李 婕

（安徽大學(xué) 法學(xué)院，安徽 合肥 230601）

人臉識別技術(shù)廣泛應(yīng)用于政務(wù)辦理、交通出行、網(wǎng)絡(luò)消費等各個領(lǐng)域，同時引發(fā)了個人權(quán)利保護(hù)的擔(dān)憂。隨著“ZAO”換臉技術(shù)的應(yīng)用，非法采集他人人臉信息、冒用他人人臉進(jìn)行房屋過戶等事件層出不窮，對個人信息、財產(chǎn)安全等重要權(quán)利造成嚴(yán)重威脅。2021 年4 月9 日，郭兵訴杭州野生動物世界有限公司二審判決明確提出“生物識別信息應(yīng)當(dāng)更加謹(jǐn)慎處理和嚴(yán)格保護(hù)”，并判決杭州野生動物世界有限公司刪除郭兵的指紋識別信息。相較之下，當(dāng)前我國法學(xué)界主要就人臉識別的技術(shù)特征[1]75、法律風(fēng)險[2]106、國外人臉識別法律規(guī)定[3]52等問題進(jìn)行碎片化研究，尚未關(guān)注我國法律實踐中人臉識別信息的權(quán)利屬性與法律救濟(jì)問題，如何立足中國國情探索生物信息自決權(quán)這一新型權(quán)利的構(gòu)造與保護(hù)路徑，既是理論突破，也是實踐所需。

一、人臉識別技術(shù)對個人權(quán)利保護(hù)的挑戰(zhàn)

大數(shù)據(jù)時代，人臉識別在圖像收集、信息比對、信息流通等方面悄無聲息地侵犯公民的個人權(quán)利，“個人畫像”、背景調(diào)查的危害甚至相當(dāng)于未經(jīng)批準(zhǔn)的刑事搜查。雖然我國《網(wǎng)絡(luò)安全法》第四章規(guī)定了網(wǎng)絡(luò)運(yùn)營者收集信息的行為規(guī)范，但由于這些條款過于概括，根本無力阻止越演越烈的非法信息收集、流通等亂象，人臉識別技術(shù)濫用的后果也越加嚴(yán)重。具體而言，人臉識別對公民個人權(quán)利的挑戰(zhàn)主要表現(xiàn)在以下方面。

1.非法采集，侵犯公民知情權(quán)

人臉識別技術(shù)的普及使得不法分子非法采集公民的人臉信息，自行建立數(shù)據(jù)庫進(jìn)行比對。例如，某商家在網(wǎng)絡(luò)商城中公開出售17 萬條“人臉數(shù)據(jù)”，最終以“該商品已被下架”而不了了之；①《17 萬“人臉數(shù)據(jù)”公開售賣被下架 當(dāng)事人對此一無所知》，載http：//finance.sina.com.cn/chanjing/cyxw/2019-09-11/doc-iicezzrq4971719.shtml.售樓處偷偷采集看房者的人臉信息，用于確定客戶傭金分配等事件層出不窮。司法實踐中，很多APP 在注冊時強(qiáng)制對用戶進(jìn)行人臉信息采集，否則無法使用APP 功能——此時用戶“同意”APP 軟件收集自己的人臉信息實屬無奈，這種變相非法采集公民人臉信息的行為同樣侵犯了公民知情權(quán)。

2.秘密比對，侵犯公民隱私權(quán)

智能手機(jī)用戶隨便抓拍一張匿名人臉的照片上傳到Facebook 網(wǎng)站，網(wǎng)站將自動識別并提供最相近似照片的信息（即Facebook 的“標(biāo)簽建議”功能），而被拍照的人可能根本不知道她是被誰自動識別的。谷歌的Project Glass 技術(shù)能夠?qū)⑹謾C(jī)拍攝照片的比對效果直接顯示在鏡片上，頭戴“智能鏡片”者即便身處陌生人群，仍然能夠隨時了解他人的個人信息，此時被拍照者的職業(yè)、性格、教育背景、郵件地址等信息完全曝光在他人眼前。

3.信息泄露引發(fā)安全威脅

增強(qiáng)現(xiàn)實技術(shù)（Augmented Reality 簡稱“AR”）的發(fā)展促進(jìn)數(shù)據(jù)聯(lián)姻，特定的人臉信息與地理定位相結(jié)合很可能泄露身份者的信息，引發(fā)人身安全擔(dān)憂。如2011 年美國安全研究人員發(fā)現(xiàn)iPad 和iPhone 存儲了用戶“精確的地理位置”②Al-Fayed v.CIA，254 F.3d 300，310-11（D.C.Cir.2001）.，使得蘋果公司能夠時刻監(jiān)控用戶的行蹤軌跡。其次，人臉信息泄露或偽造導(dǎo)致身份盜竊。個人的面部信息是作為算法存儲的，這就導(dǎo)致了在特定數(shù)據(jù)庫中更改算法的可能性，或信息可能會被泄露或從系統(tǒng)中被竊取，進(jìn)而導(dǎo)致誤認(rèn)、冒充或身份盜竊。最后，人臉識別信息很可能被用于其他用途，即出現(xiàn)功能蠕變。美國曾出現(xiàn)個人同意提供照片以獲得護(hù)照，但其人臉圖像中的生物特征信息被用于執(zhí)法、安全或情報目的的現(xiàn)象。[4]127日常生活中，招聘單位告知應(yīng)聘者采集人臉信息為了登記，卻將人臉信息出賣給電信詐騙團(tuán)伙，此時面試者的財產(chǎn)權(quán)將處于詐騙風(fēng)險中。

二、國外人臉識別信息保護(hù)的經(jīng)驗分析

（一）歐美人臉識別信息保護(hù)模式考察

1.美國隱私權(quán)保護(hù)模式

美國伊利諾伊州2008 年頒布《生物信息隱私法》（The Biometric Information Privacy Act，下文簡稱BIPA）明確提出，人臉識別具備“生物識別符”（biometric identifiers）和“生物信息”（biometric information）的雙重特征；私人機(jī)構(gòu)在收集個人生物信息之前應(yīng)進(jìn)行書面通知，并獲得個人的同意，禁止私人機(jī)構(gòu)對自己掌握的生物識別符或生物信息出售、租賃、交易等方式獲利。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，美國參議院于 2019 年3 月提出《商業(yè)面部識別隱私法案》（Commercial Facial Recognition Privacy Act，下文簡稱CFRPA）擬從聯(lián)邦層面加以規(guī)定，禁止企業(yè)在未經(jīng)個人允許的情況下向其使用人臉識別技術(shù)?！都永Ｄ醽喯M者隱私法》（The California Consumer Privacy Act，下文簡稱CCPA）也規(guī)定“個體的生理、生物學(xué)或行為特征……可單獨或組合或與其他識別信息一起，以識別出某個特定的個人。生物信息包括但不限于虹膜、視網(wǎng)膜……和臉部的圖像，從中可以提取一個識別符，例如臉紋（faceprint）……”“德懷爾訴美國運(yùn)通公司案”中，法院明確提出未經(jīng)同意使用他人肖像屬于隱私侵權(quán)范疇。③Dwyer v.American Express Co.，652 N.E.2d 1351（ni.App.Ct.1995）.美國對生物識別信息采取隱私權(quán)保護(hù)模式，主要根據(jù)憲法第四修正案中保護(hù)個人隱私權(quán)條款，強(qiáng)調(diào)個人對隱私信息的控制和使用，進(jìn)而根據(jù)美國憲法第四修正案中保障的人身自由防止權(quán)利被侵犯。

2.歐盟數(shù)據(jù)權(quán)保護(hù)模式

歐盟頒布《通用數(shù)據(jù)條例》（General Data Protection Regulation，下文簡稱GDPR）將生物識別數(shù)據(jù)定性為個人敏感數(shù)據(jù)，要求人面部特征信息的收集需遵循“禁止處理”“明示同意”和“法定必要”原則，突出保護(hù)個人對自己數(shù)據(jù)的控制權(quán)。GDPR 還規(guī)定，對個人面部特征信息進(jìn)行處理時，要遵守合法性、合理性、透明性原則以及目的限制等原則。針對人臉信息應(yīng)用風(fēng)險，2019 年歐盟基本權(quán)利局（European Union Agency for Fundamental Right 簡稱“FRA”）發(fā)布《人臉識別技術(shù)：執(zhí)法中的基本權(quán)利考量》報告，強(qiáng)調(diào)人臉識別技術(shù)的開發(fā)和應(yīng)用會對《歐盟基本權(quán)利憲章》第八條規(guī)定的“個人信息權(quán)”和《歐洲人權(quán)公約》第八條規(guī)定的“尊重私人生活自由”造成威脅，須遵循GDPR 對個人敏感數(shù)據(jù)的保護(hù)條款，防止人臉識別信息濫用。具體而言，GDPR 要求“數(shù)據(jù)控制者收集信息和獲取個人數(shù)據(jù)時應(yīng)當(dāng)履行事前通知義務(wù)”，賦予個人對數(shù)據(jù)使用、訪問權(quán)，最后在第35 條確立了數(shù)據(jù)保護(hù)影響評估制度以加強(qiáng)數(shù)據(jù)控制者的隱私風(fēng)險管理責(zé)任意識。

（二）歐美生物識別信息保護(hù)之共同點

1.認(rèn)可生物識別信息的“需保護(hù)性”。美國對生物識別信息采取隱私權(quán)保護(hù)模式，注重生物識別信息“不愿為他人知悉”的特點，歐盟將生物識別數(shù)據(jù)納入敏感數(shù)據(jù)范疇，通過規(guī)制信息控制者和權(quán)利人兩方面的行為對其進(jìn)行保護(hù)，表明二者都意識到生物識別信息泄露可能引發(fā)的巨大風(fēng)險，而這種巨大風(fēng)險與個人的人身自由、財產(chǎn)安全密不可分，因此需要特別保護(hù)。Facebook 案件的判決指出，用戶對其生物特征數(shù)據(jù)的隱私有合理的期望，因為用于收集數(shù)據(jù)的技術(shù)不僅僅是簡單的增強(qiáng)，而是對個人隱私細(xì)節(jié)的侵犯。①Patel v.Facebook，Inc.，932 F.3d 1264，1269（2019）.

2.尊重生物識別信息權(quán)利人的主觀意愿。生物識別信息具有強(qiáng)烈的人格特征，是個人身份的標(biāo)識。除了國家強(qiáng)制要求出示個人身份的場合，個人有權(quán)決定是否公開身份、是否通過生物識別信息驗證個人身份。美國《商業(yè)面部識別隱私法案》明確禁止私人機(jī)構(gòu)在未經(jīng)個人同意的情況下收集個人生物識別信息，歐盟GDPR 第13 條、14 條要求數(shù)據(jù)控制者履行收集個人敏感信息的通知義務(wù)以保障個人知情權(quán)，第15 條規(guī)定“數(shù)據(jù)主體有權(quán)向控制者確認(rèn)與其相關(guān)的個人數(shù)據(jù)是否正在被處理，以及有權(quán)要求訪問與其相關(guān)的個人數(shù)據(jù)并獲知詳細(xì)信息”賦予個人訪問權(quán)等都是尊重個人對自己生物識別信息收集、使用等主觀意愿的體現(xiàn)。

（三）歐美生物識別信息保護(hù)之差異

1.生物識別信息權(quán)的權(quán)利屬性與內(nèi)容不同。美國將生物識別信息納入隱私權(quán)保護(hù)范圍，但隱私權(quán)無法對已經(jīng)公開的生物識別信息全面保護(hù)。由于隱私權(quán)內(nèi)容的不確定性，美國司法判例根據(jù)“場景理論”判斷具體案件中權(quán)利人對個人信息的需保護(hù)性和期待，以平衡人身自由和國家權(quán)力。與之相對，GDPR 不區(qū)分公開與否通過數(shù)據(jù)權(quán)對生物識別信息進(jìn)行全面保護(hù)，但無法對非數(shù)據(jù)形態(tài)的生物識別信息如個人肖像、虹膜素描等進(jìn)行保護(hù)。因此，美國判例法傳統(tǒng)能夠結(jié)合具體案情對個案中生物識別信息是否屬于隱私權(quán)保護(hù)的對象進(jìn)行擴(kuò)大解釋，但歐盟奉行成文法主義無法對非數(shù)據(jù)形態(tài)的個人生物信息全面保護(hù)。

2.權(quán)利人對生物識別信息的控制程度不同。美國對生物識別信息采取隱私權(quán)保護(hù)模式，只能從消極防御的模式保護(hù)個人的生物識別信息不被侵害，并未賦予個人積極主動維護(hù)自己的生物識別信息的權(quán)利。歐盟GDPR 強(qiáng)調(diào)個人對自己生物數(shù)據(jù)的控制權(quán)，通過規(guī)定個人對自己數(shù)據(jù)的知情權(quán)、訪問權(quán)、查閱權(quán)、刪除權(quán)等權(quán)利賦予個人積極主動維護(hù)自己數(shù)據(jù)的權(quán)利。因此，只有他人侵犯了個人的生物識別信息時，權(quán)利人才能在事后依據(jù)隱私權(quán)保護(hù)條款提起法律救濟(jì)；但是在歐盟，只要個人發(fā)現(xiàn)自己的生物識別數(shù)據(jù)可能被非法利用，就有權(quán)在侵害發(fā)生前采取查閱、訪問等方式維護(hù)個人的信息權(quán)利。

3.個人同意適用的領(lǐng)域不同。美國《生物信息隱私法》《商業(yè)面部識別隱私法案》都強(qiáng)調(diào)私人機(jī)構(gòu)收集生物識別信息需權(quán)利人同意，而政府機(jī)構(gòu)在維護(hù)公共利益時無需個人同意即可收集人臉信息；當(dāng)個人發(fā)現(xiàn)生物識別信息被政府濫用時，可通過訴訟的方式請求法院保護(hù)自己的隱私權(quán)。歐盟GDPR 則要求所有信息控制者在收集個人敏感信息時都必須履行告知義務(wù)，取得個人同意。除此之外，GDPR 還對不同成員國之間數(shù)據(jù)跨境流動做出規(guī)制，實際上限制了政府以概括的“公共利益”為由濫用公民個人數(shù)據(jù)的權(quán)力，對個人權(quán)利的保護(hù)更進(jìn)一步。

三、人臉識別信息的權(quán)利屬性之證成

人臉識別信息濫用引發(fā)了個人權(quán)利保護(hù)危機(jī)，生物識別信息如何根據(jù)自身特點進(jìn)行有效的法律保護(hù)，首先需要厘清人臉識別信息的權(quán)利屬性。從司法實踐看，人臉識別過程包括采集個人人臉信息，信息存儲、對比、得出結(jié)論的一系列過程，既包括原始的照片辨認(rèn)類型，也包括人臉自動識別類型。人臉識別信息不同于普通隱私權(quán)、數(shù)據(jù)權(quán)、人格權(quán)，應(yīng)定性為個人自決權(quán)這一新型權(quán)利。

（一）人臉識別信息權(quán)利屬性的觀點評述

1.隱私權(quán)說之不足。我國《民法典》明確規(guī)定了公民享有隱私權(quán)，屬于人格權(quán)的范疇。隱私權(quán)是為了保護(hù)個人不愿為他人知悉的自己的隱秘事項，而人臉信息是個人呈現(xiàn)于外部的特征，本身不具有“保密性”特征，不符合隱私權(quán)的定義。此外，隱私權(quán)的目的是為了保護(hù)公民自由，我國法律并不認(rèn)可非法使用生物識別信息侵犯公民個人自由。例如，陳某訴杭州市公安局西湖分局案中，陳某提出杭州市公安局西湖分局及其工作人員強(qiáng)制采集自己人體生物信息包括人臉頭像三面照、十指指紋、雙手掌紋、口腔唾液等行為屬于限制人身自由的行政強(qiáng)制措施，要求確認(rèn)無效并撤銷。一審和二審法院均未支持陳某觀點，認(rèn)為采集人臉信息不屬于限制自由的行政強(qiáng)制措施。①浙江省瑞安市人民法院行政裁定書（2019）浙0381 行初60 號。我國《民法典》第1034 條明確規(guī)定“個人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個人信息保護(hù)的規(guī)定”，也表明隱私權(quán)無法全面保護(hù)個人私密信息。傳統(tǒng)隱私權(quán)的重心在于防范個人的私密信息被非法披露，并非強(qiáng)調(diào)主體對個人信息的控制、支配?！睹穹ǖ洹访鞔_將個人信息與隱私權(quán)并列規(guī)定，表明個人信息是與隱私權(quán)不同的人格權(quán)類型，不能以隱私權(quán)指代人臉識別信息權(quán)。

2.數(shù)據(jù)權(quán)說之否定。人臉識別信息可能表現(xiàn)為照片、素描等非數(shù)據(jù)形式，數(shù)據(jù)說無法對這類形式表現(xiàn)的人臉識別信息進(jìn)行保護(hù)，背離法律保護(hù)的初衷。其次，我國并未像歐盟那樣通過個人數(shù)據(jù)立法對個人信息進(jìn)行保護(hù)，因此，數(shù)據(jù)權(quán)說難以在我國法律規(guī)范中找到依據(jù)。最后，我國法律規(guī)范對人臉、指紋、DNA 等采用“生物信息”進(jìn)行表述，2017 年最高人民法院最高人民檢察院《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第5 條第四項明確規(guī)定“健康生理信息”屬于侵犯個人信息罪的保護(hù)范疇?！秱€人信息保護(hù)法》第28 條明確規(guī)定“個人生物特征”屬于敏感信息，故數(shù)據(jù)權(quán)說并不符合我國立法和實踐的要求。

3.信息自決權(quán)之肯定。個人信息自決權(quán)說認(rèn)為人臉識別信息具有人身專屬性，個人有權(quán)決定自己的人臉信息使用情況，人臉識別信息等生物識別信息與個人的人身安全、財產(chǎn)權(quán)利息息相關(guān)，由于個人對自己的人身權(quán)益、財產(chǎn)權(quán)益具有處分權(quán)，因此尊重個人意愿是保障生物識別信息的關(guān)鍵。個人決定是否提供人臉識別信息、如何使用自己的人臉識別信息是他人利用人臉識別信息合法與否的重要標(biāo)準(zhǔn)。因此，王利明教授將個人信息權(quán)界定為一項獨立的人格權(quán)——“信息自決權(quán)”[5]68。從法律依據(jù)看，個人信息自決權(quán)屬于憲法上人格尊嚴(yán)的內(nèi)容，也是《民法典》中一般人格權(quán)的體現(xiàn)之一。將人臉識別信息定性為個人自決權(quán)這一新型權(quán)利能夠克服隱私權(quán)說和數(shù)據(jù)權(quán)說的不足，更加全面地保護(hù)個人權(quán)利。

（二）人臉信息自決權(quán)之新型權(quán)利證成

1.權(quán)利特點之新類型

（1）人臉識別信息具有強(qiáng)烈的個人身份屬性、直接呈現(xiàn)性和高識別性特征。首先，個人身份屬性強(qiáng)調(diào)生物識別信息特定環(huán)境下可以直接識別個人身份，有的可從呈現(xiàn)于體表的生物識別信息進(jìn)行判斷，如指紋、虹膜、面容；有的可根據(jù)自然存在于身體中的血液、DNA 等進(jìn)行鑒定。直接呈現(xiàn)于體表的生物識別信息如人臉圖像很容易通過被動式采樣被秘密收集，從而其盜取難度在同類生物特征識別信息中較低。其次，個人專屬性還表現(xiàn)為生物識別信息權(quán)的高識別性，即無需附加信息或與公共領(lǐng)域內(nèi)其他信息進(jìn)行比對，即可在特定環(huán)境中單獨識別出特定個人。[6]139因此，需根據(jù)適用環(huán)境判斷生物信息自決權(quán)的行使。人臉識別是運(yùn)用人工智能技術(shù)對人臉、指紋、虹膜等人體生物信息分析、對比、記錄、形成模板，進(jìn)而通過“一對一”或者“一對N”比對，以解決實踐中身份證、信用卡等可能存在的人證不統(tǒng)一的問題。由此可見，人臉信息只有在“用于識別自然人”的身份時，才屬于《民法典》《個人信息保護(hù)法》保護(hù)的個人特殊敏感信息。去識別化的數(shù)據(jù)、雖屬于被采集的個人基因信息但不用于識別特定自然人身份的信息，都不是“生物識別信息”。

（2）人臉信息等生物識別信息具有惟一性、不可變更性。每個人的面部特征都與其它自然人完全不同，具有惟一性和不可替換性。相對于手機(jī)號碼、銀行賬號等傳統(tǒng)個人信息，人臉信息具有不可變更性。盡管當(dāng)前醫(yī)學(xué)技術(shù)能夠?qū)€人的臉部、虹膜和指紋通過徹底整容、更換眼球和植皮等非常復(fù)雜和不可逆的方式進(jìn)行變換，但變換后的生物特征仍可以由新的生物識別技術(shù)進(jìn)行識別。正是由于這種不可變更性，一旦生物識別信息遭到泄露、盜竊或冒用等不法侵害，對信息主體可能會造成難以彌補(bǔ)的永久性的傷害和損失。因此，生物識別信息不可變更，不可補(bǔ)辦。正是基于這一考慮，“百度公司與朱某隱私權(quán)糾紛案”的判決書指出，cookie“關(guān)鍵搜索詞”不是個人信息，不屬于個人信息保護(hù)的范圍。①江蘇省南京市中級人民法院（2014）寧民終字第5028 號。

（3）易受侵犯性。人臉不同于指紋、虹膜等生物特征需要專業(yè)設(shè)備才能進(jìn)行收集，人臉是裸露于外部的個人形象，很容易被微型攝像機(jī)秘密收集，進(jìn)而被用于非法目的。司法實踐中，個人秘密偷拍他人肖像的行為、企業(yè)在工作場所安裝攝像頭偷拍客戶肖像的現(xiàn)象屢禁不絕，個人常常不知道自己何時何處就置身于人臉識別技術(shù)的應(yīng)用場景下。其次，由于國家對智能APP 程序的規(guī)范并不健全，智能APP 掌握的人臉信息很可能未經(jīng)權(quán)利人同意被用于非法交易，埋下人臉信息被泄露或濫用的風(fēng)險。

因此，人臉識別信息是人工智能時代具有高度易受侵犯性的“用于識別自然人身份的”新型個人信息權(quán)利，與歐美強(qiáng)調(diào)生物識別信息“需保護(hù)性”的特征相互印證。

2.權(quán)利法律屬性之新類型

我國多部法律規(guī)定了個人信息權(quán)，剛剛頒布的《個人信息保護(hù)法》明確強(qiáng)調(diào)了“個人同意”才能收集、處理個人信息，即肯定了個人自決權(quán)這一個人信息權(quán)利的新類型。人臉信息自決權(quán)相較于傳統(tǒng)信息權(quán)利，具有以下特點。

（1）人格權(quán)的新類型?！睹穹ǖ洹返娜烁駲?quán)編將個人信息權(quán)與隱私權(quán)并列規(guī)定，表明個人信息權(quán)是一項獨立的人格權(quán)?！秱€人信息保護(hù)法》規(guī)定一般個人信息權(quán)條款后，在第二節(jié)“敏感信息”第29 條規(guī)定“基于個人同意處理敏感個人信息的，個人信息處理者應(yīng)當(dāng)取得個人的單獨同意”，提供了人臉信息自決權(quán)的法律依據(jù)。“人臉信息自決權(quán)是指權(quán)利主體自行決定是否以及在何種范圍內(nèi)披露、使他人知悉并利用自己人臉信息的權(quán)利，本質(zhì)上是個體對自己信息的控制和支配權(quán)”[7]56，目的在于劃定信息主體與其他主體之間的權(quán)利邊界，賦予主體不受他人干涉而自主決定利用其信息的能力。根據(jù)《個人信息保護(hù)法》，人臉信息自決權(quán)這一新型人格權(quán)的法律內(nèi)容包括同意權(quán)、撤回同意權(quán)、要求說明權(quán)、拒絕自動化決策權(quán)、查閱復(fù)制權(quán)、更正補(bǔ)充權(quán)、要求刪除權(quán)等，目的都是為了“保護(hù)個人信息權(quán)益”。郭兵訴杭州野生動物園案件的判決書認(rèn)為，野生動物世界的店堂告示以醒目的文字告知購卡人需要提供包括指紋在內(nèi)的部分個人信息，郭兵自行決定提供該信息成為年卡客戶。該店堂告示內(nèi)容保障了郭兵的消費知情權(quán)和對個人信息的自主決定權(quán)。②浙江省溫州市中級人民法院（2019）浙03 行終263號。

（2）以知情同意為核心的自決特征。人臉識別信息是個人人格尊嚴(yán)的重要體現(xiàn)，個人有權(quán)決定該信息的使用，這與歐美生物識別信息尊重權(quán)利人主觀意愿的理念殊途同歸。《個人信息保護(hù)法》第26 條明確規(guī)定，公共場所收集個人圖像、身份識別信息應(yīng)取得個人單獨同意，法律、行政法規(guī)另有規(guī)定的除外。我國《網(wǎng)絡(luò)安全法》也明確規(guī)定在收集、使用或利用個人信息時原則上需經(jīng)個人的同意。人臉信息自決權(quán)的個人決定性意味著個人一旦做出收集、處理人臉信息行為就要承擔(dān)由此帶來的風(fēng)險。例如，智能APP 程序在收集人臉信息前會詢問“個人是否同意提供人臉信息”，在該程序沒有提供替代身份驗證選項的情況下，個人自決權(quán)名存實亡。此時個人若不同意APP 收集自己的人臉信息就無法享有服務(wù)，這種被動同意提供人臉信息的設(shè)計是對個人決定自由的嚴(yán)重限制。Facebook 被指控在未經(jīng)書面許可的情況下，從上傳的照片中收集、使用和存儲他們的生物特征識別碼，就是對個人同意權(quán)利的侵犯。因此，個人信息自決權(quán)說認(rèn)可人臉識別信息以圖像、計算機(jī)數(shù)據(jù)、個人信息為存在形式，這一新型人格權(quán)的核心在于知情同意。

（3）調(diào)整非對等信息關(guān)系主體?，F(xiàn)實中侵犯人臉識別信息權(quán)的往往是具有專業(yè)信息收集能力的商業(yè)主體或政府機(jī)構(gòu)，個人很難與之對抗。德國個人信息自決權(quán)最初在“人口普查案”和“小普查案”中提出，針對國家對個人信息的威脅進(jìn)行限制；[8]24美國《加州消費者隱私法案》將適用企業(yè)限制在年收入2500萬美元的公司，都表明個人信息自決權(quán)針對的是形成持續(xù)性不平等信息關(guān)系的收集者與處理者。由于傳統(tǒng)民事關(guān)系調(diào)整平等主體之間的權(quán)利義務(wù)關(guān)系，傳統(tǒng)憲法權(quán)利主要針對國家，而個人信息自決權(quán)中的知情同意、糾正權(quán)、刪除權(quán)的行使既不屬于平等民事主體之間的法律關(guān)系，也不同于個人與國家公權(quán)力之間的關(guān)系，而是屬于特定信息關(guān)系中的新型權(quán)利義務(wù)關(guān)系。

四、我國人臉識別信息自決權(quán)法律保護(hù)之完善

從實踐層面來看，我國對人臉識別信息自決權(quán)采取新型人格權(quán)保護(hù)模式，這種權(quán)宜之計無法有效保護(hù)個人生物識別信息自決權(quán)。根據(jù)《民法典》人格權(quán)編第1036 條，行為人處理“自然人自然公開或其他已經(jīng)合法公開的信息”不承擔(dān)民事責(zé)任，除非該自然人明確拒絕或者處理該信息侵害其重大利益。人臉識別信息是個人裸露在外部的公開信息，但該信息涉及個人的人身自由、財產(chǎn)安全等重大利益，信息處理者應(yīng)取得權(quán)利人同意后才能自行處置。司法實踐中，非法收集、濫用人臉識別信息的現(xiàn)象屢禁不絕，主要原因在于其難以救濟(jì)。

（一）法律保護(hù)人臉識別信息自決權(quán)的難點

1.違反“同意”難以認(rèn)定損害?！秱€人信息保護(hù)法》并未規(guī)定未經(jīng)同意收集他人敏感信息的損害后果。信息收集者將合法收集的個人身份信息用于其他目的而未再次告知時，權(quán)利人“知情權(quán)”“同意權(quán)”等程序性權(quán)利違反無法認(rèn)定為損害。這種情況下權(quán)利人的機(jī)會成本、精神損害是客觀存在的，司法實踐卻無法將這種“預(yù)期利益損害”，甚至權(quán)利人難以證明的精神損害認(rèn)定為損害。其次，違反權(quán)利人“同意”收集人臉信息的行為會進(jìn)一步侵害個人對自己人臉信息查閱復(fù)制、要求補(bǔ)正、刪除等權(quán)利。例如，人臉識別技術(shù)在深度學(xué)習(xí)中不斷改進(jìn)，法律無法審查輸入信息如何得出輸出結(jié)論，利害關(guān)系人即便提出異議，也難以審查偏差結(jié)果和輸出行為之間的因果關(guān)系，無法認(rèn)定賠償責(zé)任?！秱€人信息保護(hù)法》第46 條規(guī)定了個人請求對信息進(jìn)行補(bǔ)正的權(quán)利，但歐美的司法實踐表明，人臉識別的對比結(jié)論在某些方面并不準(zhǔn)確[9]1389，可見人臉識別信息對比出錯的情況并非罕見。個人根本不知曉信息出錯的情況下如何請求補(bǔ)正，導(dǎo)致其請求信息補(bǔ)正權(quán)名存實亡。

2.個案損害難以賠償。首先，《民法典》第995 條關(guān)于侵害人格權(quán)的民事責(zé)任承擔(dān)方式包括停止侵害、排除妨礙、消除危險、消除影響、恢復(fù)名譽(yù)、賠禮道歉，人臉識別信息受害人無法據(jù)此主張損害賠償。其次，侵害個人知情權(quán)、同意權(quán)的程序性違法行為難以根據(jù)《個人信息保護(hù)法》第69 條“個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的，根據(jù)實際情況確定賠償數(shù)額”主張賠償。郭兵訴杭州野生動物園案件中，判決認(rèn)為“原告因不同意人臉識別而無法入園導(dǎo)致年卡費1360 元作廢的損失賠償請求沒有事實和法律依據(jù)”①浙江省溫州市中級人民法院（2019）浙03 行終263號。。與之相對，歐盟成員國對個人信息保護(hù)時規(guī)定了“舉證責(zé)任倒置”，即信息處理方能證明自己無過錯時才可以不承擔(dān)民事責(zé)任。如德國專門規(guī)定了公共機(jī)關(guān)對個人信息處理的“無過錯責(zé)任”原則，即公共機(jī)關(guān)在規(guī)?；幚韨€人信息的過程中，即使無過錯，但實際上給信息主體造成物質(zhì)損害或非物質(zhì)損害的，也需要承擔(dān)損害賠償責(zé)任。[10]173如何根據(jù)人臉識別信息自決權(quán)的特征，探索并續(xù)造出中國特色的權(quán)利保護(hù)路徑，是保障生物安全、維護(hù)個人權(quán)利的必要之舉。

（二）我國人臉識別信息自決權(quán)法律保護(hù)之完善

人臉識別信息自決權(quán)的法律保護(hù)需貫穿信息收集、利用、救濟(jì)的全過程，只有從源頭上對“不履行告知義務(wù)”“非法收集”等程序性違法行為有效懲處，才能防止人臉信息泄露、非法利用亂象，確保權(quán)利主體自我決定權(quán)的實現(xiàn)。

1.有效同意之保障

為充分保障個人信息自決權(quán)，《信息安全技術(shù)個人信息安全規(guī)范》（以下簡稱《規(guī)范》）明確規(guī)定“收集個人敏感信息時的明示同意”②詳見《信息安全技術(shù)個人信息安全規(guī)范》（GB/T 35273－2017）第5.3、5.5 條的內(nèi)容。。針對人臉識別信息被秘密收集、非法轉(zhuǎn)賣等現(xiàn)象，應(yīng)通過保護(hù)權(quán)利人自由、真實的意愿確認(rèn)同意的有效性，個人敏感信息再次利用時則需根據(jù)“場景理論”判斷是否需要再次取得權(quán)利人同意。

（1）根據(jù)“真實”意愿排除“一攬子同意”

首先，收集人臉信息時提供多元替代選項?！兑?guī)范》強(qiáng)調(diào)“不得欺詐、誘騙、強(qiáng)迫個人信息主體提供其個人信息”，這就要求收集人臉識別信息時應(yīng)提供多元替代選項，以尊重個人意愿。無論政府部門為了“維護(hù)公共安全”收集人臉識別信息，還是私人機(jī)構(gòu)經(jīng)個人同意收集人臉識別信息，都應(yīng)提供身份驗證的替代選項，以保障個人提供人臉信息的自我決定權(quán)。由于人臉信息具有易偽造等風(fēng)險，并非身份驗證的最佳、唯一選項。人臉識別信息很容易被偽造，人臉對比算法也會出現(xiàn)偏差，因此人臉信息提供便捷身份驗證的同時也潛藏著出錯風(fēng)險，提供多元替代選項是保障信息安全的內(nèi)在要求。而且身份驗證的多元選項應(yīng)具有可操作性，不能變相迫使個人進(jìn)行人臉身份驗證。例如，郭兵訴杭州野生動物園案件中，法院認(rèn)為“野生動物世界要求年卡用戶提供指紋識別、人臉識別等生物識別技術(shù)的行為符合‘合法、正當(dāng)、必要’三原則的要求”，司法實踐中，身份證、短信驗證碼、戶籍證明等都是個人身份驗證的方式，不得采用程序繁瑣、不具操作實踐性的替代選項，迫使權(quán)利人提供人臉信息。

其次，排除格式合同條款。排除格式合同條款是確保權(quán)利人對個人生物識別信息有效同意的必要之舉。明示、有效的同意指同意需要針對特定目的，泛化的同意不是有效的同意。因此，信息收集者應(yīng)當(dāng)以容易理解的方式，使用清晰和平白的語言要求權(quán)利人對自己的生物識別信息做出書面同意；考慮到信息收集者相對于個人的優(yōu)勢地位，應(yīng)排除信息收集者免責(zé)聲明的法律效力。當(dāng)前很多APP 的網(wǎng)絡(luò)服務(wù)條款或隱私協(xié)議對收集個人信息的目的多采取概括加列舉的方式——往往僅列舉出主要的使用范圍，但在其后臺仍對收集的個人信息進(jìn)行額外處理。Facebook 案中，《用戶協(xié)議》規(guī)定用戶通過創(chuàng)建賬戶并登錄Facebook 賬戶，就已經(jīng)同意了該公司的隱私政策——不但這種字體狹小、內(nèi)容繁瑣的協(xié)議難以引起用戶閱讀的興趣，而且這一通知只出現(xiàn)在用戶的首次登錄，之后主登錄界面不再顯示披露信息。①Patel v.Facebook，Inc.，932 F.3d 1264，1269（2019）.這種使用格式條款告知用戶收集人臉識別信息的風(fēng)險從而間接轉(zhuǎn)嫁責(zé)任的現(xiàn)象意味著不合理條款通常被隱藏在細(xì)節(jié)和法律術(shù)語中，實質(zhì)上是利用優(yōu)勢地位“單方面”誘導(dǎo)對方同意合同條款，嚴(yán)重侵害了用戶的知情權(quán)，阻止用戶自由決定是否提供人臉信息進(jìn)行身份驗證。為充分保障個人的自我決定權(quán)，應(yīng)杜絕以格式條款的方式告知權(quán)利人人臉信息采集的風(fēng)險而規(guī)避責(zé)任的行為。

（2）根據(jù)“場景理論”限制“二次同意”的適用范圍

司法實踐中，個人敏感信息再次利用時是否需權(quán)利人“同意”的問題上，主要的爭議問題在于信息收集使用的目的是否一致，可參考“場景理論”限制“二次同意”的適用范圍。

場景理論（又稱“情境脈絡(luò)完整性”理論），最初由美國學(xué)者尼森鮑姆（Helen Nissenbaum）教授提出[11]119，指個人信息原始收集時的具體語境應(yīng)得到尊重，其后續(xù)傳播及利用不得超出原初的情境脈絡(luò)?！秱€人信息保護(hù)法》第14 條規(guī)定“個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更的，應(yīng)當(dāng)重新取得個人同意”。當(dāng)個人已授權(quán)將自己的信息公布于網(wǎng)絡(luò)后，第三人利用網(wǎng)絡(luò)上公開的信息是否侵權(quán)，應(yīng)當(dāng)結(jié)合具體場景的多種因素具體判斷。

人臉信息公開的對象和場景是判斷信息“處理目的”是否變更的主要因素?！靶吕宋⒉┰V脈脈抓取微博用戶數(shù)據(jù)案”中，脈脈軟件利用與新浪微博的合作關(guān)系，非法抓取、展示新浪微博用戶信息（包括頭像、名稱、職業(yè)信息、教育信息、用戶自定義標(biāo)簽及用戶發(fā)布的微博內(nèi)容）的行為是否違法，判決認(rèn)為“新浪微博用戶選擇對公眾公開個人信息，并不意味著可以未經(jīng)新浪微博用戶同意，獲取用戶頭像信息、標(biāo)簽信息、職業(yè)信息、教育信息并展示在脈脈軟件的人脈詳情中”②北京知識產(chǎn)權(quán)法院民事判決書（2016）京73 民終588 號。，進(jìn)而判決脈脈公司非法抓取用戶個人信息的行為違法?！皠蚍治龉景浮钡呐袥Q也根據(jù)“情境脈絡(luò)完整性理論”認(rèn)為，個人在網(wǎng)絡(luò)上已公開的個人信息具有特定的對象（其他用戶和好友）和場景（社交網(wǎng)絡(luò)）。劍橋分析公司在未獲得用戶同意、且在完全不同的場景下利用這些信息，構(gòu)成了對用戶權(quán)利的侵犯。[12]71與之相對，“人人網(wǎng)收購案”③“人人網(wǎng)收購案”主要情況如下：2018 年11 月14 日，成立于2005 年的人人公司宣布將人人網(wǎng)社交平臺業(yè)務(wù)相關(guān)資產(chǎn)以2000 萬美元的現(xiàn)金對價出售給北京多牛傳媒，其中包括積累多年的用戶數(shù)據(jù)。多牛傳媒相關(guān)負(fù)責(zé)人表示，多牛傳媒公司將承擔(dān)起人人網(wǎng)的運(yùn)營責(zé)任，會一如既往地高度重視和妥善處理人人網(wǎng)用戶數(shù)據(jù)的保密和信息安全管理工作，并充分尊重和繼續(xù)恪守人人網(wǎng)此前的用戶協(xié)議和隱私政策。參見《人人網(wǎng)被賣，我的青春數(shù)據(jù)去哪了？收購多牛傳媒：將妥善保管》，http：//www.sohu.com/a/277418127_161795，2020 年12月27 日訪問.中，人人網(wǎng)與作為收購方的多牛傳媒同屬社交網(wǎng)絡(luò)平臺，兩者對于用戶數(shù)據(jù)的使用場景相同、目的一致，用戶個人信息從人人網(wǎng)流入多牛傳媒符合“場景式”判斷規(guī)則中“目的一致”的要求。

（3）豁免例外不違法。生物識別信息屬于個人敏感信息，個人對其使用、處分具有決定權(quán)；但生物識別信息作為生物多樣性的體現(xiàn)同時肩負(fù)社會責(zé)任，因此個人信息自決權(quán)的行使需要受到公共利益限制?！秱€人信息保護(hù)法》第27 條規(guī)定“在公共場所安裝圖像采集、個人身份識別設(shè)備，應(yīng)當(dāng)為維護(hù)公共安全所必需，遵守國家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識”?！睹穹ǖ洹返?99 條規(guī)定“為公共利益實施新聞報道、輿論監(jiān)督等行為的，可以合理使用民事主體的姓名、名稱、肖像、個人信息等”；《民法典》第1020 條規(guī)定“為維護(hù)公共利益或者肖像權(quán)人合法權(quán)益，制作、使用、公開肖像權(quán)人的肖像的其他行為”可以不經(jīng)肖像權(quán)人同意；《規(guī)范》第5.4 條也規(guī)定“征得授權(quán)同意的例外”，規(guī)定與國家安全、公共利益、個體生命、財產(chǎn)等重大權(quán)益相關(guān)，或?qū)儆谥黧w履行合同所必需，或為新聞報道、學(xué)術(shù)研究等目的收集使用個人信息不需要同意。最高人民法院《關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》第五條規(guī)定，有下列情形之一，信息處理者主張其不承擔(dān)民事責(zé)任的，人民法院依法予以支持：（一）為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財產(chǎn)安全所必需而處理人臉信息的；（二）為維護(hù)公共安全，依據(jù)國家有關(guān)規(guī)定在公共場所使用人臉識別技術(shù)的；（三）為公共利益實施新聞報道、輿論監(jiān)督等行為在合理的范圍內(nèi)處理人臉信息的；（四）在自然人或者其監(jiān)護(hù)人同意的范圍內(nèi)合理處理人臉信息的；（五）符合法律、行政法規(guī)規(guī)定的其他情形。

（二）無形損害之?dāng)U大解釋

未履行告知義務(wù)、未經(jīng)權(quán)利人同意收集人臉信息的行為雖是程序性違法行為，但往往使權(quán)利人損失機(jī)會成本、導(dǎo)致期望落空等，這種違反法律的行為如何對人臉信息自決權(quán)造成實質(zhì)損害，怎么進(jìn)行法律救濟(jì)，需要根據(jù)法學(xué)理論進(jìn)行探索和闡釋。

1.損害法律保護(hù)人格權(quán)的目的

正如《個人信息保護(hù)法》第29 條指出的，敏感個人信息一旦泄露或非法使用將導(dǎo)致難以挽回的后果，因此重新審視人臉識別信息非法利用的權(quán)利侵害風(fēng)險是保護(hù)個人信息自決權(quán)的必要之舉。Facebook 案中的原告認(rèn)為，當(dāng)Facebook 在未經(jīng)他們同意的情況下生成、存儲和使用他們的面部幾何圖形時，他們受到了具體的傷害。違反法律規(guī)定的“同意”而非法獲取他人敏感信息這種程序性違法行為，如何造成權(quán)利的實質(zhì)損害？

在違法收集、利用人臉信息行為的認(rèn)定上，Spokeo，Inc.v.Robins①Spokeo，Inc.v.Robins，136S.Ct.1540，1549（2016）.案明確指出“個人信息非法收集的程序性違法行為會導(dǎo)致無形損害，這種具體的損害違反了BIPA 保護(hù)個人隱私的目的”。法院在無形損害的認(rèn)定上分兩個步驟：一是程序性違法行為是否違反了法律保護(hù)個人具體權(quán)益的目的，二是案件中具體的程序違法行為是否產(chǎn)生實際損害或存在損害這些利益的重大風(fēng)險。②Robins v.Spokeo，Inc.，867 F.3d 1108，1113（9th Cir.2017）.Van Patten v.Vertical Fitness Group 案③Van Patten V.Vertical Fitness Group，LLC，847 F.3d 1037（2017）.中，法院也確立了程序上的違反是對實體權(quán)利的侵犯，因為這種違反構(gòu)成了事實上的傷害。未經(jīng)權(quán)利人同意而擅自收集其敏感信息的行為違反了BIPA 的意圖和法規(guī)的具體要求——正如Facebook 在沒有通知用戶和獲得他們的書面許可的情況下創(chuàng)建了伊利諾伊州用戶的面部生物識別模板那樣——BIPA 的任何程序要素都服務(wù)于保護(hù)伊利諾伊州人的實質(zhì)性隱私權(quán)的最終目的，因此違反BIPA 的行為實際上是一種具體的損害。

2.侵害了個人對自己敏感信息的決定權(quán)、控制權(quán)

人臉信息自我決定權(quán)即“個人對有關(guān)其個人信息的控制”，未經(jīng)權(quán)利人同意而收集其人臉信息的行為否定了權(quán)利人的自我決定權(quán)。Carpenter v.United States 案④Carpenter v.U.S.，138 S.Ct.2206，2215（2018）.的判決指出，面部識別技術(shù)能夠收集高度詳細(xì)的信息并用來解鎖手機(jī)、支付賬單，甚至這些詳細(xì)的信息可以被用來上傳到Facebook 的數(shù)百萬張照片中確定一個人的身份，并確定此人的位置——這都侵犯了權(quán)利人的自我決定權(quán)。Rosenbach v.Six Flags Entertainment Corp.案⑤Rosenbach v.Six Flags Entm't Corp.，129 N.E.3d 1197，1207（Ill.2019）.中，母親給孩子（未成年人）買了一張去伊利諾伊州古爾尼市六旗游樂園的季票，公園要求未成年人必須掃描指紋才能進(jìn)入公園并使用季票。但公園在未經(jīng)原告或其父母書面許可的情況下收集了其生物特征數(shù)據(jù)，更沒有透露他們將如何使用這些生物特征信息，也沒有透露他們將存儲這些信息多長時間。原告以公園違反BIPA第15 節(jié)“私營公司以書面形式通知生物特征信息的所有者其信息正在被收集或存儲、收集、存儲或使用的目的，并獲得所有者的書面許可”為由起訴。法院從法律、大眾和歷史的角度將本案中的受害者理解為“被否定自我決定權(quán)而被侵犯或剝奪合法權(quán)利”的人。因此，Rosenbach 案的未成年人在“沒有知情的書面同意的情況下被收集了他的生物特征信息，剝奪了其對個人信息的控制權(quán)，讓他受到了傷害”。這一案件的核心要義在于，未經(jīng)個人同意收集其生物識別信息的行為，侵犯了其自我決定的自由和人格尊嚴(yán)，構(gòu)成實質(zhì)的權(quán)利侵犯。

3.基于權(quán)利侵害的緊迫性請求停止侵害禁令

未經(jīng)權(quán)利人同意收集、使用其人臉識別信息的行為符合侵權(quán)責(zé)任要件，因為這一違法行為構(gòu)成個人權(quán)益侵害重大的、緊迫的風(fēng)險。由于人臉信息具有唯一性和不可補(bǔ)辦性，“敏感個人信息一旦泄露或者非法使用，可能導(dǎo)致個人受到歧視或者人身、財產(chǎn)安全受到嚴(yán)重危害”，因此應(yīng)根據(jù)《民法典》第997 條“民事主體有證據(jù)證明行為人正在實施或者即將實施侵害其人格權(quán)的違法行為，不及時制止將使其合法權(quán)益受到難以彌補(bǔ)的損害的，有權(quán)依法向人民法院申請采取責(zé)令行為人停止有關(guān)行為的措施”，要求他人停止侵害。美國Beck v.McDonald 案①Beck v.McDonald，848 F.3d 262，275（4th Cir.2017）.，以及Bassett v.ABM Parking Services，Inc.案②Bassett v.ABM Parking Servs.，LLC，883 F.3d 776，783（9th Cir.2018）.都認(rèn)可“處罰造成緊迫的法益侵害風(fēng)險的行為”，但同時強(qiáng)調(diào)“黑客入侵行為如果沒有導(dǎo)致信息被違法使用，沒有使用錯誤的或被盜的信息，身份被盜的風(fēng)險是不存在的”“本案中被告僅僅是在程序上違反了打印信用卡賬單收據(jù)的規(guī)定，并沒有造成迫在眉睫的身份盜竊或欺詐風(fēng)險”。人臉識別信息泄露具有不可挽回性，將導(dǎo)致個人的財產(chǎn)、自由處于未知他人利用的即時危險中，當(dāng)個人喪失對人臉信息的控制權(quán)后，其查閱復(fù)制權(quán)、更正補(bǔ)充權(quán)、要求刪除權(quán)等權(quán)利都因無法向相對人主張而難以實現(xiàn)。此時權(quán)利人應(yīng)立即向法院起訴請求停止侵害，并要求已經(jīng)收集自己人臉信息的機(jī)構(gòu)刪除人臉信息，以保護(hù)個人的人身權(quán)和財產(chǎn)權(quán)。

4.增設(shè)懲罰性賠償條款以遏制商業(yè)不法行為

商業(yè)使用是非法收集人臉識別信息行為的重要原因，剝奪再犯資本是控制此類行為的有效措施。國外學(xué)者曾提出“數(shù)據(jù)財產(chǎn)權(quán)”的概念，認(rèn)為對個人權(quán)利保護(hù)僅規(guī)定責(zé)任規(guī)則是不夠的，還需要以財產(chǎn)規(guī)則進(jìn)行保護(hù)。[13]2055人臉識別信息泄露會致使個人的人身安全、財產(chǎn)安全陷入風(fēng)險，如果法律僅從事后救濟(jì)的方面進(jìn)行懲罰，則無法未雨綢繆、遏制人臉識別信息非法收集行為。而遏制非法商業(yè)行為最有效的手段就是金錢處罰，才能從根源上剝奪再犯的資本和動機(jī)。

最高人民法院《關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》第八條規(guī)定“信息處理者處理人臉信息侵害自然人人格權(quán)益造成財產(chǎn)損失，該自然人依據(jù)民法典第1182 條主張財產(chǎn)損害賠償?shù)?，人民法院依法予以支持”。我國《個人信息保護(hù)法》第66 條對違反本法規(guī)定處理個人信息者高額的行政罰款數(shù)額（拒不改正的，并處一百萬元以下罰款；情節(jié)嚴(yán)重的，沒收違法所得，并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款）；我國《消費者權(quán)利保護(hù)法》第50 條規(guī)定“消費者在接受服務(wù)時，其合法權(quán)益受到損害的，可以向服務(wù)者要求賠償”。非法收集、利用個人人臉信息的行為侵犯了權(quán)利人的信息自決權(quán)，無異于“偷走”其人臉信息，對這種行為進(jìn)行懲罰性罰款以從根本上消除、減輕犯罪源頭。人臉信息適用的相關(guān)領(lǐng)域如《民法典》《消費者權(quán)利保護(hù)法》《反不正當(dāng)競爭法》等法律也應(yīng)增設(shè)懲罰性賠償條款以遏制非法收集人臉信息的商業(yè)行為。

五、結(jié)語

數(shù)字中國建設(shè)進(jìn)程中，人臉識別信息等生物敏感信息的適用范圍日益擴(kuò)大，法律應(yīng)與時俱進(jìn)地提供保障與救濟(jì)以增強(qiáng)個人信息保護(hù)的實踐效果?！皞€人信息權(quán)是含有隱私內(nèi)容但又超越隱私權(quán)的權(quán)利?！盵14]2021 年8 月1 日施行的《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》將侵害人臉信息的行為認(rèn)定為侵害人格權(quán)的行為，但如何對人臉識別信息這一“個人敏感生物信息”進(jìn)行強(qiáng)化保護(hù)、如何有效制止尚未造成物質(zhì)損害的秘密抓拍等非法采集、利用人臉識別信息的行為，本文進(jìn)行初步探索和論述。顯然，《民法典》在個人敏感信息保護(hù)上尚有不足。[15]隨著《個人信息保護(hù)法》的實施，侵害人臉識別信息的問題會更加突出，如何銜接《個人信息保護(hù)法》《數(shù)據(jù)安全法》和《民法典》在個人敏感信息保護(hù)上的適用，仍需理論界不斷關(guān)注。