楊復衛(wèi)，白家燁

(西南大學 法學院， 重慶 400715)

一、問題提出：人臉識別技術衍生法律風險

人臉識別技術是以個人面部的某種特征、數(shù)字信息為基礎的一項生物特征識別技術[1]。人臉識別技術匯聚了大數(shù)據(jù)、人工智能等高新數(shù)字科學領域的最新成就，被看作全球高新領域中的戰(zhàn)略至高點。比較傳統(tǒng)的生物特征識別技術，人臉識別技術是一項全新的個體生物識別技術，運用特定的靜態(tài)圖像或動態(tài)視頻，將已儲存的某些人臉數(shù)據(jù)圖像庫，進行驗證和特征識別具體場景下的若干人的身份[2]。從作用原理角度理解，人臉識別技術基于大量圖像數(shù)據(jù)研究基礎，通由人臉圖像采集及檢測、人臉圖像預處理、人臉圖像特征提取以及匹配與識別四個步驟組成。伴隨著互聯(lián)網(wǎng)與信息技術的高速發(fā)展，以大數(shù)據(jù)技術為基礎的新興生物技術，逐漸在商業(yè)競爭及維護社會秩序等方面發(fā)揮著越來越重要的作用，數(shù)據(jù)信息的流動與利用也達到了前所未有的高度。

如今人臉識別技術對社會產(chǎn)生越來越大的影響，成為社會關注的焦點。人臉識別技術自產(chǎn)生以來一路高歌猛進，市場規(guī)模不斷擴大，在生物識別市場結構中的占比僅次于指紋識別。出于更高的安全性及便利性考慮，指紋接觸可能帶來的病毒傳播等問題也受到更多詬病?；诖?，人臉識別在生物識別市場的占比將會持續(xù)走高。人臉識別在運用上也具有獨特的優(yōu)勢：第一，自然性，通常是指由人類所具有的自然性的面部特征進行身份辨別。人臉識別可通過自然性識別使我們的生活方式更加便捷，用戶無須攜帶任何證件或進行其他操作，從而在使用中減少負擔。第二，非強制性，是指被識別的人臉圖像信息可以主動獲取而不易被識別個體察覺。在人臉識別過程中，數(shù)字圖像處理能夠自動完成，識別過程隱蔽，技術整體高效、安全。第三，非接觸性，是指在圖像處理的過程中，識別者不用與識別機器進行直接接觸，只需其面部特征進入識別區(qū)域并抓取成功即可。同時，非接觸性會使用戶在信息采集時減少排斥心理，大大降低采集難度。第四，并發(fā)性，是指在應用場景中，人臉識別技術可以在眾多用戶的面部特征中進行及時判斷、快速識別，節(jié)約識別時間，緩解場地擁擠。人臉識別技術在應用中優(yōu)勢明顯，且具有較高的使用價值，能夠廣泛應用到如高鐵安檢、入門打卡、金融密鑰等場景，發(fā)揮改變生活方式的科技力量，這也是人臉識別技術應用越來越普遍的原因。

隨著大數(shù)據(jù)、云計算、人工智能等信息科技的迅速發(fā)展，人臉識別技術在提升工作效率、革新生物識別方式的同時，潛在的使用風險也受到更多關注。在人臉識別過程中，可能出現(xiàn)隨意收集人臉信息，引起個人信息泄露的風險。尤其在大數(shù)據(jù)時代，有關個人信息的收集、利用和共享能力爆炸性增長，人臉識別應用中的個人信息保護問題亟待解決[3]。在面對衍生的某些法律風險時，如若不加以規(guī)制，可能會危害社會，甚至反噬社會。我們常常深陷一個誤區(qū)，在面對技術風險時通常用技術手段處理，認為法律規(guī)范更多用于調(diào)整社會關系，不能有針對性地解決技術問題。但從事實角度出發(fā)，我們應該明確的是，技術發(fā)展的同時也考驗著法律規(guī)范的回應，科技的進步也不應該以犧牲公民的權益為代價[4]。因此，人臉識別技術風險防范不僅僅是技術問題，更是法律問題。隨著信息規(guī)制的興起，如何通過法律規(guī)制來防范人臉識別技術的風險，保護公民個人信息安全，以求更大發(fā)揮人臉識別效用，逐漸成為學界研究與實踐應用都關注的焦點。

二、人臉識別技術法律風險的場景化

在人工智能快速發(fā)展的時代，用戶的個人信息使用范圍及傳播頻率不斷擴大，傳統(tǒng)的法律規(guī)范覆蓋范圍并不全面。因此，本文以人臉識別技術應用中的個人信息保護為出發(fā)點，聚焦規(guī)范和治理人臉識別技術之潛在法律風險，探究人臉識別技術的健康、有序發(fā)展途徑。

(一)人臉識別信息收集規(guī)制缺位風險

在法治社會中，風險的存在往往與規(guī)制密不可分。不論是理論技術研究，還是實踐應用場景，人臉識別技術所引起的風險與日俱增，日益受到社會重視[5]。要系統(tǒng)性地建構人臉信息收集的規(guī)制體系，需要整體性地審視人臉識別應用所引起的風險，重視該風險引發(fā)的規(guī)制需求。雖然2021年11月1日起施行的《個人信息保護法》將人臉識別明確納入到該法律的調(diào)整范圍，但僅規(guī)定了由國家網(wǎng)信部門協(xié)調(diào)有關部門推進制定個人人臉信息的保護規(guī)則與標準，尚未細致考量規(guī)制人臉信息所面臨的以日為單位變化著的現(xiàn)實。人臉識別信息收集在不同場景下面臨著不同的風險，人臉識別技術的崛起對法律規(guī)制提出了挑戰(zhàn)，它考驗著知情權的保障、隱私權與信息自由的平等保護，等等。在人工智能的大數(shù)據(jù)時代背景下，人臉信息的關聯(lián)度很高[6]，其商業(yè)價值不容小覷，過度收集人臉信息的情況往往難以避免。尤其是利用人臉識別技術能更便捷、快速地收集個人信息，在商業(yè)利益的驅(qū)動下，可能會導致一些主體對個人信息的惡意收集與盲目濫用。若個人信息被不法分子獲取，更會產(chǎn)生復雜的信息安全問題。易言之，應該在《個人信息保護法》對人臉信息保護進行統(tǒng)領式規(guī)定的前提下，各部門協(xié)調(diào)發(fā)力，對人臉識別技術收集、利用，以及侵犯個人信息的應用方式進行明確規(guī)范，即更有針對性地規(guī)制人臉識別技術，加強個人信息賦權，從而保護公民個人信息。

伴隨著信息技術飛速發(fā)展，互聯(lián)網(wǎng)企業(yè)使用人臉識別技術收集用戶個人信息也愈加廣泛，如未獲得法律的明確規(guī)制，易產(chǎn)生潛在的信息泄露風險。人臉識別技術在商業(yè)領域的應用，應在用戶知情同意，且意思表示真實的基礎上，落實數(shù)據(jù)主體責任[7]。人臉識別信息收集平臺不應基于單方意志，未經(jīng)用戶同意而收集其人臉識別信息，即使獲得對方同意亦應履行提示說明義務。若平臺提供格式合同卻未盡提示說明義務，或用戶對信息理解有誤產(chǎn)生重大誤解，此時人臉信息收集均可能損害用戶正當權益。從用戶的同意角度出發(fā)，《個人信息保護法》第13條明確規(guī)定了除特殊情況外，個人信息處理者在處理包括人臉信息在內(nèi)的個人信息時須以取得個人的同意為前提，而現(xiàn)實中該規(guī)定卻常被信息處理者以默認個人同意的格式條款所規(guī)避。但根據(jù)《民法典》第140條規(guī)定，沉默不等同于默示，默示是一種行為，應有一定的舉動；而沉默屬于不作為，但法律明確規(guī)定除外[8]。而沉默與默示同意的區(qū)別，在實踐中往往被技術使用平臺模糊甚至忽略，格式合同的“已同意”成為人臉識別技術收集個人信息的法律通行證。還應重視“用戶—數(shù)據(jù)處理者”關系中的公正與公開要求，著重強調(diào)對用戶的防御性保護，在規(guī)范基礎上關注“用戶—數(shù)據(jù)處理者”雙方關系中處理活動的公平性[9]。

一方面，格式條款作為用戶使用平臺的基本條款，除規(guī)定平臺有權在用戶觸犯法律時將用戶信息提供給有關行政部門外，還應明確平臺為自身利益而使用用戶個人信息的范圍，并完善保密制度以保障用戶各項權利，防止惡意泄露用戶個人信息等情況的發(fā)生。然而在實際應用中，濫用格式條款的情況并不少見，本應保護用戶權益的條款卻導致其利益被侵犯。從格式條款之性質(zhì)出發(fā)，合同本身是基于一方當事人提供合同文本，出于效率目的省略雙方當事人協(xié)商的過程。傳統(tǒng)的協(xié)商方式被單方取代，利益分配自然出現(xiàn)不公平狀態(tài)，會更偏向于提供合同文本的一方當事人[10]。因此，格式合同并沒有真正規(guī)制平臺收集信息的行為，反而使其規(guī)制效果更外表化，未能切實保護被收集者的信息安全。格式條款與個人信息權保護出現(xiàn)的此種沖突，要求平臺在制定格式條款時，更應遵循公平原則，并盡合理的提示說明義務。

另一方面，當前我國個人信息收集均以知情同意為基礎。不論是上文所述的《個人信息保護法》第13條第1款的規(guī)定，還是《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規(guī)定》(以下簡稱《規(guī)定》)第2條第2款，都確立了以“同意”作為收集個人信息的基準。在現(xiàn)實情況中，大多數(shù)人因不知風險或迫于形勢壓力的情形以表同意。該形式上的同意雖然符合法律的規(guī)定，但實質(zhì)上卻沒有真正體現(xiàn)個人信息主體的意志，更是有損人格尊嚴的表現(xiàn)。通過公共網(wǎng)絡收集、利用、存儲用戶的個人信息，理應使用加密保護措施，對收集的用戶信息進行分塊、單獨存儲，不允許公開披露用戶個人信息。但訴諸法律規(guī)范時，對用戶的個人信息進行收集、利用、加工處理等環(huán)節(jié)均無明確的法律規(guī)制，導致平臺出現(xiàn)隨意收集用戶信息，甚至存在“不刷臉就不提供服務”的惡性條款。除此之外，保護生物識別信息的法律原則以及權利義務責任的規(guī)定也不夠清晰明了，對信息主體的權利救濟也缺乏相應法律保護機制[11]?！毒W(wǎng)絡安全法》第41條規(guī)定，如若網(wǎng)絡運營者收集用戶個人信息，應當征得個人“同意”。然而，從語義的角度出發(fā)，“同意”在法條的理解上本身就存在多重含義，既有基于明顯答復的“同意”，有來自“默示”行為“同意”；有主動“同意”，也有被動“同意”?！巴狻憋@然有多重理解，到底何為該法所規(guī)定的“同意”，該“同意”是否可以解釋為“默示”行為的“同意”，該法條并未對“同意”作出明確的規(guī)定。在此基礎上，可看出人臉識別信息收集行為的法條本身針對性不強，同時會出現(xiàn)人臉識別信息收集行為規(guī)制缺位的風險?！巴狻眱H僅是享用技術的門檻，難以成為保護用戶信息安全的壁壘[12]?！秱€人信息保護法》規(guī)定處理人臉識別信息應當取得用戶的單獨同意，禁止一攬子授權行為。數(shù)據(jù)收集主體對于人臉識別等敏感個人信息的處理，需要逐項取得信息主體的授權[13]。在人臉識別技術發(fā)展階段，用戶的個人信息是基于數(shù)字圖像處理的識別技術，經(jīng)歷一系列算法后用于辨別身份信息。綜觀整個流程，人臉信息已經(jīng)被作為一種工具。人臉識別技術作為一種新型的生物識別技術，將用戶的獨立人格轉(zhuǎn)換成一系列代碼，將生動的人臉轉(zhuǎn)化成一行行數(shù)據(jù)，此時，識別的是人臉，最終得到的是數(shù)據(jù)，失去的或者被貶低的則是人的主體性及其尊嚴，所以，有必要加強個人信息賦權。

(二)人臉識別信息泄露的監(jiān)管失序風險

互聯(lián)網(wǎng)時代，人們在享受著大數(shù)據(jù)帶來的便利的同時，個人信息不可避免地被收集、利用。在每一次瀏覽、交易、通信使用時，都會留下信息痕跡。在此基礎上，個人信息被隨意收集、個人信息出現(xiàn)泄漏及濫用等問題日益常態(tài)化。相比較日新月異、快速更迭的人工智能、大數(shù)據(jù)等信息技術，我國的監(jiān)管制度滯后于技術及應用場景的發(fā)展。如今，無論是門禁打卡還是各種APP上都會出現(xiàn)人臉識別的身影。人臉識別技術已經(jīng)被廣泛地應用到各領域，而監(jiān)管部門僅著重于加強個人信息的保護，對如何預防信息泄露以及信息合理利用的各個環(huán)節(jié)都沒有明確規(guī)定，受侵犯后處罰力度不夠具體，使信息收集、泄露、濫用仍具有隨意性。所以，有必要對個人信息的收集、利用行為進行規(guī)范，各部門及社會組織做到協(xié)同監(jiān)管才能從源頭上抑制信息濫用的情況，規(guī)避信息泄露造成的不可逆轉(zhuǎn)的傷害，維護信息主體的利益。人臉識別技術在數(shù)字時代理應得到理論與實踐的雙重重視[14]。

我國對于保護個人信息的法律規(guī)定較為分散，且保護效力較低，缺乏體系化監(jiān)管。專門性的個人信息保護規(guī)定尚不明確，在出現(xiàn)信息泄露時，沒有做到事前預防、事中儲存及事后處罰機制。如今，法律規(guī)范均立足于用戶個人信息的間接性保護。其一，用戶的個人信息常常以電子形式存在，電子化形式的最大特點是容易存取，但易出現(xiàn)信息泄露[15]?；ヂ?lián)網(wǎng)公司已掌握用戶的大量信息，一旦黑客利用電子技術入侵，容易造成信息安全隱患，有必要做好事前預防措施。人臉信息具有唯一性，不像其他信息和身份證件在丟失后可以進行掛失、補辦，而人臉信息一旦丟失就等于自己所有的“密碼”全部公之于眾，且任何補救措施都很難彌補[16]。其二，《民法典》第1037條規(guī)定有關用戶的一般保護機制，要求侵權者為自己的侵權行為承擔責任，且用戶有權要求改正、刪除信息及其提出異議等。但在此基礎上，仍需進一步提高對收集者行為的要求，對其具體行為進行規(guī)制[17]。要以法律形式賦予各類型主體一定的權利，使該主體對信息處理行為享有監(jiān)督權和一定范圍內(nèi)的異議權、刪除權。同時加強外部監(jiān)管，從收集信息主體、處理信息場景等多個層次對信息收集的整個流程進行規(guī)制。其三，用戶信息在公共場所被隨意收集，或用戶因接受優(yōu)惠服務而選擇信息交換的現(xiàn)象也反映出，我國有關信息收集所設置的門檻線較低。任何有關部門、政府機關和企業(yè)都能出于公共利益或提供商業(yè)服務而收集用戶的個人信息，導致個人信息或多或少的泄露。從當前監(jiān)管手段來看，相關部門不僅在事后監(jiān)管力度及處罰手段不到位，甚至還出現(xiàn)了監(jiān)管失序的風險。此外，當用戶的個人信息出現(xiàn)泄漏時，有關部門有必要提升數(shù)據(jù)透明度，劃分收集者的合理界限。同時，在個人信息出現(xiàn)風險時，應在事前做好預防、在發(fā)生侵害時做到及時止損、事后處罰上加大監(jiān)管力度，建立一套完整的監(jiān)管體系，從而最大程度地保護信息主體的合法權益。

(三)人臉識別信息合理運用的邊界模糊風險

近年來，人臉識別技術被廣泛運用于各行各業(yè)，比如用于網(wǎng)絡支付、手機解鎖、門禁系統(tǒng)、法律案件(刑事抑或民事)、國家安全等方面。不難看出，政府和非政府主體均開始使用人臉識別技術，且其運用領域還將不斷擴展，但每一種運用場景都應有其合理的邊界。如果沒有明確的邊界，人臉識別信息可能出現(xiàn)信息被過度解讀或過度利用的情形，具體表現(xiàn)為以下幾種形式：第一，基于邊界不清引發(fā)的合法行為，超越合同約定該行為使用的類型邊界，如銀行人臉識別信息被用于保險、網(wǎng)絡購物等環(huán)節(jié)；超越合同約定該行為使用的范圍，如高校門禁系統(tǒng)的人臉信息，被用于教師課堂點名、考試個人信息識別、教務系統(tǒng)等內(nèi)容。其二，基于邊界不清引發(fā)的違法行為，可分為故意和過失，如銀行信息被不當運用導致泄露，從而盜取財物；信息泄露導致被人肉搜索、被詐騙等等。信息的不當運用會造成個人信息泄露，甚至信息販賣或者敲詐，導致財產(chǎn)、隱私等損害風險。當黑客等不法分子掌握用戶的人臉信息和個人隱私數(shù)據(jù)后，可以利用電子技術遠程竊取用戶信息，從而損害公民人格權。因此，使用該技術時不可暴露他人隱私和侵犯他人合法權益，應合理界定人臉識別信息被合理運用的邊界[18]。當前，《個人信息保護法》在處理、運用“人臉識別信息”的規(guī)定時，還缺乏更為細致的規(guī)則，第6條雖規(guī)定了“采取對個人權益影響最小的方式”，但如何界定仍存在較大裁量空間，“人臉識別信息”運用的限度還無法清晰掌控。并且有關保護個人信息的立法也呈分散狀態(tài)，未能構建完整的法律體系，同時可執(zhí)行性較弱。歷經(jīng)數(shù)十載，人臉識別技術逐漸被我國公共機構運用，尤其是在安防領域。但立法者尚未從人臉信息的角度出發(fā)，設定專門規(guī)則，也未基于現(xiàn)實需求去深入探究該制度的應有功能，而是將其作為個人信息的一種籠括于《個人信息保護法》之下。雖說《規(guī)定》引導了相關制度設計，但主要從民事審判角度出發(fā)，并未深入探究背后的立法規(guī)范以及立法緣由，具體規(guī)定都基本側重于對私權主體的規(guī)制，以政府為代表的公權力主體被排除在外。政府與私權利主體在地位上的不對等性，更易導致侵害個人信息的情況，卻沒有規(guī)范性文件對其行為加以約束，這也是亟待完善的地方。此外，對于“人臉識別信息”運用應當有場景化規(guī)定，不同“人臉識別信息”收集者應當有不同的運用邊界，即合法行為和違法行為的邊界應當有所不同。

另外，收集者運用“人臉識別信息”應當具有一定情形下的豁免權，即法律應當規(guī)定涉及國家安全或重大刑事犯罪時，基于法定事由及正當法律程序，應當向國家安全機關和司法機關提供所搜集到的“人臉識別信息”。尤其是在大數(shù)據(jù)相關行業(yè)發(fā)展如火如荼的形勢下，應當規(guī)定有一定豁免權的情形。然而，目前的立法并未對此進行規(guī)定，既導致“人臉識別信息”可能被國家安全機關和司法機關過度使用，也導致權力機關收集信息的行為缺乏法律的明確依據(jù)，產(chǎn)生某種行為是否合法的“或然”狀態(tài)。如果存在適當且全面的監(jiān)管框架并嚴格實施，并且對應的框架合乎判決所指明的憲法保護，政府就可使用已收集的信息。由于我國并未對適當和全面作出明確界定，也缺乏具體的可操作的設施，生物驗證信息中的邊界問題仍存在[19]。在大數(shù)據(jù)時代背景下，包括公民個人信息在內(nèi)的各種信息要想創(chuàng)造價值，必須能夠自由地流通和交易，而在這一過程中不可避免地會涉及公民個人信息的保護邊界問題。易言之，人臉識別信息應當被合理運用，但目前其合理運用的邊界模糊會產(chǎn)生更大風險。

三、人臉識別技術法律風險治理：場景化模式的嵌入

人臉識別技術法律風險的治理，不僅僅要關注技術本身，更要關注技術的運用，不要將思維止步于結果上，要在場景化模式下，對信息的收集及運用進行約束。針對人臉識別技術法律風險的治理，應把握在風險生成、傳播和爆發(fā)的基礎上，從落實法律主體、明確法律責任、完善監(jiān)管等角度出發(fā)，建立系統(tǒng)的治理框架。從人臉識別技術法律風險的基本問題出發(fā)，指出人臉識別技術常常因為場景的變化而具有不同的屬性。為此，人臉識別技術應采取場景化的治理模式，根據(jù)運用人臉識別技術的不同主體、所針對的不同對象，以及人臉識別技術所涉及的不同領域而構建不同類型的治理模式，從而形成完善和可信賴的人臉識別技術。

(一)場景化模式具有可嵌入性

從風險的可治理角度出發(fā)，其治理手段應當建立在場景化思維的基礎上。以分類場景的原則規(guī)制人臉識別技術，提出對用戶數(shù)據(jù)的收集要考慮場景的類型、用戶的身份、數(shù)據(jù)的用途及存儲等因素，其治理模式也應當結合不同場景設置不同規(guī)則。具體而言，人臉識別技術在運用過程中包含三方主體，即數(shù)據(jù)產(chǎn)生者(數(shù)據(jù)主體)—數(shù)據(jù)收集者—數(shù)據(jù)運用者，不同的權利主體所代表的權利之平衡，會產(chǎn)生不同的法律風險。人臉識別技術不僅是人工智能時代下的產(chǎn)物，也是高技術的核心，既對經(jīng)濟發(fā)展帶來變革性的影響，也隨之帶來一系列的風險問題[20]。因此，人臉識別技術的風險治理不應機械地采取個人信息賦權、信息公開與協(xié)同監(jiān)管框架進行判斷，而要以場景化模式作為治理重點，采取技術控制與法律手段的綜合治理機制。

在場景化治理模式下，不同主體的治理模式、治理手段及其力度均有所不同，且場景化治理的考量因素也有特定區(qū)別。人臉識別技術的法律風險可能會因使用主體、針對的對象、所涉及問題的不同而會有較大的差異。一旦場景不同，運用人臉識別技術的性質(zhì)就會有所不同，對其所采用的治理模式也應當不同。在場景化治理的模式下，需要考量的因素有：使用主體、針對的客體以及應用場景等。考量因素多種多樣，不可機械地采用任何一種治理模式[21]，否則會視為孤立的治理對象，要結合具體場景進行分析。場景化治理的具體手段應當幫助個體或群體作出更為正當合理的決策。場景化治理要求以數(shù)據(jù)主體的知情同意為核心來構建信息保護制度，將私主體的同意作為與龐大的商業(yè)主體或公權力力量抗衡的基礎，以獲得多數(shù)人共識為目標。為提升場景化治理的有效性，還應提高信息公開政策的透明度，讓數(shù)據(jù)主體對信息的收集、存儲及運用有準確的了解，以確保司法適用的統(tǒng)一性與協(xié)調(diào)性。提升透明度既保障了高效的治理，也確保數(shù)據(jù)主體平等地了解人臉識別技術中的個人權利[22]。同時，要明確技術控制是風險治理機制的重要切入點，要在實現(xiàn)數(shù)據(jù)保護的前提下，做到數(shù)據(jù)產(chǎn)業(yè)安全穩(wěn)定的發(fā)展[23]。此外，還應關注個人信息安全問題，重點防范關于信息泄露、濫用等風險，將法律作為風險治理機制的重要手段。應以場景化模式作為治理前提，提高數(shù)據(jù)采集的透明度，構建人臉識別技術應用的治理體系。

(二)場景化模式的嵌入理念

人臉識別技術應當采取場景化的治理模式，根據(jù)不同場景類型對人臉識別技術采取分層、分類的治理方式。就運用人臉識別技術的主體而言，當公權力主體作為人臉識別技術的使用者時，人臉識別技術對公共安全是一種保障。如政府機構將人臉識別系統(tǒng)與國家安全系統(tǒng)相連，人臉識別系統(tǒng)不僅可以加快出入場所的速度，也可以幫助對恐怖分子及其犯罪分子進行大范圍的檢測等等。如果人臉識別技術的使用者是一般企業(yè)，則企業(yè)成為數(shù)據(jù)信息的收集者及其保密者，國家機關應當對其加大監(jiān)管力度，進而保護用戶的個人信息。就人臉識別技術所針對的客體而言，若人臉識別技術針對的是具有高度可辨識性的個體，其數(shù)據(jù)信息的收集與運用都是以識別特定個體為目標，在此種情形下，人臉識別技術的性質(zhì)就與個人權利密切相關，從個人信息立法的角度進行治理更為合理。尤其在涉及弱勢群體保護的情形中，人臉識別技術可能演化成為加劇不公的催化劑。此類情形中，應當對人臉識別技術進行更多的干預，使弱勢群體受到合理、公正的對待。但在其他情形中，若數(shù)據(jù)信息的收集主要是為了分析某種群體或不可直接識別個體的對象從而提供服務，則此類情形中的人臉識別技術和個人信息權利的關系并不密切。此種情形下，加大個體權利的保護力度，可能會影響數(shù)據(jù)發(fā)揮流通性價值與公共性價值。此外，若脫離數(shù)據(jù)共享，此類個人信息的權利也會影響人臉識別技術本身的有效運行[24]，人臉識別技術和個人信息權利的關系并不密切。此種情形下，加大個體權利的保護力度，可能會影響數(shù)據(jù)發(fā)揮流通性價值與公共性價值。此外，若脫離數(shù)據(jù)共享，此類個人信息的權利也會影響人臉識別技術本身的有效運行[24]。如若人臉識別技術關聯(lián)的是純粹商業(yè)化企業(yè)，此種情形的人臉識別更類似于數(shù)據(jù)的統(tǒng)計區(qū)分，人臉識別收集信息就更像是一種信息匱乏手段下的信息甄別。

不同的場景模式形成對客觀世界的不同映像，不同映像的組合形成不同的治理體系。就使用主體而言，人臉識別技術的使用主體可分為公權力機構、私權利機構及其兼具公私主體特征的機構。面對私人特性的使用者時，要謹慎為之。同時，場景化治理的嵌入理念，不應該一味地追求以人臉信息主體享有的權利為中心，而是各方利益訴求應符合個人信息的整體運用情況[25]；不僅僅要關注信息主體的自由支配權，更要重視社會整體利益的訴求。場景化治理模式的嵌入理念，考量因素包括兩方面：一是承載著對個人信息保護的使命，倡導合理運用個人信息；二是在保護個人信息的前提下，要追求多元化的價值訴求。此外，在場景化治理的模式下，政府要平衡好權力與責任間的關系，政府在收集利用個人信息時，要把握好應有的尺度。易言之，場景化治理的考量因素多種多樣，不同場景下的考量因素有所相同，要根據(jù)具體情況具體分析。

(三)場景化模式的嵌入方略

在場景化治理模式下，針對不同場景類型要做到強化個人信息賦權、增加信息公開的透明性及各部門間做到協(xié)同監(jiān)管。以加強個人信息賦權為治理重點，將法律作為風險治理機制的重要手段；在處理人臉數(shù)據(jù)時，應公開收集者的權利邊界；在人臉數(shù)據(jù)信息的存儲及運用環(huán)節(jié)，各部門及社會組織應協(xié)同監(jiān)管。同時，不僅要賦予用戶進行人臉識別的主要權利，促進以用戶為主體的人臉識別技術發(fā)展?jié)撃?，也要形成法律?guī)制責任主體的倒逼機制，激發(fā)用戶主體弱保護與科技手段強保護之間的維穩(wěn)狀態(tài)。就場景化模式而言，其核心利益是信息保護。人臉信息易被收集，會出現(xiàn)泄露、濫用的情形，如何有效保護個人信息成為關鍵問題。所以，信息公開的初衷在于防止人臉信息被濫用，更好地規(guī)制收集者的權利邊界。信息公開可以提高企業(yè)及其政府工作的透明度，確保信息可以正確運用。在信息爆炸的時代，大數(shù)據(jù)將個人信息暴露在無形的網(wǎng)絡之中，而場景化治理則恰好針對個人信息的特定保護[26]，在不同網(wǎng)絡環(huán)境中完成隱私權、人格權的恢復。用戶數(shù)據(jù)收集者、數(shù)據(jù)使用者、數(shù)據(jù)處理者以及數(shù)據(jù)監(jiān)管者等各方參與主體的權利保障、責任分擔，是發(fā)揮數(shù)據(jù)信息價值、合理規(guī)避風險的重要前提。豐富協(xié)同監(jiān)管手段，使社會組織為其監(jiān)管提供有力保障。同時，也要推進各行政部門間信息共享，為各部門間綜合監(jiān)管和聯(lián)合懲戒提供支撐。

總之，就人臉識別技術風險治理而言，應當建立場景化的思維模式。人臉識別技術并不像一般的有形物或某些無形物，不具有相對穩(wěn)定的法律屬性，并不適用統(tǒng)一的傳統(tǒng)法律，比如某些動產(chǎn)或不動產(chǎn)，法律一般對其適用統(tǒng)一的物權、合同法或侵權法[27]。人臉識別技術并不是一種標準化的物，而是一種人工智能下的產(chǎn)物。此外，人臉識別技術的法律屬性會因為具體場景的不同而有所不同，人臉識別技術法律風險的治理應建立在場景化的基礎上。對于人臉識別技術與未來法治研究而言，應當準確把握人臉識別技術治理的場景化特征與原理，根據(jù)不同場景對人臉識別技術進行不同的規(guī)制，從而實現(xiàn)可信賴與多元化的人臉識別技術。

四、場景化治理路徑：一種混合規(guī)制模式設計

人臉識別技術是社會經(jīng)濟發(fā)展中技術推動而形成的新型生物識別技術，它有許多優(yōu)勢，發(fā)展不容小覷，然而其缺陷也不可忽視，應當選擇適當?shù)膱鼍盎卫砟Ｊ椒娇蓳P長避短，促進其健康有序的發(fā)展。近年來，人臉識別技術隨著社會發(fā)展不斷更新，公權力主體也一直在盡力尋求有效的治理模式。行政機關針對可能涉及國家、社會安全及經(jīng)濟安全領域的人臉識別技術運用，設立專門的審查、審判制度，同時在場景化治理模式下，將個人賦權、信息公開與協(xié)同監(jiān)管結合稱為“混合模式”。其實，該“混合模式”并不是一種新的治理模式，它只是越來越多地用來實現(xiàn)治理目標的一種工具。該“混合模式”既可以節(jié)約治理成本，又可提高治理效率，也可確保政府面對一些極端問題作出及時有效的反應。

(一)個人賦權的場景化塑造

在場景化治理模式下，為保護人臉信息，應落實數(shù)據(jù)主體責任，加強個人信息賦權。如果法律更好地保護個人信息的合法權益，必然會調(diào)動廣大用戶的積極性，大大提高人臉識別效率。加強個人信息賦權最重要的目標是明確劃分收集者的權利邊界，從用戶—數(shù)據(jù)的角度出發(fā)對人臉識別技術進行法律規(guī)制。加強防范人臉信息的濫用，尤其應警惕收集者的處理行為給用戶帶來的損害或負面影響，降低人臉信息損害至用戶可接受的合理程度即為個人信息保護的目標。規(guī)范人臉識別技術第一步應是明確收集者在人臉識別技術運用中的邊界，確保人臉識別技術得到正確運用。更為重要的是，在場景化治理模式下，人臉信息保護的邊界并非固定、僵化的，而是主觀的、動態(tài)的，并受多種因素影響，人臉信息的合理使用，在不同場合均有所不同。大數(shù)據(jù)時代，人臉信息的使用場景紛繁復雜，要加強個人賦權，更要提倡以用戶為中心、結果為導向的思路。

為解決用戶個人信息受到損害的問題，我們需要加強個人信息賦權。要以法律保護規(guī)則為指導，結合成熟的行業(yè)規(guī)則，構建完善的個人信息賦權責任體系?！兑?guī)定》第2條的內(nèi)容為場景化塑造提供了路徑，包括了違法使用人臉識別技術進行人臉驗證、辨識或者分析，未公開處理人臉信息的規(guī)則，未明示處理的目的、方式、范圍等內(nèi)容。在此場景化視角下解釋立法，落實數(shù)據(jù)主體的知情權、同意權、更正權及刪除權在內(nèi)的權利，以強制規(guī)范明確其利害關系，通過侵權責任的落實來設計數(shù)據(jù)主體受到損害后的救濟途徑等內(nèi)容。為了數(shù)據(jù)更好地流轉(zhuǎn)及實現(xiàn)其價值，還應在法條中構建數(shù)據(jù)使用方的權利保障條款，明確對數(shù)據(jù)收集者及利用者的安全保障措施。同時，要求其接受政府及社會監(jiān)督，避免其利用優(yōu)勢地位對用戶的權益進行侵害，保障用戶應有的權利。根據(jù)現(xiàn)有規(guī)范的解釋研究，也是另一條可探索的信息保護法律規(guī)制的道路。通過新增有關人臉信息的解釋，嚴格收集主體信息公開的義務，落實保障知情權、同意權以及豁免權等，從而達到提高對個人信息的使用效率、落實數(shù)據(jù)主體責任的目的。無論采用何種方式，均應在加強個人信息賦權的責任中，探尋互利共贏的平衡點。

(二)信息公開的場景化塑造

信息公開有助于促進數(shù)據(jù)主體作出正確選擇。信息公開要求收集主體在交易前向數(shù)據(jù)主體公開收集范圍、方式、信息用途等必要內(nèi)容。信息公開應是一個完整的交易過程，真實、全面地反映人臉信息被收集、運用、存儲的各個環(huán)節(jié)，從而使數(shù)據(jù)主體更好地作出知情選擇。同時，要最大限度地保障不同數(shù)據(jù)主體的核心訴求，使數(shù)據(jù)主體在被收集時即對交易過程作出較為準確的判斷。但在大多數(shù)情形下，尤其在商業(yè)領域，數(shù)據(jù)主體往往必須先做出選擇，才可以接受后續(xù)服務。對人臉識別技術針對的用戶及社會公眾而言，最為重要的是用戶知情權的保障，使用戶有機會知曉或同意信息運轉(zhuǎn)流程、信息收集的利害結果，以及相關影響的處理。收集信息的主體也可以通過不斷的信息反饋建立信任機制，使用戶主體更放心、更安全地完成交易活動。為防止收集主體對個人信息的過度使用，知情是信息處理的正當性基礎。此外，欺詐行為的基礎都來源于信息不對稱，無論是不法企業(yè)惡意收集信息，還是政府機構濫用信息，信息公開都會減少信息不對稱的出現(xiàn)，從而極大地保障用戶合法權益。將信息公開不僅會促進數(shù)據(jù)主體作出更正確的選擇，也是充分保護用戶知情權的最好體現(xiàn)。

保護用戶的知情權是數(shù)據(jù)主體對數(shù)據(jù)進行自治的重要手段。人臉信息屬于個人敏感信息，收集、存儲及運用需經(jīng)過信息主體的明確知情且同意。在對用戶進行人臉信息收集前，要準確告知該信息的使用方向、信息存儲地點以及信息使用后作何處理等關鍵信息。一方面，盡管用戶的知情權是保護個人信息的基礎，但面對復雜和專業(yè)性很強的隱私條款時，用戶的“知情”往往會變得很被動。另一方面，由于信息不對稱，數(shù)據(jù)主體通常很難理解數(shù)據(jù)收集、存儲及運用的范圍，也更難以預估其潛在的危險。同時要明確，盡管商業(yè)主體的主動信息披露是保障用戶知情權的基礎，用戶能否仔細閱讀收集信息主體主動公開的內(nèi)容，能否及時了解授權的使用范圍，這些問題并不是收集信息主體進行信息公開就可解決的，還需要其他因素共同作用[28]。知情權來源于憲法權益，而這種憲法權益集中體現(xiàn)在《網(wǎng)絡安全法》，強化了用戶權利的具體范圍?！毒W(wǎng)絡安全法》第22條規(guī)定，如若網(wǎng)絡服務提供者發(fā)現(xiàn)風險，有及時告知用戶的法定義務，且用戶對數(shù)據(jù)的控制權和其他合法權益都是建立在用戶知情權的基礎上。但《網(wǎng)絡安全法》對用戶知情權的規(guī)定仍不夠全面、具體，需要構建用戶知情權的制度體系。當前，用戶知情權最大的困境來源于對用戶知情權的保護與商業(yè)主體對人臉信息便捷利用的市場需求間的沖突[29]。政府部門對用戶人臉信息的保護，秉持知情同意的原則，商業(yè)主體在收集信息前履行告知義務。在此基礎上，政府僅僅是規(guī)定了需要告知的義務，并沒有明確規(guī)定必須以怎樣的方式告知、通過什么樣的流程告知。因此，還需要構建用戶知情權制度體系，從而更好地落實信息公開。

(三)協(xié)同監(jiān)管的場景化塑造

為加強個人信息保護的法治環(huán)境，協(xié)調(diào)各方資源，構建以政府監(jiān)管、行業(yè)自律及社會監(jiān)管為一體的協(xié)同監(jiān)管機制成為了新的話題。從協(xié)同監(jiān)管的制度構建角度出發(fā)，其主旨在于保護用戶個人信息，以及幫助商業(yè)主體更便捷地獲取個人信息，而非讓個人信息被隨意收集或交易。針對人臉識別技術的法律風險等問題，不應一味采用機械的監(jiān)管機制，應當著力于建設動態(tài)、互動、協(xié)作的監(jiān)管機制，確保規(guī)范適用的統(tǒng)一和高效。在監(jiān)管中要加強政府、行業(yè)協(xié)會及社會組織間的信息交流與共享，為商業(yè)主體提供合規(guī)合法的指引，做好事前預防、事后監(jiān)管的銜接，使商業(yè)主體自覺遵守法律法規(guī)。網(wǎng)絡輿論也可以為政府監(jiān)管、行業(yè)自律規(guī)范提供監(jiān)管方向，使其執(zhí)法時更有效率。同時，監(jiān)管機關要加強監(jiān)管人員素質(zhì)培養(yǎng)，定期進行專項訓練，保證執(zhí)法過程的公平公正?；谌四樧R別技術在運用過程中具有多變性，且人臉識別給商業(yè)主體帶來的高額利潤等多種因素考量，應該更加嚴格要求其監(jiān)管機構。總之，要從政府監(jiān)管、行業(yè)自律及社會監(jiān)管的協(xié)同監(jiān)管模式出發(fā)，及時捕捉對個人信息過度收集和濫用的行為，依法嚴厲打擊利用個人信息的違法犯罪行為。

人臉識別技術在應用的過程中會產(chǎn)生較多的未知風險，應當在場景化治理模式下采用協(xié)同監(jiān)管。要構建協(xié)同監(jiān)管模式，合理劃分界限，提高監(jiān)管效率。在政府監(jiān)管的過程中，容易出現(xiàn)監(jiān)管主體不明確、多頭執(zhí)法導致監(jiān)管虛化，人臉識別技術的監(jiān)管領域出現(xiàn)真空地帶。因此，要加強監(jiān)管、強化責任落實，明確監(jiān)管主體與監(jiān)管責任范圍。政府的監(jiān)管部門應當根據(jù)備案登記材料進行合理的風險判斷，對收集主體的收集目的、儲存方式、使用范圍以及事后信息的消除方式等方面進行風險預估。同時，為了節(jié)約政府資源，對收集人臉信息最有效的監(jiān)管是加強行業(yè)自律。即使法律規(guī)定和政府監(jiān)管是治理人臉識別技術的有效手段，但數(shù)據(jù)治理仍考驗著商業(yè)主體的能動性。加強自律規(guī)范，有利于降低政府監(jiān)督的成本，節(jié)約資源。行業(yè)自律規(guī)范是約束行業(yè)自身行為的內(nèi)生機制，從運用程度來講，更具針對性、靈活性與便捷性。行業(yè)自律規(guī)范不同于企業(yè)內(nèi)部的自身約束條款，自律規(guī)范針對的是整個行業(yè)而設定的統(tǒng)一標準，規(guī)定了商業(yè)主體收集人臉信息的限度，約束范圍更廣。建立行業(yè)自律規(guī)范[30]，不僅可以在人臉信息的收集時加以規(guī)制，也可以在人臉信息的使用和處理時加以規(guī)范；既可針對在不同領域中對人臉識別技術的運用規(guī)定不同標準，也可進行宏觀的統(tǒng)一規(guī)范。

在協(xié)同監(jiān)管的模式下，也應為數(shù)據(jù)主體提供社會監(jiān)督投訴的渠道，對數(shù)據(jù)主體的建議及時接受和反饋。要與利用人臉識別技術的社會組織進行溝通交流，構建適用于人臉識別技術行業(yè)的準用規(guī)則和否定機制。加強社會監(jiān)管是實現(xiàn)對收集人臉信息有效監(jiān)管的現(xiàn)實基礎。應當加強網(wǎng)絡輿論監(jiān)督，及時捕捉、判斷有關個人信息的違法活動及非法收集、泄露個人信息的行為，以便消除隱患。同時，對惡意收集個人信息進行舉報的社會群眾，采取獎金機制，支持新聞媒體、社會大眾對個人信息保護進行監(jiān)督。此外，要以群眾監(jiān)督為基礎，建立預防思維，自覺樹立個人信息保護和自我防范意識[31]。隨著個人信息的敏感度逐漸提高，公民自身要了解人臉識別技術并對其帶來的風險加強預防意識，并不斷提高自我保護能力?？傊髷?shù)據(jù)時代構建個人信息場景化治理，應該最大限度地加強社會監(jiān)管，建立多元化的監(jiān)管機制。

五、結語

大數(shù)據(jù)快速發(fā)展的時代，人臉識別技術已經(jīng)逐漸成為社會焦點，以人臉識別技術為代表的新興技術也已經(jīng)成為政府和商業(yè)主體收集信息不可或缺的手段。利用人臉識別技術可以快速地進行身份識別，提高效率與準確率。但是任何事物都具有兩面性，人臉識別技術廣泛運用對我國傳統(tǒng)個人信息保護體系帶來沖擊，面對人臉信息出現(xiàn)泄漏與濫用的情形，應當對人臉識別技術的應用進行場景化治理。因此，構建個人信息保護的相應制度愈發(fā)重要。在技術便利與個人信息得到保護的雙重條件下，要完善個人信息保護的法律體系，加強行業(yè)自律機制，落實數(shù)據(jù)主體責任，利用政府、社會監(jiān)管以及行業(yè)自律的協(xié)同監(jiān)管模式，平衡數(shù)據(jù)利用主體和提供主體二者之間的關系，為經(jīng)濟貿(mào)易往來帶來便利的同時避免風險的發(fā)生。