作者：吴丹君律师 张振君律师助理

国家互联网信息办公室、文化和旅游部、国家广播电视总局于2019年11月联合发布《网络音视频信息服务管理规定》（以下简称“《管理规定》”），该规定将于2020年1月1日正式实施。《管理规定》对基于深度学习、虚拟现实等新技术的运用提出五项要求，回应了最近热议的AI换脸等新技术的运用为公民带来的担忧。AI换脸是人脸识别技术的具体应用之一，今年9月爆红又因涉嫌侵犯用户隐私等问题而被声讨的“ZAO-逢脸造戏”App（以下简称“ZAO”）即是运用该技术的典型代表。《管理规定》关注基于深度学习、虚拟现实等技术制作、发布、传播非真实音视频信息的负面影响，从事前（安全评估、显著标识）、事中（禁止传播、信息管理）、事后（辟谣机制建立健全）三个方面弥补我国在这一领域的法律空白：

（一）安全评估要求：网络音视频信息服务提供者基于深度学习、虚拟现实等新技术新应用上线具有媒体属性或者社会动员功能的音视频信息服务，或者调整增设相关功能的，应当按照国家有关规定开展安全评估。

（二）显著标识要求：网络音视频信息服务提供者和网络音视频信息服务使用者利用基于深度学习、虚拟现实等的新技术新应用制作、发布、传播非真实音视频信息的，应当以显著方式予以标识。

（三）禁止传播要求：网络音视频信息服务提供者和网络音视频信息服务使用者不得利用基于深度学习、虚拟现实等的新技术新应用制作、发布、传播虚假新闻信息。转载音视频新闻信息的，应当依法转载国家规定范围内的单位发布的音视频新闻信息。

（四）信息管理要求：网络音视频信息服务提供者应当加强对网络音视频信息服务使用者发布的音视频信息的管理，部署应用违法违规音视频以及非真实音视频鉴别技术，发现音视频信息服务使用者制作、发布、传播法律法规禁止的信息内容的，应当依法依约停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向网信、文化和旅游、广播电视等部门报告。

（五）辟谣机制建立健全要求：网络音视频信息服务提供者应当建立健全辟谣机制，发现网络音视频信息服务使用者利用基于深度学习、虚拟现实等的虚假图像、音视频生成技术制作、发布、传播谣言的，应当及时采取相应的辟谣措施，并将相关信息报网信、文化和旅游、广播电视等部门备案。

与众多应用广泛的新技术一样，人脸识别同样需要被慎重考量，从而平衡技术与隐私的边界，避免滥用可能出现的危害性结果。深度学习提供了构建识别生物识别软件的能力，该软件能够唯一地识别或验证自然人，为人脸识别技术的发展奠定基础。为提高人脸识别技术的效率和准确率，深度学习需要非常庞大的面部数据集。人脸识别技术则能在人们没有感知的情况下，远距离抓取与记录相应面部数据，为深度学习提供“数据原料”。从这一角度而言，深度学习与人脸识别技术是相辅相成的。这导致技术研发主体在研发需要和利益驱动下，有产生侵犯公民合法权益的行为风险。

1.数据收集合法性风险

据报道，杭州野生动物世界（以下简称“动物世界”）年卡持有用户郭兵于2019年10月17日收到动物世界的短信，通知其至动物世界进行人脸识别，否则无法正常使用年卡入园。郭兵不同意动物世界收集其面部数据，要求退还年卡费用。协商无果后，他将动物世界诉至法院。2019年11月1日，杭州市富阳区人民法院正式受理此案。

在这一案例中，动物世界的数据收集行为涉嫌违反“告知-同意”模式及最小必要原则。首先，在收集面部数据前，动物世界未明确告知用户该数据的后续管理和使用等具体事项。动物世界不具备开发人脸识别系统的技术条件，其需委托第三方提供技术支持。在收集面部数据后，用户对该数据存储在何处，管理者是否具备足够的技术能力，是否存在超出授权范围使用风险等种种事项均不知情，违反了个人信息保护中的告知要求。其次，动物世界在决定引入人脸识别技术升级入园方式前未曾征求用户同意，在用户明确拒绝面部数据的收集后，仍以年卡费用的不予退还为条件要求收集，违反了个人信息保护中的同意要求。再次，人脸识别技术的应用并不具有必要性，动物世界可以考虑其他对个人信息侵害风险较低的方式提高入园效率，违反了个人信息保护中的最小必要原则。

2.数据管理和使用合法性风险

面部数据与其他生物识别信息有所不同，首先，人脸识别技术具有无意识性与非接触性，能够远距离发挥作用，并能长时间大规模积累数据而不被用户察觉，具有很强的侵入性。网络运营者未经授权获取面部数据，很难想象其后续会妥善保管并在取得用户授权后使用前述数据。据央视新闻报道，近日记者在互联网平台“转转”发现售价仅10元的“人脸相关算法训练数据集”，其中包含5000多张人脸照片。记者与卖家联系时，卖家更是直言“经过授权的肯定不是这个价了”。

其次，面部数据具有直接的可视性，人脸识别技术能进一步追踪到个人的日常行踪轨迹、经常接触人员信息，与无处不在的摄像头结合，能够形成高度的监控性。比如中国药科大学将人脸识别技术引入课堂监控学生上课状态，引发网友质疑。

而AI换脸技术的发展也提高了面部数据的泄露后风险，以ZAO为例，只需一张正脸照，就可替换视频中人物的脸，存在提高诈骗和制造社会恐慌等违法行为发生率的负面影响。

人脸识别技术的应用领域广泛，能够给政府、企业和个人带来便利和机遇，但仍不能忽略潜在风险。《网络安全法》《儿童个人信息网络保护规定》《信息安全技术个人信息安全规范》（GB/T 35273-2017）等法律法规与国家标准基于合法、正当、必要原则对个人信息保护提出要求，《网络音视频信息服务管理规定》对深度学习、虚拟现实技术的滥用进行规制，在一定程度上回应了人脸识别技术对个人信息主体权益的潜在侵害风险。但利用人脸识别技术对个人信息的违法性收集与使用、泄露与贩卖等种种行为仍屡见报端，这说明我国个人信息保护的制度构建仍存在很大完善空间。

因此，尽管从法律和政府层面规制人脸识别技术更为有力，企业也不应完全坐等公权力采取行动，应加强自身自律，将隐私保护设计嵌入人脸识别产品和服务的设计和架构全阶段。在收集面部数据之前，通过隐私政策和用户协议明确告知用户人脸识别技术的收集目的、管理与使用方式以及用户权利保护等事项并取得用户同意。在收集面部数据后，还需加强安全技术措施保障数据安全。在与第三方合作时，亦需考察其对包括面部数据在内的个人信息所采取的保护措施适当性。这实际上与个人信息全周期保护路径相似，本团队亦多次撰文探讨（有兴趣的读者可以参考《从墨迹科技IPO被否看互联网信息服务和数据合规》《从“ZAO爆红风波”看网络安全和数据合规尽职调查要点》等文章），但由于面部数据的特殊性，其在一般的个人信息保护要求上需进一步关注用户同意、最小必要原则及数据安全问题。

从疯狂刷屏的“ZAO爆红风波”，到中国药科大学在课堂引入人脸识别技术引发质疑；从小学生利用照片破解丰巢智能柜“刷脸取件”功能到“中国人脸识别第一案”；从10元购买5000余张未经授权的人脸照片到《网络音视频信息服务管理规定》规范AI换脸等新兴技术的使用，社会对人脸识别技术隐患的关注度越来越高，也倒逼着法律和政府采取日益严格的监管力度。网络运营者在人脸识别等新兴技术的使用中需增强合规意识，逐步建立和落实个人信息保护制度，在考察必要性的基础上合理使用，让人脸识别的技术在安全的语境下真正实现无边界互联。