余圣琪：人脸识别技术的风险与法律规制( 四 ) 中薪|高薪|智能|全屋|京东|生活

（二）欧盟人脸识别技术的法律规制
欧盟目前并没有对于人脸识别技术的应用制定专门的法律法规，主要是通过通用数据保护条例（以下简称GDPR）进行法律规制。欧盟制定的GDPR以人权高度及天价罚款树立起保护个人数据权利的最高标准。GDPR第1章是关于基本条款的规定，第2章谈论的是数据保护的基本原则，第3章对数据权利保护进行了专章的规定，由此可以看出GDPR对于数据权利的重视。
欧盟对于人脸识别技术的规制不同于美国，采取统一禁止的管理模式。欧盟不仅仅限制公权力收集人脸信息同时也严格限制私企业采集人脸数据。具体到欧洲各国，对于人脸识别技术的规制持有不同的态度。瑞典GDPR第一案以及法国数据保护法都表明出对人脸识别数据的强监管态度。但英国却表现出不同的态度，认可警察使用人脸识别技术的合法性。2019年5月，英国公民里奇斯认为南威尔士警方在没有获得其本人同意的情况下，使用人脸识别技术获取了其面部生物数据的行为侵犯了其隐私权。原告认为警方使用人脸识别技术“AFRLocate”违反了《欧洲人权公约》，违背英国数据保护法的相关规定，未尽公共部门平等职责。
法院认为：第一，警方使用“AFRLocate”有职权依据，警察的普遍法权力使得警方可以使用该人脸识别设备，警察为了预防、侦查犯罪有权合理使用个人的照片。第二，警方使用“AFRLocate”符合正当性原则。警方在部署人脸识别设备时对公众进行了告知；使用该技术有时限限制且覆盖范围有限；对于原告权利的限制仅限于对其面部数据的比对，如果比对成功最多保留24小时，如果未比对成功将会自动删除，并不涉及对原告信息的披露和存储。
三、完善我国人脸识别技术的法律规制
随着万物互联时代的到来，数据成为一种财富，成为驱动商业的一种重要模式。运用人脸识别技术收集的面部生物信息，对于个人而言使得生活更加便捷、智能；对于企业而言人脸数据具有高额的变现价值；对于政府而言利用人脸识别技术有利于社会的治理。由于信息革命的推动，引发了包括价值观念、生产方式、生活方式、社会关系、社会秩序等在内的全方位的变革。我国在运用人脸识别技术推动智慧社会建设的同时，也要注意人脸识别技术运用带来的法律风险，完善我国人脸识别技术的法律规制。
（一）建构统一的法律规范体系
对于个人信息保护，我国多部法律、行政法规、部门规章、地方性法规、地方规章及司法解释都作出了相关规定。目前我国采用的是安全防范为主兼顾数字经济发展的个人信息保护模式。我国制定了很多与安全相关的规范，如国家安全法、网络安全法、个人信息安全规范、网络安全审查办法、数据安全法草案、个人信息保护法草案等，法律规范体系都是从安全风险防范的逻辑体系构建的，与此同时，我国高度重视数字经济的发展。总体而言，由于我国个人信息保护的法律规范体系不完整，呈现出“碎片化”“散乱化”“板块化”的特点。
我国需要制定统一的个人信息保护法。具体到人脸识别规制上，我国目前并没有对人脸数据的规制进行专门立法，多以地方性法规和部门规章的形式予以规制。《信息安全技术个人信息安全规范》对个人敏感信息进行了界定，并将一般信息和个人敏感信息作出了区分，规定对于指纹、虹膜、面部信息等敏感信息的收集需要获得信息主体的明示授权同意。《信息安全技术个人信息安全规范》是国家标准，法律效力较低，对于生物识别信息的法律属性、功能没有具体的规定，缺乏系统、统一的法律规制机制。因此需要制定统一的个人信息保护法。
（二）建立政府主导的多重治理机制
随着互联网、人工智能、大数据的发展，人类进入了数字时代。在大数据时代，人脸识别技术的应用对于企业而言具有变现价值。在使用人脸识别技术时，人脸数据的保护应该强调政府和社会共同参与、合作，鼓励互联网企业、行业协会等单位依法收集、处理、使用人脸数据，在保护数据权利的前提下才能更好地促进人脸识别技术的使用和发展。
各大互联网企业是数据权利保护重要的主体，加强企业的自律机制也是数据权利保护的重要环节。正如美国对于数据立法采用的是自由式市场为导向，以强监管为基础的治理模式。为了促进数据的流动，CCPA采用的是选择退出（opt-out）的模式，对于数据收集采取的是通知告知原则。CCPA的管辖范围设置了三个门槛：第一个是年收入门槛，即年度总收入超过2500万美元；第二个门槛是数量门槛，即5万条及以上数量的个人信息；第三个门槛是收入比例门槛，即年收入的50%及以上来自出售消费者个人信息。只有当企业达到上述一个或多个门槛时，并且“以商业目的处理加州居民个人信息”时，才属于CCPA管辖的实体。由于美国对于数据的价值取向更加鼓励数据的自由流动，所以美国鼓励企业实行自律管理，但当企业无法自我规制，美国联邦贸易委员会（FTC）有强监管权。欧盟GDPR采用的是选择进入（opt-in）的模式，GDPR重视对于人权的保护，在使用数据之前需要获得数据主体的同意，才能选择进入。我国对于人脸数据应该采用“opt-in”为主、“opt-out”为辅的模式，因为人脸数据等生物识别数据属于敏感信息，需要建立在主体数据明示同意授权的基础上才能进入，在选择进入后应该给予企业风险评估等数据处理的空间和权利。