如何对人脸识别进行法律规制

欧盟与美国对政府部门和商业部门使用人脸识别技术分别进行立法不同，欧盟《通用数据保护条例》（以下简称GDPR）是对公私部门一体适用的。这就意味着，无论是政府部门还是非政府部门，只要使用人脸识别技术，就必须遵守相同的规范。

GDPR第4条定义条款对“生物数据”（biometric data）进行的界定包括“面部图像”（facial images）。GDPR第9条规定了特殊种类的个人数据处理，其中就包括生物数据。GDPR对生物数据的处理，遵循“原则禁止，特殊例外”的原则。数据控制者可援引“数据主体的同意”作为个人生物数据处理的例外，但该同意必须是“自由给予、明确、具体、不含混”的，数据主体的任何被动同意均不符合GDPR的规定。

2019年7月，欧洲数据保护委员会（EDPB）颁布了《关于通过视频设备处理个人数据的3/2019指引》提供了尽量降低风险的措施，例如，对原始数据进行分离存储和传输；对生物识别数据尤其是分离出的片段数据进行加密并制定加密和秘钥管理政策；整合关于反欺诈的组织性和技术性措施；为数据分配整合代码；禁止外部访问生物识别数据；及时删除原始数据，如果必须保存则采取添加干扰（noise-additive）的保护方法。

就政府部门使用人脸识别的法律规制，目前国外虽然三种制度并存，但任意使用制度显然是大数据时代之前的做法，未认识到人脸识别技术给人们带来的风险；禁止使用制度也太过于激进，不利于发挥人脸识别技术的优势，扼杀了技术的发展。相比较而言，特别许可使用制度既发挥人脸识别技术之利，又防范人脸识别技术之弊，是一种更加理性的制度安排，值得我国借鉴。