三大合规隐患

如果说人脸识别的发展瓶颈主要在于技术，其风险桎梏则主要来自法律。如前所述，在“互联网+”的大背景下，科技与商业的融合愈发紧密，利用科技手段窃取和非法使用群众个人信息的新闻也屡见不鲜;同样，科技进步也推动了普通民众法律知识水平与思想观念的进步，从西方到东方，个人信息保护已成为社会共识。

在上述情况影响下，对人脸识别的法律规范已然在进行，但其风险主要来自三个方面，一是法律、政策乃至发展规划对人脸识别的“层层加码”。人脸识别技术所收集的生物信息在中国是属于法律规定的个人信息的范畴，应该受到个人信息保护的法律、法规等规范性法律文件的约束。另外，由于人脸识别及其相关人工智能在技术发展上的重要性，从中央到地方，从金融到产业，各类规划对其发展进行鼓励的同时也按各自思路施加引导(见文末附图)。立法领域和层级的复杂性在一定程度上增加了执法司法的不确定性，进而增加了行业企业的合规成本。

二是确权这一基础的法律理论问题并没有真正解决，基本法律框架还处在发育过程中，未来甚至不排除有根本性的转变。一者，信息权利在个人和企业间的归属及为何如此归属的问题还没有很好的诠释，信息权利横跨人格权和财产权两大法域，既不利于权利的针对性保护，也为其“物化”预留了法律空间。

二者，保护框架还在利益平衡和绝对保护两者之间摇摆，前者关注个人和企业之间的利益平衡，强调服务提供与信息让渡的公平交易，将信息保护更多归为商业领域，后者则直接将信息保护视作基本人权，强调其构成人之所以为人的基本要素而绝对保护，对技术发展则进行规范甚至约束。

三者，规范体系仍在持续增加，并且由于其纵向、横向的广泛跨度，专业性也日趋缜密。比如，除文末附图中收集整理的中国关于个人信息保护的相关法律法规外，正在征求意见的《数据安全管理办法》、《个人信息出境安全评估办法》也是专门针对个人数据管理的专门性法规。

此外，中国还出台了与人脸识别技术或识别生物特征信息的相关国家标准规定，比如《信息安全技术个人信息安全规范》《信息技术生物特征识别应用程序接口》系列标准、《公共安全人脸识别应用图像技术要求》等。

即便如此，中国针对人脸识别所涉及个人信息和数据安全等方面的规范体系也还并不健全，比如中国重点限制企业采集信息，但对公权力和域外收集个人信息还少有限制，中国规定正当性采集信息为原则，但未明确具体细节等，同时现有政策法律规定零散、操作性也有待加强。以上种种的叠加，自然而然隐藏着较大的风险隐患。

企业风控桎梏