一種說法

根據個人信息保護的制度和實踐，可以有四種構造人臉識別技術應用場景的模式，相應地，對于個人信息的保護也是在逐步增強。

最近，從AI視頻監控進課堂、“ZAO”APP換臉到“人臉識別第一案”，人臉識別技術帶來的安全隱患為輿論所關切。而新京報近日刊發的調查報道，則進一步坐實了公眾的“人臉焦慮”。

記者調查發現，網上有一些私下售賣人臉數據的賣家，有發帖者稱8元可買3萬張人臉照片，有賣家表示可以提供“更多渠道”的人臉圖片。還有賣家表示，其出售的照片大部分來自朋友圈，且沒有取得對方同意。

對人臉識別的擔憂，當區分兩個層次

人臉識別技術本質上是一種算法，是通過捕捉一個人的臉部幾何特征，并將其與已經儲存的圖像進行比對的身份識別技術。

當前，法律制度對于個人信息的保護采取的是分等級保護的模式，區分一般個人信息與敏感個人信息，對于諸如人臉、指紋和基因等具有高度可識別性的個人生物信息，給予最高等級的保護。

不過，由于對人臉識別技術帶來的偏見和隱私方面的擔憂，有的國家和地區明確限制甚至禁止其使用。當前，正如上文調查中所言，我國人臉識別技術的應用也具有泛濫的傾向，通過立法明確加以規制的呼聲一直很高。

當前，我們對于關于人臉識別技術的擔憂，應該區分兩個層次。

第一個層次是主要的，即在何種場景下運用人臉識別技術是允許的。這個層次對應的是個人信息收集需要符合“必要且有限”的原則；

第二個層次是人臉識別技術涉及的人臉信息和圖像在被收集和儲存后的處理，即如何做到準確、沒有歧視、數據安全，且符合最初人臉識別技術運用的目的。

第一層次在邏輯上應當是在先的。人們往往也會因為第二個層面的擔憂無法得到滿足，而對人臉識別技術應用場景的容忍度產生差別。

不過，第二個層面擔憂的解決，并不一定需要全面禁止或限制人臉識別技術的應用，而是可以通過技術自身的改進和制度的優化來加以應對。當然，也可能因技術上無法解決的困難，而導致禁止或限制其應用。

就當前的討論而言，區分第一個層面具有更直接的相關性。

人臉識別技術應用場景分為四種模式

根據個人信息保護的制度和實踐，可以有四種構造人臉識別技術應用場景的模式。

第一種模式是人臉識別技術的應用無須告知，也無須取得同意。這種模式的主要場景應該限于執法領域，例如用于發現犯罪嫌疑人，反對恐怖主義等；

第二種模式是人臉識別技術的應用需要告知，但無須取得同意。這里的告知在實踐當中基于特定場合的不同，可以體現為公告的形式，主要的應用場景應該限于機場、車站、體育場所等人流密集的地方，這種場景下的應用目的主要應限于維護公共安全的需要；

第三種模式則是必須事先告知，并且取得同意，這種場景下的應用主要是在商業領域，以人臉識別技術進行統計、打卡也可以寬泛地歸入到這種場景。在這種場景下，信息主體通過人臉識別形象獲得的是諸如便利，或者某些經濟方面的利益；

第四種模式是即便事先告知和取得同意，也應該予以限制甚或禁止的情形。這里的應用場景是學校、公園、圖書館等公共服務機構，基于便利和效率的需要而進行人臉識別，但具體允許到何種程度則應該根據具體的情形加以分析。

這四種模式的背后，實際上是一種基于技術應用目的所進行的利益權衡。即人臉識別技術可能帶來的收益，與可能產生的風險以及隱私價值的權衡。

建立個人信息梯度保護制度

前面四種模式，利益的權衡都應該遵循嚴格、必要且有限的原則。例如，就第一種和第二種情形而言，公共機構基于特定的公共安全目的，對于特定場所和環節應用人臉識別技術，但如果擴大為對所有公共場所無差別地適用，就會給個體造成自在空間被收縮的束縛感和焦慮感；

就第三種情況而言，則是信息主體在自身的便利、效率和個人信息的自我控制與安全之間進行權衡。在這種情形下，即便采取告知和明確同意的原則，如果信息主體不清楚自己的信息被如何處理甚至被交易，就會給個體自我生活失去控制的被剝奪感。所以，人臉識別技術還應該在后續的儲存和處理等環節，保證透明度和信息的安全。

就第四種場景而言，在不涉及重大安全考慮的情況下，考慮到人臉識別是一種更加具有侵犯性的技術方式（弱于收集指紋），所以，相應部門應當考察是否存在其他更不具有侵犯性的替代性方式。如何以效率和便利的前提下，考慮人臉技術在這種場景下的運用，將會是一個最大的挑戰。

總的來說，這四種模式對于人臉識別技術在允許性方面的規制是逐步增強的。相應地，對于個人信息的保護也是在逐步增強。通過區分不同的場景以及不同場景的利益的權衡，從而建立對于個人信息的一種梯度保護制度。

□畢洪海（北京航空航天大學法學院副教授、院長助理）