人脸识别带来高效、便利治理的同时，也给个人信息与隐私保护带来了隐忧与风险。近期有媒体报道，一些网络黑产从业者利用电商平台，批量倒卖非法获取的人脸等身份信息和"照片活化"网络工具及教程。报道显示，网络黑市中售卖的"人脸照片"，包含公民个人身份信息一系列敏感数据，这些黑交易不仅加深了人们对个人信息泄露的担忧，更会给人们生命财产带来安全隐患。再加上近期李开复的一句"口误"，顿时又将人脸识别与个人信息完全问题推到了风口浪尖，各界开始就AI人脸识别技术的滥用及如何进行法律规制展开探讨。

　　近年来，不少小区采用人脸识别作为门禁手段，管理者认为可以提高安全性，但也引来不少争议。民法典中是否有相关条款来规制人脸识别这一技术？"我的脸"作为个人信息的一种，能得到有效保护吗？

　　首先，我们来了解一下个人信息规范：

　　第一，何为个人信息？民法典界定了个人信息的定义，明确处理个人信息应遵循的原则和条件。民法典第1034条第2款规定，个人信息是"以电子或者其他方式记录的，能够单独或者与其他信息结合，识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、行踪信息等"。相较于现行法律法规，此定义新增了电子邮箱、健康信息和行踪信息作为个人信息。

　　第二，如何利用个人信息？除界定个人信息的范围，个人信息中的另一核心理念在于个人对自身信息的管控能力，即自决权。民法典构建了自然人与信息处理者之间的基本权利义务框架，明确处理个人信息不承担责任的特定情形，合理平衡保护个人信息与维护公共利益之间的关系。民法典第1035条规定，处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并须符合下列条件：征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外。第1038条规定，未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外。在此基础上赋予个人信息自决权，有利于实现被收集者对其个人信息的控制，避免被不当收集和滥用。

　　第三，我们对个人信息有什么权利？民法典第1037条还赋予自然人依法向信息处理者查阅或复制其个人信息的权利。当出现信息错误时，有权提出异议并请求及时更正。若信息控制者违法掌握其信息，还可要求其及时删除相关信息。总体来看，这些权利有助于克服自然人和信息处理者之间的信息不对等，减少信息错误给当事人造成的不利后果。

　　民法典"人格权编"明确个人信息的保护具有重要意义，使民法与其他部门法律规范得以衔接，甚至有可能给正在酝酿中的个人信息保护法提供一个多功能"接口"，为个人信息多角度保护与利用的实现做了重要铺垫。

　　其次，目前国内有哪些相关政策及标准：

　　1.《信息安全技术个人信息安全规范》

　　近年来，随着互联网应用的普及和大数据产业的发展，确实给生活带来很多便利，与此同时，个人信息安全也面临着严重威胁，个人信息被非法收集、泄露与滥用等。

　　2020年3月6日，国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2020年第1号），全国信息安全标准化技术委员会归口的GB/T 35273-2020《信息安全技术 个人信息安全规范》正式发布，并将于2020年10月1日实施。

　　本标准针对个人信息面临的安全问题，根据《中华人民共和国网络安全法》等相关法律，严格规范个人信息在收集、存储、使用、共享、转让与公开披露等信息处理环节中的相关行为，旨在遏制个人信息非法收集、滥用、泄露等乱象，最大程度的保护个人的合法权益和社会公众利益。

　　本标准适用于规范各类组织的个人信息处理活动，也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。

　　本标准按照GB/T1.1-2009给出的规则起草，代替GB/T35273-2017《信息安全技术 个人信息安全规范》。相比GB/T35273-2017，此标准除了授权同意、账户注销、实现个人信息主体自主意愿的方法等内容的修改外，还新增了多项业务功能的自主选择、用户画像、个性化展示、个人信息汇聚融合、个人信息安全工程、第三方接入管理等相关要求。主要变化如下：

　　1、删除了原有的"不得收集法律法规明令禁止收集的个人信息"的要求(见5.1)；。

　　2、选择同意原则下，新增要求"多项业务功能的自主选择"(见5.3)

　　当产品或服务提供多项需收集个人信息的业务功能时，个人信息控制者不应违背个人信息主体的自主意愿，强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求"。

　　3、新增"关于收集人生物识别信息的要求"：

　　《规范》规定在收集个人生物识别信息前，应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围，以及存储时间等规则，并征得个人信息主体的明示同意。

　　而对于生物识别信息的存储，《规范》也提出了具体的解决措施。

　　1）个人生物识别信息要与个人身份信息分开存储；

　　2）原则上不应存储原始个人生物识别信息，可采取的措施包括但不限于：仅存储个人生别信息的摘要信息；在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能；在使用面部识别特征、 指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。

　　4、在目的明确原则下，新增要求"如产品或服务仅提供一项收集、使用个人信息的业务功能时，个人信息控制者可通过隐私政策的形式，实现向个人信息主体的告知；产品或服务提供多项收集、使用个人信息的业务功能的，除隐私政策外，个人信息控制者宜在实际开始收集特定个人信息时，向个人信息主体提供收集、使用该个人信息的目的、方式和范围，以便个人信息主体在作出具体的授权同意前，能充分考虑对其的具体影响"。

　　5、在选择同意原则下，强调了"隐私政策的主要功能为公开个人信息控制者收集、使用个人信息范围和规则，不应将其视为个人信息主体要求签订的合同"。

　　6、确保安全原则下，新增的要求较多，分别是：

　　1）"将个人生物识别信息的原始信息和摘要分开存储"的技术要求"(见5.4)。

　　2）在信息系统自动决策机制的使用中定期（至少每年一次）开展个人信息安全影响评估，并依评估结果采取有效的保护个人信息主体的措施、向个人信息主体提供针对自动决策结果的申诉渠道，并对自动决策结果进行人工复核。

　　3）明确组织应为个人信息保护负责人和个人信息保护工作机构提供必要的资源，保障其独立履行职责。如采用公布投诉、举报方式等信息并及时受理投诉举报、与监督、管理部门保持沟通，通报或报告个人信息保护和事件处置等情况等。

　　4）要求组织记录的内容包括：所涉及个人信息的类型、数量、来源（例如从个人信息主体直接收集或通过间接获取方式获得）；根据业务功能和授权情况区分个人信息的处理目的、使用场景，以及委托处理、共享、转让、公开披露、是否涉及出境等情况。

　　7、在最少够用的原则下，新增的要求较多，分别是：

　　1）要求了用户个人画像的特征描述不能为"淫秽、色情、赌博、迷信、恐怖、暴力"；业务运营或对外业务合作中使用用户画像不能侵害保护公民、法人和其他组织的合法权益，不能危害国家安全、荣誉和利益。

　　2）除为达到主体授权同意的使用目的所必需外，使用个人信息时应消除明确身份指向性，避免精确定位到特定个人。

　　3）在向主体推送新闻信息服务的过程中使用个性化展示时应：显著区分个性化推送服务，如标明"个性化展示"或"定推"等字样，为主体提供简单直观的退出或关闭个性化展示模式的选项。

　　4）电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的，应当同时向该消费者提供不针对其个人特征的选项。

　　5）在向主体提供业务功能的过程中，如使用个性化展示时，建立个人信息主体对个性化展示所依赖的个人信息（如标签、画像维度等）的自主控制机制，保障个人信息主体调控个性化展示相关程度的能力。

　　6）当个人信息主体选择退出个性化展示模式时，应向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。

　　8、在公开透明原则的原则下，新增要求应向主体提供查询方法，能让主体知晓持有的个人信息的类型；上述个人信息的来源、所用于的目的；已经获得上述个人信息的第三方身份或类型；宜直接在产品或服务提供的功能界面中（例如应用程序可设置专门的选项、功能、界面等）设置相应的机制，便于个人信息主体在线行使其访问、更正、删除、撤回授权同意、注销账户等权利。

　　9、新增的其他要求包括：

　　1）应承担第三方接入管理

　　2）收集年满14周岁未成年人的个人信息前，应征得未成年人或其监护人的明示同意；不满14周岁的，应征得其监护人的明示同意。

　　关于企业的合规说明

　　(一) 关于个人信息优化

　　1. 建议企业根据现有业务中涉及个人生物识别信息收集的项目，在启动个人生物识别信息采集功能之前，设置个人生物识别信息采集声明，向用户告知采集的目的、方式和范围，并取得用户的明示同意；如业务中需要重复或多次采集个人生物识别信息的，应每次单独向用户进行告知，并取得用户的明示同意；

　　2. 建议企业在实践中可采取如下相应措施，确保原则上不存储原始个人生物识别信息：仅存储个人生物识别信息的摘要信息、在采集终端直接使用个人生物识别信息实现身份识别、认证等功能、在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像等。

　　3. 建议企业在实践中确保原则上不共享、转让个人生物识别信息，根据现有业务中涉及个人生物识别信息，如存在确需共享、转让个人生物识别信息的项目，在进行个人生物识别信息共享、转让之前，应事先对个人信息安全影响进行评估，设置个人生物识别信息共享或转让声明，向用户告知采集或共享、转让的目的、方式和范围，并取得用户的明示同意；如业务中需要重复或多次共享、转让个人生物识别信息的，应每次单独向用户进行告知，并取得用户的明示同意。

　　(二) 关于用户对个人信息的管理能力

　　1. 建议企业通过不同形式向用户告知存在需收集个人信息的业务功能及需要收集的个人信息类型和用户拒绝提供将造成的影响，确保能够获取用户的授权同意，保障用户的自主意愿和选择权；同时保障关闭或重启相应业务功能的便捷性；

　　2. 设置简便易操作的注销账户方法，不设置不合理的条件或提出额外要求增加用户的义务，在承诺时限内及时响应用户的注销请求并完成核查和处理，确保用户注销后的个人信息及时删除或做匿名化处理；

　　3. 若注销某个通用账户，会导致其他产品或服务的基本功能无法实现或者质量下降的，应向用户进行详细说明；

　　4. 在个人信息收集环节对法律法规规定需要留存的数据进行筛查，以便在用户注销账户并对完成个人信息的删除或匿名化处理之后，对法律规定需要留存的数据妥善保管，并确保其不被再次用于日常业务活动。

　　(三) 关于个人信息汇聚融合

　　建议企业通过不同形式告知用户关于汇聚融合不同业务的个人信息的目的、方式和范围，在超出原有授权同意范围使用个人信息时，再次征得用户的明示同意，并根据要求开展个人信息安全影响评估以及采取个人信息保护措施。

　　(四) 关于个人信息商业化

　　1. 建议企业在运营或对外业务合作中对用户画像的使用进行严格的核查和限制，如核查业务中是否存在使用大数据分析技术等对个人信息进行分析，以形成特征标签、用户画像的情形。使用用户画像时应消除明确身份指向性，避免用户被精确定位；

　　2. 建议企业在用户提供个性化展示功能与内容时对相应功能和内容进行显著标识；同时保障用户退出或关闭个性化展示服务的权利；建立删除或匿名化定向推送活动中基于个人信息的选项。

　　(五) 关于第三方接入管理

　　建议企业对自身产品或服务中的第三方产品或服务进行核查，及时删除或停止接入不必要或存在隐秘收集或滥用个人信息以及存在信息安全隐患的第三方产品或服务；若必须接入第三方产品或服务，应当向用户明确标识该产品或服务由第三方提供并详细披露第三方个人信息处理活动的具体情况。

　　2. 《信息安全技术 远程人脸识别系统技术要求》

　　11月1日，国家标准《信息安全技术远程人脸识别系统技术要求》将正式实施。该标准将推动我国人脸识别技术产业化发展，进一步丰富人脸识别技术体系和应用场景。

　　据了解，GB/T38671-2020《信息安全技术 远程人脸识别系统技术要求》由国家市场监督管理总局、国家标准化管理委员会于2020年4月28日正式发布。该标准由全国信息安全标准化技术委员会（SAC/TC260）归口管理，由公安部第一研究所牵头编制。

　　该标准是信息安全鉴别与授权标准体系及生物特征识别信息安全标准体系架构中重要的基础标准。标准提出了以人脸识别为手段、以密码技术为保障的人脸识别系统，在远程可信环境中为信息系统提供用户身份标识与鉴别服务的安全框架，重点解决了前端可信环境、活体检测、服务端人脸库安全等关键环节的标准化问题。

　　标准对远程人脸识别系统的功能、性能及安全保障按照基本级、增强级分别提出了分等级的技术要求，可支撑人脸识别系统产品开发、测试和应用。

　　该标准是全国首个使用人脸识别技术进行身份鉴别的网络安全国家标准。从满足个人信息安全保护与信息安全总体要求出发，充分考虑当前人脸别系统创新发展需求、用户接受度和技术成熟度现状，结合我国当前的信息安全技术的发展水平，深入分析ISO、ITU、NIST、FIDO等国外标准化组织制定的生物特征识别相关技术标准内容，使利用人脸识别系统进行身份验证有标准可循。

　　则规定了开展收集、保存、使用、转让等个人信息处理活动应遵循的原则，包括权责一致原则、目的明确原则、选择同意原则、最少够用原则、确保安全原则等。目前涉及个人信息保护的规范普遍存在三个问题：一是缺乏专门的个人信息保护法，立法碎片化现象突出；二是对个人信息保护的利益衡量不清晰，多为原则性规定，缺乏可操作的具体规则；三是位阶偏低，对人脸识别技术的发展起不到良好的规范作用。