數(shù)字法治：人臉識別技術(shù)的風險與法律規(guī)制

2021-04-30 16:57:07 來源：中國周刊

作者：余圣琪：華東政法大學博士研究生。本文原載《上海法學研究》集刊2020年第15卷

隨著數(shù)字時代的到來，人臉識別技術(shù)的發(fā)展取得了重大的進步。人臉識別技術(shù)現(xiàn)已成為一種流行，被廣泛運用于多個領(lǐng)域。特別是在新冠肺炎疫情防控期間，人臉識別進入了小區(qū)、校園、辦公樓，前段時間甚至進入了東莞星級公廁引發(fā)了公眾熱議。人臉識別技術(shù)在給人們生活帶來便利的同時，也給個人隱私權(quán)、財產(chǎn)安全、公共安全帶來風險和威脅。2020年11月20日，杭州市富陽區(qū)人民法院對我國人臉識別第一案進行了宣判。2019年瑞典GDPR第一案因瑞典學校使用面部識別技術(shù)登記學生出勤率而被罰款。Facebook因人臉識別技術(shù)引發(fā)了其在伊利諾伊州的集體訴訟而賠償6.5億美元。加拿大商場在沒有獲得授權(quán)的情況下使用人臉識別技術(shù)，采集了超過五百萬人臉信息。美國公開禁止人臉識別技術(shù)的城市已經(jīng)包括舊金山、波特蘭市、薩默維爾市等八個城市。歐盟發(fā)布的《歐盟人工智能白皮書》提出將在公共場所禁用人臉識別技術(shù)3到5年。

一、人臉識別技術(shù)應(yīng)用的風險

隨著人工智能、大數(shù)據(jù)的發(fā)展，人臉識別技術(shù)成為熱門的AI技術(shù)。人們最常使用的AI應(yīng)用有“刷臉”解鎖“刷臉”支付“刷臉”簽到等。美國商會認為面部識別技術(shù)有巨大的潛力，可以在交通、零售、酒店和金融服務(wù)等眾多領(lǐng)域中進行創(chuàng)新。人臉識別技術(shù)不同于其他的生物識別技術(shù)，具有不可復(fù)制性、非接觸性、可擴展性和快速性等特點。人臉識別技術(shù)在應(yīng)用中對于個人隱私權(quán)保護、財產(chǎn)權(quán)益及公民權(quán)利具有法律風險。

（一）人臉信息的收集侵犯隱私權(quán)保護

人臉識別技術(shù)日益完善，在街頭的各處都布有攝像頭，收集個人面部生物信息更加便捷。人臉識別技術(shù)在抓取個人的面部信息后，與數(shù)據(jù)庫的既有數(shù)據(jù)進行比對。通過個人圖像與一個廣泛已知的圖像數(shù)據(jù)庫進行比對，確定一個未知人的身份是一種侵入個人領(lǐng)域的表現(xiàn)。雖然不屬于隱私，但由于個人面部生物信息具有唯一性，且能通過信息比對知曉個人的基本信息、出行軌跡、密切接觸人員等相關(guān)信息，人臉信息的收集挑戰(zhàn)對于隱私權(quán)的保護。

一方面，人臉信息收集的方式挑戰(zhàn)“信息隱私權(quán)”。隱私權(quán)是自然人所享有的私人生活安寧與私人信息秘密依法受到保護，不被他人非法侵擾、知悉、搜集、利用和公開的一種人格權(quán)。到底何為隱私？隱私既可以視為物理的私人空間不被打擾的權(quán)利，也可以包括在數(shù)字、虛擬世界中不受干擾的權(quán)利。隱私權(quán)理論起源于美國，是在自由主義思想影響下的產(chǎn)物。美國的隱私權(quán)理論從基于“獨處權(quán)”的隱私權(quán)理論，隨著信息技術(shù)的發(fā)展，延伸出了信息隱私權(quán)理論以適應(yīng)高速發(fā)展的信息社會。

1967年，威斯汀在《隱私與自由》一書中提出了“信息性隱私權(quán)”?！八^隱私權(quán)，指自然人所享有的決定何時、何種方式以及何種程度將其個人信息向別人公開的權(quán)利?！睆耐雇Α靶畔⑿噪[私權(quán)”的界定中可以看出，在信息時代，隱私權(quán)更多體現(xiàn)的是一種決定權(quán)。決定何時、以何種方式以及何種程度的信息公開的權(quán)利。威斯汀的信息隱私權(quán)理論在司法實踐中得到了聯(lián)邦最高法院的認可，在具體個案中法院對于信息隱私權(quán)理論進行了系統(tǒng)的闡釋。信息隱私理論的核心是“控制權(quán)”，信息隱私權(quán)指自然人所享有的對其個人信息以及能夠被識別的個人信息獲取、披露和使用予以“控制”的權(quán)利。人臉信息的收集目前多采取在生活場景中放置攝像頭拍攝和識別的方式，如售樓處對看房者使用人臉識別系統(tǒng)進行抓拍。這樣的無接觸性收集方式侵害了被收集者的“信息隱私權(quán)”，被收集者無從知曉于何時何地被收集了人臉信息，更無法對人臉信息行使控制權(quán)。

另一方面，人臉信息的比對識別損害“人格尊嚴”。隱私權(quán)保護自然人的安寧狀態(tài)及個人的人格尊嚴。信息主體的人格尊嚴和自由價值需要進行保護已經(jīng)成為共識。“人格尊嚴”表征著人是主體、目的，而非手段、工具，擁有不可侵犯與不可剝奪的尊嚴。人們對自身價值有著本能和微妙的感覺，對自身價值的貶損不亞于對身體和財物的損害。人格尊嚴是一項根本的、終極性的價值，它需要通過具體權(quán)利來實現(xiàn)，隱私權(quán)是人格尊嚴在私法領(lǐng)域的體現(xiàn)，是人格尊嚴的必要條件。在數(shù)字時代，人格尊嚴體現(xiàn)為能夠為自己所獨立自主支配的私人空間，并且能在私人空間中不受打擾地展示自己。人臉識別技術(shù)中心的“識別”已經(jīng)不再只是個人對世界的識別，逐漸演化為社會機器對個人的識別。與此同時，隱私理論也從古典時期的空間范式向信息時代的控制范式進行轉(zhuǎn)變。

個人“信息自決權(quán)”最早是由德國的施泰姆勒在70年代個人信息保護法的草案中提出。個人“信息自決權(quán)”強調(diào)的是信息主體對于個人信息的自我決定的權(quán)利。從“個人信息權(quán)”的角度出發(fā)，個人行使自決權(quán)的前提是充分知情，即個人需要充分了解風險，同時要求個人全程參與個人信息流動的過程。人臉識別技術(shù)進行無感抓拍、實行非接觸性的收集，在這種情況下個人無法控制甚至無法意識到自己的面部生物信息正在被收集和使用。人臉識別信息如果被泄露或者濫用，將會對個人隱私造成巨大損害與此同時也將嚴重的侵犯人格尊嚴。正如瑞典在2019年對一所學校使用面部識別技術(shù)來登記學生的出勤率，瑞典數(shù)據(jù)監(jiān)管局認為這種行為嚴重侵犯了學生的個人隱私，對該校處于瑞典歷史上第一個GDPR處罰。人臉識別信息屬于典型的敏感個人信息，我國《公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》和《個人信息安全規(guī)范》規(guī)定對于敏感信息的收集需要獲得信息主體的明示同意授權(quán)。學校收集、處理和使用面部信息需要獲得學生的同意和授權(quán)

（二）人臉信息的非法使用侵害財產(chǎn)權(quán)益

中國的人臉識別技術(shù)在安防、交通、金融、教育等各個領(lǐng)域已開始廣泛運用。通過攝像頭可以輕松獲取面部生物信息。與此同時，人臉信息易于被破解，破解廈門銀行APP人臉識別技術(shù)的“黑客”是僅有初中文化的00后。人臉識別技術(shù)給人們的生活帶來了便利、使得管理變得高效有序，但是如果人臉信息被泄露和濫用將會對信息主體、信息控制者、信息使用者造成財產(chǎn)權(quán)益的損害。

其一，人臉信息的泄露侵害信息主體財產(chǎn)權(quán)益。人臉信息屬于生物識別信息，我國《信息安全技術(shù)個人信息安全規(guī)范》將生物識別信息歸屬于敏感數(shù)據(jù)。我國《公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》和《個人信息安全規(guī)范》將一般信息和個人敏感信息作出了區(qū)分，并規(guī)定對于敏感信息的收集需要獲得信息主體的明示同意授權(quán)。即在收集人臉信息時，建立在信息主體知情同意的基礎(chǔ)上；人臉信息在使用時，應(yīng)該在確保安全的前提下公開使用規(guī)則、使用目的、方式和范圍。隨著人臉識別技術(shù)的發(fā)展，信息泄露造成信息主體財產(chǎn)權(quán)益損害的案件頻頻發(fā)生。正如多家售樓處使用人臉識別系統(tǒng)區(qū)分不同的客戶以進行不同的優(yōu)惠。決定購房優(yōu)惠力度的關(guān)鍵是購房者是否曾經(jīng)被人臉識別系統(tǒng)拍到，而這個人臉識別系統(tǒng)，購房者即使戴著口罩也可以進行識別。為了保護個人信息，避免財產(chǎn)權(quán)益的損失，出現(xiàn)了購房者戴著頭盔去看房的新聞。

其二，人臉信息的濫用沖擊企業(yè)商業(yè)利益和國家公共利益。人臉信息是復(fù)合權(quán)益的體現(xiàn)。一方面，個人面部生物信息不僅承載著“人格要素”，同時也承載著“財產(chǎn)利益”。之前在網(wǎng)絡(luò)商城，有商家公開出售“人臉數(shù)據(jù)”，數(shù)量達到17萬條之多，而且當事人對此事毫不知情。另一方面，個人面部生物信息具有多重利益主體。人臉信息對于數(shù)據(jù)主體而言具有個人價值、對于企業(yè)而言具有商業(yè)價值、對于社會而言具有公共價值。人臉信息的濫用導致企業(yè)的商業(yè)利益和國家的公共利益都受到損害。正如我國人臉信息刑事第一案，犯罪嫌疑人通過濫用人臉信息進行頭像偽造，損害了企業(yè)的財產(chǎn)權(quán)益。在“凈網(wǎng)2020”行動中，龍崗警方在廣東、河南、山東等地抓獲犯罪嫌疑人13名，不法分子利用人臉信息提供虛假注冊、刷臉支付等數(shù)據(jù)黑產(chǎn)服務(wù)。

（三）人臉信息的識別誤差損害人權(quán)保護

面部識別技術(shù)主要是通過公共場所中攝像頭拍攝到的人臉信息與數(shù)據(jù)庫中的圖像進行對比識別，使用面部識別技術(shù)對人權(quán)的侵犯主要源于人臉識別技術(shù)的核心算法設(shè)計。美國國家標準與技術(shù)研究院的一份研究表明，不同開發(fā)者的算法精確度不同。研究評估了軟件算法后發(fā)現(xiàn)，在一對一的匹配中，亞洲與非洲裔美國人比白種人的人臉圖像取偽錯誤率更高；在一對多的匹配中，非洲裔美國女性的取偽錯率較高。

一是人臉信息掌握的不對稱。隨著數(shù)字時代的到來，由傳統(tǒng)社會走向了信息社會，由單一的物理空間向物理/電子（現(xiàn)實/虛擬）的雙重空間轉(zhuǎn)換。信息時代有三個變化：“雙重空間”“人機協(xié)同”“雙重屬性”?！皻v史已經(jīng)向我們表明重大的技術(shù)變遷會導致社會和經(jīng)濟的范式轉(zhuǎn)換”，人臉識別技術(shù)的應(yīng)用將引起數(shù)字時代人權(quán)的重塑和變革?！八械臄?shù)據(jù)都由我們自身產(chǎn)生，但所有權(quán)卻并不歸屬于我們”。正如各種街頭、商戶、銀行、學校等的攝像頭，無感實時的抓拍由我們自身產(chǎn)生的具有唯一性且不可更改的人臉信息，但我們卻無法控制和使用這些信息，甚至我們根本無從知曉何時何地被收集了人臉信息。由于沒有經(jīng)過用戶的同意非法收集和存儲了數(shù)百萬用戶的生物特征數(shù)據(jù)，2015年Facebook被美國伊利諾伊州的用戶提起集體訴訟，F(xiàn)acebook同意將賠償金額由5.5億美元增加至6.5億美元，目前訴訟雙方已達成和解。由于信息掌握的不對稱性，人臉信息的被收集者常常無法知道信息被收集，沒有經(jīng)過當事人同意收集、使用人臉識別，會侵犯其個人的人權(quán)。

二是人臉數(shù)據(jù)的鴻溝。由于技術(shù)或者經(jīng)濟等相關(guān)方面的原因如沒有互聯(lián)網(wǎng)設(shè)備、缺少互聯(lián)網(wǎng)知識等造成的數(shù)據(jù)鴻溝，數(shù)據(jù)鴻溝對一些社會群體進行賦權(quán)，而對另一些社會群體則沒有。由于數(shù)據(jù)鴻溝的關(guān)系，知識儲備和技術(shù)掌握的不同，人們對于人臉識別技術(shù)所持有的觀點也不同。有人認為人臉識別技術(shù)是科技的進步，為我們的生活帶來便利，順其自然的享受便利即可；也有人認為人臉識別技術(shù)的泄露和濫用有侵犯人權(quán)的風險；還有人認為在享受人臉識別技術(shù)便利的同時需要對人臉識別技術(shù)的使用進行規(guī)定和限制。人臉識別技術(shù)的算法由于數(shù)據(jù)的鴻溝不易被人們所了解，算法的識別誤差侵犯公民的基本權(quán)利。例如北京地鐵站為了提高安檢效率準備對乘客進行分類安檢，對于不同類別的乘客采取不同的安檢方式。這樣的分類標準是一種算法的體現(xiàn)，由于數(shù)據(jù)鴻溝的存在算法不易被人理解、接受，這樣的分類行為將侵犯公民的人權(quán)。

二、域外人臉識別技術(shù)的法律規(guī)制

由于政治、經(jīng)濟、社會和文化的不同，歐美對于人臉識別技術(shù)的法律規(guī)制方式和路徑也不相同。美國采取的是分散的管理模式，美國各州在聯(lián)邦政府之前已經(jīng)開始對人臉識別技術(shù)的使用進行規(guī)制。目前已經(jīng)有八個州公開禁止使用人臉識別技術(shù)；歐盟采取的是統(tǒng)一禁止的態(tài)度，強調(diào)對于“基本權(quán)利”的保護。

（一）美國人臉識別應(yīng)用的法律規(guī)制

美國對數(shù)據(jù)隱私和數(shù)據(jù)安全領(lǐng)域進行分別立法，并且美國聯(lián)邦層面沒有制定統(tǒng)一的數(shù)據(jù)保護基本法典，而是對數(shù)據(jù)進行分行業(yè)式的分散立法，制定專門的數(shù)據(jù)保護法律，進行分類管理。美國各州則形成了具有各州特色的數(shù)據(jù)保護法律框架。關(guān)于人臉識別技術(shù)的運用，目前美國聯(lián)邦層面沒有統(tǒng)一的法律法規(guī)，但部分州已經(jīng)在聯(lián)邦之前對人臉識別技術(shù)進行限制。

由于歷史傳統(tǒng)文化及立法驅(qū)動力的不同，美國在保護個人數(shù)據(jù)主體權(quán)利的基礎(chǔ)上，側(cè)重于促進數(shù)據(jù)共享流動與數(shù)據(jù)的商業(yè)利用價值。關(guān)于人臉識別的數(shù)據(jù)保護，美國對于政府等公權(quán)力部門和商業(yè)私營機構(gòu)采取了不同的規(guī)制態(tài)度。通過抑制政府部門權(quán)力，利用美國各個行業(yè)之間的嚴格自律來實現(xiàn)人臉數(shù)據(jù)隱私保護的目的。由于面部生物信息具有易獲取性、唯一性、不可更改性、難以救濟性等特征，《2019年商業(yè)面部識別隱私》提出禁止商業(yè)上的面部信息的使用，足以可見面部生物信息保護的特殊性和重要性。2020年2月，美國兩位民主黨參議員提出了人臉識別道德使用法案，主要包括三個方面：其一成立國會委員會，專門制定在美國使用人臉識別技術(shù)的準則；其二在委員會頒布人臉識別技術(shù)使用指南前，限制政府機構(gòu)使用人臉識別技術(shù)；其三是關(guān)于救濟渠道和限制聯(lián)邦基金使用的相關(guān)執(zhí)行規(guī)定。美國科技業(yè)代表公司對于公權(quán)力機關(guān)使用人臉識別技術(shù)相繼表態(tài)，IBMCEO克里希納宣布不再提供通用人臉識別軟件，亞馬遜、微軟都聲明將暫停向警方提供人臉識別技術(shù)，并提議國家相關(guān)法律的出臺。

目前，已經(jīng)有八個州對人臉識別技術(shù)的應(yīng)用作出相關(guān)規(guī)定。美國舊金山市、奧克蘭、薩默維爾、麥迪遜等市都對人臉識別技術(shù)出臺了禁令。2019年5月，美國舊金山出臺了停止秘密監(jiān)控法令，禁止將人臉識別技術(shù)用于公共部門，成為美國第一個禁止使用人臉識別技術(shù)的城市。伊利諾伊州制定了生物識別數(shù)據(jù)相關(guān)的專門法案，生物信息隱私法案于2008年頒布，是美國境內(nèi)第一部規(guī)范“生物標識符和信息”的法律。伊利諾伊州擁有全美關(guān)于生物特征隱私保護最全面的法律，基于此Facebook同意賠償6.5億美金與伊利諾伊州集體訴訟的用戶和解。2020年3月華盛頓州通過人臉識別服務(wù)法，該法強調(diào)州和地方政府機構(gòu)應(yīng)以有益于社會、保護公民自由的方式使用人臉識別技術(shù)。首先，州或地方政府機構(gòu)在開發(fā)、使用、獲取人臉識別服務(wù)時需要向立法機關(guān)提交問責報告；其次，在運營狀態(tài)下對人臉識別服務(wù)進行合法、獨立、合理的測試，確保準確性。最后，從事人臉識別服務(wù)的技術(shù)人員需要定期進行培訓。由此可見，華盛頓州對政府使用人臉識別技術(shù)進行嚴格限制。加州也在2020年制定專門的人臉識別法，該法授予個人關(guān)于人臉識別信息的確認權(quán)、刪除權(quán)、撤回權(quán)以及糾正或質(zhì)疑的權(quán)利；與此同時，加州人臉識別法規(guī)定了強制令處罰，對違法行為處以不超過2500美元的民事處罰或?qū)室膺`法行為處以7500美元的罰款。

（二）歐盟人臉識別技術(shù)的法律規(guī)制

歐盟目前并沒有對于人臉識別技術(shù)的應(yīng)用制定專門的法律法規(guī)，主要是通過通用數(shù)據(jù)保護條例（以下簡稱GDPR）進行法律規(guī)制。歐盟制定的GDPR以人權(quán)高度及天價罰款樹立起保護個人數(shù)據(jù)權(quán)利的最高標準。GDPR第1章是關(guān)于基本條款的規(guī)定，第2章談?wù)摰氖菙?shù)據(jù)保護的基本原則，第3章對數(shù)據(jù)權(quán)利保護進行了專章的規(guī)定，由此可以看出GDPR對于數(shù)據(jù)權(quán)利的重視。

歐盟對于人臉識別技術(shù)的規(guī)制不同于美國，采取統(tǒng)一禁止的管理模式。歐盟不僅僅限制公權(quán)力收集人臉信息同時也嚴格限制私企業(yè)采集人臉數(shù)據(jù)。具體到歐洲各國，對于人臉識別技術(shù)的規(guī)制持有不同的態(tài)度。瑞典GDPR第一案以及法國數(shù)據(jù)保護法都表明出對人臉識別數(shù)據(jù)的強監(jiān)管態(tài)度。但英國卻表現(xiàn)出不同的態(tài)度，認可警察使用人臉識別技術(shù)的合法性。2019年5月，英國公民里奇斯認為南威爾士警方在沒有獲得其本人同意的情況下，使用人臉識別技術(shù)獲取了其面部生物數(shù)據(jù)的行為侵犯了其隱私權(quán)。原告認為警方使用人臉識別技術(shù)“AFRLocate”違反了《歐洲人權(quán)公約》，違背英國數(shù)據(jù)保護法的相關(guān)規(guī)定，未盡公共部門平等職責。

法院認為：第一，警方使用“AFRLocate”有職權(quán)依據(jù)，警察的普遍法權(quán)力使得警方可以使用該人臉識別設(shè)備，警察為了預(yù)防、偵查犯罪有權(quán)合理使用個人的照片。第二，警方使用“AFRLocate”符合正當性原則。警方在部署人臉識別設(shè)備時對公眾進行了告知；使用該技術(shù)有時限限制且覆蓋范圍有限；對于原告權(quán)利的限制僅限于對其面部數(shù)據(jù)的比對，如果比對成功最多保留24小時，如果未比對成功將會自動刪除，并不涉及對原告信息的披露和存儲。

三、完善我國人臉識別技術(shù)的法律規(guī)制

隨著萬物互聯(lián)時代的到來，數(shù)據(jù)成為一種財富，成為驅(qū)動商業(yè)的一種重要模式。運用人臉識別技術(shù)收集的面部生物信息，對于個人而言使得生活更加便捷、智能；對于企業(yè)而言人臉數(shù)據(jù)具有高額的變現(xiàn)價值；對于政府而言利用人臉識別技術(shù)有利于社會的治理。由于信息革命的推動，引發(fā)了包括價值觀念、生產(chǎn)方式、生活方式、社會關(guān)系、社會秩序等在內(nèi)的全方位的變革。我國在運用人臉識別技術(shù)推動智慧社會建設(shè)的同時，也要注意人臉識別技術(shù)運用帶來的法律風險，完善我國人臉識別技術(shù)的法律規(guī)制。

（一）建構(gòu)統(tǒng)一的法律規(guī)范體系

對于個人信息保護，我國多部法律、行政法規(guī)、部門規(guī)章、地方性法規(guī)、地方規(guī)章及司法解釋都作出了相關(guān)規(guī)定。目前我國采用的是安全防范為主兼顧數(shù)字經(jīng)濟發(fā)展的個人信息保護模式。我國制定了很多與安全相關(guān)的規(guī)范，如國家安全法、網(wǎng)絡(luò)安全法、個人信息安全規(guī)范、網(wǎng)絡(luò)安全審查辦法、數(shù)據(jù)安全法草案、個人信息保護法草案等，法律規(guī)范體系都是從安全風險防范的邏輯體系構(gòu)建的，與此同時，我國高度重視數(shù)字經(jīng)濟的發(fā)展?？傮w而言，由于我國個人信息保護的法律規(guī)范體系不完整，呈現(xiàn)出“碎片化”“散亂化”“板塊化”的特點。

我國需要制定統(tǒng)一的個人信息保護法。具體到人臉識別規(guī)制上，我國目前并沒有對人臉數(shù)據(jù)的規(guī)制進行專門立法，多以地方性法規(guī)和部門規(guī)章的形式予以規(guī)制?！缎畔踩夹g(shù)個人信息安全規(guī)范》對個人敏感信息進行了界定，并將一般信息和個人敏感信息作出了區(qū)分，規(guī)定對于指紋、虹膜、面部信息等敏感信息的收集需要獲得信息主體的明示授權(quán)同意。《信息安全技術(shù)個人信息安全規(guī)范》是國家標準，法律效力較低，對于生物識別信息的法律屬性、功能沒有具體的規(guī)定，缺乏系統(tǒng)、統(tǒng)一的法律規(guī)制機制。因此需要制定統(tǒng)一的個人信息保護法。

（二）建立政府主導的多重治理機制

隨著互聯(lián)網(wǎng)、人工智能、大數(shù)據(jù)的發(fā)展，人類進入了數(shù)字時代。在大數(shù)據(jù)時代，人臉識別技術(shù)的應(yīng)用對于企業(yè)而言具有變現(xiàn)價值。在使用人臉識別技術(shù)時，人臉數(shù)據(jù)的保護應(yīng)該強調(diào)政府和社會共同參與、合作，鼓勵互聯(lián)網(wǎng)企業(yè)、行業(yè)協(xié)會等單位依法收集、處理、使用人臉數(shù)據(jù)，在保護數(shù)據(jù)權(quán)利的前提下才能更好地促進人臉識別技術(shù)的使用和發(fā)展。

各大互聯(lián)網(wǎng)企業(yè)是數(shù)據(jù)權(quán)利保護重要的主體，加強企業(yè)的自律機制也是數(shù)據(jù)權(quán)利保護的重要環(huán)節(jié)。正如美國對于數(shù)據(jù)立法采用的是自由式市場為導向，以強監(jiān)管為基礎(chǔ)的治理模式。為了促進數(shù)據(jù)的流動，CCPA采用的是選擇退出（opt-out）的模式，對于數(shù)據(jù)收集采取的是通知告知原則。CCPA的管轄范圍設(shè)置了三個門檻：第一個是年收入門檻，即年度總收入超過2500萬美元；第二個門檻是數(shù)量門檻，即5萬條及以上數(shù)量的個人信息；第三個門檻是收入比例門檻，即年收入的50%及以上來自出售消費者個人信息。只有當企業(yè)達到上述一個或多個門檻時，并且“以商業(yè)目的處理加州居民個人信息”時，才屬于CCPA管轄的實體。由于美國對于數(shù)據(jù)的價值取向更加鼓勵數(shù)據(jù)的自由流動，所以美國鼓勵企業(yè)實行自律管理，但當企業(yè)無法自我規(guī)制，美國聯(lián)邦貿(mào)易委員會（FTC）有強監(jiān)管權(quán)。歐盟GDPR采用的是選擇進入（opt-in）的模式，GDPR重視對于人權(quán)的保護，在使用數(shù)據(jù)之前需要獲得數(shù)據(jù)主體的同意，才能選擇進入。我國對于人臉數(shù)據(jù)應(yīng)該采用“opt-in”為主、“opt-out”為輔的模式，因為人臉數(shù)據(jù)等生物識別數(shù)據(jù)屬于敏感信息，需要建立在主體數(shù)據(jù)明示同意授權(quán)的基礎(chǔ)上才能進入，在選擇進入后應(yīng)該給予企業(yè)風險評估等數(shù)據(jù)處理的空間和權(quán)利。

（三）塑造“數(shù)字人權(quán)”的正義觀

隨著大數(shù)據(jù)、人工智能的發(fā)展，人臉識別技術(shù)也在走進人們的日常生活。人臉識別技術(shù)在給人們的生活帶來便利的同時也存在著侵犯公民人權(quán)的風險。2011年聯(lián)合國宣布互聯(lián)網(wǎng)接入權(quán)是基礎(chǔ)性人權(quán)，2016年聯(lián)合國認為互聯(lián)網(wǎng)相關(guān)的權(quán)利是人權(quán)的重要組成部分，2018年聯(lián)合國社會發(fā)展研究機構(gòu)（UNRISD）在報告中討論了新技術(shù)對于傳統(tǒng)三代人權(quán)的變革和顛覆。

卡雷爾·瓦薩克提出的“三代人權(quán)”理論被大眾所知悉并接受，“第一代人權(quán)”主張公民政治權(quán)利，“第二代人權(quán)”強調(diào)經(jīng)濟、社會和文化權(quán)利，“第三代人權(quán)”主張的是民族自決權(quán)和生存發(fā)展權(quán)。自主性、福利和自由構(gòu)成了最高層次的人權(quán)的一個三元組合。三代人權(quán)的理念都建立在傳統(tǒng)的工商業(yè)時代基礎(chǔ)上，涉及的是物理時空中的生產(chǎn)生活關(guān)系。如今數(shù)字時代，傳統(tǒng)的人權(quán)理念已經(jīng)無法保護數(shù)字時代遭遇的線上線下雙重空間的人權(quán)挑戰(zhàn)，如算法霸權(quán)、算法歧視、數(shù)字鴻溝等。數(shù)字人權(quán)是以數(shù)據(jù)和信息為載體，展現(xiàn)著智慧社會中人的數(shù)字化生存樣態(tài)和發(fā)展需求的基本權(quán)利，其目標在于反技術(shù)霸權(quán)、反數(shù)據(jù)信息控制，努力消解和應(yīng)對信息鴻溝、侵犯隱私、算法歧視、監(jiān)控擴張等人權(quán)難題?！皵?shù)字人權(quán)”的意義在于，以人權(quán)的力量和權(quán)威強化對數(shù)字科技開發(fā)及其運用的倫理約束和法律規(guī)制。雖然“數(shù)字人權(quán)”理念目前只是處在學界討論的階段，并沒有相關(guān)的法律法規(guī)或制度上予以確立。但伴隨著數(shù)字科技的發(fā)展，社會已經(jīng)進入到智能時代，“數(shù)字人權(quán)”是更加適合數(shù)字時代的人權(quán)觀念?！盁o數(shù)字，不人權(quán)”。數(shù)字時代帶來的社會全方位的變革使得“數(shù)字人權(quán)”的探討和研究急迫且重要。

結(jié) 語

郭兵訴杭州野生動物世界有限公司案被稱為中國“人臉識別第一案”，2020年11月20日法院進行了判決，引起了學界的關(guān)注和討論。人臉識別技術(shù)目前被廣泛地運用于各個領(lǐng)域?！叭四樧R別”技術(shù)在便利生活、發(fā)揮技術(shù)潛力的同時也存在著法律風險，如人臉信息的收集侵犯隱私權(quán)保護、人臉信息的非法使用侵害財產(chǎn)權(quán)益、人臉信息的識別誤差損害人權(quán)保護。域外對于人臉識別技術(shù)的法律規(guī)制也不相同，歐盟采取的是統(tǒng)一禁止的態(tài)度；美國目前已經(jīng)有八個州公開禁止使用人臉識別技術(shù)。我國目前并沒有制定專門規(guī)制“人臉識別”技術(shù)的法律法規(guī)，為了防范“人臉識別”運用帶來的法律風險，需要建構(gòu)統(tǒng)一的法律規(guī)范體系、建立政府主導的多重治理機制、塑造“數(shù)字人權(quán)”的正義觀等規(guī)制方式，在保護公民隱私權(quán)、財產(chǎn)權(quán)益、人權(quán)的同時促進“人臉識別”技術(shù)合法、合理的使用。

《數(shù)字法治》專題由華東政法大學數(shù)字法治研究院供稿。專題統(tǒng)籌：秦前松。

編輯：海洋