我國《民法典》第1034條規定：自然人的個人信息受法律保護。《民法典》原則性的規定，可以為后期立法奠定基礎。可不可以搞人臉識別？侵犯人臉識別個人信息又當面臨什么責任？這些問題估計也只有等不久將出臺的“公民個人信息保護法”的具體規定了。

    2020年6月8日，IBM的CEO克里什納宣布退出人臉識別業務。6月10日，亞馬遜暫時禁止向美國警察提供人臉識別技術（禁令持續一年）。6月11日，微軟禁止將人臉識別技術銷售給警方。這與美國黑人弗洛依德事件引發的種族矛盾有重大關系。更為重要的是，人臉識別與公民的隱私權訴求發生嚴重沖突。2020年初，ClearviewAI公司遭遇重大數據泄露，30億張人臉數據被泄露，引發全美社會的巨大擔憂。2020年2月12日，兩名民主黨參議員提出《人臉識別道德使用法案》，要求暫時禁止政府機構使用人臉識別技術，防止其侵犯公民隱私權和影響公民自由。

    人臉識別的商業價值到底有多大

    人臉識別首先被應用于身份認證領域。在一個信用社會，任何事情幾乎都需要身份認證，賣東西、買東西、注冊公司、投票等等；當然，最重要的身份認證場景還是付款。當下，主流的人身認證方法還是打開手機，輸入密碼。如果不帶手機，刷一下臉能否直接身份認證呢？如果真能實現，懶漢們開心了。如此，“面子”就真地成為最有信用的東西。一切需要身份認證的領域，都可以用臉。

    其實，人的生物特征中可用于身份識別的信息還有很多，如指紋、聲音、視網膜等，為啥人臉識別格外受資本青睞呢？這里需要說一說其他生物特征識別的壞處了：1、指紋識別，需要手指與設備親密接觸。這樣很不衛生，疫情期間，最忌諱這個。2、聲音識別，即使當事人一定在現場，用錄制好的聲音亦可以通過識別，這很不安全。3、視網膜識別，需要眼睛靠近采集設備，如此，人自然會有一種被侵略的感覺。即使甘愿被“侵略”，視網膜感染等眼疾也會極大影響識別效果。

    當然，人臉識別也并非盡善盡美。比如，某犯罪團伙就曾制作公民的3D頭像，騙過支付寶人臉識別認證來非法獲利，當然，犯罪分子最終被懲罰了。不過，綜合看來，人臉識別還算是優點最多的身份認證方法了。所以，社會資本會一窩蜂地涌向它。

    人臉識別與公民隱私權

    人臉識別會帶來極大便利，同時引發的公民隱私權問題卻備受關注。由此也引發了全球范圍內的大討論。縱觀全球，有兩種代表性的立法模式：

    美國模式。準確地說，是美國很多州的模式。美國聯邦層面并沒有統一的法律來規制人臉識別數據。但至少有伊利諾伊州等六個州制定了生物識別數據法案。

    其中，伊利諾伊州頒布的《生物信息隱私法案（BiometricInformationPrivacyAct）》（BIPA）具有參考意義。該法案于2008年頒布，是美國境內第一部規范生物識別信息的收集、使用、保護、處理、存儲、保留和銷毀的法律。它從以下三個層面保護公民信息：

    1、知情權和同意權。采集公民生物識別信息，需告知公民并且經其同意。Facebook就曾因違反該規定收集用戶人臉信息而被起訴。后來Facebook同意支付5.5億美元，以解決其所遭遇的集體訴訟，這也讓個人隱私權獲得了重大勝利。2、企業有即時銷毀數據的義務。收集目的達到或者最長三年必須要銷毀（以個人最后一次聯系企業起算）。3、生物識別信息不能轉讓賣錢。當然，它也規定了例外情況，相關自然人同意或者法律法規的例外情況。

    歐盟模式。2018年5月25日，被譽為史上最嚴的歐盟《通用數據保護條例》正式生效。當然，這里的“數據”，泛指一切公民個人信息。人臉識別信息作為生物識別信息，也被納入公民個人信息統一受到保護（參見該條例第51條規定）。公民可據此享有如下權利：

    1、知情權與同意權。企業要收集用戶個人信息，需提前告知并經用戶同意。2、刪除權。用戶可以基于以下任何一種理由主張刪除企業存儲的個人信息：（1）數據的存在不再被需要；（2）數據主體不再同意；（3）數據儲存期限屆滿。

    歐盟模式之所以被稱為史上最嚴，緣于違反它的天價處罰。最高可以處罰2000萬歐元或者上一年度營利額的百分之4%。可以掐指算一算，以Google為例，按照它全年1000億美元的收入來算，最高可罰40億美元。

    在我國搞人臉識別是否合法

    在我國，已經發生人臉識別第一案，消費者起訴了動物園。

    2019年4月27日，郭某花錢購買了動物園年卡，入園時要求驗證年卡和指紋。約半年后，動物園向他發來短信，稱要人臉識別才能入園，未注冊人臉識別的將無法入園。

    郭某以《消費者權益保護法》第29條作為自己的重要武器，“經營者收集、使用消費者個人信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經消費者同意。”那些力挺郭某的人們還拿出了《合同法》，認為：動物園與郭某的合同已經定立，雙方同意指紋認證方式；在合同關系上，動物園單方改為人臉認證，這屬于違約。

    在郭某這個案件中，《合同法》的違約規定或是《消費者權益保護法》中的“同意權”，似乎都是在郭某一邊的。然而，更為重要的問題還在于，郭某之后的那些消費者怎么辦？試想，一群大人、小孩在動物園排隊，被告知：入園要人臉識別。當然，一切取決于消費者是否同意，然而，問題的關鍵還在于，如果你不同意，你就不能入園。

    那么，人臉識別涉及人的什么權利？

    我國《民法典》第四編“人格權”之第六章規定了“隱私和個人信息保護”。顯然，“隱私權”和“公民個人信息”是兩個獨立的概念。

    我國《民法典》第1034條規定：自然人的個人信息受法律保護。個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。個人信息中的私密信息，適用有關隱私權的規定；沒有規定的，適用有關個人信息保護的規定。

    隱私與公民個人信息是兩個相互獨立的權利，當然，它們有交叉的部分。個人在自己房間里的活動情況，就屬于典型的隱私；公民的姓名、電話號碼又屬于典型的公民個人信息（不是隱私）。人臉識別屬于公民個人信息范疇。按照《民法典》之規定，企業要收集個人信息，同樣需要征得個人同意。

    《民法典》原則性的規定，可以為后期立法奠定基礎。然而，現實的問題卻是：消費者不得不同意；以動物園人臉識別為例，如果不同意人臉識別就無法入園，消費者估計也只有同意，如此在法律上又當如何定性呢？企業侵犯人臉識別個人信息又當面臨什么責任？這些問題估計也只有等不久將出臺的“公民個人信息保護法”的具體規定了。

    盜取、倒賣公民個人信息屬于犯罪

    侵犯公民個人信息，最惡劣的情況莫過于盜竊和倒賣。我國法院已經判處了一批盜取、倒賣公民個人信息的犯罪。倒賣個人信息是一件一本萬利的事，但是要頂著坐牢的風險。

    2009年，我國就出臺了《刑法修正案（七）》，正式將公民個人信息納入刑法保護。《刑法》第253條設立了“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”。

    2015年，我國《刑法修正案（九）》將此前的二罪整合為一罪：“出售、非法提供公民個人信息罪”（老）+“非法獲取公民個人信息罪”（老）=“侵犯公民個人信息罪”（新）。將此類犯罪的主體擴展到任何人，而不再限于金融、電信等單位工作人員。

    2017年，最高人民法院、最高人民檢察院聯合制定了《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，明確了此類犯罪的立案標準。倒賣人臉識別信息，要達到多少數量才會構成犯罪呢？司法解釋規定：行蹤軌跡信息、通信信息、征信信息、財產信息50條及以上；住宿信息、通信記錄、健康生理信息、交易信息等500條及以上；其他信息5000條及以上。在司法解釋中沒有看到“人臉識別信息”、“生物識別信息”，因此它只能算作是其他信息，那么要達到5000條才會構成犯罪。5000條人臉信息，其法律重要地位僅相當于50條通信記錄，人臉識別信息自然很沒有“面子”。期待以后立法完善吧。

    我國人臉識別立法會走向何方

    在我國，從事人臉識別技術開發的企業總體上分為二類：一類是傳統的互聯網巨頭，人臉識別是其人工智能版塊的重要組成部分，如百度、阿里巴巴、騰訊等企業；另一類則是專項研發圖形識別技術的人工智能企業，代表性的企業包括商湯科技、依圖科技、云從科技、暖果科技等。

    由于法律尚未禁止人臉識別，這也為人臉識別留足了市場空間。酒店住宿、機場安檢、支付身份識別、工商辦理身份識別等場景下都大量使用人臉識別，甚至去個動物園都要人臉識別。似乎，除了竊取和倒賣，其他的都可以明目張膽地干。未來，這一切會有改變嗎？

    法律在技術和隱私之間會作出怎樣選擇？這既關系到每一位公民的切身利益，同時也關乎人臉識別技術企業的戰略選擇。

    參考國外立法，我國未來大概率會選擇如下立法模式：1、允許商用和執法適用，明確知情權、同意權和消除權等權利；2、只允許政府在管理中使用，不允許商業性使用人臉識別；3、除特殊情形，常規政府管理和商用場景均禁止使用人臉識別技術。

    上述三種立法模式，技術企業的商業空間逐漸遞減。這在國外的諸多立法中均可以看到。美國舊金山、奧克蘭、薩默維爾等市，開始禁止城市政府官員以及執法部門使用人臉識別技術。2020年初，歐盟發布了《歐盟人工智能白皮書》，其中也明確提出在3-5年內禁止人臉識別技術應用于公共場所，以評估該技術風險。果真如此的話，人臉識別技術還能賣給誰？

    立法對商業模式的影響還將長期存在。美國伊利諾伊州的《生物信息隱私法》一直困擾著那些推銷語音助手、門鈴攝像頭、照片標簽等技術公司；同樣，歐盟的《通用數據保護條例》也讓一些互聯網巨頭們急劇增加了數據合規成本。同樣，我國不斷健全的公民個人信息立法，也將開始重塑未來的全新商業模式。