10月25日，公号君有幸参与了北师大法学院数字经济与法律研究中心学术沙龙的第四期——人脸识别的运用与滥用：比较法上的回应。在公号君此前的研究的基础上【人脸识别技术的法律规制研究初探（DPO社群成员观点）】，公号君进一步做了扩展，提出了人脸识别技术目前主要用于以下六大场景：计数、认证、识别、监控、伪造与窥探；而这六大应用场景分别有对应的法律监管框架可以套用。

简言之：

• 对于计数使用场景，可径行要求企业摒弃人脸识别技术的运用。

在这个场景中，部分企业声称识别人脸只是为了统计人流中特定个体之间相互不重复，常见的如厕所取纸张要求人脸识别，避免有人重复拿纸。【当然，在此暂时不考虑这种应用违规留存人脸信息，并用于算法训练的目的】

• 对于认证、识别场景可以适用个人信息保护中“知情-同意”和个人敏感信息的框架予以规制。

所谓的认证场景，是指为了证明“我是我”，例如进入火车站需要人脸识别，在机场办理临时身份证等。

所谓的识别场景，是指企业或公权力机关事先存有了一份用户的数据库清单，利用人脸识别技术，迅速地将识别对象与事先存有的用户数据库中的记录对应起来。例如新零售场景中，企业运用人脸识别技术识别走进店铺的用户，并向销售人员推送此用户此前的喜好和购物习惯等。

• 监控场景之下，需要考虑公权力利用人脸识别技术开展全景式监控的正当性和比例性。

  
  

所谓的监控场景，本质上就是识别+追踪。例如新零售场景中，识别出存量用户之后，继续跟踪其在货架或区域的停留时间等，进一步分析其关注点和兴趣。在企业监控场景中，用户还可以用“知情-同意”这样的经典框架来拒绝或者对抗。

但在日益增多的公权力监控场景中，个人是没法拒绝的。例如智慧城市项目，以及北京市地铁人脸识别项目等。此时，仅仅从个人信息保护的框架去讨论，显然没有全部抓住问题的本质，还需要从公权力行为的正当性、比例性去考虑。【相关内容见：解读世界首例警方使用人脸识别技术合法性判决（DPO社群成员观点）】

也正是从这个角度，美国有不少城市禁止公权力部门采用人脸识别技术。例如伊利诺伊州、华盛顿州、德克萨斯州和俄勒冈州和新汉普郡、加利福尼亚州旧金山市、马萨诸塞州的萨默维尔市等。

• 用于伪造目的，需要从肖像权或者创设新的法律框架。

目前国外，特别是美国，对利用人脸识别技术形成的“deepfake”非常关注，也提出了不少新的法律草案。这些法律草案的特点是：不仅仅从肖像权角度去保护被伪造对象，更关注伪造后的传播带来的负面影响。美国这方面的尝试，值得我们关注。

• 窥探场景，可以适用传统人格权或隐私保护的框架。

所谓的窥探场景，典型的例如从人脸去分析性取向，从人脸去分析心理状态和个性以判断是否可以入职、升迁等，利用人脸识别技术捕捉微表情等判断心理活动（例如课堂监控）。这样的场景，人脸识别技术相当于一把利剑，戳开了保护我们隐私的各种“帷幕”。因此在这个场景中，我们甚至应该考虑微调“技术中立”的原则，在特殊的情形中，考虑对人脸识别技术的运用设置黑名单。

此外，在刚刚结束的数据保护官沙龙（DPO）第十八期上，我们讨论了生物识别信息的安全保护，非常精彩，会议纪实见：第十八期DPO沙龙纪实：生物识别信息的安全保护