人臉識別產(chǎn)業(yè)法律治理研究報告-2024.08-82正式版-WN8

人臉識別產(chǎn)業(yè)法律治理研究報告中國人工智能產(chǎn)業(yè)發(fā)展聯(lián)盟安全治理委員會編寫單位對外經(jīng)濟貿(mào)易大學數(shù)字經(jīng)濟與法律創(chuàng)新研究中心中國信息通信研究院人工智能研究所百度公司前言人臉識別技術(shù)是對靜態(tài)或視頻中的人臉圖像進行特征術(shù)以數(shù)據(jù)為體、以人工智能算法為用、以人類自身為對象，然成型，而且為我國數(shù)字經(jīng)濟與社會發(fā)展帶來了新機遇。公共利益，成為人臉識別產(chǎn)業(yè)必須面對的重大議題。息作為敏感個人信息予以嚴格保護，并在第62條進一步強理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律2023年8月8定應用人臉識別技術(shù)的安全管理要求，采取了不同參與者、多種場景和細化技術(shù)標準相呼應的生態(tài)治理方法。以產(chǎn)業(yè)生態(tài)參與各方的角色分工為切入，將主體類型化為：//識別信息的重要應用場景之一，鑒于我國對深度合成算法、該場景下的人臉識別治理問題。維一體的治理架構(gòu)，希冀有裨于未來的立法、司法與執(zhí)法，并為我國人臉識別產(chǎn)業(yè)的行穩(wěn)致遠貢獻綿薄之力。目錄第一章人臉識別產(chǎn)業(yè)的生態(tài)圖譜1一、人臉識別技術(shù)生態(tài)2（一）技術(shù)提供者2（二）產(chǎn)業(yè)實踐3（三）人臉識別技術(shù)價值4二、人臉識別產(chǎn)品/服務生態(tài)5（一）產(chǎn)品/服務提供者5（二）產(chǎn)業(yè)實踐5（三）人臉識別產(chǎn)品價值7三、人臉識別服務使用生態(tài)8（一）服務使用者8（二）產(chǎn)業(yè)實踐9（三）人臉識別服務使用價值9三、人臉生成合成生態(tài)10第二章人臉識別產(chǎn)業(yè)的治理經(jīng)驗一、美國人臉識別的治理經(jīng)驗（一）美國人臉識別治理的立法（二）美國人臉識別治理的典型案例二、歐盟人臉識別的治理經(jīng)驗（一）歐盟人臉識別治理的立法（二）歐盟人臉識別治理的典型案例三、中國人臉識別的治理經(jīng)驗（一）中國人臉識別治理的立法（二）中國人臉識別治理的典型案例第三章人臉識別產(chǎn)業(yè)法律治理圖景一、人臉識別產(chǎn)業(yè)生態(tài)治理的基本原理二、人臉識別技術(shù)生態(tài)治理（一）技術(shù)提供者的數(shù)據(jù)安全義務（二）技術(shù)提供者的算法可信義務三、人臉識別產(chǎn)品/服務生態(tài)治理（一）產(chǎn)品/服務提供者的質(zhì)量管理義務（二）產(chǎn)品/服務提供者的人工監(jiān)督義務（三）產(chǎn)品/服務提供者的算法日志記錄義務（四）產(chǎn)品/服務提供者的起草技術(shù)文件的義務四、人臉識別服務使用生態(tài)治理（一）服務使用者的個人信息保護義務（二）服務使用者的算法解釋義務（三）服務使用者的算法備案義務（四）服務使用者的守門人義務五、人臉生成合成生態(tài)治理（一）技術(shù)提供者的訓練數(shù)據(jù)來源合法義務（二）技術(shù)提供者的訓練數(shù)據(jù)質(zhì)量保障義務（三）技術(shù)提供者的數(shù)據(jù)安全義務（四）技術(shù)提供者的算法義務（五）產(chǎn)品/服務提供者的內(nèi)容安全義務（六）產(chǎn)品/服務提供者的內(nèi)容標識義務（七）產(chǎn)品/服務提供者的用戶管理義務（八）服務應用者的正當使用義務第四章人臉識別產(chǎn)業(yè)最佳實踐案例一：以權(quán)威數(shù)據(jù)源為基礎(chǔ)進行人臉識別案例二：以最小必要原則為基礎(chǔ)進行人臉識別案例三：回應反詐需求進行人臉識別案例四：以算法治理為基礎(chǔ)進行人臉識別案例五：以個人信息保護為基礎(chǔ)進行人臉識別案例六：以網(wǎng)絡(luò)安全為基礎(chǔ)進行人臉識別案例七：以本地部署為基礎(chǔ)進行人臉識別附：人臉識別產(chǎn)業(yè)治理倡議人臉識別產(chǎn)業(yè)法律治理研究報告第一章人臉識別產(chǎn)業(yè)的生態(tài)圖譜FaceRecognition技術(shù)所具有的不可復制性、非接觸性、可擴展性、快速性，使之成為多種生物識別技術(shù)中的明珠。2014發(fā)展和人們?nèi)粘Ｉ顜砹诵聶C遇。圖1：人臉識別產(chǎn)業(yè)發(fā)展數(shù)據(jù)顯示，2021年中國人臉識別市場規(guī)模為56億元，預計到2024年突破100億元；年均保持23%增速。其中，人臉識別應用最多的是安防占54%16%1人臉識別產(chǎn)業(yè)法律治理研究報告后分別是娛樂10%、醫(yī)療7%、電商零售6%、出行3%、政務、其他2%。系統(tǒng)?；诓煌膮⑴c主體，其包括了人臉識別技術(shù)生態(tài)、人臉識別產(chǎn)品/服務生態(tài)和人臉識別服務應用生態(tài)。一、人臉識別技術(shù)生態(tài)（一）技術(shù)提供者人臉識別產(chǎn)業(yè)的技術(shù)提供者是提供包含視頻人臉識別、1參見智慧芽&羅思咨詢：《人臉識別行業(yè)研究報告》，2021年。2人臉識別產(chǎn)業(yè)法律治理研究報告技、曠視科技、格靈深瞳等。如何提取穩(wěn)定和有效的特征是識別系統(tǒng)成敗的關(guān)鍵別模塊根據(jù)特征提取模塊輸出的特征向量與數(shù)據(jù)庫中存儲一人?；铙w檢測主要是驗證用戶是否為真實活體本人操作，通過眨眼、張嘴、搖頭或點頭等動作進行判別。（二）產(chǎn)業(yè)實踐百度智能云依托領(lǐng)先的深度學習人工智能前沿技術(shù)框2吳玲：《人臉識別中的圖像預處理技術(shù)》，載《中南論壇》2010年第4期，第頁。

3李懷宇等人：《基于人臉識別的智能立體車庫控制系統(tǒng)設(shè)計》，載《工業(yè)控制計算機》2022年第7期，

第1-3頁。42022年第569-71頁。3人臉識別產(chǎn)業(yè)法律治理研究報告創(chuàng)新發(fā)展，同時采用多項安全技術(shù)，包括領(lǐng)域的算法技依托于原創(chuàng)的計算機視覺技術(shù)以及深度學習底層算法平臺，業(yè)，為不同領(lǐng)域提供產(chǎn)品與解決方案，包括SenseID，SenseUnitySensePassSenesKeeperSenesNebulaSenesRadar業(yè)領(lǐng)域。（三）人臉識別技術(shù)價值核心算法，并使識別結(jié)果具有實用化的識別率和識別速度，5參見前注1。4人臉識別產(chǎn)業(yè)法律治理研究報告動”保護。二、人臉識別產(chǎn)品/服務生態(tài)（一）產(chǎn)品/服務提供者產(chǎn)品/產(chǎn)品及服務包括離線SDK、在線API、人臉識別一體機等。供支付場景下的1對1的人臉識別移動終端；在金融領(lǐng)域，服務提供者提供技、?？低?、云從科技、華為、滴滴等。（二）產(chǎn)業(yè)實踐人臉識別產(chǎn)品提供者主要為研發(fā)人工智能產(chǎn)品的科技5人臉識別產(chǎn)業(yè)法律治理研究報告場景下的不同需求。以百度為例，人臉識別技術(shù)靈活應用于金融、泛安防、安全生產(chǎn)等行業(yè)場景，滿足身份驗證和反欺詐、通行考勤、能應用平臺綜合物聯(lián)網(wǎng)+用于企業(yè)園區(qū)及大型廠區(qū)，預警安全風險。終端與系統(tǒng)性解決方案。例如，?？低曁峁┌ㄔ朴嬎?、球最大的人臉識別系統(tǒng)。6參見前注。

7參見前注1。6人臉識別產(chǎn)業(yè)法律治理研究報告RFID判斷商品，在保障用戶體驗的同時有效控制貨損率。臉認證系統(tǒng)。例如，依圖自主研發(fā)雙目活體檢測認證系統(tǒng)，現(xiàn)已應用于多家銀行的機。頭條等地。（內(nèi)容來自調(diào)研）（三）人臉識別產(chǎn)品價值作為人臉識別系統(tǒng)與其他系統(tǒng)、設(shè)備的集成者，產(chǎn)品/8參見前注1。9參見依圖官網(wǎng)：7人臉識別產(chǎn)業(yè)法律治理研究報告安防控體系建設(shè)的科技含量。從技術(shù)的發(fā)展角度來看，技術(shù)產(chǎn)品化是實現(xiàn)技術(shù)價值、面向自然人提供涉及用戶個人信息等具有敏感性的服務時，的發(fā)生。三、人臉識別服務使用生態(tài)（一）服務使用者服務使用者是指將人臉識別技術(shù)實際應用于生活場景能開鎖產(chǎn)品，提高產(chǎn)品的智能性。8人臉識別產(chǎn)業(yè)法律治理研究報告（二）產(chǎn)業(yè)實踐人臉識別服務使用者主要按照場景需求開展產(chǎn)業(yè)實踐，90%行以前瞻性、系統(tǒng)性、安全性為指導，進行頂層架構(gòu)設(shè)計，務，以兼顧不同場景和部署環(huán)境需求。微眾銀行自主研發(fā)APP行人臉識別系統(tǒng)會作為前置安全保障的步驟進行服務調(diào)用作用戶身份的真實性。（三）人臉識別服務使用價值產(chǎn)業(yè)化進程等方面發(fā)揮了不可或缺的作用。理設(shè)計，貼合實際需要。10參見中國工商銀行金融科技研究院：《商業(yè)銀行生物識別技術(shù)應用實踐及趨勢分析》，2022年9月。9人臉識別產(chǎn)業(yè)法律治理研究報告四、人臉生成合成生態(tài)生成式在人臉生成合成領(lǐng)域的應用可以分為兩大類臉合成，針對已有人臉進行修改，包括：1.人臉身份合成，更改圖像或視頻中人物的身份；2.人臉動作合成，改變?nèi)宋镌械拿娌縿幼鳎?.人臉屬性合成，對原始人臉的某些屬性進行編輯。人或廣告角色，可以降低廣告成本和侵犯肖像權(quán)的風險等；在醫(yī)療領(lǐng)域，生成與真實影像無異的醫(yī)學圖像來訓練系人臉生成合成技術(shù)主要用于練等。人臉生成合成生態(tài)包括三類主體：技術(shù)提供者、產(chǎn)品/大模型技術(shù)提供者。它們通過受控API、開源等方式輸出大OpenAIStabilityAI、GoogleMeta10人臉識別產(chǎn)業(yè)法律治理研究報告/產(chǎn)品/服務提供者即提供生成式應用的服務商，如百度大RealOasisDeepfake、FaceSwapZAOMidjouneyDALL-E11人臉識別產(chǎn)業(yè)法律治理研究報告第二章人臉識別產(chǎn)業(yè)的治理經(jīng)驗一、美國人臉識別的治理經(jīng)驗（一）美國人臉識別治理的立法美國在人臉信息保護上采用的是通過專項立法進行保律提案，但目前還無統(tǒng)一法律規(guī)范人臉信息的收集和使用。IllinoisBiometricInformationPrivacyAct國境內(nèi)第一部規(guī)范生物識別信息的法律，并且由此催生Facebook尼亞州接連頒布的《加利福尼亞州消費者隱私法》(TheCaliforniaConsumerPrivacyAct隱私權(quán)利法案》（CaliforniaPrivacyRightsAct，以下簡稱CPRA”）同樣也影響深遠。限制處理人臉信息為核心，給予數(shù)據(jù)生命周期的強化保護。12人臉識別產(chǎn)業(yè)法律治理研究報告信息披露、外部問責和監(jiān)督機制。第三，在治理人臉識別技術(shù)時避免將算法偏見、自動化決策負面影響納入考量。文件名稱內(nèi)容簡介本法案第四節(jié)規(guī)定禁止政府機構(gòu)使用人臉識別技術(shù)。美國政府機構(gòu)不得安裝任何與人臉識別技術(shù)相連接的攝像機，不得在未經(jīng)授權(quán)的情況下獲取或使用通過人臉識別技術(shù)獲得的個人信息，不得在沒有逮捕令的情況下使用人臉識別技術(shù)來識別特定個人。第五節(jié)提供了人臉識別技術(shù)侵害權(quán)利的司法救濟。任何人如果認為美國政府機構(gòu)違反規(guī)定使用人臉識別技術(shù)使自己遭受侵害的，均可向相應的美國地方《道德使用人臉識別法EthicalUseofFacialRecognitionAct）（2020.2.12）法院提起民事訴訟，以獲取禁止令或者宣告性救濟。1未經(jīng)許可的情況下，人臉識別技術(shù)是否可以在私人或情形和限制是什么，個人對于其數(shù)據(jù)所享有的權(quán)利是34的合理期望，應采用何種規(guī)則來控制通過人臉識別技5人8人應享有哪些與人臉識別技術(shù)所產(chǎn)生的數(shù)據(jù)及他們肖像的使用相關(guān)的權(quán)利?！秶疑镒R別信息隱私法案》(NationalBiometricInformationPrivacyActof2020)(2020.08.03)以為藍本，規(guī)范生物識別信息的收集、保a貿(mào)易獲取個人或客戶的生物識別信息，除非實體提供服務或其他有效商業(yè)用途，以書面形式告知并獲得書面許可（不得與其他同意，包括就業(yè)協(xié)議相結(jié)合）；b的方式存儲、傳輸和保護生物識別信息等。《商業(yè)人臉識別隱私法法案主要規(guī)范商業(yè)使用人臉識別技術(shù)，要求在使用前獲得個人的同意，在未經(jīng)同意情況下禁止將人臉(CommercialFacial識別數(shù)據(jù)共享給非關(guān)聯(lián)第三方。具體內(nèi)容包括：一是RecognitionPrivacyAct要求收集人臉識別數(shù)據(jù)獲得明確同意；二是對人臉識of2019)別數(shù)據(jù)的處理提出限制性要求：（a）原則上禁止使11例如，加州法案規(guī)定企業(yè)應保存內(nèi)外部審計機構(gòu)就生物識別系統(tǒng)的安全性、隱私性作出的審計記錄，審計測試與測試數(shù)據(jù)庫須經(jīng)政府部門批準，定期將審計結(jié)果向社會公示。同時，亦注重外部問責．針對企業(yè)

采用的生物識別系統(tǒng)進行年度外部審計，就收集數(shù)據(jù)的期限是否合理、精確度是否達標、是否對個人產(chǎn)生

不利的歧視性影響開展審計問責。12例如，《商用人臉識別隱私法草案》中規(guī)定禁止使用人臉識別技術(shù)對用戶進行歧視化對待。13人臉識別產(chǎn)業(yè)法律治理研究報告(2019.03.14)用該技術(shù)收集人臉識別數(shù)據(jù)，除非獲得明確同意并提供通知；禁止歧視、更改使用目的及未經(jīng)明確同意與非附屬第三方（anunaffiliatedthirdparty）共享人臉識別數(shù)據(jù)，（）若對某一服務而言該技術(shù)的使用非必需的，不可因終端用戶同意放棄隱私權(quán)服務或沒有提出明確同意而終止或拒絕提供服務；三是明確可使用人臉識別技術(shù)的例外情形；四是要求對人臉識別技術(shù)的準確性進行獨立第三方測試。法案旨在限制聯(lián)邦調(diào)查局、移民與海關(guān)執(zhí)法局等機構(gòu)通過人臉識別技術(shù)開展持續(xù)監(jiān)視，持續(xù)監(jiān)視是指利用人臉識別技術(shù)在公共場所跟蹤被識別個人的身體運動超過72小時，無論是實時的還是使用該技術(shù)進行歷史記錄，明確只有在支持執(zhí)法機構(gòu)的活動中，取《人臉識別技術(shù)授權(quán)法得法院命令等情況下才能將人臉識別技術(shù)用于持續(xù)監(jiān)（FacialRecognition此外，持續(xù)監(jiān)視獲取的證據(jù)的使用具有限制，若Act）信息是非法獲得的、授權(quán)獲取信息的法院發(fā)出命令的（）理由不充分、與法院命令授權(quán)使用的目的不相符等情況下不得在訴訟中申請使用。最后，政府機構(gòu)要對使用人臉識別技術(shù)得出的結(jié)NIST）協(xié)商建立人臉識別系統(tǒng)測試程序，定期對系統(tǒng)性能進行獨立測試。通過外商投資安全審查、出口管制等手段對人工智能關(guān)鍵技術(shù)、敏感個人數(shù)據(jù)等采取相關(guān)跨境限制措《2018年外國投資風險審查現(xiàn)代化法案》1.直接或間接收集或持有美國居民敏感個人數(shù)據(jù)《關(guān)于外國人在美國進的美國企業(yè)屬于敏感行業(yè)美國企業(yè)（行特定投資的規(guī)定》Business《出口管制條例》2.外國投資者針對敏感行業(yè)美國企業(yè)的非控制權(quán)投資交易可能落入CFIUS報的情形。美國馬里蘭州眾議員Lieu2022部識別法案》。該法案包含規(guī)范面部識別技術(shù)在公共和私營部門的必要使用的條款。它還規(guī)定了透明度要求、年度評估和圍繞執(zhí)法部門使用情況的報告。進行嚴格限制和2022年面部識別法禁止：案》（提案）1.將執(zhí)法部門使用人臉識別技術(shù)的情況限制在獲得搜查令的情況下，搜查令應說明某人可能犯下嚴重暴力重罪的可能原因。2.禁止執(zhí)法部門使用來記錄個人如何表達憲法所保障的權(quán)利，如合法抗議。3.禁止將匹配作為確定搜查、逮捕或其他14人臉識別產(chǎn)業(yè)法律治理研究報告執(zhí)法行動的合理理由的唯一依據(jù)。4.禁止執(zhí)法部門使用來執(zhí)行移民法。5.禁止將與包含非法獲得的信息的數(shù)據(jù)庫以及人體攝像頭、儀表盤攝像頭和飛機攝像頭一起使6.禁止使用追蹤具有實時或存儲視頻片段的個人。7.確保該法案中的任何內(nèi)容都不妨礙州或地方政府禁止或暫停使用。（二）為個人提供透明度并提供救濟路徑：1.為因使用而受到傷害的個人建立了私人訴訟權(quán)等救濟途徑。2.要求執(zhí)法部門向作為搜查對象的個人提供通知，并提供法院命令的副本和/或其他關(guān)鍵數(shù)據(jù)3.要求執(zhí)法部門每六個月從逮捕照片數(shù)據(jù)庫中清除18無罪的個人照片。的情況進行年度評估和報告：1.要求對執(zhí)法機構(gòu)使用的系統(tǒng)進行定期審計，對審計不合格的機構(gòu)進行停職處理。對審計不合格的機構(gòu)進行暫停。要求每年對執(zhí)法部門采用的任何系統(tǒng)進行獨立測試。要求詳細的司法和檢察報告，以及數(shù)據(jù)收1.知情同意，收集個人生物識別信息需獲得知情的書面同意；2.保留準則，企業(yè)須制定書面政策設(shè)定生物識別數(shù)據(jù)的保留時間表，且當收集數(shù)據(jù)的目的已《生物信息隱私法案》達到或距信息主體與企業(yè)最后一次聯(lián)絡(luò)已滿三年時(IllinoisBiometric3.禁止獲利，InformationPrivacyAct,生物識別數(shù)據(jù)不得出售；4.有限披露，且除非獲得相州關(guān)自然人的同意或法律規(guī)定的特定例外情況不得對他(2008)人披露；要求私人實體行業(yè)內(nèi)的合理的注意標準（不同行業(yè)的注意標準不盡相同）；6.對生物信息的保護至少等同于“機密和敏感信息”的保護；7.允許公民對違反其規(guī)定的行為提起私人司法訴訟。《捕獲或使用生物識別1.除非事前通知并收到同意外，任何人不得出于州符法案》CaptureorUseofBiometricIdentifierAct,CUBI)商業(yè)目的獲取生物特征識別信息；2.規(guī)定除完成個人要求或授權(quán)金融交易等四種特殊情形外，不得向他人出售、出租或以其他方式透露已獲取的生物特征識別信息；3.應該以合理謹慎的態(tài)度存儲、傳輸、保護生(2009)物識別標識符。15人臉識別產(chǎn)業(yè)法律治理研究報告從問責、人工審查、測試等機制來規(guī)范人臉識別服務使用。1.控制者必須獲得消費者的同意，才能部《生物識別隱私法》署面部識別服務；2.在可能會對消費者產(chǎn)生法律或類BiometricPrivacy禁止使用面部識別技術(shù)進行歧視；4.必須向消費者提(2017.07)供描述技術(shù)能力和局限性的文件；5.開發(fā)人員可在線使用的面部識別技術(shù)必須為第三方提供獨立測試的技術(shù)能力。該法在加州民法典隱私保護部分增加人臉識別章《人臉識別技術(shù)法》(Assembly2261:Facialrecognitiontechnology)(2020.02.14)節(jié)，內(nèi)容上主要涉及人臉識別信息的收集和處理、政府機構(gòu)使用人臉識別服務的限制性要求。一是收集人臉識別信息應當征得個人同意；二是建立人臉識別服務的人工審查和測試機制；三是建立政府機構(gòu)使用人臉識別服務的問責機制；四是限制政府機構(gòu)對人臉識別服務的使用。《加利福尼亞州消費者雖被稱為全美最嚴厲的隱私保護立法，但隱私法》其對收集個人生物信息的規(guī)制比較寬松，沒有專門針California對生物特征識別信息收集與使用的規(guī)定條款，與對一ConsumerPrivacy般個人信息的規(guī)制基本無異。13在的基礎(chǔ)上，進一步賦予個人一些新的權(quán)利。CPRA在的內(nèi)容上進行了多處修改，但許多細節(jié)需要通過法規(guī)加以澄清和定義。例如，建立針對全面選擇退出偏好標志及其他選擇退出機制的技術(shù)《加州隱私權(quán)利法案》(CaliforniaPrivacyRightsAct,CPRA)(2020.11.3)(2023.1.1)要求、定期提交個人信息處理風險評估報告（報告內(nèi)容應當包括該處理行為是否涉及處理個人敏感信息）1.CPRA區(qū)分敏感個人信息和一般個人信息。消費者可以限制對于除必要服務和必需產(chǎn)品外敏感個人信息的商業(yè)使用。值得注意的是，對于敏感個人信息的規(guī)定不適用于公開信息或者非用于分析消費者特14點而收集或處理的敏感個人信息。152.CPRA主要規(guī)制三類主體收集、處理消費者個。13在“公開可用”上略有不同，公開可用不意味著企業(yè)可以在消費者不知情的情況下收集關(guān)于消費者的生

物信息。14根據(jù)1798.140款第(項的規(guī)定，公開獲取的敏感個人信息不視為敏感個人信息，甚至也不視為個

人信息。1798.140v)款第(2)項中個人信息不包括公開獲得的信息，或合法獲得的、真實的、引起公眾

關(guān)注的信息。就本項而言“可公開獲得”是指：從聯(lián)邦、州或地方政府記錄中合法獲得的信息，或者某企業(yè)有合理理由認為是由消費者合法地向公眾公布的，或從廣泛傳播的媒體獲取的；或者如果消費者沒有將

信息限定于特定的受眾，則由消費者已經(jīng)向其披露了信息的人提供的信息。“可公開獲得”并不意味著企業(yè)在消費者不知情的情況下收集的關(guān)于消費者的生物識別信息。

15第1798.121項規(guī)定不以推斷消費者特征為目的收集或處理的個人敏感信息不受本條約束，但上述

信息仍應被視為個人信息。16CPRA1)上一年度年收入總額

超過2500萬美元；或(單獨或與他人合并，每年購買、出售、共享消費者的個人信息或家用設(shè)備數(shù)量達

到10萬以上；或(3)50%以上的收入來自出售、共享消費者的個人信息。16人臉識別產(chǎn)業(yè)法律治理研究報告CPRA要求承包商和服務提供方與企業(yè)簽訂的書面合同需要以下條件：禁止出售、共享該個人信息；禁止超范圍、超限度使用、處理該個人信息；原則上禁止將從企業(yè)處獲取的消費者個人信息與從其他企業(yè)處獲得的個人信息相結(jié)合用于個性化營銷目的。此外，合同中須包含的合規(guī)承諾，以及授權(quán)企業(yè)對其個人信息處理活動的監(jiān)督、審計等權(quán)利。涉及敏感個人信息的企業(yè)應告知相關(guān)服務提供商或承包商。服務提供商或承包商在收到企業(yè)指示后，應停止使用相關(guān)消費者的敏感個人信息。即服務提供商和承包商對于企業(yè)的限制性使用指示有響應、配合義務。3.Opt-out機制的實現(xiàn)企業(yè)可以通過多種方式向消費者提供“Opt-out”功能，但根據(jù)CPRA的要求，企業(yè)應在其網(wǎng)站主頁、線上隱私政策中都提供清晰、明顯且分開的“不得出售或共享我的個人信息”鏈接和“限制使用我的個人敏感信息”鏈接，供消費者點擊選擇。一旦消費者作出Opt-out12個月內(nèi)不得再次要求該消費者授權(quán)企業(yè)出于其他目的使用、披露消費者的敏感個人信息。（二）美國人臉識別治理的典型案例1.谷歌用戶起訴谷歌違反2016年3書面同意，違反了的規(guī)定。2019年1月，法官以原告起訴。2.RosenbachSixFlagsEntertainmentCorp.2017年12月，伊利諾伊州一位市民因其兒子辦理六17與企業(yè)簽訂書面合同，企業(yè)出于商業(yè)目的向承包商提供消費者個人信息。18以企業(yè)的名義處理個人信息的個人并根據(jù)書面合同從企業(yè)或代表企業(yè)接收用于商業(yè)目的的消費者個人信

息的主體。17人臉識別產(chǎn)業(yè)法律治理研究報告旗主題公園（SixFlags）的季卡時被要求提供指紋信息而向識別信息的政策，也未獲得用戶的書面同意，違反了院在2019年1月推翻了原審法院的判決，認為生物特征可起訴自身權(quán)利受到侵害。3.多名用戶針對Facebook的圖片標簽功能提起集體訴訟2016年5月，多名用戶針對Facebook的圖片標簽功能提起集體訴訟，認為Facebook未經(jīng)用戶同意收集用戶生物識別信息，并存儲在Facebook面部識別數(shù)據(jù)庫中。只要用戶上傳照片，F(xiàn)acebook的系統(tǒng)就會自動分辨出鏡頭中的面孔與之前上傳照片中的人臉匹配，最后鑒別出個人身份。2019年8月，美國第九巡回上訴法院駁回了Facebook要Facebook將向符合條件的伊利諾伊州用戶支付5.5億美元，并支付原告的訴訟費。4.SnapInc.公司違規(guī)收集個人生物特征信息2022年9月，在伊利諾伊州，針對視頻通訊應用軟件19RosenbachSixFlagsEntertainmentCorp.,2019IL123186(Jan.25,2019).18人臉識別產(chǎn)業(yè)法律治理研究報告Snapchat違規(guī)收集用戶生物特征信息的集體訴訟案（Boone,etal.SnapInc.案）初步達成了庭外和解（最高可達3500萬美金賠償、波及超35萬人的和解動議）。在這起集體訴SnapInc.被指控違反了SnapInc.的隱私政策（PrivacyPolicy）中沒有說明用戶的面部信息會被戶使用濾鏡和特效鏡頭掃描了用戶人臉。作為被告的SnapInc.3500萬美元的和解費用，但不接受以上任何一項指控。SnapInc.表示：“軟件在使用鏡頭時不會收集可用于識別特定人員或進行面部識管轄之列。5.Instagram違法收集處理人臉信息2015年4月，多位美國伊利諾伊州用戶針對Instagram。存儲和銷毀的時間。訴訟稱Instagram通過面部標記工具采19人臉識別產(chǎn)業(yè)法律治理研究報告InstagramInstagram聲稱其面部識別功能開啟時，作用僅為通過建立個人面部模板來查找用戶在Facebook等Instagram及其母公司此舉實際上在未獲得用戶知情同意的情況下，收集和使用其生物特征信息。邦法院和加利福尼亞州聯(lián)邦法院。此案審理期間，2021年月，由于用戶對生物識別技術(shù)的安全性愈發(fā)擔憂，Meta識別模板。2023年3月，Instagram與多位原告達成和解，決定為在2015年8月102023年8月日期間使用該軟件的伊利諾伊州用戶支付共計6850萬美元的和解金，用戶需在9月27日之前提交索賠申請，不想接受和解條款的人需在8月16日之前提交信函請求排除；想要留在和解集體中但反對和解或與和解相關(guān)的支出的人，需在8月16日前向法院提出異議。和解協(xié)議的最終批準聽證會定于10月申請的總?cè)藬?shù)以及用戶在規(guī)定期限內(nèi)使用Instagram的時長。支付費用后，賠款將按一定比例發(fā)給受此事件影響的用戶，20人臉識別產(chǎn)業(yè)法律治理研究報告10月日推遲到月21在902024年2額，但具體付款時間還需法院確定，仍具有不確定性?？傊摪革@示了作為一個真正強大的機制和執(zhí)的工具價值，體現(xiàn)了在人臉識別技術(shù)的使用和部署過程中所發(fā)揮的重要作用。二、歐盟人臉識別的治理經(jīng)驗（一）歐盟人臉識別治理的立法《一般數(shù)據(jù)保護條例》（以下簡稱“GDPR”）中生物信息保護為核心，近期則延伸到人臉識別應用人工智能算法上。系統(tǒng)用戶的義務；《歐盟人工智能責任指令》區(qū)分高風險系統(tǒng)提供者和用戶的證據(jù)、因果關(guān)系推定的規(guī)則。21人臉識別產(chǎn)業(yè)法律治理研究報告總體而言，歐盟對人臉識別產(chǎn)業(yè)保持非常謹慎的態(tài)度，對其設(shè)置了多重限制，包括但不限于（1）使用目的和使用證、認證或分類；（2）數(shù)據(jù)處理的限制：數(shù)據(jù)處理的合法3）數(shù)據(jù)準確性的限制；（5）臉識別數(shù)據(jù)的處理活動。人臉識別技術(shù)被《人工智能法案》確定為高風險系統(tǒng)，《人工智能法案》從高風險系統(tǒng)應符合的標準和系統(tǒng)提供商的義務兩個維度，提出對高風險系統(tǒng)技術(shù)要求和組督、確保系統(tǒng)能夠達到適當?shù)臏蚀_性、魯棒性和網(wǎng)絡(luò)安全、售后監(jiān)控。根據(jù)目前公布的最終版法案，工具將依照本身技術(shù)特智能系統(tǒng)（UnacceptableriskAI），例如公共場合的“實時”或“事后”的遠程生物識別系統(tǒng)、使用敏感特征（如性別、22人臉識別產(chǎn)業(yè)法律治理研究報告錄像中無目標地抓取面部圖像以創(chuàng)建或擴展面部識別數(shù)據(jù)和教育機構(gòu)等領(lǐng)域中用于推斷自然人的情緒識別系統(tǒng)等。文備受爭議。擁有人臉與生物辨識技術(shù)的公司可以通過社交媒體或電視影像對民眾的外觀信息進行大規(guī)模搜集與之一必須的：（1）尋找綁架、販賣或性剝削的受害者，以及失蹤人員；（2）防止對于生命或身體安全的特定的、重大的和緊迫的威脅或恐襲；（3）出于調(diào)查、檢控或執(zhí)行懲罰的目的定位或識別嚴重犯罪的嫌疑人。2024年3月1352346票反對和49票棄權(quán)的壓倒性票數(shù)通過了《人工智能法案》。該法23人臉識別產(chǎn)業(yè)法律治理研究報告成為其他國家的參考。由是觀之，如歐盟《人工智能法案》GDPR）一樣，影響世界各國家或地區(qū)的立法和實踐。文件名稱人臉識別信息屬于GDPR規(guī)定的個人敏感數(shù)據(jù)。除了數(shù)據(jù)控制者對一般信息的保護義務，如遵守合法、合理和透明原則、目的限制原則、最小化原則、準確性原則、限期儲存原則、完整保密原則和權(quán)責一致原則等，對敏感數(shù)據(jù)的保護提出更嚴格的要求，原則上禁止處理。對于人臉識別技術(shù)的商業(yè)應用而言，可適用的唯一例《一般數(shù)據(jù)保護條例》外情形是（GeneralDataProtectionRules）須GDPR還對敏感數(shù)據(jù)控制者或處理者單獨規(guī)定了必須設(shè)立（第37條）和必須進行數(shù)據(jù)保護影響評估的義務（第35條）。根據(jù)的規(guī)定，照片不當然構(gòu)成個人敏使其能夠識別或認證特定自然人時，也屬于處理個人敏感數(shù)據(jù)（第51條）?！稓W盟人工智能法案（草案）》（以下簡稱系針對高風險系統(tǒng)提供商（技術(shù)研發(fā)者）而言，需要重點關(guān)注《草案》第三編第2章對高風險系統(tǒng)本身的要求、第3章中關(guān)于高風險ArtificialIntelligenceAct）（2020.2.19）系統(tǒng)提供商的義務，以及第八編第61條提供商的入市后監(jiān)測義務。第三編第2章第9條—第15條規(guī)定了強制性的風險管理系統(tǒng)、高質(zhì)量數(shù)據(jù)訓練集、技術(shù)文件和記錄保存、明確的透明度、確保能對系統(tǒng)進行人為監(jiān)督、確保系統(tǒng)能夠達到適當?shù)臏蚀_性、魯棒性和網(wǎng)絡(luò)安全。第三編第3章第16條羅列了高風險系統(tǒng)17條—23條詳細闡述前述義務的系統(tǒng)符合自動生成的日志、確保系統(tǒng)投放前經(jīng)過合格評定程序、采取糾正措施等義務。第八編第61條規(guī)定了提供者負有建立售后監(jiān)對高風險2章24人臉識別產(chǎn)業(yè)法律治理研究報告系統(tǒng)的持續(xù)合規(guī)性。針對技術(shù)應用者，《草案》第3章第29條規(guī)定了高風險統(tǒng)附帶的使用說明使用系統(tǒng)；監(jiān)督系統(tǒng)運行；在自己控制范圍內(nèi)確保輸入數(shù)據(jù)是與高風險系系統(tǒng)自動生成的日志；進行數(shù)據(jù)保護影響評估。除此之外，技術(shù)應用者也可能被認定為構(gòu)成技術(shù)供應商，從而承擔技術(shù)研發(fā)者相同的責任?！恫莅浮返?28條規(guī)定了經(jīng)銷商、進口商、用戶或任何其他第三方應被視為提供者的情形：a）以自己名稱或商標將高風險系統(tǒng)投放市場或投入使用；（b）修改已經(jīng)投放市場或投入使用的高風險c）對高風系統(tǒng)進行了實質(zhì)性的修改。商的名義與根據(jù)該法律行為生產(chǎn)的產(chǎn)品一起投放系統(tǒng)符合本條例下供應商所負義務相同的義務。4.商的義務，系統(tǒng)服務者如果有進口或經(jīng)銷人臉識別技術(shù)的業(yè)務，需要履行《草案》規(guī)定的相應義本法案將公共場合的“實時”或“事后”的遠程生物識別系統(tǒng)歸為具有不可接受風險的人工智能系統(tǒng)，對于人臉識別采取嚴格謹慎的態(tài)度，這也與《歐盟人權(quán)公約》中規(guī)定的隱私權(quán)、思想自由、禁止歧視等內(nèi)容相符。具體涉及人臉識別的相關(guān)條文如下：Recital8統(tǒng)”的概念應從功能上加以定義，這是一種人工《歐盟人工智能法案》（ArtificialIntelligenceAct）通常是在一定距離之外，通過將一個人的生物數(shù)（2024.3.13）據(jù)與參考數(shù)據(jù)庫中的生物數(shù)據(jù)進行比較，從而識程序或類型如何。這種遠程生物識別系統(tǒng)通常用于同時感知多個人或其行為，以便在沒有自然人主動參與的情況下極大地便利對自然人的識別。這不包括用于生物驗證，包括用于鑒別的人工智能系統(tǒng)，相應系統(tǒng)，單純出于獲得服務、解鎖設(shè)備或安全進入場所的目的，其唯一目的是確認特定自然人就是他或她聲稱的那個人，以及確認自25人臉識別產(chǎn)業(yè)法律治理研究報告然人的身份。這種排除的理由是，與遠程生物識

別系統(tǒng)相比，這類系統(tǒng)對自然人基本權(quán)利的影響

可能較小，因為遠程生物識別系統(tǒng)可用于處理許

多人的生物數(shù)據(jù)，而無需這些人的積極參與。在

“實時”系統(tǒng)中，生物數(shù)據(jù)的采集、比對和識別

都是在瞬間或接近瞬間進行的，或在任何情況下

都沒有明顯的延遲。在這方面，不應存在通過設(shè)

定輕微的延遲來規(guī)避本條例關(guān)于“實時”使用有

關(guān)人工智能系統(tǒng)的規(guī)則的空間?！皩崟r”系統(tǒng)涉

及使用“現(xiàn)場直播”或者“近乎現(xiàn)場直播”的材

料，如攝像機或其他具有類似功能的設(shè)備生成的

錄像片段。相比之下，“事后”系統(tǒng)則是生物數(shù)

據(jù)已經(jīng)得到采集，只有在延遲之后才進行比對和

識別。這涉及在對有關(guān)自然人使用該系統(tǒng)之前已

經(jīng)生成的材料，如閉路電視攝像機或私人設(shè)備生

成的圖片或錄像Recital18：在公共場所為執(zhí)法目的使用“實

時”遠程生物識別系統(tǒng)，每次使用都應得到司法

機關(guān)或其決定對成員國具有約束力的獨立行政機

關(guān)的明確和具體授權(quán)。這種授權(quán)原則上應在使用

該系統(tǒng)識別特定的個人或多人之前獲得。在有正

當理由的緊急情況下，即在需要使用有關(guān)系統(tǒng)，

因而實際上和客觀上不可能在開始使用之前獲得

授權(quán)的情況下，這一規(guī)則應允許例外。在這種緊

急情況下，使用應限制在嚴格必要的最低限度，

并受制于適當?shù)谋Ｕ洗胧┖蜅l件，這些措施和條

件由國家法律確定，并由執(zhí)法機關(guān)本身在每個緊

急使用的個案中具體規(guī)定。執(zhí)法機關(guān)應在提出申請的同時，說明未能及早提

24內(nèi)提出申請。如果這種授權(quán)被拒絕，則應立即停

止使用與該授權(quán)有關(guān)的實時生物鑒別系統(tǒng)，并應

棄置和刪除與這種使用有關(guān)的所有數(shù)據(jù)。這些數(shù)

據(jù)包括人工智能系統(tǒng)在使用過程中直接獲得的輸

入數(shù)據(jù)，以及與該授權(quán)相關(guān)的使用結(jié)果和輸

出。這不應包括根據(jù)其他國家或歐盟法律合法獲

取的輸入數(shù)據(jù)。在任何情況下，不得僅根據(jù)遠程

生物識別系統(tǒng)的輸出結(jié)果做出對個人產(chǎn)生不利法

律影響的決定。Recital24：在使用人工智能系統(tǒng)進行生物識

別時涉及的生物數(shù)據(jù)和其他個人數(shù)據(jù)的任何處

理，除與本條例規(guī)定的為執(zhí)法目的在公共場所使

用“實時”遠程生物識別系統(tǒng)有關(guān)外，應繼續(xù)遵

守2016/680號指令第10條規(guī)定的所有要求。對26人臉識別產(chǎn)業(yè)法律治理研究報告于執(zhí)法以外的目的，2016/679號條例第912018/1725號條例第10條第1款禁止處理生在適用2016/679號條例第91款時，遠程生物特征識別用于執(zhí)法以外的目的的已經(jīng)落入國家數(shù)據(jù)保護機關(guān)的禁止決定之下。Recital26b：應禁止將人工智能系統(tǒng)投放市場、為這一特定目的提供服務或加以使用，這些系統(tǒng)通過從互聯(lián)網(wǎng)或閉路電視錄像中無針對性地獲取面部圖像來創(chuàng)建或擴大面部識別數(shù)據(jù)庫，因為這種實踐會增加大規(guī)模監(jiān)控的感覺，并可能導致嚴重侵犯基本權(quán)利，包括隱私權(quán)。Article3–paragraph1–point36物識別系統(tǒng)”系指一種人工智能系統(tǒng)，其目的是在沒有自然人主動參與的情況下，通常通過將一個人的生物數(shù)據(jù)與參考數(shù)據(jù)庫中的生物識別數(shù)據(jù)進行比較，遠距離識別自然人的身份；Article3–paragraph1–point37：“‘實時’在該系統(tǒng)中，生物數(shù)據(jù)的采集、比較和識別都是在沒有明顯延遲的情況下進行的。這不僅包括即時識別，還包括有限的短暫延遲，以避免規(guī)避本條例。Article5–paragraph：投放市場、提供服務或加以使用人工智

能系統(tǒng)，對自然人進行風險評估，以評估或預測

自然人實施刑事犯罪的風險，而這完全是基于對

自然人的畫像或?qū)ζ鋫€性特征和特點的評估；這

一禁令不適用于這樣的人工智能系統(tǒng)，其根據(jù)與

犯罪活動直接相關(guān)的客觀且可核實的事實，支持

人類對特定個人是否參與犯罪活動的評估。

投放市場、為此特定目的提供服務或加

以使用人工智能系統(tǒng)，通過從互聯(lián)網(wǎng)或閉路電視

錄像中無區(qū)別地爬取面部圖像來創(chuàng)建或擴展面部

識別數(shù)據(jù)庫；投放市場、為此特定目的提供服務或加

以使用人工智能系統(tǒng)，在工作場所和教育機構(gòu)領(lǐng)

域推斷自然人的情緒，但出于醫(yī)療或安全原因，

有意將人工智能系統(tǒng)提供服務或投放市場的情況

除外；投放市場、為此特定目的提供服務或加

以使用生物分類系統(tǒng)，根據(jù)生物數(shù)據(jù)對自然人進

行個體層面的分類，以推導或推斷其種族、政治

觀點、工會成員身份、宗教或哲學信仰、性生活27人臉識別產(chǎn)業(yè)法律治理研究報告或性取向。這項禁令不包括根據(jù)生物數(shù)據(jù)對合法獲取的生物數(shù)據(jù)集，如圖像，進行標注或過濾，也不包括在執(zhí)法領(lǐng)域?qū)ι飻?shù)據(jù)進行分類。Article5–paragraph2:在公共場所為執(zhí)法目的使用“實時”遠程生物識別系統(tǒng)，除非這種使用相應是為下列目標之一所嚴格必要的：(i)性剝削受害者，以及搜尋失蹤人員；防止對自然人的生命或人身安全構(gòu)成確切、重大切緊迫的威脅，或防止真實存在或真實可預見的恐怖襲擊威脅；《指令》的目的是通過協(xié)調(diào)成員國的過失責任規(guī)則，以確保因人工智能系統(tǒng)對其造成的損害而要求賠償?shù)娜?，享有等同于在沒有人工智能系統(tǒng)參與的情況下而要求損害賠償?shù)谋Ｗo水平。在《歐盟人工智能責任指令》（LiabilityDirective）（2022.9.28）涉及人工智能的侵權(quán)案件中，由于人工智能系統(tǒng)不透明、自動化決策和復雜性等特征，可能會使受害者難以證明過錯、因果關(guān)系。其中跟高風險人工智能提供者有關(guān)的規(guī)則主確認技術(shù)開發(fā)者過錯方面的重要性人工智能系統(tǒng)提供者提起的訴訟規(guī)定了可推定因果關(guān)系的情形。區(qū)分了人臉識別數(shù)據(jù)和照片，未提及視頻監(jiān)控。但實際中視頻監(jiān)控通常可以收集大量《關(guān)于通過視頻設(shè)備處理個人數(shù)據(jù)的3/2019指引》（Guidelines3/2019onprocessingofpersonaldatathroughvideodevices）（2020.1.29）旨在就如何通過視頻設(shè)備根據(jù)GDPR處理個人數(shù)據(jù)提供指導。1.細化并補充GDPR第9條當視頻監(jiān)控系統(tǒng)用于處理特殊類型數(shù)據(jù)時，數(shù)據(jù)控制者應該確認該行為是否符合GDPR第9條規(guī)定的豁免情形及第6條規(guī)定的合法基礎(chǔ)；但數(shù)據(jù)控制者不能依據(jù)第e明示公開的個人數(shù)據(jù)，處理視頻監(jiān)控系統(tǒng)得到的20對于高風險人工智能系統(tǒng)，《人工智能法案》規(guī)定了具體的文件、信息和記錄要求，但沒有規(guī)定受傷害

者有權(quán)獲得這些信息。而獲得涉嫌造成損害的特定高風險人工智能系統(tǒng)的信息，是確定是否要求賠償和證

實賠償要求的一個重要因素，因此，為確定賠償責任，應當規(guī)定有關(guān)人員披露相關(guān)證據(jù)的規(guī)則。這也應該為遵守《人工智能法案》中規(guī)定的相關(guān)要求提供額外的激勵，以記錄或保存相關(guān)信息。21在確定提供者是否遵守了本指令中提到的《人工智能法案》的相關(guān)要求時，應考慮提供者在風險管理系

統(tǒng)中采取的步驟和風險管理系統(tǒng)的結(jié)果，即決定采取或不采取某些風險管理措施。提供者根據(jù)《人工智能法案》建立的風險管理系統(tǒng)是一個持續(xù)迭代的過程，貫穿于高風險人工智能系統(tǒng)的整個生命周期，提供者

據(jù)此確保遵守旨在減少風險的強制性要求，因此可以作為評估其合規(guī)性的有用因素。2210(2)至(4)發(fā)的；不符合透明度的要求；不允許自然人對該系統(tǒng)有效監(jiān)督；未達到適當?shù)臏蚀_性、魯棒性、網(wǎng)絡(luò)安全

水平。28人臉識別產(chǎn)業(yè)法律治理研究報告數(shù)據(jù)，進入攝像范圍的事實行為并不意味著數(shù)據(jù)主體有意公開與其相關(guān)的特殊類型數(shù)據(jù)。2.提出了一些降低處理生物識別信息所面臨風險的措施，包括：一是遵照數(shù)據(jù)最小化原則，確保不過多提取用于構(gòu)建生物模板的數(shù)據(jù)，并采取措施防止模板在不同生物識別系統(tǒng)之間轉(zhuǎn)移；二是必須存儲生物特征數(shù)據(jù)時，數(shù)據(jù)控制者必須考慮數(shù)據(jù)存儲的最佳位置，應存儲在用戶單獨控制的設(shè)備上（例如智能手機或身份證）或以加密形式存儲在只有用戶擁有密鑰的集中式數(shù)據(jù)庫（centralizeddatabase所處理數(shù)據(jù)的可用性、完整性和機密性，在傳輸和存儲過程中進行數(shù)據(jù)隔離，明確加密和密鑰管理策略，整合欺詐檢測的組織性和技術(shù)性措施，將完整性代碼與數(shù)據(jù)關(guān)聯(lián)（例如簽名或哈希），并禁止任何外部訪問生物特征數(shù)據(jù)；四是對人臉識別數(shù)據(jù)等原始數(shù)據(jù)進行刪除，并確保刪除的有效性。如果數(shù)據(jù)控制者需要保存原始數(shù)據(jù)，必須noise-additive護方法?！度斯ぶ悄苎芯繄蟾妗ㄍ吭胶托湃蔚臍W洲路徑》針對使用人臉識別等高風險人工智能系統(tǒng)提ArtificialIntelligence–A出了嚴格的限制，如訓練人工智能的數(shù)據(jù)應符合Europeanapproachexcellenceand要求、保留部分記錄和數(shù)據(jù)、告知使用者相關(guān)信trust)息、確保技術(shù)魯棒性、接受人工監(jiān)控、投入使用（2022.2.19）前應接受事前合規(guī)審查。1.和服務提供商的指引主要包括確保人臉識別技術(shù)準確性和數(shù)據(jù)保護兩個方面：術(shù)的準確性。確保所用數(shù)據(jù)的代表性、定期更新數(shù)據(jù)以訓練改進所使用的算法、確保算法的有效《關(guān)于人臉識別的指南》GuidelinesonFacialRecognition）（2021.1.28）性，具體操作措施如算法必須使用合成數(shù)據(jù)集來開發(fā)、記錄、檢測可靠性百分比記錄等。別產(chǎn)品的設(shè)計和架構(gòu)要納入數(shù)據(jù)保護相關(guān)的原如指定專門的工作人員，為員工提供隱私培訓，以及進行數(shù)據(jù)保護影響評估。在外部：幫助使用技術(shù)的實體提升透明度并尊重隱私如為他們的隱私政策提供示例語言，或推薦清晰、易懂的標記表明人臉識別技術(shù)已部署在特定空間中。29人臉識別產(chǎn)業(yè)法律治理研究報告2.者（使用人臉識別技術(shù)的實體）提出要求。(1)正面明確指出人臉識別技術(shù)的使用只能在受控環(huán)境中進行驗證、認證或分類目的，還列舉情緒識別等禁止性目的；(2)用的公平性、透明性和準確性，以及遵守目的限制、數(shù)據(jù)最小化以及存儲時間的原則；23(3)細化了數(shù)據(jù)保護影響評估的規(guī)定；24(4)引，如發(fā)布關(guān)于特定使用人臉識別技術(shù)的透明性報告、成立內(nèi)部審查委員會，以評估和批準任何涉及人臉識別數(shù)據(jù)的處理等。《指南》還指出如果使用人臉識別技術(shù)時，完全根據(jù)人臉識別技術(shù)的結(jié)果做決定，則可被視為自動化決策，也需遵守法律對自動化決策的要并沒有對人臉識別技術(shù)持否定態(tài)度，而是認為在適用該技術(shù)時不僅要考慮到保護公民的隱私權(quán)以及個人數(shù)據(jù)權(quán)，還要激發(fā)公民對已經(jīng)CNIL實施技術(shù)的信任。場的面部識別：有哪些挑戰(zhàn)和需要報告指出有關(guān)機場面部識別必須遵守的主要遵循的主要原則》報告原則：1.說明擬采取的面部識別系統(tǒng)的必要性和相）稱性、征得乘客事前同意以及保障同意有效的技術(shù)和組織措施；2.必須將生物識別數(shù)據(jù)完全置于有關(guān)乘客的控制之下；3.必須進行數(shù)據(jù)保護影響評估2023年4月26EDPB通過了其在執(zhí)法領(lǐng)域的面部識別技術(shù)準則的最終《執(zhí)法領(lǐng)域面部識別技術(shù)指南》Guidelines05/2022ontheuseoffacialrecognitiontechnologytheareaoflawenforcement）2023.4）版本。該準則為歐盟和國家立法機關(guān)以及執(zhí)法部門提供了實施和使用面部識別技術(shù)的系統(tǒng)指導。該準則強調(diào)，面部識別工具的使用應嚴格遵守執(zhí)法指令（LED）。此外，正如《基本權(quán)利憲章》所規(guī)定的那樣，只有在必要和相稱的情況下才能使用這種工具。在指導方針中，再次呼吁禁止在某些情況下使用面部識別技術(shù)，這是它在EDPB-EDPS關(guān)于人工智能法提案的聯(lián)合意23《指南》明確對使用目的和使用環(huán)境做出限制，即人臉識別技術(shù)的使用只能在受控環(huán)境中進行驗證、人

證或分類目的；《指南》強調(diào)使用人臉識別技術(shù)要獲得明確、具體、自由和知情的同意，在此內(nèi)涵上進一

步延伸提出處理者提供使用人臉識別技術(shù)的替代方案、不能當然處理公開照片；就透明度而言，《指南》詳細給出告知數(shù)據(jù)主體的內(nèi)容；數(shù)據(jù)存儲方面，《指南》要求處理者確保不同的存儲限制期限適用于處理

不同的階段；24包括內(nèi)容（使用人臉識別技術(shù)，應當將必要性，目的性、比例性，以及對數(shù)據(jù)主體權(quán)利的影響一起進行

評估）、評估主體、評估出風險的處理規(guī)則、公開評估結(jié)果等。30人臉識別產(chǎn)業(yè)法律治理研究報告見中提出的要求。在公開征求意見后，對準則進行了更新，并增加了進一步的澄清意見。對于執(zhí)法背景下的個人數(shù)據(jù)保護，必須滿足的使用，規(guī)定了一定的框架，特別是第3(13)條（術(shù)語生物識4條（與個人數(shù)據(jù)處理有關(guān)的原則）第8條（處理的合法性），第10條（特殊類別個人數(shù)據(jù)的處理）和第條（自動個人決策）。對特殊類別數(shù)據(jù)的處理，如生物識別數(shù)據(jù)，只能被視為“絕對必要”（第10條LED在使用之前進行數(shù)據(jù)保護影響評估(DPIA)是一項強制性要求，參見第27條。部署的當局應在部署該系統(tǒng)之前咨詢主管監(jiān)督機構(gòu)。4.鑒于生物識別數(shù)據(jù)的獨特性質(zhì)，實施和/或使用的當局應根據(jù)第29條，特別注意處理的安全性。第25法性的重要保障，包括內(nèi)部（即相關(guān)控制人/人的自我監(jiān)督）和外部監(jiān)督機構(gòu)。在面部識別系統(tǒng)方面，建議對參考數(shù)據(jù)庫的變化和識別或驗證嘗試進行記錄，包括用戶、結(jié)果和信心分數(shù)。呼吁禁止某些類型的處理：12的面部識別系統(tǒng)，根據(jù)個人的生物特征，按照種族、性別、政治或性取向或其他歧視理由，將其歸類；(3)使用面部識別或類似技術(shù)來推斷自然人的情緒，以及（4）在執(zhí)法背景下處理個人數(shù)據(jù)，這將依賴于通過大規(guī)模和不加區(qū)分地收集個人數(shù)通過刮取網(wǎng)上可獲得的照片和面部圖片。ISO/IEC9868《遠程生物識別系該標準為遠程生物特征識別系統(tǒng)提供了建議統(tǒng)——設(shè)計、開發(fā)和審核》（標準）中的相關(guān)規(guī)定，如系統(tǒng)部署后測試的要求等。（二）歐盟人臉識別治理的典型案例案例一：收集人臉信息應符合最小必要性原則2019年8月瑞典數(shù)據(jù)保護機構(gòu)對Anderstorps中學做出31人臉識別產(chǎn)業(yè)法律治理研究報告20萬瑞典克朗的罰款，因其在學校教室里面安裝人臉識別六條規(guī)定的“數(shù)據(jù)處理合法依據(jù)”，具體體現(xiàn)在兩個方面：校征得的同意違背了出（freelygiven）”這一要求。二是該中學收集的信息類別的學生面部特征信息并不是學校違反了所要求的最小必要性原則。2.案例二：處理公開的人臉信息應獲得同意CNIL）向美國Clearview開出了2000了GDPR。Clearview從許多網(wǎng)站包括社交媒體上收集照片。它25參見瑞典數(shù)據(jù)監(jiān)管機構(gòu)于2019年8月20日對涉事高中作出的處罰決定書，“Tillsynenligt

EU:sdataskyddsf?rordning2016/679ansiktsigenk?nningf?rn?rvarokontrollavelever”

https://www.datainspektionen.se/globalassets/dokument/beslut/beslut-ansiktsigenkanning-for-narvarokontroll-av-elever-dnr-di-2019-2221.pdf32人臉識別產(chǎn)業(yè)法律治理研究報告因此，該公司已經(jīng)在全球范圍內(nèi)收集了超過200億張圖片。情況下是面部）的數(shù)字表示。這些生物識別數(shù)據(jù)非常敏感，索引擎的人都不知道這個特征。2020年5月，收到個人對Clearview的人臉識2021年5就這一問題向CNIL發(fā)出警告。進行的調(diào)查顯示，Clearview有幾個違反RGPD的行為：1.非法處理個人數(shù)據(jù)（違反第6條），因為生物識別數(shù)據(jù)的收集和使用沒有法律依據(jù)；2.未能以有效和令求（違反第12、15和17條）。2021年月26日，CNIL主席決定向Clearview發(fā)出正式通知：1.在沒有法律依據(jù)的情況下，停止收集和使用33人臉識別產(chǎn)業(yè)法律治理研究報告法國境內(nèi)人員的數(shù)據(jù)；2.為個人權(quán)利的行使提供便利，并滿足刪除的要求。Clearview原本有兩個月的時間來遵照監(jiān)管要求調(diào)整其行為，并向說明其理由。然而，它并沒有對這份正式通知作出任何回應。因此，限制委員會決定根據(jù)第83條，對其進行最高2000萬歐元的經(jīng)濟處罰。三、中國人臉識別的治理經(jīng)驗（一）中國人臉識別治理的立法方面，《信息安全技術(shù)遠程人臉識別系統(tǒng)技術(shù)要求》《信息安全技術(shù)人臉識別數(shù)據(jù)安全要求》《公共安全重點區(qū)域特點。類型主要內(nèi)容基本原則和框架，在第1034條將“生物識別信息”納入《民法典》個人信息范疇，并在1035條具體規(guī)定個人信息處理者應法律34人臉識別產(chǎn)業(yè)法律治理研究報告要求。作為我國首部專門針對個人信息保護的綜合性法律，228條至第32條專門規(guī)定了個人敏感信息的處理規(guī)則?！秱€人信息保護法》第28條第12款對敏感信息的處理設(shè)定《個人信息保護法》了嚴格的法律規(guī)則；在第29條明確了處理人臉識別信息5條和第6條明確處理個人信息的原則與要求，26條強調(diào)公共場所人臉識別設(shè)備的使用目的僅限“維護公共安全”。信息泄露等。《網(wǎng)絡(luò)安全法》定權(quán)”。該法第43條規(guī)定，個人發(fā)現(xiàn)網(wǎng)絡(luò)運營者違反法該法第291款規(guī)定了經(jīng)營者在收集、使用消費《消費者權(quán)益保護并在第56條規(guī)定若經(jīng)營者存在侵害消費者個人信息的情形時，需要承擔的民事、行政責任。該法第23條規(guī)定電子商務經(jīng)營者在收集、使用其用《電子商務法》護的規(guī)定?！吨腥A人民共和國刑非法獲取公民個人信息，并將責任主體擴展至單位犯罪。司法解釋《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》1條規(guī)定公民的個人信息包括身份識別信息和雖不具有身份識別功能但能夠反映特定自然人活動情況的信息。同時，在第9條規(guī)定了網(wǎng)絡(luò)服務提供者若不履行法35人臉識別產(chǎn)業(yè)法律治理研究報告以拒不履行信息網(wǎng)絡(luò)安全管理義務罪定罪的刑事處罰風作為我國專門針對人臉識別應用進行規(guī)制的第一部程序等方面規(guī)定了16個條文。第1條規(guī)定人臉信息屬于1034條規(guī)定2條9條明確了濫用人臉識別技術(shù)處理人臉信息行為的侵權(quán)性質(zhì)及法律責任。26《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》理個人信息等情形認定為屬于侵害自然人人格權(quán)益的行理人不應將人臉識別作為業(yè)主或者物業(yè)使用人出入物業(yè)都有權(quán)請求刪除人臉信息。《人臉識別技術(shù)應用安全管理規(guī)定（試原則。明確數(shù)據(jù)“最小存儲”原則，除取得單獨同意外，不得存儲原始人臉圖像。第18條規(guī)定商業(yè)銀行應當按照反洗錢和反恐怖融資《商業(yè)銀行互聯(lián)網(wǎng)貸部門規(guī)章保監(jiān)會令20209意愿進行核驗并留存，確保借款人的身份數(shù)據(jù)真實有效，得全權(quán)委托合作機構(gòu)辦理。《互聯(lián)網(wǎng)信息服務深度合成管理規(guī)定》服務提供者和技術(shù)支持者還應當加強技術(shù)管理，定期審核、評估、驗證生成合成類算法機制機理?！蹲C券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》對其必要性、安全性進行風險評估，不得將人臉、步態(tài)、26參見張勇：敏感個人信息的公私法一體化保護，載《東方法學》,2022(01):66-78.36人臉識別產(chǎn)業(yè)法律治理研究報告式，強制客戶同意收集其個人生物特征信息。《醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全管理辦法》用物理或邏輯隔離方式分別存儲人臉識別和個人身份信息等。該標準在2017年舊版的基礎(chǔ)上，細化與完善了個人共享以及轉(zhuǎn)讓方面的規(guī)則。第5.4條規(guī)定，網(wǎng)絡(luò)運營者收集個人生物識別信息應GB/T35273《信息安全技術(shù)個人信息安全規(guī)范》生物識別信息，以最大限度降低損害風險。第9.2條對個人金融信息特定類別作了特殊規(guī)定：網(wǎng)識別信息類型、數(shù)據(jù)接收方的具體身份和數(shù)據(jù)安全能力該標準是全國首個使用人臉識別技術(shù)進行身份鑒別國GB/T38671-2020家《信息安全技術(shù)遠標程人臉識別系統(tǒng)技術(shù)準要求》環(huán)節(jié)的標準化問題。41819-2022《信息安全技術(shù)人臉識別數(shù)據(jù)安全要該標準規(guī)定了人臉識別數(shù)據(jù)的安全通用要求以及收動的安全要求。該標準適用于數(shù)據(jù)處理者安全開展人臉識別數(shù)據(jù)處理活動。37300-2018該標準規(guī)定了公共安全重點區(qū)域視頻圖像信息采集《公共安全重點區(qū)域部位和采集種類、技術(shù)要求和采集設(shè)備要求、安全要求。視頻圖像信息采集規(guī)35678-2017該標準規(guī)定了公共安全人臉識別應用中圖像技術(shù)要《公共安全人臉識別應用圖像技術(shù)要求》擋等要求。37人臉識別產(chǎn)業(yè)法律治理研究報告《網(wǎng)絡(luò)安全標準實踐指南——人臉識別支個人信息保護要求。付場景個人信息保護該實踐指南不適用于用戶在其自有手機或其他自有安全要求（征求意見智能移動終端上進行的人臉識別支付。稿）》0171—2020該文件主要約束金融機構(gòu)和獲取個人金融信息的非中國人民銀行《個人金融信息保護術(shù)標準、機構(gòu)安全崗位設(shè)置等方面作出了細致的規(guī)定。技術(shù)規(guī)范》行業(yè)標準4087-2022《移動智能終端人臉識別安全技術(shù)要求及測試評估方法》該標準規(guī)定了移動智能終端人臉識別的安全技術(shù)要技術(shù)要求、測試評價方法和安全能力分級等?？际褂?。團077.7-2020該標準規(guī)定了移動應用軟件對人臉信息的收集、使體《收集使用個人標信息最小必要評估規(guī)通過個人信息處理活動中的典型應用場景來說明如何落準范人臉信息》實最小必要原則。中國支付清算協(xié)會著方式提示用戶注意服務協(xié)議中與其有重大利害關(guān)系的其《人臉識別線下支付他行業(yè)自律公約（試行）》條款、短信提示等。（二）中國人臉識別治理的典型案例類型基本案情裁判結(jié)果2019年4月浙江某大學教授郭某花一審判令野生動費1360元購買了一張杭州野生動物世界物世界賠償郭某合同民事案例中國人臉識某訴杭州野生動物世界有限公司服務合同糾紛案27365識別的方式入園游覽。同年10月，園方認為人臉信息屬于高度敏感的個人隱私，野生動物世界無權(quán)采集，并要求園方退利益損失及交通費共計1038元。刪除郭某辦理指紋年卡時提交的包括照片在內(nèi)的面的其他訴訟請求。二審維持一審判將野生動物世界告上法院。決野生動物世界賠償郭某合同利益損失及272019民初69712020）

浙01民終10940號判決書。38人臉識別產(chǎn)業(yè)法律治理研究報告交通費共計1038判決生效十日內(nèi)履行，刪除郭某辦理指紋年卡時提交的包括照片在內(nèi)的面部特征信息。郭某的其他訴訟請求。一審法院判決被孫長寶與北現(xiàn)百度網(wǎng)站非法收錄并置頂了原告在告北京百度網(wǎng)訊科技京搜狐互聯(lián)chinaren有限公司向原告孫某網(wǎng)信息服務頭像（個人證件照）。賠償經(jīng)濟損失1有限公司等被告北京百度網(wǎng)訊科人格權(quán)糾紛技有限公司向原告孫案28長寶賠償維權(quán)費用40二審法院撤銷原房門外墻上安裝了一款有人臉識別和錄劉某出入家門的必經(jīng)其一家進出家門和在走廊通道內(nèi)的活動劉嘉龍與沈榕隱私權(quán)糾紛案到360性、高強度、近距離監(jiān)視拍攝的結(jié)果。的門鈴攝像頭對劉嘉龍及其家人的出行規(guī)家人的正常生活產(chǎn)生他訴訟請求。朱莎麗與中國人民銀行衢州市中心海微眾銀行股份有限公司名譽權(quán)糾紛案原告朱某因被案外人郭某欺騙完成款刷臉認證，導致存在逾期未還款記錄，產(chǎn)生不良征信記錄。一審法院認為被告前海微眾銀行報送涉案逾期信息是正常違法行為該行為不存在侵犯原告民事權(quán)利然刑事判決書認定該筆貸款不是由原告操2820190491民初10989號孫長寶與北京搜狐互聯(lián)網(wǎng)信息服務有限公司等人格權(quán)糾紛一審民事判決書。29參見北京市第二中級人民法院（2020）京02民終1641號劉嘉龍與沈榕隱私權(quán)糾紛二審民事判決書。

30參見衢州市柯城區(qū)人民法院（2019）浙0802民初5880號朱莎麗與中國人民銀行衢州市中心支行、深

圳前海微眾銀行股份有限公司名譽權(quán)糾紛一審民事判決書。39人臉識別產(chǎn)業(yè)法律治理研究報告原告手機申請貸款的告本人配合完成了動原告的訴訟請求江蘇省無錫市新吳區(qū)某健身房使用檢察院審查認為，屬于生物識別類敏感公共安全必需且未取檢察公益訴訟案例江蘇省無錫市新吳區(qū)人民檢察院督促保護服務場所消費者個人信息行政公益訴訟案會員辦卡時提供的照片錄入系統(tǒng)作為刷共利益。制采集、非加密傳輸、敏感個人信息的行為，損害了眾多消費者合法權(quán)益。新吳區(qū)院于2022年8月12日向新吳區(qū)市場監(jiān)督管理局制發(fā)行政公益訴訟訴案服務場所依法處理，切實履行保護消費者管力度，建立長效機發(fā)生。檢察院審查認為，下簡稱區(qū)衛(wèi)健局）為推進數(shù)字化門診建望城區(qū)17家醫(yī)療衛(wèi)生湖南省長沙2019年7月12機構(gòu)違反個人信息處市望城區(qū)人望城區(qū)轄區(qū)內(nèi)17家醫(yī)療衛(wèi)生機構(gòu)陸續(xù)使民檢察院督用電子簽核系統(tǒng)推送疫苗接種知情告知促保護個人服務對象指紋和人臉生物識別信等個人生物識別信息，息行政公益電子數(shù)據(jù)的存儲及主機均由各社區(qū)衛(wèi)生未按要求解決電子簽訴訟案服務中心管理。截至2022年3月上述機構(gòu)共收集83萬余條涉及指紋、人臉識別等個人生物識別信息。能防患未經(jīng)授權(quán)的訪31參見《最高人民檢察院發(fā)布8件個人信息保護檢察公益訴訟典型案例》，2023年3月30日發(fā)布。40人臉識別產(chǎn)業(yè)法律治理研究報告落實網(wǎng)絡(luò)安全等級保人信息保護的內(nèi)部管局和區(qū)公安分局對上述醫(yī)療衛(wèi)生機構(gòu)收集、處理敏感個人信息活動未盡到監(jiān)管職責。A景區(qū)由浙江G旅游發(fā)展有限公司（以下簡稱G2020年7月，A景G區(qū)通過招標委托浙江H公司等景區(qū)運營主體，下簡稱H公司）建設(shè)完成人臉識別系統(tǒng)，同時邀請了浙江省消A景區(qū)在采費者權(quán)益保護委員會集游客人臉信息時未依法履行告知義務，相關(guān)工作人員和法律浙江省湖州存在強制要求購票游客錄入人臉信息、市檢察機關(guān)息被侵害問題召開磋訴浙江G旅商會，就G公司刪除游發(fā)展有限信息被侵害，損害了社會公共利益。景區(qū)前期采集儲存的公司侵害公民個人信息臉信息的收集和使用民事公益訴等事項達成共識。同部門對G公司提出整

月日，湖州市院向G公

G依法運營。小鵬汽車購買具有人臉識別功能的上海市徐匯區(qū)市22場監(jiān)督管理局責令當法小鵬汽車違事人改正上述違法行案法采集人臉例100000齡分析等。41人臉識別產(chǎn)業(yè)法律治理研究報告2019ZAO換臉軟件在國內(nèi)爆火，用戶可以通過APP“”換臉軟件過度收集個人信及其關(guān)聯(lián)公司有權(quán)對用戶上傳的內(nèi)容進息行全部或部分的修改并享有修改后的內(nèi)法律風險。奉賢區(qū)人民法院件開發(fā)人員。2020年69罰，對其依法從寬處件就會自動獲取手機相冊的照片并且上息罪判處李某有期徒2021年2處罰金。月9日，共賣得網(wǎng)站虛擬幣30$。后李某刑事李某侵犯公手機相冊照片1751張。其中，含有人臉案民個人信息例案庭住址等100余條公民個人信息。2020年92021年2150個人信息共計8100余萬條。2021年3月9且存儲于境外網(wǎng)盤，未查到有人下載使

/32參見王四新：《“ZAO”背后的社會管理難題》，載《環(huán)球時報》2019-09-02(015).

33參見《最高人民法院關(guān)于發(fā)布第35批指導性案例的通知》，2022年12月26日公布。42人臉識別產(chǎn)業(yè)法律治理研究報告發(fā)平臺這類主體的信息安全責任義務。43人臉識別產(chǎn)業(yè)法律治理研究報告第三章人臉識別產(chǎn)業(yè)法律治理圖景一、人臉識別產(chǎn)業(yè)生態(tài)治理的基本原理人臉識別產(chǎn)業(yè)生態(tài)治理，旨在減少“人—技術(shù)—社會”縫之網(wǎng)”（Seamless）。立基于此的人臉識別產(chǎn)業(yè)生態(tài)律和技術(shù)的同頻共振。其不再是根據(jù)《個人信息保護法》第62條“針對人臉識別呼應的生態(tài)治理方法。二、人臉識別技術(shù)生態(tài)治理（一）技術(shù)提供者的數(shù)據(jù)安全義務44人臉識別產(chǎn)業(yè)法律治理研究報告技術(shù)研發(fā)可靠安全的義務。1.訓練環(huán)節(jié)的數(shù)據(jù)安全義務適當?shù)臄?shù)據(jù)治理和管理規(guī)范。應特別關(guān)注：（a）有關(guān)設(shè)計選擇；（b）數(shù)據(jù)采集；（c）數(shù)據(jù)準備處理操作，例如注d）制定有關(guān)數(shù)據(jù)應衡量e）事先評估所需數(shù)據(jù)庫的可用性、f）g）確別是擬識別人群有關(guān)的屬性。2.存儲環(huán)節(jié)的數(shù)據(jù)安全義務34參見中國信通院：《人臉信息處理合規(guī)操作指南》。2022年1月。45人臉識別產(chǎn)業(yè)法律治理研究報告離手段。3.傳輸環(huán)節(jié)的數(shù)據(jù)安全義務竊取或篡改。4.刪除環(huán)節(jié)的數(shù)據(jù)安全義務技術(shù)提供者應確保做到及時刪除人臉信息處理。同時，46人臉識別產(chǎn)業(yè)法律治理研究報告Secure-Delete指令、Dod5220.22-M、Gutmann算法等方法。（二）技術(shù)提供者的算法可信義務營能夠始終符合可信人工智能的核心要求。1.算法準確性、魯棒性、安全性義務技術(shù)提供者可以通過備份或故障安全計劃等技術(shù)冗余措施，防范導致模型出錯的輸入或模型缺陷。2.算法安全評估、審計、備案的義務47人臉識別產(chǎn)業(yè)法律治理研究報告測試集上的指標表現(xiàn)和變化。在必要時，可以通過算法備案，落實上述算法安全評估和審計義務。三、人臉識別產(chǎn)品/服務生態(tài)治理人臉識別產(chǎn)品服務提供者是人臉識別產(chǎn)業(yè)的中堅力量，上啟下的樞紐作用，構(gòu)成了人臉識別產(chǎn)業(yè)治理的關(guān)鍵一環(huán)。據(jù)此，人臉識別產(chǎn)品/服務提供者應承擔如下義務：（一）產(chǎn)品/服務提供者的質(zhì)量管理義務人臉識別產(chǎn)品/服務提供者作為供應商應建立質(zhì)量管理a統(tǒng)修改管理程序；（b）用于人臉識別產(chǎn)品/服務的質(zhì)量控制cd）數(shù)據(jù)治理的組織、系統(tǒng)和程序，包括數(shù)據(jù)收集、數(shù)據(jù)分析、35中國信息通信研究院、京東探索研究院：《可信人工智能研究報告》。48人臉識別產(chǎn)業(yè)法律治理研究報告eg重事故和故障的應急程序；（h）支持監(jiān)管機構(gòu)監(jiān)督和執(zhí)法系統(tǒng)；（i）記錄所有相關(guān)文件和信息的系統(tǒng)和程序；（j）問責制框架，用于明確管理層和其他員工的責任。（二）產(chǎn)品/服務提供者的人工監(jiān)督義務/服務提供者應使用適當?shù)娜藱C解人臉識別的功能和局限性，能夠?qū)ζ溥\行進行適當監(jiān)控，到自動依賴或過度依賴人臉識別系統(tǒng)產(chǎn)生的“自動化偏差”式終止服務。（三）產(chǎn)品/服務提供者的算法日志記錄義務產(chǎn)品/服務提供者應當確保人臉識別系統(tǒng)具有系統(tǒng)運行a時間以及結(jié)束日期和時間）；（b）系統(tǒng)已針對其檢查輸入49人臉識別產(chǎn)業(yè)法律治理研究報告數(shù)據(jù)的參考數(shù)據(jù)庫；（c）搜索導致匹配的輸入數(shù)據(jù)；（d）確定參與結(jié)果驗證的自然人的身份。（四）產(chǎn)品/服務提供者的起草技術(shù)文件的義務產(chǎn)品/服務提供者應確保其系統(tǒng)在投入使用之前符合法提供所有必要信息，以評估其合規(guī)性。四、人臉識別服務使用生態(tài)治理義務：（一）服務使用者的個人信息保護義務技術(shù)方案的，應當推薦使用非生物特征識別技術(shù)方案。服務使用者需要保證在與用戶交互時用戶個人信息權(quán)50人臉識別產(chǎn)業(yè)法律治理研究報告針對意外收集的非注冊用戶人臉信息進行及時刪除或匿名外，應確保人臉信息主體行使個人信息權(quán)利能夠及時響應。5556條的規(guī)定，適應等方面形成個人信息影響評估報告。（二）服務使用者的算法解釋義務Loomis辯訴交易承認了沒有得到主人同意的情況下駕駛摩托車和6年徒刑和5年延期監(jiān)督（ExtendedSupervision）。這是因為在量刑階動議，認為被告人有權(quán)知道被控告的理由，法院依據(jù)的評估對其加以判決侵犯其正當程序權(quán)利36PetitioncertiorarideniedonJune26,2017,case-files/cases/loomis-v-wisconsin/.51人臉識別產(chǎn)業(yè)法律治理研究報告法服務應用者”和“算法技術(shù)提供者”二分架構(gòu)下，開發(fā)系統(tǒng)的Nortpointe公司并不負有解釋算法的義務，而威斯康星懲教署作為決定盧卡斯個人信息使用方式和用不能的后果。服務使用者的解釋義務包括如下方面：1.人臉識別數(shù)據(jù)的解釋義務由相應算法所處理的個人信息所準確界定。在某種意義上，這可視為個人信息保護中已有規(guī)定的延伸——解釋主體需信息變量，解釋主體可靈活決定是否展示。在展示過程中，群體，鼓勵專門設(shè)計符合認知特點的展示方式。2.算法邏輯的解釋義務52人臉識別產(chǎn)業(yè)法律治理研究報告1）實際分析推斷的信息；（2）決策結(jié)果需要在具體場景中界定，包括但不限于診療結(jié)果、信用分數(shù)、信貸決定，等等；（3）“影響”有必要進一步細化。在輸入（個人信息）與輸出（決策結(jié)果）均可排序的場合，應用者可以展示數(shù)字/即可。（4）使用者應選擇用戶友好形式解釋說明。針對個其了解富含不同社會價值的信息類型以何種方式影響輸出，難以準確界定的實用主義解釋的補充。3.算法評估的解釋義務37以及，其它具備自然排序的變量（例如信用評級的分等）。53人臉識別產(chǎn)業(yè)法律治理研究報告否將會導致歧視性或其他不當后果。與之前兩個層次的權(quán)事實解釋”成為這一層面解釋權(quán)的核心。（三）服務使用者的算法備案義務不符合，則有權(quán)要求其改正。《人臉識別管理規(guī)定》第十六條明確規(guī)定了備案義務。其規(guī)定：“在公共場所使用人臉識別技術(shù)，或者存儲超過1萬人人臉信息的人臉識別技術(shù)使用者，應當在30個工作日38沈偉偉：《算法透明性的迷思》，《環(huán)球法律評論》2019年第6期。54人臉識別產(chǎn)業(yè)法律治理研究報告報告；（六）網(wǎng)信部門認為需要提供的其他材料?！保ㄋ模┓帐褂谜叩氖亻T人義務當服務使用者是提供第三方運營提供技術(shù)資源和信息收）應當制定符合2）應利用必供的技術(shù)服務的第三方3）建立相關(guān)的投訴受理和處置機4）配合監(jiān)管機構(gòu)對違反法律法規(guī)的第三方查處理。五、人臉生成合成生態(tài)治理（一）技術(shù)提供者的訓練數(shù)據(jù)來源合法義務訓練數(shù)據(jù)是指用于訓練模型，使其做出正確判斷的55人臉識別產(chǎn)業(yè)法律治理研究報告已標注數(shù)據(jù)方購買、自行收集、使用合成數(shù)據(jù)。提供者的合法義務有不同側(cè)重。第一，從公開數(shù)據(jù)集獲取。用應當在合理限度內(nèi)。第二，從第三方購買。（1）技術(shù)提供者在購買第三方數(shù)據(jù)集前可查看開源數(shù)據(jù)集提供方的公2）法；（3）涉及個人信息的相關(guān)數(shù)據(jù)，技術(shù)提供者要求第三方在傳輸前進行匿名化處理；（4）技術(shù)提供者應對第三方提供的數(shù)據(jù)權(quán)屬文件進行抽查，核查數(shù)據(jù)的原始權(quán)利主體、授權(quán)鏈條、授權(quán)范圍、是否留存違法違規(guī)和可能侵權(quán)內(nèi)容；（5）技術(shù)提供者需遵循與第三方協(xié)議中目的限制的規(guī)定。第三，自行收集。不得竊取或者以其他非法方式收集數(shù)據(jù)，技術(shù)提供者使用爬蟲、Open1）256人臉識別產(chǎn)業(yè)法律治理研究報告避免從已聲明禁止第三方爬取數(shù)據(jù)的網(wǎng)站爬取數(shù)據(jù)；（3）在爬取方式上，不得強行繞過或破壞技術(shù)措施來爬取數(shù)據(jù)、（4）在爬取內(nèi)容上，避免未經(jīng)權(quán)利人授權(quán)，秘密爬取他人數(shù)據(jù)模型進行比較以確保結(jié)果的準確性。1）信息主體同意或者符合法律法規(guī)規(guī)定的其他情形。（2）訓供者應主動刪除標識符、采取匿名化措施。（3）保障個人正、刪除個人數(shù)據(jù)的選項。（4）用以訓練的數(shù)據(jù)不含有侵犯商業(yè)秘密的內(nèi)容。（5）用以訓練的數(shù)據(jù)不含有侵犯知識產(chǎn)權(quán)、肖像權(quán)、隱私權(quán)等他人合法權(quán)益的內(nèi)容。（二）技術(shù)提供者的訓練數(shù)據(jù)質(zhì)量保障義務（1）使用高質(zhì)量訓練、驗證和測試的數(shù)據(jù)集，技術(shù)提57人臉識別產(chǎn)業(yè)法律治理研究報告度等指標進行測試。（2）技術(shù)提供者應保證訓練數(shù)據(jù)的真）標注規(guī)則。為保證內(nèi)容的正確性。（4）防止歧視。在訓練數(shù)據(jù)選擇過程中，技術(shù)提供者應采取措施防止出現(xiàn)種族、民族、信仰、國別、地域、性別