-
中国行为法学会第六届四次理事会在京召开
-
沉痛悼念马宝善同志
-
中国行为法学会医疗健康法治研究专业委员会战略合作研讨会在京召开
-
学会动态 | 第二届“澜沧江—湄公河次区域”国际法治论坛在云南警官学院举行
-
[完整版|图文]《中国法治实施报告(2022)》隆重发布
-
《企业商事刑事风险防范指引丛书》 启动交流会在京召开
-
中国行为法学会侦查学专业委员会第十四届全国侦查学术研讨会暨第七届现代侦查技战法论坛在浙江绍兴召开
-
《民营经济促进法(草案)》征求意见座谈会在长沙举行
-
为人民抒怀、为时代放歌 《人民就是江山》——大型公益原创歌曲交响 音乐会在京举办
时政要闻
洪延青:人脸识别的双轨治理与通向智能技术的治理适配框架
人脸识别的双轨治理与通向智能技术的治理适配框架 洪延青 (北京理工大学法学院教授)
[摘 要] 人脸识别技术在社会治理与商业领域的广泛应用,带来了隐私泄露、算法偏见和结构性风险等复杂的治理挑战。2025年公布实施的《人脸识别技术应用安全管理办法》虽着重强化了个人信息保护,但其监管逻辑仍过于集中于数据合规层面,未能系统性回应算法高风险及其社会影响。为全面应对包括人脸识别在内的智能技术风险,有必要统筹结合“个体权利导向”与“系统风险导向”两种治理路径,厘清两种路径在监管对象与责任主体、风险介入时点、合规工具与评估指标、执法逻辑与组织架构、公众权利与救济渠道、规则适应性与动态更新机制六个维度的区分及互补关系。同时,还需围绕技术自主性、社会外部性与可解释性三个关键维度对技术风险进行精准刻画,以确保治理路径的适配性和有效性,从而为中国智能技术治理提供一套既保障个体权利,又维护系统安全的可操作治理框架。 [关键词] 人脸识别;个人信息保护;个体权利导向;系统风险导向 近年来,人脸识别技术(Facial Recognition Technology,FRT)以其在身份鉴别、公共安全和商业营销等方面的独特优势,迅速成为数字社会的核心技术设施之一。然而,随着技术的深入渗透,关于人脸识别技术导致“全场景监控”和“全维度监控”的忧虑也在加剧;除了常见的个人隐私风险,算法偏见、实时识别错误、社会排斥效应等高复杂度问题更是层出不穷。在此背景下,2025年6月1日生效的《人脸识别技术应用安全管理办法》(以下简称《办法》),试图为人脸识别技术的应用建立安全规范。然而,《办法》能否完整且有效地回应人脸识别技术所带来的关键风险?本文拟以监管逻辑视角对此问题展开分析评价。 本文批判性提出,《办法》的监管逻辑依然停留在个人信息保护的传统路径,重心落在数据收集与使用的合规性上,却未能将算法准确性、算法偏见、社会结构性风险等系统性问题纳入监管体系,导致法律规制与现实风险之间出现错位。为揭示这一结构性缺陷的成因,本文将人脸识别技术的监管实践置于“个体权利导向”与“系统风险导向”两大路径下加以对照,围绕监管对象与责任链条、介入时点与风险刻画、合规工具与衡量指标、执法逻辑与组织架构、公众权利与救济路径以及适应性与动态更新六个维度,系统辨析二者的区分和耦合关系。进一步地,本文提出“技术特性与治理路径适配”框架,以技术自主性、社会外部性、可解释性为三重坐标,对包括人脸识别在内的智能技术进行风险识别和刻画,并据此在两种治理路径之间进行动态匹配,合理配置准入、评估、监督与救济等工具,从而在权利底线与系统安全之间建立可操作的衔接机制。本文旨在揭示我国现行人脸识别技术治理的盲点,进而为新兴智能技术的制度化、可验证与可持续治理提供一套可复制的分析路径与实践进路。
一、人脸识别技术的两类监管实践 (一)个人信息保护 在个人信息保护这一监管实践中,人脸识别技术被视作对公民个人信息权益和隐私权的潜在威胁,因而侧重于通过数据保护法律来加以规范。其核心理念在于确保个人对自身生物特征数据的控制权,具体表现为严格的数据保护规则,例如,信息主体的明示同意、数据收集的目的限定、最小化原则及数据安全存储等。欧盟《通用数据保护条例》(GDPR)即采取此路径,将用于识别自然人的生物特征数据定义为敏感数据,原则上禁止其处理,除非满足明确的例外情形(如明示同意或法律明确授权)。 实践中,此路径已经在多个司法案例和国家立法中得到具体体现。例如,英国的“爱德华·布里奇斯诉南威尔士警察案 (Ed Bridges v.CCSWP)”(以下简称“布里奇斯案”)中,上诉法院认定警方在公共场所部署人脸识别技术侵犯了个人隐私与数据保护权,明确指出该技术的部署缺乏法律授权、算法存在偏见且未有效进行隐私影响评估(DPIA)。此外,美国伊利诺伊州早在2008年通过《生物识别信息隐私法》(BIPA),规定企业在收集人脸或其他生物识别数据前必须获得用户书面同意,并明确数据用途,否则将承担法律责任。联邦层面的《商业人脸识别隐私法案》虽然尚未通过,但各州及城市(如旧金山、波士顿)已相继采取行动,立法禁止或严格限制公共场所的生物识别技术使用,以保障个体自由和隐私权益。这些实践显示,个人信息保护路径的优势在于法律原则清晰,程序救济完善,适合处理个体层面的隐私风险。 (二)人工智能风险治理 与上述个人信息保护不同,人工智能风险治理将人脸识别技术置于更广泛的社会技术系统视角下考量,从技术特性、系统风险和社会影响出发实施全方位监管。此类实践不仅关注个体的信息保护,更关注算法运行、决策过程与外部性风险,如算法歧视、大规模误识别、持续监控对公共自由的影响,以及技术集中可能造成的社会权力失衡等系统性问题。具体而言,此路径通常借助风险分级的监管策略,对人工智能系统进行风险的分类分级,对特定类别和等级的人工智能系统则设置严格的准入审查、独立第三方风险评估、运行期风险监测、人类监督机制等制度安排。 欧盟的《人工智能法》是人工智能风险治理的代表性探索。该法通过风险分级将人工智能系统分为不可接受风险、高风险、有限和最低风险四级,并对高风险系统设定严格的合规义务。在该法框架下,人脸识别属于生物识别系统。该法将远程生物识别系统(remote biometric identification,RBI)列为高风险人工智能(但纯粹用于1:1身份验证不在此列)。执法机关在公共场所的“实时”远程生物识别系统属于原则性禁止;仅在寻找特定受害或失踪人员、预防特定且重大且迫在眉睫的威胁、定位或识别涉嫌特定严重犯罪的个人三类目的下,且经事先司法或独立行政授权并满足时间、地域、人群范围严格限缩等条件,方可例外使用。此外,基于生物识别(如人脸识别)对敏感属性(如种族、宗教、性取向、工会成员等)进行分类、推断,以及在工作场所和教育场景使用情绪识别(emotion recognition)属于被禁止的做法;在禁用之外的场景,生物识别分类与情绪识别作为高风险人工智能纳入强监管义务。 在国际层面,各国和组织也日益强调对高风险人工智能的前瞻性监管。美国尽管尚未制定联邦人工智能法案,但其国家标准与技术研究院(NIST)发布了《人工智能风险管理框架》(AI RMF),提供自愿性指引,指导组织从策划、开发到部署各环节识别和降低人工智能系统对个人、组织、社会可能造成的风险。国家标准与技术研究院特别通过人脸识别算法评测(FRVT)揭示了许多商用算法存在显著的种族和性别偏差。这些技术发现直接指向算法偏见这一系统性风险,促使美国一些城市和执法机构暂停或限制人脸识别的使用,并推动制定算法问责立法。 在民间领域,英国阿达·洛芙莱斯研究所(Ada Lovelace Institute)多次呼吁制定专门规制生物识别技术的立法,特别建议在公共场所严格限制或暂停情绪识别等推断性技术的使用。联合国人权事务高级专员办事处(OHCHR)亦建议,各国对可能严重损害人权的人工智能应用(如公共空间实时监控、生物特征分类与社会评分系统)采取全球暂停措施,直到能确保技术不侵犯人权为止。 综合而言,个人信息保护和人工智能风险治理分别代表了两种监管实践:前者以个体信息权益为中心,将人脸识别等视作数据处理活动加以约束;后者以系统风险为导向,将其作为“社会-技术”系统,从开发到应用全过程进行干预。这两种实践并非截然对立,某种程度上是互补关系。例如,《通用数据保护条例》与《人工智能法》在欧盟被定位为并行机制:前者保障数据权利底线,而后者填补其在算法风险方面的空白。然而,在不同国家或地区,由于法制背景不同,往往会呈现侧重其一的监管模式。下文将通过比较中国《办法》与欧美规则的具体条款,检视这两种实践的差异。
通知公告
- 暂无相关记录!