收集，在这种情况下个人无法控制甚至无法意识到自己的面部生物信息正在被收集和使用。人脸识别信息如果被泄露或者滥用，将会对个人隐私造成巨大损害与此同时也将严重的侵犯人格尊严。正如瑞典在2019年对一所学校使用面部识别技术来登记学生的出勤率，瑞典数据监管局认为这种行为严重侵犯了学生的个人隐私，对该校处于瑞典历史上第一个GDPR处罚。人脸识别信息属于典型的敏感个人信息，我国《公共及商用服务信息系统个人信息保护指南》和《个人信息安全规范》规定对于敏感信息的收集需要获得信息主体的明示同意授权。学校收集、处理和使用面部信息需要获得学生的同意和授权
（二）人脸信息的非法使用侵害财产权益
中国的人脸识别技术在安防、交通、金融、教育等各个领域已开始广泛运用。通过摄像头可以轻松获取面部生物信息。与此同时，人脸信息易于被破解，破解厦门银行APP人脸识别技术的“黑客”是仅有初中文化的00后。人脸识别技术给人们的生活带来了便利、使得管理变得高效有序，但是如果人脸信息被泄露和滥用将会对信息主体、信息控制者、信息使用者造成财产权益的损害。
其一，人脸信息的泄露侵害信息主体财产权益。人脸信息属于生物识别信息，我国《信息安全技术个人信息安全规范》将生物识别信息归属于敏感数据。我国《公共及商用服务信息系统个人信息保护指南》和《个人信息安全规范》将一般信息和个人敏感信息作出了区分，并规定对于敏感信息的收集需要获得信息主体的明示同意授权。即在收集人脸信息时，建立在信息主体知情同意的基础上；人脸信息在使用时，应该在确保安全的前提下公开使用规则、使用目的、方式和范围。随着人脸识别技术的发展，信息泄露造成信息主体财产权益损害的案件频频发生。正如多家售楼处使用人脸识别系统区分不同的客户以进行不同的优惠。决定购房优惠力度的关键是购房者是否曾经被人脸识别系统拍到，而这个人脸识别系统，购房者即使戴着口罩也可以进行识别。为了保护个人信息，避免财产权益的损失，出现了购房者戴着头盔去看房的新闻。
其二，人脸信息的滥用冲击企业商业利益和国家公共利益。人脸信息是复合权益的体现。一方面，个人面部生物信息不仅承载着“人格要素”，同时也承载着“财产利益”。之前在网络商城，有商家公开出售“人脸数据”，数量达到17万条之多，而且当事人对此事毫不知情。另一方面，个人面部生物信息具有多重利益主体。人脸信息对于数据主体而言具有个人价值、对于企业而言具有商业价值、对于社会而言具有公共价值。人脸信息的滥用导致企业的商业利益和国家的公共利益都受到损害。正如我国人脸信息刑事第一案，犯罪嫌疑人通过滥用人脸信息进行头像伪造，损害了企业的财产权益。在“净网2020”行动中，龙岗警方在广东、河南、山东等地抓获犯罪嫌疑人13名，不法分子利用人脸信息提供虚假注册、刷脸支付等数据黑产服务。
（三）人脸信息的识别误差损害人权保护
面部识别技术主要是通过公共场所中摄像头拍摄到的人脸信息与数据库中的图像进行对比识别，使用面部识别技术对人权的侵犯主要源于人脸识别技术的核心算法设计。美国国家标准与技术研究院的一份研究表明，不同开发者的算法精确度不同。研究评估了软件算法后发现，在一对一的匹配中，亚洲与非洲裔美国人比白种人的人脸图像取伪错误率更高；在一对多的匹配中，非洲裔美国女性的取伪错率较高。
一是人脸信息掌握的不对称。随着数字时代的到来，由传统社会走向了信息社会，由单一的物理空间向物理/电子（现实/虚拟）的双重空间转换。信息时代有三个变化：“双重空间”“人机协同”“双重属性”。“历史已经向我们表明重大的技术变迁会导致社会和经济的范式转换”，人脸识别技术的应用将引起数字时代人权的重塑和变革。“所有的数据都由我们自身产生，但所有权却并不归属于我们”。正如各种街头、商户、银行、学校等的摄像头，无感实时的抓拍由我们自身产生的具有唯一性且不可更改的人脸信息，但我们却无法控制和使用这些信息，甚至我们根本无从知晓何时何地被收集了人脸信息。由于没有经过用户的同意非法收集和存储了数百万用户的生物特征数据，2015年Facebook被美国伊利诺伊州的用户提起集体诉讼，Facebook同意将赔偿金额由5.5亿美元增加至6.5亿美元，目前诉讼双方已达成和解。由于信息掌握的不对称性，人脸信息的被收集者常常无法知道信息被收集，没有经过当事人同意收集、使用人脸识别，会侵犯其个人的人权。