近期，一系列事件引发了公众对于人脸识别技术滥用的广泛关注。随着人工智能技术不断发展，人脸识别大规模地应用于安防、支付等日常生活场景中，但这项改变生活的技术当前却处于争议中。就此，新京智库组织举办“人脸识别不能被滥用”专题研讨会，邀请多位法律学者与专业人士进行深入的探讨。

新京智库：《个人信息保护法（草案）》第13条中首次明确了个人信息处理的6项依据。如何才能真正确保对个人信息的处理合理合法？

需进一步把人脸数据当做特殊类型信息

段伟文：目前普通人的权利意识并不是那么强，在这样的信息素养环境下，把个人信息权利或个人数据权利当成“绝对”的权利，体现出一定的逆向制衡的智慧。

对人脸、虹膜、步态等信息的采集和使用实际上都走在了立法的前面。但与之对应的现实却是缺乏有效保护个人信息权利的机制，个人往往也没有维护自己信息权利的意识和能力。

而且，人脸数据在采集之后完全可以用于其他目的，比如说做情感分析、心理评估等。这就导致了新的信息和认知的不对称。所以，人脸识别数据是一种具有开放性社会法律伦理影响的敏感的个人信息，在一定程度上赋予个人对其人脸数据的“绝对权利”，有利于应对未来可能爆发的更大的社会法律伦理风险。

但我觉得，还是要更进一步，在认知上把人脸数据当做特殊类型的信息。这就需要更多的研究，并且在概念上有所创新，这些概念可以是对经验的提炼或由场景触发，运用它们可以更好地揭示人脸数据的法律与伦理内涵，促进人们对人脸数据滥用的法律与伦理风险的认知。也就是说，人脸识别的法律规制与伦理治理需要更多具有创造性的实践智慧。

同意只是入口，要重视强制性规则设置

薛军：《民法典》规定个人信息是可以基于个人信息主体的同意，授权他人进行处理。这个原则没有问题。除此之外，在其他情况下合理、合法地处理他人的个人信息，必须明确列举事由，并且范围要明确，不能开太大口子。

现在比较大的问题在于“个人的同意”。一是“同意”可能沦为一种纯粹的形式，二是“同意”可能带有某种被迫，不是自由、真实地反映个人自主意思的“同意”。所以，怎么确保“同意”机制不沦为形式，这值得关注。

我曾经与欧盟国家的数据保护专员讨论过这一问题，发现他们也面临同样的困惑。虽然“同意”规则可以规定得比较细致，但是企业在获得用户的同意方面，可以很容易地做到形式上的合规。而如果用户需要利用企业提供的服务，其实就只能同意，否则就没有办法获得服务。

我可以很明确地说，未来能够真正发挥作用的，是对于正当、合理、必要收集个人信息之类的带有强制性的规则。“同意”只是一个入口，不一定能够真正发挥把关的作用。我认为未来的个人信息保护体制应该是以行政为主导的。因为个体太分散，维权意识和能力都比较弱，即使被侵害个人信息权益，也很难证明侵害者以及实际的损失，所以还是要高度重视相关法规中带有强制性特征规则的设置是否合适、充分。

个人隐私权多数时候无需让渡

刘兴亮：个人隐私权，包括肖像权，是我们每个人“绝对”的权利。当然，这种权利在某些时候要做一定的让渡，比如在面对突发公共卫生事件时，会有一些措施需要个人做出让步，像疫情期间的健康码就是一种案例。

一些企业和机构可能认为人们应该是不在乎自己的隐私权，或者会为了某些便利而放弃隐私权。这是不对的。个人隐私权一定是在极少数的情况下才做出让渡。

朱巍：技术的发展不能牺牲个人的权利。“同意”有主动同意和被动同意两种。《个人信息保护法（草案）》规定的敏感信息处理的“同意”原则是主动同意。被动同意则包括一揽子协议，比如企业弹出的“同意”事项。通常，用户都没有仔细看，全部点同意。其实，很多隐私条款是需要单独同意的。

而且，互联网技术不断迭代，在迭代过程中会更改网民协议和隐私条款，但并不会覆盖此前的协议。这意味着，这些应用或平台在迭代技术，甚至变更服务的同时，却不缩减索权，导致它们的索权范围非常大，有些甚至已经跟现在的服务没有任何关系。

新京报记者：柯锐 校对：杨许丽