杜欣蕓， 劉湘琛

（湖南師范大學(xué)，湖南 長沙 410000）

基于生物特征信息發(fā)展的識別技術(shù)包括DNA 識別、指紋識別、虹膜識別、聲紋識別及人臉識別等。其中，人臉識別是基于面部特征進行身份識別的技術(shù)。人臉識別技術(shù)可在一定范圍內(nèi)通過攝像頭捕捉面部特征即可精準(zhǔn)分析，從而進行人臉識別。人臉識別技術(shù)無需被識別主體主動配合，臉部信息被追蹤即可認證，因此易被盜取，這造成對個人相關(guān)民事權(quán)益的侵犯，從而引發(fā)相關(guān)法律問題：一方面，人臉識別信息的技術(shù)保護措施尚未達到應(yīng)有力度，人臉信息存儲不夠安全，容易被濫用，尤其是為商業(yè)利益而售賣人臉識別信息的行為，嚴重侵犯個人隱私權(quán)；另一方面，各種應(yīng)用軟件超越權(quán)限范圍，商家采用格式合同強制或半強制用戶提供個人人臉信息，并對其進行處理分析，以犧牲用戶個人信息為代價，實現(xiàn)商業(yè)價值。此外，伴隨仿真頭套的出現(xiàn)及相關(guān)技術(shù)的發(fā)展，人臉圖像的可復(fù)制性成為可能，人臉識別信息被濫用的可能性增加。因此，人臉識別技術(shù)應(yīng)用的權(quán)益矛盾與法律平衡成為一個亟需關(guān)注的課題。

一、人臉識別技術(shù)應(yīng)用引發(fā)的權(quán)益矛盾

（一）人臉識別技術(shù)的概念和特征

人臉識別，通常也叫人像識別、面部識別，是基于人的臉部特征信息進行身份識別的一種生物識別技術(shù)。人臉識別系統(tǒng)主要包括人臉圖像采集及檢測、人臉圖像預(yù)處理、人臉圖像特征提取、人臉圖像匹配與識別四個組成部分，主要是針對人臉中不易產(chǎn)生變化的部分，如眼眶、顴骨周圍及嘴部邊緣等區(qū)域進行圖像處理。[1]

人臉識別技術(shù)在交通、金融、教育等領(lǐng)域廣泛使用。在識別對象、識別程序以及識別效果方面，均具有其獨特性。其一，人臉識別技術(shù)的對象是人臉信息。與個人信息中的姓名、出生日期、身份證件號碼、住址、電話號碼、電子郵箱、行蹤信息等相比，人臉特征信息屬于生物識別信息，直觀反映個人體征，可直接識別特定自然人，具有高度敏感性，一旦脫離主體控制容易對個人造成侵害。此外，人臉信息不僅具有一般人格權(quán)意義，同時具備財產(chǎn)權(quán)屬性，尤其是在大數(shù)據(jù)時代的今天，人臉識別數(shù)據(jù)的商業(yè)價值更為凸顯。其二，人臉識別技術(shù)的程序具有便捷性。其使用主要通過計算機視覺應(yīng)用進行操作：先進行數(shù)字化人臉圖像生成，隨后進行人臉檢測，然后再進入人臉匹配，提取人臉特征信息。通過比對人臉與所提取的人臉特征，人臉識別認證得以實現(xiàn)。[2]操作簡單，相關(guān)設(shè)備也不必要直接接觸被識別主體即可獲取人臉識別數(shù)據(jù)。其三，人臉識別技術(shù)的效果顯著。社會生活方面，該項技術(shù)帶來巨大便利，就如微信刷臉支付可以縮短消費者的支付時間，以人臉識別為基礎(chǔ)進行電子身份證的開發(fā)也大大減輕了往返取證的時間成本；在保障公共安全方面，公安部門在偵查犯罪時應(yīng)用人臉識別技術(shù)，能更精準(zhǔn)有效地預(yù)防、識別和打擊犯罪。

（二）人臉識別技術(shù)應(yīng)用中的權(quán)益矛盾

然而，隨著人臉識別技術(shù)廣泛深入地應(yīng)用于社會生活的方方面面，這一技術(shù)擴張的趨勢很難不威脅到法治社會中日益高漲的公民個人信息保護需求。一方面，公民個人的隱私權(quán)及信息自決權(quán)作為人權(quán)的重要內(nèi)容必須強化保護，包括政府在內(nèi)的信息處理主體在利用人臉信息的過程中必須保持克制，避免觸碰公民基本權(quán)益的底線；另一方面，相對于公民個體，政府與其他利用人臉信息的商業(yè)、技術(shù)主體具有天然的技術(shù)和信息優(yōu)勢，特別是基于社會公共利益優(yōu)先原則，政府在處理人臉識別信息時又具有了法律優(yōu)勢。人臉識別技術(shù)應(yīng)用中“保護”與“利用”之間的矛盾，具體表現(xiàn)為以下兩個方面：

第一，公民人臉信息的權(quán)益保護與商業(yè)利益的急劇擴張存在直接矛盾。大數(shù)據(jù)時代，廣泛收集包括人臉信息在內(nèi)的公民個人信息，基于深入的數(shù)據(jù)分析進行商業(yè)預(yù)測，充分挖掘個人信息的商業(yè)價值，已成為互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的必然趨勢。尤其是針對特定消費者進行的個性化商業(yè)預(yù)測和精準(zhǔn)廣告推送等數(shù)據(jù)處理方式成為熱門應(yīng)用后，數(shù)據(jù)之爭已成為商業(yè)競爭的主旋律。國家也積極推進數(shù)字經(jīng)濟建設(shè)，提升數(shù)據(jù)要素市場競爭力。因此，除了個人信息之人格利益，包括人臉信息在內(nèi)的個人信息數(shù)據(jù)所衍生出來的商業(yè)價值獲得了高度關(guān)注，我國信息產(chǎn)業(yè)也迎來了發(fā)展的黃金時期。①但基于天然的技術(shù)和信息優(yōu)勢，相對于收集處理人臉信息的商業(yè)機構(gòu)，公民作為個人信息的被收集者，明顯處于信息不對稱的劣勢地位，有關(guān)自身人臉信息的知情權(quán)、自決權(quán)、處分權(quán)乃至收益權(quán)均有可能遭受隱性侵犯。我國“人臉識別第一案”（2019 年郭某訴某野生動物世界有限公司案②）說明人臉識別信息及指紋這類高度敏感的個人信息在現(xiàn)實生活中存在較高的受侵害風(fēng)險。隨著人臉識別技術(shù)應(yīng)用愈加廣泛，在可預(yù)見的未來，類似的侵權(quán)案件會不斷增多，兩者的矛盾也會越來越多。

第二，人臉識別技術(shù)應(yīng)用中公民人臉信息權(quán)益與政府所代表的公共利益之間也存在矛盾。我國法律賦予有關(guān)國家機關(guān)基于公共利益在合理限度內(nèi)使用人臉識別技術(shù)的正當(dāng)性，在法律規(guī)定的情形下，有關(guān)國家機關(guān)可以不征得公民同意處理人臉信息。歐盟的《通用數(shù)據(jù)保護條例》也規(guī)定，成員國為了維護國家安全可以對數(shù)據(jù)主體的相關(guān)權(quán)利予以適當(dāng)限制。但值得注意的是，“公共利益”乃至“國家安全”都是較為抽象的表述。在個案的具體語境中，處理人臉等高度敏感的個人信息是否為公共利益或國家安全所必需？采集、利用的程度是否為公共利益或國家安全所必要？對這些問題，作為信息處理者的政府與作為被處理者的公民之間極有可能存在著理解上的分歧。

二、我國人臉識別技術(shù)應(yīng)用法律原則的演變

人臉識別技術(shù)給社會帶來便利的同時，也引發(fā)了公民個人信息權(quán)益、商業(yè)利益和公共利益之間的矛盾。因此，人臉識別技術(shù)的應(yīng)用需要通過法律確立信息主體的個人利益、技術(shù)主體的商業(yè)利益以及政府的公共利益這三種利益的邊界，以實現(xiàn)法律規(guī)制之下的利益平衡，這需要與時俱進的法律規(guī)制原則。

（一）“安全理念”下的秩序原則

人臉識別信息是科技進步的產(chǎn)物。當(dāng)人臉識別技術(shù)尚未廣泛應(yīng)用于社會生活中時，人臉識別信息是與個人信息混同進行概括式保護的?！吨腥A人民共和國民法典》（以下簡稱《民法典》）實施之前，我國法律對公民個人信息保護總體而言體現(xiàn)了強調(diào)網(wǎng)絡(luò)安全的“安全理念”[3]。在“安全理念”之下，法律規(guī)制的重點是構(gòu)建井然有序的網(wǎng)絡(luò)安全秩序，即“秩序原則”。2012年全國人大常委會通過的《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》（以下簡稱《網(wǎng)絡(luò)信息保護決定》）以及2016 年全國人大常委會通過的《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》），體現(xiàn)了“安全理念”之下的秩序原則。《網(wǎng)絡(luò)信息保護決定》第4 條明確要求：“網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保信息安全，防止在業(yè)務(wù)活動中收集的公民個人電子信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生信息泄露、毀損、丟失的情況時，應(yīng)當(dāng)立即采取補救措施?！薄毒W(wǎng)絡(luò)信息保護決定》總計12 條，一半左右的條文規(guī)定了網(wǎng)絡(luò)服務(wù)提供者為保障用戶電子信息安全所承擔(dān)的義務(wù)。在此基礎(chǔ)上，《網(wǎng)絡(luò)安全法》更加明確其立法目的是“為了保障網(wǎng)絡(luò)安全，維護網(wǎng)絡(luò)空間主權(quán)和國家安全、社會公共利益，……”，并且強調(diào)“國家堅持網(wǎng)絡(luò)安全與信息化發(fā)展并重”“國家制定并不斷完善網(wǎng)絡(luò)安全戰(zhàn)略”“維護網(wǎng)絡(luò)空間安全和秩序”。

安全理念強調(diào)秩序原則，網(wǎng)絡(luò)安全和網(wǎng)絡(luò)秩序這兩大法律價值被賦予優(yōu)先地位，公民個人信息權(quán)益的價值與保護居于次要甚至附屬地位。這就導(dǎo)致此時我國個人信息保護立法分散，內(nèi)容簡單重復(fù)，缺乏頂層設(shè)計和整體制度構(gòu)建。國家對包括人臉識別信息的“個人信息”在法律性質(zhì)上未予定位、在保障方式上未予明確。

（二）“賦權(quán)理念”之下的強化保護原則

鑒于網(wǎng)絡(luò)安全理念之下的立法對個人信息保護不足，在《網(wǎng)絡(luò)安全法》公布之際，不少學(xué)者主張將個人信息作為特殊客體納入已有的公民權(quán)利體系，這就是以公民權(quán)利框架保護個人信息的“賦權(quán)理念”[3]。但是，人臉識別信息仍未得到充分重視，它還是與其他個人信息被立法統(tǒng)合在一起進行概括式的權(quán)利保護。

在賦權(quán)理念指導(dǎo)下，法律加強了對公民個人信息的保護力度，體現(xiàn)出強化保護的法律原則。2013 年修訂《中華人民共和國消費者權(quán)益保護法》時，在第14條中增加了消費者“享有個人信息依法得到保護的權(quán)利”。2020 年修訂的《中華人民共和國未成年人保護法》（以下簡稱《未成年人保護法》）第4 條第2 款第3 項增加“保護未成年人隱私權(quán)和個人信息”，對未滿14周歲未成年人個人信息進行特殊保護，對這類信息進行處理需要經(jīng)過法定監(jiān)護人同意，法定監(jiān)護人要求信息處理者更正、刪除的，信息處理者必須及時作出更正或刪除，同時網(wǎng)絡(luò)服務(wù)提供方發(fā)現(xiàn)未成年人在網(wǎng)絡(luò)上發(fā)布私密信息時必須提示并采取必要的保護措施。可以說，《未成年人保護法》是賦權(quán)理念之下強化保護原則的進一步實體法化。

《民法典》更是生動體現(xiàn)了強化保護原則。包括人臉識別信息在內(nèi)的個人信息被融入現(xiàn)有的人格權(quán)體系實現(xiàn)了權(quán)利化保障，可謂意義深遠。首先，個人信息作為人身權(quán)益被人格權(quán)保護?！睹穹ǖ洹吩诘?11 條宣告“自然人的個人信息受法律保護”，將公民個人信息權(quán)益納入人格權(quán)的權(quán)利體系，作為一種絕對權(quán)，“任何組織或者個人”均負有不得侵犯特定公民個人信息權(quán)的義務(wù)。這是以基本法的形式奠定了公民個人信息法律保障的基調(diào)。其次，在具體權(quán)利結(jié)構(gòu)設(shè)計中，將公民個人信息權(quán)益與隱私權(quán)并列，作為人格權(quán)的一章。從第1034 條到第1039 條全面規(guī)定了對個人信息的保護。第1034 條第1 款宣示了對個人信息的法律保護；第2 款以“概括+列舉”方式定義了個人信息的內(nèi)涵，人臉信息被包含在“生物識別信息”這一類；由于人臉信息可直接識別到特定公民，在第3 款中人臉識別信息又被視為私密信息得以強化保護。第1035 條到第1039 條則分別規(guī)定了個人信息處理的原則，免責(zé)事由，自然人的查閱、復(fù)制、異議、更正等權(quán)利，個人信息處理者的義務(wù)，國家機關(guān)及其工作人員的保密義務(wù)等，構(gòu)建起完整系統(tǒng)的個人信息權(quán)利保護體系。再次，《民法典》將個人信息分為私密信息和非私密信息，私密信息，如人臉識別信息，適用隱私權(quán)和個人信息權(quán)益雙重法律保護。

然而，盡管《未成年人保護法》《民法典》極大提升了個人信息的保障力度，但直至《民法典》正式實施，立法仍未將“人臉識別信息”從“個人信息”中分別出來予以單獨保護，面對人臉信息識別技術(shù)應(yīng)用的狂飆猛進及其技術(shù)風(fēng)險，這不能不說是一大立法缺憾。

（三）綜合理念之下的保護與利用相結(jié)合的平衡原則

為及時補救這一立法缺憾，最高人民法院于《民法典》實施之后不到一年即出臺《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》（以下簡稱《人臉識別技術(shù)適用法律若干問題的規(guī)定》）。在這一司法解釋中，人臉識別信息從《民法典》第1034 條中的“生物識別信息”被單獨列出予以特別保護。一方面，該司法解釋以司法權(quán)強化了對人臉識別信息的保障。該司法解釋明確了侵犯人臉信息的八種具體情形③，確定了信息處理者的舉證責(zé)任分配、共同侵權(quán)責(zé)任的承擔(dān)、侵犯人臉識別信息造成財產(chǎn)損害的賠償?shù)葍?nèi)容；當(dāng)公民發(fā)現(xiàn)自己的人臉識別信息正在被侵害，可向人民法院申請“人格權(quán)侵害禁令”；如發(fā)生大面積人臉識別信息被侵害事件，消費者協(xié)會可向人民法院提出公益訴訟；④同時，針對人臉信息識別技術(shù)應(yīng)用過程中，自然人的知情權(quán)極易被架空、知情同意原則幾乎形同虛設(shè)的現(xiàn)狀⑤，該司法解釋規(guī)定在三種侵犯人臉識別信息的情形中，信息處理者即使形式上征得自然人或監(jiān)護人同意，也不得以此為由進行抗辯。⑥另一方面，為確保人臉識別技術(shù)合理利用，該司法解釋還確定了五種情形，符合這五種情形的信息處理者主張不承擔(dān)民事責(zé)任的，人民法院依法予以支持。⑦這表明司法權(quán)在救濟保障的同時，為合理利用人臉信息這一高度敏感的數(shù)據(jù)資源預(yù)留了相應(yīng)的空間?！度四樧R別技術(shù)適用法律若干問題的規(guī)定》鮮明體現(xiàn)出司法機關(guān)在解決人臉識別信息權(quán)益糾紛時的新理念新原則，即綜合理念之下保護與利用相結(jié)合的平衡原則。

但《人臉識別技術(shù)適用法律若干問題的規(guī)定》作為司法解釋，其效力涵蓋的是對業(yè)已形成民事糾紛的人臉識別信息侵權(quán)案件的法律適用，因此僅僅是司法權(quán)對人臉識別信息的司法保障。人臉識別信息保護的綜合平衡的法律價值理念需要通過規(guī)范性法律文件的制定和實施向社會生活全面滲透。2021 年8 月20日通過的《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）在第1 條即明確宣示其立法目的是“為了保護個人信息權(quán)益，規(guī)范個人信息處理活動，促進個人信息合理利用”，這就是綜合理念之下保護與利用相結(jié)合的平衡原則。

《個人信息保護法》兼有公法和私法的雙重性質(zhì)，是通過有效規(guī)制明確法律邊界，對個人信息包括人臉信息進行合理的保護和利用。第一，運用私法“權(quán)利-權(quán)利”的保障方式明確商業(yè)性質(zhì)個人信息處理者合理利用個人信息的法律邊界。其一，《個人信息保護法》設(shè)置了對商業(yè)性質(zhì)個人信息處理者處理個人敏感信息需要承擔(dān)的特別義務(wù)。不同于《民法典》，《個人信息保護法》不再將人臉識別信息作為“私密信息”，而是將其歸類為“敏感信息”加以保護。《民法典》中人臉識別信息屬于私密信息，既可適用隱私權(quán)規(guī)定又可適用個人信息保護的法律規(guī)定，其立法初衷在于突出公民對個人信息保護方式的自主選擇?！秱€人信息保護法》將個人信息區(qū)別為敏感信息和非敏感信息，人臉識別信息屬于敏感信息，這樣的區(qū)分是為了更有針對性地提高個人信息處理者處理敏感信息的法定義務(wù)，其立法主旨在于加強規(guī)制。[4]《個人信息保護法》強化了人臉識別信息等敏感個人信息的處理者必須取得公民單獨同意的義務(wù)，處理未滿十四周歲的未成年人的人臉識別信息還必須經(jīng)過其法定監(jiān)護人的同意；增加了個人信息處理者處理敏感個人信息的法定條件——只有在具有特定目的和充分必要性并采取嚴格保護措施的情況下才能處理；同時，增設(shè)了信息處理者的告知義務(wù)，即信息處理者必須明確告知個人處理該類信息的必要性以及對其個人權(quán)益的影響。其二，《個人信息保護法》對公民人臉識別信息的保障比《民法典》更為全面。其中值得注意的是個人對信息處理者的請求解釋權(quán)以及個人信息的刪除權(quán)，《個人信息保護法》規(guī)定在五種情況下個人信息處理者應(yīng)當(dāng)主動刪除個人信息，如個人信息處理者未刪除的，個人有權(quán)請求刪除。⑧

第二，《個人信息保護法》對國家機關(guān)處理個人信息作出特別規(guī)定，這是以法律直接授權(quán)的方式，劃定了國家機關(guān)為了公共利益而處理個人信息的權(quán)力邊界。這一法律規(guī)制的方式帶有鮮明的公法色彩?！秱€人信息保護法》注意到大數(shù)據(jù)時代國家不再是超然的利益中立者，它既是法律規(guī)則的制定者和執(zhí)行者，同時也是最大的個人信息處理者。[5]現(xiàn)代公共行政管理正與包括人臉識別信息在內(nèi)的個人信息深度結(jié)合，公共秩序、公共安全與公共福利的推進都離不開個人信息數(shù)據(jù)資源。近年來，依托迅猛發(fā)展的信息技術(shù)，我國已經(jīng)建立了很多數(shù)據(jù)庫，有些數(shù)據(jù)庫存放著包含人臉信息的個人信息。隨著數(shù)字政府和電子政務(wù)平臺的推進，公權(quán)力機關(guān)對公共事務(wù)的管理將會越來越依賴于以人臉識別信息為基礎(chǔ)的個人信息數(shù)據(jù)資源。由此也將不可避免地使公民敏感信息暴露在很大的風(fēng)險之下?；诖?，《個人信息保護法》以一章的內(nèi)容對國家機關(guān)處理個人信息進行專門規(guī)定。除遵守《個人信息保護法》中對一般信息處理者設(shè)定的法律義務(wù)之外，該法還要求國家機關(guān)必須在法定的權(quán)限范圍內(nèi)嚴格按法定程序處理個人信息，必須履行告知義務(wù)，如需向境外提供個人信息，必須進行安全評估。

由此可見，我國人臉識別信息保護的法律規(guī)制經(jīng)歷了從無到有、從概括式保護到特別保護的發(fā)展歷程，這也折射出其背后與時俱進的法律規(guī)制原則的演變。

三、平衡原則下人臉識別信息保護的進一步優(yōu)化

盡管在《個人信息保護法》出臺后，人臉識別技術(shù)應(yīng)用中人臉信息權(quán)益的保障力度得到較大提升，但相對于公民的權(quán)益保障意識和期待，對比大數(shù)據(jù)和人工智能時代人臉識別信息遭遇侵害的巨大風(fēng)險，我國現(xiàn)有法律針對人臉識別技術(shù)應(yīng)用的專門性立法闕如，對于商業(yè)性個人信息處理者可能濫用人臉識別信息的監(jiān)管還需進一步到位，人臉識別技術(shù)應(yīng)用中個人、商業(yè)主體和國家機關(guān)三者的利益邊界仍有待進一步厘清。伴隨著全球范圍內(nèi)人臉識別技術(shù)應(yīng)用法律規(guī)制的實踐與發(fā)展，我國人臉識別信息權(quán)益的法律保障體系仍有必要進一步優(yōu)化。

（一）推動精準(zhǔn)規(guī)制人臉識別技術(shù)應(yīng)用的專門立法

作為生物識別技術(shù)的一種，人臉識別技術(shù)借助人工智能特別是深度學(xué)習(xí)的算法革命站在了當(dāng)下新興科技領(lǐng)域的風(fēng)口浪尖。人臉識別技術(shù)所屬的計算機視覺技術(shù)，是無人駕駛、醫(yī)療檢測等應(yīng)用的基礎(chǔ)技術(shù)之一，已經(jīng)成為最具商業(yè)應(yīng)用前景的高科技技術(shù)。在深度學(xué)習(xí)算法驅(qū)動下，計算機視覺技術(shù)在近幾年取得了突破性進展，目前我國人臉識別技術(shù)的精確度已經(jīng)超過人眼。當(dāng)前，人臉識別的公司數(shù)量很多，技術(shù)成熟度也比較高。據(jù)前瞻產(chǎn)業(yè)研究院的數(shù)據(jù)顯示，2016 年我國人臉識別行業(yè)市場規(guī)模約為17.25 億元，同比增長27.97%。[6]

從全球范圍來看，很多國家加強了對人臉識別的法律應(yīng)對，針對人臉識別技術(shù)應(yīng)用單獨立法成為趨勢。2008 年，美國伊利諾伊州頒布了《生物識別信息隱私法案》，這是一部規(guī)范生物識別符⑨和信息的收集、存儲、使用、銷毀的專門法律。總體而言，美國對人臉識別技術(shù)的應(yīng)用，特別是對公權(quán)力機關(guān)使用人臉識別技術(shù)采取了嚴格限制的立法態(tài)度，如處在美國聯(lián)邦層面審議階段的《道德使用人臉識別法案》[7]《商業(yè)人臉識別隱私法案》[8]《人臉識別和生物識別技術(shù)中止法案》[9]?！度四樧R別和生物識別技術(shù)中止法案》要求美國政府暫停使用包括人臉識別技術(shù)在內(nèi)的生物識別技術(shù)，聯(lián)邦政府機構(gòu)無權(quán)要求、擁有或使用包括人臉識別信息在內(nèi)的生物識別信息，除非獲得美國國會的特別授權(quán)。2021年歐洲委員會發(fā)布的《人臉識別指南》[10]將人臉識別信息列入公民個人數(shù)據(jù)自動決策處理有關(guān)的公約加以保護，針對人臉識別技術(shù)不同的應(yīng)用情況，法律框架重點規(guī)制以下內(nèi)容：使用目標(biāo)的詳盡說明，所用算法的最低可靠性和精度，人臉照片的保留時間，審查人臉識別技術(shù)使用細則的可能性，使用過程的可追蹤性以及安全保障措施。

隨著《民法典》《中華人民共和國數(shù)據(jù)安全法》《個人信息保護法》的陸續(xù)通過，我國個人信息法律保護與利用的整體框架已經(jīng)清晰，綜合平衡的價值理念已然明了?！秱€人信息保護法》第62 條第2 款明確提出“針對小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等新技術(shù)、新應(yīng)用，制定專門的個人信息保護規(guī)則、標(biāo)準(zhǔn)”，可以說，制定專門規(guī)制人臉識別技術(shù)應(yīng)用的下位法的立法時機基本成熟。

第一，規(guī)制人臉識別技術(shù)的專門立法應(yīng)實現(xiàn)與上位法的精準(zhǔn)對接。人臉識別的專門立法應(yīng)將上位法中有關(guān)個人信息處理的原則性規(guī)定具體化、專業(yè)化，如個人信息處理中應(yīng)遵循的知情同意、正當(dāng)必要、透明公正等原則，需要通過專門法針對人臉識別技術(shù)的特點予以解釋說明。同時需對社會實踐中易產(chǎn)生爭議的有關(guān)術(shù)語進行進一步的細化，使之清晰明確。《個人信息保護法》第26 條規(guī)定，“在公共場所安裝圖像采集、個人身份識別設(shè)備，應(yīng)當(dāng)為維護公共安全所必需”。在現(xiàn)實生活中，寫字樓、商場、校園、城市居民小區(qū)等場所大都設(shè)置了攝像頭，有些小區(qū)物業(yè)要求業(yè)主“刷臉”才能進小區(qū)。這些場所是否屬于法律意義上的“公共場所”？其中的“公共安全”又如何界定？諸如此類的概括式的原則規(guī)定，有必要通過專門的下位法予以明確。

第二，規(guī)制人臉識別技術(shù)的專門立法應(yīng)能體現(xiàn)對人臉識別技術(shù)風(fēng)險的精準(zhǔn)防范。《個人信息保護法》等上位法立足于個人信息法律規(guī)制的整體權(quán)益保障，無法精細地針對各種個人信息的特點進行有效的風(fēng)險防范。人臉識別技術(shù)主要涉及數(shù)據(jù)收集、數(shù)據(jù)存儲以及數(shù)據(jù)使用三個環(huán)節(jié)，廣泛應(yīng)用于金融、零售服務(wù)、安全防衛(wèi)、智能駕駛、移動互聯(lián)網(wǎng)、醫(yī)療教育等行業(yè)，應(yīng)用人臉識別技術(shù)獲得的人臉識別信息與其他個人信息相比，具有更強的直觀性、私密性和保密性。針對人臉識別技術(shù)及人臉識別信息的特點，立法應(yīng)重點防控數(shù)據(jù)收集階段的過度采集、數(shù)據(jù)存儲環(huán)節(jié)的數(shù)據(jù)泄露、數(shù)據(jù)使用環(huán)節(jié)的開發(fā)濫用。

歐盟立法防控這三個階段的風(fēng)險是以控制核心技術(shù)（如算法和自動決策）為切入點的。因人臉識別技術(shù)實質(zhì)上是人工智能中的智能感知技術(shù)的應(yīng)用，歐盟的《通用數(shù)據(jù)保護條例》要求其算法具有一定的可解釋性。同時該條例第22 條對包括畫像在內(nèi)的自動化決策根據(jù)應(yīng)用場景設(shè)置了兩項義務(wù)予以規(guī)制：如果自動化決策為履行合約所必需，經(jīng)數(shù)據(jù)主體明示同意后，數(shù)據(jù)使用者應(yīng)當(dāng)實施適當(dāng)措施保護數(shù)據(jù)主體利益，數(shù)據(jù)主體至少具有干預(yù)自動化決策、表達自己觀點并拒絕該決策的權(quán)利；如果自動化決策產(chǎn)生的法律效力涉及數(shù)據(jù)主體，或?qū)?shù)據(jù)主體有重要影響，則數(shù)據(jù)主體有權(quán)不成為此決策的對象。[11]

我國的法律規(guī)制方式則是針對人臉信息的階段性應(yīng)用場景分別設(shè)計相應(yīng)的風(fēng)險防范技術(shù)標(biāo)準(zhǔn)。2023年5 月1 日，國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會發(fā)布的國家推薦性行業(yè)標(biāo)準(zhǔn)GB/T 41819-2022《信息安全技術(shù)人臉識別數(shù)據(jù)安全要求》（以下簡稱《人臉識別數(shù)據(jù)安全要求》）正式實施?！白钚”匾笔侨四樧R別信息安全的核心原則，圍繞著這一原則，《人臉識別數(shù)據(jù)安全要求》分為人臉識別信息“安全通用要求”以及人臉識別信息的收集、存儲、使用、傳輸、提供與公開、刪除等六個分則要求。雖然該規(guī)范就性質(zhì)而言屬于國家標(biāo)準(zhǔn)中的推薦標(biāo)準(zhǔn)，不具有法律強制力從而規(guī)制效力有限，但其中經(jīng)過實踐檢驗行之有效的具體內(nèi)容卻可以由技術(shù)規(guī)范上升為人臉識別技術(shù)應(yīng)用的專門立法。

（二）推進人工智能視覺技術(shù)應(yīng)用的行業(yè)自律

隨著《人臉識別數(shù)據(jù)安全要求》這一國家推薦性行業(yè)標(biāo)準(zhǔn)的出臺，人臉識別技術(shù)應(yīng)用的行業(yè)自律時機業(yè)已成熟。我國人工智能技術(shù)商業(yè)化前期應(yīng)用的市場經(jīng)驗說明，實施柔性的行業(yè)標(biāo)準(zhǔn)化規(guī)范更能促進企業(yè)借助市場力量構(gòu)建“內(nèi)生機制”，在行業(yè)內(nèi)部自發(fā)形成合理的內(nèi)部秩序。[12]而良好的行業(yè)自律可合理劃分個人人臉信息權(quán)益與企業(yè)商業(yè)利益之間的邊界，是人工智能人臉信息識別技術(shù)發(fā)展的必不可少的前提和基礎(chǔ)。

同時，行業(yè)自律能夠有效配合政府部門對包括人臉信息在內(nèi)的個人信息進行保護和監(jiān)管?！秱€人信息保護法》第60 條規(guī)定，國家網(wǎng)信部門負責(zé)統(tǒng)籌協(xié)調(diào)個人信息保護工作和相關(guān)監(jiān)督管理工作；第62 條第1款規(guī)定，國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門依據(jù)《個人信息保護法》推進制定個人信息保護具體規(guī)則、標(biāo)準(zhǔn)的有關(guān)工作。而人臉識別信息行業(yè)自律的標(biāo)準(zhǔn)化規(guī)范正屬于這一類個人信息保護的具體規(guī)則和標(biāo)準(zhǔn)，它們是人臉識別技術(shù)應(yīng)用企業(yè)結(jié)合科研院校在利益博弈基礎(chǔ)上經(jīng)過充分協(xié)商達成的行業(yè)共識，不僅在行業(yè)內(nèi)具有高度的統(tǒng)一性和認可度，還在很大程度上彌補了行政監(jiān)管機構(gòu)因不直接對接市場而導(dǎo)致的信息差。

人工智能視覺技術(shù)應(yīng)用的行業(yè)規(guī)范細化了《個人信息保護法》等相關(guān)法律對人臉識別信息概括式保護的內(nèi)容?！度四樧R別信息安全要求》在人臉識別信息的“安全通用要求”這一部分內(nèi)容中要求，可采用非人臉識別方式的，應(yīng)優(yōu)先選擇使用非人臉識別方式；應(yīng)僅在人臉識別方式比非人臉識別方式更具有安全性或便捷性時，使用人臉識別方式；即使采用人臉識別方式進行身份識別，應(yīng)同時提供人臉識別和非人臉識別方式由自然人選擇；在自然人拒絕使用人臉識別方式后，不應(yīng)頻繁提示以獲取自然人對人臉識別方式的同意。這些更為詳細的行業(yè)規(guī)范在現(xiàn)實生活中明確了技術(shù)應(yīng)用的最低限度，能夠明確劃分公民人臉信息權(quán)益與商業(yè)利益以及政府所代表的公共利益的邊界。

（三）以建立人臉識別技術(shù)應(yīng)用的行政許可和準(zhǔn)入制度，推進行政監(jiān)管模式的進一步優(yōu)化

盡管行業(yè)自律為人臉識別技術(shù)應(yīng)用的法律規(guī)制所不可或缺，但另一方面，行業(yè)自律固有的缺點也不容忽視。由于現(xiàn)行人臉識別信息的標(biāo)準(zhǔn)化規(guī)則是國家推薦性規(guī)則，不具有國家強制力，缺乏監(jiān)督和執(zhí)行力，在激烈的市場競爭中企業(yè)為了逐利總是傾向于突破這一柔性規(guī)則，從而導(dǎo)致“劣幣驅(qū)逐良幣”，因此，為了這一產(chǎn)業(yè)的可持續(xù)性健康發(fā)展，為了保障公共利益及公民個人信息權(quán)益，國家公權(quán)力機關(guān)對市場進行適度介入并監(jiān)管是最堅強的后盾。

根據(jù)人臉識別技術(shù)不必要接觸被識別主體的特點，在現(xiàn)實生活中一旦發(fā)生人臉識別信息安全事故，就是不可逆的，將對公民個人權(quán)益及社會公共利益造成不可挽回的損害。因此，在當(dāng)前我國個人信息保護和監(jiān)管模式之下，各職能部門的監(jiān)管職責(zé)的設(shè)置，就功能而言，應(yīng)更注重事前的審查防范。

鑒于此，后續(xù)優(yōu)化國家行政監(jiān)管的著力點，應(yīng)立足于與人工智能行業(yè)自律的有機融合，應(yīng)將該技術(shù)的應(yīng)用納入行政許可事項中進行監(jiān)管。一方面，法律需要對人臉識別技術(shù)應(yīng)用主體設(shè)置許可審查和準(zhǔn)入審查，商業(yè)機構(gòu)應(yīng)用人臉識別技術(shù)需要獲得許可，國家行政機關(guān)基于公共安全和公共利益應(yīng)用人臉識別技術(shù)也應(yīng)制定相應(yīng)的準(zhǔn)入門檻。另一方面，法律應(yīng)就人臉識別技術(shù)應(yīng)用的必要性進行嚴格審查。應(yīng)用人臉識別技術(shù)應(yīng)符合必要性原則，非必要不適用，這一原則應(yīng)是授予許可的首要原則。這一審查可嚴格控制商業(yè)機構(gòu)應(yīng)用人臉識別技術(shù)的合理性和技術(shù)范圍，劃定商業(yè)利益與人臉識別信息權(quán)益的邊界。針對行政機關(guān)等國家公權(quán)力機關(guān)的審查則要突出公共安全和公共利益原則，以此堅守人臉識別信息權(quán)益與公共利益的法律邊界。

總之，放眼當(dāng)今世界，人臉識別技術(shù)及其應(yīng)用正在快速滲透我們的生活。它在給我們帶來巨大便利的同時，也將不可預(yù)知的風(fēng)險帶給了我們。我們有必要在人臉識別信息的保護與利用之間尋求法律平衡，并據(jù)此劃定公民人臉識別信息權(quán)益與企業(yè)的商業(yè)利益以及政府所代表的公共利益之間的邊界。法律應(yīng)為包括人臉識別信息的個人信息立起一道保護的屏障，也應(yīng)為其合理利用留下必要的現(xiàn)實和發(fā)展的空間。

注釋：

①信息技術(shù)與互聯(lián)網(wǎng)技術(shù)深度融合，2018 年，我國互聯(lián)網(wǎng)和相關(guān)服務(wù)業(yè)全年營業(yè)收入1.7 萬億元，比2013 年增長5.5 倍；企業(yè)資產(chǎn)總計2.6 萬億元，比2013 年增長4.4 倍。相關(guān)信息參見2020 年1 月16 日載于人民網(wǎng)的“我國信息技術(shù)產(chǎn)業(yè)蓬勃發(fā)展，動力強勁”，網(wǎng)址為：http：//finance.people.com.cn/n1/2020/0121/c1004-31558440.html。

②2019 年4 月27 日，郭某購買了某野生動物世界有限公司以指紋識別方式入園的年卡，并錄入指紋和拍攝照片。后該野生動物世界有限公司單方面將指紋入園改為面部識別入園，若不激活人臉識別系統(tǒng)將無法入園。郭某不接受人臉識別，要求退卡，雙方協(xié)商未果，郭某向某市中級人民法院提起訴訟。后該市中級人民法院終審認定該野生動物世界有限公司單方面變更入園方式構(gòu)成違約，要求郭某激活人臉識別超出事前收集目的，且存在侵害郭某面部特征信息之人格權(quán)益的可能與危險，判決該野生動物世界有限公司刪除郭某辦卡時提交的包括照片在內(nèi)的面部特征信息以及指紋信息。

③參見《人臉識別技術(shù)適用法律若干問題的規(guī)定》第2 條。

④參見《人臉識別技術(shù)適用法律若干問題的規(guī)定》第14 條。

⑤生活中極少有消費者真正認真閱讀網(wǎng)絡(luò)服務(wù)提供者所設(shè)置的冗長的格式合同并知曉自身個人信息被收集處理的真實情況，網(wǎng)絡(luò)服務(wù)提供者還將這類格式合同虛化為不必閱讀具體內(nèi)容的點擊操作，消費者直接點擊界面按鈕就可以跳過閱讀環(huán)節(jié)。人臉識別無須接觸即可處理臉部信息的技術(shù)特點使得現(xiàn)實中知情同意原則的保障幾乎形同虛設(shè)，不少學(xué)者對此深表憂慮。相關(guān)信息參見張新寶：“我國個人信息保護法立法主要矛盾研討”，《吉林大學(xué)社會科學(xué)學(xué)報》，2018 年第5期；參見倪楠、王敏：“人臉識別技術(shù)中個人信息保護的法律規(guī)制”，《人文雜志》，2022 年第2 期；參見馬騰飛、馮曉青：“政府?dāng)?shù)據(jù)開放背景下人臉識別法律規(guī)制研究”，《中國政法大學(xué)學(xué)報》，2023 年第3 期。

⑥參見《人臉識別技術(shù)適用法律若干問題的規(guī)定》第4 條。

⑦參見《人臉識別技術(shù)適用法律若干問題的規(guī)定》第5 條。

⑧參見《個人信息保護法》第47 條。

⑨生物識別符主要包括虹膜掃描、聲紋、人臉、指紋或掌紋等，不包括照片、書面簽名、筆跡樣本。