人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告中國人工智能產(chǎn)業(yè)發(fā)展聯(lián)盟安全治理委員會(huì)編寫單位對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)數(shù)字經(jīng)濟(jì)與法律創(chuàng)新研究中心中國信息通信研究院人工智能研究所百度公司前言人臉識(shí)別技術(shù)是對(duì)靜態(tài)或視頻中的人臉圖像進(jìn)行特征術(shù)以數(shù)據(jù)為體、以人工智能算法為用、以人類自身為對(duì)象，然成型，而且為我國數(shù)字經(jīng)濟(jì)與社會(huì)發(fā)展帶來了新機(jī)遇。公共利益，成為人臉識(shí)別產(chǎn)業(yè)必須面對(duì)的重大議題。息作為敏感個(gè)人信息予以嚴(yán)格保護(hù)，并在第62條進(jìn)一步強(qiáng)理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律2023年8月8定應(yīng)用人臉識(shí)別技術(shù)的安全管理要求，采取了不同參與者、多種場景和細(xì)化技術(shù)標(biāo)準(zhǔn)相呼應(yīng)的生態(tài)治理方法。以產(chǎn)業(yè)生態(tài)參與各方的角色分工為切入，將主體類型化為：//識(shí)別信息的重要應(yīng)用場景之一，鑒于我國對(duì)深度合成算法、該場景下的人臉識(shí)別治理問題。維一體的治理架構(gòu)，希冀有裨于未來的立法、司法與執(zhí)法，并為我國人臉識(shí)別產(chǎn)業(yè)的行穩(wěn)致遠(yuǎn)貢獻(xiàn)綿薄之力。目錄第一章人臉識(shí)別產(chǎn)業(yè)的生態(tài)圖譜1一、人臉識(shí)別技術(shù)生態(tài)2（一）技術(shù)提供者2（二）產(chǎn)業(yè)實(shí)踐3（三）人臉識(shí)別技術(shù)價(jià)值4二、人臉識(shí)別產(chǎn)品/服務(wù)生態(tài)5（一）產(chǎn)品/服務(wù)提供者5（二）產(chǎn)業(yè)實(shí)踐5（三）人臉識(shí)別產(chǎn)品價(jià)值7三、人臉識(shí)別服務(wù)使用生態(tài)8（一）服務(wù)使用者8（二）產(chǎn)業(yè)實(shí)踐9（三）人臉識(shí)別服務(wù)使用價(jià)值9三、人臉生成合成生態(tài)10第二章人臉識(shí)別產(chǎn)業(yè)的治理經(jīng)驗(yàn)一、美國人臉識(shí)別的治理經(jīng)驗(yàn)（一）美國人臉識(shí)別治理的立法（二）美國人臉識(shí)別治理的典型案例二、歐盟人臉識(shí)別的治理經(jīng)驗(yàn)（一）歐盟人臉識(shí)別治理的立法（二）歐盟人臉識(shí)別治理的典型案例三、中國人臉識(shí)別的治理經(jīng)驗(yàn)（一）中國人臉識(shí)別治理的立法（二）中國人臉識(shí)別治理的典型案例第三章人臉識(shí)別產(chǎn)業(yè)法律治理圖景一、人臉識(shí)別產(chǎn)業(yè)生態(tài)治理的基本原理二、人臉識(shí)別技術(shù)生態(tài)治理（一）技術(shù)提供者的數(shù)據(jù)安全義務(wù)（二）技術(shù)提供者的算法可信義務(wù)三、人臉識(shí)別產(chǎn)品/服務(wù)生態(tài)治理（一）產(chǎn)品/服務(wù)提供者的質(zhì)量管理義務(wù)（二）產(chǎn)品/服務(wù)提供者的人工監(jiān)督義務(wù)（三）產(chǎn)品/服務(wù)提供者的算法日志記錄義務(wù)（四）產(chǎn)品/服務(wù)提供者的起草技術(shù)文件的義務(wù)四、人臉識(shí)別服務(wù)使用生態(tài)治理（一）服務(wù)使用者的個(gè)人信息保護(hù)義務(wù)（二）服務(wù)使用者的算法解釋義務(wù)（三）服務(wù)使用者的算法備案義務(wù)（四）服務(wù)使用者的守門人義務(wù)五、人臉生成合成生態(tài)治理（一）技術(shù)提供者的訓(xùn)練數(shù)據(jù)來源合法義務(wù)（二）技術(shù)提供者的訓(xùn)練數(shù)據(jù)質(zhì)量保障義務(wù)（三）技術(shù)提供者的數(shù)據(jù)安全義務(wù)（四）技術(shù)提供者的算法義務(wù)（五）產(chǎn)品/服務(wù)提供者的內(nèi)容安全義務(wù)（六）產(chǎn)品/服務(wù)提供者的內(nèi)容標(biāo)識(shí)義務(wù)（七）產(chǎn)品/服務(wù)提供者的用戶管理義務(wù)（八）服務(wù)應(yīng)用者的正當(dāng)使用義務(wù)第四章人臉識(shí)別產(chǎn)業(yè)最佳實(shí)踐案例一：以權(quán)威數(shù)據(jù)源為基礎(chǔ)進(jìn)行人臉識(shí)別案例二：以最小必要原則為基礎(chǔ)進(jìn)行人臉識(shí)別案例三：回應(yīng)反詐需求進(jìn)行人臉識(shí)別案例四：以算法治理為基礎(chǔ)進(jìn)行人臉識(shí)別案例五：以個(gè)人信息保護(hù)為基礎(chǔ)進(jìn)行人臉識(shí)別案例六：以網(wǎng)絡(luò)安全為基礎(chǔ)進(jìn)行人臉識(shí)別案例七：以本地部署為基礎(chǔ)進(jìn)行人臉識(shí)別附：人臉識(shí)別產(chǎn)業(yè)治理倡議人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告第一章人臉識(shí)別產(chǎn)業(yè)的生態(tài)圖譜FaceRecognition技術(shù)所具有的不可復(fù)制性、非接觸性、可擴(kuò)展性、快速性，使之成為多種生物識(shí)別技術(shù)中的明珠。2014發(fā)展和人們?nèi)粘Ｉ顜砹诵聶C(jī)遇。圖1：人臉識(shí)別產(chǎn)業(yè)發(fā)展數(shù)據(jù)顯示，2021年中國人臉識(shí)別市場規(guī)模為56億元，預(yù)計(jì)到2024年突破100億元；年均保持23%增速。其中，人臉識(shí)別應(yīng)用最多的是安防占54%16%1人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告后分別是娛樂10%、醫(yī)療7%、電商零售6%、出行3%、政務(wù)、其他2%。系統(tǒng)?；诓煌膮⑴c主體，其包括了人臉識(shí)別技術(shù)生態(tài)、人臉識(shí)別產(chǎn)品/服務(wù)生態(tài)和人臉識(shí)別服務(wù)應(yīng)用生態(tài)。一、人臉識(shí)別技術(shù)生態(tài)（一）技術(shù)提供者人臉識(shí)別產(chǎn)業(yè)的技術(shù)提供者是提供包含視頻人臉識(shí)別、1參見智慧芽&羅思咨詢：《人臉識(shí)別行業(yè)研究報(bào)告》，2021年。2人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告技、曠視科技、格靈深瞳等。如何提取穩(wěn)定和有效的特征是識(shí)別系統(tǒng)成敗的關(guān)鍵別模塊根據(jù)特征提取模塊輸出的特征向量與數(shù)據(jù)庫中存儲(chǔ)一人?；铙w檢測主要是驗(yàn)證用戶是否為真實(shí)活體本人操作，通過眨眼、張嘴、搖頭或點(diǎn)頭等動(dòng)作進(jìn)行判別。（二）產(chǎn)業(yè)實(shí)踐百度智能云依托領(lǐng)先的深度學(xué)習(xí)人工智能前沿技術(shù)框2吳玲：《人臉識(shí)別中的圖像預(yù)處理技術(shù)》，載《中南論壇》2010年第4期，第頁。

3李懷宇等人：《基于人臉識(shí)別的智能立體車庫控制系統(tǒng)設(shè)計(jì)》，載《工業(yè)控制計(jì)算機(jī)》2022年第7期，

第1-3頁。42022年第569-71頁。3人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告創(chuàng)新發(fā)展，同時(shí)采用多項(xiàng)安全技術(shù)，包括領(lǐng)域的算法技依托于原創(chuàng)的計(jì)算機(jī)視覺技術(shù)以及深度學(xué)習(xí)底層算法平臺(tái)，業(yè)，為不同領(lǐng)域提供產(chǎn)品與解決方案，包括SenseID，SenseUnitySensePassSenesKeeperSenesNebulaSenesRadar業(yè)領(lǐng)域。（三）人臉識(shí)別技術(shù)價(jià)值核心算法，并使識(shí)別結(jié)果具有實(shí)用化的識(shí)別率和識(shí)別速度，5參見前注1。4人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告動(dòng)”保護(hù)。二、人臉識(shí)別產(chǎn)品/服務(wù)生態(tài)（一）產(chǎn)品/服務(wù)提供者產(chǎn)品/產(chǎn)品及服務(wù)包括離線SDK、在線API、人臉識(shí)別一體機(jī)等。供支付場景下的1對(duì)1的人臉識(shí)別移動(dòng)終端；在金融領(lǐng)域，服務(wù)提供者提供技、海康威視、云從科技、華為、滴滴等。（二）產(chǎn)業(yè)實(shí)踐人臉識(shí)別產(chǎn)品提供者主要為研發(fā)人工智能產(chǎn)品的科技5人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告場景下的不同需求。以百度為例，人臉識(shí)別技術(shù)靈活應(yīng)用于金融、泛安防、安全生產(chǎn)等行業(yè)場景，滿足身份驗(yàn)證和反欺詐、通行考勤、能應(yīng)用平臺(tái)綜合物聯(lián)網(wǎng)+用于企業(yè)園區(qū)及大型廠區(qū)，預(yù)警安全風(fēng)險(xiǎn)。終端與系統(tǒng)性解決方案。例如，海康威視提供包括云計(jì)算、球最大的人臉識(shí)別系統(tǒng)。6參見前注。

7參見前注1。6人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告RFID判斷商品，在保障用戶體驗(yàn)的同時(shí)有效控制貨損率。臉認(rèn)證系統(tǒng)。例如，依圖自主研發(fā)雙目活體檢測認(rèn)證系統(tǒng)，現(xiàn)已應(yīng)用于多家銀行的機(jī)。頭條等地。（內(nèi)容來自調(diào)研）（三）人臉識(shí)別產(chǎn)品價(jià)值作為人臉識(shí)別系統(tǒng)與其他系統(tǒng)、設(shè)備的集成者，產(chǎn)品/8參見前注1。9參見依圖官網(wǎng)：7人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告安防控體系建設(shè)的科技含量。從技術(shù)的發(fā)展角度來看，技術(shù)產(chǎn)品化是實(shí)現(xiàn)技術(shù)價(jià)值、面向自然人提供涉及用戶個(gè)人信息等具有敏感性的服務(wù)時(shí)，的發(fā)生。三、人臉識(shí)別服務(wù)使用生態(tài)（一）服務(wù)使用者服務(wù)使用者是指將人臉識(shí)別技術(shù)實(shí)際應(yīng)用于生活場景能開鎖產(chǎn)品，提高產(chǎn)品的智能性。8人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告（二）產(chǎn)業(yè)實(shí)踐人臉識(shí)別服務(wù)使用者主要按照?qǐng)鼍靶枨箝_展產(chǎn)業(yè)實(shí)踐，90%行以前瞻性、系統(tǒng)性、安全性為指導(dǎo)，進(jìn)行頂層架構(gòu)設(shè)計(jì)，務(wù)，以兼顧不同場景和部署環(huán)境需求。微眾銀行自主研發(fā)APP行人臉識(shí)別系統(tǒng)會(huì)作為前置安全保障的步驟進(jìn)行服務(wù)調(diào)用作用戶身份的真實(shí)性。（三）人臉識(shí)別服務(wù)使用價(jià)值產(chǎn)業(yè)化進(jìn)程等方面發(fā)揮了不可或缺的作用。理設(shè)計(jì)，貼合實(shí)際需要。10參見中國工商銀行金融科技研究院：《商業(yè)銀行生物識(shí)別技術(shù)應(yīng)用實(shí)踐及趨勢(shì)分析》，2022年9月。9人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告四、人臉生成合成生態(tài)生成式在人臉生成合成領(lǐng)域的應(yīng)用可以分為兩大類臉合成，針對(duì)已有人臉進(jìn)行修改，包括：1.人臉身份合成，更改圖像或視頻中人物的身份；2.人臉動(dòng)作合成，改變?nèi)宋镌械拿娌縿?dòng)作；3.人臉屬性合成，對(duì)原始人臉的某些屬性進(jìn)行編輯。人或廣告角色，可以降低廣告成本和侵犯肖像權(quán)的風(fēng)險(xiǎn)等；在醫(yī)療領(lǐng)域，生成與真實(shí)影像無異的醫(yī)學(xué)圖像來訓(xùn)練系人臉生成合成技術(shù)主要用于練等。人臉生成合成生態(tài)包括三類主體：技術(shù)提供者、產(chǎn)品/大模型技術(shù)提供者。它們通過受控API、開源等方式輸出大OpenAIStabilityAI、GoogleMeta10人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告/產(chǎn)品/服務(wù)提供者即提供生成式應(yīng)用的服務(wù)商，如百度大RealOasisDeepfake、FaceSwapZAOMidjouneyDALL-E11人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告第二章人臉識(shí)別產(chǎn)業(yè)的治理經(jīng)驗(yàn)一、美國人臉識(shí)別的治理經(jīng)驗(yàn)（一）美國人臉識(shí)別治理的立法美國在人臉信息保護(hù)上采用的是通過專項(xiàng)立法進(jìn)行保律提案，但目前還無統(tǒng)一法律規(guī)范人臉信息的收集和使用。IllinoisBiometricInformationPrivacyAct國境內(nèi)第一部規(guī)范生物識(shí)別信息的法律，并且由此催生Facebook尼亞州接連頒布的《加利福尼亞州消費(fèi)者隱私法》(TheCaliforniaConsumerPrivacyAct隱私權(quán)利法案》（CaliforniaPrivacyRightsAct，以下簡稱CPRA”）同樣也影響深遠(yuǎn)。限制處理人臉信息為核心，給予數(shù)據(jù)生命周期的強(qiáng)化保護(hù)。12人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告信息披露、外部問責(zé)和監(jiān)督機(jī)制。第三，在治理人臉識(shí)別技術(shù)時(shí)避免將算法偏見、自動(dòng)化決策負(fù)面影響納入考量。文件名稱內(nèi)容簡介本法案第四節(jié)規(guī)定禁止政府機(jī)構(gòu)使用人臉識(shí)別技術(shù)。美國政府機(jī)構(gòu)不得安裝任何與人臉識(shí)別技術(shù)相連接的攝像機(jī)，不得在未經(jīng)授權(quán)的情況下獲取或使用通過人臉識(shí)別技術(shù)獲得的個(gè)人信息，不得在沒有逮捕令的情況下使用人臉識(shí)別技術(shù)來識(shí)別特定個(gè)人。第五節(jié)提供了人臉識(shí)別技術(shù)侵害權(quán)利的司法救濟(jì)。任何人如果認(rèn)為美國政府機(jī)構(gòu)違反規(guī)定使用人臉識(shí)別技術(shù)使自己遭受侵害的，均可向相應(yīng)的美國地方《道德使用人臉識(shí)別法EthicalUseofFacialRecognitionAct）（2020.2.12）法院提起民事訴訟，以獲取禁止令或者宣告性救濟(jì)。1未經(jīng)許可的情況下，人臉識(shí)別技術(shù)是否可以在私人或情形和限制是什么，個(gè)人對(duì)于其數(shù)據(jù)所享有的權(quán)利是34的合理期望，應(yīng)采用何種規(guī)則來控制通過人臉識(shí)別技5人8人應(yīng)享有哪些與人臉識(shí)別技術(shù)所產(chǎn)生的數(shù)據(jù)及他們肖像的使用相關(guān)的權(quán)利?！秶疑镒R(shí)別信息隱私法案》(NationalBiometricInformationPrivacyActof2020)(2020.08.03)以為藍(lán)本，規(guī)范生物識(shí)別信息的收集、保a貿(mào)易獲取個(gè)人或客戶的生物識(shí)別信息，除非實(shí)體提供服務(wù)或其他有效商業(yè)用途，以書面形式告知并獲得書面許可（不得與其他同意，包括就業(yè)協(xié)議相結(jié)合）；b的方式存儲(chǔ)、傳輸和保護(hù)生物識(shí)別信息等?！渡虡I(yè)人臉識(shí)別隱私法法案主要規(guī)范商業(yè)使用人臉識(shí)別技術(shù)，要求在使用前獲得個(gè)人的同意，在未經(jīng)同意情況下禁止將人臉(CommercialFacial識(shí)別數(shù)據(jù)共享給非關(guān)聯(lián)第三方。具體內(nèi)容包括：一是RecognitionPrivacyAct要求收集人臉識(shí)別數(shù)據(jù)獲得明確同意；二是對(duì)人臉識(shí)of2019)別數(shù)據(jù)的處理提出限制性要求：（a）原則上禁止使11例如，加州法案規(guī)定企業(yè)應(yīng)保存內(nèi)外部審計(jì)機(jī)構(gòu)就生物識(shí)別系統(tǒng)的安全性、隱私性作出的審計(jì)記錄，審計(jì)測試與測試數(shù)據(jù)庫須經(jīng)政府部門批準(zhǔn)，定期將審計(jì)結(jié)果向社會(huì)公示。同時(shí)，亦注重外部問責(zé)．針對(duì)企業(yè)

采用的生物識(shí)別系統(tǒng)進(jìn)行年度外部審計(jì)，就收集數(shù)據(jù)的期限是否合理、精確度是否達(dá)標(biāo)、是否對(duì)個(gè)人產(chǎn)生

不利的歧視性影響開展審計(jì)問責(zé)。12例如，《商用人臉識(shí)別隱私法草案》中規(guī)定禁止使用人臉識(shí)別技術(shù)對(duì)用戶進(jìn)行歧視化對(duì)待。13人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告(2019.03.14)用該技術(shù)收集人臉識(shí)別數(shù)據(jù)，除非獲得明確同意并提供通知；禁止歧視、更改使用目的及未經(jīng)明確同意與非附屬第三方（anunaffiliatedthirdparty）共享人臉識(shí)別數(shù)據(jù)，（）若對(duì)某一服務(wù)而言該技術(shù)的使用非必需的，不可因終端用戶同意放棄隱私權(quán)服務(wù)或沒有提出明確同意而終止或拒絕提供服務(wù)；三是明確可使用人臉識(shí)別技術(shù)的例外情形；四是要求對(duì)人臉識(shí)別技術(shù)的準(zhǔn)確性進(jìn)行獨(dú)立第三方測試。法案旨在限制聯(lián)邦調(diào)查局、移民與海關(guān)執(zhí)法局等機(jī)構(gòu)通過人臉識(shí)別技術(shù)開展持續(xù)監(jiān)視，持續(xù)監(jiān)視是指利用人臉識(shí)別技術(shù)在公共場所跟蹤被識(shí)別個(gè)人的身體運(yùn)動(dòng)超過72小時(shí)，無論是實(shí)時(shí)的還是使用該技術(shù)進(jìn)行歷史記錄，明確只有在支持執(zhí)法機(jī)構(gòu)的活動(dòng)中，取《人臉識(shí)別技術(shù)授權(quán)法得法院命令等情況下才能將人臉識(shí)別技術(shù)用于持續(xù)監(jiān)（FacialRecognition此外，持續(xù)監(jiān)視獲取的證據(jù)的使用具有限制，若Act）信息是非法獲得的、授權(quán)獲取信息的法院發(fā)出命令的（）理由不充分、與法院命令授權(quán)使用的目的不相符等情況下不得在訴訟中申請(qǐng)使用。最后，政府機(jī)構(gòu)要對(duì)使用人臉識(shí)別技術(shù)得出的結(jié)NIST）協(xié)商建立人臉識(shí)別系統(tǒng)測試程序，定期對(duì)系統(tǒng)性能進(jìn)行獨(dú)立測試。通過外商投資安全審查、出口管制等手段對(duì)人工智能關(guān)鍵技術(shù)、敏感個(gè)人數(shù)據(jù)等采取相關(guān)跨境限制措《2018年外國投資風(fēng)險(xiǎn)審查現(xiàn)代化法案》1.直接或間接收集或持有美國居民敏感個(gè)人數(shù)據(jù)《關(guān)于外國人在美國進(jìn)的美國企業(yè)屬于敏感行業(yè)美國企業(yè)（行特定投資的規(guī)定》Business《出口管制條例》2.外國投資者針對(duì)敏感行業(yè)美國企業(yè)的非控制權(quán)投資交易可能落入CFIUS報(bào)的情形。美國馬里蘭州眾議員Lieu2022部識(shí)別法案》。該法案包含規(guī)范面部識(shí)別技術(shù)在公共和私營部門的必要使用的條款。它還規(guī)定了透明度要求、年度評(píng)估和圍繞執(zhí)法部門使用情況的報(bào)告。進(jìn)行嚴(yán)格限制和2022年面部識(shí)別法禁止：案》（提案）1.將執(zhí)法部門使用人臉識(shí)別技術(shù)的情況限制在獲得搜查令的情況下，搜查令應(yīng)說明某人可能犯下嚴(yán)重暴力重罪的可能原因。2.禁止執(zhí)法部門使用來記錄個(gè)人如何表達(dá)憲法所保障的權(quán)利，如合法抗議。3.禁止將匹配作為確定搜查、逮捕或其他14人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告執(zhí)法行動(dòng)的合理理由的唯一依據(jù)。4.禁止執(zhí)法部門使用來執(zhí)行移民法。5.禁止將與包含非法獲得的信息的數(shù)據(jù)庫以及人體攝像頭、儀表盤攝像頭和飛機(jī)攝像頭一起使6.禁止使用追蹤具有實(shí)時(shí)或存儲(chǔ)視頻片段的個(gè)人。7.確保該法案中的任何內(nèi)容都不妨礙州或地方政府禁止或暫停使用。（二）為個(gè)人提供透明度并提供救濟(jì)路徑：1.為因使用而受到傷害的個(gè)人建立了私人訴訟權(quán)等救濟(jì)途徑。2.要求執(zhí)法部門向作為搜查對(duì)象的個(gè)人提供通知，并提供法院命令的副本和/或其他關(guān)鍵數(shù)據(jù)3.要求執(zhí)法部門每六個(gè)月從逮捕照片數(shù)據(jù)庫中清除18無罪的個(gè)人照片。的情況進(jìn)行年度評(píng)估和報(bào)告：1.要求對(duì)執(zhí)法機(jī)構(gòu)使用的系統(tǒng)進(jìn)行定期審計(jì)，對(duì)審計(jì)不合格的機(jī)構(gòu)進(jìn)行停職處理。對(duì)審計(jì)不合格的機(jī)構(gòu)進(jìn)行暫停。要求每年對(duì)執(zhí)法部門采用的任何系統(tǒng)進(jìn)行獨(dú)立測試。要求詳細(xì)的司法和檢察報(bào)告，以及數(shù)據(jù)收1.知情同意，收集個(gè)人生物識(shí)別信息需獲得知情的書面同意；2.保留準(zhǔn)則，企業(yè)須制定書面政策設(shè)定生物識(shí)別數(shù)據(jù)的保留時(shí)間表，且當(dāng)收集數(shù)據(jù)的目的已《生物信息隱私法案》達(dá)到或距信息主體與企業(yè)最后一次聯(lián)絡(luò)已滿三年時(shí)(IllinoisBiometric3.禁止獲利，InformationPrivacyAct,生物識(shí)別數(shù)據(jù)不得出售；4.有限披露，且除非獲得相州關(guān)自然人的同意或法律規(guī)定的特定例外情況不得對(duì)他(2008)人披露；要求私人實(shí)體行業(yè)內(nèi)的合理的注意標(biāo)準(zhǔn)（不同行業(yè)的注意標(biāo)準(zhǔn)不盡相同）；6.對(duì)生物信息的保護(hù)至少等同于“機(jī)密和敏感信息”的保護(hù)；7.允許公民對(duì)違反其規(guī)定的行為提起私人司法訴訟。《捕獲或使用生物識(shí)別1.除非事前通知并收到同意外，任何人不得出于州符法案》CaptureorUseofBiometricIdentifierAct,CUBI)商業(yè)目的獲取生物特征識(shí)別信息；2.規(guī)定除完成個(gè)人要求或授權(quán)金融交易等四種特殊情形外，不得向他人出售、出租或以其他方式透露已獲取的生物特征識(shí)別信息；3.應(yīng)該以合理謹(jǐn)慎的態(tài)度存儲(chǔ)、傳輸、保護(hù)生(2009)物識(shí)別標(biāo)識(shí)符。15人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告從問責(zé)、人工審查、測試等機(jī)制來規(guī)范人臉識(shí)別服務(wù)使用。1.控制者必須獲得消費(fèi)者的同意，才能部《生物識(shí)別隱私法》署面部識(shí)別服務(wù)；2.在可能會(huì)對(duì)消費(fèi)者產(chǎn)生法律或類BiometricPrivacy禁止使用面部識(shí)別技術(shù)進(jìn)行歧視；4.必須向消費(fèi)者提(2017.07)供描述技術(shù)能力和局限性的文件；5.開發(fā)人員可在線使用的面部識(shí)別技術(shù)必須為第三方提供獨(dú)立測試的技術(shù)能力。該法在加州民法典隱私保護(hù)部分增加人臉識(shí)別章《人臉識(shí)別技術(shù)法》(Assembly2261:Facialrecognitiontechnology)(2020.02.14)節(jié)，內(nèi)容上主要涉及人臉識(shí)別信息的收集和處理、政府機(jī)構(gòu)使用人臉識(shí)別服務(wù)的限制性要求。一是收集人臉識(shí)別信息應(yīng)當(dāng)征得個(gè)人同意；二是建立人臉識(shí)別服務(wù)的人工審查和測試機(jī)制；三是建立政府機(jī)構(gòu)使用人臉識(shí)別服務(wù)的問責(zé)機(jī)制；四是限制政府機(jī)構(gòu)對(duì)人臉識(shí)別服務(wù)的使用?！都永Ｄ醽喼菹M(fèi)者雖被稱為全美最嚴(yán)厲的隱私保護(hù)立法，但隱私法》其對(duì)收集個(gè)人生物信息的規(guī)制比較寬松，沒有專門針California對(duì)生物特征識(shí)別信息收集與使用的規(guī)定條款，與對(duì)一ConsumerPrivacy般個(gè)人信息的規(guī)制基本無異。13在的基礎(chǔ)上，進(jìn)一步賦予個(gè)人一些新的權(quán)利。CPRA在的內(nèi)容上進(jìn)行了多處修改，但許多細(xì)節(jié)需要通過法規(guī)加以澄清和定義。例如，建立針對(duì)全面選擇退出偏好標(biāo)志及其他選擇退出機(jī)制的技術(shù)《加州隱私權(quán)利法案》(CaliforniaPrivacyRightsAct,CPRA)(2020.11.3)(2023.1.1)要求、定期提交個(gè)人信息處理風(fēng)險(xiǎn)評(píng)估報(bào)告（報(bào)告內(nèi)容應(yīng)當(dāng)包括該處理行為是否涉及處理個(gè)人敏感信息）1.CPRA區(qū)分敏感個(gè)人信息和一般個(gè)人信息。消費(fèi)者可以限制對(duì)于除必要服務(wù)和必需產(chǎn)品外敏感個(gè)人信息的商業(yè)使用。值得注意的是，對(duì)于敏感個(gè)人信息的規(guī)定不適用于公開信息或者非用于分析消費(fèi)者特14點(diǎn)而收集或處理的敏感個(gè)人信息。152.CPRA主要規(guī)制三類主體收集、處理消費(fèi)者個(gè)。13在“公開可用”上略有不同，公開可用不意味著企業(yè)可以在消費(fèi)者不知情的情況下收集關(guān)于消費(fèi)者的生

物信息。14根據(jù)1798.140款第(項(xiàng)的規(guī)定，公開獲取的敏感個(gè)人信息不視為敏感個(gè)人信息，甚至也不視為個(gè)

人信息。1798.140v)款第(2)項(xiàng)中個(gè)人信息不包括公開獲得的信息，或合法獲得的、真實(shí)的、引起公眾

關(guān)注的信息。就本項(xiàng)而言“可公開獲得”是指：從聯(lián)邦、州或地方政府記錄中合法獲得的信息，或者某企業(yè)有合理理由認(rèn)為是由消費(fèi)者合法地向公眾公布的，或從廣泛傳播的媒體獲取的；或者如果消費(fèi)者沒有將

信息限定于特定的受眾，則由消費(fèi)者已經(jīng)向其披露了信息的人提供的信息。“可公開獲得”并不意味著企業(yè)在消費(fèi)者不知情的情況下收集的關(guān)于消費(fèi)者的生物識(shí)別信息。

15第1798.121項(xiàng)規(guī)定不以推斷消費(fèi)者特征為目的收集或處理的個(gè)人敏感信息不受本條約束，但上述

信息仍應(yīng)被視為個(gè)人信息。16CPRA1)上一年度年收入總額

超過2500萬美元；或(單獨(dú)或與他人合并，每年購買、出售、共享消費(fèi)者的個(gè)人信息或家用設(shè)備數(shù)量達(dá)

到10萬以上；或(3)50%以上的收入來自出售、共享消費(fèi)者的個(gè)人信息。16人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告CPRA要求承包商和服務(wù)提供方與企業(yè)簽訂的書面合同需要以下條件：禁止出售、共享該個(gè)人信息；禁止超范圍、超限度使用、處理該個(gè)人信息；原則上禁止將從企業(yè)處獲取的消費(fèi)者個(gè)人信息與從其他企業(yè)處獲得的個(gè)人信息相結(jié)合用于個(gè)性化營銷目的。此外，合同中須包含的合規(guī)承諾，以及授權(quán)企業(yè)對(duì)其個(gè)人信息處理活動(dòng)的監(jiān)督、審計(jì)等權(quán)利。涉及敏感個(gè)人信息的企業(yè)應(yīng)告知相關(guān)服務(wù)提供商或承包商。服務(wù)提供商或承包商在收到企業(yè)指示后，應(yīng)停止使用相關(guān)消費(fèi)者的敏感個(gè)人信息。即服務(wù)提供商和承包商對(duì)于企業(yè)的限制性使用指示有響應(yīng)、配合義務(wù)。3.Opt-out機(jī)制的實(shí)現(xiàn)企業(yè)可以通過多種方式向消費(fèi)者提供“Opt-out”功能，但根據(jù)CPRA的要求，企業(yè)應(yīng)在其網(wǎng)站主頁、線上隱私政策中都提供清晰、明顯且分開的“不得出售或共享我的個(gè)人信息”鏈接和“限制使用我的個(gè)人敏感信息”鏈接，供消費(fèi)者點(diǎn)擊選擇。一旦消費(fèi)者作出Opt-out12個(gè)月內(nèi)不得再次要求該消費(fèi)者授權(quán)企業(yè)出于其他目的使用、披露消費(fèi)者的敏感個(gè)人信息。（二）美國人臉識(shí)別治理的典型案例1.谷歌用戶起訴谷歌違反2016年3書面同意，違反了的規(guī)定。2019年1月，法官以原告起訴。2.RosenbachSixFlagsEntertainmentCorp.2017年12月，伊利諾伊州一位市民因其兒子辦理六17與企業(yè)簽訂書面合同，企業(yè)出于商業(yè)目的向承包商提供消費(fèi)者個(gè)人信息。18以企業(yè)的名義處理個(gè)人信息的個(gè)人并根據(jù)書面合同從企業(yè)或代表企業(yè)接收用于商業(yè)目的的消費(fèi)者個(gè)人信

息的主體。17人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告旗主題公園（SixFlags）的季卡時(shí)被要求提供指紋信息而向識(shí)別信息的政策，也未獲得用戶的書面同意，違反了院在2019年1月推翻了原審法院的判決，認(rèn)為生物特征可起訴自身權(quán)利受到侵害。3.多名用戶針對(duì)Facebook的圖片標(biāo)簽功能提起集體訴訟2016年5月，多名用戶針對(duì)Facebook的圖片標(biāo)簽功能提起集體訴訟，認(rèn)為Facebook未經(jīng)用戶同意收集用戶生物識(shí)別信息，并存儲(chǔ)在Facebook面部識(shí)別數(shù)據(jù)庫中。只要用戶上傳照片，F(xiàn)acebook的系統(tǒng)就會(huì)自動(dòng)分辨出鏡頭中的面孔與之前上傳照片中的人臉匹配，最后鑒別出個(gè)人身份。2019年8月，美國第九巡回上訴法院駁回了Facebook要Facebook將向符合條件的伊利諾伊州用戶支付5.5億美元，并支付原告的訴訟費(fèi)。4.SnapInc.公司違規(guī)收集個(gè)人生物特征信息2022年9月，在伊利諾伊州，針對(duì)視頻通訊應(yīng)用軟件19RosenbachSixFlagsEntertainmentCorp.,2019IL123186(Jan.25,2019).18人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告Snapchat違規(guī)收集用戶生物特征信息的集體訴訟案（Boone,etal.SnapInc.案）初步達(dá)成了庭外和解（最高可達(dá)3500萬美金賠償、波及超35萬人的和解動(dòng)議）。在這起集體訴SnapInc.被指控違反了SnapInc.的隱私政策（PrivacyPolicy）中沒有說明用戶的面部信息會(huì)被戶使用濾鏡和特效鏡頭掃描了用戶人臉。作為被告的SnapInc.3500萬美元的和解費(fèi)用，但不接受以上任何一項(xiàng)指控。SnapInc.表示：“軟件在使用鏡頭時(shí)不會(huì)收集可用于識(shí)別特定人員或進(jìn)行面部識(shí)管轄之列。5.Instagram違法收集處理人臉信息2015年4月，多位美國伊利諾伊州用戶針對(duì)Instagram。存儲(chǔ)和銷毀的時(shí)間。訴訟稱Instagram通過面部標(biāo)記工具采19人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告InstagramInstagram聲稱其面部識(shí)別功能開啟時(shí)，作用僅為通過建立個(gè)人面部模板來查找用戶在Facebook等Instagram及其母公司此舉實(shí)際上在未獲得用戶知情同意的情況下，收集和使用其生物特征信息。邦法院和加利福尼亞州聯(lián)邦法院。此案審理期間，2021年月，由于用戶對(duì)生物識(shí)別技術(shù)的安全性愈發(fā)擔(dān)憂，Meta識(shí)別模板。2023年3月，Instagram與多位原告達(dá)成和解，決定為在2015年8月102023年8月日期間使用該軟件的伊利諾伊州用戶支付共計(jì)6850萬美元的和解金，用戶需在9月27日之前提交索賠申請(qǐng)，不想接受和解條款的人需在8月16日之前提交信函請(qǐng)求排除；想要留在和解集體中但反對(duì)和解或與和解相關(guān)的支出的人，需在8月16日前向法院提出異議。和解協(xié)議的最終批準(zhǔn)聽證會(huì)定于10月申請(qǐng)的總?cè)藬?shù)以及用戶在規(guī)定期限內(nèi)使用Instagram的時(shí)長。支付費(fèi)用后，賠款將按一定比例發(fā)給受此事件影響的用戶，20人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告10月日推遲到月21在902024年2額，但具體付款時(shí)間還需法院確定，仍具有不確定性?？傊?，該案顯示了作為一個(gè)真正強(qiáng)大的機(jī)制和執(zhí)的工具價(jià)值，體現(xiàn)了在人臉識(shí)別技術(shù)的使用和部署過程中所發(fā)揮的重要作用。二、歐盟人臉識(shí)別的治理經(jīng)驗(yàn)（一）歐盟人臉識(shí)別治理的立法《一般數(shù)據(jù)保護(hù)條例》（以下簡稱“GDPR”）中生物信息保護(hù)為核心，近期則延伸到人臉識(shí)別應(yīng)用人工智能算法上。系統(tǒng)用戶的義務(wù)；《歐盟人工智能責(zé)任指令》區(qū)分高風(fēng)險(xiǎn)系統(tǒng)提供者和用戶的證據(jù)、因果關(guān)系推定的規(guī)則。21人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告總體而言，歐盟對(duì)人臉識(shí)別產(chǎn)業(yè)保持非常謹(jǐn)慎的態(tài)度，對(duì)其設(shè)置了多重限制，包括但不限于（1）使用目的和使用證、認(rèn)證或分類；（2）數(shù)據(jù)處理的限制：數(shù)據(jù)處理的合法3）數(shù)據(jù)準(zhǔn)確性的限制；（5）臉識(shí)別數(shù)據(jù)的處理活動(dòng)。人臉識(shí)別技術(shù)被《人工智能法案》確定為高風(fēng)險(xiǎn)系統(tǒng)，《人工智能法案》從高風(fēng)險(xiǎn)系統(tǒng)應(yīng)符合的標(biāo)準(zhǔn)和系統(tǒng)提供商的義務(wù)兩個(gè)維度，提出對(duì)高風(fēng)險(xiǎn)系統(tǒng)技術(shù)要求和組督、確保系統(tǒng)能夠達(dá)到適當(dāng)?shù)臏?zhǔn)確性、魯棒性和網(wǎng)絡(luò)安全、售后監(jiān)控。根據(jù)目前公布的最終版法案，工具將依照本身技術(shù)特智能系統(tǒng)（UnacceptableriskAI），例如公共場合的“實(shí)時(shí)”或“事后”的遠(yuǎn)程生物識(shí)別系統(tǒng)、使用敏感特征（如性別、22人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告錄像中無目標(biāo)地抓取面部圖像以創(chuàng)建或擴(kuò)展面部識(shí)別數(shù)據(jù)和教育機(jī)構(gòu)等領(lǐng)域中用于推斷自然人的情緒識(shí)別系統(tǒng)等。文備受爭議。擁有人臉與生物辨識(shí)技術(shù)的公司可以通過社交媒體或電視影像對(duì)民眾的外觀信息進(jìn)行大規(guī)模搜集與之一必須的：（1）尋找綁架、販賣或性剝削的受害者，以及失蹤人員；（2）防止對(duì)于生命或身體安全的特定的、重大的和緊迫的威脅或恐襲；（3）出于調(diào)查、檢控或執(zhí)行懲罰的目的定位或識(shí)別嚴(yán)重犯罪的嫌疑人。2024年3月1352346票反對(duì)和49票棄權(quán)的壓倒性票數(shù)通過了《人工智能法案》。該法23人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告成為其他國家的參考。由是觀之，如歐盟《人工智能法案》GDPR）一樣，影響世界各國家或地區(qū)的立法和實(shí)踐。文件名稱人臉識(shí)別信息屬于GDPR規(guī)定的個(gè)人敏感數(shù)據(jù)。除了數(shù)據(jù)控制者對(duì)一般信息的保護(hù)義務(wù)，如遵守合法、合理和透明原則、目的限制原則、最小化原則、準(zhǔn)確性原則、限期儲(chǔ)存原則、完整保密原則和權(quán)責(zé)一致原則等，對(duì)敏感數(shù)據(jù)的保護(hù)提出更嚴(yán)格的要求，原則上禁止處理。對(duì)于人臉識(shí)別技術(shù)的商業(yè)應(yīng)用而言，可適用的唯一例《一般數(shù)據(jù)保護(hù)條例》外情形是（GeneralDataProtectionRules）須GDPR還對(duì)敏感數(shù)據(jù)控制者或處理者單獨(dú)規(guī)定了必須設(shè)立（第37條）和必須進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估的義務(wù)（第35條）。根據(jù)的規(guī)定，照片不當(dāng)然構(gòu)成個(gè)人敏使其能夠識(shí)別或認(rèn)證特定自然人時(shí)，也屬于處理個(gè)人敏感數(shù)據(jù)（第51條）?！稓W盟人工智能法案（草案）》（以下簡稱系針對(duì)高風(fēng)險(xiǎn)系統(tǒng)提供商（技術(shù)研發(fā)者）而言，需要重點(diǎn)關(guān)注《草案》第三編第2章對(duì)高風(fēng)險(xiǎn)系統(tǒng)本身的要求、第3章中關(guān)于高風(fēng)險(xiǎn)ArtificialIntelligenceAct）（2020.2.19）系統(tǒng)提供商的義務(wù)，以及第八編第61條提供商的入市后監(jiān)測義務(wù)。第三編第2章第9條—第15條規(guī)定了強(qiáng)制性的風(fēng)險(xiǎn)管理系統(tǒng)、高質(zhì)量數(shù)據(jù)訓(xùn)練集、技術(shù)文件和記錄保存、明確的透明度、確保能對(duì)系統(tǒng)進(jìn)行人為監(jiān)督、確保系統(tǒng)能夠達(dá)到適當(dāng)?shù)臏?zhǔn)確性、魯棒性和網(wǎng)絡(luò)安全。第三編第3章第16條羅列了高風(fēng)險(xiǎn)系統(tǒng)17條—23條詳細(xì)闡述前述義務(wù)的系統(tǒng)符合自動(dòng)生成的日志、確保系統(tǒng)投放前經(jīng)過合格評(píng)定程序、采取糾正措施等義務(wù)。第八編第61條規(guī)定了提供者負(fù)有建立售后監(jiān)對(duì)高風(fēng)險(xiǎn)2章24人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告系統(tǒng)的持續(xù)合規(guī)性。針對(duì)技術(shù)應(yīng)用者，《草案》第3章第29條規(guī)定了高風(fēng)險(xiǎn)統(tǒng)附帶的使用說明使用系統(tǒng)；監(jiān)督系統(tǒng)運(yùn)行；在自己控制范圍內(nèi)確保輸入數(shù)據(jù)是與高風(fēng)險(xiǎn)系系統(tǒng)自動(dòng)生成的日志；進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估。除此之外，技術(shù)應(yīng)用者也可能被認(rèn)定為構(gòu)成技術(shù)供應(yīng)商，從而承擔(dān)技術(shù)研發(fā)者相同的責(zé)任。《草案》第328條規(guī)定了經(jīng)銷商、進(jìn)口商、用戶或任何其他第三方應(yīng)被視為提供者的情形：a）以自己名稱或商標(biāo)將高風(fēng)險(xiǎn)系統(tǒng)投放市場或投入使用；（b）修改已經(jīng)投放市場或投入使用的高風(fēng)險(xiǎn)c）對(duì)高風(fēng)系統(tǒng)進(jìn)行了實(shí)質(zhì)性的修改。商的名義與根據(jù)該法律行為生產(chǎn)的產(chǎn)品一起投放系統(tǒng)符合本條例下供應(yīng)商所負(fù)義務(wù)相同的義務(wù)。4.商的義務(wù)，系統(tǒng)服務(wù)者如果有進(jìn)口或經(jīng)銷人臉識(shí)別技術(shù)的業(yè)務(wù)，需要履行《草案》規(guī)定的相應(yīng)義本法案將公共場合的“實(shí)時(shí)”或“事后”的遠(yuǎn)程生物識(shí)別系統(tǒng)歸為具有不可接受風(fēng)險(xiǎn)的人工智能系統(tǒng)，對(duì)于人臉識(shí)別采取嚴(yán)格謹(jǐn)慎的態(tài)度，這也與《歐盟人權(quán)公約》中規(guī)定的隱私權(quán)、思想自由、禁止歧視等內(nèi)容相符。具體涉及人臉識(shí)別的相關(guān)條文如下：Recital8統(tǒng)”的概念應(yīng)從功能上加以定義，這是一種人工《歐盟人工智能法案》（ArtificialIntelligenceAct）通常是在一定距離之外，通過將一個(gè)人的生物數(shù)（2024.3.13）據(jù)與參考數(shù)據(jù)庫中的生物數(shù)據(jù)進(jìn)行比較，從而識(shí)程序或類型如何。這種遠(yuǎn)程生物識(shí)別系統(tǒng)通常用于同時(shí)感知多個(gè)人或其行為，以便在沒有自然人主動(dòng)參與的情況下極大地便利對(duì)自然人的識(shí)別。這不包括用于生物驗(yàn)證，包括用于鑒別的人工智能系統(tǒng)，相應(yīng)系統(tǒng)，單純出于獲得服務(wù)、解鎖設(shè)備或安全進(jìn)入場所的目的，其唯一目的是確認(rèn)特定自然人就是他或她聲稱的那個(gè)人，以及確認(rèn)自25人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告然人的身份。這種排除的理由是，與遠(yuǎn)程生物識(shí)

別系統(tǒng)相比，這類系統(tǒng)對(duì)自然人基本權(quán)利的影響

可能較小，因?yàn)檫h(yuǎn)程生物識(shí)別系統(tǒng)可用于處理許

多人的生物數(shù)據(jù)，而無需這些人的積極參與。在

“實(shí)時(shí)”系統(tǒng)中，生物數(shù)據(jù)的采集、比對(duì)和識(shí)別

都是在瞬間或接近瞬間進(jìn)行的，或在任何情況下

都沒有明顯的延遲。在這方面，不應(yīng)存在通過設(shè)

定輕微的延遲來規(guī)避本條例關(guān)于“實(shí)時(shí)”使用有

關(guān)人工智能系統(tǒng)的規(guī)則的空間?！皩?shí)時(shí)”系統(tǒng)涉

及使用“現(xiàn)場直播”或者“近乎現(xiàn)場直播”的材

料，如攝像機(jī)或其他具有類似功能的設(shè)備生成的

錄像片段。相比之下，“事后”系統(tǒng)則是生物數(shù)

據(jù)已經(jīng)得到采集，只有在延遲之后才進(jìn)行比對(duì)和

識(shí)別。這涉及在對(duì)有關(guān)自然人使用該系統(tǒng)之前已

經(jīng)生成的材料，如閉路電視攝像機(jī)或私人設(shè)備生

成的圖片或錄像Recital18：在公共場所為執(zhí)法目的使用“實(shí)

時(shí)”遠(yuǎn)程生物識(shí)別系統(tǒng)，每次使用都應(yīng)得到司法

機(jī)關(guān)或其決定對(duì)成員國具有約束力的獨(dú)立行政機(jī)

關(guān)的明確和具體授權(quán)。這種授權(quán)原則上應(yīng)在使用

該系統(tǒng)識(shí)別特定的個(gè)人或多人之前獲得。在有正

當(dāng)理由的緊急情況下，即在需要使用有關(guān)系統(tǒng)，

因而實(shí)際上和客觀上不可能在開始使用之前獲得

授權(quán)的情況下，這一規(guī)則應(yīng)允許例外。在這種緊

急情況下，使用應(yīng)限制在嚴(yán)格必要的最低限度，

并受制于適當(dāng)?shù)谋Ｕ洗胧┖蜅l件，這些措施和條

件由國家法律確定，并由執(zhí)法機(jī)關(guān)本身在每個(gè)緊

急使用的個(gè)案中具體規(guī)定。執(zhí)法機(jī)關(guān)應(yīng)在提出申請(qǐng)的同時(shí)，說明未能及早提

24內(nèi)提出申請(qǐng)。如果這種授權(quán)被拒絕，則應(yīng)立即停

止使用與該授權(quán)有關(guān)的實(shí)時(shí)生物鑒別系統(tǒng)，并應(yīng)

棄置和刪除與這種使用有關(guān)的所有數(shù)據(jù)。這些數(shù)

據(jù)包括人工智能系統(tǒng)在使用過程中直接獲得的輸

入數(shù)據(jù)，以及與該授權(quán)相關(guān)的使用結(jié)果和輸

出。這不應(yīng)包括根據(jù)其他國家或歐盟法律合法獲

取的輸入數(shù)據(jù)。在任何情況下，不得僅根據(jù)遠(yuǎn)程

生物識(shí)別系統(tǒng)的輸出結(jié)果做出對(duì)個(gè)人產(chǎn)生不利法

律影響的決定。Recital24：在使用人工智能系統(tǒng)進(jìn)行生物識(shí)

別時(shí)涉及的生物數(shù)據(jù)和其他個(gè)人數(shù)據(jù)的任何處

理，除與本條例規(guī)定的為執(zhí)法目的在公共場所使

用“實(shí)時(shí)”遠(yuǎn)程生物識(shí)別系統(tǒng)有關(guān)外，應(yīng)繼續(xù)遵

守2016/680號(hào)指令第10條規(guī)定的所有要求。對(duì)26人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告于執(zhí)法以外的目的，2016/679號(hào)條例第912018/1725號(hào)條例第10條第1款禁止處理生在適用2016/679號(hào)條例第91款時(shí)，遠(yuǎn)程生物特征識(shí)別用于執(zhí)法以外的目的的已經(jīng)落入國家數(shù)據(jù)保護(hù)機(jī)關(guān)的禁止決定之下。Recital26b：應(yīng)禁止將人工智能系統(tǒng)投放市場、為這一特定目的提供服務(wù)或加以使用，這些系統(tǒng)通過從互聯(lián)網(wǎng)或閉路電視錄像中無針對(duì)性地獲取面部圖像來創(chuàng)建或擴(kuò)大面部識(shí)別數(shù)據(jù)庫，因?yàn)檫@種實(shí)踐會(huì)增加大規(guī)模監(jiān)控的感覺，并可能導(dǎo)致嚴(yán)重侵犯基本權(quán)利，包括隱私權(quán)。Article3–paragraph1–point36物識(shí)別系統(tǒng)”系指一種人工智能系統(tǒng)，其目的是在沒有自然人主動(dòng)參與的情況下，通常通過將一個(gè)人的生物數(shù)據(jù)與參考數(shù)據(jù)庫中的生物識(shí)別數(shù)據(jù)進(jìn)行比較，遠(yuǎn)距離識(shí)別自然人的身份；Article3–paragraph1–point37：“‘實(shí)時(shí)’在該系統(tǒng)中，生物數(shù)據(jù)的采集、比較和識(shí)別都是在沒有明顯延遲的情況下進(jìn)行的。這不僅包括即時(shí)識(shí)別，還包括有限的短暫延遲，以避免規(guī)避本條例。Article5–paragraph：投放市場、提供服務(wù)或加以使用人工智

能系統(tǒng)，對(duì)自然人進(jìn)行風(fēng)險(xiǎn)評(píng)估，以評(píng)估或預(yù)測

自然人實(shí)施刑事犯罪的風(fēng)險(xiǎn)，而這完全是基于對(duì)

自然人的畫像或?qū)ζ鋫€(gè)性特征和特點(diǎn)的評(píng)估；這

一禁令不適用于這樣的人工智能系統(tǒng)，其根據(jù)與

犯罪活動(dòng)直接相關(guān)的客觀且可核實(shí)的事實(shí)，支持

人類對(duì)特定個(gè)人是否參與犯罪活動(dòng)的評(píng)估。

投放市場、為此特定目的提供服務(wù)或加

以使用人工智能系統(tǒng)，通過從互聯(lián)網(wǎng)或閉路電視

錄像中無區(qū)別地爬取面部圖像來創(chuàng)建或擴(kuò)展面部

識(shí)別數(shù)據(jù)庫；投放市場、為此特定目的提供服務(wù)或加

以使用人工智能系統(tǒng)，在工作場所和教育機(jī)構(gòu)領(lǐng)

域推斷自然人的情緒，但出于醫(yī)療或安全原因，

有意將人工智能系統(tǒng)提供服務(wù)或投放市場的情況

除外；投放市場、為此特定目的提供服務(wù)或加

以使用生物分類系統(tǒng)，根據(jù)生物數(shù)據(jù)對(duì)自然人進(jìn)

行個(gè)體層面的分類，以推導(dǎo)或推斷其種族、政治

觀點(diǎn)、工會(huì)成員身份、宗教或哲學(xué)信仰、性生活27人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告或性取向。這項(xiàng)禁令不包括根據(jù)生物數(shù)據(jù)對(duì)合法獲取的生物數(shù)據(jù)集，如圖像，進(jìn)行標(biāo)注或過濾，也不包括在執(zhí)法領(lǐng)域?qū)ι飻?shù)據(jù)進(jìn)行分類。Article5–paragraph2:在公共場所為執(zhí)法目的使用“實(shí)時(shí)”遠(yuǎn)程生物識(shí)別系統(tǒng)，除非這種使用相應(yīng)是為下列目標(biāo)之一所嚴(yán)格必要的：(i)性剝削受害者，以及搜尋失蹤人員；防止對(duì)自然人的生命或人身安全構(gòu)成確切、重大切緊迫的威脅，或防止真實(shí)存在或真實(shí)可預(yù)見的恐怖襲擊威脅；《指令》的目的是通過協(xié)調(diào)成員國的過失責(zé)任規(guī)則，以確保因人工智能系統(tǒng)對(duì)其造成的損害而要求賠償?shù)娜?，享有等同于在沒有人工智能系統(tǒng)參與的情況下而要求損害賠償?shù)谋Ｗo(hù)水平。在《歐盟人工智能責(zé)任指令》（LiabilityDirective）（2022.9.28）涉及人工智能的侵權(quán)案件中，由于人工智能系統(tǒng)不透明、自動(dòng)化決策和復(fù)雜性等特征，可能會(huì)使受害者難以證明過錯(cuò)、因果關(guān)系。其中跟高風(fēng)險(xiǎn)人工智能提供者有關(guān)的規(guī)則主確認(rèn)技術(shù)開發(fā)者過錯(cuò)方面的重要性人工智能系統(tǒng)提供者提起的訴訟規(guī)定了可推定因果關(guān)系的情形。區(qū)分了人臉識(shí)別數(shù)據(jù)和照片，未提及視頻監(jiān)控。但實(shí)際中視頻監(jiān)控通?？梢允占罅俊蛾P(guān)于通過視頻設(shè)備處理個(gè)人數(shù)據(jù)的3/2019指引》（Guidelines3/2019onprocessingofpersonaldatathroughvideodevices）（2020.1.29）旨在就如何通過視頻設(shè)備根據(jù)GDPR處理個(gè)人數(shù)據(jù)提供指導(dǎo)。1.細(xì)化并補(bǔ)充GDPR第9條當(dāng)視頻監(jiān)控系統(tǒng)用于處理特殊類型數(shù)據(jù)時(shí)，數(shù)據(jù)控制者應(yīng)該確認(rèn)該行為是否符合GDPR第9條規(guī)定的豁免情形及第6條規(guī)定的合法基礎(chǔ)；但數(shù)據(jù)控制者不能依據(jù)第e明示公開的個(gè)人數(shù)據(jù)，處理視頻監(jiān)控系統(tǒng)得到的20對(duì)于高風(fēng)險(xiǎn)人工智能系統(tǒng)，《人工智能法案》規(guī)定了具體的文件、信息和記錄要求，但沒有規(guī)定受傷害

者有權(quán)獲得這些信息。而獲得涉嫌造成損害的特定高風(fēng)險(xiǎn)人工智能系統(tǒng)的信息，是確定是否要求賠償和證

實(shí)賠償要求的一個(gè)重要因素，因此，為確定賠償責(zé)任，應(yīng)當(dāng)規(guī)定有關(guān)人員披露相關(guān)證據(jù)的規(guī)則。這也應(yīng)該為遵守《人工智能法案》中規(guī)定的相關(guān)要求提供額外的激勵(lì)，以記錄或保存相關(guān)信息。21在確定提供者是否遵守了本指令中提到的《人工智能法案》的相關(guān)要求時(shí)，應(yīng)考慮提供者在風(fēng)險(xiǎn)管理系

統(tǒng)中采取的步驟和風(fēng)險(xiǎn)管理系統(tǒng)的結(jié)果，即決定采取或不采取某些風(fēng)險(xiǎn)管理措施。提供者根據(jù)《人工智能法案》建立的風(fēng)險(xiǎn)管理系統(tǒng)是一個(gè)持續(xù)迭代的過程，貫穿于高風(fēng)險(xiǎn)人工智能系統(tǒng)的整個(gè)生命周期，提供者

據(jù)此確保遵守旨在減少風(fēng)險(xiǎn)的強(qiáng)制性要求，因此可以作為評(píng)估其合規(guī)性的有用因素。2210(2)至(4)發(fā)的；不符合透明度的要求；不允許自然人對(duì)該系統(tǒng)有效監(jiān)督；未達(dá)到適當(dāng)?shù)臏?zhǔn)確性、魯棒性、網(wǎng)絡(luò)安全

水平。28人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告數(shù)據(jù)，進(jìn)入攝像范圍的事實(shí)行為并不意味著數(shù)據(jù)主體有意公開與其相關(guān)的特殊類型數(shù)據(jù)。2.提出了一些降低處理生物識(shí)別信息所面臨風(fēng)險(xiǎn)的措施，包括：一是遵照數(shù)據(jù)最小化原則，確保不過多提取用于構(gòu)建生物模板的數(shù)據(jù)，并采取措施防止模板在不同生物識(shí)別系統(tǒng)之間轉(zhuǎn)移；二是必須存儲(chǔ)生物特征數(shù)據(jù)時(shí)，數(shù)據(jù)控制者必須考慮數(shù)據(jù)存儲(chǔ)的最佳位置，應(yīng)存儲(chǔ)在用戶單獨(dú)控制的設(shè)備上（例如智能手機(jī)或身份證）或以加密形式存儲(chǔ)在只有用戶擁有密鑰的集中式數(shù)據(jù)庫（centralizeddatabase所處理數(shù)據(jù)的可用性、完整性和機(jī)密性，在傳輸和存儲(chǔ)過程中進(jìn)行數(shù)據(jù)隔離，明確加密和密鑰管理策略，整合欺詐檢測的組織性和技術(shù)性措施，將完整性代碼與數(shù)據(jù)關(guān)聯(lián)（例如簽名或哈希），并禁止任何外部訪問生物特征數(shù)據(jù)；四是對(duì)人臉識(shí)別數(shù)據(jù)等原始數(shù)據(jù)進(jìn)行刪除，并確保刪除的有效性。如果數(shù)據(jù)控制者需要保存原始數(shù)據(jù)，必須noise-additive護(hù)方法。《人工智能研究報(bào)告———通往卓越和信任的歐洲路徑》針對(duì)使用人臉識(shí)別等高風(fēng)險(xiǎn)人工智能系統(tǒng)提ArtificialIntelligence–A出了嚴(yán)格的限制，如訓(xùn)練人工智能的數(shù)據(jù)應(yīng)符合Europeanapproachexcellenceand要求、保留部分記錄和數(shù)據(jù)、告知使用者相關(guān)信trust)息、確保技術(shù)魯棒性、接受人工監(jiān)控、投入使用（2022.2.19）前應(yīng)接受事前合規(guī)審查。1.和服務(wù)提供商的指引主要包括確保人臉識(shí)別技術(shù)準(zhǔn)確性和數(shù)據(jù)保護(hù)兩個(gè)方面：術(shù)的準(zhǔn)確性。確保所用數(shù)據(jù)的代表性、定期更新數(shù)據(jù)以訓(xùn)練改進(jìn)所使用的算法、確保算法的有效《關(guān)于人臉識(shí)別的指南》GuidelinesonFacialRecognition）（2021.1.28）性，具體操作措施如算法必須使用合成數(shù)據(jù)集來開發(fā)、記錄、檢測可靠性百分比記錄等。別產(chǎn)品的設(shè)計(jì)和架構(gòu)要納入數(shù)據(jù)保護(hù)相關(guān)的原如指定專門的工作人員，為員工提供隱私培訓(xùn)，以及進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估。在外部：幫助使用技術(shù)的實(shí)體提升透明度并尊重隱私如為他們的隱私政策提供示例語言，或推薦清晰、易懂的標(biāo)記表明人臉識(shí)別技術(shù)已部署在特定空間中。29人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告2.者（使用人臉識(shí)別技術(shù)的實(shí)體）提出要求。(1)正面明確指出人臉識(shí)別技術(shù)的使用只能在受控環(huán)境中進(jìn)行驗(yàn)證、認(rèn)證或分類目的，還列舉情緒識(shí)別等禁止性目的；(2)用的公平性、透明性和準(zhǔn)確性，以及遵守目的限制、數(shù)據(jù)最小化以及存儲(chǔ)時(shí)間的原則；23(3)細(xì)化了數(shù)據(jù)保護(hù)影響評(píng)估的規(guī)定；24(4)引，如發(fā)布關(guān)于特定使用人臉識(shí)別技術(shù)的透明性報(bào)告、成立內(nèi)部審查委員會(huì)，以評(píng)估和批準(zhǔn)任何涉及人臉識(shí)別數(shù)據(jù)的處理等?！吨改稀愤€指出如果使用人臉識(shí)別技術(shù)時(shí)，完全根據(jù)人臉識(shí)別技術(shù)的結(jié)果做決定，則可被視為自動(dòng)化決策，也需遵守法律對(duì)自動(dòng)化決策的要并沒有對(duì)人臉識(shí)別技術(shù)持否定態(tài)度，而是認(rèn)為在適用該技術(shù)時(shí)不僅要考慮到保護(hù)公民的隱私權(quán)以及個(gè)人數(shù)據(jù)權(quán)，還要激發(fā)公民對(duì)已經(jīng)CNIL實(shí)施技術(shù)的信任。場的面部識(shí)別：有哪些挑戰(zhàn)和需要報(bào)告指出有關(guān)機(jī)場面部識(shí)別必須遵守的主要遵循的主要原則》報(bào)告原則：1.說明擬采取的面部識(shí)別系統(tǒng)的必要性和相）稱性、征得乘客事前同意以及保障同意有效的技術(shù)和組織措施；2.必須將生物識(shí)別數(shù)據(jù)完全置于有關(guān)乘客的控制之下；3.必須進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估2023年4月26EDPB通過了其在執(zhí)法領(lǐng)域的面部識(shí)別技術(shù)準(zhǔn)則的最終《執(zhí)法領(lǐng)域面部識(shí)別技術(shù)指南》Guidelines05/2022ontheuseoffacialrecognitiontechnologytheareaoflawenforcement）2023.4）版本。該準(zhǔn)則為歐盟和國家立法機(jī)關(guān)以及執(zhí)法部門提供了實(shí)施和使用面部識(shí)別技術(shù)的系統(tǒng)指導(dǎo)。該準(zhǔn)則強(qiáng)調(diào)，面部識(shí)別工具的使用應(yīng)嚴(yán)格遵守執(zhí)法指令（LED）。此外，正如《基本權(quán)利憲章》所規(guī)定的那樣，只有在必要和相稱的情況下才能使用這種工具。在指導(dǎo)方針中，再次呼吁禁止在某些情況下使用面部識(shí)別技術(shù)，這是它在EDPB-EDPS關(guān)于人工智能法提案的聯(lián)合意23《指南》明確對(duì)使用目的和使用環(huán)境做出限制，即人臉識(shí)別技術(shù)的使用只能在受控環(huán)境中進(jìn)行驗(yàn)證、人

證或分類目的；《指南》強(qiáng)調(diào)使用人臉識(shí)別技術(shù)要獲得明確、具體、自由和知情的同意，在此內(nèi)涵上進(jìn)一

步延伸提出處理者提供使用人臉識(shí)別技術(shù)的替代方案、不能當(dāng)然處理公開照片；就透明度而言，《指南》詳細(xì)給出告知數(shù)據(jù)主體的內(nèi)容；數(shù)據(jù)存儲(chǔ)方面，《指南》要求處理者確保不同的存儲(chǔ)限制期限適用于處理

不同的階段；24包括內(nèi)容（使用人臉識(shí)別技術(shù)，應(yīng)當(dāng)將必要性，目的性、比例性，以及對(duì)數(shù)據(jù)主體權(quán)利的影響一起進(jìn)行

評(píng)估）、評(píng)估主體、評(píng)估出風(fēng)險(xiǎn)的處理規(guī)則、公開評(píng)估結(jié)果等。30人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告見中提出的要求。在公開征求意見后，對(duì)準(zhǔn)則進(jìn)行了更新，并增加了進(jìn)一步的澄清意見。對(duì)于執(zhí)法背景下的個(gè)人數(shù)據(jù)保護(hù)，必須滿足的使用，規(guī)定了一定的框架，特別是第3(13)條（術(shù)語生物識(shí)4條（與個(gè)人數(shù)據(jù)處理有關(guān)的原則）第8條（處理的合法性），第10條（特殊類別個(gè)人數(shù)據(jù)的處理）和第條（自動(dòng)個(gè)人決策）。對(duì)特殊類別數(shù)據(jù)的處理，如生物識(shí)別數(shù)據(jù)，只能被視為“絕對(duì)必要”（第10條LED在使用之前進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估(DPIA)是一項(xiàng)強(qiáng)制性要求，參見第27條。部署的當(dāng)局應(yīng)在部署該系統(tǒng)之前咨詢主管監(jiān)督機(jī)構(gòu)。4.鑒于生物識(shí)別數(shù)據(jù)的獨(dú)特性質(zhì)，實(shí)施和/或使用的當(dāng)局應(yīng)根據(jù)第29條，特別注意處理的安全性。第25法性的重要保障，包括內(nèi)部（即相關(guān)控制人/人的自我監(jiān)督）和外部監(jiān)督機(jī)構(gòu)。在面部識(shí)別系統(tǒng)方面，建議對(duì)參考數(shù)據(jù)庫的變化和識(shí)別或驗(yàn)證嘗試進(jìn)行記錄，包括用戶、結(jié)果和信心分?jǐn)?shù)。呼吁禁止某些類型的處理：12的面部識(shí)別系統(tǒng)，根據(jù)個(gè)人的生物特征，按照種族、性別、政治或性取向或其他歧視理由，將其歸類；(3)使用面部識(shí)別或類似技術(shù)來推斷自然人的情緒，以及（4）在執(zhí)法背景下處理個(gè)人數(shù)據(jù)，這將依賴于通過大規(guī)模和不加區(qū)分地收集個(gè)人數(shù)通過刮取網(wǎng)上可獲得的照片和面部圖片。ISO/IEC9868《遠(yuǎn)程生物識(shí)別系該標(biāo)準(zhǔn)為遠(yuǎn)程生物特征識(shí)別系統(tǒng)提供了建議統(tǒng)——設(shè)計(jì)、開發(fā)和審核》（標(biāo)準(zhǔn)）中的相關(guān)規(guī)定，如系統(tǒng)部署后測試的要求等。（二）歐盟人臉識(shí)別治理的典型案例案例一：收集人臉信息應(yīng)符合最小必要性原則2019年8月瑞典數(shù)據(jù)保護(hù)機(jī)構(gòu)對(duì)Anderstorps中學(xué)做出31人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告20萬瑞典克朗的罰款，因其在學(xué)校教室里面安裝人臉識(shí)別六條規(guī)定的“數(shù)據(jù)處理合法依據(jù)”，具體體現(xiàn)在兩個(gè)方面：校征得的同意違背了出（freelygiven）”這一要求。二是該中學(xué)收集的信息類別的學(xué)生面部特征信息并不是學(xué)校違反了所要求的最小必要性原則。2.案例二：處理公開的人臉信息應(yīng)獲得同意CNIL）向美國Clearview開出了2000了GDPR。Clearview從許多網(wǎng)站包括社交媒體上收集照片。它25參見瑞典數(shù)據(jù)監(jiān)管機(jī)構(gòu)于2019年8月20日對(duì)涉事高中作出的處罰決定書，“Tillsynenligt

EU:sdataskyddsf?rordning2016/679ansiktsigenk?nningf?rn?rvarokontrollavelever”

https://www.datainspektionen.se/globalassets/dokument/beslut/beslut-ansiktsigenkanning-for-narvarokontroll-av-elever-dnr-di-2019-2221.pdf32人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告因此，該公司已經(jīng)在全球范圍內(nèi)收集了超過200億張圖片。情況下是面部）的數(shù)字表示。這些生物識(shí)別數(shù)據(jù)非常敏感，索引擎的人都不知道這個(gè)特征。2020年5月，收到個(gè)人對(duì)Clearview的人臉識(shí)2021年5就這一問題向CNIL發(fā)出警告。進(jìn)行的調(diào)查顯示，Clearview有幾個(gè)違反RGPD的行為：1.非法處理個(gè)人數(shù)據(jù)（違反第6條），因?yàn)樯镒R(shí)別數(shù)據(jù)的收集和使用沒有法律依據(jù)；2.未能以有效和令求（違反第12、15和17條）。2021年月26日，CNIL主席決定向Clearview發(fā)出正式通知：1.在沒有法律依據(jù)的情況下，停止收集和使用33人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告法國境內(nèi)人員的數(shù)據(jù)；2.為個(gè)人權(quán)利的行使提供便利，并滿足刪除的要求。Clearview原本有兩個(gè)月的時(shí)間來遵照監(jiān)管要求調(diào)整其行為，并向說明其理由。然而，它并沒有對(duì)這份正式通知作出任何回應(yīng)。因此，限制委員會(huì)決定根據(jù)第83條，對(duì)其進(jìn)行最高2000萬歐元的經(jīng)濟(jì)處罰。三、中國人臉識(shí)別的治理經(jīng)驗(yàn)（一）中國人臉識(shí)別治理的立法方面，《信息安全技術(shù)遠(yuǎn)程人臉識(shí)別系統(tǒng)技術(shù)要求》《信息安全技術(shù)人臉識(shí)別數(shù)據(jù)安全要求》《公共安全重點(diǎn)區(qū)域特點(diǎn)。類型主要內(nèi)容基本原則和框架，在第1034條將“生物識(shí)別信息”納入《民法典》個(gè)人信息范疇，并在1035條具體規(guī)定個(gè)人信息處理者應(yīng)法律34人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告要求。作為我國首部專門針對(duì)個(gè)人信息保護(hù)的綜合性法律，228條至第32條專門規(guī)定了個(gè)人敏感信息的處理規(guī)則?！秱€(gè)人信息保護(hù)法》第28條第12款對(duì)敏感信息的處理設(shè)定《個(gè)人信息保護(hù)法》了嚴(yán)格的法律規(guī)則；在第29條明確了處理人臉識(shí)別信息5條和第6條明確處理個(gè)人信息的原則與要求，26條強(qiáng)調(diào)公共場所人臉識(shí)別設(shè)備的使用目的僅限“維護(hù)公共安全”。信息泄露等?！毒W(wǎng)絡(luò)安全法》定權(quán)”。該法第43條規(guī)定，個(gè)人發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者違反法該法第291款規(guī)定了經(jīng)營者在收集、使用消費(fèi)《消費(fèi)者權(quán)益保護(hù)并在第56條規(guī)定若經(jīng)營者存在侵害消費(fèi)者個(gè)人信息的情形時(shí)，需要承擔(dān)的民事、行政責(zé)任。該法第23條規(guī)定電子商務(wù)經(jīng)營者在收集、使用其用《電子商務(wù)法》護(hù)的規(guī)定?！吨腥A人民共和國刑非法獲取公民個(gè)人信息，并將責(zé)任主體擴(kuò)展至單位犯罪。司法解釋《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》1條規(guī)定公民的個(gè)人信息包括身份識(shí)別信息和雖不具有身份識(shí)別功能但能夠反映特定自然人活動(dòng)情況的信息。同時(shí)，在第9條規(guī)定了網(wǎng)絡(luò)服務(wù)提供者若不履行法35人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告以拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪定罪的刑事處罰風(fēng)作為我國專門針對(duì)人臉識(shí)別應(yīng)用進(jìn)行規(guī)制的第一部程序等方面規(guī)定了16個(gè)條文。第1條規(guī)定人臉信息屬于1034條規(guī)定2條9條明確了濫用人臉識(shí)別技術(shù)處理人臉信息行為的侵權(quán)性質(zhì)及法律責(zé)任。26《最高人民法院關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問題的規(guī)定》理個(gè)人信息等情形認(rèn)定為屬于侵害自然人人格權(quán)益的行理人不應(yīng)將人臉識(shí)別作為業(yè)主或者物業(yè)使用人出入物業(yè)都有權(quán)請(qǐng)求刪除人臉信息。《人臉識(shí)別技術(shù)應(yīng)用安全管理規(guī)定（試原則。明確數(shù)據(jù)“最小存儲(chǔ)”原則，除取得單獨(dú)同意外，不得存儲(chǔ)原始人臉圖像。第18條規(guī)定商業(yè)銀行應(yīng)當(dāng)按照反洗錢和反恐怖融資《商業(yè)銀行互聯(lián)網(wǎng)貸部門規(guī)章保監(jiān)會(huì)令20209意愿進(jìn)行核驗(yàn)并留存，確保借款人的身份數(shù)據(jù)真實(shí)有效，得全權(quán)委托合作機(jī)構(gòu)辦理。《互聯(lián)網(wǎng)信息服務(wù)深度合成管理規(guī)定》服務(wù)提供者和技術(shù)支持者還應(yīng)當(dāng)加強(qiáng)技術(shù)管理，定期審核、評(píng)估、驗(yàn)證生成合成類算法機(jī)制機(jī)理?！蹲C券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》對(duì)其必要性、安全性進(jìn)行風(fēng)險(xiǎn)評(píng)估，不得將人臉、步態(tài)、26參見張勇：敏感個(gè)人信息的公私法一體化保護(hù)，載《東方法學(xué)》,2022(01):66-78.36人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告式，強(qiáng)制客戶同意收集其個(gè)人生物特征信息。《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》用物理或邏輯隔離方式分別存儲(chǔ)人臉識(shí)別和個(gè)人身份信息等。該標(biāo)準(zhǔn)在2017年舊版的基礎(chǔ)上，細(xì)化與完善了個(gè)人共享以及轉(zhuǎn)讓方面的規(guī)則。第5.4條規(guī)定，網(wǎng)絡(luò)運(yùn)營者收集個(gè)人生物識(shí)別信息應(yīng)GB/T35273《信息安全技術(shù)個(gè)人信息安全規(guī)范》生物識(shí)別信息，以最大限度降低損害風(fēng)險(xiǎn)。第9.2條對(duì)個(gè)人金融信息特定類別作了特殊規(guī)定：網(wǎng)識(shí)別信息類型、數(shù)據(jù)接收方的具體身份和數(shù)據(jù)安全能力該標(biāo)準(zhǔn)是全國首個(gè)使用人臉識(shí)別技術(shù)進(jìn)行身份鑒別國GB/T38671-2020家《信息安全技術(shù)遠(yuǎn)標(biāo)程人臉識(shí)別系統(tǒng)技術(shù)準(zhǔn)要求》環(huán)節(jié)的標(biāo)準(zhǔn)化問題。41819-2022《信息安全技術(shù)人臉識(shí)別數(shù)據(jù)安全要該標(biāo)準(zhǔn)規(guī)定了人臉識(shí)別數(shù)據(jù)的安全通用要求以及收動(dòng)的安全要求。該標(biāo)準(zhǔn)適用于數(shù)據(jù)處理者安全開展人臉識(shí)別數(shù)據(jù)處理活動(dòng)。37300-2018該標(biāo)準(zhǔn)規(guī)定了公共安全重點(diǎn)區(qū)域視頻圖像信息采集《公共安全重點(diǎn)區(qū)域部位和采集種類、技術(shù)要求和采集設(shè)備要求、安全要求。視頻圖像信息采集規(guī)35678-2017該標(biāo)準(zhǔn)規(guī)定了公共安全人臉識(shí)別應(yīng)用中圖像技術(shù)要《公共安全人臉識(shí)別應(yīng)用圖像技術(shù)要求》擋等要求。37人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——人臉識(shí)別支個(gè)人信息保護(hù)要求。付場景個(gè)人信息保護(hù)該實(shí)踐指南不適用于用戶在其自有手機(jī)或其他自有安全要求（征求意見智能移動(dòng)終端上進(jìn)行的人臉識(shí)別支付。稿）》0171—2020該文件主要約束金融機(jī)構(gòu)和獲取個(gè)人金融信息的非中國人民銀行《個(gè)人金融信息保護(hù)術(shù)標(biāo)準(zhǔn)、機(jī)構(gòu)安全崗位設(shè)置等方面作出了細(xì)致的規(guī)定。技術(shù)規(guī)范》行業(yè)標(biāo)準(zhǔn)4087-2022《移動(dòng)智能終端人臉識(shí)別安全技術(shù)要求及測試評(píng)估方法》該標(biāo)準(zhǔn)規(guī)定了移動(dòng)智能終端人臉識(shí)別的安全技術(shù)要技術(shù)要求、測試評(píng)價(jià)方法和安全能力分級(jí)等?？际褂谩F(tuán)077.7-2020該標(biāo)準(zhǔn)規(guī)定了移動(dòng)應(yīng)用軟件對(duì)人臉信息的收集、使體《收集使用個(gè)人標(biāo)信息最小必要評(píng)估規(guī)通過個(gè)人信息處理活動(dòng)中的典型應(yīng)用場景來說明如何落準(zhǔn)范人臉信息》實(shí)最小必要原則。中國支付清算協(xié)會(huì)著方式提示用戶注意服務(wù)協(xié)議中與其有重大利害關(guān)系的其《人臉識(shí)別線下支付他行業(yè)自律公約（試行）》條款、短信提示等。（二）中國人臉識(shí)別治理的典型案例類型基本案情裁判結(jié)果2019年4月浙江某大學(xué)教授郭某花一審判令野生動(dòng)費(fèi)1360元購買了一張杭州野生動(dòng)物世界物世界賠償郭某合同民事案例中國人臉識(shí)某訴杭州野生動(dòng)物世界有限公司服務(wù)合同糾紛案27365識(shí)別的方式入園游覽。同年10月，園方認(rèn)為人臉信息屬于高度敏感的個(gè)人隱私，野生動(dòng)物世界無權(quán)采集，并要求園方退利益損失及交通費(fèi)共計(jì)1038元。刪除郭某辦理指紋年卡時(shí)提交的包括照片在內(nèi)的面的其他訴訟請(qǐng)求。二審維持一審判將野生動(dòng)物世界告上法院。決野生動(dòng)物世界賠償郭某合同利益損失及272019民初69712020）

浙01民終10940號(hào)判決書。38人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告交通費(fèi)共計(jì)1038判決生效十日內(nèi)履行，刪除郭某辦理指紋年卡時(shí)提交的包括照片在內(nèi)的面部特征信息。郭某的其他訴訟請(qǐng)求。一審法院判決被孫長寶與北現(xiàn)百度網(wǎng)站非法收錄并置頂了原告在告北京百度網(wǎng)訊科技京搜狐互聯(lián)chinaren有限公司向原告孫某網(wǎng)信息服務(wù)頭像（個(gè)人證件照）。賠償經(jīng)濟(jì)損失1有限公司等被告北京百度網(wǎng)訊科人格權(quán)糾紛技有限公司向原告孫案28長寶賠償維權(quán)費(fèi)用40二審法院撤銷原房門外墻上安裝了一款有人臉識(shí)別和錄劉某出入家門的必經(jīng)其一家進(jìn)出家門和在走廊通道內(nèi)的活動(dòng)劉嘉龍與沈榕隱私權(quán)糾紛案到360性、高強(qiáng)度、近距離監(jiān)視拍攝的結(jié)果。的門鈴攝像頭對(duì)劉嘉龍及其家人的出行規(guī)家人的正常生活產(chǎn)生他訴訟請(qǐng)求。朱莎麗與中國人民銀行衢州市中心海微眾銀行股份有限公司名譽(yù)權(quán)糾紛案原告朱某因被案外人郭某欺騙完成款刷臉認(rèn)證，導(dǎo)致存在逾期未還款記錄，產(chǎn)生不良征信記錄。一審法院認(rèn)為被告前海微眾銀行報(bào)送涉案逾期信息是正常違法行為該行為不存在侵犯原告民事權(quán)利然刑事判決書認(rèn)定該筆貸款不是由原告操2820190491民初10989號(hào)孫長寶與北京搜狐互聯(lián)網(wǎng)信息服務(wù)有限公司等人格權(quán)糾紛一審民事判決書。29參見北京市第二中級(jí)人民法院（2020）京02民終1641號(hào)劉嘉龍與沈榕隱私權(quán)糾紛二審民事判決書。

30參見衢州市柯城區(qū)人民法院（2019）浙0802民初5880號(hào)朱莎麗與中國人民銀行衢州市中心支行、深

圳前海微眾銀行股份有限公司名譽(yù)權(quán)糾紛一審民事判決書。39人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告原告手機(jī)申請(qǐng)貸款的告本人配合完成了動(dòng)原告的訴訟請(qǐng)求江蘇省無錫市新吳區(qū)某健身房使用檢察院審查認(rèn)為，屬于生物識(shí)別類敏感公共安全必需且未取檢察公益訴訟案例江蘇省無錫市新吳區(qū)人民檢察院督促保護(hù)服務(wù)場所消費(fèi)者個(gè)人信息行政公益訴訟案會(huì)員辦卡時(shí)提供的照片錄入系統(tǒng)作為刷共利益。制采集、非加密傳輸、敏感個(gè)人信息的行為，損害了眾多消費(fèi)者合法權(quán)益。新吳區(qū)院于2022年8月12日向新吳區(qū)市場監(jiān)督管理局制發(fā)行政公益訴訟訴案服務(wù)場所依法處理，切實(shí)履行保護(hù)消費(fèi)者管力度，建立長效機(jī)發(fā)生。檢察院審查認(rèn)為，下簡稱區(qū)衛(wèi)健局）為推進(jìn)數(shù)字化門診建望城區(qū)17家醫(yī)療衛(wèi)生湖南省長沙2019年7月12機(jī)構(gòu)違反個(gè)人信息處市望城區(qū)人望城區(qū)轄區(qū)內(nèi)17家醫(yī)療衛(wèi)生機(jī)構(gòu)陸續(xù)使民檢察院督用電子簽核系統(tǒng)推送疫苗接種知情告知促保護(hù)個(gè)人服務(wù)對(duì)象指紋和人臉生物識(shí)別信等個(gè)人生物識(shí)別信息，息行政公益電子數(shù)據(jù)的存儲(chǔ)及主機(jī)均由各社區(qū)衛(wèi)生未按要求解決電子簽訴訟案服務(wù)中心管理。截至2022年3月上述機(jī)構(gòu)共收集83萬余條涉及指紋、人臉識(shí)別等個(gè)人生物識(shí)別信息。能防患未經(jīng)授權(quán)的訪31參見《最高人民檢察院發(fā)布8件個(gè)人信息保護(hù)檢察公益訴訟典型案例》，2023年3月30日發(fā)布。40人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告落實(shí)網(wǎng)絡(luò)安全等級(jí)保人信息保護(hù)的內(nèi)部管局和區(qū)公安分局對(duì)上述醫(yī)療衛(wèi)生機(jī)構(gòu)收集、處理敏感個(gè)人信息活動(dòng)未盡到監(jiān)管職責(zé)。A景區(qū)由浙江G旅游發(fā)展有限公司（以下簡稱G2020年7月，A景G區(qū)通過招標(biāo)委托浙江H公司等景區(qū)運(yùn)營主體，下簡稱H公司）建設(shè)完成人臉識(shí)別系統(tǒng)，同時(shí)邀請(qǐng)了浙江省消A景區(qū)在采費(fèi)者權(quán)益保護(hù)委員會(huì)集游客人臉信息時(shí)未依法履行告知義務(wù)，相關(guān)工作人員和法律浙江省湖州存在強(qiáng)制要求購票游客錄入人臉信息、市檢察機(jī)關(guān)息被侵害問題召開磋訴浙江G旅商會(huì)，就G公司刪除游發(fā)展有限信息被侵害，損害了社會(huì)公共利益。景區(qū)前期采集儲(chǔ)存的公司侵害公民個(gè)人信息臉信息的收集和使用民事公益訴等事項(xiàng)達(dá)成共識(shí)。同部門對(duì)G公司提出整

月日，湖州市院向G公

G依法運(yùn)營。小鵬汽車購買具有人臉識(shí)別功能的上海市徐匯區(qū)市22場監(jiān)督管理局責(zé)令當(dāng)法小鵬汽車違事人改正上述違法行案法采集人臉例100000齡分析等。41人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告2019ZAO換臉軟件在國內(nèi)爆火，用戶可以通過APP“”換臉軟件過度收集個(gè)人信及其關(guān)聯(lián)公司有權(quán)對(duì)用戶上傳的內(nèi)容進(jìn)息行全部或部分的修改并享有修改后的內(nèi)法律風(fēng)險(xiǎn)。奉賢區(qū)人民法院件開發(fā)人員。2020年69罰，對(duì)其依法從寬處件就會(huì)自動(dòng)獲取手機(jī)相冊(cè)的照片并且上息罪判處李某有期徒2021年2處罰金。月9日，共賣得網(wǎng)站虛擬幣30$。后李某刑事李某侵犯公手機(jī)相冊(cè)照片1751張。其中，含有人臉案民個(gè)人信息例案庭住址等100余條公民個(gè)人信息。2020年92021年2150個(gè)人信息共計(jì)8100余萬條。2021年3月9且存儲(chǔ)于境外網(wǎng)盤，未查到有人下載使

/32參見王四新：《“ZAO”背后的社會(huì)管理難題》，載《環(huán)球時(shí)報(bào)》2019-09-02(015).

33參見《最高人民法院關(guān)于發(fā)布第35批指導(dǎo)性案例的通知》，2022年12月26日公布。42人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告發(fā)平臺(tái)這類主體的信息安全責(zé)任義務(wù)。43人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告第三章人臉識(shí)別產(chǎn)業(yè)法律治理圖景一、人臉識(shí)別產(chǎn)業(yè)生態(tài)治理的基本原理人臉識(shí)別產(chǎn)業(yè)生態(tài)治理，旨在減少“人—技術(shù)—社會(huì)”縫之網(wǎng)”（Seamless）。立基于此的人臉識(shí)別產(chǎn)業(yè)生態(tài)律和技術(shù)的同頻共振。其不再是根據(jù)《個(gè)人信息保護(hù)法》第62條“針對(duì)人臉識(shí)別呼應(yīng)的生態(tài)治理方法。二、人臉識(shí)別技術(shù)生態(tài)治理（一）技術(shù)提供者的數(shù)據(jù)安全義務(wù)44人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告技術(shù)研發(fā)可靠安全的義務(wù)。1.訓(xùn)練環(huán)節(jié)的數(shù)據(jù)安全義務(wù)適當(dāng)?shù)臄?shù)據(jù)治理和管理規(guī)范。應(yīng)特別關(guān)注：（a）有關(guān)設(shè)計(jì)選擇；（b）數(shù)據(jù)采集；（c）數(shù)據(jù)準(zhǔn)備處理操作，例如注d）制定有關(guān)數(shù)據(jù)應(yīng)衡量e）事先評(píng)估所需數(shù)據(jù)庫的可用性、f）g）確別是擬識(shí)別人群有關(guān)的屬性。2.存儲(chǔ)環(huán)節(jié)的數(shù)據(jù)安全義務(wù)34參見中國信通院：《人臉信息處理合規(guī)操作指南》。2022年1月。45人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告離手段。3.傳輸環(huán)節(jié)的數(shù)據(jù)安全義務(wù)竊取或篡改。4.刪除環(huán)節(jié)的數(shù)據(jù)安全義務(wù)技術(shù)提供者應(yīng)確保做到及時(shí)刪除人臉信息處理。同時(shí)，46人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告Secure-Delete指令、Dod5220.22-M、Gutmann算法等方法。（二）技術(shù)提供者的算法可信義務(wù)營能夠始終符合可信人工智能的核心要求。1.算法準(zhǔn)確性、魯棒性、安全性義務(wù)技術(shù)提供者可以通過備份或故障安全計(jì)劃等技術(shù)冗余措施，防范導(dǎo)致模型出錯(cuò)的輸入或模型缺陷。2.算法安全評(píng)估、審計(jì)、備案的義務(wù)47人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告測試集上的指標(biāo)表現(xiàn)和變化。在必要時(shí)，可以通過算法備案，落實(shí)上述算法安全評(píng)估和審計(jì)義務(wù)。三、人臉識(shí)別產(chǎn)品/服務(wù)生態(tài)治理人臉識(shí)別產(chǎn)品服務(wù)提供者是人臉識(shí)別產(chǎn)業(yè)的中堅(jiān)力量，上啟下的樞紐作用，構(gòu)成了人臉識(shí)別產(chǎn)業(yè)治理的關(guān)鍵一環(huán)。據(jù)此，人臉識(shí)別產(chǎn)品/服務(wù)提供者應(yīng)承擔(dān)如下義務(wù)：（一）產(chǎn)品/服務(wù)提供者的質(zhì)量管理義務(wù)人臉識(shí)別產(chǎn)品/服務(wù)提供者作為供應(yīng)商應(yīng)建立質(zhì)量管理a統(tǒng)修改管理程序；（b）用于人臉識(shí)別產(chǎn)品/服務(wù)的質(zhì)量控制cd）數(shù)據(jù)治理的組織、系統(tǒng)和程序，包括數(shù)據(jù)收集、數(shù)據(jù)分析、35中國信息通信研究院、京東探索研究院：《可信人工智能研究報(bào)告》。48人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告eg重事故和故障的應(yīng)急程序；（h）支持監(jiān)管機(jī)構(gòu)監(jiān)督和執(zhí)法系統(tǒng)；（i）記錄所有相關(guān)文件和信息的系統(tǒng)和程序；（j）問責(zé)制框架，用于明確管理層和其他員工的責(zé)任。（二）產(chǎn)品/服務(wù)提供者的人工監(jiān)督義務(wù)/服務(wù)提供者應(yīng)使用適當(dāng)?shù)娜藱C(jī)解人臉識(shí)別的功能和局限性，能夠?qū)ζ溥\(yùn)行進(jìn)行適當(dāng)監(jiān)控，到自動(dòng)依賴或過度依賴人臉識(shí)別系統(tǒng)產(chǎn)生的“自動(dòng)化偏差”式終止服務(wù)。（三）產(chǎn)品/服務(wù)提供者的算法日志記錄義務(wù)產(chǎn)品/服務(wù)提供者應(yīng)當(dāng)確保人臉識(shí)別系統(tǒng)具有系統(tǒng)運(yùn)行a時(shí)間以及結(jié)束日期和時(shí)間）；（b）系統(tǒng)已針對(duì)其檢查輸入49人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告數(shù)據(jù)的參考數(shù)據(jù)庫；（c）搜索導(dǎo)致匹配的輸入數(shù)據(jù)；（d）確定參與結(jié)果驗(yàn)證的自然人的身份。（四）產(chǎn)品/服務(wù)提供者的起草技術(shù)文件的義務(wù)產(chǎn)品/服務(wù)提供者應(yīng)確保其系統(tǒng)在投入使用之前符合法提供所有必要信息，以評(píng)估其合規(guī)性。四、人臉識(shí)別服務(wù)使用生態(tài)治理義務(wù)：（一）服務(wù)使用者的個(gè)人信息保護(hù)義務(wù)技術(shù)方案的，應(yīng)當(dāng)推薦使用非生物特征識(shí)別技術(shù)方案。服務(wù)使用者需要保證在與用戶交互時(shí)用戶個(gè)人信息權(quán)50人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告針對(duì)意外收集的非注冊(cè)用戶人臉信息進(jìn)行及時(shí)刪除或匿名外，應(yīng)確保人臉信息主體行使個(gè)人信息權(quán)利能夠及時(shí)響應(yīng)。5556條的規(guī)定，適應(yīng)等方面形成個(gè)人信息影響評(píng)估報(bào)告。（二）服務(wù)使用者的算法解釋義務(wù)Loomis辯訴交易承認(rèn)了沒有得到主人同意的情況下駕駛摩托車和6年徒刑和5年延期監(jiān)督（ExtendedSupervision）。這是因?yàn)樵诹啃屉A動(dòng)議，認(rèn)為被告人有權(quán)知道被控告的理由，法院依據(jù)的評(píng)估對(duì)其加以判決侵犯其正當(dāng)程序權(quán)利36PetitioncertiorarideniedonJune26,2017,case-files/cases/loomis-v-wisconsin/.51人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告法服務(wù)應(yīng)用者”和“算法技術(shù)提供者”二分架構(gòu)下，開發(fā)系統(tǒng)的Nortpointe公司并不負(fù)有解釋算法的義務(wù)，而威斯康星懲教署作為決定盧卡斯個(gè)人信息使用方式和用不能的后果。服務(wù)使用者的解釋義務(wù)包括如下方面：1.人臉識(shí)別數(shù)據(jù)的解釋義務(wù)由相應(yīng)算法所處理的個(gè)人信息所準(zhǔn)確界定。在某種意義上，這可視為個(gè)人信息保護(hù)中已有規(guī)定的延伸——解釋主體需信息變量，解釋主體可靈活決定是否展示。在展示過程中，群體，鼓勵(lì)專門設(shè)計(jì)符合認(rèn)知特點(diǎn)的展示方式。2.算法邏輯的解釋義務(wù)52人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告1）實(shí)際分析推斷的信息；（2）決策結(jié)果需要在具體場景中界定，包括但不限于診療結(jié)果、信用分?jǐn)?shù)、信貸決定，等等；（3）“影響”有必要進(jìn)一步細(xì)化。在輸入（個(gè)人信息）與輸出（決策結(jié)果）均可排序的場合，應(yīng)用者可以展示數(shù)字/即可。（4）使用者應(yīng)選擇用戶友好形式解釋說明。針對(duì)個(gè)其了解富含不同社會(huì)價(jià)值的信息類型以何種方式影響輸出，難以準(zhǔn)確界定的實(shí)用主義解釋的補(bǔ)充。3.算法評(píng)估的解釋義務(wù)37以及，其它具備自然排序的變量（例如信用評(píng)級(jí)的分等）。53人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告否將會(huì)導(dǎo)致歧視性或其他不當(dāng)后果。與之前兩個(gè)層次的權(quán)事實(shí)解釋”成為這一層面解釋權(quán)的核心。（三）服務(wù)使用者的算法備案義務(wù)不符合，則有權(quán)要求其改正?！度四樧R(shí)別管理規(guī)定》第十六條明確規(guī)定了備案義務(wù)。其規(guī)定：“在公共場所使用人臉識(shí)別技術(shù)，或者存儲(chǔ)超過1萬人人臉信息的人臉識(shí)別技術(shù)使用者，應(yīng)當(dāng)在30個(gè)工作日38沈偉偉：《算法透明性的迷思》，《環(huán)球法律評(píng)論》2019年第6期。54人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告報(bào)告；（六）網(wǎng)信部門認(rèn)為需要提供的其他材料?！保ㄋ模┓?wù)使用者的守門人義務(wù)當(dāng)服務(wù)使用者是提供第三方運(yùn)營提供技術(shù)資源和信息收）應(yīng)當(dāng)制定符合2）應(yīng)利用必供的技術(shù)服務(wù)的第三方3）建立相關(guān)的投訴受理和處置機(jī)4）配合監(jiān)管機(jī)構(gòu)對(duì)違反法律法規(guī)的第三方查處理。五、人臉生成合成生態(tài)治理（一）技術(shù)提供者的訓(xùn)練數(shù)據(jù)來源合法義務(wù)訓(xùn)練數(shù)據(jù)是指用于訓(xùn)練模型，使其做出正確判斷的55人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告已標(biāo)注數(shù)據(jù)方購買、自行收集、使用合成數(shù)據(jù)。提供者的合法義務(wù)有不同側(cè)重。第一，從公開數(shù)據(jù)集獲取。用應(yīng)當(dāng)在合理限度內(nèi)。第二，從第三方購買。（1）技術(shù)提供者在購買第三方數(shù)據(jù)集前可查看開源數(shù)據(jù)集提供方的公2）法；（3）涉及個(gè)人信息的相關(guān)數(shù)據(jù)，技術(shù)提供者要求第三方在傳輸前進(jìn)行匿名化處理；（4）技術(shù)提供者應(yīng)對(duì)第三方提供的數(shù)據(jù)權(quán)屬文件進(jìn)行抽查，核查數(shù)據(jù)的原始權(quán)利主體、授權(quán)鏈條、授權(quán)范圍、是否留存違法違規(guī)和可能侵權(quán)內(nèi)容；（5）技術(shù)提供者需遵循與第三方協(xié)議中目的限制的規(guī)定。第三，自行收集。不得竊取或者以其他非法方式收集數(shù)據(jù)，技術(shù)提供者使用爬蟲、Open1）256人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告避免從已聲明禁止第三方爬取數(shù)據(jù)的網(wǎng)站爬取數(shù)據(jù)；（3）在爬取方式上，不得強(qiáng)行繞過或破壞技術(shù)措施來爬取數(shù)據(jù)、（4）在爬取內(nèi)容上，避免未經(jīng)權(quán)利人授權(quán)，秘密爬取他人數(shù)據(jù)模型進(jìn)行比較以確保結(jié)果的準(zhǔn)確性。1）信息主體同意或者符合法律法規(guī)規(guī)定的其他情形。（2）訓(xùn)供者應(yīng)主動(dòng)刪除標(biāo)識(shí)符、采取匿名化措施。（3）保障個(gè)人正、刪除個(gè)人數(shù)據(jù)的選項(xiàng)。（4）用以訓(xùn)練的數(shù)據(jù)不含有侵犯商業(yè)秘密的內(nèi)容。（5）用以訓(xùn)練的數(shù)據(jù)不含有侵犯知識(shí)產(chǎn)權(quán)、肖像權(quán)、隱私權(quán)等他人合法權(quán)益的內(nèi)容。（二）技術(shù)提供者的訓(xùn)練數(shù)據(jù)質(zhì)量保障義務(wù)（1）使用高質(zhì)量訓(xùn)練、驗(yàn)證和測試的數(shù)據(jù)集，技術(shù)提57人臉識(shí)別產(chǎn)業(yè)法律治理研究報(bào)告度等指標(biāo)進(jìn)行測試。（2）技術(shù)提供者應(yīng)保證訓(xùn)練數(shù)據(jù)的真）標(biāo)注規(guī)則。為保證內(nèi)容的正確性。（4）防止歧視。在訓(xùn)練數(shù)據(jù)選擇過程中，技術(shù)提供者應(yīng)采取措施防止出現(xiàn)種族、民族、信仰、國別、地域、性別