數(shù)字法治 | 刷臉：身份制度、個人信息與法律規(guī)制

2021-04-12 14:43:46 來源：中國周刊

作者：胡凌 上海財經(jīng)大學(xué)法學(xué)院副教授，本文來源：《法學(xué)家》

人臉識別（俗稱“刷臉”）技術(shù)已經(jīng)在越來越多的場景下得到應(yīng)用，既涉及公共服務(wù)場所和設(shè)施，也涉及私人服務(wù)行為。關(guān)于使用這一技術(shù)的法律、倫理與文化基礎(chǔ)，迄今尚未在我國本土語境下得到充分討論。從中央到地方，我國目前開始逐漸出臺一些針對作為生物識別信息的人臉信息的立法，部分規(guī)則主要涉及這一行為過程中的某些環(huán)節(jié)，例如公共視頻監(jiān)控、人臉數(shù)據(jù)作為敏感個人信息的搜集與使用等。刷臉技術(shù)的大規(guī)模使用，在人類歷史上是全新的事物，不僅涉及有關(guān)肖像、隱私、監(jiān)視的傳統(tǒng)觀念與制度，而且涉及國家認(rèn)證能力、安全預(yù)防問題，還涉及刷臉背后相關(guān)場景下法益的保護(hù)和平衡。和任何其他技術(shù)形態(tài)一樣，刷臉作為一種較為進(jìn)階的技術(shù)，是嵌套在之前較不智能的技術(shù)環(huán)境下得到逐步使用和更新的；從較不智能到更為智能的技術(shù)裝置的演進(jìn)，能夠幫助使用主體在更大范圍內(nèi)降低成本、開拓應(yīng)用場景，同時也開始面臨人臉數(shù)據(jù)泄露風(fēng)險等疑問和挑戰(zhàn)。由此，從法律角度對這一技術(shù)進(jìn)行研究的慣常思路是，將刷臉視為人工智能（AI）應(yīng)用的一種，從而分割成算法規(guī)制、場景化的數(shù)據(jù)使用規(guī)制、事后損害救濟(jì)等一般性問題分別加以討論，特別是人臉數(shù)據(jù)文件作為敏感個人信息的使用監(jiān)管與保護(hù)。事實(shí)上，僅僅看到刷臉的算法與數(shù)據(jù)面向，不足以理解這一技術(shù)在中國乃至世界范圍內(nèi)的迅速興起以及應(yīng)用場景的制度邏輯，從而難以辨識技術(shù)使用的應(yīng)然維度。有必要看到，刷臉的特殊性在于，它被廣泛應(yīng)用于社會主體不同身份的認(rèn)證（authentication）和行為識別（identification）場景，從而也涉及人臉數(shù)據(jù)作為不同身份信息標(biāo)識符的相關(guān)問題，因此有必要將刷臉放在一個更為開闊的數(shù)字身份認(rèn)證與識別的路徑下進(jìn)行討論，以辨明這一技術(shù)應(yīng)用的不同層次、主體和用途，進(jìn)而在不同的應(yīng)用場景下，按照該行業(yè)/環(huán)境的使用目的與慣例，通過成本-收益分析判斷該技術(shù)是否可以以及應(yīng)如何得到使用。受到廣為關(guān)注的人臉數(shù)據(jù)泄露和歧視風(fēng)險，也可以從這一視角找到解決路徑。

本文將詳細(xì)討論刷臉在身份認(rèn)證與識別場景中的原理及其法律應(yīng)對。第一節(jié)從宏觀維度對比傳統(tǒng)網(wǎng)格社會和現(xiàn)代網(wǎng)絡(luò)社會中刷臉的不同功能，從而將刷臉定位為一種技術(shù)-法律制度過程，強(qiáng)調(diào)其是社會治理中身份制度的重要環(huán)節(jié)，而非簡單的技術(shù)應(yīng)用過程。第二節(jié)將討論身份認(rèn)證中的刷臉，認(rèn)為認(rèn)證的實(shí)現(xiàn)過程，從傳統(tǒng)物理空間中的分布式（人們親自持有各類證件到不同場景中的權(quán)威機(jī)構(gòu)進(jìn)行認(rèn)證），開始轉(zhuǎn)向虛擬空間中的數(shù)據(jù)集中化（數(shù)據(jù)庫中已經(jīng)儲存相關(guān)信息，只需要遠(yuǎn)程確認(rèn)）。人臉作為新型身份標(biāo)識符，可能起到廣泛的表面上去身份化的效果，嵌套在實(shí)名身份認(rèn)證體系中的刷臉，實(shí)際上會促成社會中身份認(rèn)證權(quán)力在橫向與縱向上的集中，而這對于作為平臺的政府和企業(yè)具有不同的意義。第三節(jié)將討論行為識別和追蹤中的刷臉，以及人臉數(shù)據(jù)能否作為基礎(chǔ)身份信息加以使用的問題。刷臉事實(shí)上為數(shù)據(jù)主體在物理空間中開啟了默認(rèn)賬戶，這在事前和事后產(chǎn)生了不同的功能。人臉數(shù)據(jù)在不同領(lǐng)域具有不同的法律屬性，需要進(jìn)一步區(qū)分為公共安全進(jìn)行的追蹤和平臺企業(yè)對個人行為的服務(wù)追蹤，并提供不同的信息披露要求。第四節(jié)進(jìn)一步討論作為個人信息的面部數(shù)據(jù)在具體場景中的風(fēng)險，認(rèn)為表面上的去身份化仍然有可能在實(shí)質(zhì)上掩蓋并加強(qiáng)社會性身份歧視等不公平因素，而未經(jīng)授權(quán)的刷臉也會促成合并更多場景的個人畫像，從而為個體帶來不可預(yù)知的風(fēng)險。因此，有必要深入不同的具體場景辨識技術(shù)使用的特定社會規(guī)范，防止通過刷臉形成的數(shù)據(jù)主體異化。

作為身份法律制度的刷臉

（一）人臉是通用身份標(biāo)識符

盡管刷臉在當(dāng)下數(shù)字時代更多地是與技術(shù)相互關(guān)聯(lián)，但從社會性角度來看，人臉從來都是一種互相識別和驗(yàn)證的通用身份標(biāo)識符。在傳統(tǒng)的熟人社會中，人們主要不是像其他動物那樣通過聲音和氣味互相識別同類，而是認(rèn)臉。通過認(rèn)臉（“認(rèn)人”），熟人社會中的成員得以識別相互之間的社會地位和在差序社會網(wǎng)絡(luò)中的相對地位，從而使得人類種群得以穩(wěn)定交往、合作，維系血緣和信任。由此，認(rèn)臉能力意味著在看到人臉的那一瞬間，同時在頭腦中反映出對方的姓名、稱謂、社會身份甚至過往與其打交道的經(jīng)歷，如果不能很快記起并按照相應(yīng)規(guī)范進(jìn)行回應(yīng)，那么會被認(rèn)為失禮。和指紋、虹膜、DNA信息這些純粹靜態(tài)的生物信息不同，人臉具有重要的社會性（因此更多具有公開的而非私密的屬性）和動態(tài)性（表情和皺紋都反映了內(nèi)心變化與滄桑經(jīng)歷），我們很難完全拒絕來自別人的人臉識別（蒙面的社會幾乎不存在），除非徹底與世隔絕。從這個意義上說，人臉、辨識人臉的技術(shù)、對相貌表情和人類情感關(guān)聯(lián)的發(fā)掘，一直都構(gòu)成了人類社群社會規(guī)范和環(huán)境的重要組成部分，已經(jīng)逐漸形成社會制度和法律制度。刷臉和社群身份、聲譽(yù)機(jī)制、集體記憶/遺忘、合作交往等機(jī)制一起，共同構(gòu)成了長久以來的社會生活。因人臉和身份各異，甚至刷臉一詞在現(xiàn)代還被賦予某種特權(quán)色彩，反映了不經(jīng)正當(dāng)程序就享受某些服務(wù)的現(xiàn)象。這些都說明，為了理解數(shù)字時代的刷臉，需要回到線下社會運(yùn)作過程本身。

隨著現(xiàn)代社會朝向陌生化和高度流動性轉(zhuǎn)變，人臉的社會性意義開始受到削弱，人臉代表的對穩(wěn)定小規(guī)模社群成員的認(rèn)證意義，也被國家和單位組織提供的大規(guī)模認(rèn)證職能所替代。新的國族和社會身份取代了傳統(tǒng)身份，并通過“證件”“證明”這類現(xiàn)代治理工具得以維系，最終通過法律加以確認(rèn)，國家和社會的認(rèn)證權(quán)力由此展開。在此過程中，身份法律制度逐漸興起。例如，以《居民身份證法》為代表的國家認(rèn)證制度，規(guī)定了作為“每個公民唯一的、終身不變的身份代碼”“由公安機(jī)關(guān)按照公民身份號碼國家標(biāo)準(zhǔn)編制”的身份證號碼（第3條），及其發(fā)放、使用與查驗(yàn)方式。通過這一制度，居民獲得了有效公民身份，并能真正成為負(fù)責(zé)任的法律主體。

刷臉也正是在這個意義上獲得了新的價值，其技術(shù)層面逐漸凸顯（帶有機(jī)器色彩的“人臉識別”說法更為普遍）。機(jī)器算法取代了人腦，替代其他社會成員對特定個體的社會身份進(jìn)行認(rèn)證與識別，人與人的關(guān)系愈加生疏，隱私和個人信息保護(hù)逐漸成為社會問題。通過快速登入賬戶與認(rèn)證，無處不在的刷臉能夠幫助在線交易和公共服務(wù)提升效率，成為一種極端的選擇/退出機(jī)制和默認(rèn)設(shè)置，而且還可能意味著（在成本允許的條件下）我們在每一個場景中的任何舉動都需要認(rèn)證身份、識別行為，并可被追蹤。機(jī)器認(rèn)臉的計算過程在邏輯上和人腦類似，即在比對面部數(shù)據(jù)的同時，訪問含有該個體姓名、生日、身份證號碼甚至犯罪記錄等的數(shù)據(jù)庫，將相關(guān)信息關(guān)聯(lián)在一起做出決策。人機(jī)交互倫理和社會規(guī)范逐漸成為數(shù)字時代無法回避的問題。

大規(guī)模刷臉的背后，也反映了新型數(shù)字基礎(chǔ)設(shè)施的構(gòu)建。從法律治理和服務(wù)角度來看，在公共領(lǐng)域布置的公共視頻監(jiān)控終端，已成為智慧城市設(shè)施的重要組成部分，延伸到城市管理的諸多方面；從私人服務(wù)角度來看，以第三方支付為代表的刷臉應(yīng)用，將不同的單位和組織連在一起，提供統(tǒng)一的支付系統(tǒng)（連帶一般性的信息管理系統(tǒng)）服務(wù)。人機(jī)社會規(guī)范、新型基礎(chǔ)設(shè)施與社會網(wǎng)絡(luò)機(jī)制（如聲譽(yù)評分、同儕合作、網(wǎng)絡(luò)記憶、表情識別等）共同運(yùn)作，輔助作為正式制度的法律正常運(yùn)行，幫助降低流動性社會的交易總成本，有效應(yīng)對社會失范現(xiàn)象，使得整個數(shù)字環(huán)境的可信程度大大增加，從而順利地將傳統(tǒng)的線下成員身份資格之間的了解和信任，轉(zhuǎn)變?yōu)榻?jīng)由機(jī)器自動執(zhí)行的線上信任，最終促成了人類社會性的架構(gòu)變化和重塑。通過大規(guī)模刷臉實(shí)踐，社會成員獲得了繼身份證之后新的可信身份證明和通用身份標(biāo)識符（新冠肺炎疫情期間則增加了作為健康碼的二維碼）。因此，拋開技術(shù)應(yīng)用的外殼，數(shù)字時代的刷臉仍持續(xù)體現(xiàn)出強(qiáng)烈的身份法律制度屬性。刷臉技術(shù)的使用，首先需要服從于制度的目標(biāo)，即流動性的社會和法律治理。

（二）刷臉如何嵌入國家治理：從區(qū)隔到聯(lián)通

從社會治理和法律治理的模式來看，上文提及的從傳統(tǒng)社會到現(xiàn)代流動性社會的轉(zhuǎn)型，也部分體現(xiàn)了從封閉網(wǎng)格（grid）到開放網(wǎng)絡(luò)（network）的變化。在網(wǎng)格化社會中，流動性程度較低，社會成員在每一個網(wǎng)格中具有可辨識的不同社會地位和相對固定的社會身份，社會通過官僚制組織和具有外在強(qiáng)制力的成文法律規(guī)范進(jìn)行治理。為確保本網(wǎng)格的安全，且使社會成員享有相應(yīng)的權(quán)利、履行義務(wù)，需要由外在組織賦予固定不變的身份，并給予具有法律效力的證明文件。于是，不同層次的身份認(rèn)證就變得不可或缺，各類證件的使用成為常態(tài)。而從查驗(yàn)身份證件到人臉識別的轉(zhuǎn)換，僅折射出通用身份標(biāo)識符形態(tài)的變化，實(shí)質(zhì)上沒有區(qū)別。在這一階段，個人信息的收集和使用，主要被用于網(wǎng)格內(nèi)的區(qū)隔認(rèn)證（若超出則無效，價值效用會降低），并可以動員群眾參與治理，大規(guī)模個體的行為痕跡對網(wǎng)格化治理的意義不大，只是被用于個別情形中的事后證據(jù)收集與事實(shí)認(rèn)定，從而通過法律和單位組織的次級成文規(guī)范進(jìn)行懲罰，形成潛在威懾。

在網(wǎng)絡(luò)化社會中，不同網(wǎng)格被吸納進(jìn)同一個流動性更強(qiáng)的高維網(wǎng)絡(luò)之中，社會成員的身份變得多元，統(tǒng)一的跨越網(wǎng)格的數(shù)字身份認(rèn)證替代了獨(dú)立分散的驗(yàn)證措施。新的在線社會強(qiáng)調(diào)通過信息技術(shù)和社交網(wǎng)絡(luò)的“連接”和“聯(lián)通”，由此形成了“點(diǎn)贊文化”等聲譽(yù)機(jī)制和社會機(jī)制。正如下文將詳細(xì)闡述的那樣，此種社會連接是被互聯(lián)網(wǎng)平臺面對不特定用戶不斷通過身份認(rèn)證和行為識別重新塑造出來的，這和表面上宣稱的以通用身份標(biāo)識符進(jìn)行“去身份化”實(shí)踐并不完全相符。當(dāng)在線場景大量集中在一個平臺上時，用戶的數(shù)字身份就可以通過進(jìn)一步挖掘數(shù)據(jù)得到塑造，在不同的傳統(tǒng)場景下獲取用戶行為習(xí)慣偏好，向其有針對性地推薦廣告和商品，從而更好地使多元社會身份為用戶的消費(fèi)者身份服務(wù)。在數(shù)字社會中，人與人之間的人臉直接識別仍然存在，并維系著不同的社會網(wǎng)絡(luò)，但在更多情況下，通過無處不在的大規(guī)模機(jī)器間接識別作為中介，才能確保流動中的安全、秩序和信任。只有在這一階段，大規(guī)模的個人信息可以跨越場景使用，具有更多關(guān)聯(lián)和挖掘價值，可被用來幫助預(yù)測個體行為，進(jìn)行更多事前預(yù)防。也因此，對其的保護(hù)與風(fēng)險防范，以及對數(shù)據(jù)分析的算法權(quán)力的警惕，才成為新問題。

下表將網(wǎng)絡(luò)和網(wǎng)格中的刷臉及其特征進(jìn)行了對比，能夠進(jìn)一步凸顯不同場景技術(shù)-法律制度的治理意義：

網(wǎng)絡(luò)社會中無處不在的攝像頭代表了“權(quán)力的眼睛”，可能會給社會主體帶來壓迫感，但問題不在于技術(shù)本身，而是由于大規(guī)模流動性導(dǎo)致穩(wěn)定的社會秩序和社會關(guān)系難以短期形成均衡，從而很難讓傳統(tǒng)熟人社會中的各種機(jī)制和不成文規(guī)范再次發(fā)生作用并降低風(fēng)險。因此，刷臉不過是嵌入當(dāng)代社會治理過程的技術(shù)-法律制度形態(tài)。它是為了應(yīng)對流動性而存在的，是總體安全和信任的一部分，而不單純是一種中立技術(shù)。只有深入理解這一技術(shù)-法律制度是如何在不同場景下得到內(nèi)化和使用，才能更好地評估其成本和收益。

刷臉與認(rèn)證權(quán)力的集中化

（一）當(dāng)認(rèn)證權(quán)力遇見刷臉

人臉識別技術(shù)的提升，首先是基于早期互聯(lián)網(wǎng)時代數(shù)字化照片的流行，大量免費(fèi)的在線人臉數(shù)據(jù)集，為人工智能機(jī)器學(xué)習(xí)能力的開發(fā)奠定了基礎(chǔ)；其次，由于家用和公共攝像頭的增多，以及智能手機(jī)和數(shù)碼相機(jī)的普及，大眾對到處充滿鏡頭的社會環(huán)境的接受/容忍程度日益提高；最后，刷臉技術(shù)逐漸變得成熟，被更多地用于公共服務(wù)，成為一種身份認(rèn)證的方式和數(shù)字基礎(chǔ)設(shè)施服務(wù)，在打擊犯罪、維護(hù)公共安全方面也起到了積極作用。人臉在法律上長期以來僅具有肖像權(quán)的私法意義，現(xiàn)在則能夠被大規(guī)模數(shù)據(jù)化，成為一種認(rèn)證口令、敏感的個人信息和數(shù)字經(jīng)濟(jì)的生產(chǎn)資料。人臉識別精確度是一個逐漸實(shí)現(xiàn)的過程，經(jīng)過前期大量的人臉數(shù)據(jù)集訓(xùn)練，人工智能有能力精確區(qū)分人和其他事物（這對無人駕駛汽車和其他智能化產(chǎn)品非常關(guān)鍵），甚至每一個特定的個人；一旦連接到更多數(shù)據(jù)庫，還能對該個體的身份和背景信息有更多掌握，且機(jī)器不會因人臉的些微變化而遺忘或誤認(rèn)。刷臉的大致技術(shù)過程是，首先需要被識別者提供本人較為清晰的照片錄入數(shù)據(jù)庫，然后利用計算機(jī)視覺技術(shù)，通過相關(guān)硬件上的攝像頭/屏幕在經(jīng)由掃描收集到的真實(shí)人臉圖像上進(jìn)行特征參數(shù)標(biāo)記，形成虛擬3D模型，從而轉(zhuǎn)化為一個實(shí)時的人臉數(shù)據(jù)文件，最終將這一文件與數(shù)據(jù)庫照片進(jìn)行對比，以判斷是否為同一個體。識別精確度依賴于不斷改進(jìn)的人臉圖像標(biāo)注算法。例如，在新冠肺炎疫情期間，一些公司開發(fā)出新型算法，甚至能基于有限人臉樣本識別出佩戴口罩的小區(qū)居民。

認(rèn)證制度是國家的核心法律制度之一，通過為公民創(chuàng)設(shè)唯一的權(quán)威身份、頒發(fā)身份證件，并通過這一證件對人口、稅收、公共服務(wù)等方面的統(tǒng)計調(diào)查，國家能夠?qū)崿F(xiàn)有效治理。隨著單位和社會組織的興起，不同的組織、協(xié)會也會相應(yīng)地對其成員圍繞各自頒發(fā)的社會身份進(jìn)行認(rèn)證，認(rèn)證權(quán)力也更加泛化。在互聯(lián)網(wǎng)時代，作為生物特征識別之一的人臉識別技術(shù)逐漸推動一場“身份認(rèn)證的革命”。公共服務(wù)場所（例如機(jī)場、火車站、賓館）通過刷臉確認(rèn)需要使用交通、住宿服務(wù)的旅客，某個企業(yè)用刷臉讓員工打卡進(jìn)入其辦公區(qū)域，支付寶通過刷臉確定用戶有權(quán)進(jìn)行大額資金轉(zhuǎn)賬，它們的目標(biāo)都在于確保享有特定資質(zhì)的主體以真實(shí)的給定身份（公民、消費(fèi)者、員工等）進(jìn)行活動，享有權(quán)利，接受服務(wù)。人臉具有普遍性、真實(shí)性和唯一性的特點(diǎn)，可以作為成本較低的一種生物信息標(biāo)識符。作為人的自然屬性，人臉并非一種天然的社會身份信息，對于傳統(tǒng)的社會組織來說，可以將其和代表身份資質(zhì)的身份證件結(jié)合起來使用。而對于那些并不強(qiáng)調(diào)身份特征的、為大量流動性用戶提供服務(wù)的組織而言（例如互聯(lián)網(wǎng)平臺），刷臉技術(shù)會更受歡迎。

傳統(tǒng)身份證件在認(rèn)證過程中的功能，包括：（1）對外展示特定身份信息，既可出示給第三人查驗(yàn)，也能體現(xiàn)頒發(fā)者的不同權(quán)力等級和效力差別（例如國家頒發(fā)的身份證不能等同于校園卡）；（2）對內(nèi)作為一種資質(zhì)證明，在不同領(lǐng)域行使特定權(quán)利義務(wù)的憑證，很可能是一串?dāng)?shù)字編號，甚至可以機(jī)讀。相應(yīng)地，通過刷臉進(jìn)行的身份認(rèn)證，能夠直接通過實(shí)時對比認(rèn)證對象和后臺數(shù)據(jù)庫基礎(chǔ)信息，無疑降低了認(rèn)證主體和被認(rèn)證對象的成本。對前者而言，省去了人力和傳統(tǒng)證件的對比查驗(yàn)過程；對后者而言，免去了身份證件丟失補(bǔ)辦的麻煩。這意味著刷臉使證件的對外展示部分消失了，人臉從而成為一種替代各類證件的、能適用于各類不同場景的通用身份標(biāo)識符，從外部看不出不同的社會身份（無論是公共關(guān)系還是私人關(guān)系），但成員的資質(zhì)信息本身嵌入在背后的數(shù)據(jù)庫和計算過程當(dāng)中，從而實(shí)現(xiàn)了信息與物理載體的真正分離。從表面上看，此過程似乎是由數(shù)字系統(tǒng)取代了物理證件，即人（臉）+物理證件→人（臉）+數(shù)字系統(tǒng)，但實(shí)質(zhì)上是數(shù)字系統(tǒng)背后的數(shù)據(jù)庫比對過程替代了人和物理證件之間的匹配關(guān)系（持有身份證件、目測相貌比對），從而更加精準(zhǔn)。

刷臉認(rèn)證的邏輯過程涉及兩類人臉數(shù)據(jù)，一類是基于在先法律關(guān)系所收集的人臉照片，另一類是實(shí)時生成的人臉數(shù)據(jù)文件。第一步是收集人像照片形成基礎(chǔ)人臉數(shù)據(jù)庫，這是由在先的特定法律關(guān)系決定的（由權(quán)威來證明你是誰，授予身份，是否做到知情同意），第二步是對已經(jīng)收集到的圖像進(jìn)行使用（也需要告知），先是對真實(shí)人臉的實(shí)時拍照生成新的人臉數(shù)據(jù)文件，再用這個數(shù)據(jù)文件與事先收集的照片進(jìn)行比對，即相當(dāng)于使用一個基礎(chǔ)人臉數(shù)據(jù)庫，能否聯(lián)通到更多數(shù)據(jù)庫獲取信息，還要看是否明確告知被認(rèn)證的個體。

就通過信息系統(tǒng)的認(rèn)證而言，通用身份標(biāo)識符的出現(xiàn)，使得原來通過用戶名和密碼登錄賬戶和身份認(rèn)證這兩個行為合二為一，變得更為簡易。也就是說，刷臉事實(shí)上幫助用戶開啟登入了一個單獨(dú)賬戶，以人臉更加方便地取代了賬號信息，并開始積累行為數(shù)據(jù)。這意味著認(rèn)證基礎(chǔ)設(shè)施的升級，在一定程度上能降低傳統(tǒng)身份證在認(rèn)證過程中發(fā)生泄露的風(fēng)險。此類風(fēng)險在早期實(shí)名制的實(shí)踐中較為突出，當(dāng)時很多網(wǎng)站在登錄后要求用戶上傳身份證件照片或號碼而未采取加密措施，造成大量用戶身份證信息失竊并流轉(zhuǎn)于黑市，甚至可能被用來騙貸、虛假注冊公司，結(jié)果影響到個人社會信用。而如果賬號信息（現(xiàn)在是人臉）本身能夠承擔(dān)登入和認(rèn)證的雙重功能，那么避免使用基礎(chǔ)身份信息，就可以降低此類風(fēng)險。

（二）刷臉認(rèn)證的兩種思路

然而，如果刷臉技術(shù)取代不同的賬號信息，被相當(dāng)廣泛地在公共領(lǐng)域和私人領(lǐng)域當(dāng)中使用，那么有可能會造成如下后果：公共和私人用于認(rèn)證身份的基礎(chǔ)信息標(biāo)識符被混同。除非人臉數(shù)據(jù)文件因算法和技術(shù)水平不同而有差異，但就其表現(xiàn)在外的實(shí)際過程而言并沒有差別，進(jìn)而取消了一切票據(jù)和證書所代表的時空、法律和社會意義。早期的互聯(lián)網(wǎng)治理實(shí)踐也表明，基礎(chǔ)身份信息（身份證僅表明公民的政治身份）不應(yīng)當(dāng)被廣泛用于各類社會服務(wù)，而應(yīng)當(dāng)僅限于公共權(quán)力機(jī)關(guān)提供的公共服務(wù)或重大交易場景（例如參與交通、金融、醫(yī)療、教育、購置車房等），否則的話，如果連普通交易場景都要查驗(yàn)身份的話，那么一旦泄露，便可能直接影響當(dāng)事人的重大人身和財產(chǎn)安全，也會淡化基礎(chǔ)身份的價值。如果放在網(wǎng)格模式下，那么這種擔(dān)憂更容易理解，它代表了一種“分散認(rèn)證”思路，即不同身份證件應(yīng)當(dāng)被用于區(qū)隔領(lǐng)域單獨(dú)使用，而不會發(fā)生混同，目的是確保符合資質(zhì)的人有資格從事某些活動，并防止他人盜用資質(zhì)和相應(yīng)的資源。盡管證件化的社會生活一直在不斷擴(kuò)張，人們擁有的各種代表社會身份的證件/證明也越來越多，但分散認(rèn)證思路及其實(shí)踐在互聯(lián)網(wǎng)產(chǎn)生之前的物理空間中一直運(yùn)轉(zhuǎn)良好。

在互聯(lián)網(wǎng)上，這一趨勢開始終結(jié)，很多網(wǎng)絡(luò)服務(wù)提供者沒有能力一一向用戶頒發(fā)帶有成員身份性質(zhì)的獨(dú)一無二的證書，而是放任用戶使用自己的用戶名或郵箱進(jìn)行注冊，它們僅關(guān)心賬戶的使用行為（是否消費(fèi)或付出了注意力）而非用戶的各種社會身份及其真實(shí)性。看上去這意味著賽博空間的邏輯開始壓倒物理空間，趨向一種“去身份化”邏輯，即主導(dǎo)賽博空間的平臺企業(yè)向大量不特定用戶通過創(chuàng)設(shè)賬戶的方式發(fā)放虛擬身份證明以推動數(shù)字經(jīng)濟(jì)生產(chǎn)。截至目前，人們在賽博空間中并不擁有真正穩(wěn)定的法律意義上的普遍虛擬身份，即使有實(shí)名制認(rèn)證，也不過是線下基礎(chǔ)身份的映射。如果說互聯(lián)網(wǎng)用戶仍然有某種普遍社會身份的話，那就是“消費(fèi)者”，傳統(tǒng)的社會身份只有統(tǒng)一在消費(fèi)者這一標(biāo)簽下，才生發(fā)出新的意義（例如生產(chǎn)相應(yīng)的行為數(shù)據(jù)）。

虛擬身份的匿名性，無疑帶來了非法信息傳播、詐騙等諸多網(wǎng)絡(luò)犯罪問題，因此國家計劃推行統(tǒng)一的真實(shí)身份認(rèn)證，以便于識別追蹤，于是就產(chǎn)生了“集中認(rèn)證”思路。集中認(rèn)證的理念是，面對互聯(lián)網(wǎng)大規(guī)模服務(wù)去身份化的服務(wù)能力，為降低基礎(chǔ)身份信息混同的風(fēng)險，仍然需要使用某種超越各類傳統(tǒng)身份信息的統(tǒng)一標(biāo)識符，要么是線下二代身份證的映射（例如公安部第一研究所開發(fā)的二代身份證數(shù)字版CTID，甚至通過“一網(wǎng)通辦”平臺自建APP），要么重新創(chuàng)設(shè)賽博空間中的新基礎(chǔ)身份（例如公安部第三研究所開發(fā)的eID）。

由此可見，認(rèn)證方式已經(jīng)出現(xiàn)了分散認(rèn)證（網(wǎng)格化）和集中認(rèn)證（網(wǎng)絡(luò)化）的明顯路徑區(qū)分，刷臉在這一背景下產(chǎn)生了截然不同的后果。對前者而言，任何物理空間以及設(shè)備都可能通過刷臉進(jìn)行用戶身份認(rèn)證，因此可能產(chǎn)生不同的人臉數(shù)據(jù)文件，分散在不同的認(rèn)證主體服務(wù)器上，監(jiān)管起來成本較高。正是刷臉技術(shù)的普及，將賽博空間中的控制/生產(chǎn)邏輯擴(kuò)展到物理空間中，完成了完美的空間分割與封閉。這對線下封閉組織的秩序管理和資源使用有一定的好處。對后者而言，依托于平臺的特定APP都可以集中使用手機(jī)硬件或平臺提供的人臉識別功能，平臺作為認(rèn)證代理人，既能夠降低監(jiān)管成本，也能降低中小APP的運(yùn)營合規(guī)成本。類似地，大型平臺的第三方賬號登錄機(jī)制起到同樣的功能，將經(jīng)過認(rèn)證的本平臺服務(wù)賬號擴(kuò)展到更多第三方服務(wù)上，從而成為一種基礎(chǔ)設(shè)施服務(wù)。從這個意義上說，大型平臺企業(yè)有能力率先提供較為安全的人臉識別服務(wù)，既方便了用戶，又能夠通過延伸至更多APP而獲得流量，成為其競爭優(yōu)勢，此外還可以幫助降低監(jiān)管成本和創(chuàng)業(yè)成本。

刷臉技術(shù)在嵌入上述兩種認(rèn)證思路的過程中變相推動了集中認(rèn)證。這主要是因?yàn)榇罅克饺朔?wù)越來越多地使用刷臉幫助消費(fèi)者登入賬戶，待技術(shù)成熟后，進(jìn)一步將其推廣至線下諸多場景乃至傳統(tǒng)組織。這反映了賽博空間覆蓋物理空間的另一條路徑，即表面上幫助單位和社會組織維持既有身份認(rèn)證體系，但通過技術(shù)系統(tǒng)滲透其中，不斷增強(qiáng)對其成員進(jìn)行的行為識別和追蹤，以技術(shù)便利換?。▊鹘y(tǒng)組織無法處理的）行為數(shù)據(jù)。由此，刷臉客觀上促成了社會中認(rèn)證主體數(shù)量的減少和認(rèn)證權(quán)力的集中，人臉作為一種自然生物信息不會取代各類社會身份，但開發(fā)人臉識別技術(shù)的服務(wù)提供者試圖將這一自然身份逐漸凌駕于多元社會身份之上，成為激活各類社會身份與活動的口令和鑰匙。

行為識別與人臉數(shù)據(jù)的法律性質(zhì)

（一）公共機(jī)關(guān)與人臉識別

當(dāng)下引發(fā)較多爭議的是通過刷臉進(jìn)行的行為識別，這不僅進(jìn)一步凸顯公共機(jī)關(guān)和私人服務(wù)提供者的差別，而且也有助于厘清人臉數(shù)據(jù)在網(wǎng)格/網(wǎng)絡(luò)不同語境下的法律性質(zhì)。本節(jié)將分別討論公共機(jī)關(guān)和私人服務(wù)中通過刷臉進(jìn)行行為識別的法律問題。如前所述，對特定個體進(jìn)行身份認(rèn)證后，刷臉事實(shí)上自動開啟了一個虛擬賬戶（取代手動賬戶登錄），同一個賬戶可以繼續(xù)用于積累數(shù)據(jù)和跟蹤，識別出特定賬戶使用者的行為，從而持續(xù)定位同一個人。鑒于刷臉的成本較低，它更容易被使用在不同場景中的明示接受服務(wù)活動。刷臉開啟賬戶的行為同時具有事后追蹤和事前預(yù)測兩種功能。從公共機(jī)關(guān)的角度來看，為確保公共安全需要，較早地使用身份證作為定位公民在公共場所活動（從酒店旅館入住到公共視頻監(jiān)控）的唯一標(biāo)識符，在應(yīng)用刷臉技術(shù)后，相關(guān)賬戶積累了認(rèn)證對象的相關(guān)活動，能夠起到事后追蹤、提供證據(jù)的功能。例如，多年以來的公共安全視頻監(jiān)控建設(shè)，使城市中遍布攝像頭和傳感器，可以匯集到公共安全應(yīng)急指揮中心或其他警務(wù)平臺（最近升級為智慧城市的“城市大腦”之一部分），公共區(qū)域的攝像頭也從單一的錄像存儲功能升級為可動態(tài)識別認(rèn)證對象的刷臉功能，越來越成為一種信息基礎(chǔ)設(shè)施和默認(rèn)技術(shù)設(shè)置。在這一過程中，攝像頭背后的算法會自動將獲取的人臉數(shù)據(jù)與更多特定數(shù)據(jù)庫（例如犯罪信息數(shù)據(jù)庫）進(jìn)行比對匹配，從而能很快鎖定交通肇事者、犯罪嫌疑人或普通違法者。此為與僅僅訪問基礎(chǔ)身份數(shù)據(jù)庫之認(rèn)證過程的不同之處。

人臉數(shù)據(jù)的法律性質(zhì)在識別階段就成為一個問題，即在多大程度上被識別個體能夠“同意”其人臉數(shù)據(jù)可以對接不同數(shù)據(jù)庫中進(jìn)行比對，這需要根據(jù)不同法律設(shè)定的場景進(jìn)行辨別。例如，人臉數(shù)據(jù)文件是否是《居民身份證法》意義上的基礎(chǔ)身份信息，或是《網(wǎng)絡(luò)安全法》意義上的（敏感）個人信息。作為生物性的通用標(biāo)識符，人臉數(shù)據(jù)文件未必天然能夠成為基礎(chǔ)標(biāo)識符，而是需要國家的強(qiáng)制性認(rèn)可。盡管現(xiàn)有規(guī)則將人臉界定為主要的個人信息或敏感信息，但其在性質(zhì)上仍然是一種可采集的自然生物信息，在地位上不具備由國家授權(quán)發(fā)放或確認(rèn)的條件，也不能對外展示證明身份，只能與身份證結(jié)合起來使用。在技術(shù)層面上，人臉數(shù)據(jù)文件也無法被看成是固定不變的基礎(chǔ)身份信息，因?yàn)椴煌R別主體使用不同的技術(shù)和算法生成的人臉數(shù)據(jù)文件是不同的，這取決于算法、攝像的像素以及建模的顆粒度等因素。從這個意義上說，一張人臉可能對應(yīng)著完全不同的人臉數(shù)據(jù)文件。就此而言，人臉數(shù)據(jù)并非一種認(rèn)證意義上的單一基礎(chǔ)信息和身份證明，而是必須依托權(quán)威的認(rèn)證系統(tǒng)及其背后的官方數(shù)據(jù)庫加以輔助說明，它本身只能是一個激發(fā)各類身份技術(shù)裝置的口令（即用戶名和密碼），實(shí)質(zhì)性的身份認(rèn)證仍然需要在后臺進(jìn)行。鑒于人臉識別技術(shù)有能力對所有社會個體進(jìn)行識別，遠(yuǎn)遠(yuǎn)超出了我國法律規(guī)定的應(yīng)當(dāng)申領(lǐng)身份證的16周歲范圍，則這一技術(shù)的使用將在身份證制度以外創(chuàng)設(shè)出一套新型的個體識別體制，并能夠打通原來各種各樣的身份證件數(shù)據(jù)庫，例如居民身份證、護(hù)照、戶口簿、機(jī)動車駕駛證、軍官證等軍（部）隊身份證明、往來港澳通行證、大陸居民往來臺灣通行證等。

因此，通過攝像頭的針對不特定人的刷臉行為，就可以被視為一種以人臉為媒介的大規(guī)模實(shí)時身份證信息查驗(yàn)（包含了認(rèn)證與識別過程）。根據(jù)《居民身份證法》第15條的規(guī)定，在程序上核查實(shí)體身份證，需要查驗(yàn)主體（如警察）表明身份和意圖，而通過公共攝像頭的無人身份查驗(yàn)，只能以加強(qiáng)信息披露的方式增強(qiáng)合法性。例如，不能簡單地說明特定位置安裝的是公共安全攝像頭（這只是表明安裝主體和目的），還需要針對三種不同的功能分別標(biāo)識，并以可視化的圖像加以呈現(xiàn)：（1）單純的錄像和存儲；（2）通過人臉進(jìn)行認(rèn)證；（3）收集人臉數(shù)據(jù)文件和其他數(shù)據(jù)庫進(jìn)行比對分析。這還能在事前起到提升執(zhí)法威懾強(qiáng)度的功能，其效果會大大優(yōu)于一般性的警察安全巡查。如果按照這一邏輯開展公共安全視頻制度建設(shè)，那么就需要對《居民身份證法》進(jìn)行修改，授權(quán)“電子警察”為公共安全的需要在某些區(qū)域以不間斷的方式通過刷臉進(jìn)行身份證查驗(yàn)，并以合理方式（可見標(biāo)識、短信等）告知進(jìn)入該區(qū)域的公民正在被查驗(yàn)，從而和線下查驗(yàn)行為相匹配。

這一行為若涉及訪問犯罪數(shù)據(jù)庫或任何其他執(zhí)法數(shù)據(jù)庫，則可被解釋為一種在公共場所開展的基于公共安全的大規(guī)模執(zhí)法/偵察行為，需要公眾更加有效的認(rèn)知和配合，而非對個體肖像權(quán)的侵犯?；诠舶踩O(shè)置的刷臉，超越了私法意義上個人信息使用的“知情同意”原則，但仍需要在形式上告知展示，這里涉及的更多的是對公民在公共場所行為信息的收集和處理，已經(jīng)進(jìn)入了公共數(shù)據(jù)的范疇。一般性的人臉識別攝像頭，對普通人在公共場所的行為尚不構(gòu)成足夠的壓力，缺乏針對性，而在機(jī)動車駕駛的特定場合以及行人過馬路的十字路口，刷臉技術(shù)對特定違法行為的捕捉越來越容易，可以精準(zhǔn)定位到個體，就會給當(dāng)事人帶來直接的壓力與合規(guī)動力。

公共機(jī)關(guān)的刷臉識別行為，會改變傳統(tǒng)技術(shù)裝置下的公私權(quán)力關(guān)系。首先，它進(jìn)一步延伸了自邊沁（Jeremy Bentham）、?？拢∕ichel Foucault）以來的“全景敞視監(jiān)獄”的監(jiān)視邏輯，即通過無處不在的攝像頭在社會中表明“權(quán)力眼睛”的存在，能夠以有效提升發(fā)現(xiàn)違法行為之概率的方式，增加對潛在犯罪行為的威懾。在這種情況下，事后懲罰就開始變得沒那么重要，普遍的事前威懾才是刷臉更加重要的社會功能。甚至身份識別本身不一定真實(shí)發(fā)生，只要大眾相信有可能發(fā)生，就會有效地進(jìn)行自我約束，從而遏制潛在的不法行為。

其次，人臉識別有能力無差別地適用于刑事違法行為和普通違法行為。原來因違法活動等級的差別而使得國家資源不得不投入到那些更重要的領(lǐng)域，而現(xiàn)在公共機(jī)關(guān)則可以無差別地監(jiān)控在逃嫌疑人、交通肇事和普通的行人闖紅燈行為，并自動分類實(shí)施處罰。如果從一般公共執(zhí)法行為上升到刑事偵查行為，那么需要更進(jìn)一步做好刑事程序合規(guī)，例如，（1）嚴(yán)格規(guī)范技術(shù)偵查措施事前審批程序；（2）特別是偵查過程中獲得的人臉數(shù)據(jù)文件需要單獨(dú)收集儲存，獲悉的秘密內(nèi)容應(yīng)當(dāng)保密，獲取的與案件無關(guān)的人臉數(shù)據(jù)應(yīng)當(dāng)及時銷毀；（3）明確被識別個體對技術(shù)偵查措施的事后知情權(quán)以及求償權(quán)等救濟(jì)性權(quán)利；（4）完善通過技術(shù)偵查取得證據(jù)的使用規(guī)定，等等。

再次，刷臉背后的數(shù)據(jù)庫接入與分析，無疑能擴(kuò)大公共機(jī)關(guān)（特別是公安機(jī)關(guān)）的執(zhí)法和取證能力，不僅可以迅速比對公共數(shù)據(jù)庫，而且還能夠?qū)⒈O(jiān)控攝像頭延伸設(shè)置在小區(qū)、商場、學(xué)校等組織，即它們擁有的錄像或服務(wù)器在某些情況下能夠連通至當(dāng)?shù)毓矙C(jī)關(guān)的監(jiān)控平臺，變成了公共空間（有爭議的）延伸。這更需要做好程序上的知情展示和民眾溝通參與。

最后，由于人臉是個體表露在外的進(jìn)行社會交往的公開媒介，個體仍然有足夠多的選擇和能力避免被識別，例如對頭部和面部進(jìn)行全部或部分遮掩。這也說明了即使是在非私人空間中，也存在一定程度的隱私期待，人們會對未經(jīng)授權(quán)使用攝像頭在公共場所以安全為名進(jìn)行錄像的做法感到反感。這種社會態(tài)度，不單純是簡單區(qū)分公共權(quán)力和私人權(quán)利的問題，而是攝像頭（權(quán)力）的可見性，人們可以接受公共場所針對不特定人的監(jiān)控，但卻無法接受直接針對自己或私人空間的攝錄行為?？梢栽O(shè)想，大規(guī)模常規(guī)刷臉終端設(shè)備的出現(xiàn)，可能會變相推動遮掩面部社會規(guī)范的形成（新冠肺炎疫情期間已經(jīng)形成了佩戴口罩的習(xí)慣和社會規(guī)范）。由此有必要規(guī)范公共安全視頻安裝的位置和數(shù)量，增強(qiáng)信息披露和公共空間內(nèi)可見的威懾。

（二）私人服務(wù)與人臉識別

越來越多的私人服務(wù)提供者使用攝像頭和刷臉技術(shù)，這主要體現(xiàn)在支付領(lǐng)域和安全防護(hù)領(lǐng)域，也出現(xiàn)了不經(jīng)告知的違法偷拍直播。在私人主體使用刷臉的場合，應(yīng)當(dāng)執(zhí)行知情同意原則作為約束，明確展示說明攝像頭和終端的功能。這意味著在一些無法對攝像頭及其功能進(jìn)行展示披露的場合，刷臉將無法合理地被使用。和其他個人信息一樣，如果人臉數(shù)據(jù)不是該項提供的服務(wù)必須收集的話，那么用戶有權(quán)拒絕以刷臉方式開通一個賬戶并積累其活動數(shù)據(jù)。

私人服務(wù)提供者基于默認(rèn)的用戶協(xié)議生成、獲取和使用人臉數(shù)據(jù)文件，并可能主張這一文件因?yàn)槠髽I(yè)投入技術(shù)勞動而創(chuàng)設(shè)，有權(quán)排他性地使用這些作為生產(chǎn)資料的數(shù)據(jù)（例如訓(xùn)練人工智能）。只要使用過程能精確識別和還原到特定主體，對同一人的行為進(jìn)行追蹤，那么對人臉數(shù)據(jù)文件的使用就可被認(rèn)定為使用個人信息，從而需要遵守一系列個人信息保護(hù)規(guī)范，法律提供的可能救濟(jì)包括知情權(quán)和刪除權(quán)等。

私人服務(wù)提供者（特別是平臺企業(yè)）通過刷臉幫助用戶開啟新賬戶以后，產(chǎn)生的行為數(shù)據(jù)就會在事前對用戶未來的活動產(chǎn)生約束，這就回到了數(shù)字經(jīng)濟(jì)的生產(chǎn)過程。社會主體的在線身份不再是某個組織通過外在證件賦予的，而是使用服務(wù)的事前資質(zhì)和事后活動的集合，數(shù)據(jù)集（及其不斷挖掘的實(shí)踐）構(gòu)成了新的社會意義上的動態(tài)在線身份，為整個新經(jīng)濟(jì)的價值生產(chǎn)服務(wù)，人臉數(shù)據(jù)只是這一生產(chǎn)過程中的一環(huán)。應(yīng)當(dāng)看到，刷臉通過互聯(lián)網(wǎng)應(yīng)用大量普及，本身加速了數(shù)字經(jīng)濟(jì)的生產(chǎn)、交易和資源流動，即確?；顒又黧w的唯一性和行為的連貫性，由此通過刷臉而積累活動數(shù)據(jù)，使得身份識別只有在網(wǎng)絡(luò)在線場景下才具有更大價值。對網(wǎng)格化的傳統(tǒng)組織機(jī)構(gòu)而言，認(rèn)證與識別過程相互分離，不會混合在一起；由于成員的社會身份是默認(rèn)給定的，在必要時，單位或社會組織只需進(jìn)一步追蹤成員活動即可。但通過網(wǎng)絡(luò)化平臺和數(shù)字系統(tǒng)進(jìn)行刷臉，認(rèn)證和識別這兩個環(huán)節(jié)就完全可以無縫融合在一起，以認(rèn)證統(tǒng)攝識別，從而產(chǎn)生了諸如基礎(chǔ)信息泄露等風(fēng)險。下文將討論此類風(fēng)險大小和預(yù)防問題。

個人信息、刷臉風(fēng)險與法律應(yīng)對

（一）刷臉的風(fēng)險與一般性規(guī)制

公眾輿論和不少研究者往往會擔(dān)心，一旦刷臉技術(shù)普及，則作為生物信息的人臉數(shù)據(jù)文件會遭到大規(guī)模泄露，使得作為通用標(biāo)識符的身份信息被偽造和濫用，進(jìn)而帶來無法預(yù)估的損失。按照一般個人信息保護(hù)思路的討論，人臉數(shù)據(jù)作為敏感個人信息，需要經(jīng)過更為嚴(yán)格的程序處理，刷臉風(fēng)險集中于采集、存儲與數(shù)據(jù)分析三個環(huán)節(jié)。

在數(shù)據(jù)采集環(huán)節(jié)，實(shí)際上只要滿足形式上的知情同意規(guī)范，說明采集的目的與用途，就很難完全阻止針對人臉或照片的數(shù)據(jù)采集。在數(shù)據(jù)存儲環(huán)節(jié)，討論者普遍認(rèn)為可能會發(fā)生人臉數(shù)據(jù)泄露風(fēng)險，考慮到人臉具有唯一性，一旦泄露，則會帶來難以彌補(bǔ)和想象的損失。按照這一說法，其主要的假想前提是：（1）在大量的重要場景中，刷臉認(rèn)證設(shè)施十分普遍，這一點(diǎn)正在逐步成為現(xiàn)實(shí)；（2）非法獲取者用他人面部數(shù)據(jù)制作3D模型或物理面具，進(jìn)而偽造篡改其在線身份，或冒充刷臉。此類觀點(diǎn)的問題在于：首先，泄露風(fēng)險究竟有多高，仍然很模糊，而只是強(qiáng)調(diào)“無法預(yù)估的”風(fēng)險難以進(jìn)行成本-收益分析，至少目前人臉數(shù)據(jù)失竊不像銀行卡賬號密碼或身份證失竊那樣顯著，概率也不比后者更高。其次，需要區(qū)分事先收集的人臉照片和實(shí)時生成的3D數(shù)據(jù)文件的不同風(fēng)險，前者自互聯(lián)網(wǎng)產(chǎn)生以來一直都存在，并且已經(jīng)形成了大量數(shù)據(jù)集，但后者則更為關(guān)鍵。第三，至少是目前，偽造面部模型行動的成本太高，幾乎難以大規(guī)模進(jìn)行，對追求低成本獲利的“黑灰產(chǎn)”團(tuán)隊而言得不償失，只要認(rèn)證主體采用多重因子認(rèn)證或人工審核，就能解決大部分的安全問題。因此，盡管人臉數(shù)據(jù)失竊很聳人聽聞，但這并非從真實(shí)的成本-收益分析加以測算，而更多地是由于人們對極具人身屬性的面部在心理上十分敏感，經(jīng)過大眾媒體的宣傳放大，變成了似乎不證自明的道理。從實(shí)際來看，對特定主體人臉數(shù)據(jù)文件的濫用，并不比未經(jīng)許可傳播或商用其照片所帶來的人格權(quán)損害更多，甚至遠(yuǎn)遠(yuǎn)低于身份證和電話號碼失竊的概率。易言之，大眾之所以會內(nèi)心中覺得臉被盜刷后引發(fā)的風(fēng)險更大，不僅是因?yàn)樗且环N生物性信息隱私（指紋更容易被收集，但沒人在意），更是因?yàn)樗墓矊傩?，即傳統(tǒng)觀念中將人臉作為進(jìn)入社會網(wǎng)絡(luò)的重要標(biāo)識，代表了社會身份，一旦被盜刷，則可能意味著失去（虛擬）社會地位和信任，最終喪失社會行動和交往能力。當(dāng)然，上述分析并不意味著就可以忽視大眾輿論和態(tài)度，而是強(qiáng)調(diào)需要不斷平衡使用刷臉技術(shù)的政策目標(biāo)和風(fēng)險，保持大眾對這一技術(shù)使用的信任，防止過度恐慌。

除了極端情況下的人臉數(shù)據(jù)文件被偽造冒用，刷臉的真實(shí)風(fēng)險主要在于實(shí)質(zhì)性知情同意的落空。人臉一直會暴露在社會生活和工作過程中，一旦人臉成為單純的賬戶登入或支付口令，則就相當(dāng)于將用戶名和密碼完全暴露在外，很容易通過遠(yuǎn)程刷臉被非法使用，造成不知情情況下的人身財產(chǎn)損失。在一些情況下，甚至還會造成所屬單位和網(wǎng)格的相關(guān)潛在權(quán)益受損。人臉數(shù)據(jù)泄露的主要原因，恰好在于其易用性和有效率，一旦當(dāng)通用標(biāo)識符被大量認(rèn)證主體和場景廣泛收集采用時，它自然會成為“黑灰產(chǎn)”犯罪團(tuán)體關(guān)注的對象，從而導(dǎo)致其失竊概率增大。人臉數(shù)據(jù)也可能與二維碼等標(biāo)識打通，與電話號碼、身份證一樣都指向唯一不變的個體，如果通用標(biāo)識符的展現(xiàn)形態(tài)過多，那么其泄露風(fēng)險就會增加，并沖淡其認(rèn)證價值。此外，相關(guān)人臉數(shù)據(jù)文件或照片可能被自動化地上傳至特定數(shù)據(jù)庫進(jìn)行實(shí)時比對和關(guān)聯(lián)，導(dǎo)致沒有經(jīng)過認(rèn)證對象的知情和授權(quán)而脫離場景地理解和使用人臉數(shù)據(jù)。對于此類人臉識別搜索引擎和自動化整合服務(wù)，有必要加以限制。

因此，在人臉數(shù)據(jù)的采集和儲存環(huán)節(jié)可以進(jìn)行如下制度性規(guī)制：首先，需要認(rèn)識到，沒有哪一種單一的認(rèn)證方式是絕對安全的，雙重或多重因子認(rèn)證盡管成本較高，但卻是提升安全概率的必由之路。在需要確保信息安全的領(lǐng)域，應(yīng)當(dāng)強(qiáng)制要求多重因子登錄識別。其次，按照分類分級原則系統(tǒng)規(guī)劃不同場景中認(rèn)證的方式，防止基礎(chǔ)身份和次級身份混同。例如，刷臉可被用于公共服務(wù)或需要基礎(chǔ)身份認(rèn)證的重要場景，但要限制普通私人服務(wù)通過人臉或身份證進(jìn)行直接認(rèn)證（除非采用eID加密技術(shù)）。再次，可以限制留存實(shí)時生成的人臉數(shù)據(jù)文件的時間，降低泄露概率。最后，強(qiáng)化對人臉識別軟硬件的專業(yè)認(rèn)證措施，采取類似網(wǎng)絡(luò)安全分級制度進(jìn)行分級管理。對于那些落入基礎(chǔ)設(shè)施領(lǐng)域的刷臉服務(wù)，需要加強(qiáng)諸如牌照管制一類的特殊監(jiān)管方式，這將有助于提升和統(tǒng)一技術(shù)標(biāo)準(zhǔn)與安全標(biāo)準(zhǔn)，使刷臉變成稀缺性資源，從而避免向社會更大范圍的服務(wù)提供者提供，激勵后者轉(zhuǎn)向開發(fā)其他安全的身份認(rèn)證手段。

在數(shù)據(jù)分析環(huán)節(jié)，由于人臉的公開性和社會性，其作為自然屬性的面部信息能夠在一定程度上被賦予社會意義，即不可避免地與膚色、表情、五官等因素放在一起，展示出某種統(tǒng)計意義上的社會評價（性別、階級、膚色，甚至同性戀和成人視頻演員等），由此只要擁有足夠大的樣本，就能夠通過分析給特定主體貼上標(biāo)簽，進(jìn)行精準(zhǔn)差別對待（歧視）。目前出現(xiàn)的數(shù)字歧視行為表明，表面上的去身份化的刷臉服務(wù)，可能會在技術(shù)平等的意識形態(tài)下掩蓋黑箱中持續(xù)的身份歧視，人臉識別只不過為服務(wù)商或認(rèn)證主體提供了更加廣泛和低成本的登入服務(wù)而已，發(fā)生的變化，只是客觀上用統(tǒng)一的賬戶體系取代多元化賬戶體系。在中國語境下，在多大程度上能夠產(chǎn)生社會性歧視行為尚有待觀察，當(dāng)下可能更值得關(guān)注的是消費(fèi)者歧視問題（例如大數(shù)據(jù)殺熟）。

（二）場景化規(guī)制的方法論反思

場景理論作為數(shù)字隱私保護(hù)的新型路徑已得到了諸多討論，甚至也可以擴(kuò)展到對一般性技術(shù)（例如算法）進(jìn)行規(guī)制的討論。本文將推進(jìn)這一理論的積極意義，即探索如何具體地發(fā)現(xiàn)和界定場景，從而理解某種特定技術(shù)在嵌入既有制度環(huán)境之后應(yīng)如何應(yīng)用的問題。單純的個人信息保護(hù)與算法規(guī)制研究的慣常思路是，將算法與個人信息看成是基本上在真空中就可以運(yùn)行無誤的制度，處于核心地位；即使進(jìn)入具體場景展開討論，也只是自上而下地闡釋基本原則和規(guī)則，進(jìn)而消解了場景的特殊性和自主性。這種思路不太符合現(xiàn)實(shí)實(shí)踐，未能看到這些問題的發(fā)生實(shí)際上依賴于技術(shù)設(shè)計、從屬于需要該種技術(shù)的在先制度邏輯，也遮蔽了作為一種制度的技術(shù)本身運(yùn)行的真實(shí)狀況，從而難以合理地評估個人信息保護(hù)的程度，以及平衡效率導(dǎo)向的技術(shù)目標(biāo)與場景中其他社會規(guī)范、大眾認(rèn)知與參與之間的關(guān)系。類似地，比例原則要求對個人信息的使用和收集須與其應(yīng)用的政策目標(biāo)相匹配，而這也要求我們進(jìn)一步討論如何在理論上建構(gòu)場景及其制度邏輯。

前文的討論已經(jīng)充分表明，刷臉技術(shù)是逐步嵌套進(jìn)公共和私人的不同場景中得到應(yīng)用的，不可能也沒有必要凌駕于既有行為目標(biāo)和規(guī)范之上，只有首先理解認(rèn)證/識別中身份權(quán)力機(jī)制的演變，才能更好地界定場景，進(jìn)而在問題集合中尋求個人信息/隱私問題的適當(dāng)定位和解決方案。具體而言，第一步是要看到數(shù)字身份在社會轉(zhuǎn)型中的重要意義，將其放置于網(wǎng)絡(luò)/網(wǎng)格模式二分中進(jìn)行討論，這決定了不同場景中政策目標(biāo)和實(shí)施效果的本質(zhì)差異。第二步是將認(rèn)證/識別設(shè)定為劃分更為具體的場景的標(biāo)準(zhǔn)，鑒別出達(dá)成共識的某種法律關(guān)系，進(jìn)而區(qū)分出公共機(jī)關(guān)與私人服務(wù)提供者的不同制度性約束，包括該行業(yè)/環(huán)境的使用目的與慣例等，理解技術(shù)如何進(jìn)入既有制度設(shè)計，并成為制度的一部分。最后一步則是，在需要強(qiáng)化個體權(quán)利時，進(jìn)一步討論具體個人信息保護(hù)與算法監(jiān)管的規(guī)則細(xì)節(jié)，根據(jù)成本—收益分析評估風(fēng)險，形成解決方案和政策建議。

按照上述這一方法論思路，還可以稍作延伸，討論刷臉在上文未涉及的其他熱點(diǎn)領(lǐng)域的應(yīng)用及其法律問題。它們都超出了單純個人信息和算法的范疇，而是需要回溯至該場景的基本法律關(guān)系和原則共識。例如：

其一，教育與情感計算。在諸如學(xué)校課堂的教育領(lǐng)域，攝像頭和人工智能可以幫助教師記錄和分析學(xué)生的表現(xiàn)，潛在地提升考試分?jǐn)?shù)，但這會把教育和學(xué)習(xí)過程完全變成像富士康工廠那樣的機(jī)械生產(chǎn)流程，成為分?jǐn)?shù)教育的一個縮影。問題還在于，人工智能無法精準(zhǔn)判斷人在特定場合的表情和行為（一些學(xué)生們之所以沒有專注聽老師講課，很可能是因?yàn)橐呀?jīng)學(xué)會了），故而總是存在著（機(jī)器性）權(quán)力無法深入和理解的特定社會空間。學(xué)生們自主學(xué)習(xí)的潛在能力可能會因此受到干擾和侵犯，所以應(yīng)當(dāng)對學(xué)校的類似活動進(jìn)行法律限制。

其二，雇主監(jiān)視。雇主會通過刷臉加強(qiáng)對雇員的監(jiān)視，特別是在遠(yuǎn)程辦公或靈活用工的情況下。這可能會造成勞動者在工作場所中進(jìn)一步喪失隱私，強(qiáng)化了雇主對勞動過程的控制權(quán)力。在開放的靈活用工平臺上，平臺所有者通過刷臉對平臺上數(shù)字勞動者加強(qiáng)控制力，其行為可以被解釋為人身/經(jīng)濟(jì)從屬性的一種司法標(biāo)準(zhǔn)，從而為數(shù)字勞動者爭取權(quán)益。

其三，社會規(guī)范。違法行為（例如闖紅燈）監(jiān)控往往通過頭像展示和嵌入社會信用的方式加以約束。這降低了公共機(jī)關(guān)的行政總成本，但必將增加個體合規(guī)成本，即對人機(jī)規(guī)范和機(jī)器執(zhí)法方式的認(rèn)知成本。例如，現(xiàn)有的道路規(guī)則及其標(biāo)識變得越來越繁復(fù)，需要司機(jī)完全集中精力進(jìn)行駕駛，稍有疏忽，就可能會被無處不在的刷臉捕捉到，進(jìn)而被判定為違規(guī)，最終被扣分?，F(xiàn)在這種認(rèn)知負(fù)擔(dān)已經(jīng)從駕駛活動擴(kuò)展到日常活動的許多方面。從這個意義上說，不能僅因?yàn)閷?shí)施成本低就盲目使用刷臉技術(shù)和擴(kuò)張權(quán)力對個體行為的約束空間，而是應(yīng)看到個體認(rèn)知成本的約束，將一部分底層社會行動空間繼續(xù)交由個體熟悉的社會規(guī)范，否則普通人將會因無法認(rèn)知大量規(guī)范而持續(xù)違規(guī)，威懾也難以起到作用。

結(jié) 語

刷臉是賽博空間不斷擴(kuò)展的必然階段，但很可能只是伴隨新技術(shù)開發(fā)的生物信息認(rèn)證的諸階段之一。有必要超越討論單純的刷臉行為本身，而是深入刷臉嵌套和應(yīng)用的具體場景，為未來其他生物信息的應(yīng)用提供問題意識和理論框架。從經(jīng)驗(yàn)來看，刷臉技術(shù)服務(wù)于一個設(shè)定空間中的兩種不同層次目的：（1）外層的身份認(rèn)證，即確定某個個體是否有資質(zhì)和權(quán)利使用某種服務(wù)（無論是公共的還是私人的服務(wù)），驗(yàn)證“你是誰”；（2）內(nèi)層的識別與追蹤，即在確定資格之基礎(chǔ)上通過同一賬戶對成員/用戶的行為數(shù)據(jù)進(jìn)行積累和分析，證明“你是你”，同時在各場景內(nèi)進(jìn)一步獲知和間接影響數(shù)據(jù)主體的行為，使其按照不同的政策目標(biāo)行動。上述兩個層次會涉及個人信息保護(hù)及算法規(guī)制，但更多是涉及制度性原理，比如說為何需要認(rèn)證/識別、圍繞此行為構(gòu)建出來的主要法律關(guān)系，以及這一技術(shù)如何嵌入、推進(jìn)、解決或改變已有的問題意識。即使需要在特定場景中討論，這一路徑也和流行的“場景化隱私”研究有所不同。場景理論聲稱需要尋找不同場景的具體規(guī)范，但并未展示如何在特定場景中應(yīng)用該理論，因此就自我消解了。只有首先理解認(rèn)證/識別中身份權(quán)力機(jī)制、法律關(guān)系的演變，才能更好地界定場景，進(jìn)而在問題集合中尋求個人信息/隱私問題的適當(dāng)定位和解決方案。例如，在認(rèn)證層面，收集人臉作為認(rèn)證信息越來越成為無須選擇的默認(rèn)設(shè)置，只能根據(jù)不同行業(yè)需要加以分類限制；而在識別層面，則需要加強(qiáng)程序性的明示告知，尊重人們的選擇。

刷臉在名義上代表了一種普世的效率導(dǎo)向的技術(shù)應(yīng)用，伴隨著后臺更多數(shù)據(jù)庫的聯(lián)通，公權(quán)力機(jī)關(guān)在公共安全方面能夠無縫切換地在不同場所持續(xù)追蹤違法者或嫌疑人，而提供私人服務(wù)的平臺企業(yè)則可以推動更為高效的支付、交易和其他服務(wù)。特別是后者在某種程度上率先推動了認(rèn)證權(quán)力在賽博空間中的泛化和集中，在幫助諸多線下主體加強(qiáng)認(rèn)證過程的同時，表面上推進(jìn)了一種打破既有傳統(tǒng)組織邊界的“去身份化”社會過程，但實(shí)質(zhì)上是通過普及刷臉來獲取更多傳統(tǒng)場景下無法獲得的行為數(shù)據(jù)，并重新界定和塑造流動的多元社會身份。由此，刷臉不單純是一個社會身份查驗(yàn)過程，它也意味著身份認(rèn)證和行為識別系統(tǒng)在社會范圍內(nèi)的重塑。中國的社會治理正經(jīng)歷著從網(wǎng)格模式（grid）向網(wǎng)絡(luò)模式（network）轉(zhuǎn)變的過程，認(rèn)證/識別在這一過程中的功能有較大差異，從而帶動作為個人信息的人臉在不同場景下產(chǎn)生不同的意義。

本文的初步研究結(jié)論是，首先，刷臉是一種身份法律制度，起到身份認(rèn)證功能，能夠開啟一個通向賽博空間的賬戶，從而延續(xù)了人臉作為通用標(biāo)識符的社會功能，這意味著認(rèn)證權(quán)力的極大增強(qiáng)。其次，刷臉意味著認(rèn)證權(quán)力過程從分布式轉(zhuǎn)向集中化，認(rèn)證信息與載體的分離。在實(shí)踐中，法律對公共機(jī)構(gòu)和私人機(jī)構(gòu)的刷臉實(shí)踐之要求是不同的，但通用標(biāo)識符可能進(jìn)一步模糊了公共服務(wù)和私人服務(wù)的界線，導(dǎo)致不同身份與權(quán)限的混同，形成了從（社會身份）認(rèn)證到識別的轉(zhuǎn)換。在法律上仍然需要區(qū)分對為公共安全目的和為私人目的進(jìn)行的刷臉監(jiān)控的不同約束。再次，盡管無須恐慌，但我們?nèi)孕枰P(guān)注刷臉的可能風(fēng)險，特別是其背后的個人信息的自動化整合，以及可能的使用方式與歧視、異化的問題。最后，網(wǎng)格和網(wǎng)絡(luò)作為治理之理想類型的二分，為理解刷臉提供了有益的視角，也是場景理論的一個具體應(yīng)用和延伸。

《數(shù)字法治》專題由華東政法大學(xué)數(shù)字法治研究院供稿。專題統(tǒng)籌：秦前松

編輯：海洋