人脸识别技术与应用的风险及治理研究_张溪瑨.pdf

资源描述

1、第卷第期年月科学学研究文章编号：（）人脸识别技术与应用的风险及治理研究张溪瑨，王晓丽（中国人民公安大学法学院，北京；警务物联网应用技术公安部重点实验室，北京）摘要：作为人工智能领域的落地标杆技术，人脸识别技术具有自然性、非接触性、不易察觉性、并发性等特征。当前，人脸识别技术在公共领域和商业领域得到广泛应用。但与此同时，人脸识别技术缺陷引发的风险和信息处理合法性风险使得人脸信息的保护备受挑战。人脸信息是生物识别信息，属于个人敏感信息。在大数据时代，作为个人信息处理的重要合法性基础，“知情同意原则”在人脸信息保护方面面临实践困境。因此，我国亟需规范人脸识别技术的应用，有必要从

2、法律层面（源头上风险治理）、技术标准（填补式风险治理）、监管沙盒（适应性风险治理）三个角度来完善我国人脸识别技术风险治理体系，在人脸识别技术创新应用与信息主体合法权益之间寻求平衡，从而打造负责任的人脸识别技术。关键词：人脸识别；生物识别信息；知情同意原则；隐私保护设计；监管沙盒中图分类号：文献标识码：此类摄像头是由专门软件公司提供的信息管理服务，与此同时，软件公司自己也收集与分析顾客人脸信息。收稿日期：；修回日期：基金项目：北京市社会科学基金规划项目（）作者简介：张溪瑨（），女，讲师，博士。王晓丽（），女，硕士，通讯作者，：。近年来，随着计算机技术的应用与发展，人脸识别技术已成为人工智能领域的

3、落地标杆技术。年月，美国市场研究公司发布的研究报告显示，年全球人脸识别市场规模为亿美元，预计从年到年，在预测期内的复合年增长率为。然而，在人脸识别技术广泛应用的今天，该技术所带来的社会风险的发生概率亦呈比例增长。继我国人脸识别第一案（郭兵诉杭州野生动物园案）发生之后，年央视“”晚会曝光科勒卫浴门店等商家暗藏摄像头私自捕捉“人脸”信息，以自动匹配顾客的年龄、性别、甚至当时的情绪，使得人脸信息的不当收集与滥用再一次被推上风口浪尖，引发了社会公众广泛关注。因此，我国亟需规范人脸识别技术的应用，寻求人脸识别技术创新应用与信息主体合法权益之间的平衡。人人脸脸识识别别技技术术的的应应用用与与风

4、风险险：人人脸脸信信息息的的规规范范属属性性随着深度卷积神经网络和大规模数据集的发展，基于深度学习的人脸识别技术取得了显著进展。所谓人脸识别技术，可以简单归纳为通过深度学习算法对脸部信息的特征提取和分类识别，从而进行身份识别的一种生物识别技术。该技术可用于识别照片、视频或实时人物，其工作流程主要包括五个步骤，即图像采集、人脸检测、特征提取、数据库比对、身份识别。与传统生物特征识别技术（例如，指纹识别、声纹识别、虹膜识别）相比，人脸识别技术具有以下特点：（）自然性，即人脸识别技术通过观察人们所具有的自然性的脸部生物特征来进行身份的确认；（）非接触性，即人脸识别技术无需被识别主体的配合，与设备未

5、接触的情况下直接通过摄像头在一定距离内便可实现识别；（）不易察觉性，即人脸识别技术利用可见光即可主动获取人脸数据，而不被被识别主体察觉，因而更容易获得；（）并发性，即人脸识别技术在实际应用场景下可以同时进行多个人脸的分拣、判断及识别。基于以上特征，人脸识别技术具备身份认证、识别与追踪、影响行为主体的选择等多项功能，因而在公共领域和商业领域得到了广泛应用。人脸识别技术的应用场景（）人脸识别技术的公共应用人脸识别技术在社会治安领域和公共服务领域DOI:10.16192/ki.1003-2053.20220701.003科学学研究第卷发挥着重要作用。通过实现“人脸”的数据化，进而间接地实现

6、“人”的数据化，人脸识别技术极大提高了政府执政执法能力。一方面，人脸识别技术在刑事侦查、治安管控、各类安保等社会治安领域颇具成效。例如，公安机关通过人脸识别技术与视频监控系统结合，加上与目标人群的人脸信息库进行对比，即可快速识别出目标人群进行抓捕。另一方面，人脸识别技术在公共服务领域得到了广泛应用，有助于实现精准治理，提高社会管理水平。例如，深圳市在年实现退休人员“刷脸”领取养老金，利用人脸识别技术进行身份核验。（）人脸识别技术的商业应用随着互联网与计算机技术的深入发展和深入应用，人、事、物都被数据化，数据成为新的生产要素，具有极大的商业价值。以刷脸支付为例，自年以来呈现爆发性增长之势，被

7、广泛应用在酒店、零售餐饮、移动支付客户端、金融类等应用场景。顾客只需对准刷脸设备上的摄像头刷脸认证后，即可完成全部交易流程。此外，人脸作为社会交往的强大媒介，可以反映出包括身份、性别、年龄、身体健康、吸引力、情感、个性特征、社会地位等信息。因此，基于人脸信息的用户画像与个性化推荐在商业营销领域广泛使用。如果说早期的互联网是“人找信息”，那么随着用户画像与个性化推荐的普遍化，如今的互联网开始越来越多的迈向“信息找人”的阶段。此外，人脸识别技术在娱乐软件和社交媒体中同样得到了广泛应用。综上所述，人脸识别技术在公共领域和商业领域的应用带来了诸多便利，然而，与此同时，人脸识别技术的大规模应用使得人脸

8、信息保护备受挑战。人脸识别技术应用风险当前，人脸识别技术应用风险主要来源于技术缺陷引发的风险和信息处理合法性风险。（）技术缺陷引发的风险人脸识别技术具有复杂性特征，与传统生物特征识别技术相比，人脸识别的技术要求是最高的。随着人脸识别技术的门槛降低，技术缺陷引发了安全性、准确性等方面的问题。第一，安全性风险。技术缺陷引发的安全性风险以欺骗攻击为典型。所谓欺骗攻击是指一种错误接受，即攻击者向人脸识别系统提交虚假证据以获取身份验证。由于通过社交网站或远处拍摄的方式便可以获取他人的照片或视频，人脸识别系统很容易受到欺骗攻击。攻击者可以通过将未经授权的渠道获得的照片和录制的视频显示到设备上来访问系统，具

9、体分为欺骗攻击（照片攻击、视频攻击）和欺骗攻击（面具攻击）。目前，基于降低成本等因素的考量，技术服务商大多选择技术，无形中增加了欺骗攻击的安全风险。例如，年，几位小学生用打印照片就能利用丰巢快递柜的刷脸取件功能。此外，年，瑞莱智慧团队通过打印眼睛部位图案并裁剪后贴到眼镜上，分钟便破解款国产手机的人脸识别。同样，人脸识别技术也存在破解风险。美国公司用特质的面具成功欺骗了包括支付宝和微信在内的诸多人脸识别支付系统。第二，准确性风险。人脸识别技术的应用关键在于匹配的概率。尽管近年来人脸识别技术的准确性已大大提高，但其准确性仍受到多种因素影响，包括摄像头质量、光线、距离、算法等因素。此

10、外，有研究发现，肤色、性别、年龄、身高、眼镜或头巾也会影响准确性。美国国家标准技术研究院的测试发现，人脸识别技术通常在肤色较浅的男性上表现更好，在肤色较黑的女性上表现较差。此外，人脸识别技术在儿童和老年人身上也表现不佳。因此，上述差异可能导致对某些人口的错误识别更加频繁。例如，在个人图像与已知的行窃者的数据集进行比较时，将购物者错误地识别为行窃者。一份报告显示，在年的欧冠决赛中，英国南威尔士警察局的面部识别系统在次匹配中，错误率约为，如此可能导致错误的逮捕以及拖延警察工作。因此，随着人脸识别技术的广泛部署，提高人脸识别技术的准确性，以减少与错误识别有关的风险显得尤为紧迫。（）信息处理合法性

11、风险人脸信息的直接识别性带来极大的公共管理价值和商业价值，这便成为各类主体过度收集、存储、使用人脸信息的驱动力。人脸信息处理合法性风险主要包括以下几个方面：第一，收集和存储合法性风险。当前，人脸信息不当收集和存储问题日益突出。例如，年，推出了“标签建议”功能且设置为默认激活。在未征得用户同意的情况下，系统使用人脸识别技术为用户照片自动添加建议标签，并且将人脸信息存储在自己的数据库中。这一行为遭到集体指控，被指控侵犯用户的隐私权。此外，年，第期张溪瑨王晓丽：人脸识别技术与应用的风险及治理研究针对小区安装人脸识别门禁，清华大学法学院劳东燕教授分别向物业公司和居委会寄出法律函，认为在小区安装人脸

12、识别装置并无必要，并且未经同意收集人脸数据违反现行的法律规定。第二，使用合法性风险。人脸背后蕴含着广泛的信息内涵，借助于大数据的数据整合和分析能力，便可建立更加详细的个人画像。然而，在此过程中，往往容易出现使用不当问题。例如，年月，宿州市城市管理局在官方公众号上以“曝光不文明行为，提高市民素养”为题，利用人脸识别技术公开曝光穿睡衣在街上行走的位市民，内容包括市民的姓、部分身份证号、不文明行为发生地和证件照，甚至从图片中可以清晰看到被曝光市民的面部五官，从而引发舆论关注，最后当地城管局回应致歉。又如，年月，一则“戴头盔看房”的视频在网上流传，原因在于售楼处利用人脸识别区分客户来源，从而给予

13、差异性优惠政策。据媒体报告，目前有以上售楼处安装了人脸识别系统。第三，泄露风险。目前，人脸信息泄露事件层出不穷。年，荷兰安全研究员在社交网站上表示，我国深圳市深网视界科技有限公司的数据库暴露在网上且无密码保护，超过万人的数据可被获取，其中包括身份证信息，人脸识别图像及捕捉地点等，共计万条记录泄露。又如，年，全国公安机关破获窃取、贩卖人脸数据案件起，抓获犯罪嫌疑人名。由于人脸信息具有唯一性、永久性和不可替换性，人脸信息一旦泄露，将给国家安全、企业和个人隐私等造成极大的安全隐患。人脸信息的规范属性情境脉络完整性理论（）将隐私概念与信息交换时的情境脉络联系起来，强调要着眼于信息的使用过程和

14、适当性标准。一方面，信息汇编和组合的过程总是伴随着信息的转移，信息组合者将信息抽离原本合适的情境，并将其嵌入到信息主体不了解的情境中，这就等于破坏了信息原本的情境；另一方面，信息组合的危害巨大，因为尽管零碎的信息的泄漏不会对信息主体造成过大的伤害，但是信息组合、汇集成一个信息组合体之后，会使信息主体被别人牢牢地记住，从此信息主体的宁静生活将被打破。人脸信息作为生物识别信息的一种类型，属于个人敏感信息。基于人脸的整体特征或局部特征，可以获取个人的身份、性别、年龄、种族、性取向、身体健康、吸引力、情感、个性特征、痛苦、欺骗以及甚至社会地位等信息。与其他个人信息相比，人脸信息具有独特性、直接识别性、

15、不可更改性、易采集性、不可匿名性等特征。人脸信息保护之所以面临严重挑战，源于人脸识别技术具有上述多种技术特征。一旦泄露或者滥用，可能会给个人带来难以弥补或永久性的伤害与损失。因此，相比于一般个人信息，作为个人敏感信息的人脸信息理应受到更为严格的保护。随着人脸识别技术的日臻成熟，其应用范围愈发广泛，在涉及公共安全和核心公共利益的应用领域，人脸识别技术发挥了巨大作用，且个人信息保护法规定其在此类合理的应用范围内使用无需征得个人同意。相反地，对于商业领域的人脸识别技术应用，“知情同意原则”是首要合法性基础，而在现实实践中，人脸识别技术普及应用的主要法律风险和规制难点集中于此。人人脸脸识识别别技技术术

16、现现有有立立法法考考察察：知知情情同同意意原原则则下下的的实实践践困困境境针对人脸识别技术的应用风险，世界各国（地）通过立法予以规制，其中以欧盟和美国为典型代表，并形成了以“知情同意原则”为人脸识别信息处理的重要合法性基础。由于政治、经济、文化、法律传统的差异，二者选择不同的规制路径。美国采取专门立法模式，具有较强的针对性，注重对生物识别信息处理者的法律规制，有专门的法律概念群及对概念内涵的详细阐释，但保护方法、保护措施较为单一。而欧盟采取综合立法模式，即通过制定统一的个人信息保护法对包括人脸信息在内的生物识别信息进行加强保护，保护层级清晰，具有系统化的保护效果。美国专门立法模式美国在联邦层

17、面尚无统一立法规制人脸信息的收集和使用，采取各州分别立法的方式。伊利诺伊州、德克萨斯州、华盛顿州个州陆续颁布专门针对商业滥用生物特征信息的法律。其中，以伊利诺伊州于年通过的美国第一个专门规范生物数据收集使用的法律生物识别信息隐私法案（，简称）最具有代表性。人脸信息属于生物识别信息的一种，该法案规范除政府之外的私人实体收集、使用、维护、处理、保存和销毁生物识别信息的行为，具体包括：科学学研究第卷其一，制定具有保留时间表和准则的书面政策，以永久销毁生物识别符和生物识别信息；其二，书面告知个人有关生物识别符和生物识别信息的收集情况、收集目的和保存时间，并获得个人的书面明示同意；其三，

18、禁止出售生物识别信息，除非征得个人同意或者在法律规定的例外情形下，不得透露给第三方；其四，提供了一项私人诉权，受害人可以提起损害赔偿诉讼。值得注意的是，伊利诺伊州最高法院于年在罗森巴赫诉六旗娱乐公司案中作出的开创性裁定，原告无需证明遭受实际损害即可获得赔偿。欧盟综合立法模式年月日生效的欧盟通用数据保护条例（，简称）为人脸信息的保护提供了最为直接的法律依据，需重点关注以下几个方面：第一，第条对生物识别数据的含义作出界定，并明确列举脸部图像属于生物识别数据；第二，根据第条，对于生物识别数据的处理，遵循“禁止处理”“明示同意”“法定必需”三大原则。具体而言，“禁止处理”是指在通常情况下

19、不得“仅以识别自然人为目的”处理个人生物识别信息；“明示同意”是指经过个人明确表示同意；“法定必需”是指无需取得个人同意即可处理其生物识别信息的法定事由。第三，赋予成员国一定自由裁量权，允许在特定情况下不适用中对生物识别数据的处理规则。年月日，瑞典数据保护机构（，）对一所高中开出生效后的首张罚单，原因是该高中使用人脸识别技术统计学生的出勤率。我国相关立法进展针对人脸识别信息乃至其上位概念（生物识别信息），我国现有立法尚未作专门规定、进行特别保护。现阶段，在我国，人脸信息作为生物识别信息的一种，置于“敏感个人信息”统一概念之下进行保护。从我国立法动向来看，已形成对包括人脸信息在内的个人敏

20、感信息进行特殊保护的共识。（）民法典颁布前年月，全国人大常委会通过的关于维护互联网安全的决定是我国以法律规范互联网的开端，该决定将信息安全视为互联网安全的重要内容，采取刑事制裁手段维护信息主体权利。年月，全国人大常务委员会通过的关于加强网络信息保护的决定第条明确规定“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。在刑事法律方面，年月发布的刑法修正案（七）增设第条之一，首次将出售、非法提供、非法获取公民个人信息纳入刑法规制范围。年月发布的刑法修正案（九）将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”，扩大了犯罪主体和侵犯个人

21、信息行为的范围。年月，最高人民法院、最高人民检察院联合制定了关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释，具体解释了公民个人信息的内涵和外延，但并没有列举生物识别信息。值得注意的是，年月颁布的网络安全法以专章形式对“网络信息安全”作出规定。该法首次在法律层面对个人信息的概念作出界定，同时明确将“个人生物识别信息”列举为个人信息。此外，还针对网络运营者对于个人信息的收集、使用、保管等作出细化规定。年颁布的作为民法典开篇之作的民法总则第条明确自然人的个人信息受到法律保护。年月颁布的电子商务法强调了电子商务经营者对用户个人信息的保护，其在网络安全法的基础上强化了个人对信息的控制权。

22、（）民法典颁布后年月颁布的民法典在民事基本法层面将个人信息的保护提升到一个全新的高度，在第六章“隐私权和个人信息保护”用个条文（第条至条）对个人信息保护作出专门规定，包括个人信息的定义、处理个人信息的基本原则及要求、信息处理者与被收集者的权利义务、国家机关和工，。关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释第条。网络安全法第条。网络安全法第条。电子商务法第条。电子商务法第条。第期张溪瑨王晓丽：人脸识别技术与应用的风险及治理研究作人员履职过程中对知悉的个人信息负有保密义务等内容。民法典对个人信息的概念进行界定，并且明确列举生物识别信息为个人信息，但仅为一般性列

23、举，并没有解决对包括人脸信息在内的生物识别信息进行特别保护的问题。在此阶段，我国对包括人脸信息在内的生物识别信息的特别保护呈现出软法先行的特点。年月发布的国家推荐性标准信息安全技术个人信息安全规范首次给予个人生物识别信息特殊保护，严格规范其收集、存储、传输、共享以及转让等。需要指出的是，该标准为国家推荐性标准，并没有法律上的强制力。值得注意的是，年月出台的最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定是我国首部对使用人脸识别技术处理个人信息相关民事案件的审理作出全面系统规范的司法解释，以提高人脸信息保护相关法律规范的可操作性，为使用人脸识别技术处理个人

24、信息相关民事案件的审理提供裁判指引。（）个人信息保护法颁布后年月日颁布的个人信息保护法是我国首部专门针对个人信息保护的综合性法律。个人信息保护法第章第节用个条文（第条至第条）专门规定了个人敏感信息的处理规则。个人信息保护法规定生物识别信息属于个人敏感信息，明确规定个人敏感信息的处理要取得个人的单独同意?I0，还应当向个人告知处理个人敏感信息的必要性以及对个人的影响?I1。值得注意的是，个人信息保护法强调了对人脸识别技术的关注，规定国家网信部门统筹协调有关部门推进针对人脸识别技术应用，制定专门的个人信息保护规则、标准?I2。此外，年月日，我国发布的国家推荐性标准信息安全技术人

25、脸识别数据安全要求（征求意见）规定了人脸识别数据的基本安全要求、安全处理要求和安全管理要求，以解决当前人脸数据滥采、泄露或丢失以及过度存储、使用问题。综上可知，无论欧美立法，抑或是我国立法对包括人脸信息在内个人敏感信息的处理作出专门规定，其中，“知情同意原则”是人脸信息处理的重要合法性基础。例如，个人信息保护法要求对包括人脸信息在内的个人敏感信息进行处理需征得单独同意。“知情同意原则”的初衷在于个人信息处理的决定权由个人享有，也意味着个人信息保护的责任在个人身上。然而，在大数据时代，知情同意原则在人脸识别信息保护方面面临严峻的实践困境，主要表现为两个方面：其一，用于“告知”的隐私政策冗长且充斥

26、着大量专业用语，信息主体在现实中往往没有兴趣、精力和能力去认真阅读；此外，人脸信息很容易“无感知被收集”；其二，信息主体无法真正“同意”。拒绝隐私政策往往意味着拒绝服务，从而使得知情同意原则形同虚设。因此，我国亟需积极探索人脸识别技术治理难题的破解之道。人人脸脸识识别别技技术术治治理理路路径径：构构建建“三三位位一一体体”的的风风险险治治理理体体系系人脸信息具有唯一性且终身无法修改，传统事后救济模式难以有效止损，其救济效力存在严重局限性。万物互联以及技术仿冒导致人脸信息的侵权结果扩散极快，极难恢复如初。同时，由于技术和信息的不对等地位，公民个人极易因为缺乏专业技术知识而维权困难。因此，大数据

27、时代，随着人脸识别技术不断发展，面对知情同意原则在人脸信息保护方面的实践困境，我国应当从法律、技术标准、监管沙盒三个层面构建“三位一体”的风险治理体系，在科技创新应用与信息主体合法权益之间寻求平衡。法律层面：源头上风险治理（）建立评估认证机制作为个人敏感信息的人脸信息一旦泄露，后果不堪设想。因此，应建立人脸识别技术准入审核制度，注重源头防控。具体而言，在人脸识别技术应用之前，应经由法定授权机构根据理性设计的审查标准和步骤，对技术准确性、算法非歧视性设置、安全加密设置和主体权利保障路径等进行评估。个人?I0?I1?I2民法典第条第款。个人信息保护法第条。个人信息保护法第条。个人信息保护法

28、第条。个人信息保护法第条。科学学研究第卷信息保护法明确由国家网信部门负责统筹协调有关部门推进个人信息保护工作。因此，网信部门应当统筹负责人脸识别技术准入审核，推进人脸信息社会化服务体系建设，支持有关机构开展个人信息评估、认证服务。无论人脸识别技术的一般公共应用或是商业应用，均需由监管部门或委托第三方机构进行评估认证，其评估结果应当由监管部门统一备案。另外，由于人脸识别技术处于动态的发展变化中，准入审核只针对“当时”的技术能力。因此，跟踪监管对于评估人脸识别产品和服务质量以及信息处理者的法律责任至关重要。法律应当要求人脸信息处理具有透明性和和可追踪性，信息处理者必须制作可验证的文档

29、，以便于跟踪监管和定期检测。（）知情同意原则实质化大数据时代背景下，知情同意原则的实质化显得尤为重要。仅由默示获得同意具有内在的模糊性，无法证明信息主体的实际意愿。因此，我国要综合利用择入（）与择出（）机制。一方面，对于人脸信息的采集，必须坚持择入机制。其中，清晰、充分告知是前提和起点。有研究表明，隐私政策的内容完整性和可读性对于用户的隐私政策阅读意愿具有重要影响。目前，企业往往通过行文冗长、信息混杂、用词艰涩的隐私政策等方式向用户告知其行为信息的采集情况?I3。因此，法律上应进一步要求告知内容的透明度和可理解性，要求商家创新设计以确保对用户进行有效告知。例如，年推出的面部识别功能“”，在择

30、入机制开启了有益尝试，采用卡通的方式对用户进行告知。如果受到法律要求和用户期望的激励，这些非传统的告知形式将得到鼓励，企业便会扩展其创新解决方案，以提供人脸信息处理的简单且内容丰富的告知。另一方面，人脸信息处理者要提供便捷的择出机制（）。这一点在个人信息保护法也有所规定，要求个人信息处理者应当提供便捷的撤回同意的方式，并且进一步明确规定，个人撤回同意不影响撤回前基于个人同意已经进行的个人信息处理活动效力?I4。技术标准：填补式风险治理信息技术创新所带来的社会风险虽然同工业社会的“现代风险”均属于人为引发的客观风险，但前种风险因技术和人为因素的无序组合难以直接追求人为原因。即便通过法律法规苛以事

31、前的法律义务来规避风险，何种限度的法律义务能够兼顾风险最小化与产业发展两种法益尚未可知。人脸识别技术仍处于发展过程中，法律很难及时应对技术的高速发展。鉴于人脸识别技术的高风险性，我国需要合理运用技术标准，以填补人脸识别技术方面的治理不足。近年来，我国陆续发布一些针对人脸识别技术应用的国家推荐性标准。例如，年公共安全人脸识别应用图像技术要求（）、年信息安全技术远程人脸识别系统技术要求（）。值得注意的是，年月日，我国发布了信息安全技术人脸识别数据安全要求国家推荐性标准的征求意见稿。该标准将适用于数据控制者安全开展人脸识别数据相关业务，包括人脸识别数据的基本安全要求、安全处理要求和安全管理要求

32、。此类国家推荐性标准虽无法律强制力，鉴于其较强的科学性，可作为人脸识别技术产品和服务的评价标尺。但总体上而言，一方面，现有技术标准较为概括抽象，指引性不强；另一方面，现有技术标准呈现分散化、碎片化问题，缺乏有效的沟通机制。因此，我国有必要形成合力，推动人脸识别技术标准的细化完善工作，有效解决技术缺陷问题和人脸信息安全问题。特别要引入隐私保护设计理论，将隐私保护理念融入设计之中，实现操作系统的人脸信息保护功能。此外，我国应当形成国内标准对国际标准的支撑作用，提升我国在人脸识别技术国际标准制定中的话语权。监管沙盒：适应性风险治理技术的日新月异使问题的产生远远快于问题的解决，不存在一劳永逸的风险治理

33、方案。因此，如何于迅速变化之中在稳定性和适应性之间寻得平衡，是当代法治必须应对的棘手难题，人脸识别技术风险治理亦是如此。“监管沙盒”为不同应用场景下人脸识别技术创新应用与信息主体合法权益之间的平衡提供了新的途径。?I3?I4例如，年月日生效的淘宝网隐私权政策包括个部分，高达万余字；年月日生效的京东隐私政策包括个部分，多达万余字；百度隐私政策总则包括部分，共计万余字。参见郑佳宁知情同意原则在信息采集中的适用与规则构建东方法学，（）：。个人信息保护法第条。第期张溪瑨王晓丽：人脸识别技术与应用的风险及治理研究监管沙盒起源于金融监管领域，由英国金融行为监管局（）于年首次

34、创制，旨在为可能具有破坏性和众多风险的金融创新提供一个安全的测试环境和监管试验区。与金融服务相比，技术创新对数据保护的影响更加迅速。因此，近年来，各国开始积极探索数据保护领域中“监管沙盒”的运行机制，例如，年月，英国信息专员办公室（）引入“监管沙盒”以评估数据保护问题，旨在同时解决无法避免的两个不确定性：（）创新的不确定性，即这将带来什么？（）法律的不确定性，即这种处理是否公平？这一背景下，“监管沙盒”在人脸识别技术应用和服务中得到了适用。例如，与希思罗机场启动了“自动化乘客旅程”（，简称）监管沙盒计划，旨在直接运用人脸识别技术与乘客身份数据源的匹配以验证乘客身份。该计划旨在解决四个关键数据

35、保护问题：（）复杂的数据控制权问题（例如，就处理活动而言，应将哪一方视为数据控制者、联合数据控制者或者数据处理者）；（）基于处理乘客生物识别数据的合法性基础；（）如何以及何时征得乘客的同意；（）能否在的法律框架内将乘客验证服务数据库用于身份验证。事实上，“监管沙盒”在人脸识别技术治理中具有积极意义，它不是隐私或创新之间的选择，其本质是受监督的隐私保护设计。对于企业而言，监管沙盒是一种有效的激励措施，可以有效降低监管不确定性和缩短技术创新投入市场时间，有助于打造“负责任的人脸识别技术”，加强企业与监管部门的沟通交流；对于监管部门而言，面对瞬息万变的技术发展和应用场景的不断增多，监管部门很难及

36、时跟进技术发展步伐，法律规范和国际标准呈现出严重的滞后性。借助于监管沙盒计划，将有助于监管部门获取技术创新尖端研究的第一手资料，并在技术关键阶段及时介入以更好地发挥监管职能；对于信息主体而言，监管沙盒计划针对特定创新产品或服务所量身定制的和经过审查的隐私保护措施，将有针对性地切实保护信息主体的个人权益。与此同时，作为消费者的信息主体，也能真正享受到创新产品或服务所带来的价值和便利。结结语语作为人工智能领域的落地标杆技术，人脸识别技术在公共领域和商业领域得到了大范围的应用，同时也带来诸多风险挑战。世界各国（地）开始重视人脸识别技术的法律规制，以美国和欧盟为典型代表。从我国个人信息保护法的规定可

37、以看出，我国已形成对包括人脸信息在内的个人敏感信息特殊保护的共识。但现有规定较为抽象原则，无法有效解决多场景下的人脸信息治理难题以及在科技创新和技术治理之间寻求平衡。技术治理不能罔顾技术现实，人脸识别技术治理应及时回应实践需求，以避免社会治理中可能出现的纰漏。因此，本文在对人脸识别技术及应用风险分析的基础上，面对知情同意原则对人脸信息保护的实践困境，汲取国外治理经验，从法律层面、技术标准、监管沙盒三个角度，具体探讨了人脸识别技术的治理之道。在法律层面上，我国应建立评估认证机制、确保知情同意原则的实质化，以强化人脸识别技术风险的源头治理；在技术标准层面，我国应当推动人脸识别技术标准的细化完善工作

38、，以填补人脸识别技术方面法律的滞后性，并提升国际标准制定的话语权；此外，“监管沙盒”提供了多场景下人脸识别技术的适应性治理方式，为人脸识别技术创新应用与信息主体合法权益之间的平衡提供了新的途径。总之，我们不应对新的技术与生产力毕恭毕敬、俯首听命，而应当引导它们向对全社会最有利的方向发展，只有这样，技术的使用才能对社会发展起到推动进步的作用。参考文献：，：，：，：，：，（）：，：（），（）：科学学研究第卷，：，（）：周汉华，刘灿华社会治理智能化的法治路径法学杂志，（）：，（）：，（）：丁晓东个人信息保护原理与实践北京：法律出版社，：，：，（），：，（）：，：倪蕴帷隐私权在美国

39、法中的理论演进与概念重构基于情境脉络完整性理论的分析及其对中国法的启示政治与法律，（）：，（）：邢会强人脸识别的法律规制比较法研究，（）：，（）：，：，（），（）：，：商希雪生物特征识别信息商业应用的中国立场与制度进路鉴于欧美法律模式的比较评价江西社会科学，（）：，（）：付微明个人生物识别信息的法律保护模式与中国选择华东政法大学学报，（）：，（）：潘林青面部特征信息法律保护的技术诱因、理论基础及其规范构造西北民族大学学报（哲学社会科学版），（）：，（），（）：洪延青人脸识别技术的法律规制研究初探中国信息安全，（）：，（）：张新宝从隐私到个人信息：利益再衡量的理论与制

40、度安排中国法学，（）：，（）：石佳友，刘思齐人脸识别技术中的个人信息保护兼论动态同意模式的建构财经法学，（）：，：，（）：朱侯，张明鑫，路永和社交媒体用户隐私政策阅读第期张溪瑨王晓丽：人脸识别技术与应用的风险及治理研究意愿实证研究情报学报，（）：，（）：，（）：赵精武民法典视野下人脸识别信息的权益归属与保护路径北京航空航天大学学报（社会科学版），（）：（），（）：全国信息安全标准化技术委员会关于国家标准信息安全技术人脸识别数据安全要求征求意见稿征求意见的通知：？：？沈岿数据治理与软法财经法学，（）：，（）：柴瑞娟监管沙箱的域外经验及其启示法学，（）：，（）：邱遥堃法院如何规制算法从快播案切入法律和社会科学，（）：，（）：，（，；，）：，（），（），（），：；

展开阅读全文