龔煒琪

（西北政法大學(xué) 法治學(xué)院、法律碩士教育學(xué)院，陜西 西安 710000）

隨著互聯(lián)網(wǎng)的飛速發(fā)展，數(shù)字領(lǐng)域也在不斷實(shí)現(xiàn)跨越式發(fā)展，其中的一大典型表現(xiàn)即人臉識(shí)別技術(shù)在社會(huì)生產(chǎn)生活中得以廣泛應(yīng)用。例如，隨處可見(jiàn)的刷臉移動(dòng)支付、小區(qū)進(jìn)出人臉識(shí)別門(mén)禁系統(tǒng)、日常公司掃臉考勤打卡、地鐵出行人臉識(shí)別通行等。而作為一種新興的生物識(shí)別技術(shù)，人臉識(shí)別技術(shù)主要通過(guò)在圖像或視頻流中檢測(cè)、跟蹤人臉［1］，并對(duì)所提取的人臉基本信息進(jìn)行檢測(cè)和匹配。據(jù)國(guó)外調(diào)研機(jī)構(gòu)Gen Market Insights 發(fā)布的《全球人臉識(shí)別設(shè)備市場(chǎng)研究報(bào)告2018》顯示，全球人臉識(shí)別設(shè)備市場(chǎng)價(jià)值在2018 年至2025 年期間將以26.8%的速度增長(zhǎng)，到2025 年底將達(dá)到71.7 億美元，而中國(guó)是人臉識(shí)別設(shè)備最大的消費(fèi)區(qū)域，在2018-2023 年復(fù)合年增長(zhǎng)率為29.53%，2023 年占全球比例將達(dá)到44.59%，到2024 年人臉識(shí)別設(shè)備市場(chǎng)規(guī)模將突破100 億元［2］。

但科技的發(fā)展總伴隨著一系列的社會(huì)及法律問(wèn)題。人臉識(shí)別技術(shù)讓人們享受便捷的同時(shí)，由于相關(guān)技術(shù)不成熟、監(jiān)管不到位等因素，公民個(gè)人人臉信息被竊取、泄露、倒賣(mài)等情形與日俱增，甚至危及公民人身安全。且由于相關(guān)專(zhuān)門(mén)規(guī)制的缺乏、監(jiān)管主體不明晰等原因，使得相關(guān)違法處分不嚴(yán)、地方執(zhí)法“雷大雨小”等問(wèn)題層出，這不僅不能彌補(bǔ)受害者的損失，反而進(jìn)一步助長(zhǎng)了人臉信息侵權(quán)主體的威風(fēng)。因此，如何平衡科技發(fā)展、社會(huì)進(jìn)步與公眾人臉信息安全成為現(xiàn)今一大社會(huì)治理難題。

一、人臉識(shí)別技術(shù)應(yīng)用對(duì)個(gè)人信息保護(hù)的挑戰(zhàn)

作為生物識(shí)別信息中的一種，人臉信息具有人身專(zhuān)屬性的特點(diǎn)，一旦泄露，不但會(huì)導(dǎo)致當(dāng)前應(yīng)用數(shù)據(jù)泄露，而且與該人臉相關(guān)的其他應(yīng)用數(shù)據(jù)均可能泄露，使得用戶(hù)承受信息泄露、財(cái)產(chǎn)損失等風(fēng)險(xiǎn)，并導(dǎo)致個(gè)人最終不得不選擇退出人臉應(yīng)用服務(wù)，這將給個(gè)人信息保護(hù)帶來(lái)巨大挑戰(zhàn)。

（一）侵權(quán)風(fēng)險(xiǎn)

人臉識(shí)別技術(shù)在社會(huì)生產(chǎn)生活中被廣泛應(yīng)用，并為生產(chǎn)生活提供便利，但人臉信息侵權(quán)問(wèn)題也相繼產(chǎn)生。南方都市報(bào)個(gè)人信息保護(hù)研究中心發(fā)布的《移動(dòng)端人臉識(shí)別應(yīng)用合規(guī)報(bào)告》顯示，在其選取的50 款具有人臉識(shí)別功能的移動(dòng)應(yīng)用中，四成應(yīng)用隱私政策透明度較低，人臉信息共享不合規(guī)現(xiàn)象突出［3］。

雖說(shuō)在使用此類(lèi)APP 前，用戶(hù)就已經(jīng)點(diǎn)擊確認(rèn)了軟件開(kāi)發(fā)者提供的《用戶(hù)隱私保護(hù)政策》，同意主動(dòng)提供或是允許在使用軟件期間由軟件自動(dòng)獲取人臉有關(guān)信息，以獲得更好的用戶(hù)體驗(yàn)。但顯而易見(jiàn)，此種授權(quán)行為非傳統(tǒng)意義上的“知情同意”。

一方面，絕大多數(shù)應(yīng)用提供的相關(guān)隱私保護(hù)條款十分冗長(zhǎng)，鮮少有用戶(hù)會(huì)去細(xì)讀其內(nèi)容是否超出必要限度。如此一來(lái)，許多隱性霸王條款便以“用戶(hù)知情同意”為由，成為軟件方頻繁、過(guò)度索取權(quán)限，違規(guī)使用相關(guān)人臉信息的借口。另一方面，由于缺乏統(tǒng)一的行業(yè)規(guī)范和相關(guān)的行政監(jiān)管。大多數(shù)軟件開(kāi)發(fā)者對(duì)用戶(hù)采取“無(wú)授權(quán)則無(wú)服務(wù)”的硬性態(tài)度。即若用戶(hù)不同意軟件開(kāi)發(fā)者提供的相關(guān)條款，則無(wú)法使用該軟件的相關(guān)服務(wù)。為此，即便用戶(hù)只是想要使用軟件刷臉支付功能，卻不得不授權(quán)軟件獲取存儲(chǔ)、位置、通訊錄、電話等非必要信息權(quán)限。因此，在此情形下很難成立有效的知情同意，嚴(yán)重?fù)p害了用戶(hù)的信息自決權(quán)。

（二）隱私泄露風(fēng)險(xiǎn)

人臉識(shí)別技術(shù)作為一項(xiàng)新興技術(shù)，依賴(lài)于對(duì)個(gè)體生物特征的識(shí)別。與傳統(tǒng)使用的數(shù)字密碼不同，生物可識(shí)別信息具有特定性和惟一性等特點(diǎn)，一旦泄露，每個(gè)人都會(huì)像超市里的商品一樣，被擺放在貨架上分類(lèi)出售。甚至一個(gè)人一生的個(gè)人信息會(huì)被出售多次，循環(huán)往復(fù)，其損害后果可想而知。

當(dāng)前，企業(yè)通過(guò)自行收集、用戶(hù)主動(dòng)提供或從第三方合作方手里獲取用戶(hù)相關(guān)人臉信息，并建立企業(yè)商業(yè)數(shù)據(jù)庫(kù)，將所收集的信息進(jìn)一步加工處理，使其具備較高的商業(yè)價(jià)值。但也因此，若人臉信息保管不當(dāng)，則可能出現(xiàn)被企業(yè)內(nèi)部人員因一己私利而出賣(mài)，或是被外部黑客入侵系統(tǒng)盜取等情形，容易造成大規(guī)模的數(shù)據(jù)泄露事件，給人臉信息主體帶來(lái)巨大信息安全隱患。在實(shí)踐中，由于人臉識(shí)別技術(shù)的限制，每一次人臉數(shù)據(jù)采集和驗(yàn)核都能使信息采集主體獲取用戶(hù)人臉信息并進(jìn)行存儲(chǔ)。如此一來(lái)，整個(gè)轉(zhuǎn)接過(guò)程鏈條所涉及的采集主體均可以獲取用戶(hù)人臉信息，這極易引發(fā)人臉信息安全問(wèn)題，增加隱私泄露的風(fēng)險(xiǎn)。

此外，固有的技術(shù)缺陷也增加了人臉識(shí)別技術(shù)隱私泄露的風(fēng)險(xiǎn)。雖然人臉信息具有惟一性和特定性，但是人臉?biāo)纳镒R(shí)別信息內(nèi)容十分豐富，大部分人臉識(shí)別技術(shù)尚未達(dá)到完全區(qū)分相似面孔的能力，檢測(cè)識(shí)別的人臉是否為圖像、模型還是真人的水平。為此，人們?cè)谏缃黄脚_(tái)發(fā)布的照片，日常被監(jiān)控抓拍等人臉信息亦有可能被不法分子截取利用，也存在一定的隱私泄露風(fēng)險(xiǎn)。

（三）歧視風(fēng)險(xiǎn)

人臉識(shí)別技術(shù)可分為人為歧視風(fēng)險(xiǎn)和科技歧視風(fēng)險(xiǎn)兩種。人為歧視風(fēng)險(xiǎn)即通過(guò)設(shè)定特定的算法和運(yùn)行程序，增強(qiáng)或者降低某些信息的識(shí)別率，以使得技術(shù)識(shí)別的人臉信息具有一定的傾向性。

例如美國(guó)邁哈密使用智能治安監(jiān)管系統(tǒng)以重點(diǎn)監(jiān)視黑人群體和西班牙移民［4］。這表明在治安監(jiān)管系統(tǒng)中，黑人和西班牙移民群體被人臉識(shí)別系統(tǒng)捕捉、收集人臉信息的概率遠(yuǎn)高于白人和亞洲人等其他群體，這無(wú)疑構(gòu)成膚色和種族歧視，違背種族平等的國(guó)際共識(shí)；科技歧視風(fēng)險(xiǎn)即算法在正常運(yùn)行過(guò)程中，由于數(shù)據(jù)偏差或者其他技術(shù)性問(wèn)題，進(jìn)而導(dǎo)致人臉識(shí)別系統(tǒng)在實(shí)際運(yùn)作中會(huì)自然而然地產(chǎn)生對(duì)公民年齡、膚色、性別等歧視對(duì)待風(fēng)險(xiǎn)，從而導(dǎo)致識(shí)別結(jié)果不準(zhǔn)確。例如一些互聯(lián)網(wǎng)平臺(tái)并未在算法正常運(yùn)行中進(jìn)行人為的干預(yù)，但是算法仍然會(huì)根據(jù)自身的運(yùn)算規(guī)則而產(chǎn)生數(shù)據(jù)偏差。麻省理工學(xué)院的一項(xiàng)研究顯示，人臉識(shí)別系統(tǒng)對(duì)黑人和白人的識(shí)別率存在顯著差異，就刑事犯罪領(lǐng)域而言，人臉識(shí)別技術(shù)將黑人誤認(rèn)為犯罪分子的概率遠(yuǎn)超過(guò)白人［5］。

二、人臉識(shí)別技術(shù)運(yùn)用下個(gè)人信息法律保護(hù)的現(xiàn)狀

（一）立法層面

就既有法律而言，我國(guó)目前并未就人臉識(shí)別信息收集、處理和保管等作出特殊規(guī)定，只是從個(gè)人信息層面對(duì)其進(jìn)行保護(hù)?！秱€(gè)人信息保護(hù)法》將個(gè)人身份識(shí)別信息作為一項(xiàng)敏感信息，要求個(gè)人信息處理者在合法、合理的范圍內(nèi)處理個(gè)人信息。該法第二十九條規(guī)定，處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意；法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得書(shū)面同意的，從其規(guī)定。

此外，有關(guān)個(gè)人信息法律保護(hù)規(guī)定較為零散地分布于不同類(lèi)型的法律法規(guī)中。例如，我國(guó)現(xiàn)行《民法典》規(guī)定了“自然人的個(gè)人信息受法律保護(hù)”①參見(jiàn)《民法典》第一千零三十四條第一款。，將其作為一般人格權(quán)予以保護(hù)。而人臉信息可以依托一定的物質(zhì)載體而被反映、識(shí)別，此時(shí)可視為肖像，依據(jù)肖像權(quán)相關(guān)規(guī)定進(jìn)行保護(hù)。《消費(fèi)者權(quán)益保護(hù)法》規(guī)定了經(jīng)營(yíng)者收集、使用消費(fèi)者個(gè)人信息時(shí)，應(yīng)遵循正當(dāng)合法及必要性原則，且需征得消費(fèi)者的同意①參見(jiàn)《消費(fèi)者權(quán)益保護(hù)法》第二十九條。?！毒W(wǎng)絡(luò)安全法》則規(guī)定網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者收集用戶(hù)信息時(shí)，應(yīng)獲得用戶(hù)同意且不能違反相關(guān)法律法規(guī)，并對(duì)依法負(fù)有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門(mén)及其工作人員提出具體工作要求②參見(jiàn)《網(wǎng)絡(luò)安全法》第二十二條第三款。。同時(shí)，《憲法》雖未提及“個(gè)人信息”，但不得非法侵犯公民人格尊嚴(yán)，公民通信自由、通信秘密受法律保護(hù)等內(nèi)容，仍反映了對(duì)個(gè)人信息保護(hù)的立法意圖。

而人臉這種生物識(shí)別信息具備本體特殊性和社會(huì)特殊性，這決定了其具備與普通公民個(gè)人信息不同的重要性，因此也需要更嚴(yán)格的刑法加以輔助保護(hù)。刑法對(duì)公民個(gè)人信息的保護(hù)經(jīng)歷了從無(wú)到有、不斷完善發(fā)展的過(guò)程［6］139。從新中國(guó)第一部“七九”刑法再到“九七”新刑法都沒(méi)有規(guī)定個(gè)人信息保護(hù)的相關(guān)內(nèi)容。2009 年，《刑法修正案（七）》設(shè)立了“出售、非法提供公民個(gè)人信息罪”和“非法獲取公民個(gè)人信息罪”才使得個(gè)人信息保護(hù)進(jìn)入刑法的視野。2015 年，我國(guó)出臺(tái)了《刑法修正案（九）》進(jìn)一步整合了個(gè)人信息方面的犯罪，將違法主體擴(kuò)大至一般主體，擴(kuò)大了犯罪入罪主體，并將相關(guān)罪名整合為“侵犯公民個(gè)人信息罪”罪名。2017 年，最高法與最高檢聯(lián)合出臺(tái)了《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》，加大懲治侵害公民個(gè)人信息犯罪的力度，推動(dòng)了我國(guó)打擊侵犯公民個(gè)人信息犯罪刑法保護(hù)的具體化進(jìn)程。但是，相關(guān)法條或司法解釋仍未針對(duì)人臉信息制定具體定罪量刑標(biāo)準(zhǔn)，不利于實(shí)現(xiàn)對(duì)人臉信息的特殊保護(hù)。

由此可見(jiàn)，我國(guó)立法者能夠及時(shí)通過(guò)立法回應(yīng)社會(huì)發(fā)展需要。但值得關(guān)注的是，人臉信息所代表的是復(fù)合法益，不僅包含公民個(gè)人信息權(quán)益，還包含人格尊嚴(yán)、信息自決權(quán)等內(nèi)容。因此，需要立法者及時(shí)完善相關(guān)法律規(guī)制，以全面保障人臉信息安全。

（二）司法層面

在司法層面，社會(huì)關(guān)注度最高的便是杭州動(dòng)物園“人臉識(shí)別”案。原告郭兵因不滿被告將人臉識(shí)別驗(yàn)證作為入園的惟一方式而將杭州野生動(dòng)物世界告上法院。一審法院認(rèn)為，原被告此前達(dá)成的服務(wù)合同里并沒(méi)有包含“不進(jìn)行人臉識(shí)別不能正常入園”的要求。此要求屬于新要約，不經(jīng)原告方同意不產(chǎn)生法律效力。因此，要求被告刪除其辦理指紋年卡時(shí)提交的包括照片在內(nèi)的面部特征信息。由此可見(jiàn)，一審法院認(rèn)為個(gè)人信息權(quán)益屬于私權(quán)，可以由民事主體間進(jìn)行協(xié)商確定相關(guān)使用規(guī)則③參見(jiàn)浙江省杭州市富陽(yáng)區(qū)人民法院（2019）浙0111 民初6971 號(hào)判決書(shū)。。但是值得考慮的是，作為一種特殊的個(gè)人信息權(quán)益，法官在審理案件時(shí)，是否可以采取更加謹(jǐn)慎的處理和保護(hù)原則，對(duì)人臉信息進(jìn)行更大限度的司法保護(hù)。

二審法院認(rèn)為，生物識(shí)別信息高度體現(xiàn)自然人的行為、生理等特征。作為一種敏感的個(gè)人信息，其人格屬性極強(qiáng)。一旦其發(fā)生泄漏，將會(huì)帶來(lái)不可預(yù)測(cè)的危害。因此，二審法院一方面維持了一審法院判決，即認(rèn)為郭兵在知悉動(dòng)物園要收集指紋的告示下仍辦理年卡，該行為對(duì)于郭兵和動(dòng)物園均有約束力。但是人臉識(shí)別信息的店堂告示并非郭兵辦理年卡的合同條例范圍，并不對(duì)雙方產(chǎn)生約束。另一方面，動(dòng)物園想要利用原本收集的人臉識(shí)別面部特征擴(kuò)大信息處理范圍，超出了雙方訂立合同的范圍，且表明動(dòng)物園存在侵害郭兵人臉信息權(quán)益的目的和可能危險(xiǎn)。為此，動(dòng)物園應(yīng)當(dāng)在系統(tǒng)刪除郭兵提交的照片在內(nèi)的面部信息④參見(jiàn)浙江省杭州市中級(jí)人民法院（2020）浙01 民終10940 號(hào)判決書(shū)。。

同時(shí)檢索中國(guó)裁判文書(shū)網(wǎng)有關(guān)侵犯公民個(gè)人信息犯罪的公開(kāi)案件可知，近年來(lái)侵犯公民人臉信息犯罪的案件總體呈上升趨勢(shì)。從獲取數(shù)據(jù)可知，2017 年到2021 年，我國(guó)法院已審結(jié)的涉及侵犯人臉信息的案件分別為2 件、3 件、11 件、12 件、27件，共計(jì)55 件，且該統(tǒng)計(jì)不包含未立案審理或游離于刑法規(guī)制之外的犯罪黑數(shù)。

據(jù)此可以推測(cè)，隨著人臉識(shí)別技術(shù)的進(jìn)一步推廣，此類(lèi)犯罪案件數(shù)量將會(huì)呈大幅增加趨勢(shì)。為此，進(jìn)一步增加“生物識(shí)別信息糾紛”案由，以滿足司法實(shí)踐中對(duì)新類(lèi)型權(quán)益特殊保護(hù)的需求十分必要。

（三）行政執(zhí)法層面

相關(guān)執(zhí)法部門(mén)已采取多重舉措以保護(hù)個(gè)體人臉信息權(quán)益。2019 年，由工信部牽頭，聯(lián)合公安部、市場(chǎng)監(jiān)管總局等多部門(mén)聯(lián)合開(kāi)展APP 侵害用戶(hù)權(quán)益專(zhuān)項(xiàng)整治行動(dòng)，并組織第三方檢測(cè)機(jī)構(gòu)對(duì)手機(jī)應(yīng)用軟件進(jìn)行檢測(cè)。并對(duì)下載量大的App 申請(qǐng)權(quán)限以及強(qiáng)制開(kāi)啟的權(quán)限進(jìn)行了分析統(tǒng)計(jì)，向社會(huì)公布，保障公眾知情權(quán)。2021 年1 月22 日，工信部公布了《關(guān)于侵害用戶(hù)權(quán)益行為的App 通報(bào)》，要求存在違規(guī)、超范圍收集個(gè)人信息等問(wèn)題的157 款侵害用戶(hù)權(quán)益的App 進(jìn)行限期整改，并于2021 年2 月4 日，下架了37 款整改復(fù)查不達(dá)標(biāo)的App。

但由于相關(guān)法律規(guī)定較為分散，目前我國(guó)尚未確立統(tǒng)一的個(gè)人信息監(jiān)管部門(mén)承擔(dān)個(gè)人信息保護(hù)的職能，相關(guān)部門(mén)存在職能交叉或者空白的情形。此外，個(gè)人信息侵權(quán)案件往往涉及多方主體，相關(guān)問(wèn)題的處理需要多部門(mén)聯(lián)合。因此，在尚未明確個(gè)人信息侵權(quán)問(wèn)題應(yīng)該由哪個(gè)或者哪幾個(gè)部門(mén)主管的情形下，有可能出現(xiàn)多部門(mén)推諉責(zé)任或者“多頭治理”的問(wèn)題，并不利于高效解決個(gè)人信息侵權(quán)問(wèn)題，受害人的合法權(quán)益難以得到有效保障。

三、域外有關(guān)人臉識(shí)別的法律規(guī)定

相較于我國(guó)對(duì)人臉信息保護(hù)還處于初步探索階段，國(guó)外已經(jīng)針對(duì)人臉信息等生物識(shí)別信息的收集、使用等過(guò)程可能出現(xiàn)的技術(shù)安全問(wèn)題和法律風(fēng)險(xiǎn)建立了較為完善的保護(hù)體制機(jī)制加以規(guī)范。通過(guò)對(duì)美國(guó)和歐洲兩種不同立法模式進(jìn)行分析，進(jìn)而對(duì)我國(guó)完善相關(guān)立法提供借鑒思路和方法。

（一）美國(guó)的專(zhuān)門(mén)立法模式

美國(guó)是世界上第一個(gè)使用法律手段保護(hù)個(gè)人隱私的國(guó)家，通過(guò)專(zhuān)門(mén)立法模式，實(shí)現(xiàn)對(duì)隱私的保護(hù)。美國(guó)聯(lián)邦政府并未在全國(guó)范圍內(nèi)制定統(tǒng)一的個(gè)人信息保護(hù)法案，用以規(guī)制人臉識(shí)別信息的收集、管理及使用等，而是通過(guò)各個(gè)州自行立法，分散地進(jìn)行法律保護(hù)。并針對(duì)不同的人臉識(shí)別技術(shù)應(yīng)用主體，相關(guān)立法亦采取差異化的規(guī)制路徑。即對(duì)于政府主體與非政府主體采取截然不同的立法價(jià)值取向和法律規(guī)制路徑。

對(duì)于政府層面使用人臉識(shí)別技術(shù)，各州采取禁止許可使用或者特別許可使用的法律規(guī)制路徑。加利福尼亞州是美國(guó)第一個(gè)通過(guò)人臉識(shí)別禁止令的州。2019 年，該州的舊金山市通過(guò)《停止秘密監(jiān)控條例》，禁止包括警察在內(nèi)的各個(gè)政府部門(mén)使用人臉識(shí)別技術(shù)①參見(jiàn)美國(guó)舊金山市《停止秘密監(jiān)控條例》》（Stop Secret Surveillance Ordinance）第19 條B 款第5 項(xiàng)。。但值得一提的是，聯(lián)邦政府、商業(yè)組織以及個(gè)人并不在限制范圍之類(lèi)。該條例要求政府部門(mén)向監(jiān)督委員會(huì)披露目前正在使用或正在計(jì)劃實(shí)施的各類(lèi)秘密監(jiān)控技術(shù)，并要求政府部門(mén)在特別情況需要使用該類(lèi)技術(shù)時(shí)，需經(jīng)過(guò)監(jiān)督委員會(huì)的嚴(yán)格審批②參見(jiàn)邢會(huì)強(qiáng)：《人臉識(shí)別的法律規(guī)制》，載《比較法研究》2020 年第5 期，第54 頁(yè)，轉(zhuǎn)引自美國(guó)舊金山市《停止秘密監(jiān)控條例》》（Stop Secret Surveillance Ordinance）第19 條B 款第7 項(xiàng)。。2020 年，華盛頓州通過(guò)《人臉識(shí)別服務(wù)法案》。法案嚴(yán)格限制了政府機(jī)構(gòu)使用人臉識(shí)別服務(wù)進(jìn)行持續(xù)、實(shí)時(shí)（或近似實(shí)時(shí)）的監(jiān)視和追蹤，政府機(jī)構(gòu)只有在獲得許可或緊急情況下才能利用人臉識(shí)別實(shí)現(xiàn)上述目的③參見(jiàn)美國(guó)華盛頓州《人臉識(shí)別服務(wù)法案》（facial recognition act）第3 條。。

對(duì)于非政府層面使用人臉識(shí)別技術(shù)亦有兩種不同的規(guī)制路徑：一是相較于一般個(gè)人信息，采取更為嚴(yán)格的特殊保護(hù)；二是采取與一般個(gè)人信息同等、無(wú)差別的普通法律保護(hù)。例如，2008 年，伊利諾伊州通過(guò)《生物識(shí)別信息隱私法》，這是美國(guó)州出臺(tái)的第一個(gè)保護(hù)個(gè)人信息的法律。該法案明確要求私人實(shí)體在收集和披露個(gè)人生物識(shí)別信息之前，必須獲得個(gè)人的同意④參見(jiàn)美國(guó)伊利諾伊州《生物識(shí)別信息隱私法案》（The Biometric Information Privacy Act）第10 條。。且私人實(shí)體應(yīng)遵循行業(yè)相關(guān)的合理注意義務(wù)，并對(duì)生物識(shí)別信息采取與“機(jī)密和敏感信息”相同或更高的保護(hù)方式［7］；而美國(guó)《加利福尼亞消費(fèi)者隱私法》則將人臉信息作為個(gè)人信息中的一種而予以一般性的法律保護(hù)，并對(duì)于商用主體收集、獲取人臉信息采取與一般個(gè)人信息并無(wú)區(qū)別的寬松態(tài)度。

除了美國(guó)各個(gè)州制定的各類(lèi)《生物識(shí)別信息隱私法案》，聯(lián)邦政府通過(guò)專(zhuān)門(mén)制定刑事法案用以特殊規(guī)制。1988 年，美國(guó)國(guó)會(huì)通過(guò)《防止身份盜竊及假冒法案》。其中特別規(guī)定，故意轉(zhuǎn)移和使用“識(shí)別他人的方法”以實(shí)施違反聯(lián)邦法律或州法或地方法所規(guī)定的行為，構(gòu)成身份盜竊罪⑤See Identity Theft and Assumption Deterrence Act As amended by Public Law 105-318,112 Stat.3007（Oct.30,1998）of U.S.A§003.Identity Theft.（a）（4）。個(gè)人生物識(shí)別信息包括在條款中的“識(shí)別他人的辦法”。該法案同時(shí)表明，在未經(jīng)合法授權(quán)的前提下，故意實(shí)施教唆或者幫助他人進(jìn)行轉(zhuǎn)移或非法識(shí)別他人生物識(shí)別信息的，將加重處罰⑥See Identity Theft and Assumption Deterrence Act As amended by Public Law 105-318,112 Stat.3007（Oct.30,1998）of U.S.A§003.Identity Theft.（a）（4）。

（二）歐盟的統(tǒng)一立法模式

與美國(guó)的分別立法模式不同，歐盟未對(duì)政府主體與非政府主體進(jìn)行“區(qū)別對(duì)待”，而是采取統(tǒng)一的立法模式，區(qū)分一般個(gè)人信息與個(gè)人敏感信息，使得人臉信息等生物識(shí)別信息可以適用一般個(gè)人信息保護(hù)規(guī)定和針對(duì)性保護(hù)的特別條款，實(shí)現(xiàn)公法與私法措施間互為補(bǔ)充，更好發(fā)揮保障作用。

2018 年，歐盟公布堪稱(chēng)“史上最嚴(yán)數(shù)據(jù)保護(hù)法”的《通用數(shù)據(jù)保護(hù)條例》（簡(jiǎn)稱(chēng)GDPR）。GDPR將面部圖像等個(gè)人生物數(shù)據(jù)納入保護(hù)范圍，并對(duì)生物數(shù)據(jù)的采集、處理采取“原則禁止，例外許可”的原則，對(duì)于涉及違法犯罪、公共安全等領(lǐng)域必須經(jīng)過(guò)法律授權(quán)的相關(guān)機(jī)構(gòu)才可處理個(gè)人生物信息。條例具體規(guī)定了生物數(shù)據(jù)的使用主體、使用方法、使用情形等內(nèi)容，明確數(shù)據(jù)的使用需要以個(gè)人數(shù)據(jù)主體明確地“知情同意”作為前提，并賦予數(shù)據(jù)主體拒絕的權(quán)利。但GDPR 也特別指出，在某些特定的情況下，GDPR 處理生物數(shù)據(jù)的限制性條款不能限制歐盟成員國(guó)①參見(jiàn)歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）第5（1）條。。在司法實(shí)踐中，歐盟也嚴(yán)格打擊生物數(shù)據(jù)侵權(quán)行為，相關(guān)違法處罰力度大。

而由英國(guó)2018 年發(fā)布的《數(shù)據(jù)保護(hù)法案》則特別強(qiáng)調(diào)“為單獨(dú)識(shí)別特定個(gè)人的目的，處理基因數(shù)據(jù)或生物數(shù)據(jù)”的“法定必需”標(biāo)準(zhǔn)②付微明：《生物識(shí)別信息法律保護(hù)問(wèn)題研究》，中國(guó)政法大學(xué)博士學(xué)位論文，2020，第75 頁(yè)，轉(zhuǎn)引自李?lèi)?ài)君、蘇桂梅：《國(guó)際數(shù)據(jù)保護(hù)規(guī)則要覽》，法律出版社2018 年版，第238-239 頁(yè)。，限定了處理基因數(shù)據(jù)或生物數(shù)據(jù)的特別情形，并以行政執(zhí)法、民事賠償及刑事定罪作為保護(hù)生物識(shí)別信息的法律鏈接，從而有針對(duì)性地對(duì)生物識(shí)別信息進(jìn)行特定保護(hù)［8］。

四、我國(guó)人臉識(shí)別技術(shù)應(yīng)用的法律規(guī)制路徑

人臉識(shí)別技術(shù)所蘊(yùn)含的風(fēng)險(xiǎn)不是單一風(fēng)險(xiǎn)，而是可能威脅公民個(gè)人人身、財(cái)產(chǎn)等的復(fù)合風(fēng)險(xiǎn)。為此，結(jié)合域外經(jīng)驗(yàn)以及我國(guó)實(shí)際情況提出法律規(guī)制路徑。

（一）完善相關(guān)立法

國(guó)家應(yīng)當(dāng)順應(yīng)時(shí)代發(fā)展潮流，借鑒域外經(jīng)驗(yàn)，走中國(guó)特色法治道路，完善相關(guān)立法。2020 年10月，《信息安全技術(shù)個(gè)人信息安全規(guī)范》國(guó)家標(biāo)準(zhǔn)正式發(fā)布，其中專(zhuān)章規(guī)定人臉信息等個(gè)人敏感信息的收集、處理、使用等規(guī)則。這一方面體現(xiàn)國(guó)家順應(yīng)時(shí)代發(fā)展潮流，但另一方面，該“規(guī)范”效力并不及法律，對(duì)我國(guó)人臉識(shí)別技術(shù)下個(gè)人信息權(quán)益的保護(hù)力度不夠。

2021 年11 月1 日，我國(guó)《個(gè)人信息保護(hù)法》正式生效。該法不僅對(duì)包括臉部在內(nèi)的個(gè)人敏感信息的處理作出具體說(shuō)明，而且對(duì)相關(guān)行政管理部門(mén)如何處理個(gè)人信息作出專(zhuān)門(mén)規(guī)定，以保護(hù)公民個(gè)人信息。但值得說(shuō)明的是，該法并沒(méi)有明確指出人臉等個(gè)人生物特征信息該如何進(jìn)行特殊規(guī)制，只是籠統(tǒng)指出法律法規(guī)若對(duì)個(gè)人敏感信息的處理有更嚴(yán)格規(guī)定，從其規(guī)定。

因此，我國(guó)可借鑒歐美相關(guān)立法經(jīng)驗(yàn)，出臺(tái)《個(gè)人生物識(shí)別信息保護(hù)法》，規(guī)定人臉識(shí)別技術(shù)的應(yīng)用主體、使用權(quán)限、相關(guān)監(jiān)管機(jī)構(gòu)等內(nèi)容，并統(tǒng)籌完善相關(guān)法律法規(guī)，以促進(jìn)人臉識(shí)別技術(shù)的健康發(fā)展。例如，在民事法律上確定人臉信息等生物識(shí)別信息作為新型人格權(quán)的地位，并規(guī)定相關(guān)侵權(quán)損害認(rèn)定標(biāo)準(zhǔn)、訴訟救濟(jì)手段等內(nèi)容；在刑事立法上，一方面可以通過(guò)刑法解釋的角度，對(duì)既定的侵犯公民個(gè)人信息罪進(jìn)行解釋?zhuān)蛊淠芷鸬綄?duì)生物識(shí)別信息進(jìn)行特殊保護(hù)的效果［6］139。另一方面可以在出臺(tái)新的《刑法修正案》對(duì)非法竊取、獲得、偽造、買(mǎi)賣(mài)、使用人臉信息等行為進(jìn)行定罪；而在行政法上，可以完善行政執(zhí)法體制機(jī)制，并規(guī)定國(guó)家機(jī)關(guān)違法使用人臉識(shí)別技術(shù)而造成公民損害的相關(guān)救濟(jì)途徑等。

（二）加強(qiáng)行政監(jiān)管

首先，應(yīng)當(dāng)完善人臉識(shí)別技術(shù)的市場(chǎng)準(zhǔn)入機(jī)制。對(duì)企業(yè)使用人臉識(shí)別技術(shù)設(shè)置一定準(zhǔn)入門(mén)檻，確保人臉識(shí)別技術(shù)應(yīng)用企業(yè)具備一定的資質(zhì)和風(fēng)險(xiǎn)防范能力，實(shí)現(xiàn)高效保護(hù)；并制定備案審核制度。要求企業(yè)將依法使用人臉識(shí)別技術(shù)的具體操作流程以及相關(guān)用戶(hù)隱私保護(hù)政策進(jìn)行備案，以便在發(fā)生風(fēng)險(xiǎn)時(shí)，確認(rèn)企業(yè)是否盡到相關(guān)注意義務(wù)。建立專(zhuān)門(mén)管理部門(mén)，雖然我國(guó)工信部、公安部、網(wǎng)信辦等部門(mén)都有保護(hù)人臉識(shí)別技術(shù)規(guī)制和生物識(shí)別信息的法定職責(zé)，但我國(guó)當(dāng)前并未設(shè)立規(guī)制人臉識(shí)別技術(shù)的專(zhuān)門(mén)主管部門(mén)［9］。因此，現(xiàn)有各部門(mén)在僅對(duì)各自職能領(lǐng)域進(jìn)行監(jiān)管情況下，可能出現(xiàn)職能交叉、職能割裂或者職能缺失的問(wèn)題，并不能較好地推進(jìn)行政監(jiān)管。為此，通過(guò)設(shè)置專(zhuān)門(mén)管理部門(mén)以監(jiān)督國(guó)家機(jī)關(guān)和企業(yè)在法治軌道上應(yīng)用人臉識(shí)別技術(shù)，并定期向社會(huì)公示違法黑名單，輔之行政處罰、行政強(qiáng)制措施等，以完善行政保護(hù)。同時(shí)要求企業(yè)在面臨收集的人臉信息遭受泄露、毀損、丟失的問(wèn)題時(shí)，應(yīng)及時(shí)報(bào)告相應(yīng)主管部門(mén)。

其次，加強(qiáng)行政處罰的力度。目前我國(guó)對(duì)于人臉識(shí)別技術(shù)應(yīng)用并無(wú)針對(duì)性行政處罰措施，且基于一般保護(hù)的行政處罰力度較低。以我國(guó)的《網(wǎng)絡(luò)安全法》為例，其中第六十四條規(guī)定了“侵害個(gè)人信息權(quán)益的企業(yè)主體，處以一百萬(wàn)元以下罰款，并對(duì)直接責(zé)任人員處以一萬(wàn)元以上十萬(wàn)元以下罰款”。但相較于企業(yè)應(yīng)用人臉識(shí)別技術(shù)所獲得的高額利潤(rùn)，此類(lèi)行政處罰力度猶如隔靴抓癢，不能較好起到行政處罰法所提倡的懲戒與教育作用。而反觀歐盟GDPR，其規(guī)定泄露個(gè)人隱私的，處全球營(yíng)業(yè)額的百分之四或者兩千萬(wàn)歐元中的較高者①參見(jiàn)歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）第83（4）條。。執(zhí)法機(jī)關(guān)也時(shí)常開(kāi)出天價(jià)罰單，給其余企業(yè)敲響警鐘。如谷歌因個(gè)性化廣告涉嫌違反GDPR 而被法國(guó)國(guó)務(wù)委員會(huì)開(kāi)出五千七百萬(wàn)美元的天價(jià)罰單；萬(wàn)豪酒店也因泄露3.83 億用戶(hù)信息面臨1840 萬(wàn)英鎊罰款。

此外，在行政監(jiān)管不能解決人臉信息侵權(quán)問(wèn)題時(shí)，應(yīng)當(dāng)允許當(dāng)事人采取司法救濟(jì)途徑維權(quán)，并做好行政監(jiān)管與司法救濟(jì)的銜接工作?？偠灾嫱晟菩姓O(jiān)管體系，是實(shí)現(xiàn)人臉識(shí)別技術(shù)風(fēng)險(xiǎn)防范的重要一環(huán)。

（三）完善司法救濟(jì)途徑

由于人臉識(shí)別技術(shù)具有遠(yuǎn)程、非接觸等特點(diǎn)，公民人臉信息通常是在不知情的情形下被收集。同時(shí)由于人臉識(shí)別技術(shù)應(yīng)用廣泛，人臉信息收集者眾多，受害者難以確認(rèn)個(gè)人人臉信息究竟是在哪一具體環(huán)節(jié)被泄露，而原則上提起訴訟要求有具體的被告，因此，受害人可能因?yàn)檎也怀鰧?shí)際侵權(quán)人而無(wú)法獲得司法救濟(jì)。即便受害者找出實(shí)際侵權(quán)人，根據(jù)“誰(shuí)主張誰(shuí)舉證”的訴訟基本原則，受害者需要明確指出侵權(quán)主體的侵權(quán)行為與受害者的損害結(jié)果間具有因果關(guān)系，且侵權(quán)者具有主觀過(guò)錯(cuò)。在實(shí)踐中，該類(lèi)侵權(quán)主體常處于優(yōu)勢(shì)地位，這對(duì)于處于弱勢(shì)地位，想要通過(guò)法律途徑維護(hù)自身信息權(quán)益的受害者來(lái)說(shuō)，將面臨舉證難度大、訴訟成本高等現(xiàn)實(shí)難題，不利于實(shí)現(xiàn)司法救濟(jì)。

與此同時(shí)，應(yīng)用人臉識(shí)別技術(shù)的企業(yè)和政府有較強(qiáng)的人力、財(cái)力等作為支撐，對(duì)于人臉信息的收集、處理、使用等過(guò)程熟悉度、專(zhuān)業(yè)度較高，應(yīng)當(dāng)有謹(jǐn)慎使用人臉識(shí)別技術(shù)，妥善保管相關(guān)信息的義務(wù)，此時(shí)若只要他們承擔(dān)一般的舉證責(zé)任，并不符合公平正義的基本原則?；诖朔N考量，對(duì)于舉證責(zé)任的重新分配十分有必要。即要求原告承擔(dān)證明被告存在人臉識(shí)別信息侵權(quán)行為和造成自身?yè)p害結(jié)果的舉證責(zé)任。被告承擔(dān)因果關(guān)系和無(wú)過(guò)錯(cuò)的證明責(zé)任。此外，若是個(gè)人與個(gè)人、企業(yè)與企業(yè)間有關(guān)面部信息傳播的侵權(quán)糾紛，因其主體地位實(shí)際上相同，則采取一般舉證原則即可。

（四）提升行業(yè)自律

首先，加強(qiáng)行業(yè)自律組織的建設(shè)。當(dāng)前，我國(guó)行業(yè)自律組織還處于初級(jí)發(fā)展階段，除了金融領(lǐng)域的自律組織相對(duì)規(guī)范，其余領(lǐng)域的自律組織存在水平參差不齊、組織成員較少、規(guī)范執(zhí)行力不到位等問(wèn)題。為此，需要政府與行業(yè)協(xié)會(huì)形成合力，共同解決發(fā)展問(wèn)題。一方面，政府部門(mén)可以通過(guò)發(fā)布相關(guān)規(guī)范性文件，為人臉識(shí)別相關(guān)聯(lián)的自律組織的建設(shè)提供指導(dǎo)意見(jiàn)，并通過(guò)財(cái)政撥款、定期召開(kāi)政府與行業(yè)協(xié)會(huì)座談會(huì)的方式，了解行業(yè)協(xié)會(huì)發(fā)展的需求，給予相關(guān)支持。另一方面，政府部門(mén)可以加強(qiáng)對(duì)行業(yè)協(xié)會(huì)的監(jiān)管，為行業(yè)協(xié)會(huì)規(guī)范運(yùn)行提供指導(dǎo)，防止協(xié)會(huì)為了私益而損害公共利益。

其次，建立行業(yè)自律規(guī)范。行業(yè)自律規(guī)范具有靈活性和針對(duì)性的特點(diǎn)，通過(guò)制定嚴(yán)于法律標(biāo)準(zhǔn)的行業(yè)規(guī)范，劃定企業(yè)使用人臉識(shí)別技術(shù)所需遵守的義務(wù)底線，有利于提升人臉識(shí)別技術(shù)的風(fēng)險(xiǎn)防控能力。2020 年1 月，中國(guó)支付清算協(xié)會(huì)發(fā)布的《人臉識(shí)別線下支付行業(yè)自律公約（試行）》就針對(duì)線下支付領(lǐng)域，分別從個(gè)人信息的采集、存儲(chǔ)和使用環(huán)節(jié)等規(guī)范人臉識(shí)別的運(yùn)用［10］。雖然該《行業(yè)自律公約》為人臉識(shí)別的應(yīng)用提供指導(dǎo)建議，但是公約內(nèi)容僅30 條，且多為原則性指導(dǎo)意見(jiàn)，涉及人臉識(shí)別技術(shù)規(guī)制內(nèi)容不全面，難以為人臉識(shí)別技術(shù)的實(shí)際應(yīng)用提供可靠的依據(jù)。因此，行業(yè)協(xié)會(huì)應(yīng)該以人臉識(shí)別技術(shù)規(guī)制為主線，圍繞人臉信息保護(hù)為核心開(kāi)展工作，依據(jù)相關(guān)法律法規(guī)，進(jìn)一步細(xì)化人臉識(shí)別技術(shù)應(yīng)用行業(yè)自律規(guī)范，以提升規(guī)范的可適用性。

最后，行業(yè)協(xié)會(huì)要加強(qiáng)對(duì)人臉識(shí)別技術(shù)應(yīng)用企業(yè)的監(jiān)督，定期向社會(huì)公布不合規(guī)企業(yè)。同時(shí)，對(duì)違反行業(yè)自律規(guī)范的企業(yè)進(jìn)行內(nèi)部處罰并要求其限期改正。除此之外，行業(yè)協(xié)會(huì)還要為信息主體提供投訴建議渠道，并及時(shí)提供反饋意見(jiàn)。

五、結(jié)語(yǔ)

人臉識(shí)別技術(shù)的廣泛應(yīng)用極大地改變了人們的日常生活，我們通過(guò)讓渡自身部分個(gè)人信息權(quán)益以換取便捷的同時(shí)，個(gè)人信息遭泄露、丟失、盜用等風(fēng)險(xiǎn)也急劇增加。如何防范人臉識(shí)別技術(shù)所導(dǎo)致的法律風(fēng)險(xiǎn)，化解其與人臉識(shí)別信息安全之間的矛盾，是我國(guó)立法和實(shí)務(wù)急需回應(yīng)的問(wèn)題［11］，值得我們進(jìn)一步探索。