人臉識別產業法律治理研究報告中國人工智能產業發展聯盟安全治理委員會編寫單位對外經濟貿易大學數字經濟與法律創新研究中心中國信息通信研究院人工智能研究所百度公司前

言人臉識別技術是對靜態或視頻中的人臉圖像進行特征提取與分類，從而用于個人身份鑒別、驗證與分析的當代信息技術。作為最廣泛使用的生物識別技術之一，人臉識別技術以數據為體、以人工智能算法為用、以人類自身為對象，具有不可復制性、非接觸性、可擴展性、快速性、多維性等優勢，目前已與安防、金融、醫療、支付、教育、文娛等行業深度融合，不但推動鏈接大數據與人工智能的新型產業悄然成型，而且為我國數字經濟與社會發展帶來了新機遇。在人臉識別產業突飛猛進的同時，人臉識別技術濫用的風險也在不斷加劇，給個人、組織的合法權益保護以及國家安全帶來巨大挑戰。隨著生成式人工智能時代的來臨，人臉信息被廣泛采集、分析，進而合成、生成人臉信息的嶄新業態開始涌現。如何保護個人人臉信息、防范虛假信息、維護公共利益，成為人臉識別產業必須面對的重大議題。面對種種挑戰，我國《個人信息保護法》將人臉識別信息作為敏感個人信息予以嚴格保護，并在第

62

條進一步強調了人臉識別信息的特殊性，要求有關部門針對人臉識別制定專門的個人信息保護規則、標準。《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》重點規定了濫用人臉識別的侵權責任、合同規則、訴訟程序。2023

年

8

月

8

日，國家互聯網信息辦公室（以下簡稱為“國家網信辦”）公布《人臉識別技術應用安全管理規定（試行）》（征求意見稿）從更宏觀的維度規定應用人臉識別技術的安全管理要求，采取了不同參與者、多種場景和細化技術標準相呼應的生態治理方法。本研究報告立基于產業生態治理的思路，強調綜合“人—技術—社會”三維視角，對人臉識別技術進行整全性治理。以產業生態參與各方的角色分工為切入，將主體類型化為：作為源頭活水的技術提供者、作為中心樞紐的人臉產品/服務提供者、作為最后關卡的人臉識別產品/服務使用者；從數據安全、個人信息保護、算法治理、產品質量等各維度，細化不同主體的系統性義務與責任。此外，生成合成場景是人臉識別信息的重要應用場景之一，鑒于我國對深度合成算法、生成式人工智能等采取專門立法規制，研究報告特別關注了該場景下的人臉識別治理問題。人臉識別產業的治理需要監管機構、司法機關、市場主體、行業組織、專家社群、社會公眾的共同參與，本研究報告匯聚各方智慧，探索技術、法律、最佳實踐、產業倡議多維一體的治理架構，希冀有裨于未來的立法、司法與執法，并為我國人臉識別產業的行穩致遠貢獻綿薄之力。人臉識別產業法律治理研究報告第一章

人臉識別產業的生態圖譜人臉識別（Face

Recognition

Technology,

FRT）是一種基于個體臉部特征信息的生物識別技術，其將靜態圖像或視頻圖像中檢測出來的人臉圖像，同已知人臉圖像進行比較，找到匹配的人臉，從而用于身份驗證、識別和分析。人臉識別技術所具有的不可復制性、非接觸性、可擴展性、快速性，使之成為多種生物識別技術中的明珠。2014

年以來，人臉識別技術在安防、金融、醫療、支付、教育、文娛等諸多領域中實現應用落地，廣泛應用于設備解鎖、身份驗證、上班打卡、社區、考勤、乘車、購物等諸多場景，為數字經濟社會發展和人們日常生活帶來了新機遇。圖

1：人臉識別產業發展數據顯示，2021

年中國人臉識別市場規模為

56

億元，預計到

2024

年突破

100

億元；年均保持

23%增速。其中，人臉識別應用最多的是安防占

54%，其次是金融占

16%，此1人臉識別產業法律治理研究報告后分別是娛樂

10%、醫療

7%、電商零售

6%、出行

3%、政務

2%、其他

2%。作為數字經濟的集合，人臉識別產業是一個復雜的生態系統。基于不同的參與主體，其包括了人臉識別技術生態、人臉識別產品/服務生態和人臉識別服務應用生態。一、人臉識別技術生態（一）技術提供者人臉識別產業的技術提供者是提供包含視頻人臉識別、圖片人臉識別和數據庫對比檢驗等技術的提供方。人臉識別技術主要包括人臉檢測、人臉預處理、特征提取、對比識別、活體檢驗五大步驟，是推進服務應用的前提與關鍵1。目前人臉識別技術提供廠商主要包括大型互聯網企業，如騰訊、阿1

參見智慧芽&羅思咨詢：《人臉識別行業研究報告》，2021

年。2人臉識別產業法律治理研究報告里巴巴、百度、微軟等，電子設備廠商，如華為、三星、蘋果等，以及其他科技公司，如火山引擎、商湯科技、依圖科技、曠視科技、格靈深瞳等。人臉識別技術的五大步驟：人臉檢測作為人臉識別算法的第一步，目標是找出圖像中所有人臉對應的位置。人臉預處理模塊主要完成人臉圖像質量的改善，包括提高圖像對比度、消除噪音等。特征提取模塊完成人臉特征的提取，同時如何提取穩定和有效的特征是識別系統成敗的關鍵2。對比識別模塊根據特征提取模塊輸出的特征向量與數據庫中存儲的人臉特征向量進行距離度量，閾值內最小距離即識別為同一人3。活體檢測主要是驗證用戶是否為真實活體本人操作，通過眨眼、張嘴、搖頭或點頭等動作進行判別4。（二）產業實踐百度智能云依托領先的深度學習人工智能前沿技術框2

吳玲：《人臉識別中的圖像預處理技術》，載《中南論壇》2010

年第

4

期，第

116-118

頁。3

李懷宇等人：《基于人臉識別的智能立體車庫控制系統設計》，載《工業控制計算機》2022

年第

7

期，第

1-3

頁。4

劉琴：《基于人臉識別的塔機身份管理系統》，載《建設機械技術與管理》2022

年第

5

期，第

69-71

頁。3人臉識別產業法律治理研究報告架和強大的端云計算能力，準確識別圖片和視頻流中的信息，提供高效、穩定的服務支持，助力各行業實現智能化升級和創新發展，同時采用多項安全技術，包括

AI

領域的算法技術保障、工程安全保障等，全方位守護數據安全。商湯科技依托于原創的計算機視覺技術以及深度學習底層算法平臺，賦能于智能安防及其他領域，在多個垂直領域市場賦能多行業，為不同領域提供產品與解決方案，包括

SenseID，SenseUnity，SensePass，SenesKeeper，SenesNebula，SenesRadar等。阿里巴巴利用三大核心技術，即生物特征自主感知和學習系統，結算意圖識別和交易系統，以及目標檢測與追蹤系統，采用計算機視覺和傳感器感應，并疊加了一些非配合生物識別技術，以降低誤判率，廣泛應用于政務、金融、直播、游戲、數字藏品、共享出行、教育、招聘、房地產等眾多行業領域5。（三）人臉識別技術價值作為一項研究已有半世紀之久的技術，人臉識別技術是人臉識別技術應用不斷發展的源頭活水，也是保護人臉信息的技術核心。一方面，人臉識別技術以光學成像技術為基礎，集合人工智能、機器識別、機器學習、模型理論、專家系統、視頻圖像處理等多種專業技術，其關鍵在于是否擁有尖端的核心算法，并使識別結果具有實用化的識別率和識別速度，5

參見前注

1。4人臉識別產業法律治理研究報告因此其不但是人工智能應用的主要領域之一，也是弱人工智能向強人工智能轉化的環節。另一方面，在“基于設計的隱私保護”的架構下，人臉識別技術要求技術提供者從開發前期就應保障合規團隊與開發、設計團隊相互合作，在設計伊始即考量個人信息保護和隱私問題，將較能保護個人信息的做法列為預設機制，使之在信息系統中，得以受到系統的“自動”保護。二、人臉識別產品/服務生態（一）產品/服務提供者產品/服務提供者根據具體應用場景的需要，提供相應的軟件服務、軟硬件一體終端產品及服務等，常見的人臉識別產品及服務包括離線

SDK、在線

API、人臉識別一體機等。例如，在安防領域，服務提供者按照需求研發提供樓宇、園區、地鐵等場景下的門禁閘機；在零售領域，服務提供者提供支付場景下的

1

對

1

的人臉識別移動終端；在金融領域，服務提供者提供

API

調用接口，使用云端對比識別，在服務商完成數據處理。目前產品提供廠商與技術提供廠商重合度較高，它們包括阿里巴巴、百度、騰訊、火山引擎、商湯科技、海康威視、云從科技、華為、滴滴等。（二）產業實踐人臉識別產品提供者主要為研發人工智能產品的科技公司，其提供的服務與產品形態也更加多樣化，以滿足各個5人臉識別產業法律治理研究報告場景下的不同需求。以百度為例，人臉識別技術靈活應用于金融、泛安防、安全生產等行業場景，滿足身份驗證和反欺詐、通行考勤、企業智能化治理等業務需求。傳統制造企業廠區規模大、作業環境復雜、設備操作安全等級要求高，需對作業人員日常操作、穿戴安全進行及時監控及預警。同時，由于現場從業人員較多，員工管理面臨排班復雜、流動性大。百度度目智能應用平臺綜合

AI+物聯網+大數據分析能力，提供智能園區管理、能源生產安全管理、企業運營管理等服務，可廣泛應用于企業園區及大型廠區，預警安全風險6。在安防領域，科技公司提供人臉識別產品形態包括設備終端與系統性解決方案。例如，海康威視提供包括云計算、門禁、攝像機、軟件平臺、一體機等人臉識別終端設備以及系統性解決方案，致力于打造平安城市、平安鄉鎮、平安社區。格靈深瞳圍繞視覺計算系統打造了囊括云到端到邊緣側的多形態產品，具體包括：高密度的視覺計算服務器、靈活部署的邊緣服務器、嵌入式的智能前端視覺計算引擎以及云服務。依圖科技主要研發智能安防產品，建立了十億級的全球最大的人臉識別系統7。在銷售領域，科技公司提供人臉識別產品形態主要為智能化的解決方案。例如，騰訊提供騰訊云智能貨柜解決方案。6

參見前注

1。7

參見前注

1。6人臉識別產業法律治理研究報告該方案整合了先進的圖像識別技術、微重力感應技術、RFID技術，可靈活自定義掃描策略，做到用戶隨意取貨也能精準判斷商品，在保障用戶體驗的同時有效控制貨損率8。在金融領域，科技公司提供人臉識別產品形態主要為人臉認證系統。例如，依圖自主研發雙目活體檢測認證系統，為無卡取款業務用戶提供身份核驗功能，實現刷臉取款功能，現已應用于多家銀行的

ATM

機9。在直播等新興產業，科技公司提供人臉識別產品形態主要為響應系統，輔助產業可靠發展。例如，火山引擎自主研發的實名認證系統，通過對用戶的個人信息（姓名、身份證號、人臉）進行校驗，增加用戶身份可信度。目前已在抖音、頭條等

APP

的直播、支付等涉及用戶實名認證的場景完成落地。（內容來自調研）（三）人臉識別產品價值作為人臉識別系統與其他系統、設備的集成者，產品/服務提供者需按照產品應用者的要求進行集成開發，并且產品最后將直接面向用戶，因此與產品應用者和用戶也具有更加緊密的聯系。人臉識別產品有著積極的社會價值。在公共安全領域，人臉識別技術配合人體特征、行為分析和事件分析，可將被動安防推向主動安防，在刑偵追逃、罪犯識別以及邊防安全等領域具有重要的實戰價值，比如，在視頻監控8

參見前注

1。9

參見依圖官網：/cn/business/smart-retail7人臉識別產業法律治理研究報告系統中嵌入交通事件檢測、人臉識別、違停抓拍及行人闖紅燈抓拍等模塊，并結合安防云和交通云，可大力提升社會治安防控體系建設的科技含量。從技術的發展角度來看，技術產品化是實現技術價值、探索技術邊界的必經之路，良好的產品設計需要充分考慮應用場景的差異和最終用戶的需求。從法律關系角度來看，產品提供者不僅應當按照合同向產品接收者履行義務，在產品面向自然人提供涉及用戶個人信息等具有敏感性的服務時，還應當向用戶作出真實的說明和明確的警示，防止危害后果的發生。三、人臉識別服務使用生態（一）服務使用者服務使用者是指將人臉識別技術實際應用于生活場景中的使用方，按照應用場景可以劃分為智慧安防、智慧金融、手機娛樂、出行交通等多個領域的使用者。在安防領域，房地產商通過人臉識別一體機降低“飛單率”，公安機關通過公安平臺進行刑偵打擊犯罪；在金融領域，銀行自主研發人臉識別系統，為用戶提供高安全性的人臉識別服務；在銷售領域，零售企業人臉識別與無人零售結合，開拓銷售新場景新模式；在交通領域，車企利用人臉識別技術提升人機交互的體驗感；在家具領域，家具企業通過人臉識別技術研發智能開鎖產品，提高產品的智能性。8人臉識別產業法律治理研究報告（二）產業實踐人臉識別服務使用者主要按照場景需求開展產業實踐，主要以金融領域為代表。度小滿采用動作配合式活體，在客戶端做質量和活體檢測，業務自動審核率超過

90%。工商銀行以前瞻性、系統性、安全性為指導，進行頂層架構設計，采用分層架構設計，建設多元化特征并行發展，云邊端縱向分層解耦，提供生物特征客戶統一視圖的企業級生物識別服務，以兼顧不同場景和部署環境需求10。微眾銀行自主研發的人臉識別系統，集成于微眾銀行

APP，為用戶提供高安全性的人臉識別服務。在用戶使用微眾銀行

APP

進行開戶、添加銀行卡、重置交易密碼、注銷賬戶等重大操作時，微眾銀行人臉識別系統會作為前置安全保障的步驟進行服務調用和識別驗證，搭配密碼輸入、短信驗證等組合驗證，確認操作用戶身份的真實性。（三）人臉識別服務使用價值人臉識別技術使用是產業成果落地實踐的關鍵，也是與用戶交互的紐帶，在促進科技成果有效轉移轉化落地、加快產業化進程等方面發揮了不可或缺的作用。服務應用方是具體部署產品使用和處理的關鍵，重點應當聚焦人臉信息保護的實踐需求，按照業務進行流程化的管理設計，貼合實際需要。10

參見中國工商銀行金融科技研究院：《商業銀行生物識別技術應用實踐及趨勢分析》，2022

年

9

月。9人臉識別產業法律治理研究報告四、人臉生成合成生態生成式

AI

在人臉生成合成領域的應用可以分為兩大類四小類：一是人臉生成，生成現實中不存在的人臉。二是人臉合成，針對已有人臉進行修改，包括：1.人臉身份合成，更改圖像或視頻中人物的身份；2.人臉動作合成，改變人物原有的面部動作；3.人臉屬性合成，對原始人臉的某些屬性進行編輯。人臉生成合成技術被廣泛應用于影視、娛樂、教育、醫療、社交、電商、內容營銷、藝術創作、科研等領域。在影視領域，人臉生成合成技術用于影視作品的后期制作的翻拍、補拍、數字復活已故演員等；在電商領域，人臉生成合成技術可以構建虛擬主播、讓用戶實現在購買前“數字試穿”等；在廣告營銷領域，合成不存在但具有吸引力的人臉作為代言人或廣告角色，可以降低廣告成本和侵犯肖像權的風險等；在醫療領域，生成與真實影像無異的醫學圖像來訓練

AI

系統，可以解決數據不足、病人隱私保護等問題；在游戲領域，人臉生成合成技術主要用于

NPC

外形生成、模擬對手對戰訓練等。人臉生成合成生態包括三類主體：技術提供者、產品/服務提供者、服務應用者。其中技術提供者包括兩類：一是大模型技術提供者。它們通過受控

API、開源等方式輸出大模型能力，如

OpenAI、Stability

AI、

Google、Meta、百度、10人臉識別產業法律治理研究報告字節跳動、昆侖萬維等。二是各垂直領域/行業模型（小模型）的技術提供者。它們在預訓練模型基礎上，通過專門的調試和訓練，快速抽取形成垂直化、場景化、定制化的小模型和應用工具層。如科大訊飛、商湯、曠視、依圖、格靈神瞳等。產品/服務提供者即提供生成式

AI

應用的服務商，如百度大腦人臉融合、瑞萊智慧公司人臉安全防火墻

RealOasis、無界AI、計算美學、萬興科技、影譜科技、啟元世界、Deepfake、FaceSwap、ZAO、Midjouney、DALL-E

等。11人臉識別產業法律治理研究報告第二章

人臉識別產業的治理經驗一、美國人臉識別的治理經驗（一）美國人臉識別治理的立法美國在人臉信息保護上采用的是通過專項立法進行保護的模式，側重隱私權保護。在聯邦層面，盡管已有若干法律提案，但目前還無統一法律規范人臉信息的收集和使用。相形之下，各州對人臉識別產業的規制走在聯邦的前列，呈現“拼湊式”的立法特點，其中較為突出的是伊利諾伊州和加利福尼亞州。伊利諾伊州的《生物信息隱私法案》（IllinoisBiometric

Information

Privacy

Act，以下簡稱“BIPA”）是美國境內第一部規范生物識別信息的法律，并且由此催生Facebook

生物識別信息隱私權訴訟等集體訴訟案件；加利福尼亞州接連頒布的《加利福尼亞州消費者隱私法》(TheCalifornia

Consumer

Privacy

Act,以下簡稱“CCPA”與《加州隱私權利法案》（California

Privacy

Rights

Act，以下簡稱“CPRA”）同樣也影響深遠。總體而言，各法案內容主要涉及以下三方面：第一，以限制處理人臉信息為核心，給予數據生命周期的強化保護。當私人實體在采集、存儲、使用與銷毀生物信息過程中，應嚴格遵守合法權源等義務、處理必要性等原則。第二，注重12人臉識別產業法律治理研究報告信息披露、外部問責和監督機制。11第三，在治理人臉識別技術時避免將算法偏見、自動化決策負面影響納入考量。12層級文件名稱內容簡介本法案第四節規定禁止政府機構使用人臉識別技術。美國政府機構不得安裝任何與人臉識別技術相連接的攝像機，不得在未經授權的情況下獲取或使用通過人臉識別技術獲得的個人信息，不得在沒有逮捕令的情況下使用人臉識別技術來識別特定個人。第五節提供了人臉識別技術侵害權利的司法救濟。任何人如果認為美國政府機構違反規定使用人臉識別技術使自己遭受侵害的，均可向相應的美國地方法院提起民事訴訟，以獲取禁止令或者宣告性救濟。第六節提及制定人臉識別技術使用規則：（1）在未經許可的情況下，人臉識別技術是否可以在私人或公共場所適當使用；（2）商業化使用人臉識別技術的情形和限制是什么，個人對于其數據所享有的權利是什么；（3）在何種情形下，政府官員可以未經許可使用人臉識別技術；（4）考慮個人對于保護隱私或匿名的合理期望，應采用何種規則來控制通過人臉識別技術對于人臉圖像的獲取；（5）在何種情形下，個人能夠選擇退出或選擇使用人臉識別技術；（6）需要采取什么保障措施以防止人臉識別技術的濫用；（7）當

人臉識別技術被濫用時有哪些適當的救濟措施；（8）個人應享有哪些與人臉識別技術所產生的數據及他們肖像的使用相關的權利。《道德使用人臉識別法案》（Ethical

Use

of

FacialRecognition

Act）（2020.2.12）聯邦層面以

BIPA

為藍本，規范生物識別信息的收集、保留、披露和銷毀。主要包括私人實體：（a）不能通過貿易獲取個人或客戶的生物識別信息，除非實體提供服務或其他有效商業用途，以書面形式告知并獲得書面許可（不得與其他同意，包括就業協議相結合）；（b）應以合理的謹慎標準和保護其他機密和敏感信息的方式存儲、傳輸和保護生物識別信息等。《國家生物識別信息隱私法案》(National

BiometricInformation

Privacy

Actof

2020)(2020.08.03)《商業人臉識別隱私法案》法案主要規范商業使用人臉識別技術，要求在使用前獲得個人的同意，在未經同意情況下禁止將人臉識別數據共享給非關聯第三方。具體內容包括：一是(Commercial

FacialRecognition

Privacy

Act

要求收集人臉識別數據獲得明確同意；二是對人臉識of

2019)

別數據的處理提出限制性要求：（a）

原則上禁止使11

例如，加州法案規定企業應保存內外部審計機構就生物識別系統的安全性、隱私性作出的審計記錄，審計測試與測試數據庫須經政府部門批準，定期將審計結果向社會公示。同時，亦注重外部問責．針對企業采用的生物識別系統進行年度外部審計，就收集數據的期限是否合理、精確度是否達標、是否對個人產生不利的歧視性影響開展審計問責。12

例如，《商用人臉識別隱私法草案》中規定禁止使用人臉識別技術對用戶進行歧視化對待。13人臉識別產業法律治理研究報告(2019.03.14)用該技術收集人臉識別數據，除非獲得明確同意并提供通知；禁止歧視、更改使用目的及未經明確同意與非附屬第三方（an

unaffiliated

third

party）

共享人臉識別數據，（b）

若對某一服務而言該技術的使用非必需的，不可因終端用戶同意放棄隱私權服務或沒有提出明確同意而終止或拒絕提供服務；三是明確可使用人臉識別技術的例外情形；四是要求對人臉識別技術的準確性進行獨立第三方測試。法案旨在限制聯邦調查局、移民與海關執法局等機構通過人臉識別技術開展持續監視，持續監視是指利用人臉識別技術在公共場所跟蹤被識別個人的身體運動超過

72

小時，無論是實時的還是使用該技術進行歷史記錄，明確只有在支持執法機構的活動中，取《人臉識別技術授權法

得法院命令等情況下才能將人臉識別技術用于持續監案》視。（Facial

Recognition此外，持續監視獲取的證據的使用具有限制，若Technology

Warrant

Act）

信息是非法獲得的、授權獲取信息的法院發出命令的（2019.11.14）理由不充分、與法院命令授權使用的目的不相符等情況下不得在訴訟中申請使用。最后，政府機構要對使用人臉識別技術得出的結論進行人工審查，并與美國技術和標準研究院（NIST）協商建立人臉識別系統測試程序，定期對系統性能進行獨立測試。通過外商投資安全審查、出口管制等手段對人工智能關鍵技術、敏感個人數據等采取相關跨境限制措《2018

年外國投資風險

施。審查現代化法案》1.直接或間接收集或持有美國居民敏感個人數據《關于外國人在美國進

的

美

國

企

業

屬

于

敏

感

行

業

美

國

企

業

（

TID

U.S.行特定投資的規定》《出口管制條例》Business）。2.外國投資者針對敏感行業美國企業的非控制權投資交易可能落入

CFIUS

的審查范圍，并屬于強制申報的情形。美國馬里蘭州眾議員

Ted

Lieu

提出了《2022

年面部識別法案》。該法案包含規范面部識別技術在公共和私營部門的必要使用的條款。它還規定了透明度要求、年度評估和圍繞執法部門使用情況的報告。（一）對政府執法部門使用

FRT

進行嚴格限制和禁止：《2022

年面部識別法案》（提案）1.

將執法部門使用人臉識別技術的情況限制在獲得搜查令的情況下，搜查令應說明某人可能犯下嚴重暴力重罪的可能原因。2.

禁止執法部門使用

FRT

來記錄個人如何表達憲法所保障的權利，如合法抗議。3.

禁止將

FRT

匹配作為確定搜查、逮捕或其他14人臉識別產業法律治理研究報告執法行動的合理理由的唯一依據。4.

禁止執法部門使用

FRT

來執行移民法。5.

禁止將

FRT

與包含非法獲得的信息的數據庫以及人體攝像頭、儀表盤攝像頭和飛機攝像頭一起使用。6.

禁止使用

FRT

追蹤具有實時或存儲視頻片段的個人。7.

確保該法案中的任何內容都不妨礙州或地方政府禁止或暫停使用

FRT。（二）為個人提供透明度并提供救濟路徑：1.

為因使用

FRT

而受到傷害的個人建立了私人訴訟權等救濟途徑。2.

要求執法部門向作為

FRT

搜查對象的個人提供通知，并提供法院命令的副本和/或其他關鍵數據點。3.

要求執法部門每六個月從

FRT

逮捕照片數據庫中清除

18

歲以下、無罪釋放、被撤銷指控或被宣告無罪的個人照片。（三）確保對執法部門使用

FRT

的情況進行年度評估和報告：1.要求對執法機構使用的

FRT

系統進行定期審計，對審計不合格的機構進行停職處理。對審計不合格的機構進行暫停。2.要求每年對執法部門采用的任何

FRT

系統進行獨立測試。3.要求詳細的

FRT

司法和檢察報告，以及數據收集。1.知情同意，收集個人生物識別信息需獲得知情的書面同意；2.保留準則，企業須制定書面政策設定生物識別數據的保留時間表，且當收集數據的目的已《生物信息隱私法案》

達到或距信息主體與企業最后一次聯絡已滿三年時伊利(Illinois

Biometric（以先發生者為準），應當摧毀該數據；3.禁止獲利，諾伊

Information

Privacy

Act,

生物識別數據不得出售；4.有限披露，且除非獲得相州BIPA)(2008)關自然人的同意或法律規定的特定例外情況不得對他人披露；5.BIPA

要求私人實體行業內的合理的注意標準（不同行業的注意標準不盡相同）；6.對生物信息的保護至少等同于“機密和敏感信息”的保護；7.允許公民對違反其規定的行為提起私人司法訴訟。1.除非事前通知并收到同意外，任何人不得出于商業目的獲取生物特征識別信息；2.規定除完成個人《捕獲或使用生物識別符法案》德克薩斯州(Texas

Capture

or

Use

of

要求或授權金融交易等四種特殊情形外，不得向他人Biometric

IdentifierAct,CUBI)出售、出租或以其他方式透露已獲取的生物特征識別信息；3.應該以合理謹慎的態度存儲、傳輸、保護生物識別標識符。(2009)15人臉識別產業法律治理研究報告CPRA

要求承包商和服務提供方與企業簽訂的書面合同需要以下條件：禁止出售、共享該個人信息；禁止超范圍、超限度使用、處理該個人信息；原則上禁止將從企業處獲取的消費者個人信息與從其他企業處獲得的個人信息相結合用于個性化營銷目的。此外，合同中須包含的合規承諾，以及授權企業對其個人信息處理活動的監督、審計等權利。涉及敏感個人信息的情況，如果消費者要求企業限制使用其敏感個人信息，企業應告知相關服務提供商或承包商。服務提供商或承包商在收到企業指示后，應停止使用相關消費者的敏感個人信息。即服務提供商和承包商對于企業的限制性使用指示有響應、配合義務。3.Opt-out

機制的實現企業可以通過多種方式向消費者提供“Opt-out”功能，但根據

CPRA

的要求，企業應在其網站主頁、線上隱私政策中都提供清晰、明顯且分開的“不得出售或共享我的個人信息”鏈接和“限制使用我的個人敏感信息”鏈接，供消費者點擊選擇。一旦消費者作出

Opt-out

選擇，企業在此之后

12

個月內不得再次要求該消費者授權企業出于其他目的使用、披露消費者的敏感個人信息。（二）美國人臉識別治理的典型案例1.谷歌用戶起訴谷歌違反

BIPA2016

年

3

月，用戶向谷歌提起集體訴訟，認為谷歌對用戶在“谷歌照片”中上傳的照片進行分析并建立面部模型，既沒有公布收集用戶生物識別信息的政策，也未獲得用戶的書面同意，違反了

BIPA

的規定。2019

年

1

月，法官以原告無法證明因谷歌公司的行為造成“具體損害”而駁回了原告起訴。2.

Rosenbach

v.

Six

Flags

Entertainment

Corp.2017

年

12

月，伊利諾伊州一位市民因其兒子辦理六17

與企業簽訂書面合同，企業出于商業目的向承包商提供消費者個人信息。18

以企業的名義處理個人信息的個人并根據書面合同從企業或代表企業接收用于商業目的的消費者個人信息的主體。17人臉識別產業法律治理研究報告旗主題公園（Six

Flags）的季卡時被要求提供指紋信息而向法院提起訴訟，認為六旗主題公園既沒有公布收集用戶生物識別信息的政策，也未獲得用戶的書面同意，違反了

BIPA的規定。伊利諾伊州上訴法院判決認為，原告未能證明合法權利受到損害，未支持原告的訴訟請求。伊利諾伊州最高法院在

2019

年

1

月推翻了原審法院的判決，認為生物特征隱私是一項基本的民事權利，個人無需證明受到實際損害就可起訴自身權利受到侵害。193.多名用戶針對

Facebook

的圖片標簽功能提起集體訴訟2016

年

5

月，多名用戶針對

Facebook

的圖片標簽功能提起集體訴訟，認為

Facebook

未經用戶同意收集用戶生物識別信息，并存儲在

Facebook

面部識別數據庫中。只要用戶上傳照片，Facebook

的系統就會自動分辨出鏡頭中的面孔與之前上傳照片中的人臉匹配，最后鑒別出個人身份。2019

年

8

月，美國第九巡回上訴法院駁回了

Facebook

要求撤銷集體訴訟的請求，將該案退還給舊金山地方法院進行審理。案件最終達成和解協議，Facebook

將向符合條件的伊利諾伊州用戶支付

5.5

億美元，并支付原告的訴訟費。4.Snap

Inc.公司違規收集個人生物特征信息2022

年

9

月，在伊利諾伊州，針對視頻通訊應用軟件19

Rosenbach

v.

Six

Flags

Entertainment

Corp.,

2019

IL

123186

(Jan.

25,

2019).18人臉識別產業法律治理研究報告Snapchat

違規收集用戶生物特征信息的集體訴訟案（Boone,et

al.

v.

Snap

Inc.案）初步達成了庭外和解（最高可達

3500萬美金賠償、波及超

35

萬人的和解動議）。在這起集體訴訟中，Snap

Inc.

被指控違反了

BIPA。原告稱，Snap

Inc.

的隱私政策（Privacy

Policy）中沒有說明用戶的面部信息會被收集，而且公司在沒有得到用戶書面授權的情況下，通過用戶使用濾鏡和特效鏡頭掃描了用戶人臉。作為被告的

SnapInc.雖然選擇庭外和解，并同意支付最高

3500

萬美元的和解費用，但不接受以上任何一項指控。Snap

Inc.表示：“軟件在使用鏡頭時不會收集可用于識別特定人員或進行面部識別的生物特征數據，例如，鏡頭可將眼睛或鼻子識別為面部的一部分，但不能將眼睛或鼻子識別為屬于任何特定的人。”同時還表示，鏡頭功能使用的數據不會發送到他們的服務器，而是保留在用戶的設備上，因此公司不應在

BIPA

管轄之列。5.Instagram

違法收集處理人臉信息2015

年

4

月，多位美國伊利諾伊州用戶針對

Instagram提起集體訴訟，指控該軟件使用的生物識別技術違反了

BIPA。該法律嚴格限制企業收集、使用和共享生物信息，禁止企業在未經用戶同意的情況下收集生物信息。同時，該法要求企業需要以書面形式告知用戶收集生物信息的目的、用途以及存儲和銷毀的時間。訴訟稱

Instagram

通過面部標記工具采集用戶面部數據，并將創建的“面部數據”儲存在數據庫中。19人臉識別產業法律治理研究報告Instagram

會在未經用戶同意的情況下，自動使用面部標記工具來獲取信息。對此，Instagram

聲稱其面部識別功能開啟時，作用僅為通過建立個人面部模板來查找用戶在

Facebook

等軟件上的照片和視頻，從而實現打標簽、記錄發布內容和特征的目的。然而，伊利諾伊州用戶認為，Instagram

及其母公司

Meta

此舉實際上在未獲得用戶知情同意的情況下，收集和使用其生物特征信息。該案被訴至美國庫克縣巡回法院，后被移交至芝加哥聯邦法院和加利福尼亞州聯邦法院。此案審理期間，2021

年11

月，由于用戶對生物識別技術的安全性愈發擔憂，Meta宣布關閉其面部識別功能，同時刪除存儲的超過十億個面部識別模板。2023

年

3

月，Instagram

與多位原告達成和解，決定為在

2015

年

8

月

10

日至

2023

年

8

月

16

日期間使用該軟件的伊利諾伊州用戶支付共計

6850

萬美元的和解金，用戶需在

9

月

27

日之前提交索賠申請，不想接受和解條款的人需在

8

月

16

日之前提交信函請求排除；想要留在和解集體中但反對和解或與和解相關的支出的人，需在

8

月

16

日前向法院提出異議。和解協議的最終批準聽證會定于

10

月11

日舉行，每位索賠用戶能獲得多少賠償將取決于提交索賠申請的總人數以及用戶在規定期限內使用

Instagram

的時長。在向該案代理律師、稅務、和解事務處理小組以及訴訟代表支付費用后，賠款將按一定比例發給受此事件影響的用戶，20人臉識別產業法律治理研究報告不論是成年人還是未成年人。但和解協議的最終批準聽證會已從

10

月

11

日推遲到

11

月

21

日，官方沒有給出推遲解釋。如果和解協議獲得批準且所有上訴被解決后，索賠人預計將在

90

天內（即

2024

年

2

月）開始獲得自己應得的賠償份額，但具體付款時間還需法院確定，仍具有不確定性。總之，該案顯示了

BIPA

作為一個真正強大的機制和執法工具的重要性，凸顯了私人訴權在確保隱私制度執行方面的工具價值，體現了

BIPA

在人臉識別技術的使用和部署過程中所發揮的重要作用。二、歐盟人臉識別的治理經驗（一）歐盟人臉識別治理的立法歐盟對于人臉信息保護采取綜合立法保護模式，初期以《一般數據保護條例》（以下簡稱“GDPR”）中生物信息保護為核心，近期則延伸到人臉識別應用人工智能算法上。與美國不同，歐盟嘗試著在區分人臉識別產業中不同主體的基礎上，采取差異化的義務與責任規制。例如，《關于人臉識別的指南》分別對開發和銷售人臉識別技術、私營實體使用人臉識別技術兩種情形進行指引；作為全世界第一部通過議會程序、專門針對人工智能的綜合性立法，《人工智能法案》分別規定高風險

AI

系統提供商、高風險

AI

系統用戶的義務；《歐盟人工智能責任指令》區分高風險

AI

系統提供者和用戶的證據、因果關系推定的規則。21人臉識別產業法律治理研究報告總體而言，歐盟對人臉識別產業保持非常謹慎的態度，對其設置了多重限制，包括但不限于（1）使用目的和使用場景的限制：人臉識別技術的使用只能在受控環境中進行驗證、認證或分類；（2）數據處理的限制：數據處理的合法性，要求獲得同意、透明、公平、數據最小化、存儲時間有限；（3）數據準確性的限制；（4）數據安全的限制；（5）組織流程的限制：企業應設立內部審查委員會和數據安全保護官（DPO），定期開展數據影響評估，以評估、批準涉人臉識別數據的處理活動。此外，雖然沒有直接針對人臉識別技術開發的規定，但人臉識別技術被《人工智能法案》確定為高風險

AI

系統，《人工智能法案》從高風險

AI

系統應符合的標準和系統提供商的義務兩個維度，提出對高風險

AI

系統技術要求和組織措施：強制性的風險管理系統、高質量數據訓練集、技術文件和記錄保存、明確的透明度、確保能對系統進行人為監督、確保

AI

系統能夠達到適當的準確性、魯棒性和網絡安全、售后監控。根據目前公布的最終版法案，AI

工具將依照本身技術特性，按照風險等級匹配監管規則，其中值得一提的是《人工智能法案》將嚴格禁止對人類安全具有不可接受風險的人工智能系統（Unacceptable

risk

AI），例如公共場合的“實時”或“事后”的遠程生物識別系統、使用敏感特征（如性別、22人臉識別產業法律治理研究報告種族、民族等）的生物識別分類系統、從互聯網或閉路電視錄像中無目標地抓取面部圖像以創建或擴展面部識別數據庫的人工智能系統、通過分析先前犯罪行為，試圖預測未來非法活動的預測性警務系統，以及在執法、邊防、工作場所和教育機構等領域中用于推斷自然人的情緒識別系統等。上述明令禁止的內容中，禁止使用生物識別系統這一條文備受爭議。擁有人臉與生物辨識技術的

AI

公司可以通過社交媒體或電視影像對民眾的外觀信息進行大規模搜集與分析，嚴重威脅了個人隱私；面部識別技術甚至可以作出種族定性，可能危及有色人種或弱勢少數民族公民的個人自由。最終版《人工智能法案》禁止出于執法目的在公共場所使用“實時”遠程生物識別系統，除非使用該系統對于以下目的之一必須的：（1）尋找綁架、販賣或性剝削的受害者，以及失蹤人員；（2）防止對于生命或身體安全的特定的、重大的和緊迫的威脅或恐襲；（3）出于調查、檢控或執行懲罰的目的定位或識別嚴重犯罪的嫌疑人。2024

年

3

月

13

日，歐盟議會以

523

票贊成，46

票反對和

49

票棄權的壓倒性票數通過了《人工智能法案》。該法案是世界上“第一部”針對人工智能的全面且具有約束力的法規，這一里程碑式法案的通過，有助于歐盟在監管人工智能方面走在世界的前列，即使《人工智能法案》的管轄范圍只能覆蓋歐盟成員國，但其針對人工智能監管的規范卻可以23人臉識別產業法律治理研究報告成為其他國家的參考。由是觀之，如歐盟《人工智能法案》通過，該法案或許將同歐盟《一般數據保護條例》（GDPR）一樣，影響世界各國家或地區的立法和實踐。文件名稱內容人臉識別信息屬于

GDPR

規定的個人敏感數據。除了數據控制者對一般信息的保護義務，如遵守合法、合理和透明原則、目的限制原則、最小化原則、準確性原則、限期儲存原則、完整保密原則和權責一致原則等，GDPR

對敏感數據的保護提出更嚴格的要求，原則上禁止處理。對于人臉識別技術的商業應用而言，可適用的唯一例外情形是

“數據主體已明確表示同意”，且同意須

“自由、明確、具體”。GDPR

還對敏感數據控制者或處理者單獨規定了必須設立

DPO（第

37條）和必須進行數據保護影響評估的義務（第

35條）。《一般數據保護條例》（General

Data

Protection

Rules）根據

GDPR

的規定，照片不當然構成個人敏感數據，但在通過特定技術方法對照片進行處理，使其能夠識別或認證特定自然人時，也屬于處理個人敏感數據（第

51

條）。《歐盟人工智能法案（草案）》（以下簡稱“《草案》”）明確將人臉識別列為高風險

AI

系統。1.針對高風險

AI

系統提供商（技術研發者）而言，需要重點關注《草案》第三編第

2

章對高風險

AI

系統本身的要求、第

3

章中關于高風險AI

系統提供商的義務，以及第八編第

61

條提供商的入市后監測義務。第三編第

2

章第

9

條—第

15

條規定了強制性的風險管理系統、高質量數據訓練集、技術文件和記錄保存、明確的透明度、確保能對系統進行人為監督、確保

AI

系統能夠達到適當的準確性、魯棒性和網絡安全。《歐盟人工智能法案（草案）》（EUArtificial

Intelligence

Act）（2020.2.19）第三編第

3

章第

16

條羅列了高風險

AI

系統提供商義務，第

17

條—23

條詳細闡述前述義務的具體要求，其中包括：保證并證明其

AI

系統符合對高風險

AI

系統的要求（具體見該草案第

2

章

）、建立質量管理體系、編制技術文檔、保留

AI

系統自動生成的日志、確保系統投放前經過合格評定程序、采取糾正措施等義務。第八編第61條規定了提供者負有建立售后監24人臉識別產業法律治理研究報告控系統的義務，需通過該系統評估

AI

系統的持續合規性。2.針對技術應用者，《草案》第

3

章第

29

條規定了高風險

AI

系統用戶的義務，包括：按照系統附帶的使用說明使用系統；監督系統運行；在自己控制范圍內確保輸入數據是與高風險

AI

系統的預期目的相關的；保留該高風險

AI

系統自動生成的日志；進行數據保護影響評估。除此之外，技術應用者也可能被認定為構成技術供應商，從而承擔技術研發者相同的責任。《草案》第

3

章第

28

條規定了經銷商、進口商、用戶或任何其他第三方應被視為提供者的情形：（a）

以自己名稱或商標將高風險

AI

系統投放市場或投入使用；（b）

修改已經投放市場或投入使用的高風險

AI

系統的預期目的；（c）

對高風險的

AI

系統進行了實質性的修改。3.針對產品制造商，《草案》規定以產品制造商的名義與根據該法律行為生產的產品一起投放市場或投入使用時，產品制造商應對

AI

系統符合本條例的規定承擔責任，并就

AI

系統而言，負與本條例下供應商所負義務相同的義務。4.《草案》規定了人臉識別技術進口商和經銷商的義務，系統服務者如果有進口或經銷人臉識別技術的業務，需要履行《草案》規定的相應義務。本法案將公共場合的“實時”或“事后”的遠程生物識別系統歸為具有不可接受風險的人工智能系統，對于人臉識別采取嚴格謹慎的態度，這也與《歐盟人權公約》中規定的隱私權、思想自由、禁止歧視等內容相符。具體涉及人臉識別的相關條文如下：Recital

8：本條例中使用的“遠程生物識別系統”的概念應從功能上加以定義，這是一種人工智能系統，用于在自然人沒有主動參與的情況下，通常是在一定距離之外，通過將一個人的生物數據與參考數據庫中的生物數據進行比較，從而識別其身份，而不論所使用的生物數據的特定技術、程序或類型如何。這種遠程生物識別系統通常用于同時感知多個人或其行為，以便在沒有自然人主動參與的情況下極大地便利對自然人的識別。這不包括用于生物驗證，包括用于鑒別的人工智能系統，相應系統，單純出于獲得服務、解鎖設備或安全進入場所的目的，其唯一目的是確認特定自然人就是他或她聲稱的那個人，以及確認自《歐盟人工智能法案》（EU

Artificial

Intelligence

Act）（2024.3.13）25人臉識別產業法律治理研究報告然人的身份。這種排除的理由是，與遠程生物識別系統相比，這類系統對自然人基本權利的影響可能較小，因為遠程生物識別系統可用于處理許多人的生物數據，而無需這些人的積極參與。在“實時”系統中，生物數據的采集、比對和識別都是在瞬間或接近瞬間進行的，或在任何情況下都沒有明顯的延遲。在這方面，不應存在通過設定輕微的延遲來規避本條例關于“實時”使用有關人工智能系統的規則的空間。“實時”系統涉及使用“現場直播”或者“近乎現場直播”的材料，如攝像機或其他具有類似功能的設備生成的錄像片段。相比之下，“事后”系統則是生物數據已經得到采集，只有在延遲之后才進行比對和識別。這涉及在對有關自然人使用該系統之前已經生成的材料，如閉路電視攝像機或私人設備生成的圖片或錄像Recital

18：在公共場所為執法目的使用“實時”遠程生物識別系統，每次使用都應得到司法機關或其決定對成員國具有約束力的獨立行政機關的明確和具體授權。

這種授權原則上應在使用該系統識別特定的個人或多人之前獲得。在有正當理由的緊急情況下，即在需要使用有關系統，因而實際上和客觀上不可能在開始使用之前獲得授權的情況下，這一規則應允許例外。在這種緊急情況下，使用應限制在嚴格必要的最低限度，并受制于適當的保障措施和條件，這些措施和條件由國家法律確定，并由執法機關本身在每個緊急使用的個案中具體規定。

此外，在這種情況下，執法機關應在提出申請的同時，說明未能及早提出申請的原因，不得無故拖延，最遲應在

24

小時內提出申請。如果這種授權被拒絕，則應立即停止使用與該授權有關的實時生物鑒別系統，并應棄置和刪除與這種使用有關的所有數據。這些數據包括人工智能系統在使用過程中直接獲得的輸入數據，以及與該授權相關的使用結果和輸出。這不應包括根據其他國家或歐盟法律合法獲取的輸入數據。在任何情況下，不得僅根據遠程生物識別系統的輸出結果做出對個人產生不利法律影響的決定。Recital

24：在使用人工智能系統進行生物識別時涉及的生物數據和其他個人數據的任何處理，除與本條例規定的為執法目的在公共場所使用“實時”遠程生物識別系統有關外，應繼續遵守

2016/680

號指令第

10

條規定的所有要求。對26人臉識別產業法律治理研究報告于執法以外的目的，2016/679

號條例第

9

條第

1款和

2018/1725

號條例第

10

條第

1

款禁止處理生物數據，但這些條款規定的有限的例外情況除外。在適用

2016/679

號條例

第

9

條第

1

款時，遠程生物特征識別用于執法以外的目的的已經落入國家數據保護機關的禁止決定之下。Recital

26

b：應禁止將人工智能系統投放市場、為這一特定目的提供服務或加以使用，這些系統通過從互聯網或閉路電視錄像中無針對性地獲取面部圖像來創建或擴大面部識別數據庫，因為這種實踐會增加大規模監控的感覺，并可能導致嚴重侵犯基本權利，包括隱私權。Article

3

–

paragraph

1

–

point

36：“遠程生物識別系統”系指一種人工智能系統，其目的是在沒有自然人主動參與的情況下，通常通過將一個人的生物數據與參考數據庫中的生物識別數據進行比較，遠距離識別自然人的身份；Article

3–paragraph

1–point

37：“‘實時’遠程生物識別系統”是指一種遠程生物鑒別系統，在該系統中，生物數據的采集、比較和識別都是在沒有明顯延遲的情況下進行的。這不僅包括即時識別，還包括有限的短暫延遲，以避免規避本條例。Article

5

–

paragraph

1：(da)

投放市場、提供服務或加以使用人工智能系統，對自然人進行風險評估，以評估或預測自然人實施刑事犯罪的風險，而這完全是基于對自然人的畫像或對其個性特征和特點的評估；這一禁令不適用于這樣的人工智能系統，其根據與犯罪活動直接相關的客觀且可核實的事實，支持人類對特定個人是否參與犯罪活動的評估。(db)

投放市場、為此特定目的提供服務或加以使用人工智能系統，通過從互聯網或閉路電視錄像中無區別地爬取面部圖像來創建或擴展面部識別數據庫；(dc)

投放市場、為此特定目的提供服務或加以使用人工智能系統，在工作場所和教育機構領域推斷自然人的情緒，但出于醫療或安全原因，有意將人工智能系統提供服務或投放市場的情況除外；(de)

投放市場、為此特定目的提供服務或加以使用生物分類系統，根據生物數據對自然人進行個體層面的分類，以推導或推斷其種族、政治觀點、工會成員身份、宗教或哲學信仰、性生活27人臉識別產業法律治理研究報告或性取向。

這項禁令不包括根據生物數據對合法獲取的生物數據集，如圖像，進行標注或過濾，也不包括在執法領域對生物

數據進行分類。Article

5

–

paragraph2:在公共場所為執法目的使用“實時”遠程生物識別系統，除非這種使用相應是為下列目標之一所嚴格必要的：(i)

有針對性地搜尋特定的綁架、販賣人口和性剝削受害者，以及搜尋失蹤人員；(ii)

防止對自然人的生命或人身安全構成確切、重大切緊迫的威脅，或防止真實存在或真實可預見的恐怖襲擊威脅；《指令》的目的是通過協調成員國的過失責任規則，以確保因人工智能系統對其造成的損害而要求賠償的人，享有等同于在沒有人工智能系統參與的情況下而要求損害賠償的保護水平。在涉及人工智能的侵權案件中，由于人工智能系統不透明、自動化決策和復雜性等特征，可能會使受害者難以證明過錯、因果關系。《歐盟人工智能責任指令》（AILiability

Directive）（2022.9.28）其中跟高風險人工智能提供者有關的規則主要包括：披露相關證據的規則20、風險管理系統在確認技術開發者過錯方面的重要性21、針對高風險人工智能系統提供者提起的訴訟規定了可推定因果關系的情形22。GDPR

區分了人臉識別數據和照片，未提及視頻監控。但實際中視頻監控通常可以收集大量的高度個人化甚至特殊類型的個人數據。《指引》旨在就如何通過視頻設備根據

GDPR

處理個人數據提供指導。《關于通過視頻設備處理個人數據的

3/2019

指引》（Guidelines

3/2019

on

processingof

personal

data

through

videodevices）1.細化并補充

GDPR

第

9

條當視頻監控系統用于處理特殊類型數據時，數據控制者應該確認該行為是否符合

GDPR

第

9

條規定的豁免情形及第

6

條規定的合法基礎；但數據控制者不能依據第

9(2)（e）條規定的豁免情形——涉及數據主體明示公開的個人數據，處理視頻監控系統得到的（2020.1.29）20

對于高風險人工智能系統，《人工智能法案》規定了具體的文件、信息和記錄要求，但沒有規定受傷害者有權獲得這些信息。而獲得涉嫌造成損害的特定高風險人工智能系統的信息，是確定是否要求賠償和證實賠償要求的一個重要因素，因此，為確定賠償責任，應當規定有關人員披露相關證據的規則。這也應該為遵守《人工智能法案》中規定的相關要求提供額外的激勵，以記錄或保存相關信息。21

在確定提供者是否遵守了本指令中提到的《人工智能法案》的相關要求時，應考慮提供者在風險管理系統中采取的步驟和風險管理系統的結果，即決定采取或不采取某些風險管理措施。提供者根據《人工智能法案》建立的風險管理系統是一個持續迭代的過程，貫穿于高風險人工智能系統的整個生命周期，提供者據此確保遵守旨在減少風險的強制性要求，因此可以作為評估其合規性的有用因素。22

該系統不是在符合《人工智能法案》第

10(2)至(4)條所指質量標準的訓練、驗證和測試數據集的基礎上開發的；不符合透明度的要求；不允許自然人對該系統有效監督；未達到適當的準確性、魯棒性、網絡安全水平。28人臉識別產業法律治理研究報告數據，進入攝像范圍的事實行為并不意味著數據主體有意公開與其相關的特殊類型數據。2.提出了一些降低處理生物識別信息所面臨風險的措施，包括：一是遵照數據最小化原則，確保不過多提取用于構建生物模板的數據，并采取措施防止模板在不同生物識別系統之間轉移；二是必須存儲生物特征數據時，數據控制者必須考慮數據存儲的最佳位置，應存儲在用戶單獨控制的設備上（例如智能手機或身份證）或以加密形式存儲在只有用

戶

擁

有

密

鑰

的

集

中

式

數

據

庫

（

centralizeddatabase）；三是應采取一切必要的預防措施保持所處理數據的可用性、完整性和機密性，在傳輸和存儲過程中進行數據隔離，明確加密和密鑰管理策略，整合欺詐檢測的組織性和技術性措施，將完整性代碼與數據關聯（例如簽名或哈希），并禁止任何外部訪問生物特征數據；四是對人臉識別數據等原始數據進行刪除，并確保刪除的有效性。如果數據控制者需要保存原始數據，必須探索如水印等“加性噪聲（noise-additive）”的保護方法。《人工智能研究報告———通往卓越和信任的歐洲路徑》針對使用人臉識別等高風險人工智能系統提(On

Artificial

Intelligence

–

A出了嚴格的限制，如訓練人工智能的數據應符合European

approach

to

excellence

and

要求、保留部分記錄和數據、告知使用者相關信trust)息、確保技術魯棒性、接受人工監控、投入使用前應接受事前合規審查。（2022.2.19）1.《指南》對人臉識別技術的開發商、制造商和服務提供商的指引主要包括確保人臉識別技術準確性和數據保護兩個方面：(1)

技術要求，以減少偏差、確保人臉識別技術的準確性。確保所用數據的代表性、定期更新數據以訓練改進所使用的算法、確保算法的有效性，具體操作措施如算法必須使用合成數據集來開發、記錄、檢測可靠性百分比記錄等。《關于人臉識別的指南》（Guidelines

on

Facial

Recognition）（2021.1.28）(2)

數據保護方面的義務。在內部：在人臉識別產品的設計和架構要納入數據保護相關的原則、規則，也要把數據保護方法納入組織工作中，如指定專門的工作人員，為員工提供隱私培訓，以及進行數據保護影響評估。在外部：幫助使用技術的實體提升透明度并尊重隱私如為他們的隱私政策提供示例語言，或推薦清晰、易懂的標記表明人臉識別技術已部署在特定空間中。29人臉識別產業法律治理研究報告2.《指南》主要圍繞數據保護對人臉識別應用者（使用人臉識別技術的實體）提出要求。(1)

正面明確指出人臉識別技術的使用只能在受控環境中進行驗證、認證或分類目的，還列舉情緒識別等禁止性目的；(2)

《指南》還要求實體確保人臉識別技術使用的公平性、透明性和準確性，以及遵守目的限制、數據最小化以及存儲時間的原則；23(3)

細化了數據保護影響評估的規定；24(4)

在組織措施方面，《指南》也給了實體指引，如發布關于特定使用人臉識別技術的透明性報告、成立內部審查委員會，以評估和批準任何涉及人臉識別數據的處理等。3.《指南》還指出如果使用人臉識別技術時，完全根據人臉識別技術的結果做決定，則可被視為自動化決策，也需遵守法律對自動化決策的要求。CNIL

并沒有對人臉識別技術持否定態度，而是認為在適用該技術時不僅要考慮到保護公民的隱私權以及個人數據權，還要激發公民對已經法國數據保護機構（CNIL）發

布《機

實施技術的信任。場的面部識別：有哪些挑戰和需要遵循的主要原則》報告（2019.11）報告指出有關機場面部識別必須遵守的主要原則：1.說明擬采取的面部識別系統的必要性和相稱性、征得乘客事前同意以及保障同意有效的技術和組織措施；2.必須將生物識別數據完全置于有關乘客的控制之下；3.必須進行數據保護影響評估（DPA）。2023

年

4

月

26

日，經過公眾咨詢意見，EDPB通過了其在執法領域的面部識別技術準則的最終版本。該準則為歐盟和國家立法機關以及執法部門提供了實施和使用面部識別技術的系統指導。該準則強調，面部識別工具的使用應嚴格遵守執法指令（LED）。此外，正如《基本權利憲章》所規定的那樣，只有在必要和相稱的情況下才能使用這種工具。在指導方針中，EDPB

再次呼吁禁止在某些情況下使用面部識別技術，這是它在

EDPB-EDPS

關于人工智能法提案的聯合意《執法領域面部識別技術指南》（Guidelines

05/2022

on

the

use

offacial

recognition

technology

in

thearea

of

law

enforcement）（2023.4）23

《指南》明確對使用目的和使用環境做出限制，即人臉識別技術的使用只能在受控環境中進行驗證、人證或分類目的；《指南》強調使用人臉識別技術要獲得明確、具體、自由和知情的同意，在此內涵上進一步延伸提出處理者提供使用人臉識別技術的替代方案、不能當然處理公開照片；就透明度而言，《指南》詳細給出告知數據主體的內容；數據存儲方面，《指南》要求處理者確保不同的存儲限制期限適用于處理不同的階段；24

包括內容（使用人臉識別技術，應當將必要性，目的性、比例性，以及對數據主體權利的影響一起進行評估）、評估主體、評估出風險的處理規則、公開評估結果等。30人臉識別產業法律治理研究報告見中提出的要求。在公開征求意見后，對準則進行了更新，并增加了進一步的澄清意見。對于執法背景下的個人數據保護，必須滿足LED

的要求。關于

FRT

的使用，LED

規定了一定的框架，特別是

LED

第

3

(13)

條

（術語生物識別數據），第

4

條

（與個人數據處理有關的原則）第

8

條

（處理的合法性）

，第

10

條

（特殊類別個人數據的處理）

和

LED

第

11

條

（自動個人決策）。1.對特殊類別數據的處理，如生物識別數據，只能被視為“絕對必要”（第

10

條

LED）。2.在使用

FRT

之前進行數據保護影響評估(DPIA)

是一項強制性要求，參見

LED

第

27

條。3.部署

FRT

的當局應在部署該系統之前咨詢主管監督機構。4.鑒于生物識別數據的獨特性質，實施和/或使用

FRT

的當局應根據

LED

第

29

條，特別注意處理的安全性。5.記錄（參見

LED

第

25

條）是核實處理的合法性的重要保障，包括內部（即相關控制人/處理人的自我監督）和外部監督機構。在面部識別系統方面，建議對參考數據庫的變化和識別或驗證嘗試進行記錄，包括用戶、結果和信心分數。6.呼吁禁止某些類型的處理：

（1）在公共場所對個人進行遠程生物識別；（2）人工智能支持的面部識別系統，根據個人的生物特征，按照種族、性別、政治或性取向或其他歧視理由，將其歸類；(3)

使用面部識別或類似技術來推斷自然人的情緒，以及（4）在執法背景下處理個人數據，這將依賴于通過大規模和不加區分地收集個人數據而填充的數據庫，例如通過搜刮的方式。例如，通過刮取網上可獲得的照片和面部圖片。該標準為遠程生物特征識別系統提供了建議和要求，進一步細化《歐盟人工智能法案（草案）》中的相關規定，如系統部署后測試的要求等。ISO/IEC

WD

9868《遠程生物識別系統——設計、開發和審核》（標準）（二）歐盟人臉識別治理的典型案例1.

案例一：收集人臉信息應符合最小必要性原則2019

年

8

月瑞典數據保護機構對

Anderstorps

中學做出31人臉識別產業法律治理研究報告20

萬瑞典克朗的罰款25，因其在學校教室里面安裝人臉識別設備進行學生考勤。在該案中，瑞典數據保護機構認為，學校采用人臉識別技術收集、處理學生面部特征信息的行為違反了

GDPR

第五條規定的“數據處理最小必要性原則”和第六條規定的“數據處理合法依據”，具體體現在兩個方面：一是該中學收集、處理學生面部特征信息所取得的同意并非學生及其家長自由作出的。因為學生要在學校接受教育，學校與學生及其監護人處于明顯不平等的地位，在此情況下學校征得的同意違背了

GDPR

第七條規定的“同意須為自由作出（freely

given）”這一要求。二是該中學收集的信息類別不符合最小必要性原則。為實現考勤這一目的，學校本可以采取其他更為保護學生個人信息的方式進行，且學校所收集的學生面部特征信息并不是

GDPR

第五條第一款要求的“為了實現數據處理目的而適當的、相關的和必要的”，因而該學校違反了

GDPR

所要求的最小必要性原則。2.案例二：處理公開的人臉信息應獲得同意法國的數據保護機構——國家信息與自由委員會（CNIL）向美國

Clearview

AI

開出了

2000

萬歐元的罰單，指控其違反了

GDPR。Clearview

AI

從許多網站包括社交媒體上收集照片。它25

參見瑞典數據監管機構于

2019

年

8

月

20

日對涉事高中作出的處罰決定書，“Tillsyn

enligtEU:sdataskyddsf?rordning2016/679ansiktsigenk?nningf?rn?rvarokontrollavelever”https://www.datainspektionen.se/globalassets/dokument/beslut/beslut-ansiktsigenkanning-for-narvarokontroll-av-elever-dnr-di-2019-2221.pdf32人臉識別產業法律治理研究報告收集所有可在這些網絡上直接訪問的照片（即無需登錄賬戶即可查看的照片）。圖片也從所有平臺上的在線視頻中提取。因此，該公司已經在全球范圍內收集了超過

200

億張圖片。由于這種收集，該公司在市場上以搜索引擎的形式訪問其圖像數據庫，在其中可以用照片搜索一個人。該公司向各國執法當局提供這項服務，以確定犯罪者或受害者。為了使人臉識別技術達到根據照片就可以找到一個人的效果，該公司建立了一個“生物識別模板”，即一個人的身體特征（在這種情況下是面部）的數字表示。這些生物識別數據非常敏感，因為它們與我們的身體身份（我們是什么）有關，使我們能夠以獨特的方式識別自己。然