公共行政中人臉信息處理的立法規(guī)制

陳 潘

內(nèi)容提要： 數(shù)字時(shí)代以來(lái)， 行政機(jī)關(guān)使用人臉識(shí)別技術(shù)處理人臉信息以履行其職權(quán)， 這在賦能行政履職的同時(shí)觸及了公民身體權(quán)、 個(gè)人信息權(quán)， 且可能因不當(dāng)處理致?lián)p其他人身權(quán)、 財(cái)產(chǎn)權(quán)和平等權(quán)， 如何對(duì)之進(jìn)行立法規(guī)制就尤為重要。 所觸及權(quán)利的基本權(quán)利性質(zhì)，要求具有與之匹配的法形式對(duì)行政機(jī)關(guān)的人臉信息處理活動(dòng)作出規(guī)定。 由于法律與行政立法、 地方人大立法在民意基礎(chǔ)和制定程序上存在差異， 宜以狹義法律的形式規(guī)范行政機(jī)關(guān)的人臉信息處理活動(dòng)。 在法的內(nèi)容上， 應(yīng)為行政機(jī)關(guān)設(shè)定全過(guò)程的義務(wù)， 包括對(duì)人臉信息的有限收集、 有限使用以及個(gè)人參與的保障。

一、 問(wèn)題的提出

自進(jìn)入數(shù)字時(shí)代以來(lái)， 數(shù)字技術(shù)亦被行政機(jī)關(guān)廣泛應(yīng)用于公共行政管理和服務(wù)之中， 其中一項(xiàng)技術(shù)就是人臉識(shí)別技術(shù)。 行政機(jī)關(guān)通過(guò)人臉識(shí)別技術(shù)收集公民人臉信息， 對(duì)其進(jìn)行存儲(chǔ)、 分析、 使用等處理行為。 在識(shí)別的精準(zhǔn)性和便利性上， 人臉識(shí)別無(wú)疑具有明顯技術(shù)優(yōu)勢(shì)， 因而， 行政機(jī)關(guān)使用人臉識(shí)別技術(shù)處理人臉信息已屬常見(jiàn)。 比如， 公安部門(mén)將人臉識(shí)別系統(tǒng)裝入街頭巷尾的智能視頻監(jiān)控， 以維護(hù)社會(huì)治安； 交通管理部門(mén)在道路設(shè)置人臉識(shí)別系統(tǒng)， 以識(shí)別違法闖紅燈的行人；①《行人闖紅燈， 將人臉識(shí)別抓拍》， 載紹興市公安局網(wǎng)， http: //ga.sx.gov.cn/art/2019/5/29/art_1488084_34384604.html。登記部門(mén)使用人臉識(shí)別技術(shù)進(jìn)行網(wǎng)上不動(dòng)產(chǎn)登記， 便利公民完成登記；②《廣州不動(dòng)產(chǎn)登記預(yù)約率先運(yùn)用 “人臉識(shí)別” 技術(shù) 僅需2 分鐘》， 載新華網(wǎng)， http: //www.xinhuanet.com/politics/2018-02/12/c_1122405341.htm。海關(guān)安裝具有人臉識(shí)別功能的智能視頻監(jiān)控， 對(duì)進(jìn)出人員進(jìn)行身份識(shí)別。③參見(jiàn)海關(guān)總署2021年1月7日修訂的 《海關(guān)監(jiān)管作業(yè)場(chǎng)所 （場(chǎng)地） 監(jiān)控?cái)z像頭設(shè)置規(guī)范》。這些常見(jiàn)的人臉信息處理行為④根據(jù) 《個(gè)人信息保護(hù)法》 第四條， 個(gè)人信息處理包括個(gè)人信息的收集、 存儲(chǔ)、 使用、 加工、 傳輸、 提供、 公開(kāi)、 刪除等。并非簡(jiǎn)單的事實(shí)行為， 而是影響公民重要權(quán)益的行政活動(dòng)。 人臉信息被收集后， 呈現(xiàn)出數(shù)字化形式， 可用作任意目的的數(shù)據(jù)分析， 對(duì)公民權(quán)益的影響不容忽視。 那么， 應(yīng)如何規(guī)制公共行政中的人臉信息處理行為？

從行政法治的角度看， 行政機(jī)關(guān)為某些行政行為首先應(yīng)于法有據(jù)。 《中華人民共和國(guó)個(gè)人信息保護(hù)法》 （以下簡(jiǎn)稱(chēng) 《個(gè)人信息保護(hù)法》） 對(duì)此作出一定程度的回應(yīng)。 該法第三十四條⑤《個(gè)人信息保護(hù)法》 第三十四條規(guī)定： “國(guó)家機(jī)關(guān)為履行法定職責(zé)處理個(gè)人信息， 應(yīng)當(dāng)依照法律、 行政法規(guī)規(guī)定的權(quán)限、 程序進(jìn)行， 不得超出履行法定職責(zé)所必需的范圍和限度。”規(guī)定， “國(guó)家機(jī)關(guān)為履行法定職責(zé)應(yīng)依照法律、 行政法規(guī)規(guī)定的權(quán)限、 程序處理個(gè)人信息”。 這意味著行政機(jī)關(guān)處理個(gè)人信息的法定， 即行政機(jī)關(guān)處理個(gè)人信息要有法上的依據(jù)， 并且依據(jù)法的規(guī)定處理個(gè)人信息。 可以看到， 根據(jù)《個(gè)人信息保護(hù)法》， “法” 并非指向一切法規(guī)范， 而是法律和行政法規(guī)。

就人臉信息而言， 按照《個(gè)人信息保護(hù)法》 第三十四條規(guī)定， 行政機(jī)關(guān)為履行法定職責(zé)也應(yīng)依照法律、 行政法規(guī)規(guī)定的權(quán)限、 程序處理人臉信息， 即行政機(jī)關(guān)處理人臉信息的法定 （以下簡(jiǎn)稱(chēng)“人臉信息處理法定”）。 可是， 人臉信息畢竟屬于敏感個(gè)人信息， 不同于一般個(gè)人信息， 那么人臉信息處理法定的 “法” 是否當(dāng)然意指法律和行政法規(guī)？ 《個(gè)人信息保護(hù)法》 雖然對(duì)國(guó)家機(jī)關(guān)處理個(gè)人信息活動(dòng)作了專(zhuān)門(mén)規(guī)定， 但只著眼于一般個(gè)人信息的處理， 不能為行政機(jī)關(guān)處理人臉信息提供足夠的規(guī)范供給。 此部分規(guī)范供給， 是對(duì)行政機(jī)關(guān)處理人臉信息進(jìn)行規(guī)制的關(guān)鍵之處， 需要在個(gè)人信息保護(hù)基本法的基礎(chǔ)上得以滿足。 那么， 應(yīng)以何種法的形式為行政機(jī)關(guān)處理人臉信息提供規(guī)范供給？ 在法的內(nèi)容上， 又該為行政機(jī)關(guān)設(shè)置哪些義務(wù)？ 只有澄清這些問(wèn)題， 才能為公共行政中人臉信息處理行為提供合理的行為依據(jù)。

對(duì)于此問(wèn)題， 現(xiàn)有研究成果大多從宏觀層面討論人臉識(shí)別的規(guī)制方向和規(guī)則原理，⑥有關(guān)文獻(xiàn)可參見(jiàn)文銘、 劉博： 《人臉識(shí)別技術(shù)應(yīng)用中的法律規(guī)制研究》， 載 《科技與法律》 2020年第4 期， 第77-85 頁(yè)； 林凌、 賀小石： 《人臉識(shí)別的法律規(guī)制路徑》， 載 《法學(xué)雜志》 2020年第7 期， 第68-75 頁(yè)； 郭春鎮(zhèn)： 《數(shù)字人權(quán)時(shí)代人臉識(shí)別技術(shù)應(yīng)用的治理》， 載 《現(xiàn)代法學(xué)》 2020年第4 期， 第19-36 頁(yè)； 邢會(huì)強(qiáng)： 《人臉識(shí)別的法律規(guī)制》， 載 《比較法研究》 2020年第5 期， 第51-63 頁(yè)； 胡凌： 《刷臉： 身份制度、 個(gè)人信息與法律規(guī)制》， 載 《法學(xué)家》 2021年第2 期， 第41-55 頁(yè)； 韓旭至： 《刷臉的法律治理： 由身份識(shí)別到識(shí)別分析》， 載 《東方法學(xué)》 2021年第5 期， 第69-79 頁(yè)； 盧艷玲、 楊震： 《技術(shù)與規(guī)則： 人臉識(shí)別技術(shù)應(yīng)用的風(fēng)險(xiǎn)研判與法律治理進(jìn)路》， 載 《北方法學(xué)》 2023年第2 期， 第15-26 頁(yè)； 姜野： 《人臉識(shí)別技術(shù)應(yīng)用的場(chǎng)景化法律規(guī)制》， 載 《法制與社會(huì)發(fā)展》 2023年第1 期， 第208-244 頁(yè)； 等等。也有研究成果把人臉信息放入個(gè)人生物識(shí)別信息中， 討論個(gè)人生物識(shí)別信息的立法路徑和監(jiān)管。⑦有關(guān)文獻(xiàn)可參見(jiàn)于洋： 《論個(gè)人生物識(shí)別信息應(yīng)用風(fēng)險(xiǎn)的監(jiān)管構(gòu)造》， 載 《行政法學(xué)研究》 2021年第6 期， 第101-114 頁(yè)；冉克平： 《論個(gè)人生物識(shí)別信息及其法律保護(hù)》， 載 《社會(huì)科學(xué)輯刊》 2020年第6 期， 第111-120 頁(yè)。雖然已有研究成果提及對(duì)政府部門(mén)使用人臉識(shí)別進(jìn)行規(guī)制的重心、 政府利用個(gè)人生物識(shí)別信息的限度，⑧刑會(huì)強(qiáng)教授提出， 對(duì)政府部門(mén)使用人臉識(shí)別技術(shù)應(yīng)以事前事中規(guī)制為主。 參見(jiàn)邢會(huì)強(qiáng)： 《人臉識(shí)別的法律規(guī)制》， 載 《比較法研究》 2020年第5 期， 第51-63 頁(yè)。 冉克平教授認(rèn)為， 政府機(jī)關(guān)或授權(quán)機(jī)構(gòu)在收集個(gè)人生物識(shí)別信息時(shí)必須基于公共利益的要求并遵循法定程序， 符合比例原則的要求， 兼顧收集和使用目標(biāo)的實(shí)現(xiàn)和保護(hù)信息主體的權(quán)益。 參見(jiàn)前引⑦， 冉克平文， 第111-120 頁(yè)。但是未細(xì)致論及行政機(jī)關(guān)對(duì)人臉信息進(jìn)行處理的法定形式。 雖然亦有成果提出了行政機(jī)關(guān)處理個(gè)人信息活動(dòng)的合法性分析框架，⑨參見(jiàn)王錫鋅： 《行政機(jī)關(guān)處理個(gè)人信息活動(dòng)的合法性分析框架》， 載 《比較法研究》 2022年第3 期， 第92-108 頁(yè)。但是人臉信息屬于特殊類(lèi)別個(gè)人信息， 一般個(gè)人信息層面的合法性分析框架尚不能完全適用于人臉信息處理。 此是討論數(shù)字行政中人臉信息法律保護(hù)時(shí)無(wú)法繞開(kāi)的問(wèn)題，對(duì)它的探討， 有助于促進(jìn)實(shí)踐中行政機(jī)關(guān)處理人臉信息的法治化， 保護(hù)公民在技術(shù)與權(quán)力結(jié)合下的有關(guān)權(quán)益。 為此， 本文將在揭示公共行政中人臉信息處理所觸及公民權(quán)益的基礎(chǔ)上， 討論由哪種法規(guī)范行政機(jī)關(guān)處理人臉信息行為， 在明確了法形式后， 討論此種法在內(nèi)容上應(yīng)為行政機(jī)關(guān)設(shè)置哪些義務(wù)。

二、 公共行政中人臉信息處理影響的公民權(quán)益

公共行政中人臉信息處理觸及的公民權(quán)益， 是對(duì)人臉信息處理行為進(jìn)行立法規(guī)制的必要性之體現(xiàn)， 同時(shí)， 也是選擇何種法形式和配置何種法內(nèi)容的起點(diǎn)。

（一） 權(quán)益的內(nèi)容

正是由于大數(shù)據(jù)賦能行政， 公共行政中的人臉信息處理行為才成為可能， 不過(guò)， 也正是如此，行政機(jī)關(guān)的人臉信息處理行為亦蘊(yùn)含著不容忽視的侵益風(fēng)險(xiǎn)。 那么， 行政機(jī)關(guān)對(duì)人臉信息的處理可能影響公民哪些權(quán)益？ 總體上， 公共行政中人臉信息處理可能影響的公民權(quán)益包括兩類(lèi)。

第一類(lèi)是該行為直接影響的公民權(quán)益， 這類(lèi)權(quán)益包括身體權(quán)和個(gè)人信息權(quán)。⑩參見(jiàn)孫笑俠： 《身體權(quán)的法理——從 〈民法典〉 “身體權(quán)” 到新技術(shù)進(jìn)逼下的人權(quán)》， 載 《中國(guó)法律評(píng)論》 2020年第6 期， 第67-82 頁(yè)。身體權(quán)之所以是受人臉信息處理行為直接干預(yù)的權(quán)利， 是因?yàn)樵谑占四樞畔r(shí)， 人臉識(shí)別技術(shù) “搜查” 了自然人的身體。 這里的“身體” 不是作為身體完整和身體行動(dòng)自由意義上的身體權(quán)， 而是作為身體自主意義上的身體權(quán)， 體現(xiàn)的是自然人的身體尊嚴(yán)。?前引⑩， 孫笑俠文， 第67-82 頁(yè)。 身體權(quán)是自然人為維護(hù)其身體之完整、 自由、 信息、 尊嚴(yán)等與身體相關(guān)的權(quán)益， 支配其身體的生物構(gòu)成、 身體尊嚴(yán)、 身體行動(dòng)和身體信息的物質(zhì)性人格權(quán)。 其權(quán)益包括四方面： 一是身體完整權(quán)， 二是身體行動(dòng)權(quán)， 三是身體信息權(quán)， 四是身體尊嚴(yán)權(quán)。人臉識(shí)別技術(shù)在 “搜查” 自然人身體之后形成自然人的人臉信息， 人臉信息屬于個(gè)人信息的范疇， 由此， 個(gè)人信息權(quán)也是受人臉信息收集行為所直接干預(yù)的權(quán)益。

第二類(lèi)是人臉信息不當(dāng)處理行為所引發(fā)的可能受侵害之公民權(quán)益， 這類(lèi)權(quán)益包括人身權(quán)、 財(cái)產(chǎn)權(quán)和平等權(quán)。 需要說(shuō)明的是， 此處人身權(quán)包括了身體權(quán)， 但它與人臉信息處理行為所直接影響的身體權(quán)不同。 此不同之處在于兩者所受侵害的來(lái)源不同。 后者的侵害來(lái)源是人臉信息處理行為本身，且主要是人臉信息收集行為， 而前者的侵害來(lái)源是對(duì)形成的人臉信息的不當(dāng)使用行為， 特別是對(duì)泄露的人臉信息的不當(dāng)使用行為。

人身權(quán)和財(cái)產(chǎn)權(quán)之所以可能受行政機(jī)關(guān)人臉信息處理行為的影響， 是因?yàn)槿四樞畔⑿纬芍?，人臉信息處于信息空間之中， 如果未能加以妥善保管， 很容易受到泄露， 進(jìn)而危及人身權(quán)益和財(cái)產(chǎn)權(quán)益。 政府?dāng)?shù)據(jù)庫(kù)并非牢不可破， 反而存在安全漏洞， 這些安全漏洞容易被人用來(lái)竊取數(shù)據(jù)。 這并非危言聳聽(tīng)。 雖然目前尚未出現(xiàn)政府人臉數(shù)據(jù)庫(kù)數(shù)據(jù)大規(guī)模泄露事件， 但是人臉數(shù)據(jù)泄露的風(fēng)險(xiǎn)是存在的。 2019年2月， 人臉識(shí)別公司 “深網(wǎng)視界” 泄露了256 萬(wàn)人的個(gè)人信息，?《人臉識(shí)別公司深網(wǎng)視界被指數(shù)據(jù)泄露， 含256 萬(wàn)人的個(gè)人信息》， 載環(huán)球網(wǎng)， https: //baijiahao.baidu.com/s?id=1625541790459846029＆wfr=spider＆for=pc。2019年8月，Suprema 公司因安全漏洞泄露數(shù)百萬(wàn)用戶的指紋、 人臉信息等數(shù)據(jù)。 既然公司存在數(shù)據(jù)泄露問(wèn)題，那么行政機(jī)關(guān)也面臨同樣的風(fēng)險(xiǎn)。 人臉信息具有持久的穩(wěn)定性， 一般不會(huì)發(fā)生更改， 泄露后若被不法行為人利用， 將會(huì)造成個(gè)人財(cái)產(chǎn)的損失或者人身權(quán)益的受損。

平等權(quán)也可能成為行政機(jī)關(guān)人臉信息處理行為所影響的權(quán)益。 在技術(shù)上， 人臉識(shí)別可以與其他個(gè)人信息數(shù)據(jù)庫(kù)結(jié)合， 經(jīng)由數(shù)據(jù)挖掘技術(shù)描摹出個(gè)人的數(shù)字足跡， 并預(yù)測(cè)個(gè)人的其他敏感信息。 這已經(jīng)通過(guò)實(shí)驗(yàn)得到證明。 為了探索人臉識(shí)別與其他個(gè)人信息的結(jié)合是否可以自動(dòng)化地重新識(shí)別個(gè)人且推測(cè)出更多個(gè)人信息， 2010年三位美國(guó)學(xué)者進(jìn)行了實(shí)驗(yàn)， 結(jié)果表示， 通過(guò)數(shù)據(jù)挖掘技術(shù)， 經(jīng)由人臉信息可以識(shí)別個(gè)人并且預(yù)測(cè)個(gè)人的其他敏感信息。?See Alessandro Acquisti, Ralph Gross ＆ Fred Stutzman, Face Recognition and Privacy in the Age of Augmented Reality, Journal of Privacy and Confidentiality, Vol.6, Issue 2, 2014, p.10-12.我們知道， 人臉識(shí)別的背后是算法， 而算法又是用數(shù)學(xué)工具打包出來(lái)的各種觀點(diǎn)， 內(nèi)含著價(jià)值偏見(jiàn)。?[美] 凱西·奧尼爾： 《算法霸權(quán)： 數(shù)學(xué)殺傷性武器的威脅》， 馬青玲譯， 中信出版集團(tuán)2018年版， 第6 頁(yè)。為了人臉比對(duì)而編寫(xiě)的算法， 嵌入了信息處理者等主體的意志。 如果對(duì)人臉信息進(jìn)行不當(dāng)使用， 比如以性別、 膚色、 性取向、 基因等作為標(biāo)準(zhǔn)對(duì)自然人予以分類(lèi)， 就容易引發(fā)歧視， 危及自然人平等權(quán)。

（二） 權(quán)益的基本權(quán)利性質(zhì)

上文已述， 行政機(jī)關(guān)所為的人臉信息處理行為觸及的權(quán)益有身體權(quán)、 個(gè)人信息權(quán)， 以及由此延伸的可能受侵害之人身權(quán)、 財(cái)產(chǎn)權(quán)和平等權(quán)。 人身權(quán)、 財(cái)產(chǎn)權(quán)和平等權(quán)作為公民的基本權(quán)利當(dāng)無(wú)疑義。 《中華人民共和國(guó)憲法》 （以下簡(jiǎn)稱(chēng) 《憲法》） 第十三條、 第三十三條、 第三十七條對(duì)此作了規(guī)定。?參見(jiàn) 《憲法》 （2018） 第十三條、 第三十三條、 第三十七條。那么， 剩下的身體權(quán)和個(gè)人信息權(quán)是否是公民的基本權(quán)利？

就身體權(quán)而言， 孫笑俠教授從身體權(quán)具有人權(quán)之基本性和憲法規(guī)范的角度證明了身體權(quán)的基本權(quán)利性質(zhì)；?前引⑩， 孫笑俠文， 第77 頁(yè)。劉召成教授認(rèn)為 《憲法》 第三十七條規(guī)定的人身自由權(quán)推動(dòng)了身體權(quán)積極性權(quán)能的發(fā)展，?參見(jiàn)劉召成： 《身體權(quán)的現(xiàn)代變革及其法典化設(shè)計(jì)》， 載 《當(dāng)代法學(xué)》 2020年第2 期， 第15 頁(yè)?？隙ㄉ眢w權(quán)的基本權(quán)利性質(zhì)。 本文贊成身體權(quán)是一項(xiàng)基本權(quán)利的觀點(diǎn)。 身體權(quán)作為一種物質(zhì)性的權(quán)利， 是人存在的基本前提， 沒(méi)有身體權(quán)就沒(méi)有人的存在。 行政機(jī)關(guān)的人臉信息處理行為所觸及的身體尊嚴(yán)， 作為身體權(quán)的一部分， 仍是人之為人的前提之所在。 《憲法》 雖然沒(méi)有明確規(guī)定“身體權(quán)”， 但是， 身體權(quán)仍受憲法保護(hù)， 不可否認(rèn)其基本權(quán)利的性質(zhì)。

就個(gè)人信息權(quán)而言， 公法學(xué)者一般主張其為基本權(quán)利性質(zhì)的權(quán)利。?民法學(xué)者多主張個(gè)人信息權(quán)是私權(quán)利。 其中， 又主要分為人格權(quán)說(shuō)、 隱私權(quán)說(shuō)、 財(cái)產(chǎn)權(quán)說(shuō)和獨(dú)立的新型民事權(quán)利說(shuō)， 人格權(quán)說(shuō)分為一般人格權(quán)說(shuō)和具體人格權(quán)說(shuō)。 可參見(jiàn)齊愛(ài)民主編： 《個(gè)人資料保護(hù)法原理及其跨國(guó)流通法律問(wèn)題研究》， 武漢大學(xué)出版社2004 版， 第1 頁(yè)； 王利明： 《論個(gè)人信息權(quán)的法律保護(hù)——以個(gè)人信息權(quán)與隱私權(quán)的界分為中心》， 載 《現(xiàn)代法學(xué)》 2013年第4 期， 第62-72 頁(yè)； 李偉民： 《“個(gè)人信息權(quán)” 性質(zhì)之辨與立法模式研究——以互聯(lián)網(wǎng)新型權(quán)利為視角》， 載《上海師范大學(xué)學(xué)報(bào) （哲學(xué)社會(huì)科學(xué)版）》 2018年第3 期， 第66-74 頁(yè)。為論證個(gè)人信息權(quán)的基本權(quán)利性質(zhì)， 公法學(xué)者從人格尊嚴(yán)、 個(gè)人自由、 民主等憲法價(jià)值， 我國(guó)憲法規(guī)范基礎(chǔ)， 域外經(jīng)驗(yàn)， 現(xiàn)實(shí)需求等角度進(jìn)行了可行的論證。?參見(jiàn)王秀哲： 《我國(guó)隱私權(quán)的憲法保護(hù)研究》， 法律出版社2011年版， 第38-46 頁(yè)； 姚岳絨： 《憲法視野中的個(gè)人信息保護(hù)》， 法律出版社2012年版， 第117-148 頁(yè)； 孫平： 《系統(tǒng)構(gòu)筑個(gè)人信息保護(hù)立法的基本權(quán)利模式》， 載 《法學(xué)》 2016年第4 期， 第68-69 頁(yè)。本文亦贊同基本權(quán)利觀點(diǎn)。 將個(gè)人信息權(quán)作為私權(quán)利進(jìn)行法律保護(hù)， 不能滿足個(gè)人信息權(quán)保護(hù)的現(xiàn)實(shí)需求。 第一， 無(wú)法應(yīng)對(duì)行政機(jī)關(guān)處理人臉信息時(shí)行政機(jī)關(guān)與公民關(guān)系下個(gè)人信息的保護(hù)需求。 在信息作為一項(xiàng)重要資源的信息社會(huì)， 處理人臉信息的不僅限于企業(yè)， 還有行政機(jī)關(guān)。 行政機(jī)關(guān)與公民之間法律關(guān)系亦迫切需要公法調(diào)整。

第二， 私權(quán)利的保護(hù)強(qiáng)度弱于基本權(quán)利的保護(hù)強(qiáng)度。 在對(duì)私權(quán)利進(jìn)行限制時(shí)， 對(duì)權(quán)利限制的程度一般依據(jù)的是雙方的合意， 不可能都有法上的依據(jù)。 另外， 由于雙方實(shí)力明顯不均， 其合意很可能是形式上的合意， 不能體現(xiàn)公民的真實(shí)意志。 而在公法中， 對(duì)公民權(quán)利的限制不能隨意為之， 反而有法律保留原則和比例原則的限制。 在雙重原則的限制下， 個(gè)人信息權(quán)的限制受到更多限制， 保護(hù)強(qiáng)度更高。

第三， 私權(quán)利保護(hù)下的個(gè)人信息權(quán)救濟(jì)困難。 作為私權(quán)利的個(gè)人信息權(quán)如受到侵害， 權(quán)利人需要按照侵權(quán)救濟(jì)規(guī)則尋求事后救濟(jì)， 需要遵守加害行為、 損害結(jié)果、 因果關(guān)系、 加害人過(guò)錯(cuò)的侵權(quán)行為構(gòu)成要件。 然而， 權(quán)利人由于并不掌握技術(shù)主動(dòng)權(quán)， 無(wú)法掌控收集后的信息流向， 可能無(wú)法知道誰(shuí)是侵權(quán)人， 侵權(quán)人實(shí)施了什么加害行為。 另外， 損害結(jié)果是否必須是實(shí)質(zhì)性的損害、 因果關(guān)系的證明難度， 都在加重救濟(jì)難度。 在公法下， 作為公法權(quán)利的個(gè)人信息權(quán)， 對(duì)人臉信息的處理行為提出了法律依據(jù)要求。 公民的個(gè)人信息權(quán)就轉(zhuǎn)變?yōu)檎姆闪x務(wù)。 不論違反法律義務(wù)的政府行為是否對(duì)公民造成實(shí)際損害， 都可以認(rèn)定為違法行為， 于是， 個(gè)人信息保護(hù)執(zhí)法機(jī)構(gòu)就可以通過(guò)執(zhí)法來(lái)發(fā)現(xiàn)和制裁違法行為， 維護(hù)法律秩序。?參見(jiàn)周漢華： 《個(gè)人信息保護(hù)的法律定位》， 載 《法商研究》 2020年第3 期， 第52 頁(yè)。同時(shí)， 作為公法權(quán)利， 國(guó)家有義務(wù)建立事前事中政府監(jiān)管和行政執(zhí)法制度， 通過(guò)權(quán)利受侵害前的執(zhí)法發(fā)現(xiàn)違法行為并對(duì)其予以制裁。 另外， 將個(gè)人信息權(quán)作為基本權(quán)利進(jìn)行保護(hù)， 不排斥民事救濟(jì)， 兩者可以共同應(yīng)對(duì)個(gè)人信息權(quán)的現(xiàn)實(shí)保護(hù)需求。

三、 以法律的形式規(guī)范人臉信息處理

以何種法的形式為行政機(jī)關(guān)處理人臉信息提供規(guī)范供給， 實(shí)為應(yīng)由哪個(gè)位階上的法來(lái)規(guī)定的問(wèn)題。 根據(jù)行政法定原則， 至少存在 “人大保留” “可授權(quán)的法律保留” “非授權(quán)的法規(guī)和規(guī)章保留”三個(gè)層次。?參見(jiàn)楊登峰： 《行政法定原則及其法定范圍》， 載 《中國(guó)法學(xué)》 2014年第3 期， 第93 頁(yè)?！叭舜蟊Ａ簟?的法的形式是全國(guó)人大及其常委會(huì)制定的法律， “可授權(quán)的法律保留” 的法的形式是全國(guó)人大及其常委會(huì)授權(quán)國(guó)務(wù)院制定的行政法規(guī)， “非授權(quán)的法規(guī)和規(guī)章保留” 的法的形式是國(guó)務(wù)院根據(jù)其職權(quán)制定的行政法規(guī)、 政府規(guī)章以及地方人大制定的地方性法規(guī)。 那么， 公共行政中人臉信息處理的保留應(yīng)位于哪一層次？ 是應(yīng)該以法律的形式對(duì)其予以法定， 還是以授權(quán)性行政法規(guī)對(duì)其予以法定， 抑或以職權(quán)性行政法規(guī)、 地方性法規(guī)、 規(guī)章對(duì)其予以法定？

要對(duì)此進(jìn)行回答， 可以從兩個(gè)維度來(lái)討論： 第一個(gè)維度是權(quán)益維度， 即規(guī)范對(duì)象、 權(quán)益及其所受限制， 也即行政機(jī)關(guān)對(duì)人臉信息的處理行為及其所觸及的權(quán)益； 第二個(gè)維度是立法維度， 人大立法與行政立法在公民權(quán)益保護(hù)上存在差異。 下文將使用前文討論的人臉信息處理所觸及權(quán)益的結(jié)論， 先將“非授權(quán)的法規(guī)和規(guī)章保留” 從行政法定的三個(gè)層次中予以排除； 通過(guò)討論人大立法與行政立法在權(quán)益保護(hù)上的差異， 將“可授權(quán)的法律保留” 從剩下的兩個(gè)層次中予以排除， 從而將公共行政領(lǐng)域的人臉信息處理劃入“人大保留” 之中， 明定公共行政中人臉信息處理的法定形式。

（一） 非授權(quán)的法規(guī)和規(guī)章的排除

非授權(quán)的法規(guī)和規(guī)章， 在行政機(jī)關(guān)對(duì)人臉信息的處理行為觸及的權(quán)益和法律本身優(yōu)勢(shì)的雙重作用下被排除出行政法定的“非授權(quán)的法規(guī)和規(guī)章保留” 層次。

前文已述， 公共行政中人臉信息處理所影響的公民權(quán)益具有基本權(quán)利的性質(zhì)。 我們知道， 與基本權(quán)利的實(shí)現(xiàn)與行使有密切關(guān)系的行政活動(dòng)， 是重要的行政活動(dòng)， 應(yīng)當(dāng)留予由人民代表組成的國(guó)會(huì)立法者以法律規(guī)定之。?參見(jiàn)翁岳生編： 《行政法》 （上冊(cè)）， 中國(guó)法制出版社2009年版， 第196 頁(yè)。行政機(jī)關(guān)對(duì)人臉信息的處理行為， 與身體權(quán)和個(gè)人信息權(quán)的實(shí)現(xiàn)有密切關(guān)系， 因而應(yīng)當(dāng)以法律的形式予以保留。 這里的法律是指狹義的法律， 即全國(guó)人民代表大會(huì)及其常委會(huì)制定的法律，?參見(jiàn)王柱國(guó)： 《依法行政原則之 “法” 的反思》， 載 《法商研究》 2012年第1 期， 第131-136 頁(yè)。最多包括授權(quán)性行政法規(guī)。?前引?， 楊登峰文， 第94 頁(yè)。與基本權(quán)利的實(shí)現(xiàn)與行使有密切關(guān)系的行政活動(dòng)， 之所以由全國(guó)人民代表組成的代議機(jī)關(guān)以法律的形式來(lái)規(guī)定， 除了行政活動(dòng)與基本權(quán)利的密切關(guān)系，還有法律本身具有的相對(duì)于其他立法的特點(diǎn)。 這些特點(diǎn)使得法律具有幫助基本權(quán)利實(shí)現(xiàn)的優(yōu)勢(shì)， 以達(dá)到形式與內(nèi)容合比例性的要求。

在我國(guó)， 相對(duì)于行政立法， 法律具有三個(gè)比較優(yōu)勢(shì)， 分別是更廣泛的民意基礎(chǔ)、 制定程序的正式謹(jǐn)慎和公開(kāi)透明。 第一， 相對(duì)于行政立法， 法律具有更廣泛的民意基礎(chǔ)。 眾所周知， 我國(guó)法律的制定由全國(guó)人民代表大會(huì)及其常委會(huì)負(fù)責(zé)， 而全國(guó)人民代表大會(huì)由民主選舉產(chǎn)生。 全國(guó)人民代表大會(huì)代表全體選民的意志， 制定的法律也具有非常廣泛的民意基礎(chǔ)。 相對(duì)地， 行政立法由行政機(jī)關(guān)負(fù)責(zé)， 而行政機(jī)關(guān)是由人民代表大會(huì)產(chǎn)生的權(quán)力機(jī)關(guān)， 其所反映的民意基礎(chǔ)較為狹窄。 行政機(jī)關(guān)制定的法規(guī)和規(guī)章， 也不是各方代表協(xié)商合意的結(jié)果， 而是行政機(jī)關(guān)內(nèi)部決議的結(jié)果。 這從《行政法規(guī)制定程序條例》 第二十六條和《規(guī)章制定程序條例》 第二十七條即可看出。?《行政法規(guī)制定程序條例》 第二十六條規(guī)定： “行政法規(guī)草案由國(guó)務(wù)院常務(wù)會(huì)議審議， 或者由國(guó)務(wù)院審批?！?《規(guī)章制定程序條例》 第二十七條規(guī)定： “部門(mén)規(guī)章應(yīng)當(dāng)經(jīng)部務(wù)會(huì)議或者委員會(huì)會(huì)議決定。 地方政府規(guī)章應(yīng)當(dāng)經(jīng)政府常務(wù)會(huì)議或者全體會(huì)議決定?！?/p>

第二， 相對(duì)于行政立法， 法律制定程序更正式、 謹(jǐn)慎。 根據(jù) 《中華人民共和國(guó)立法法》 （以下簡(jiǎn)稱(chēng)《立法法》）， 全國(guó)人大及其常委會(huì)制定法律一般要經(jīng)過(guò)法律案的提出、 審議、 表決和公布四個(gè)階段。 每個(gè)階段又有其煩瑣的程序。?比如在法律審議階段， 全國(guó)人大審議法律案時(shí)一般會(huì)歷經(jīng)如下程序： 會(huì)議前將法律草案發(fā)給代表， 大會(huì)全體會(huì)議聽(tīng)取法律草案說(shuō)明， 各代表團(tuán)全體審議法律案， 有關(guān)的專(zhuān)門(mén)委員會(huì)審議法律案， 法律委員會(huì)統(tǒng)一審議法律案并提出法律草案修改稿；全國(guó)人大審議法律案一般經(jīng)過(guò)一次會(huì)議審議后就可以交付表決， 而全國(guó)人大常委會(huì)審議則一般需經(jīng)過(guò)三次會(huì)議審議后才可交付表決， 每次審議都有其不同的審議分工。相較之下， 行政立法作為行政機(jī)關(guān)進(jìn)行行政管理的一種方式，一般是為了行政管理而存在， 因此， 行政立法程序更為簡(jiǎn)便、 靈活， 更注重效率。?參見(jiàn)孫波： 《行政立法研究》， 吉林人民出版社2019年版， 第49 頁(yè)。

第三， 相對(duì)于行政立法， 法律制定程序的公開(kāi)透明度更高。 在法律制定過(guò)程中， 應(yīng)公開(kāi)的文件有立法規(guī)劃和年度立法計(jì)劃，?參見(jiàn) 《立法法》 第五十六條。以及法律制定、 修改時(shí)的法律草案及其起草、 修改的說(shuō)明；?參見(jiàn) 《立法法》 第四十條。在公開(kāi)的載體上， 除全國(guó)人大常委會(huì)公報(bào)和在全國(guó)范圍內(nèi)發(fā)行的報(bào)紙， 還有中國(guó)人大網(wǎng)這一網(wǎng)絡(luò)平臺(tái)， 以便民眾查詢。 不僅如此， 全國(guó)人民代表大會(huì)會(huì)議議程、日程、 會(huì)議情況也要公布。 相比較而言， 行政立法的公開(kāi)透明度則較低。 在行政立法過(guò)程中， 相關(guān)條例雖然規(guī)定了行政法規(guī)、 規(guī)章制定項(xiàng)目建議的公開(kāi)征集， 國(guó)務(wù)院年度立法工作計(jì)劃、年度規(guī)章制定工作計(jì)劃、 行政法規(guī)和規(guī)章草案及其說(shuō)明的公布，?參見(jiàn) 《行政法規(guī)制定程序條例》 第八條、 第九條、 第十三條、 第二十條、 第二十七條、 第二十八條、 第三十一條； 《規(guī)章制定程序條例》 第十條、 第十二條、 第十五條、 第二十一條、 第二十九條、 第三十一條。但是又比較尊重行政系統(tǒng)的決定， 致使行政立法的公開(kāi)透明度較低。?比如， 在規(guī)則制定項(xiàng)目建議的公開(kāi)征集上， 相關(guān)機(jī)構(gòu) “可以” 公開(kāi)征集， 那么是否公開(kāi)征集就取決于相關(guān)機(jī)構(gòu)的自我決定；在行政法規(guī)的起草階段， 起草部門(mén)應(yīng)當(dāng)公布草案及其說(shuō)明， 但是附加了一個(gè)例外， 即經(jīng)國(guó)務(wù)院決定不公布的除外， 這就帶來(lái)對(duì)國(guó)務(wù)院決定是否公布的標(biāo)準(zhǔn)的困惑， 因此， 是否公布也取決于國(guó)務(wù)院的自我決定。

身體權(quán)和個(gè)人信息權(quán)的實(shí)現(xiàn)與行使， 需要與之相匹配的法規(guī)范進(jìn)行保護(hù)。 在法律與行政立法的對(duì)比中， 可以看到， 越充分的民意基礎(chǔ)和越正式、 透明的程序， 越有利于保護(hù)公民的重要權(quán)益。 身體權(quán)關(guān)乎人的身體尊嚴(yán)， 個(gè)人信息權(quán)也關(guān)乎人的尊嚴(yán)， 均屬公民重要權(quán)益， 具有更廣泛民意基礎(chǔ)和制定程序更正式透明的法律當(dāng)能承擔(dān)起保護(hù)身體權(quán)和個(gè)人信息權(quán)的任務(wù)。

相較于地方性法規(guī)的制定， 法律針對(duì)的是全國(guó)性事務(wù)。 全國(guó)性事務(wù)超越了地方性， 具有全國(guó)范圍的普遍性， 這是具有地方性特點(diǎn)的地方人大立法所不能涵蓋的。 概括地說(shuō)， 地方人大立法主要有三類(lèi)， 一是為在本行政區(qū)域內(nèi)執(zhí)行法律、 行政法規(guī)而為的實(shí)施性立法， 二是針對(duì)地方性事務(wù)的創(chuàng)制性立法， 三是就尚未制定法律和行政法規(guī)的事項(xiàng)先行先試立法。 這三類(lèi)地方法規(guī)， 無(wú)一例外地體現(xiàn)了地方性。 毫無(wú)疑問(wèn)， 公共行政領(lǐng)域人臉信息處理活動(dòng)屬于全國(guó)性事務(wù)的范圍， 因?yàn)樗皇悄车氐奶厥馐聞?wù)， 而是各地具有共性的全局性事務(wù)。 與它相關(guān)的地方人大立法是后兩類(lèi)， 即創(chuàng)制性立法和先行先試立法。 就創(chuàng)制性立法而言， 創(chuàng)制性立法是針對(duì)地方性事務(wù)的。 至于何為地方性事務(wù)， 地方性事務(wù)的范圍為何， 目前尚未確定。?有關(guān)地方性事務(wù)的研究成果， 可參見(jiàn)孫波： 《論地方性事務(wù)——我國(guó)中央與地方關(guān)系法治化的新進(jìn)展》， 載 《法制與社會(huì)發(fā)展》 2008年第5 期， 第50-59 頁(yè)； 葉必豐： 《論地方事務(wù)》， 載 《行政法學(xué)研究》 2018年第1 期， 第16-27 頁(yè)； 俞祺： 《 論立法中的 “地方性事務(wù)”》， 載 《 法商研究》 2021年第4 期， 第116-129 頁(yè)。但至少可以明確的一點(diǎn)是， 地方性事務(wù)具有地方性特點(diǎn)。 地方性這一點(diǎn)就可將公共行政領(lǐng)域人臉信息的處理活動(dòng)排除出地方性事務(wù)的范圍。 再看先行先試立法。 先行先試立法， 作為一種試驗(yàn)立法， 它是為了給全國(guó)統(tǒng)一立法積累經(jīng)驗(yàn)， 是一種與正式立法相對(duì)應(yīng)的立法路徑。 這里討論的是公共行政領(lǐng)域人臉信息的處理活動(dòng)應(yīng)該由法律還是地方性法規(guī)進(jìn)行規(guī)范， 與“先試驗(yàn)立法后正式立法” 的立法進(jìn)路是兩個(gè)問(wèn)題。 因此， 公共行政領(lǐng)域人臉信息處理活動(dòng)沒(méi)有落入地方人大創(chuàng)制性立法的范圍， 并且， 與先行先試立法這一立法進(jìn)路處于不同的問(wèn)題域。由此可得， 行政機(jī)關(guān)處理人臉信息的活動(dòng)， 不應(yīng)由地方性法規(guī)進(jìn)行規(guī)定。

既然行政機(jī)關(guān)對(duì)人臉信息的處理行為落入法律保留的范圍， 那么就排除了地方性法規(guī)、 地方政府規(guī)章、 部門(mén)規(guī)章和職權(quán)性行政法規(guī)的保留， 即排除了 “非授權(quán)的法規(guī)和規(guī)章保留”。 在法律保留的層次中， 還有“人大保留” 和“可授權(quán)的法律保留” 兩個(gè)層次。 那么， 公共行政中人臉信息處理應(yīng)該適用“人大保留”， 還是“可授權(quán)的法律保留”？

（二） 授權(quán)性行政法規(guī)的排除

國(guó)務(wù)院在制定授權(quán)性行政法規(guī)時(shí)， 其權(quán)限并非來(lái)自憲法上的固有權(quán)限， 而是來(lái)自立法權(quán)的授權(quán)。 國(guó)務(wù)院先制定授權(quán)性行政法規(guī)， 全國(guó)人大及其常委會(huì)后制定法律， 即“先行政機(jī)關(guān)立法， 后代議機(jī)關(guān)立法”， 這種立法進(jìn)路已經(jīng)得到我國(guó) 《立法法》 的確認(rèn)。?《立法法》 第十二條規(guī)定： “本法第十一條規(guī)定的事項(xiàng)尚未制定法律的， 全國(guó)人民代表大會(huì)及其常務(wù)委員會(huì)有權(quán)作出決定，授權(quán)國(guó)務(wù)院可以根據(jù)實(shí)際需要， 對(duì)其中的部分事項(xiàng)先制定行政法規(guī)， 但是有關(guān)犯罪和刑罰、 對(duì)公民政治權(quán)利的剝奪和限制人身自由的強(qiáng)制措施和處罰、 司法制度等事項(xiàng)除外。”但是， 《立法法》 沒(méi)有完全明確在什么情況下國(guó)務(wù)院應(yīng)得到全國(guó)人大及其常委會(huì)的立法授權(quán)。?雖然 《立法法》 第十二條規(guī)定， “有關(guān)犯罪和刑罰、 對(duì)公民政治權(quán)利的剝奪和限制人身自由的強(qiáng)制措施和處罰、 司法制度等事項(xiàng)除外”， 但是 “等” 字的表述致使授權(quán)的事項(xiàng)不甚明確。根據(jù) 《立法法》 第十二條， 行政機(jī)關(guān)對(duì)人臉信息的處理活動(dòng)是否屬于可授權(quán)的事項(xiàng)尚不明確。 雖然《立法法》 第十一條和第十二條關(guān)于法律保留的規(guī)定存在一些不足， 比如防范行政立法越界和保障基本權(quán)利免受行政立法侵害的失能，?參見(jiàn)劉連泰： 《評(píng)我國(guó) 〈立法法〉 第八條、 第九條關(guān)于 “法律保留” 制度》， 載 《河南省政法管理干部學(xué)院學(xué)報(bào)》 2003年第3 期， 第105-106 頁(yè)； 康敬奎： 《〈立法法〉 法律保留規(guī)則的缺失與完善》， 載 《江海學(xué)刊》 2012年第2 期， 第136 頁(yè)； 羅智敏： 《論行政許可中保證金的設(shè)定問(wèn)題》， 載 《中國(guó)法學(xué)》 2014年第5 期， 第129-130 頁(yè)。但是， 這些不足不應(yīng)該掩蓋法律保留本身的價(jià)值。 行政機(jī)關(guān)對(duì)人臉信息的處理行為， 究竟應(yīng)歸入法律保留中的 “人大保留” 還是 “可授權(quán)的法律保留”， 還是可以回到行政立法和全國(guó)人大及其常委會(huì)立法的差異這一點(diǎn)上？ 因?yàn)樾姓C(jī)關(guān)在取得授權(quán)之后制定授權(quán)性行政法規(guī)時(shí)， 授權(quán)性行政法規(guī)在制定主體和制定程序等方面與職權(quán)性行政法規(guī)并無(wú)不同。

由前文可知， 相對(duì)于行政立法， 法律制定有更廣泛的民意基礎(chǔ)， 程序更正式、 謹(jǐn)慎， 也更公開(kāi)透明。 就民意基礎(chǔ)來(lái)說(shuō)， 雖然國(guó)務(wù)院制定授權(quán)性行政法規(guī)的權(quán)限來(lái)自全國(guó)人大及其常委會(huì)的立法權(quán)， 但是， 授權(quán)性行政法規(guī)的實(shí)際制定主體畢竟不是全國(guó)人大及其常委會(huì)。 國(guó)務(wù)院在制定行政法規(guī)的過(guò)程中， 也無(wú)法全然排除實(shí)際制定主體的意志。 就制定程序而言， 國(guó)務(wù)院在得到授權(quán)后， 制定授權(quán)性行政法規(guī)的程序與制定職權(quán)性行政法規(guī)的程序一致， 都適用《行政法規(guī)制定程序條例》。 因此，在行政機(jī)關(guān)處理人臉信息的場(chǎng)景下， 身體權(quán)和個(gè)人信息權(quán)的保障， 還是由法律來(lái)承擔(dān)更為合適。

相對(duì)于法律的制定， 行政立法具有專(zhuān)業(yè)性和靈活性的優(yōu)勢(shì)， 因而行政機(jī)關(guān)的立法事項(xiàng)也應(yīng)是與此相匹配的事項(xiàng)， 而行政機(jī)關(guān)處理人臉信息與行政立法的專(zhuān)業(yè)性和靈活性并不匹配。 在自由資本主義時(shí)期， 并沒(méi)有行政立法。 到了19 世紀(jì)末20 世紀(jì)初， 行政內(nèi)容日趨專(zhuān)業(yè)化、 多樣化， 議會(huì)沒(méi)有足夠時(shí)間和足夠?qū)I(yè)能力去制定細(xì)微縝密的規(guī)范， 而行政機(jī)關(guān)則可以承擔(dān)起這一任務(wù)。 因此， 行政立法興起的緣由之一就在于行政立法的專(zhuān)業(yè)性和靈活性。 時(shí)至今日， 專(zhuān)業(yè)性和靈活性仍是行政立法的優(yōu)勢(shì)。 既然行政立法具有專(zhuān)業(yè)性和靈活性， 那么行政機(jī)關(guān)的立法事項(xiàng)也應(yīng)是與此相匹配的事項(xiàng)。有學(xué)者就主張， 應(yīng)將全國(guó)人大及其常委會(huì)無(wú)法勝任的專(zhuān)業(yè)性事務(wù)和短期內(nèi)無(wú)法制定而社會(huì)又必需的事務(wù)， 作為國(guó)務(wù)院得到全國(guó)人大及其常委會(huì)授權(quán)的事務(wù)。?前引?， 劉連泰文， 第107 頁(yè)。從行政立法的專(zhuān)業(yè)性和靈活性角度來(lái)看，行政機(jī)關(guān)處理人臉信息行為還是宜由法律來(lái)規(guī)范。

至此， 對(duì)于行政機(jī)關(guān)處理人臉信息的法定形式， 授權(quán)性行政法規(guī)被排除。 行政機(jī)關(guān)處理人臉信息， 只能由全國(guó)人大及其常委會(huì)制定法律作出規(guī)定。

四、 以全過(guò)程義務(wù)限制人臉信息處理

在討論了應(yīng)以法律的形式規(guī)范人臉信息處理之后， 還須討論法律應(yīng)如何規(guī)定才能達(dá)到實(shí)質(zhì)合法的要求。 因?yàn)榉ㄖ蔚膶?shí)現(xiàn)不僅要求法形式合法， 還要求法作出的規(guī)定合法。 具體到人臉信息處理，法律的內(nèi)容要實(shí)質(zhì)合法， 就須考慮到兩點(diǎn)： 一是人臉信息處理的過(guò)程性， 二是此過(guò)程中行政機(jī)關(guān)的強(qiáng)勢(shì)地位。 因此， 自行政機(jī)關(guān)收集人臉信息開(kāi)始， 就應(yīng)為行政機(jī)關(guān)設(shè)置義務(wù)， 作為其行為依據(jù)。 人臉信息處理的過(guò)程可大致劃分為收集階段和之后的利用階段。 在收集階段， 法律應(yīng)側(cè)重設(shè)置人臉信息收集的條件， 主要是依據(jù)有限之目的進(jìn)行收集； 在利用階段中， 行政機(jī)關(guān)主要需要保持使用目的與收集目的的一致性， 保障人臉信息安全和保障個(gè)人程序性參與。 其中， 人臉信息安全保障義務(wù)可適用《個(gè)人信息保護(hù)法》 第五十一條的已有規(guī)定， 所以下文主要討論人臉信息處理全過(guò)程中的有限收集義務(wù)、 有限使用義務(wù)和個(gè)人參與保障義務(wù)。

（一） 有限收集義務(wù)

一般情況下， 法律宜禁止人臉信息收集， 但是為了更重要的公共利益， 可以在特定條件下解禁人臉信息收集。 因此， 行政機(jī)關(guān)的有限收集義務(wù)， 即指面對(duì)法律在收集階段設(shè)置的有限條件， 行政機(jī)關(guān)只有在滿足這些條件時(shí)方能進(jìn)行收集， 不得隨意收集。 概括地說(shuō)， 公共利益是行政機(jī)關(guān)收集的概括條件。 這在Edward Bridges 訴南威爾士警察局局長(zhǎng)與英國(guó)內(nèi)政大臣一案?參見(jiàn)英國(guó)高等法院于2019年9月4日的判決R (Bridges) v CCSWP and SSHD， https: //www.judiciary.uk/wp-content/uploads/2019/09/bridges-swp-judgment-Final03-09-19-1.pdf.得到法院的肯認(rèn)。

然而， 眾所周知， 公共利益是一個(gè)模糊性概念， 不要期望給它下一個(gè)一勞永逸的定義，?參見(jiàn)[英] 邁克·費(fèi)恩塔克： 《規(guī)制中的公共利益》， 戴昕譯， 中國(guó)人民大學(xué)出版社2014年版， 第32 頁(yè)。因此，人臉信息收集條件就不能止步于此， 而應(yīng)是明確的、 具體的。 有學(xué)者認(rèn)為， 公共利益的模糊性以及由此產(chǎn)生的廣泛適應(yīng)性正是被需要的。?參見(jiàn)梁上上： 《公共利益與利益衡量》， 載 《政法論壇》 2016年第6 期， 第4 頁(yè)。這在民法上尚且可行， 因?yàn)榱⒎ú荒芎w所有可能性， 需要使用公共利益條款以適應(yīng)現(xiàn)實(shí)情況的變化。 但是在公法上， 公共利益的模糊性以及由此產(chǎn)生的廣泛適應(yīng)性實(shí)際上擴(kuò)大了政府行為的權(quán)限。 所有擁有權(quán)力的人都有濫用權(quán)力的傾向， 這條經(jīng)驗(yàn)亙古不變， 有權(quán)力的人會(huì)使用權(quán)力直到遇到有界限的地方才停止。?參見(jiàn)[法] 孟德斯鳩： 《論法的精神》 （上冊(cè)）， 張雁深譯， 商務(wù)印書(shū)館1959年版， 第87 頁(yè)。同樣， 行政機(jī)關(guān)收集人臉信息也可能因公共利益這一模糊授權(quán)而擴(kuò)張至權(quán)力可觸及的所有領(lǐng)域。 現(xiàn)實(shí)中行政機(jī)關(guān)應(yīng)用人臉識(shí)別系統(tǒng)收集人臉信息的領(lǐng)域呈現(xiàn)擴(kuò)大趨勢(shì)在一定程度上也說(shuō)明了此問(wèn)題。 明確的、 具體的收集條件則會(huì)避免模糊目的帶來(lái)的收集范圍廣泛?jiǎn)栴}。 收集條件也是域外個(gè)人信息保護(hù)立法涉及的內(nèi)容， 在形式上也是通過(guò)立法列舉達(dá)到了明確和具體的標(biāo)準(zhǔn)。?德國(guó) 《聯(lián)邦數(shù)據(jù)保護(hù)法》 就規(guī)定了公共機(jī)構(gòu)處理特殊類(lèi)型個(gè)人數(shù)據(jù) （包括人臉信息） 的目的。 如為了行使社會(huì)保障和社會(huì)保護(hù)權(quán)所產(chǎn)生的權(quán)利和履行有關(guān)義務(wù)， 必須進(jìn)行處理； 出于公共衛(wèi)生領(lǐng)域公共利益的考慮， 有必要進(jìn)行處理； 基于重大公共利益， 迫切需要處理。 類(lèi)似的還有歐盟 《統(tǒng)一數(shù)據(jù)保護(hù)條例》。

人臉信息收集條件除了形式上的明確和具體， 更為重要的是實(shí)質(zhì)上的標(biāo)準(zhǔn)。 實(shí)質(zhì)上的標(biāo)準(zhǔn)是確定人臉信息具體收集條件的準(zhǔn)則， 是人臉信息具體收集條件的內(nèi)核。 行政機(jī)關(guān)收集人臉信息， 當(dāng)然是為了履行其職權(quán)， 實(shí)現(xiàn)公共利益。 不過(guò)， 職權(quán)的履行并非都需處理人臉信息才可達(dá)成。 實(shí)際上，只有符合比例原則， 人臉信息處理才應(yīng)被允許。 根據(jù)比例原則的要求， 處理人臉信息要適于特定職能目標(biāo)的達(dá)成， 與其他適于職權(quán)目標(biāo)達(dá)成的手段相比， 處理人臉信息對(duì)權(quán)益造成的損害要最小， 且處理人臉信息所實(shí)現(xiàn)的利益要與其所造成的損害成比例。 因此， 在設(shè)置收集條件時(shí)， 至少應(yīng)在滿足比例原則的前提下使收集條件達(dá)到相對(duì)于公共利益概念的明確具體， 也就是說(shuō)， 具體行政任務(wù)的達(dá)成與人臉信息處理之間須完成比例原則的檢驗(yàn)。

（二） 有限使用義務(wù)

在使用階段， 行政機(jī)關(guān)負(fù)有有限使用的義務(wù)， 主要是保持使用目的與收集目的的一致。 行政機(jī)關(guān)在收集人臉信息之后， 使用人臉信息應(yīng)受到收集目的的拘束， 確保使用目的與收集目的保持一致。 這是目的拘束原則的要求。 目的拘束原則在個(gè)人信息保護(hù)上具有重要地位， 有學(xué)者稱(chēng)之為個(gè)人信息保護(hù)法上的帝王原則。?參見(jiàn)李惠宗： 《個(gè)人資料保護(hù)法上的帝王條款——目的拘束原則》， 載 《法令月刊》 2013年第1 期， 第37 頁(yè)。目的拘束原則的基本意義在于， 只有在合法目的下才允許收集及利用與個(gè)人有關(guān)的資料， 同時(shí)， 也只有在合法情形下才能為目的外之利用。?參見(jiàn)洪家殷： 《公務(wù)機(jī)關(guān)資料之收集與個(gè)人資料之保護(hù)》， 載 《東吳法律學(xué)報(bào)》 2019年第4 期， 第45 頁(yè)。人臉信息屬于個(gè)人信息，必須適用個(gè)人信息保護(hù)法的目的拘束原則， 在使用時(shí)要受收集目的拘束， 在收集目的范圍內(nèi)使用。

一般情況下， 行政機(jī)關(guān)使用人臉信息之目的應(yīng)與收集目的保持一致， 但是也存在特殊情況下的例外。 特殊情況下， 在收集目的之外使用人臉信息應(yīng)被容許， 不過(guò)應(yīng)受到嚴(yán)格的限制。 德國(guó)《聯(lián)邦數(shù)據(jù)保護(hù)法》 允許數(shù)據(jù)控制者以收集之外的目的利用個(gè)人數(shù)據(jù)， 同時(shí)， 也嚴(yán)格設(shè)置了限定條件。 該法第23 條規(guī)定了公共機(jī)構(gòu)為履行職責(zé)， 在特定情況下可以收集目的之外的目的處理特殊類(lèi)別的個(gè)人數(shù)據(jù)， 對(duì)特殊類(lèi)別個(gè)人數(shù)據(jù)的使用目的進(jìn)行了限制， 以及對(duì)處理的必要性作了要求。?德國(guó) 《聯(lián)邦數(shù)據(jù)保護(hù)法》 第23 條規(guī)定了收集目的之外的目的之內(nèi)容。 比如， 符合數(shù)據(jù)主體的利益且沒(méi)有理由認(rèn)為數(shù)據(jù)主體知情另一目的時(shí)會(huì)拒絕同意； 有理由相信數(shù)據(jù)主體提供的信息不正確因而有必要核查； 為了防止對(duì)公共利益造成重大損害或?qū)舶踩?國(guó)防或國(guó)家安全造成威脅， 或?yàn)榱舜_保稅收和關(guān)稅收入， 有必要進(jìn)行處理。該法第49條規(guī)定， “如果個(gè)人數(shù)據(jù)的另一目的是第45 條所列目的之一， 則允許為收集個(gè)人數(shù)據(jù)的目的以外的其他目的處理個(gè)人數(shù)據(jù)， 數(shù)據(jù)控制者有權(quán)為了此目的處理個(gè)人數(shù)據(jù)， 而且處理是必要的， 并與此目的相稱(chēng)。 如果法律允許， 應(yīng)允許為第45 條未列出的其他目的處理個(gè)人數(shù)據(jù)”， 該條款從處理目的、處理的必要性以及與處理目的相稱(chēng)性對(duì)為收集目的之外的目的處理個(gè)人數(shù)據(jù)進(jìn)行了更嚴(yán)格的限定。具體而言， 處理目的必須是第45 條所列目的或者是法律允許的第45 條未列的其他目的。 第45 條所列目的是預(yù)防、 調(diào)查、 偵查或起訴刑事犯罪或行政違法或者執(zhí)行刑事或行政處罰任務(wù)， 這些目的關(guān)涉社會(huì)公共安全、 國(guó)家安全等公共利益， 也涉及特定個(gè)人的基本權(quán)利和自由， 屬于重要的目的。這些目的與第23 條所列目的不同， 第23 條所列目的是履行預(yù)防、 調(diào)查、 偵查或起訴刑事犯罪或行政違法或者執(zhí)行刑事或行政處罰職責(zé)之外的職責(zé)。 處理的必要性要求處理個(gè)人信息時(shí)要對(duì)個(gè)人權(quán)益的侵害最小， 與處理目的的相稱(chēng)性要求處理個(gè)人數(shù)據(jù)對(duì)個(gè)人權(quán)益造成的侵害要與處理個(gè)人數(shù)據(jù)所實(shí)現(xiàn)的目的成比例。 人臉信息是個(gè)人信息中的生物特征信息和敏感信息， 為收集目的外之目的進(jìn)行使用， 應(yīng)該嚴(yán)格限定使用目的， 必須滿足必要性原則， 以及所欲實(shí)現(xiàn)的利益應(yīng)該超過(guò)人臉信息使用所帶來(lái)的對(duì)權(quán)益的侵害。

（三） 個(gè)人參與保障義務(wù)

由于自然人是人臉信息的產(chǎn)生主體， 行政機(jī)關(guān)應(yīng)該保證信息主體參與到信息處理過(guò)程之中， 保障個(gè)人在人臉信息處理過(guò)程中享有并實(shí)現(xiàn)個(gè)人信息權(quán)的具體權(quán)利樣態(tài)。 因?yàn)閭€(gè)人信息處理不當(dāng)會(huì)對(duì)信息主體造成損害， 為了避免這種損害的發(fā)生， 還需要增強(qiáng)個(gè)人的自我防御能力， 賦予個(gè)人參與處理過(guò)程的權(quán)利和能力。 個(gè)人通過(guò)請(qǐng)求行政機(jī)關(guān)保障其參與， 以維護(hù)自己的切身利益。

關(guān)于個(gè)人信息權(quán)的具體權(quán)利樣態(tài)， 在 《個(gè)人信息保護(hù)法》 出臺(tái)之前， 學(xué)者各有觀點(diǎn)；?參見(jiàn)齊愛(ài)民： 《中華人民共和國(guó)個(gè)人信息保護(hù)法學(xué)者建議稿》， 載 《河北法學(xué)》 2019年第1 期， 第36 頁(yè)； 張新寶、 葛鑫：《個(gè)人信息保護(hù)法 （專(zhuān)家建議稿） 及立法理由書(shū)》， 中國(guó)人民大學(xué)出版社2021年版； 周漢華： 《個(gè)人信息保護(hù)的法律定位》，載 《法商研究》 2020年第3 期， 第53 頁(yè)。在其出臺(tái)之后， 個(gè)人信息權(quán)包括了知情權(quán)、 決定權(quán)、 查閱權(quán)、 復(fù)制權(quán)、 更正補(bǔ)充權(quán)、 刪除權(quán)。 從數(shù)據(jù)處理的全過(guò)程來(lái)看， 信息主體享有的知情權(quán)， 是后續(xù)參與的前提， 決定權(quán)、 查閱權(quán)、 更正補(bǔ)充權(quán)、 刪除權(quán)保障信息主體享有一定的對(duì)處理過(guò)程的控制能力， 這種控制能力能在一定程度上抑制處理的隨意性。 然而， 人臉信息不同于一般個(gè)人信息， 具有獨(dú)一無(wú)二性和高度敏感性， 對(duì)人臉信息的處理是一般禁止的， 只有在滿足法律規(guī)定的處理?xiàng)l件下， 行政機(jī)關(guān)才能為人臉信息的收集、 使用等行為。 那么， 人臉信息處理過(guò)程中的個(gè)人信息權(quán)的具體權(quán)利樣態(tài)就與在一般個(gè)人信息處理過(guò)程中呈現(xiàn)的樣態(tài)不完全一致。 在人臉信息處理過(guò)程中， 個(gè)人信息權(quán)的具體權(quán)利樣態(tài)， 就不應(yīng)包括立基于信息主體自由意志的決定權(quán)和刪除權(quán)。 由此， 行政機(jī)關(guān)保證信息主體參與數(shù)據(jù)處理過(guò)程， 具體來(lái)說(shuō)， 就是要履行通知義務(wù)， 保障信息主體的查閱權(quán)、 更正補(bǔ)充權(quán)。

行政機(jī)關(guān)履行通知義務(wù)時(shí)， 要注意通知的形式、 內(nèi)容、 期限。 在通知的形式上， 行政機(jī)關(guān)應(yīng)通過(guò)清晰易懂的語(yǔ)言， 采用簡(jiǎn)潔明了、 易獲得的形式。 通知的內(nèi)容， 應(yīng)包括行政機(jī)關(guān)使用人臉識(shí)別的目的， 信息主體如何獲得關(guān)于人臉識(shí)別的附加信息， 包括但不限于告知適用的在線通知、 條款或政策的網(wǎng)站鏈接， 關(guān)于信息主體在何處及如何行使相關(guān)權(quán)利的信息。 通知的期限是對(duì)通知義務(wù)履行的時(shí)間要求， 也必須加以明確， 防止行政機(jī)關(guān)怠于履行或不履行通知義務(wù)。

行政機(jī)關(guān)在處理人臉信息的過(guò)程中， 個(gè)人有權(quán)查詢自己的人臉信息被收集、 使用的情況， 行政機(jī)關(guān)要保障個(gè)人查詢權(quán)的行使。 行政機(jī)關(guān)在保障個(gè)人查詢權(quán)行使時(shí)， 要注意查詢的費(fèi)用、 時(shí)間、 地點(diǎn)、 內(nèi)容、 答復(fù)的方式和期限。 公民請(qǐng)求查詢時(shí)， 行政機(jī)關(guān)應(yīng)免費(fèi)為公民提供查詢， 除非查詢請(qǐng)求明顯不合理， 或者行政機(jī)關(guān)通過(guò)合理努力無(wú)法確定查詢請(qǐng)求是由其本人提出的。 查詢的時(shí)間、 地點(diǎn)應(yīng)以方便公民的目的進(jìn)行合理確定， 不為公民行使查詢權(quán)設(shè)置負(fù)擔(dān)。 就查詢的內(nèi)容而言， 應(yīng)該包括人臉信息是否被收集、 處理的目的、 傳輸?shù)牡谌降南嚓P(guān)情況。 對(duì)于公民的查詢請(qǐng)求， 答復(fù)方式應(yīng)是簡(jiǎn)潔明了、 清晰易讀的， 方便公民理解所答復(fù)的內(nèi)容。 同時(shí)， 答復(fù)期限也是必須要予以明確的。

行政機(jī)關(guān)在處理人臉信息時(shí)， 還要保障公民更正補(bǔ)充權(quán)的行使。 對(duì)于有誤的人臉信息， 行政機(jī)關(guān)要依照個(gè)人的更正請(qǐng)求予以更正。

結(jié)語(yǔ)

就行政機(jī)關(guān)處理人臉信息活動(dòng)的立法規(guī)制而言， 一是探討規(guī)范行政機(jī)關(guān)處理人臉信息的法形式， 二是探討行政機(jī)關(guān)處理人臉信息的法內(nèi)容。 關(guān)于行政機(jī)關(guān)處理公民人臉信息的法形式， 本文主要思路是在行政法定的三個(gè)層次中依次排除“非授權(quán)的法規(guī)和規(guī)章保留” “可授權(quán)的法律保留”， 將行政機(jī)關(guān)處理人臉信息的法定形式落入“人大保留” 的范圍， 得出宜以法律的形式對(duì)行政機(jī)關(guān)處理人臉信息予以法定化的結(jié)論。 在對(duì)行政法定的三個(gè)層次進(jìn)行排除時(shí)， 先闡明行政機(jī)關(guān)處理人臉信息觸及的公民權(quán)益的基本權(quán)利性質(zhì)， 之后再探討哪種法的形式有助于這些公民權(quán)益的實(shí)現(xiàn)， 求得法的形式與法所保護(hù)的權(quán)益相匹配。 明確了適宜以狹義法律形式作出規(guī)定之后， 為促進(jìn)行政機(jī)關(guān)處理人臉信息活動(dòng)的合法性控制， 從處理全過(guò)程角度， 法律還須為行政機(jī)關(guān)設(shè)定人臉信息的有限收集義務(wù)、 有限使用義務(wù)以及個(gè)人參與保障義務(wù)。

對(duì)行政機(jī)關(guān)處理公民人臉信息的立法規(guī)制的探討， 是對(duì)科技發(fā)展背景下數(shù)字行政與公民權(quán)益保護(hù)的初步回應(yīng)， 更細(xì)致的制度尚需進(jìn)一步研究， 希望公民權(quán)益在科技發(fā)展的同時(shí)受到同步重視和制度因應(yīng)。