新法律框架约束下生物识别技术应用的演进趋势

一、当前生物识别技术应用发展的背景

1.大数据与生物识别的结合

与人相关的大数据之收集、处理及应用，核心是将数据与具体的个人身份进行识别绑定。无论是分类、聚类还是关联规则等数据挖掘算法，其识别、定位个人信息的方法主要有两类：

（1）唯一身份及实名制。将身份证号码与手机号码、银行账户、网络账户及其他虚拟身份进行实名认证和绑定，实现数据与特定个人的关联。当然，如果在应用中单纯采用 UID（身份证号码、手机号码等）来锁定个人身份，显然可信度不够（UID 可以造假和借用），属于弱关联数据。

（2）采用生物识别信息。从数据形成、采集、分析，以及应用验证每一个环节，均导入生物识别技术，以单模态或多模态方式将数据用各种生物识别信息进行个人身份绑定，形成强关联数据。

可靠的（可信度高、可准确标注、识别和绑定）的大数据才是真正的高价值资产，而与个人具有强关联的数据，则是所有高价值数据中最宝贵的上品。

在与普通大众相关的信息化社会生活中，基本的数据价值逻辑有：信息 / 大数据很重要；与个人相关联的信息 / 大数据尤为重要；生物识别技术是将信息 / 大数据与个人绑定的最可靠技术；所以对个人信息的法律管控，必然涉及到对生物识别技术应用的规范要求。

2. 大数据应用的泛滥

当今社会常见的大数据滥用有如下典型情况：

（1）客户 / 消费者“无感”（不知情）情况下， 生物识别信息被采集、处理并应用于各种商业（如营销、广告等）目的。

（2）各类机构 / 园区 / 物业的管理者，强制客户或服务对象使用人脸、指纹等生物识别信息作为唯一的认证方式，并捆绑使用者其他个人信息。

（3）众多线上平台及APP 强制索取使用者生物识别信息，并与服务或使用权限捆绑。

（4）不法分子在线上平台及网站售卖人脸识别视频、人脸信息等，导致“被贷款”等诈骗，以及隐私权、肖像权、名誉权等受到侵害。

（5）犯罪分子用非法获取的身份证照片（及其他已标注人脸信息）及相关个人信息，制作动态视频， 破解人脸识别程序，实施窃取财产、虚开增值税发票等犯罪行为。

3. 问题的严重性

近年来，侵犯公民个人信息犯罪处于高发态势，而且与电信网络诈骗、敲诈勒索、绑架等犯罪呈合流态势，社会危害严重。为依法严惩此类犯罪，最高人民法院会同有关部门，于 2017年5月9 日发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释〔2017〕10 号），自2017 年 6 月 1 日起施行。该司法解释根据刑法有关规定，对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定。该司法解释施行以来，各级人民法院依法惩治侵犯公民个人信息犯罪，案件数量显著增长。

4. 相关法律的密集出台

近年来尤其近两年，国家密集出台一系列法律法规，对个人信息和隐私保护步步完善加强，编织起渐趋严密的防范围栏：

《中华人民共和国网络安全法》， 十二届全国人民代表大会常务委员会第二十四次会议 2016年11月7日通过，自 2017年6月1日起施行。

《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释〔2017〕10号），最高人民法院会同有关部门，于2017年5月9日发布，自2017年6月1日起施行。

《民法典》，十三届全国人大三次会议 2020年5月28日通过，自 2021年1月1日起施行。

《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》，最高人民法院审判委员会第 1841 次会议2021年6月8日通过，自 2021年8月1日起施行。

《数据安全法》，十三届全国人民代表大会常务委员会第二十九次会议 2021年6月10日通过，自2021年9月1日起施行。

《个人信息保护法》，十三届全国人大常委会第三十次会议 2021 年8月20日通过，自 2021年11月1日起施行。

另外，2021年11月14日，国家互联网信息办公室发布关于《网络数据安全管理条例（征求意见稿）》，以及电信终端协会2020年11月26日发布实施的《App收集使用个人信息最小必要评估规范》系列标准等，也一同构筑了更为完整的保护和防范体系。使得我国关于个人隐私信息、数据安全等关键问题的法律保护提升到了国际领先的高度。这是五年前我们都不敢想象的快速立法的部署实施。

二、新的法律法规对生物识别技术及应用之约束

1.与肖像权、隐私权和名誉权等人格权与财产权的关联

这是人脸识别技术特有的问题。上述最高法关于人脸识别若干问题的规定第 2 条至第 9 条主要从人格权和侵权责任角度明确了滥用人脸识别技术处理人脸信息行为的性质和责任。其中，第 2 条规定了侵害自然人人格权益行为的认定，针对 2021 年“3.15 晚会”所曝光的线下门店在经营场所滥用人脸识别技术进行人脸辨识、人脸分析等行为，以及社会反映强烈的几类典型行为，该条均予以列举，明确将之界定为侵害自然人人格权益的行为。

2. 新法律法规对生物识别信息的明确

我国关于个人信息的界定，最早当属《网络安全法》的规定。《网络安全法》第七十六条规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”此后颁布的《民法典》中，关于个人信息就直接沿用了《网络安全法》中相应条款的定义。

《网络安全法》更是我国第一部将生物识别信息列入个人信息范畴的法律。它的颁布对于生物识别领域是标志性、转折性的事件。

法律的制定和颁布固然重要，但更重要的是如何实际落地执行。所以除了相关法律条款，我们更关注权威机构出台的司法解释。与个人隐私、个人信息保护相关的两个司法解释，尤其是与生物识别信息直接相关的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》，成为了我们关注的焦点。

国家互联网信息办公室发布的《网络数据安全管理条例（征求意见稿）》提出，数据处理者利用生物特征进行个人身份认证的，应当对必要性、安全性进行风险评估，不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式，以强制个人同意收集其个人生物特征信息。

当然，法律法规的制定和完善只是第一步，如何实施落实以及产生足够的法律约束和震慑力，如何解决“九龙治水”等管制难题，如何处理管控与促进合理应用及发展等问题，还有待行业和监管机构的共同努力及良好互动，逐步优化解决。

3. 新的法律法规约束下的变化趋势——面向应用监管，而非针对技术

（1）知情权及决定权

根据《网络安全法》和《民法典》的规定，收集、使用个人信息，应当遵循合法、正当、必要原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。人脸识别信息的采集和使用遵循相同的规定，比如不应基于人脸信息生成用户画像、告知用户控制者的联系信息等等。而决定权必须有客户自愿同意。

（2）选择权（非唯一选择）

要求企业保障用户的选择权。也就是人脸识别技术在任何场景都可以用，但是不用人脸识别用户一样可以体验到服务。比如在社区、园区等场所即使采用了人脸识别，也应该保留传统入院通道；在App 上不用人脸识别也可以采用指纹或密码登录。

（3）最小必要等原则

电信终端产业协会 2020 年 11 月 26 日发布实施的《App 收集使用个人信息最小必要评估规范》系列标准涉及多个方面，其中《人脸信息》这一部分是最受关注的。在《App 收集使用个人信息最小必要评估规范：人脸信息》这一部分中，对收集、使用、存储三个方面都有针对性的规定。

首先在收集方面，规范提出“不应强制或欺骗误导人脸信息主体进行人脸识别，当人脸信息主体不进行人脸识别时，不应禁止人脸信息主体的正常使用”。另外，强调收集人脸信息应遵循“最小必要”原则，并在收集前应通过隐私协议等方式向人脸信息主体告知人脸信息处理方式的描述，如：仅本地收集、远程核身等。

在存储方面，应将人脸信息与人脸信息主体的身份信息分开存储，人脸模板应进行加密存储，并采用授权访问方式读取，存储人脸识别比对信息时可通过密码技术、假名标识符等方式生成不可逆、可更新的人脸参考，并进行加密存储。

针对人脸信息不同的处理方式也提出了不同的要求：

智能体验类：人脸信息的存储应仅限于本地进行，且不应直接存储人脸样本。

本地核身类：人脸信息的存储应仅限于本地进行，且不应直接存储人脸样本。

远程核身类：不应直接存储人脸样本，人脸信息的存储应加密。

“本地 + 远程”核身类：不应直接存储人脸样本，人脸信息的存储应加密。

在使用方面，规范要求不应基于人脸信息生成用户画像，且不应基于人脸信息进行定向推送，且不应共享或转让人脸信息。

（4）删除权

上述规范对 APP 采集的人脸信息，规定客户具有删除主导权。规范的 6.4 条规定了合理的人脸信息使用和存储期限之外，应该由客户（人脸信息主体）主导删除：

① APP 提供的删除方法和途经应便于人脸信息主体查找和操作。

②不应设置不合理的删除条件，如仅提供现场办理、要求人脸信息主体填写精确的历史操作记录等等。

综上所述，这些监管措施全都是针对技术应用阶段的信息 / 数据管理，而非针对生物识别技术本身。主要围绕使用者（消费者）的知情权和决定权，监管的最终目的是使相关知情权和决定权得到切实保证和具体执行。当然，这样的监管不可避免地会不同程度影响到生物识别技术的应用。这也是我们反复强调的，生物识别技术只是工具，如果被滥用才是问题的根源。

三、新的约束条件下各分支技术竞争优劣势评价体系都在看

当然，在新的法律法规体系框架下，除了面向应用的监管（主要体现在对信息 / 数据的监管）这一主要目标外，生物识别技术本身也会受到一定的限制，而这种限制会因不同的分支技术特点而显现其差异性。为此，有必要在新的条件约束下构建全新的评价体系，重新评估各种生物识别分支技术在新形势下的应用局限及其趋势。在部分原有基本评价指标之外，笔者增加了一些新的评价指标，用以构建新的评价体系。

新导入的评价指标说明：

1.特征获取方式 / 距离：主要用于评估被动不知情采集的可能性和容易程度。从应用便利性来说，非接触、远距离是最好；但从系统安全及个人隐私保护来说，接触式或近距离采集更佳。

2.（生物识别信息）肉眼辨识度：用于评估被不知情采集和跟踪的可能性及程度，可辨识度越低越好。

3. 生物识别信息扩散度：用于评估生物识别信息在公众领域被采集和存储的范围，扩散范围越低越好。

4. 生物识别信息造假成本：用于评估生物识别信息的伪造难度，造假成本越高越好。

四、新的约束条件下各生物识别分支技术应用变化趋势

1. 应用领域的变化趋势

（1）生物识别的商业领域应用（客户统计及识别、广告效果评估等）将是遭受严格管控的重点领域，甚至可以说将被完全禁止。

（2）公共场所、小区物业之管控，身份认证环节肯定要在生物识别的选择权上合规，唯一性强制要求将不复存在，单一的生物识别技术应用产品将绝迹。

（3）较远距离、隐匿性强的敏感数据采集系统，不论应用场景如何，只要运作主体是非政府机构，其合规性合法性都将被质疑。

（4）人脸识别应用将主要局限并集中到物理安防、公安国安及政府机构服务应用等领域。

（5）采用云端集中存储和处理的系统将会受到极大限制，政府营运和管控的除外。

（6）针对大众的生物识别信息之规模化采集、处理和应用，将由国家统一管控营运。

（7）生物识别应用产品和系统将主要采用端和边缘处理的方式运行。

2. 大众心理的变化趋势

（1）原来欣然接受的刷指纹刷脸系统将被一些使用者视为洪水猛兽。

（2）所有涉及敏感信息尤其生物识别信息的系统，将被大众重新审视和质疑。

（3）民众自我保护意识增强，选择非生物识别方式（密码、刷卡等）验证个人身份的民众会增加。

（4）民众关于隐私和信息安全等相关法律意识将大幅提高，与生物识别应用相关的法律纠纷会明显增加。

（5）为减少麻烦甚至法律纠纷，企业和机构管理者对生物识别产品及系统的部署意愿将有所下降。

（6）大众对生物识别技术接受心理会有一个周期（预计在未来三年）的明显下降趋势。

3. 技术应用方面的新趋势

在上述这些变化趋势的影响下，除了行业性的整体性增长减缓外，我们预测在技术方面将有如下变化趋势：

（1）基于 SaaS、PaaS 的生物识别应用生态将会受到越来越严格的监管和控制，甚至某种程度上的“开倒车”，或者强行叫停。

（2）生物识别各分支技术的应用也将出现一些此长彼消的变化。根据上述第三节的新版评价体系的分析，我们预测主要的生物识别分支技术其应用涨落趋势如表 1 所示（其中“+”表示份额增加，“—”表示份额减少）。