人脸识别技术的潜在风险与法律保护框架的构建

治理现代化不能仅仅理解为数字化管理
当前，在北京与其他一些地方，人脸识别技术推进得迅速且普遍。这种迅速扩张存在几个原因：一是中国的人脸识别技术领先，且法律层面障碍较小。二是企业急于变现，技术开发后企业有上市压力，所以努力在各种场景中作商业性推广，包括教育领域、公共治安领域等。三是社会治理的需要。黄仁宇研究明代历史时提出一个命题，明代这样的大一统国家，从数目化管理角度来讲仍有缺陷，即使中央层面有政令，因管理手段有限也很难真正推行。
社会复杂化无疑要求管理手段数字化，但管理手段上的数字化是否真的能够解决复杂社会系统的治理问题？我认为，单是管理手段的数字化，恐怕无法从根本上解决问题，这样的思路有其局限。如果针对的是一个确定的对象，提升手段本身的精确性的确能够提高治理的效率。但是，当代社会系统自身运作的复杂性导致其必然具有不确定性，沿用控制思维去治理具有不确定性的社会，这种思维难以适应当代社会的治理需要。中央层面特别强调治理体系和治理能力的现代化，这里的“现代化”绝不应该仅仅理解为在手段上实现数字化管理。
人脸识别技术推广适用的潜在风险
人脸识别技术的实质是收集、积累、分析生物数据，以此勾勒个人画像。眼下人脸识别技术的使用目的有三，一是身份认证（这种用途争议较小），二是识别与追踪，三是影响主体的行为选择。所以，人脸识别技术所涉及的，不仅是隐私权问题，更关乎社会的基本走向。眼下技术的发展能力，远远超过对其的控制能力。
人脸识别技术为什么相较于生物、指纹技术更具有敏感性？这是因为其在使用中具有无意识性、非接触性、侵入性强的特点。推广人脸识别技术肯定会带来一些好处，如技术领先，产业就会盈利，这毋庸置疑会促进产业的发展；与刷手机相比，刷脸肯定更加便捷，但我认为其带来的风险也不能忽视。
人脸识别技术推广使用的潜在风险，一是使公民成为“透明人”的风险。人脸识别不仅收集数据，更通过你的人脸数据迅速锁定你的身份。二是数据泄露引发的风险。比如AI换脸技术，在违法犯罪的视频上被换脸的人很可能被刑事追究，而真正的犯罪分子却可以此牟利、逃避刑事追究。三是数据被滥用的风险。数据滥用的主体除了违法犯罪分子，还包括公权力。四是个体被操纵的危险。五是被歧视性使用的风险。六是无法有效救济的风险。寻查泄露数据者在实践上存在极大困难，在这种情况下，民事诉讼等同于画饼。尽管现在有人说应该以公法保护为主，但个人受损害仍然很难受保护，除非大量数据遭到泄露。然而一旦人脸数据泄露就很难补救，所以人脸识别的应用比其他技术应受到更多关注。
信息时代下三方关系亟待平衡
人脸识别技术的争议，并非单纯的隐私权与公共安全之争，推广之后公众的人身安全与财产安全都可能会受到威胁，而我们每个人都是公众的组成部分。比如人脸识别的支付方式很容易被犯罪分子利用，这就侵害到人身安全跟财产安全。为了解决违法犯罪问题把所有人都拉过来陪绑，这样的治理方式从长远来看危险很大，而且无法从根本上解决社会治安的问题。如果维护治安需要由各式各样的组织来收集大量数据，而在保管方面又没有足够的动力，这必然会导致更多的数据被泄露，由此而引发更多的违法犯罪。这些年来，电信诈骗特别猖獗，就与个人信息的大量泄露有关。
信息时代下的社会结构中存在三方关系：个人是数据主体；企业是数据控制者和处理者；政府则承担双重角色，既是数据控制者和处理者，会收集使用分析数据，也是个人与企业之间的调停者。信息时代的三方关系中，个人处于绝对的弱势，眼下除了极少数网络大V借助互联网技术，使自己的话语权和影响力大大扩张之外，绝大部分作为个人的普通民众仍是绝对的弱势方。眼下数据领域基本实行的是丛林规则，强势的是企业，科技企业通过互联网信息技术获得的强势地位是普通企业无法想象的，传统企业不可能获得这样的影响和地位。另外是政府，政府一方面收集使用数据，也处于数据控制者与处理者的地位，另一方面是调停者，关键是政府作为调停者往往更为强调产业的发展，如此一来便导致企业与政府更加强势，个人更为弱势，从自然意义和事实意义上看，三方关系结构之中，个人本来就最为弱势，加之稀薄的法律保护都被虚置，只会使其处于更加弱势的地位。
建立合理法律保护框架
在法律上，个人信息的保护，不是以隐私作为判断标准，而是以可识别性来认定的。所以，我们会发现，个人信息是否受到法律的保护跟个人隐私没有太大的关系，只要识别到个人，即便是在公共场合的行踪轨迹信息也是受到保护的。
关于个人信息保护，有一种观点认为，信息的保护涉及个人隐私与公共安全之争，为公共安全考虑可以牺牲个人隐私。应当说，这一观点是存在问题的。
眼下个人信息的保护框架中，让人比较受到鼓舞的是今年3月6日发布并于10月1日开始生效的《个人信息安全规范》，它明确规定，收集个人信息除应单独向个人信息主体告知外，还应告知目的、方式、范围、储存时间，征得信息主体的独立的明示同意。当然，这还不是法律规定，而只是行业性标准。
在我看来，合理的法律保护框架应考虑如下几个方面的因素。第一，应该加强对收集与使用数据方面的合规，对企业或者政府部门收集使用数据的行为进行规范。这不意味着由相关部门加强直接的监管，而应当间接地进行调控，包括使用商业化的手段，比如加强安保技术的商业化，由政府来购买安保技术方面的服务。第二，明确个人数据和信息保护的主要责任主体。之所以收集和使用数据的一方应当作为主要责任主体，是因为风险乃是由其收集、使用行为所制造，且相应的利益也主要由其所享有。基于此，数据的控制者与处理者理应承担更多的风险。第三，法律规制重心的转变，规制的重点由对个人数据的收集转移到对个人数据的滥用上。第四，应根据类型与场景进行不同程度的保护，数据当中要区分敏感数据跟一般数据，敏感数据当中又要区分生物数据与一般的敏感数据，后者包括涉及个人的宗教信仰、政治立场等。