基于场景一致性原则的人脸识别技术应用权限研究.pdf

1、信息安全研究第1 0 卷第3 期2 0 2 4 年3 月Journalot information Security ResearchVol.10No.3Mar.2024DOl:10.12379/j.issn.2096-1057.2024.03.13基于场景一致性原则的人脸识别技术应用权限研究项一晴1（华东政法大学国际法学院2（华东政法大学知识产权学院上海2 0 0 0 4 2）()Research on the Application Authority of Face RecognitionTechnology Based on the Scene Congruence Theory杨启中

2、2上海200042)Xiang Yiqing and Yang Qizhong?1(School of International Law,East China University of Political Science and Law,Shanghai 200042)2(School of Intellectual Property,East China University of Political Science and Law,Shanghai 200042)Abstract As a biological identification technology,face recogn

3、ition provides efficiency for variousfields of society.However,in the existing legal regulation,there are still ambiguities in the legalregulation for the user authority of face recognition technology.On the basis of determining thenature of the right of face information,combining with the scene con

4、sistency theory,this paperdetermined the scope of use and right restrictions of face recognition technology in scenes such aspublic authority scene and profit-making scene,constructed a personal protection system for therealistic use of artificial intelligence that integrates prevention beforehand a

5、nd examination andpunishment afterwards.Key words face recognition;personal information protection;mandatory;scene consensus theory;data security摘要人脸识别作为一项生物识别技术，为社会各领域提高生产生活效率.而在现有法律规制中，人脸识别技术使用权限的法律规范仍有模糊之处，对个人人身安全以及信息安全产生威胁.在确定人脸信息权利性质的基础上，结合符合保护人脸信息利益的场景一致理论，划分人脸识别技术在公权力场景、营利场景、入场场景等场景中的使用范围和权利限

6、制，并构建事前预防与事中审查处罚一体的人工智能现实运用个人保护体系。关键词人脸识别；个人信息保护；强制性；场景一致理论；数据安全中图法分类号号TP393.0收稿日期：2 0 2 3-0 4-2 0引用格式：项一晴，杨启中。基于场景一致性原则的人脸识别技术应用权限研究J.信息安全研究，2 0 2 4，1 0（3）：2 8 4-2 8 8284学术论文.ResearchPapers主隐私权和隐私领域.而个人信息的隐私权属于问题的提出1.1人脸识别技术应用方式不正当从2 0 世纪6 0 年代初研究开始，人脸识别技术作为一项生物识别技术登上历史舞台，其发展至今已经在移动支付、身份比对、考勤、门禁等多个

7、场景得到大量应用.而在人脸识别的应用过程中，由于各主体不加限制地使用甚至强制性地使用，不正当的强制使用人脸信息现象频频发生.人脸识别出现在各种场合中，虽然提供了便捷的人工智能服务，但也带来“强制使用人脸识别”“未经个人同意采集人脸”等现象。人脸信息作为特殊的个人信息，在推广运用的过程中应当对其权利本身进行保护.不同场景下人脸信息运用的方式不相同，诸多未经许可对人脸信息进行采集的场合并不能由“合同违约”一概而论.故服务提供方的人脸信息处理强制性授权条件需要得到明确和完善.1.2人脸识别应用的法律规制较为模糊2021年8 月，中华人民共和国个人信息保护法以下简称个人信息保护法)在第十三届人大常委会

8、第3 0 次会议上获得通过.关注个人资料的个人信息保护法解答了个人信息处理的法律规制问题，其中第1 6 条对信息强制处理问题作出了规范.而如何规制并合理进行个人信息的收集、存储、使用、传输、提供、公开等处理活动的强制性授权，进而在有效保障个人信息的同时最大化地便利服务的供需双方，仍有待进一步研究。人脸识别技术的法律规制较为模糊，使强制性使用人脸识别技术的2 个主要方面暗含法律风险.强制性使用人脸识别技术表现为：一方面是具有格式条款性质的授权协议可能侵害广大服务对象的权益；另一方面则是人脸信息收取被用于非主要合同目的，使合同实际履行的内容超出合同内容1。2人脸信息性质认定2.1人脸信息具有人格权

9、性质隐私权是人格权的重要组成部分，而个人信息与隐私权内涵有所重合.美国法律关于隐私权的相关规定把隐私权分为3 个部分：信息隐私权、自“信息隐私”的范畴，即自然人通过秘密、公开和支配的方式所享有的隐私权.由此可以看出，在一定程度上，个人信息和隐私在内容上存在着重叠，人脸信息也不例外.与此同时，人脸信息还与自然人就其人格所享有的精神性权利密切相关 2 ,与其他个人信息相比，脸部图片具有更多的个性特征，更能反映出人的人格利益和精神价值,因而，相关的使用行为更容易引起对自然人人格权利的侵害.但是，对不涉及自然人人格特征的使用，比如只利用脸部信息进行计算机模拟训练，就很难从人格权中得到法律的保障。2.2

10、人脸信息具有财产权性质随着社会经济的扩大、科技的发展，特定人格权既已进人市场而商业化，具有一定经济利益的内涵，应肯定其兼具有财产权的性质.当下人脸识别技术已有普及之势，人脸信息不仅仅是自然人的肖像、名誉等人格利益的体现，还代表门禁的钥匙、银行卡的支付密码.基于人脸信息的商业化应用以及人脸信息与支付功能绑定的普及，人脸信息所蕴含的财产价值得到了更大地挖掘。综上所述，个人信息具有2 种不同的权利属性：人格权和财产权.近年来，人格权和财产权的差距逐渐缩小，有些权利现象不能完全归入财产权范畴或人格权范畴.就财产权与人格权交换发展的趋势，近年来还产生了“作为财产权的人格权”“经济人格权”“商事人格权”等

11、概念及理论3.而人脸信息作为一项特殊的个人信息，对其遭受的侵权行为的法律规制也应兼顾人脸信息人格权与财产权的双重保护。3国内外人脸识别技术法律规制路径3.1国内人脸识别技术法律规制模式目前，生物识别信息包括面部特征，是国家特殊保护的对象，具有“软法先行”的特征.首先，在金融方面，个人金融信息保护技术规范将生物识别信息列为C3级，即敏感性最高的信息类别.其次，在信息安全领域，2 0 2 0 年3 月修订的信息安全技术个人信息安全规范也将其列为敏感的个人信息，并给予特别的保护 4 网址http:/1285信息安全研究第1 0 卷第3 期2 0 2 4 年3 月Journalotinformatie

12、n Security ResearchVol.10No.3Mar.20243.2域外人脸识别技术法律规制模式3.2.1美国“分别规制”方式美国主要使用3 种方法对政府部门使用人脸识别技术进行法律规制：第1 种是禁止使用制度如停止秘密监控条例(Stop Secret SurveillanceOrdi-nance)；第2 种则是特别许可使用制度，如乔治敦法律隐私与技术中心（GeorgetownLegalPrivacyand TechnologyCenter)起草的人脸识别示范法(Model Law on Face Recognition);第3 种是“随意利用”，也就是在政府没有专门针对人脸识别的

13、情况下，政府可以随意地使用面部识别技术 5。3.2.2区欧盟“通用保护”方式欧盟采用公私部门一体化的方法，出台通用数据保护条例(GDPR)对人脸技术的使用进行规范.只要使用人脸识别技术，不论是政府还是非政府主体，必须严格接受统一的规范的规制“原则禁止，特殊例外”的原则被有机融人在GDPR关于生物数据的处理之中，数据实际操控者可以援引“数据主体的同意”条款作为个人生物数据处理限制的例外,但该同意必须是“自由给予(free togive)、明确（clear）、具体（specific）、不含混（unmixed）”的 6.所以，数据实际操控者的任何表示同意或不表示同意，都需要与GDPR的规则相符.4人

14、脸识别场景化规制合理性4.1场景一致规则的构成与规范模式场景理论由传播学引申而来.场景一致是指保持同一场景下使用人脸识别技术的主体，其获得人脸信息权利的条件或者无需条件、获得人脸信息的资格具有一致性.场景一致规则的构成要素主要为参与主体、参与信息、信息传输规则3 大要素参与主体是指信息提供方、信息直接获取方、信息间接获取方.信息直接获取方是与信息提供方达成合意或具有强制获取信息权利的主体；信息间接提供方是与信息提供方、信息直接获取方达成合意或有权利从信息直接获取方获得信息的主体 7。参与信息即场景中流通的实际信息.在人脸识别应用领域即“人脸”被采集的不同功能.在实际应用场景中，虽然采集对象都为

15、“人脸”，但是可以根据采集后的信息处理方式对参与流通的实际信息进行再次划分 8 .具体包括抓取一一采集人脸数2861量，如人流量统计；控制一一对不同人脸进行记忆和存储，具备一次性区分不同“人脸”信息的功能，如ZAO等娱乐性APP对人脸的改造；处理结合多功能，具备重复区分不同个人信息的功能，如移动支付中的扫脸支付功能、小区扫脸进出的识别功能。信息传输规则即信息授权方式.在主体信息具备流通传输能力，需要经过信息传输的许可，即合意许可和强制许可，强制许可又包括真正强制许可和不真正强制许可.真正强制许可即主体处于正常社会场景中时必须无条件许可信息的采集，多出现于政府行为中 9 ；不真正强制许可多出现于

16、移动设备APP使用即授权的条款中。场景一致性理论的观点是个人信息暴露的风险和成因并不归因于本身的隐私性或秘密的特征，而在于技术的利用适当性.场景一致性通过对参与主体、参与信息、信息传输规则的定义形成不同于传统隐私权划分的规范方式，形成信息规范的新模式 1 0 .4.2场景一致规则与人脸技术动态应用相契合结合场景一致理论的合理性，“人脸”信息作为流动的数据信息，可以依据社会公益和个人私益中的应用情形进行划分，再根据特定场景划分将不同情景的人脸识别技术权限进行具体划分，从而使自然人的“人脸”信息在正常社会活动中被合理采集.在对个人信息的权利“借用”中，只有超过限制的部分构成不适当的信息流通，即违反

17、特定场景的信息流通 1 1.而超过限制的部分则体现在强制性适用人脸识别技术、无限制地抓取或采集人脸等行为上.根据以上理论，总结人脸识别场景论可视化如图1 所示：引入传播学场景论转化场景一致原则契合人脸识别合理性技术图1 人脸识别场景论可视化参与主体参与信息信息传输规则数据流通一致学术论文.ResearchPapers应用权限可以借鉴相关规定，如公安机关指纹信5场景论下的人脸识别技术应用权限构想基于公共利益与私人利益，将人脸识别场景分为公共利益场景和私人利益场景2 大类别，再对不同场景下的不同主体对人脸信息的抓取、控制和处理3 种行为模式分别进行讨论。5.1公权力机关场景按照我国规定，公安机关可

18、以进行个人信息的采集，且公安机关在公权力体系中承担维护社会治安和身份查验的直接角色.因此对人脸识别的息工作规定，制定公安机关人脸识别工作规定，授权（地)市级以上公安机关人脸信息的控制和处理功能，并与市级政府个人信息处理部门共同授权信息抓取功能.除此之外，其他公权力机关在需要进行人脸识别信息的抓取、控制、处理时，应向同级被授权机关提出申请，以此形成公权力机关内部审核模式 1 2 .由此,形成(地)市级以上公安机关、市级政府个人信息处理部门直接授权，其他公权力机关同级申请的公权力机关人脸识别权限体系，如图2所示：一级授权直接授权使用人脸识别技术抓取、控制、处理功能（地）市级以上公安机关市级政府个人

19、信息处理部门二级申请人脸识别技术抓取、控制、处理功能图2 公权力机关人脸识别权限体系上述权限划分的合理性在于：现有的管理模金融支付行为，无法分割处理.因此，金融支付场景式，正在以实现有效社会管理为要求，以维护社会中，金融支付平台或软件必须提供人脸识别以外安全为目标，实践着公私利益平衡原则.同时，由于的其他金融支付方式，只有个人同意“开通协议”，公权力机关之间的协作关系，设定其他公权力机知晓人脸信息应用用途后，方能开通人脸支付的关以申请的方式获得人脸识别应用权限，也符合金融支付方式.即通过协议的方式平衡提高效率的公权力机关高效协同运作以及公权力机关内部监自愿与个人权益的自愿。管的要求 1 3 7

20、.对于金融支付场景的人脸识别应用限制，主5.2营利场景5.2.1商商业场景商业场景是人脸识别场域下以营利为目的的主体参与的线下场景.无论识别目的如何，人脸识别应用方在商业场景下，一律不得强制性使用或未经许可使用人脸识别技术的控制、处理2 大功能.抓取功能的许可可以用民法典中对格式合同中的说明责任的诠释，可以在商业场景中单独使用，即商业场景中的人脸识别技术只能用于人流量统计，达到排除重复人数的使用目的.但应用抓取功能时，需要通过标识等方式明示进入商业场景的个人 1 4 5.2.2金融支付场景在金融支付场景的抓取、控制、处理共同完成向同级被授权机关提出申请使用其他公权力机关要通过以下2 种“越界”

21、行为的禁止性规定明确电子网络场景的场景边界：一是不得将场景中的人脸信息上传人脸识别技术提供方；二是禁止同一软件设计方的不同软件产品之间共享“人脸”信息数据，即不同产品重新授权原则 1 5。5.3事业单位、非营利组织事业单位、非营利组织对人脸识别的技术需求较少,因此对人脸识别应用权限可基于对使用目的的列举进行确定.事业单位、非营利组织的使用目的大致可分为2 大类：一类是身份认证,另一类是提供服务.以养老服务组织为例，人脸识别应用于老人面部状态的抓取和分析生理、心理状况，并投入老年食堂的入场打卡.非营利组织对人脸识别的使用目的与“营利场景”有重合，加之独有的公网址http:/1287信息安全研究第

22、1 0 卷第3 期2 0 2 4 年3 月Journalotinformatien Security ResearchVol.10No.3Mar.2024益性，令事业单位、非营利组织应用人脸识别实现抓取、控制、处理功能具有可能性 1 6 5.4其他场景一一入场场景人场场景是指以建筑为单位，进入特定场景时将人脸识别作为入场方式的场景，如图书馆人脸识别入馆、小区门闸设置人脸识别系统.人场场景既不属于公权力机关在公共场所的专属场景，也不专属于以营利为主要目的的人脸识别应用场景，因此需要作为涉及多种模式的第3 大类人脸识别应用场景。由于人场场景的设置本身的目的在于提高效率，因此应当允许符合条件下的入场

23、场景的使用.若强制变更，全部更改为人脸识别方式，则缺乏个人自愿的使用条件 1 7.社会场景下的管理主体缺乏公权力机关独有的公权力，不应在未获取完全自愿授权的情况下使用“人脸”信息1 8 .因此，应提供多种技术如密码、指纹等其他身份识别方式供选择，不得提供单一的人脸识别方式。6结 语本文在场景一致理论的基础上，平衡公共领域和私人领域的授权和强制性使用“人脸”信息的范围,在场景一致性中提出以参与主体、参与信息、信息传输规则3 大要素为分类依据，在对场景分类后，明确不同场景下的权限分类方式.未来，场景分类的标准和合理性思路可推广、应用至更多人工智能相关的法律规范中，形成一套能够随智能生活方式的进步而

24、随机应变、逻辑自洽的现代个人信息保护体系。而在场景的具体划分中，尚存在一些不属于本文分类的几大类场景的场景模型，继续研究如何更全面地设置可以涵盖所有社会生活的线上、线下场景，为人脸识别技术的全面规范提供更准确的方案具有潜在空间和现实意义.参考文献1 杨芳个人信息自决权理论及其检讨兼论个人信息保护法之保护客体 J.比较法研究，2 0 1 5（6）：2 2-3 32乔榛，蔡荣.民法典视域下的个人信息保护 J北方法学，2 0 2 1,1 5(1)：3 8-4 53陈新民.德国公法学基础理论（上卷）MJ.北京：法律出版社，2 0 1 04 石佳友个人信息保护法与民法典如何衔接协调人民论坛，2 0 2

25、1（2）：9 2-9 55Wachter S.Normative challenges of identification in theInternet of things:Privacy,profiling,discrimination,andthe GDPRJ.Computer Law&Security Review,2018,34(3):436-4496 Paul Q.Research under the GDPR-A level playing fieldfor public and private sector research J.Life Sciences,Society and

26、 Policy,2021,17(1):1-337Warren S,Brandeis L.The right to privacy J.HarvardLawReview,1890,4(5):193-2208杨登杰.执中行权的宪法比例原则兼与美国多元审查基准比较J.中外法学，2 0 1 5，2 7（2）：3 6 7-3 9 09LuhmannN.信任：一个社会复杂性的简化机制 M.瞿铁鹏，译.上海：上海人民出版社，2 0 0 510DyckV.互联文化：社交媒体批判史 M.赵文丹，译.北京：中国传媒大学出版社，2 0 1 811张新宝，魏艳伟司法信息公开的隐私权和个人信息保护研究 J.比较法研究，

27、2 0 2 2（2）：1 0 4-1 2 012王锡锌，彭.个人信息保护法律体系的宪法基础清华法学，2 0 2 1，1 5（3）：6-2 413王锡锌。个人信息国家保护义务及展开.中国法学，2021（1):1 4 5-1 6 614郭春镇.数字人权时代人脸识别技术应用的治理J.现代法学，2 0 2 0，4 2(4)：1 9-3 615王利明.隐私权概念的再界定 J.法学家，2 0 1 2（1)：1 0 8-12016马新彦.信赖原则在现代私法体系中的地位 J。法学研究，2 0 0 9，3 1(3)：1 0 3-1 1 817张玉敏。知识产权的概念和法律特征 J.现代法学，2 0 0 1(5):103-11018王全弟，赵丽梅.论网络空间个人隐私权的法律保护.法学论坛，2 0 0 2（2）：7 1-7 8项一晴硕士研究生，主要研究方向为国际经济法、国际知识产权法。杨启中硕士研究生.主要研究方向为网络法、版权法288