趙精武

(北京航空航天大學(xué) 法學(xué)院，北京 100083)

一、問題的提出

刷臉支付、刷臉進(jìn)出等人臉識(shí)別技術(shù)應(yīng)用縮短了以往人工身份核驗(yàn)的繁瑣程序，“人臉”毋庸置疑地成為“陌生人社會(huì)”框架下信賴重構(gòu)的重要工具。不過，正所謂“正復(fù)為奇，善復(fù)為妖”，信息技術(shù)的頻繁迭代在推進(jìn)數(shù)字化社會(huì)進(jìn)程的同時(shí)，也增加了數(shù)據(jù)泄露、隱私侵犯等諸多不確定因素。盡管中國《民法典》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法(征求意見稿)》等諸多規(guī)范性文件已經(jīng)確認(rèn)了自然人對個(gè)人信息所享有的民事權(quán)益，但問題在于，數(shù)據(jù)安全和信息權(quán)益的場景化屬性遠(yuǎn)超傳統(tǒng)的民事法律客體，尤其在確定“數(shù)據(jù)分級分類管理”①的基本方向之后，個(gè)人信息保護(hù)的語境分析趨勢愈發(fā)明顯。倘若繼續(xù)沿用功利主義立場的技術(shù)行政管制模式，勢必會(huì)僵化技術(shù)與法律之間的互動(dòng)關(guān)系，故而有必要重新審視人臉識(shí)別技術(shù)應(yīng)用所產(chǎn)生的的法律問題。繼美國學(xué)者諾內(nèi)特和塞爾茲尼克提出“壓制型法”“自治型法”之后，法律已經(jīng)處于“回應(yīng)型法”的發(fā)展階段[1]。所謂“回應(yīng)”，既是指向現(xiàn)有的法律現(xiàn)實(shí)和社會(huì)現(xiàn)實(shí)，也是指向?qū)嵱弥髁x的實(shí)質(zhì)正義觀。人臉識(shí)別技術(shù)作為一種客觀的技術(shù)現(xiàn)象，自身并非是法律意欲調(diào)整和規(guī)范的直接目標(biāo)，該項(xiàng)技術(shù)在應(yīng)用過程中所形成的新型民事法律關(guān)系才是法律所亟需回應(yīng)的實(shí)質(zhì)內(nèi)容。

人臉識(shí)別信息作為人臉識(shí)別技術(shù)的直接產(chǎn)物，其內(nèi)在的人格權(quán)益屬性顯而易見，但該項(xiàng)人格權(quán)益的內(nèi)涵與外延、實(shí)現(xiàn)方式等具體內(nèi)容卻無從尋之。誠然，《民法典》在“民事權(quán)利”一節(jié)中規(guī)定了“自然人的個(gè)人信息受到法律保護(hù)”，在人格權(quán)編中也規(guī)定了一般個(gè)人信息的保護(hù)規(guī)則。然而，這些規(guī)定在適用過程中仍然存在諸多疑問：自然人對人臉識(shí)別信息相關(guān)事項(xiàng)的“知情”范圍如何認(rèn)定？信息控制者如何在公共場所獲得自然人對面部數(shù)據(jù)采集和處理的“同意”？“優(yōu)化用戶產(chǎn)品體驗(yàn)”“保障其他用戶安全”等理由能否構(gòu)成信息處理者處理人臉識(shí)別信息的免責(zé)事由？

二、人臉識(shí)別技術(shù)的應(yīng)用場景與風(fēng)險(xiǎn)定位

(一)人臉識(shí)別技術(shù)的應(yīng)用場景

雖然現(xiàn)行立法并未對“人臉識(shí)別技術(shù)”的內(nèi)涵和外延作出界定，但學(xué)界普遍認(rèn)同該項(xiàng)技術(shù)屬于身份核驗(yàn)的生物識(shí)別技術(shù)，通過“自動(dòng)定位、跟蹤采集、比對提取、分離存儲(chǔ)”[2]等人臉特征信息處理環(huán)節(jié)完成錄入數(shù)據(jù)與人臉數(shù)據(jù)庫的關(guān)聯(lián)比對，最終指向特定自然人。還有學(xué)者進(jìn)一步將人臉識(shí)別技術(shù)的應(yīng)用模式總結(jié)為“1對N”的人臉識(shí)別，進(jìn)一步細(xì)化該項(xiàng)技術(shù)的內(nèi)在結(jié)構(gòu)。所謂“1對1”的人臉驗(yàn)證，是指通過比較被識(shí)別對象的人臉信息和庫存模板中的人臉信息[3]，以判定兩張人臉是否屬于同一人，其廣泛應(yīng)用于微信、支付寶的購物支付程序、智能門禁的刷臉認(rèn)證程序等；而“1對N”的人臉識(shí)別，則是指通過對比被識(shí)別對象的臉部信息與集中數(shù)據(jù)庫中存儲(chǔ)的多個(gè)模板信息來辨識(shí)身份[3]，其廣泛應(yīng)用于安防檢查、疑犯追蹤、照片自動(dòng)圈人等領(lǐng)域。例如，沃爾瑪超市正在開發(fā)能夠檢測識(shí)別顧客面部表情的人臉識(shí)別信息系統(tǒng)，通過攝像機(jī)記錄下顧客從排隊(duì)到結(jié)賬過程的面部表情和體態(tài)動(dòng)作，以此評估和解決顧客對服務(wù)的不滿[4]。相較于其他生物識(shí)別技術(shù)，此類技術(shù)具有無接觸、交互性強(qiáng)、高效迅速、符合人類識(shí)別習(xí)慣等優(yōu)勢[5]，且能夠廣泛應(yīng)用于身份驗(yàn)證、安全監(jiān)控、接入控制、人機(jī)交互等領(lǐng)域，場景化應(yīng)用特征明顯。

在金融領(lǐng)域，人臉識(shí)別技術(shù)應(yīng)用主要包括安全防控和業(yè)務(wù)優(yōu)化兩類。在安全防控場景下，人臉識(shí)別技術(shù)的應(yīng)用涵蓋了銀行從現(xiàn)金押運(yùn)到前臺(tái)業(yè)務(wù)辦理各個(gè)環(huán)節(jié)，在現(xiàn)金押運(yùn)、保險(xiǎn)柜黃金放置等環(huán)節(jié)，存在綜合門禁卡、指紋驗(yàn)證、人臉識(shí)別和密碼驗(yàn)證等多個(gè)驗(yàn)證方式，確保核心業(yè)務(wù)工作人員身份驗(yàn)證的準(zhǔn)確性與唯一性。在日常經(jīng)營活動(dòng)中，銀行分支機(jī)構(gòu)通過營業(yè)大廳攝像頭采集、存儲(chǔ)、分析短期人員來往，通過后臺(tái)與公安信息系統(tǒng)的連接，能夠有效識(shí)別可疑人員，如反復(fù)“踩點(diǎn)”、面部遮擋較多以及可能脅迫他人取款等危險(xiǎn)人群。在使用自助取款機(jī)、自助終端機(jī)辦理個(gè)人業(yè)務(wù)時(shí)，人臉識(shí)別技術(shù)的應(yīng)用方式表現(xiàn)為“1對1”的人臉驗(yàn)證，確保辦理業(yè)務(wù)的卡主與銀行信息系統(tǒng)留存信息一致，避免盜刷。在業(yè)務(wù)優(yōu)化領(lǐng)域，《中國人民銀行關(guān)于改進(jìn)個(gè)人銀行賬戶服務(wù) 加強(qiáng)賬戶管理的通知》第一項(xiàng)中明確支持在核驗(yàn)身份信息環(huán)節(jié)，“有條件的銀行可探索將生物特征識(shí)別技術(shù)和其他安全有效的技術(shù)手段作為核驗(yàn)開戶申請人身份信息的輔助手段”，銀行消費(fèi)者在遠(yuǎn)程辦理開設(shè)個(gè)人賬戶時(shí)，可通過人臉識(shí)別信息系統(tǒng)等多重身份驗(yàn)證技術(shù)手段縮減線下辦卡的諸多不便。例如，在中國農(nóng)業(yè)銀行研發(fā)的“超級柜臺(tái)”業(yè)務(wù)模式中，針對日常個(gè)人業(yè)務(wù)中常出現(xiàn)的銀行卡掛失補(bǔ)辦、重置遺忘的密碼等問題，該行以“網(wǎng)點(diǎn)初審身份、軟件識(shí)別人臉、后臺(tái)復(fù)核身份”的三重風(fēng)控措施實(shí)現(xiàn)業(yè)務(wù)效率與業(yè)務(wù)安全的兼顧[6]。

在現(xiàn)階段，人臉識(shí)別技術(shù)的實(shí)用功能早已不再局限于智能終端用戶解鎖等基礎(chǔ)業(yè)務(wù)，而是伴隨著市場精細(xì)化程度的深入，其應(yīng)用領(lǐng)域呈現(xiàn)縱深化趨勢，如表1[7]所示。有觀點(diǎn)認(rèn)為當(dāng)今人臉識(shí)別技術(shù)的應(yīng)用基本可分為“安全應(yīng)用”“醫(yī)療保健”“產(chǎn)品服務(wù)營銷”三大領(lǐng)域：“安全應(yīng)用”是指通過深度學(xué)習(xí)算法識(shí)別欺詐行為,減少對密碼驗(yàn)證的依賴性；“醫(yī)療保健”是指通過利用人臉表情特征的識(shí)別，準(zhǔn)確跟蹤病患的藥物消耗與疼痛感知狀況；“產(chǎn)品服務(wù)營銷”則是指人臉識(shí)別技術(shù)對個(gè)性化服務(wù)的優(yōu)化，將服務(wù)對象從“特定偏好人群”進(jìn)一步精確到“滿足面部特征的特定個(gè)體”[8]。

表1 國外人臉識(shí)別技術(shù)的應(yīng)用場景[7]

(二)人臉識(shí)別技術(shù)的風(fēng)險(xiǎn)定位：隱私、主體平等與技術(shù)獨(dú)裁

從立法目的來看，立法規(guī)制始終離不開對技術(shù)損害合法權(quán)益的實(shí)踐問題總結(jié)，規(guī)制人臉識(shí)別技術(shù)需要審視場景化視野下該類技術(shù)的法律風(fēng)險(xiǎn)與損害權(quán)益的具體表現(xiàn)形式?？偨Y(jié)刷臉支付、出入口刷臉識(shí)別、智能設(shè)備解鎖等場景下人臉識(shí)別技術(shù)的應(yīng)用模式，如前文所述，大致可分為“1對1”“1對N”兩種識(shí)別模式，前者是為了驗(yàn)證“A是否是真的A”，后者則是為了驗(yàn)證“A到底是誰”。人臉識(shí)別技術(shù)的法律風(fēng)險(xiǎn)主要集中于“1對N”模式，因?yàn)榍罢邇H是特定自然人面部特征數(shù)據(jù)的簡單比對，無需比對該自然人的姓名、住址、電話等具體身份信息，屬于單純的身份核驗(yàn)；而后者則需要通過大量的人臉數(shù)據(jù)錄入形成深度學(xué)習(xí)訓(xùn)練集合來完成特定自然人的精準(zhǔn)定位，其識(shí)別過程既包括特定自然人的面部特征識(shí)別，也包括特定自然人身份信息的關(guān)聯(lián)比對，以此來實(shí)現(xiàn)如何“排他性”地解釋“A究竟是誰”。在歐盟，人臉數(shù)據(jù)采集受到嚴(yán)格限制，歐盟委員會(huì)在《人工智能戰(zhàn)略白皮書》(White Paper on Artificial Intelligence — A European Approach to Excellence and Trust)中提及歐盟正在考慮是否限制政府部門和私營機(jī)構(gòu)在公共場所使用攝像頭收集生物識(shí)別信息并識(shí)別個(gè)人身份[9]，不過諸如使用面部圖像解鎖設(shè)備等安全身份驗(yàn)證的應(yīng)用模式并不在限制范圍內(nèi)[10]。從國內(nèi)外技術(shù)實(shí)踐來看，人臉識(shí)別技術(shù)所存在的社會(huì)風(fēng)險(xiǎn)主要表現(xiàn)為三類：其一，隱私侵犯風(fēng)險(xiǎn)。即無論該項(xiàng)技術(shù)以何種方式融入具體的信息服務(wù)中，都無法擺脫對人臉生物特征數(shù)據(jù)庫的依賴。唯有對通過數(shù)據(jù)庫所形成的深度學(xué)習(xí)訓(xùn)練集合進(jìn)行關(guān)聯(lián)比對才能完成身份驗(yàn)證這一基礎(chǔ)功能，而數(shù)據(jù)庫所存儲(chǔ)的各類信息往往直接關(guān)涉到自然人的年齡、健康狀況、情緒波動(dòng)等個(gè)人私密信息，潛在的網(wǎng)絡(luò)安全威脅直接影響到用戶個(gè)人隱私保護(hù)。其二，主體平等風(fēng)險(xiǎn)。即人臉識(shí)別技術(shù)在具體業(yè)務(wù)中往往與社會(huì)信用系統(tǒng)、公安系統(tǒng)等社會(huì)公共服務(wù)信息系統(tǒng)相互連接，借由對收入和購物行為的分析，信息技術(shù)可能直接對特定人群標(biāo)識(shí)“警惕”的標(biāo)簽，尤其在國外商場、超市購物場景下，低收入黑人群體可能直接成為治安管理的重點(diǎn)對象[2]。其三，技術(shù)濫用風(fēng)險(xiǎn)。在國外，人臉識(shí)別監(jiān)控往往被視為“公權(quán)力濫用”的征兆，反對警察采集人臉信息的活動(dòng)并不鮮見。也有學(xué)者將此種技術(shù)濫用風(fēng)險(xiǎn)總結(jié)為“技術(shù)獨(dú)裁風(fēng)險(xiǎn)”[11]，因?yàn)槿四樧R(shí)別信息的采集與使用通常以社會(huì)公共利益和國家安全為例外情形，在國家治理現(xiàn)代化過程中，過度依賴人臉識(shí)別技術(shù)對社會(huì)公共空間的監(jiān)視，以“技術(shù)權(quán)威”取代“政府權(quán)威”，不免存在服務(wù)型社會(huì)向管制型社會(huì)倒退的問題。

國外立法者普遍將人臉識(shí)別技術(shù)視為一種高風(fēng)險(xiǎn)技術(shù)應(yīng)用，美國舊金山、加州奧克蘭以及波士頓禁止在市區(qū)使用人臉識(shí)別技術(shù)，其原因大多認(rèn)為該項(xiàng)技術(shù)仍處于發(fā)展階段，尚未形成具體的技術(shù)安全標(biāo)準(zhǔn)，容易造成對公民隱私權(quán)的侵犯，并且在公共場所使用人臉圖像采集與監(jiān)控也存在歧視風(fēng)險(xiǎn)，容易引發(fā)高危人群的劇烈反抗②。不過，這些禁令大多是與政府部門在公共場所監(jiān)控直接相關(guān)，智能設(shè)備人臉解鎖等安全身份驗(yàn)證并不在此列。2019年，美國國會(huì)議員至少提出過六個(gè)限制人臉識(shí)別技術(shù)使用的法案，都均未形成實(shí)際的立法文件。盡管人臉識(shí)別技術(shù)存在諸多法律風(fēng)險(xiǎn)，但美國立法者仍然采取審慎態(tài)度監(jiān)管該項(xiàng)技術(shù)的實(shí)際應(yīng)用，即便在之前的提案中，對人臉識(shí)別技術(shù)應(yīng)用的限制也極為有限。例如，參議院提出的“2019年人臉識(shí)別技術(shù)許可法案”(S.2878)對該項(xiàng)技術(shù)的限制僅以追蹤個(gè)人物理位置超過三天的“進(jìn)行中的監(jiān)管”為限。相較于美國，中國現(xiàn)行立法對人臉識(shí)別技術(shù)的行政監(jiān)管與私法規(guī)范尚存在空白，結(jié)合人臉識(shí)別技術(shù)的信息系統(tǒng)構(gòu)成和數(shù)據(jù)處理流程來看，以信息安全風(fēng)險(xiǎn)為核心的法律風(fēng)險(xiǎn)存在于從人臉數(shù)據(jù)采集到人臉數(shù)據(jù)關(guān)聯(lián)比對的信息處理全生命周期。在人臉數(shù)據(jù)收集階段，信息處理者需要收集用戶的人臉圖像，其渠道主要包括攝像頭采集、照片和錄像上傳等方式。該階段的法律風(fēng)險(xiǎn)主要表現(xiàn)為信息處理者以何種方式采集才能滿足中國現(xiàn)有立法規(guī)范，《網(wǎng)絡(luò)安全法》第41條和《民法典》第1035條規(guī)定收集個(gè)人信息時(shí)需要經(jīng)過權(quán)利人同意，并且告知權(quán)利人處理個(gè)人信息的方式、范圍和目的，但現(xiàn)有的人臉數(shù)據(jù)采集方式除了通過智能設(shè)備終端的攝像頭掃描采集之外，還有可能通過用戶協(xié)議、訪問權(quán)限設(shè)置等方式來獲取用戶人臉數(shù)據(jù)，在公共場所的人臉數(shù)據(jù)采集以及網(wǎng)絡(luò)平臺(tái)公開照片的人臉數(shù)據(jù)采集似乎難以在實(shí)踐層面尋求每一個(gè)自然人的“同意”。并且，人臉識(shí)別技術(shù)的應(yīng)用不僅僅需要對用戶個(gè)體的人臉數(shù)據(jù)收集，在“1對N”的模式下更需要海量的人臉數(shù)據(jù)形成數(shù)據(jù)比對庫，用于面部特征的提取，這也就導(dǎo)致信息處理者往往會(huì)抓取大量公開照片進(jìn)行深度學(xué)習(xí)。這種數(shù)據(jù)采集方式顯然未經(jīng)特定自然人的明確同意，并且中國現(xiàn)行立法亦未承認(rèn)在網(wǎng)絡(luò)公開照片等于默示同意商業(yè)化使用照片，信息處理者可能陷入侵犯個(gè)人信息權(quán)益的泥沼之中。在人臉數(shù)據(jù)分析(包括眼睛定位、膚色像素化)、存儲(chǔ)、更新等處理環(huán)節(jié)，《網(wǎng)絡(luò)安全法》第42條和《民法典》第1038條要求信息處理者應(yīng)當(dāng)采取必要措施確保個(gè)人信息安全，加之人臉識(shí)別信息的敏感性，信息處理者在設(shè)計(jì)人臉識(shí)別信息系統(tǒng)時(shí)，勢必需要考慮如何規(guī)避數(shù)據(jù)泄露、損害或丟失等問題。進(jìn)一步而言，由于人臉識(shí)別信息的高度敏感性，一旦發(fā)生數(shù)據(jù)泄露等數(shù)據(jù)安全事件時(shí)，除非致?lián)p原因表現(xiàn)為現(xiàn)有技術(shù)水平無法應(yīng)對、第三方網(wǎng)絡(luò)攻擊等形式、未履行《數(shù)據(jù)安全法(征求意見稿)》第27條規(guī)定的數(shù)據(jù)安全保護(hù)義務(wù)外，信息處理者極有可能面臨以人格權(quán)益受損為由的集體索賠。在人臉識(shí)別信息維護(hù)、更新階段，信息處理者若未能及時(shí)更新存在內(nèi)容偏差的人臉識(shí)別信息，且該人臉識(shí)別信息關(guān)聯(lián)的信息服務(wù)對特定自然人產(chǎn)生重大影響時(shí)，構(gòu)成對《民法典》第1037條規(guī)定的“更正權(quán)益”的損害。

三、技術(shù)治理的法理基礎(chǔ)：人臉識(shí)別信息的法律屬性

(一)人臉識(shí)別信息保護(hù)的必要性與特殊性：從“杭州人臉識(shí)別第一案”談起

人臉識(shí)別技術(shù)本身并沒有社會(huì)評價(jià)層面的好壞之分，之所以亟需立法回應(yīng)，是因?yàn)榘殡S著該項(xiàng)技術(shù)開發(fā)和應(yīng)用的縱向深入，其目的不再局限于對被識(shí)別者臉部生理特征進(jìn)行識(shí)別，而是將人的臉部信息與其個(gè)人身份、偏好、位置、財(cái)產(chǎn)等信息鏈接[12]，進(jìn)行分析比對獲得其他關(guān)聯(lián)信息。依據(jù)《網(wǎng)絡(luò)安全法》第76條關(guān)于個(gè)人信息的定義③，人臉識(shí)別技術(shù)中的人臉信息能夠與其他信息相結(jié)合而具有高度可識(shí)別性，因此人臉信息的基本性質(zhì)為“可識(shí)別的個(gè)人信息”，且其一旦被泄露、非法收集或者不正當(dāng)?shù)厥褂?，則會(huì)對信息主體的個(gè)人名譽(yù)、身心健康造成嚴(yán)重?fù)p害甚至使信息主體受到歧視性的待遇，因此人臉信息可以被依法納入“個(gè)人敏感信息”范疇④。與其他個(gè)人信息相比，人臉信息具有不可更改性，人臉數(shù)據(jù)能準(zhǔn)確、真實(shí)、無法更改地識(shí)別信息主體[13]；人臉識(shí)別技術(shù)具有無接觸性，人臉信息的收集可以通過遠(yuǎn)距離、無感知的方式實(shí)現(xiàn)，因此人臉信息濫用的安全隱患呈現(xiàn)高危性。

在“杭州人臉識(shí)別第一案”中，杭州野生動(dòng)物世界在未與郭兵進(jìn)行任何協(xié)商也未征得郭兵同意的情況下，以短信的方式告知郭兵“園區(qū)入園系統(tǒng)已經(jīng)由指紋識(shí)別升級為人臉識(shí)別，未注冊人臉識(shí)別的用戶將無法正常入園”。待郭兵到園區(qū)核實(shí)后，短信的內(nèi)容屬實(shí)，工作人員表示如果不進(jìn)行人臉識(shí)別注冊將無法入園，也無法辦理退卡退費(fèi)手續(xù)。郭兵認(rèn)為，人臉識(shí)別所收集到的面部特征等個(gè)人生物識(shí)別信息屬于個(gè)人敏感信息，一旦泄露、非法提供或者濫用，將極易危害消費(fèi)者人身和財(cái)產(chǎn)安全，野生動(dòng)物世界未經(jīng)原告的同意，變相強(qiáng)制收集原告?zhèn)€人生物識(shí)別信息，嚴(yán)重違反了《消費(fèi)者權(quán)益保護(hù)法》第29條的規(guī)定，損害了原告的合法權(quán)益。由于該案發(fā)生在《民法典》頒布之前，故而仍需適用《合同法》《侵權(quán)責(zé)任法》《民法總則》等規(guī)定。從侵權(quán)糾紛的角度來看，盡管在《侵權(quán)責(zé)任法》第2條所羅列的“民事權(quán)益”范圍中并無“個(gè)人信息權(quán)”等表述，但《民法總則》第111條卻是規(guī)定了自然人對個(gè)人信息享有民事權(quán)益。動(dòng)物園“脅迫式”收集人臉識(shí)別信息顯然構(gòu)成對“不得非法使用、加工、傳輸個(gè)人信息”的違反?？蓡栴}在于庭審過程中，動(dòng)物園主張人臉識(shí)別之目的是為了提升消費(fèi)者入園效率且確實(shí)有效，那么這種另類的“消費(fèi)者權(quán)益保護(hù)”能夠構(gòu)成免責(zé)事由呢？此外，從《侵權(quán)責(zé)任法》第6條所規(guī)定的“過錯(cuò)行為—損害”的立法模式來看，動(dòng)物園的刷臉進(jìn)入行為實(shí)難構(gòu)成侵權(quán)法中的“過錯(cuò)行為”，因?yàn)樵谒⒛樦Ц兜耐瑫r(shí)，動(dòng)物園還允許年卡持有人每次入園時(shí)進(jìn)行身份核驗(yàn)，難以證成動(dòng)物園之行為滿足侵權(quán)行為構(gòu)成要件。從合同糾紛的角度來看，郭兵與動(dòng)物園之間構(gòu)成年卡服務(wù)合同(無名合同)，動(dòng)物園最初是以個(gè)人身份證、指紋為入園條件，但在之后變更為“刷臉進(jìn)入”，實(shí)質(zhì)屬于單方變更合同之行為，理應(yīng)對購買年卡服務(wù)的郭兵不產(chǎn)生法律效力，其也有權(quán)要求動(dòng)物園按照最初約定的方式入園。

國外同樣存在針對人臉識(shí)別技術(shù)的訴訟糾紛，如在近期二審宣判的“英國人臉識(shí)別第一案”中，原告訴稱在經(jīng)過警察部署的面部識(shí)別(AFR)設(shè)備時(shí)，警察并未告知其正在使用AFR技術(shù)，依據(jù)《歐洲人權(quán)公約》《英國2018年數(shù)據(jù)保護(hù)法》等規(guī)定主張警察之行為構(gòu)成對個(gè)人隱私的侵犯。而當(dāng)?shù)氐木觳块T則主張AFR設(shè)備部署地區(qū)具有明確的標(biāo)識(shí)，且這些設(shè)備僅能識(shí)別警察“監(jiān)視清單”上的危險(xiǎn)人群，無法識(shí)別清單之外自然人的身份信息。英國上訴法院認(rèn)為警方有權(quán)依法使用信息技術(shù)收集特定范圍的信息，但警察依據(jù)《英國2018年數(shù)據(jù)保護(hù)法》第64條所提供的“數(shù)據(jù)保護(hù)影響評估”相關(guān)文件未能正確評估AFR技術(shù)對數(shù)據(jù)主體權(quán)利的安全風(fēng)險(xiǎn)。上訴法院還指出AFR技術(shù)與其他信息技術(shù)的核心區(qū)別在于該項(xiàng)技術(shù)需要抓拍和采集英國公民的面部照片與數(shù)據(jù)，涉及個(gè)人敏感信息，當(dāng)?shù)鼐觳块T所提供的證明材料未能直接說明清單監(jiān)視人員范圍與AFR設(shè)備部署地點(diǎn)選擇的正當(dāng)性，亦未能證明其已經(jīng)采取合理步驟評估該項(xiàng)技術(shù)可能存在的歧視問題[14]。

(二)人臉識(shí)別信息的法律屬性

從私法的角度出發(fā)，人臉識(shí)別信息作為特殊類型的個(gè)人信息，《民法典》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法(征求意見稿)》等法律對其性質(zhì)均有所涉獵，大抵是置于賦權(quán)式的個(gè)人信息保護(hù)規(guī)范框架下予以規(guī)定，或是以人格權(quán)解釋個(gè)人信息內(nèi)在的人格利益屬性，或是以“交易”等表述承認(rèn)人臉識(shí)別信息的財(cái)產(chǎn)屬性。事實(shí)上，在立法層面，意欲梳理人臉識(shí)別信息的法律屬性與規(guī)制方式，則仍應(yīng)當(dāng)以人臉識(shí)別信息的獨(dú)特性為規(guī)范起點(diǎn)，溯源該類信息的人格利益與財(cái)產(chǎn)利益在商業(yè)實(shí)踐中的表現(xiàn)形式。

盡管學(xué)界有關(guān)人臉識(shí)別技術(shù)規(guī)制路徑的討論尚處于初步探索階段，但學(xué)者們普遍認(rèn)可人臉識(shí)別信息具有不可更改性、可識(shí)別性、專屬性和直觀性。學(xué)者們認(rèn)為，之所以需要通過立法干預(yù)和規(guī)制人臉識(shí)別技術(shù)的應(yīng)用，原因在于人臉識(shí)別信息具有“直觀”地識(shí)別特定自然人的能力，一旦與身份信息關(guān)聯(lián)比對，特定自然人難以采取有效措施徹底消除“識(shí)別可能性”，因而，通過法律規(guī)制人臉識(shí)別技術(shù)凸顯其必要性與合理性。誠然，這種高度識(shí)別能力正在蠶食自然人私密信息空間，使得個(gè)人在現(xiàn)實(shí)社會(huì)與網(wǎng)絡(luò)空間“無所遁形”，但這種特殊性的觀察視角卻是以靜態(tài)的信息類型為基礎(chǔ)，切斷了技術(shù)應(yīng)用與信息結(jié)果之間的關(guān)聯(lián)性，同時(shí)也模糊了人臉識(shí)別信息與人臉數(shù)據(jù)兩個(gè)概念之間的差別。從刷臉支付、刷臉進(jìn)出等具體的商業(yè)實(shí)踐來看，人臉識(shí)別信息的形成涉及人臉數(shù)據(jù)采集與錄入、人臉數(shù)據(jù)錄入與特征提取、人臉大數(shù)據(jù)與特征算法比對等諸多環(huán)節(jié)，人臉識(shí)別信息并不能簡單地等同于人臉生物特征的數(shù)據(jù)測量。人臉識(shí)別信息與人臉數(shù)據(jù)最大的差別在于“識(shí)別”之表述，單純以數(shù)字或字符形式存在的人臉數(shù)據(jù)僅僅只是對特定自然人面部輪廓的客觀表述，亦可理解為自然人肖像的數(shù)字化形式，而人臉識(shí)別信息則更強(qiáng)調(diào)通過人臉生物識(shí)別特征的不可更改性與對應(yīng)自然人身份信息的關(guān)聯(lián)比對，通過設(shè)備端的圖像采集與數(shù)字化處理，驗(yàn)證自然人的特定身份。然而，這種“識(shí)別性”亦不同于一般個(gè)人信息，后者的“識(shí)別”能力如《民法典》第1034條所規(guī)定的，表現(xiàn)為單獨(dú)識(shí)別和結(jié)合其他信息識(shí)別兩種方式，而前者在未“綁定”對應(yīng)自然人身份信息之前不具備可識(shí)別能力。即便該數(shù)據(jù)是特定自然人面部的數(shù)據(jù)集合，但這種“識(shí)別”實(shí)際上僅限于機(jī)器可讀層面的識(shí)別，對于自然人而言，絕無可能直接通過面部數(shù)據(jù)定位特定自然人身份。而利用不特定面部特征數(shù)據(jù)與特定自然人身份信息關(guān)聯(lián)的人臉識(shí)別技術(shù)則將傳統(tǒng)個(gè)人信息保護(hù)理念中的“可識(shí)別”⑤轉(zhuǎn)換為精準(zhǔn)識(shí)別和持續(xù)識(shí)別。所謂精準(zhǔn)識(shí)別，是指人臉識(shí)別信息能夠精準(zhǔn)地定位特定自然人，因?yàn)槊娌刻卣鞯慕^對專屬性和直觀性導(dǎo)致識(shí)別對象錯(cuò)誤的可能性微乎其微；所謂持續(xù)識(shí)別，則是指面部特征的不可更改性決定了人臉識(shí)別信息的識(shí)別能力不會(huì)因?yàn)樾袨槿说娜粘Ｐ袨槟Ｊ絼∽兌ィ词姑娌繒?huì)衰老，但面部骨架結(jié)構(gòu)、五官位置等基本衡量指標(biāo)并不會(huì)改變，除非服務(wù)提供方取消人臉識(shí)別信息的關(guān)聯(lián)機(jī)制或者進(jìn)行大幅度的面部整容，該類信息始終能夠定位特定的自然人，如圖1所示。

這種精準(zhǔn)且持續(xù)的識(shí)別能力在立法層面表現(xiàn)為人格利益在信息空間的異化與延伸?！睹穹ǖ洹返?90條不僅明確了生命權(quán)、健康權(quán)、肖像權(quán)、隱私權(quán)等具體人格權(quán)利，同時(shí)還將以“人格自由”和“人格尊嚴(yán)”為基礎(chǔ)的其他人格權(quán)益納入保護(hù)范疇。從《民法典》對于人格權(quán)利的具體條款來看，“等權(quán)利”“人格利益”之表述在實(shí)質(zhì)上確定了中國民法體系中人格權(quán)利保護(hù)的開放性。面對日趨豐富的民事社會(huì)實(shí)踐，守著傳統(tǒng)人格權(quán)利的“一畝三分地” 不是對法律穩(wěn)定性和權(quán)威性的維護(hù)，而是僵化了《民法典》民事權(quán)利的保護(hù)方式。有限的人格權(quán)利類型與復(fù)雜的侵權(quán)形式之間的緊張關(guān)系早已是不爭的事實(shí)，學(xué)者們也認(rèn)為《民法典》意欲保護(hù)的不是特定的具體人格權(quán)，而是具備開放性的人格權(quán)益[2]。在此背景下，人臉識(shí)別信息的可識(shí)別利益顯而易見是《民法典》所確認(rèn)的信息空間人格權(quán)益，在權(quán)益性質(zhì)層面，有學(xué)者在解釋自然人對個(gè)人信息享有民事權(quán)益這一命題時(shí)指出，信息處理活動(dòng)始終屬于平等主體之間法律關(guān)系基本范疇；在權(quán)益性質(zhì)的認(rèn)定層面，有學(xué)者根據(jù)《民法典》人格權(quán)編草案(三次審議稿)指出，認(rèn)定個(gè)人信息具備人格權(quán)益是以個(gè)人信息自決的兩項(xiàng)權(quán)能為基本規(guī)范框架，一是自我決定個(gè)人信息公開的諸多事項(xiàng)，二是自我決定個(gè)人信息處理的諸多流程[3]。進(jìn)一步而言，“人臉識(shí)別信息具備人格權(quán)益”的依據(jù)在于該類信息能夠直接影響到自然人對識(shí)別自身身份可能性的控制能力，無法實(shí)現(xiàn)信息空間中的“個(gè)人自由”。需要說明的是，自然人對人臉識(shí)別信息享有人格權(quán)益并不是承認(rèn)存在所謂的“人臉識(shí)別信息權(quán)”?！睹穹ǖ洹肺匆浴皞€(gè)人信息權(quán)”的形式確定新型人格權(quán)利的原因在于回避有關(guān)權(quán)益具化阻礙數(shù)據(jù)和信息自由流動(dòng)的爭議。事實(shí)上，無論是“人臉識(shí)別信息權(quán)”，還是“個(gè)人信息權(quán)”，這些對個(gè)人信息權(quán)益的具體表達(dá)實(shí)際上并不重要，重要的是這些新型人格權(quán)益的內(nèi)容與保護(hù)方式⑥。同時(shí)，自然人對人臉識(shí)別信息享有人格權(quán)益并不排除信息處理者對人臉識(shí)別信息享有財(cái)產(chǎn)權(quán)益，因?yàn)槿四樧R(shí)別信息的形成需要信息處理者支付涉及面部特征提取算法、人臉數(shù)據(jù)采集、構(gòu)建“人臉大數(shù)據(jù)”等信息處理環(huán)節(jié)的成本，這種“勞動(dòng)支出”⑦決定了人臉識(shí)別信息的保護(hù)方式不能以“完全限制”或“嚴(yán)苛限制”的方式為主，而是要在兩個(gè)層面強(qiáng)化對人臉識(shí)別信息的事前保護(hù)，避免因信息復(fù)制成本低廉和指數(shù)式傳播等基本特性導(dǎo)致的損害結(jié)果不可彌補(bǔ)：一是明確規(guī)范信息處理者在信息收集、比對、分析等處理環(huán)節(jié)的具體義務(wù)，明確人臉數(shù)據(jù)與特定自然人身份信息比對的必要性與合比例性；二是在承認(rèn)信息處理者、控制者的經(jīng)濟(jì)性支出的基礎(chǔ)上，細(xì)化人臉識(shí)別技術(shù)應(yīng)用的合法標(biāo)準(zhǔn)和例外情形，包括用戶表示同意和撤回同意等實(shí)際方式。

四、人臉識(shí)別技術(shù)應(yīng)用的修繕式解釋與填補(bǔ)式標(biāo)準(zhǔn)設(shè)計(jì)

(一)《民法典》第1035條的修繕式解釋

在現(xiàn)行立法框架下，人臉識(shí)別信息終究是“個(gè)人信息”的子概念，始終需要遵循個(gè)人信息保護(hù)的一般規(guī)則，“知情同意”理所當(dāng)然地應(yīng)當(dāng)同樣適用于人臉識(shí)別信息保護(hù)。《民法典》第1035條所確立的“知情同意”要求信息處理者在處理個(gè)人信息時(shí)應(yīng)當(dāng)征得自然人或其監(jiān)護(hù)人同意，并告知自然人有關(guān)信息處理的目的、方式和范圍等事項(xiàng)，但該規(guī)則在適用于人臉識(shí)別技術(shù)生成、處理人臉識(shí)別信息的過程中需要進(jìn)一步完善“知情同意”的可操作性。在商業(yè)實(shí)踐中，如何在公共場合獲取自然人或其監(jiān)護(hù)人“同意”、如何判斷自然人是否對人臉信息處理行為“知情”“同意”是否能夠撤回等問題直接影響到人臉識(shí)別技術(shù)的應(yīng)用模式選擇，現(xiàn)有“知情同意”缺乏具體標(biāo)準(zhǔn)去衡量場景化視域下個(gè)人信息的保護(hù)。國內(nèi)學(xué)界有關(guān)“知情同意”的討論大多也是圍繞“一般人理性知情”和“差異化知情”等判斷標(biāo)準(zhǔn)展開論述，有觀點(diǎn)認(rèn)為基于信息社會(huì)的復(fù)雜性，“同意”的適用方式隨著個(gè)人信息類型的變化而有所偏移[6]， “同意”是“知情”的決策結(jié)果，且內(nèi)容應(yīng)當(dāng)是具體內(nèi)容，而非概括式同意[8]。還有學(xué)者主張知情同意的本質(zhì)為“風(fēng)險(xiǎn)分配”，通過用戶協(xié)議等方式以“同意授權(quán)”重構(gòu)自然人與信息處理者之間的信賴關(guān)系[9]。從個(gè)人信息保護(hù)實(shí)踐來看，知情同意原則的局限性是客觀存在的，通過“同意”來實(shí)現(xiàn)充分的信息自決或意思自治僅是立法所追求的理想法益狀態(tài)，該項(xiàng)制度在商業(yè)實(shí)踐中已經(jīng)演變?yōu)樾刨嚨闹匦陆?gòu)，一方面，自然人通過知情同意原則建構(gòu)起對信息處理活動(dòng)的初步信賴；另一方面，信息處理者在遵守前述“信賴”內(nèi)容的基礎(chǔ)上完成信息的自由流動(dòng)。因此，需要明確的是，以“知情同意”規(guī)制人臉識(shí)別技術(shù)應(yīng)用并非是苛求信息處理者支付一定的經(jīng)濟(jì)成本完成權(quán)利保障，而是通過信息處理活動(dòng)的規(guī)范化確保個(gè)人信息的合理使用。在此業(yè)務(wù)領(lǐng)域，立法所需要明確的是如何判斷信息處理者是否采取必要措施規(guī)避個(gè)人信息處理活動(dòng)的安全風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)。例如，非政府部門及其委托機(jī)構(gòu)在公共場所采集人臉圖像時(shí)，信息處理者應(yīng)當(dāng)以“醒目”的標(biāo)識(shí)提醒自然人已經(jīng)進(jìn)入人臉圖像采集范圍；通過智能設(shè)備采集人臉圖像時(shí)，應(yīng)當(dāng)以字體加粗、高亮突出、授權(quán)同意等方式強(qiáng)化用戶對人臉圖像采集和人臉識(shí)別信息使用范圍的基本認(rèn)知。除此之外，囿于專業(yè)知識(shí)有限、技術(shù)實(shí)現(xiàn)的可能性等諸多因素，用戶不可能對所有人臉識(shí)別信息的處理活動(dòng)有著足夠且清晰的認(rèn)知，法律法規(guī)所要規(guī)定的“同意”應(yīng)當(dāng)為一般理性人的概括式同意，即以一般理性人所能認(rèn)知和預(yù)測的信息處理目的、范圍和方式為實(shí)際內(nèi)容，至于部分學(xué)者所提出的逐項(xiàng)點(diǎn)擊“同意”信息處理行為，既不符合人臉識(shí)別技術(shù)的實(shí)踐現(xiàn)狀，也不符合用戶使用信息服務(wù)的習(xí)慣。

(二)人臉識(shí)別技術(shù)安全標(biāo)準(zhǔn)的“填補(bǔ)式”風(fēng)險(xiǎn)治理

在現(xiàn)代“風(fēng)險(xiǎn)社會(huì)”理論框架下，英國學(xué)者珍妮·斯蒂爾將貝克和吉登斯的“反思性現(xiàn)代性”特點(diǎn)總結(jié)為不良結(jié)果與決策的關(guān)聯(lián)深化，即出現(xiàn)預(yù)料之外的風(fēng)險(xiǎn)事件，人們側(cè)重于確定該事件背后的人為原因[10]。信息技術(shù)創(chuàng)新所帶來的社會(huì)風(fēng)險(xiǎn)雖然同工業(yè)社會(huì)的“現(xiàn)代風(fēng)險(xiǎn)”均屬于人為引發(fā)的客觀風(fēng)險(xiǎn)，但前種風(fēng)險(xiǎn)因技術(shù)和人為因素的無序組合難以直接追求人為原因。即便通過法律法規(guī)苛以事前的法律義務(wù)來規(guī)避風(fēng)險(xiǎn)，何種限度的法律義務(wù)能夠兼顧風(fēng)險(xiǎn)最小化與產(chǎn)業(yè)發(fā)展兩種法益尚未可知，更遑論公法層面的直接監(jiān)管。盡管刷臉支付、刷臉出入等技術(shù)應(yīng)用模式已經(jīng)相當(dāng)普及，但這并不能說明人臉識(shí)別技術(shù)自身已經(jīng)處于完全成熟的階段，相關(guān)的破解技術(shù)與安全問題同樣存在。當(dāng)下，立法者所要明確的并非是人臉識(shí)別技術(shù)如何進(jìn)行監(jiān)管，而是如何明確與解釋圍繞人臉識(shí)別信息的權(quán)利義務(wù)關(guān)系，避免行政監(jiān)管可能造成的技術(shù)創(chuàng)新枷鎖。當(dāng)然，這并不意味著放棄監(jiān)管，而是以技術(shù)標(biāo)準(zhǔn)的方式規(guī)范人臉識(shí)別信息的處理活動(dòng)，形成行業(yè)內(nèi)統(tǒng)一的行為規(guī)范降低新興信息技術(shù)的安全風(fēng)險(xiǎn)。同時(shí)，信息處理者是否遵循相應(yīng)的行業(yè)標(biāo)準(zhǔn)也將成為司法審判中判斷責(zé)任歸屬之依據(jù)，技術(shù)引發(fā)的現(xiàn)代化風(fēng)險(xiǎn)也于此在信息處理者與自然人之間進(jìn)行再次分配。技術(shù)標(biāo)準(zhǔn)與法律責(zé)任的關(guān)聯(lián)意味著技術(shù)標(biāo)準(zhǔn)自身需要以個(gè)人信息保護(hù)的“安全、合法、正當(dāng)且必要”基本原則為核心理念，將人臉識(shí)別技術(shù)按照信息處理流程切割為人臉識(shí)別信息系統(tǒng)的代碼編寫與系統(tǒng)架構(gòu)設(shè)計(jì)、人臉圖像的采集、人臉識(shí)別信息的關(guān)聯(lián)比對、人臉識(shí)別信息的更新、維護(hù)與刪除等諸多環(huán)節(jié)。在個(gè)人信息保護(hù)的早期研究中，“收集—分析—處理—存儲(chǔ)—?jiǎng)h除”式的全生命周期一直被學(xué)者們奉為圭臬，但如今值得質(zhì)疑的是，基于信息全生命周期的規(guī)范內(nèi)容是否能夠真正適用于信息處理實(shí)踐活動(dòng)？在人臉識(shí)別技術(shù)應(yīng)用中，安全風(fēng)險(xiǎn)的產(chǎn)生根源除了以往的數(shù)據(jù)挖掘、大數(shù)據(jù)分析等具體環(huán)節(jié)之外，還在于技術(shù)本身的不確定性。因此，在技術(shù)標(biāo)準(zhǔn)中，或許可以借鑒歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)的“經(jīng)由設(shè)計(jì)的數(shù)據(jù)保護(hù)”思路，除了提供一般意義上的個(gè)人信息處理行為規(guī)范，強(qiáng)化人臉識(shí)別技術(shù)對個(gè)人信息安全的影響評估，包括人臉大數(shù)據(jù)建構(gòu)的合規(guī)性評估、人臉識(shí)別技術(shù)更新的安全評估、人臉識(shí)別信息及其數(shù)據(jù)庫的更新維護(hù)評估等內(nèi)容，盡可能在事前階段完成信息安全風(fēng)險(xiǎn)的最大化分散。例如，在人臉大數(shù)據(jù)的建構(gòu)過程中，信息處理者應(yīng)當(dāng)評估人臉圖像數(shù)據(jù)來源的合法性，不得未經(jīng)自然人同意擅自采集其人臉圖像。又如，集團(tuán)公司應(yīng)當(dāng)對人臉識(shí)別信息的共享開放進(jìn)行安全性和合規(guī)性評估，評估內(nèi)部共享人臉識(shí)別信息和向政府部門共享人臉識(shí)別信息的安全性。這種評估并非無源之水，而是可以嵌入至《數(shù)據(jù)安全法(征求意見稿)》第四章“數(shù)據(jù)安全保護(hù)義務(wù)”中，既是第25條“開展數(shù)據(jù)活動(dòng)應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和國家標(biāo)準(zhǔn)的強(qiáng)制性要求”的基本內(nèi)容之一，也是第28條“重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對其數(shù)據(jù)活動(dòng)定期開展風(fēng)險(xiǎn)評估”的應(yīng)有之義。

五、余論

觀之個(gè)人信息保護(hù)的現(xiàn)有觀點(diǎn)與論證，或是以個(gè)人信息的權(quán)益內(nèi)容為切口，或是在“信息主體—信息控制者”的主體論范式下討論權(quán)益平衡，觀察視角不盡相同，但在法理層面，始終無法回避對技術(shù)中立難題的自覺性研究。在信息技術(shù)變革的浪潮下，沒有任何法律客體能夠“獨(dú)善其身”。法律對技術(shù)最合理的回應(yīng)莫過于參與技術(shù)的重構(gòu)過程，維系法律價(jià)值與技術(shù)價(jià)值的內(nèi)在統(tǒng)一[15]。《民法典》作為中國“承上啟下”的第一部法典，承接了既有的民事法律制度，同時(shí)也開啟了“信息民法”“綠色民法”的新道路。人臉識(shí)別技術(shù)作為諸多商業(yè)活動(dòng)的主流技術(shù)架構(gòu)，天然地具備民商法調(diào)整的必要性和優(yōu)先性，如若將行政管制主義置于優(yōu)先順位，只會(huì)促成行政監(jiān)管對技術(shù)應(yīng)用的制度束縛。自然人對人臉識(shí)別信息所享有的民事權(quán)益可從《民法典》第126條“其他民事權(quán)利和利益”尋求正當(dāng)性基礎(chǔ)，這并非是數(shù)據(jù)時(shí)代“權(quán)利泛化”的表征[16]，而是對《民法典》第1034條的合理解讀和延伸。在“后民法典”時(shí)代，《民法典》立法工作重心已然轉(zhuǎn)向司法實(shí)踐中對具體條款的解讀與適用。進(jìn)一步而言，司法機(jī)關(guān)所要面對的特殊個(gè)人信息絕非人臉識(shí)別信息只此一種，健康醫(yī)療信息、未成年人身份信息等其他特殊個(gè)人信息同樣有賴于法院擴(kuò)大解釋個(gè)人信息保護(hù)的具體規(guī)則。同時(shí)，借助技術(shù)安全標(biāo)準(zhǔn)等可操作性規(guī)范性文件補(bǔ)足“是否履行個(gè)人信息保護(hù)義務(wù)”的判斷標(biāo)準(zhǔn)，達(dá)成“經(jīng)設(shè)計(jì)的信息保護(hù)”之法律效果。

注釋：

① 參見：《科學(xué)數(shù)據(jù)管理辦法》第10條、《“十三五”國家信息化規(guī)劃》《信息通信行業(yè)發(fā)展規(guī)劃(2016—2020年)》《工業(yè)數(shù)據(jù)分類分級指南(試行)》第5條、第6條。

② 美國舊金山政府于2019年5月通過“停止秘密監(jiān)視條例”(Stop Secret Surveillance)，全面禁止舊金山市政府機(jī)構(gòu)使用人臉識(shí)別監(jiān)管技術(shù)。參見：Shirin Ghaffary， San Francisco’s facial recognition technology ban, explained，網(wǎng)址為：https://www.vox.com/recode/2019/5/14/18623897/san-francisco-facial-recognition-ban-explained。美國加州奧克蘭于2019年7月通過禁止在公共場所使用人臉識(shí)別技術(shù)的法令，原因是該項(xiàng)技術(shù)具有不準(zhǔn)確性，存在侵害公民權(quán)益的風(fēng)險(xiǎn)，并且尚未形成相應(yīng)的技術(shù)安全標(biāo)準(zhǔn)。參見：Carolinr Haskins，Oakland becomes third U.S. city to ban facial recognition，網(wǎng)址為：https://www.vice.com/en_us/article/zmpaex/oakland-becomes-third-us-city-to-ban-facial-recognition-xz。美國波士頓市議會(huì)于2020年6月通過人臉識(shí)別監(jiān)控的禁令，禁止任何市政官員通過第三方機(jī)構(gòu)進(jìn)行人臉識(shí)別監(jiān)控。參見：Ally Jarmanning，Boston bans use of facial recognition technology. It’s the 2nd-largest city to do so，網(wǎng)址為：https://www.wbur.org/news/2020/06/23/boston-facial-recognition-ban。

③ 參見：《網(wǎng)絡(luò)安全法》第76條：個(gè)人信息，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。

④ 參見:《信息安全技術(shù) 個(gè)人信息安全規(guī)范》關(guān)于“個(gè)人敏感信息”的定義：個(gè)人敏感信息是指一旦泄露、非法提供或者濫用可能危害人身和財(cái)產(chǎn)安全，極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇的個(gè)人信息。

⑤ 事實(shí)上，早已有學(xué)者個(gè)人信息的識(shí)別并非如同人們認(rèn)知物那般客觀與準(zhǔn)確，所謂的“可識(shí)別”，尤其是“間接識(shí)別”實(shí)際上是“隨著擁有數(shù)據(jù)的主體、使用的場景、數(shù)據(jù)保護(hù)的期限、技術(shù)的發(fā)展而變化”，因而個(gè)人信息的界定也表現(xiàn)為“動(dòng)態(tài)性”與“場景化”。參見:齊愛民,張哲《識(shí)別與再識(shí)別: 個(gè)人信息的概念界定與立法選擇》， 《重慶大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)》，2018年24卷第2期，第125—126頁。

⑥ 有學(xué)者在人格權(quán)編選擇“個(gè)人信息權(quán)益”還是“個(gè)人信息權(quán)”時(shí)指出：“個(gè)人信息的權(quán)益的名稱如何對于自然人并不重要，重要的是對于該權(quán)益的性質(zhì)、內(nèi)容和保護(hù)方式加以明確，而正是后者決定了這種權(quán)益究竟是權(quán)利還是利益，如果是權(quán)利，究竟是效力多強(qiáng)的權(quán)利?！眳⒁姡撼虈[《我國〈民法典〉個(gè)人信息保護(hù)制度的創(chuàng)新與發(fā)展》，《財(cái)經(jīng)法學(xué)》2020年第4期，第34—35頁。

⑦ 在2018年12月的淘寶(中國)軟件有限公司訴安徽美景信息科技有限公司不正當(dāng)競爭二審案件中，法院判決首次提出大數(shù)據(jù)產(chǎn)品的財(cái)產(chǎn)權(quán)益歸屬原則——“誰付出勞動(dòng)，誰享有產(chǎn)權(quán)”，類似于英美法系早期版權(quán)保護(hù)的“額頭流汗標(biāo)準(zhǔn)”。