周 行(中國(guó)政法大學(xué) 國(guó)際法學(xué)院，北京 100080)

近年，人臉識(shí)別技術(shù)被廣泛運(yùn)用于社會(huì)生活的各個(gè)方面，發(fā)揮著舉足輕重的作用。例如，許多小區(qū)采用人臉識(shí)別技術(shù)作為門禁，只有刷臉才能進(jìn)入小區(qū)[1]；人臉識(shí)別被學(xué)校作為日常管理的技術(shù)工具[2]。這一技術(shù)在給社會(huì)治理帶來許多便利的同時(shí)，也引發(fā)了人們的擔(dān)憂。相比于一般個(gè)人信息，人臉信息具有直接識(shí)別性、不可更改性、易獲取等特征。一旦發(fā)生信息泄露，或被非法利用，極易導(dǎo)致公民的名譽(yù)、健康受到損害或遭受歧視性待遇，其造成的損害往往難以彌補(bǔ)。因此，對(duì)于人臉信息的收集和使用，無論是出于公共管理目的還是商業(yè)目的，都應(yīng)當(dāng)高度謹(jǐn)慎。而我國(guó)在法律規(guī)范上尚未給予人臉信息保護(hù)足夠關(guān)注。筆者從人臉信息與人格尊嚴(yán)的關(guān)系出發(fā)，探討人臉信息保護(hù)的憲法保護(hù)基礎(chǔ)，并對(duì)部門法的立法進(jìn)行約束和指引，在法律層面為人臉信息保護(hù)搭建三重相互配合、協(xié)調(diào)發(fā)展的法律保護(hù)體系，并確立個(gè)人信息安全的政府標(biāo)準(zhǔn)和市場(chǎng)標(biāo)準(zhǔn)，形成標(biāo)準(zhǔn)和法律相互配合、相互依賴的多元規(guī)范保護(hù)體系。

一、人臉信息保護(hù)的憲法基礎(chǔ)——人格尊嚴(yán)

(一)人臉信息保護(hù)與人格尊嚴(yán)保障關(guān)系密切

我國(guó)憲法第38條規(guī)定：“中華人民共和國(guó)公民的人格尊嚴(yán)不受侵犯”。在這一表述中，能夠確立起人臉信息保護(hù)的規(guī)范基礎(chǔ)。

首先，人臉在社會(huì)文化中的意義和功能，使其內(nèi)在蘊(yùn)含著人的尊嚴(yán)[3]。在社會(huì)交際中，常從一個(gè)人的臉上發(fā)現(xiàn)一些非語言信息以判定其情感、觀點(diǎn)、態(tài)度等，也就是說“臉”不僅有生理的面向，更有社會(huì)的面向，包括一個(gè)人在社會(huì)中的身份、地位、受尊敬的程度等，即俗話所說的“面子”[4]。因此，人臉技術(shù)的不正當(dāng)利用會(huì)貶損人格尊嚴(yán)，如“深偽技術(shù)”的惡意利用使得犯罪分子能夠在淫穢色情等視頻中換臉，最新的深偽技術(shù)還能實(shí)現(xiàn)對(duì)聲音和口型的編輯，進(jìn)行極其精準(zhǔn)的操控，也就是說，能讓任何人在鏡頭前，按照其他人寫的劇本來講話，完全可以以假亂真[5〗。這種技術(shù)的不當(dāng)利用會(huì)對(duì)當(dāng)事人的人格尊嚴(yán)造成嚴(yán)重的傷害。

其次，政府對(duì)公民生活的過度監(jiān)控在無形中會(huì)對(duì)公民人格尊嚴(yán)造成傷害。在大數(shù)據(jù)時(shí)代，國(guó)家會(huì)運(yùn)用各種監(jiān)控工具進(jìn)行風(fēng)險(xiǎn)監(jiān)測(cè)、預(yù)防和應(yīng)對(duì)，但是當(dāng)這些監(jiān)控技術(shù)被廣泛用于公共場(chǎng)所的安保，大到機(jī)場(chǎng)、火車站，小到小區(qū)門禁、地鐵安檢都安裝了人臉識(shí)別設(shè)備的時(shí)候，就會(huì)造成對(duì)公民生活的過度干預(yù)，會(huì)讓公民產(chǎn)生犯罪嫌疑人般被監(jiān)督并時(shí)刻需要提防的心理，感受到社會(huì)對(duì)自己極大的不信任感，這也是對(duì)公民人格尊嚴(yán)的貶損。

再次，人臉信息收集的知情同意原則的泛化與失靈，會(huì)對(duì)人格尊嚴(yán)與自由意志造成侵犯。在我國(guó)法律制度上,現(xiàn)有的個(gè)人信息保護(hù)專門規(guī)定或條款的核心內(nèi)容均為“個(gè)人知情同意”,但“同意”的真實(shí)性值得懷疑：有的是“被迫同意”，例如我國(guó)的“人臉識(shí)別第一案”中，郭兵被短信告知?jiǎng)游飯@將啟用人臉識(shí)別系統(tǒng)。根據(jù)短信中的內(nèi)容，若不參與升級(jí)則無法入園[6]。還有的是“無意同意”。每一個(gè)人的理性是有限的，由于信息的不對(duì)稱、較低的自我安全保護(hù)意識(shí)，可能并不知道“同意”的真正意義，并不愿意承擔(dān)“同意”所可能產(chǎn)生的后果。無論哪一種情況，都是對(duì)知情同意原則的削弱，更是對(duì)當(dāng)事人自由意志和人格尊嚴(yán)的侵犯。

最后，算法偏差帶來的算法歧視危及到個(gè)人自由平等和人格尊嚴(yán)。在國(guó)外，警察在偵查活動(dòng)中廣泛運(yùn)用由算法模型系統(tǒng)主導(dǎo)的預(yù)測(cè)警務(wù)系統(tǒng)引發(fā)了社會(huì)民眾對(duì)種族歧視的擔(dān)憂。據(jù)麻省理工的研究表明，以防控犯罪為例，運(yùn)用于警情控制的人臉識(shí)別技術(shù)，將非白人誤認(rèn)為犯罪的概率遠(yuǎn)大于白人[7]；在國(guó)內(nèi)，近年來,“大數(shù)據(jù)殺熟”引發(fā)社會(huì)廣泛關(guān)注和爭(zhēng)論。這些關(guān)注與爭(zhēng)論，從不同側(cè)面反映出算法歧視問題的嚴(yán)重性和緊迫性[8]。一旦人工智能的算法存在設(shè)計(jì)漏洞，就可能導(dǎo)致其對(duì)數(shù)據(jù)分析解讀產(chǎn)生歪曲和錯(cuò)亂，進(jìn)而產(chǎn)生不合理的歧視結(jié)果[9]。

由此可見，每個(gè)人的人臉信息與人格尊嚴(yán)關(guān)系密切，如果對(duì)人臉信息不加節(jié)制地使用甚至是濫用，將會(huì)損害公民的自我決定權(quán)，抑制公民在監(jiān)視空間內(nèi)的表達(dá)權(quán)，加深現(xiàn)有的歧視甚至造成新的歧視[10]。

(二)人格尊嚴(yán)進(jìn)路對(duì)人臉信息保護(hù)的意義

首先，強(qiáng)調(diào)國(guó)家對(duì)公民人臉信息的保護(hù)義務(wù)。在平臺(tái)經(jīng)濟(jì)時(shí)代，每個(gè)獨(dú)立的自然人面對(duì)的都是擁有技術(shù)霸權(quán)的信息掌控者，普通公眾基本無從知道自己在多大程度、有多少數(shù)量的個(gè)人數(shù)據(jù)和信息已被他人掌控。這就意味著，當(dāng)下日益加劇的巨大“信息壟斷”和“信息鴻溝”，明顯危及到個(gè)人隱私、自由平等和人格尊嚴(yán)[11]。因此，面對(duì)個(gè)人與信息處理者之間存在的持續(xù)性不平等關(guān)系，需要國(guó)家轉(zhuǎn)變消極的“守夜人”角色，通過強(qiáng)有力的規(guī)制手段保護(hù)處于弱勢(shì)地位的個(gè)人，因此明確人臉信息保護(hù)的憲法理論依據(jù)有助于促進(jìn)國(guó)家履行其在個(gè)人信息問題上的保護(hù)義務(wù)，避免國(guó)家權(quán)力消極不作為[12]。

其次，防止公權(quán)力對(duì)公民人臉信息造成侵害。國(guó)家權(quán)力的參與雖然有保護(hù)人臉信息的作用，但同時(shí)也意味著國(guó)家對(duì)個(gè)人生活的干預(yù)，因此需要防止國(guó)家以保護(hù)為名侵害公民的基本權(quán)利。在公共安全事件期間，身份碼技術(shù)在災(zāi)情防控、風(fēng)險(xiǎn)研判和復(fù)工復(fù)產(chǎn)等方面的創(chuàng)新應(yīng)用，其運(yùn)行應(yīng)當(dāng)要經(jīng)得起正當(dāng)性檢驗(yàn)：一方面，公共利益構(gòu)成對(duì)個(gè)人信息權(quán)的正當(dāng)限制，政府為了保護(hù)公眾生命健康可以對(duì)個(gè)人信息進(jìn)行干預(yù)與限制；另一方面，需要通過比例原則限定信息收集和使用的范圍，通過法律保留原則限定信息收集主體，以將身份碼引發(fā)的個(gè)人信息安全風(fēng)險(xiǎn)控制在合理范圍內(nèi)。

最后，對(duì)部門法的立法進(jìn)行約束和指引。憲法作為一種“框架秩序”，通過“人格尊嚴(yán)”條款明確了憲法對(duì)部門法領(lǐng)域?qū)θ四樞畔⒈Ｗo(hù)問題的價(jià)值和規(guī)范設(shè)定，并通過更為具體的法律規(guī)范將人臉信息保護(hù)落實(shí)為部門法秩序[13]。立法者制定有關(guān)人臉信息保護(hù)的法律規(guī)范，要以保護(hù)人格尊嚴(yán)為出發(fā)點(diǎn)和落腳點(diǎn)，在對(duì)各種利益進(jìn)行權(quán)衡比較時(shí)，最不能放棄的價(jià)值就是公民的人格尊嚴(yán)。

綜上所述，人臉信息保護(hù)具有憲法上的理論依據(jù)，在明確國(guó)家目標(biāo)的同時(shí)，留給立法者判斷和裁量空間，通過部門法對(duì)人臉信息的采集和處理方式進(jìn)行具體化的制度落實(shí),即“通過立法發(fā)展憲法”[14]。由此，人臉信息的保障就能在憲法和具體部門法的張力與平衡中逐漸發(fā)展完善。

二、人臉信息保護(hù)的法律體系建構(gòu)

(一)《民法典》為人臉信息提供一般性法律保護(hù)

《民法典》第1034條第二款規(guī)定：“個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號(hào)碼、生物識(shí)別信息、住址、電話號(hào)碼、電子郵箱、健康信息、行蹤信息等?！?/p>

其中，“生物識(shí)別信息”是指與自然人的身體、生理或行為特征有關(guān)的基于特定技術(shù)處理產(chǎn)生的個(gè)人數(shù)據(jù)，這些數(shù)據(jù)可以確認(rèn)該自然人的獨(dú)特身份(1)GDPR, Art.4(14); Regulation (EU) 2018/1725, Art.3(18).?？傮w上可以分為身體信息和行為信息。身體信息是個(gè)人先天的生理信息，包括面部圖像、指紋、手掌靜脈、視網(wǎng)膜、虹膜和DNA樣本等;行為信息是個(gè)人后天形成的行為信息，包括筆跡、打字節(jié)奏、步態(tài)和聲音等[15]。人臉信息作為個(gè)人信息中生物識(shí)別信息的一種，《民法典》能夠?yàn)槠涮峁┙y(tǒng)一的一般性保護(hù)。

《民法典》對(duì)個(gè)人信息的保護(hù)與隱私權(quán)保護(hù)有著密不可分的聯(lián)系(2)如給人格權(quán)編第六章取名為“隱私權(quán)與個(gè)人信息保護(hù)”，又如在第1034條中規(guī)定：“個(gè)人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個(gè)人信息保護(hù)的規(guī)定?！?。一方面，在大數(shù)據(jù)技術(shù)的廣泛運(yùn)用之下，出現(xiàn)人臉信息隱私化的趨勢(shì)。在傳統(tǒng)社會(huì)，縱使個(gè)人身處公共場(chǎng)所，人臉會(huì)被其他人看到，但是并不意味著會(huì)被別人辨識(shí)出身份，因此本不屬于隱私的范疇。但是，在信息社會(huì)，人臉如果被設(shè)備捕捉記錄，經(jīng)過數(shù)據(jù)和算法加工，就可以識(shí)別出身份。美國(guó)學(xué)者Ruth Gavison認(rèn)為，隱藏身份是隱私的重要組成部分，其指出隱私是由三個(gè)各自獨(dú)立但又相互關(guān)聯(lián)的要素組合而成，分別為保持秘密、隱藏身份和離群獨(dú)處。其中，他認(rèn)為“隱藏身份”是指?jìng)€(gè)體在多大程度上成為他人關(guān)注的對(duì)象，一個(gè)人一旦成為眾人關(guān)注的對(duì)象便會(huì)失去隱私[16]，因此，人臉識(shí)別技術(shù)的身份識(shí)別功能會(huì)對(duì)公民隱私權(quán)造成挑戰(zhàn)。另一方面，隱私信息化使得隱私的范圍與概念需要重塑。在信息社會(huì)，公民的隱私也經(jīng)常以信息化的方式呈現(xiàn)，其蘊(yùn)含的巨大商業(yè)價(jià)值，導(dǎo)致許多人企圖憑借技術(shù)手段從中牟利。美國(guó)圣地亞哥的一家人工智能公司Kneron團(tuán)隊(duì)用一個(gè)特制的3D面具，成功欺騙了支付寶和微信的人臉識(shí)別支付系統(tǒng)，完成了購物支付程序[16]。因此，當(dāng)人臉等原本社會(huì)公開的信息可用于流通牟利，隱私的范圍也需重新考慮[17]。即使人臉信息與隱私權(quán)有著密切聯(lián)系，但是隱私權(quán)進(jìn)路尚不能完全滿足人臉信息保護(hù)的要求。首先，隱私權(quán)保護(hù)與人臉信息保護(hù)的法律結(jié)構(gòu)不同。人臉信息的主體不限于信息本身的主體，還涉及人臉信息的數(shù)據(jù)控制者，人臉信息主體可以自主控制或允許數(shù)據(jù)控制者利用，從而發(fā)揮該信息的經(jīng)濟(jì)與社會(huì)價(jià)值，這是傳統(tǒng)的隱私權(quán)觀念所不具備的。因此，單個(gè)個(gè)人生物識(shí)別信息的保護(hù)可以適用于隱私權(quán)規(guī)范，但是一旦涉及個(gè)人生物識(shí)別信息的數(shù)據(jù)控制者，則應(yīng)當(dāng)適用個(gè)人信息相關(guān)規(guī)范[18]。其次，隱私權(quán)保護(hù)邏輯無法滿足人臉信息的雙重屬性的要求。隱私權(quán)具有強(qiáng)烈的排他性和防御性，而人臉信息兼具個(gè)體屬性與公共流通屬性。簡(jiǎn)單地強(qiáng)調(diào)人臉信息的某一種屬性均不足以闡述人臉信息的本質(zhì)特征，也不足以為人臉信息保護(hù)搭建合理的法律框架[19]。因此，若僅將視角限于通過私法語境下的排他性隱私權(quán)以保護(hù)人臉信息，不利于信息時(shí)代下在商業(yè)和公務(wù)領(lǐng)域?qū)τ谌四様?shù)據(jù)的合理開發(fā)和有效利用[20]。

綜上，《民法典》將人臉信息作為個(gè)人信息的下位概念，能夠針對(duì)人臉信息和個(gè)人信息的共性問題提供一般性的法律保護(hù)，但是缺陷在于不能針對(duì)人臉信息的特殊性進(jìn)行具體法律保護(hù)，因而亟需制定一部能夠保護(hù)人臉信息的特殊性法律。

(二)《個(gè)人信息保護(hù)法》為人臉信息提供特殊法律保護(hù)

1.《個(gè)人信息保護(hù)法》的法律定位。在分析具體內(nèi)容之前，需要明確《個(gè)人信息保護(hù)法(草案)》(以下簡(jiǎn)稱《草案》)的性質(zhì)，以協(xié)調(diào)其與《民法典》的適用關(guān)系?！恫莅浮凡皇恰睹穹ǖ洹返南挛环?，而是保護(hù)個(gè)人信息的專門性法律、綜合性法律。從調(diào)整的法律關(guān)系看，《草案》同時(shí)處理三重關(guān)系：私人主體之間、國(guó)家與個(gè)人之間以及不平等的私法主體，即用戶與互聯(lián)網(wǎng)平臺(tái)之間[21]。因此，《草案》不必被《民法典》中的規(guī)則和思路所約束，而應(yīng)針對(duì)現(xiàn)有立法對(duì)個(gè)人信息保護(hù)的不足之處，基于《草案》本身的性質(zhì)和宗旨進(jìn)行補(bǔ)充完善。

隨著個(gè)人信息領(lǐng)域問題的專業(yè)化、復(fù)雜化，將來即將出臺(tái)的《個(gè)人信息保護(hù)法》必將成為保護(hù)個(gè)人信息的基礎(chǔ)法律，針對(duì)《民法典》的不足之處，對(duì)個(gè)人信息進(jìn)行進(jìn)一步的細(xì)化分類，為以人臉信息為代表的生物特征識(shí)別信息提供特殊法律保護(hù)。

2.人臉信息屬于敏感個(gè)人信息。我國(guó)《民法典》未對(duì)個(gè)人信息進(jìn)行進(jìn)一步分類，《草案》對(duì)個(gè)人信息做出了敏感個(gè)人信息和一般個(gè)人信息的區(qū)分，如第29條第2款規(guī)定：“敏感個(gè)人信息是一旦泄露或者非法使用，可能導(dǎo)致個(gè)人受到歧視或者人身、財(cái)產(chǎn)安全受到嚴(yán)重危害的個(gè)人信息，包括種族、民族、宗教信仰、個(gè)人生物特征、醫(yī)療健康、金融賬戶、個(gè)人行蹤等信息”。

人臉信息作為上述個(gè)人生物特征信息的一種，有著相比于其他一般個(gè)人信息，甚至是其他生物特征識(shí)別信息的特殊性。

一是人臉信息具有不可更改性，一旦泄露很難救濟(jì)。雖然從理論上講，任何數(shù)據(jù)都有泄露的風(fēng)險(xiǎn)，但與其他數(shù)據(jù)相比，電話號(hào)碼、銀行賬號(hào)及其他身份信息可以更改，而更改人臉信息的代價(jià)和成本過高，在人臉數(shù)據(jù)泄漏后選擇用整容的方式來救濟(jì)權(quán)利的方式并不可取，因此從某種程度上來說，人臉信息具有不可更改性。

二是人臉信息的收集具有不易察覺性。即使同屬生物識(shí)別信息，人臉信息也與指紋、基因等生物信息之間存在著重要區(qū)別。指紋、基因信息的獲取一般需要經(jīng)過刻意的方式，被獲取信息者往往知道有人正在獲取或者比對(duì)自己的個(gè)人信息。而人臉經(jīng)常在當(dāng)事人不自知的情況下被攝像頭捕捉，人臉信息更容易被收集利用。

三是人臉信息在大數(shù)據(jù)背景下有著勾連一切的屬性。通過人工智能的計(jì)算，人臉不僅能準(zhǔn)確地識(shí)別到信息主體，包括種族、膚色、健康狀況甚至情緒等情況[22]，而且能夠關(guān)聯(lián)出每個(gè)個(gè)體的重要信息。從更廣義的角度來說，“智慧城市”本身就是擴(kuò)大版的人臉識(shí)別技術(shù)，因?yàn)樗赶驘o數(shù)攝像頭、大數(shù)據(jù)技術(shù)、二維碼掃描，人們不僅被識(shí)別臉，也棲居在人臉識(shí)別之中[23]。

基于人臉信息的上述特性，人臉信息與公民的隱私權(quán)、名譽(yù)權(quán)、財(cái)產(chǎn)權(quán)等多種權(quán)益關(guān)系緊密，對(duì)人臉信息的不正當(dāng)使用對(duì)公民造成的侵害是長(zhǎng)久的、持續(xù)的、難以彌補(bǔ)的。因此，有必要將人臉信息納入敏感個(gè)人信息的范疇，為其提供更高標(biāo)準(zhǔn)的嚴(yán)格保護(hù)，同時(shí)更好地協(xié)調(diào)個(gè)人信息保護(hù)和利用的關(guān)系。

(三)行政、刑事法律為人臉信息提供多元法律保護(hù)

從行政法角度，一方面，在人臉信息的公共利用場(chǎng)景下，收集人臉信息必須基于公共利益的要求并遵循法定程序， 符合比例原則的要求，人臉信息作為個(gè)人敏感信息，就應(yīng)當(dāng)僅在追求“極為重要的公益目的”，且所采取者系與目的之達(dá)成具有“直接密切關(guān)聯(lián)之手段”時(shí)，始能通過比例原則審查的檢驗(yàn)[24]。另一方面，在人臉信息的商業(yè)利用場(chǎng)景下，發(fā)揮行政法在規(guī)制私人主體采集人臉信息中的重要作用。具體而言，可以建立生物識(shí)別技術(shù)與工具交易管理的行政許可制度[25]，明確規(guī)定具備何種資質(zhì)的私人主體才能收集公民人臉信息，出臺(tái)有關(guān)人臉識(shí)別設(shè)備安裝申請(qǐng)和人臉識(shí)別技術(shù)的安全檢驗(yàn)規(guī)則，避免企業(yè)或其他部門濫用職權(quán)。例如在公共安全防控實(shí)踐中，派出所、街道辦事處以及各居委會(huì)、村委會(huì)都對(duì)相關(guān)人員的通勤信息、個(gè)人家庭住址、身體狀況等個(gè)人信息進(jìn)行了收集和分析[26]，甚至對(duì)于人臉信息這種個(gè)人敏感信息均被作為企業(yè)性質(zhì)的小區(qū)物業(yè)收集，其實(shí),這些主體尚無法律授權(quán)。

從刑法角度，刑法保護(hù)人臉信息有著獨(dú)特的優(yōu)勢(shì)。刑法保護(hù)是以被告人為中心、以實(shí)施犯罪的行為人的行為為基本依據(jù)，按照法定的標(biāo)準(zhǔn)，符合標(biāo)準(zhǔn)就構(gòu)成犯罪，就可以按照構(gòu)成犯罪的事實(shí)和情節(jié)追究其刑事責(zé)任[27]。但是，我國(guó)現(xiàn)行刑事立法對(duì)人臉信息的保護(hù)存在缺陷，從我國(guó)刑法歷次修正案到《解釋》，立法者對(duì)公民個(gè)人信息的種類進(jìn)行列舉時(shí)，從來未提及人臉信息的上位概念“生物識(shí)別信息”一詞，這降低了該種類在公民個(gè)人信息中的特殊重要性。現(xiàn)在可能的突破口在于最高人民法院、最高人民檢察院出臺(tái)的《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》中第5條第1款第10項(xiàng)的“兜底條款”，用“其他情節(jié)嚴(yán)重的情形”將侵犯一定數(shù)量的公民生物識(shí)別信息作為法定刑升格，這就能從刑法解釋的角度實(shí)現(xiàn)對(duì)生物識(shí)別信息的特殊保護(hù)[28]，從而發(fā)揮刑法具有明確性、威懾性等優(yōu)勢(shì)，對(duì)人臉信息保護(hù)構(gòu)筑最后法律防線。

(四)三重法律保護(hù)之間的配合協(xié)調(diào)

人臉信息保護(hù)法益的復(fù)合性、多元化，決定了僅靠私法保護(hù)模式或是公法保護(hù)模式均無法有效保障其安全，因而有必要對(duì)我國(guó)人臉信息的法律保護(hù)作出系統(tǒng)性的制度安排[29]，使不同的法律在對(duì)人臉識(shí)別的規(guī)制上有著不同的規(guī)制對(duì)象和保護(hù)手段。若能實(shí)現(xiàn)三重法律之間的相互配合、協(xié)調(diào)發(fā)展，便能為人臉信息保護(hù)架構(gòu)起全面而有效的法律保護(hù)體系。

一方面，基于人臉信息的不同應(yīng)用場(chǎng)景，由不同法律對(duì)不同主體作出有所側(cè)重的規(guī)制，提供不同的救濟(jì)方式。人臉信息的應(yīng)用場(chǎng)景可以分為基于政務(wù)價(jià)值的公共利用和基于商業(yè)價(jià)值的市場(chǎng)利用[30]，由此對(duì)應(yīng)的主體分別是政府機(jī)關(guān)和商業(yè)主體。從公共利用角度，國(guó)家實(shí)際上已經(jīng)成為了個(gè)人生物識(shí)別信息最大的收集、處理、儲(chǔ)存和利用者，此時(shí)《民法典》這樣規(guī)制私人主體之間關(guān)系的法律已無用武之地。為了避免政府機(jī)關(guān)對(duì)人臉信息造成侵害，則應(yīng)當(dāng)由行政法發(fā)揮事前規(guī)制作用，如限制人臉信息的收集主體、收集范圍和收集方式，遵循法律保留原則、比例原則、法定程序原則。但是若政府機(jī)關(guān)已經(jīng)對(duì)人臉信息造成侵害，則主要采用國(guó)家賠償或達(dá)到一定程度由刑法進(jìn)行制裁單位犯罪。從商業(yè)利用角度，對(duì)侵害人臉信息的救濟(jì)主要采事后的民事救濟(jì)手段，此時(shí)由《民法典》和《個(gè)人信息保護(hù)法》配合起來對(duì)人臉信息提供法律保護(hù)，在《個(gè)人信息保護(hù)法》正式出臺(tái)之后，應(yīng)當(dāng)做好二者之間的銜接。由于只有《個(gè)人信息保護(hù)法》作出了個(gè)人敏感信息和個(gè)人一般信息的區(qū)分，則對(duì)于人臉信息的保護(hù)優(yōu)先適用個(gè)人信息保護(hù)法，個(gè)人信息保護(hù)法沒有規(guī)定的，再適用民法典。只有違反《個(gè)人信息保護(hù)法》的行為造成民事權(quán)益損害的，《民法典》才從民事責(zé)任追究方面進(jìn)行銜接[31]。涉及事中和事后的政府監(jiān)管時(shí)則由《個(gè)人信息保護(hù)法》和行政法中的有關(guān)規(guī)定發(fā)揮作用。

另一方面，建立三重法律統(tǒng)一適用的規(guī)則制度，即不做主體或法律關(guān)系區(qū)分，只要違背就是違法收集人臉信息。例如“知情同意”制度的貫徹與落實(shí)，無論是誰使用人臉識(shí)別技術(shù)，人們均有權(quán)拒絕“刷臉”。如果是在無競(jìng)爭(zhēng)性的服務(wù)領(lǐng)域(如民航、鐵路、學(xué)校、社區(qū)等)使用人臉識(shí)別技術(shù)，當(dāng)人們拒絕“刷臉”時(shí)，應(yīng)提供其他替代性的驗(yàn)證機(jī)制，而不能規(guī)定不“刷臉”就不能使用或進(jìn)入[32]。

綜上，三重法律保護(hù)雖然有各自不同的規(guī)制對(duì)象和規(guī)制特點(diǎn)，但是我們不能將每種法律保護(hù)方式孤立看待，需要將三重法律保護(hù)方式統(tǒng)一協(xié)調(diào)起來，以為人臉信息保護(hù)構(gòu)建全方面、多場(chǎng)景的法律保護(hù)體系。

三、個(gè)人信息安全標(biāo)準(zhǔn)為人臉信息提供支撐性保護(hù)

標(biāo)準(zhǔn)雖然不是《立法法》規(guī)定的正式法源，不具有形式上的拘束力，但是標(biāo)準(zhǔn)的規(guī)范性特征使得其作為“軟法”的組成部分，是“沒有法律拘束力但有實(shí)際效力的行為規(guī)則”[33]。在法治的背景之下，特別是在環(huán)境保護(hù)、產(chǎn)品質(zhì)量、科學(xué)技術(shù)等領(lǐng)域，標(biāo)準(zhǔn)發(fā)揮著不可或缺的重要作用，與法律一起，構(gòu)成相互聯(lián)系、相互配合、密不可分的規(guī)范體系。因此，完善個(gè)人信息安全標(biāo)準(zhǔn)將對(duì)人臉信息保護(hù)提供重要的支撐性作用。

(一)政府標(biāo)準(zhǔn)：充分發(fā)揮行政機(jī)關(guān)的預(yù)先規(guī)制作用

行政法中的行政處罰等措施更多強(qiáng)調(diào)事后的救濟(jì)，而一旦人臉信息遭到泄漏，其危害是不可逆、難以救濟(jì)的，因此僅僅運(yùn)用傳統(tǒng)的行政手段還不足以有效的保護(hù)人臉信息。通過政府標(biāo)準(zhǔn)的制定和實(shí)施，有助于充分發(fā)揮行政機(jī)關(guān)的預(yù)先規(guī)制作用，把人臉信息的保護(hù)時(shí)間提前，做好風(fēng)險(xiǎn)預(yù)防和控制工作。

2020年由中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院組織修訂的《信息安全技術(shù)個(gè)人信息安全規(guī)范》(以下簡(jiǎn)稱《個(gè)人信息安全規(guī)范》)是我國(guó)個(gè)人信息安全領(lǐng)域重要的國(guó)家標(biāo)準(zhǔn)。行政機(jī)關(guān)可以直接依據(jù)《個(gè)人信息安全規(guī)范》采取非正式監(jiān)管措施，如警示約談、行政檢查、勸導(dǎo)示范、行政指導(dǎo)、行政獎(jiǎng)勵(lì)等。這些措施雖然沒有強(qiáng)制效力且不存在制裁結(jié)果，但是企業(yè)出于政府政策優(yōu)惠和企業(yè)信譽(yù)的考量通常會(huì)予以遵守，從而發(fā)揮政府標(biāo)準(zhǔn)對(duì)企業(yè)利用個(gè)人信息合規(guī)化的行為規(guī)范和事前引領(lǐng)作用。

(二)市場(chǎng)標(biāo)準(zhǔn)：充分發(fā)揮市場(chǎng)主體的自我規(guī)制作用

在互聯(lián)網(wǎng)時(shí)代，由于人臉信息被廣泛商業(yè)利用，大量分散的個(gè)體和小型企業(yè)能夠借助數(shù)字平臺(tái)參與經(jīng)濟(jì)活動(dòng)，僅靠自上而下的監(jiān)管式保護(hù)會(huì)力不從心，此時(shí)通過制定市場(chǎng)標(biāo)準(zhǔn)提高企業(yè)對(duì)用戶信息保護(hù)的意識(shí)，推動(dòng)自下而上的自發(fā)式保護(hù)尤為重要。同時(shí)，我國(guó)現(xiàn)有的有關(guān)個(gè)人信息保護(hù)的法律規(guī)定存在過于抽象和滯后的特征，而市場(chǎng)主體在協(xié)商一致的基礎(chǔ)上制定的市場(chǎng)標(biāo)準(zhǔn)能夠即時(shí)總結(jié)實(shí)踐中的經(jīng)驗(yàn)教訓(xùn)，通過標(biāo)準(zhǔn)本身相對(duì)靈活、簡(jiǎn)便的制修訂活動(dòng)，事實(shí)上領(lǐng)先于法律規(guī)范實(shí)現(xiàn)了對(duì)現(xiàn)實(shí)變遷的回應(yīng)。

2020年11月27日，在阿里巴巴、華為、字節(jié)跳動(dòng)等多家互聯(lián)網(wǎng)企業(yè)的共同起草下，工信部組織發(fā)布了《APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范 人臉信息》團(tuán)體標(biāo)準(zhǔn)，規(guī)定了移動(dòng)應(yīng)用軟件對(duì)人臉信息的收集、使用、存儲(chǔ)、銷毀等活動(dòng)中的最小必要規(guī)范和評(píng)估方法，并通過個(gè)人信息處理活動(dòng)中的典型應(yīng)用場(chǎng)景來說明如何落實(shí)最小必要原則。這一市場(chǎng)標(biāo)準(zhǔn)的制定體現(xiàn)了我國(guó)移動(dòng)互聯(lián)網(wǎng)行業(yè)已經(jīng)具備一定的自律性，能夠自發(fā)進(jìn)行自我規(guī)制，主動(dòng)彌補(bǔ)法律保護(hù)人臉信息過于抽象的不足，成為人臉信息保護(hù)規(guī)范體系的有機(jī)組成部分。

人臉信息保護(hù)是數(shù)字經(jīng)濟(jì)、人工智能時(shí)代的核心命題，從規(guī)范層面為人臉信息提供前瞻性保護(hù)有著重要意義。在全面依法治國(guó)、建設(shè)法治國(guó)家的背景下，一方面，隨著科技的不斷發(fā)展，人臉信息保護(hù)的法律體系建構(gòu)將是法治體系中不可或缺的一環(huán)，另一方面，通過制定高水平的人臉信息保護(hù)的標(biāo)準(zhǔn)，為法律關(guān)于權(quán)利義務(wù)的配置提供科學(xué)技術(shù)上合理化的支持，將標(biāo)準(zhǔn)納入法治視野，從而進(jìn)一步提高法治水平，實(shí)現(xiàn)良法善治。