王亚楠,张琳琳

〔河北大学 法学院，河北 保定 071002〕

人脸识别技术在我们的生活中已随处可见，上班要刷脸打考勤卡，回家要刷脸进小区，出门要刷脸住酒店，甚至逛商场取厕纸都要刷脸。人脸识别技术给我们的生活带来了便利，但我们同时也应看到人脸信息权益面临的风险。数字经济的发展需要人脸信息，但资本的逐利性与人脸信息权益保护之间存在矛盾，需要法律加以调整。浙江理工大学郭兵副教授反对动物园收集人脸信息，一纸诉状将动物园告上法庭，(1)杭州市富阳区人民法院(2019)浙0111民初6971号判决书。劳东燕教授反对小区收集人脸信息，发表《人脸识别技术运用中的认知误区》一文，[1]还有男子戴头盔看房被称为无声的举报等，[2]此类事件反映了人们对人脸信息保护的强烈需求，商业利用中的人脸信息权益需要法律加以保护。

一、商业利用中人脸信息界定

人脸信息的概念在法律中没有明确规定，需要结合相关法律条文，根据学理对人脸信息的概念进行分析。《个人信息保护法(草案)》第4条规定：“个人信息是以电子或其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”人脸信息无疑是可识别的，所以人脸信息属于个人信息。根据欧盟《通用数据保护条例》(以下简称GDPR)第4条第14款规定：“生物识别性数据”指的是基于特别技术处理自然人的相关身体、生理或行为特征而得出的个人数据，这种个人数据能够识别或确定自然人的独特标识，例如脸部形象或指纹数据。因此，人脸信息也属于个人生物识别信息。本文认为人脸信息是指反映人的面部特征，具有可识别性的个人信息。

人脸信息具有公开性、易采集性和不可更改性，[3]在商业利用中容易出现特殊的侵权情形。

第一，侵犯知情同意权。人脸信息的过度采集使人脸信息主体的知情同意权渐趋失灵。一方面，人脸信息采集的隐蔽性侵犯了人脸信息主体的知情权，采集人脸信息对被采集者的配合度要求不高，只要是带有摄像头的设备基本上都可以完成人脸信息的采集，人脸信息何时被采集、被谁采集、被用于何处，人脸信息主体无从知晓。另一方面，商业主体采集人脸信息要么不经同意，要么利用技术手段迫使人脸信息主体同意采集，侵犯了人脸信息主体的同意权。

第二，侵犯人格权。[4]现在人脸信息的采集越来越成为一种权力服从行为，人脸信息主体的信息权利无法对抗商业主体的“算法权力”，无论商业主体线上还是线下采集，人脸信息主体基本只能选择接受，人脸信息被当作商品用来交易，成了赚钱的工具，人格尊严被经济利益抛弃。

第三，侵犯隐私权。[5]为了获取巨大的商业利益，根据人脸信息推测其他信息已成为商业主体常用的手段。单靠人脸信息已能精确识别自然人的身份，更可怕之处在于一旦人脸信息与姓名、性别、手机号码等其他数据库打通，一个“透明人”便呈现出来，边沁的全景敞式监狱就成为现实。(2)又称环形监狱，由英国哲学家边沁提出。它的基本结构是由一个中央塔楼和四周环形的囚室组成，监狱的中心，是一个瞭望塔，所有囚室对着中央监视塔，每一个囚室有一前一后两扇窗户，一扇朝着中央塔楼，一扇背对着中央塔楼，作为通光之用。这样的设计使得一个监视者就可以监视所有的犯人，而犯人却无法确定他们是否受到监视。随着人工智能的不断发展，人脸识别技术将不仅用于识别主体身份，算法自动升级很有可能脱离人类的掌控，根据一张人脸可以分析出年龄、健康状况甚至性取向，倘若不加以遏制，人脸信息主体的隐私将会暴露无遗。

第四，侵犯损害赔偿请求权。人脸信息不同于其他个人信息，一旦泄露便是终生泄露，纵使给予金钱救济，人脸信息也不能恢复到未被泄露状态，造成的其他恶劣后果也可能难以挽回，如果有不法之徒利用深度伪造技术将人脸信息应用于色情视频制作，[6]将会给人脸信息主体的名誉造成极大的损害，人脸信息主体想要获得充分救济，请求损害赔偿非常困难。

二、商业利用中人脸信息权益保护的正当性

1.保护人脸信息具有正当性

保障人权是立法追求的基本目标之一。人权的内容在不同时代具有不同内涵，卡雷尔·瓦萨克的“三代人权”理论具有广泛影响，(3)“第一代人权”是指公民政治权利，“第二代人权”是指经济、社会和文化权利，“第三代人权”是指民族自决权和生存发展权。随着信息时代的到来，很多学者(4)张文显教授在《无数字，不人权》一文中认为当今世界正在进入数字时代，中国也正加速成为“数字中国”。在这样的时代背景和社会场域中，“数字人权”脱颖而出。马长山教授在《智慧社会背景下的“第四代人权”及其保障》一文中认为：随着数字经济和智慧社会的深入发展,人权形态正在经历着深刻的数字化重塑,从而打破了既有的“三代”人权发展格局,开启了以“数字人权”为代表的“第四代人权”。提出了“数字人权”理论，认为“数字人权”无法被囊括进前三代人权中，[7]已构成代际革新，应成为“第四代人权”，未来的人权将会建立在“数字人”的基础上，人格权和隐私权都是重要的人权。人脸信息作为信息时代的产物，承载着人格权和隐私权，保护人脸信息安全是保障人权的应有之义。

保护商业利用中的人脸信息权益可以维护人格权。深受康德“人是目的，不是手段”思想影响的欧洲一直以来都非常重视对人格权的维护，GDPR被称为史上最严数据保护法，GDPR要求只要满足规定的条件，数据控制者和数据处理者都应聘任数据保护官。(5)《欧盟通用数据保护条例》(GDPR)第37条：在如下任一情形中，控制者和处理者应当委任数据保护官：(a)处理是公共机构或公共实体进行操作的，法庭在履行其司法职能时除外；(b)控制者或处理者的核心处理活动天然性地需要大规模性地对数据主体进行常规和系统性地监控；或者(c)控制者或处理者的核心活动包含了第9条规定的对某种特殊类型数据的大规模处理和第10条规定的对定罪和违法相关的个人数据的处理。与之相比，我国企业内部数据保护制度匮乏，企业滥用人脸信息现象严重。而人脸对于我们每个人而言都是珍贵的，自古以来就在中国历史中有着深厚的文化内涵，上至王侯将相下至黎民百姓都很看重自己的脸面，因为“人脸”的背后蕴藏着人格尊严。

保护商业利用中的人脸信息权益可以维护隐私权。隐私权的概念发端于美国，随着时代改变与法学理论发展，隐私权的内涵逐渐扩大，不仅包括在空间上免受打扰的消极权能，还包括在信息、行为上自主决定的积极权能。王泽鉴先生认为“信息自主”也是隐私权的保障范围，[8]人们应该有权自己决定是否使用信息，同意权是信息自主的重要体现，GDPR充分保障了个人的同意权并规定个人有权撤回同意。(6)《欧盟通用数据保护条例》(GDPR)第7条规定：“当处理是建立在同意基础上的，控制者需要能证明，数据主体已经同意对其个人数据进行处理。数据主体有权随时撤回其同意。”但我国的同意权有流于形式之虞，人脸信息往往被商业主体强制采集，保护商业利用中的人脸信息权益是对信息自主的保障，也是对隐私权的维护。

2.保护人脸信息是平衡个人利益与商业利益的需要

利益是多元的，法律的主要作用之一就是平衡各种相互冲突的利益。“对相互对立的利益进行调整以及对它们的先后顺序予以安排，往往是依靠立法手段来实现的”。[9]立法是一个认识利益和整合利益的过程，认识利益是起点，整合利益是手段，平衡利益是目的。《个人信息保护法(草案)》和《数据安全法(草案)》充分体现了利益衡量的思想。《个人信息保护法(草案)》第一条规定：“为了保护个人信息权益，规范个人信息处理活动，保障个人信息依法有序自由流动，促进个人信息合理利用，制定本法。” 《数据安全法(草案)》第一条规定：“为了保障数据安全，促进数据开发利用，保护公民、组织的合法权益，维护国家主权、安全和发展利益，制定本法。”两部法律既保护信息与数据的安全，又注重信息与数据的合理利用，保护人脸信息权益顺应立法趋势，平衡了个人信息权益与个人信息合理利用之间的利益冲突。

保护商业利用中的人脸信息权益，能够满足个人对人脸信息保护的需求。人脸信息承载着个人的人格利益，根据马斯洛需求理论，人的需求随着物质生活条件的改善由低变高，现在人们已经不满足于生理需要这样的低级需要，获得尊重这样的高级需要更为人们所渴望。“人脸识别第一案”的判决结果为保护人脸信息提供了最新的司法导向，杭州市富阳区法院支持了原告的诉讼请求，判决被告删除原告的人脸信息，这一判决在满足个人信息保护需求的同时也唤醒了人们的保护意识。保护个人信息的主体已不仅仅是个人，检察机关也在为保护个人信息努力着，2021年1月8日杭州市下城区人民检察院向杭州互联网法院提起了全国首例适用《民法典》的个人信息保护民事公益诉讼案件。个人与商业融合越深，信息权益就越需要保障，法律保护人脸信息是对商业主体与个人二者之间强弱地位的一种平衡。

保护商业利用中的人脸信息权益，能够满足商业主体对人脸信息的利用需求。完全禁止商业主体利用人脸信息就陷入了另一个极端，不利于数字经济的发展。事实上，个人与商业主体之间并不是零和博弈，通过法律保护，个人与商业主体可以实现双赢。保护商业利用中的人脸信息权益可以培养个人对商业主体的信任，人脸信息权益得到保障，个人也会更愿意将自己的人脸信息交给商业主体使用，二者之间的良性互动会促进数据产业的发展。保护商业利用中的人脸信息权益也为商业主体收集、存储和利用人脸信息提供了行为规范，减少各商业主体之间的数据纠纷。

3.保护人脸信息适应社会发展需求

为保障法律的可预测性，法律必须稳定，但为了保障法律与社会的适应性，法律又不得不变，为了适应社会，法律可能发生翻天覆地的变化，也可能仅在细枝末节上作出调整，立法者的主要任务之一就是根据社会的变化修改或制定法律，使之与社会相适应，“社会是所有法条的目的主体。”[10]我国的一些地方性法规已经作出了保护人脸信息的规定，如《杭州市物业管理条例(修订草案)》(7)《杭州市物业管理条例(修订草案)》第69条第二款：“违反本条例第四十四条第一款第六项规定，强制业主通过指纹、人脸识别等生物信息方式使用公用设施设备的，处五千元以下罚款。”和《天津市社会信用管理条例》。(8)《天津市社会信用条例》第16条：“市场信用信息提供单位不得采集自然人的血型、疾病和病史、生物识别信息以及法律、行政法规规定禁止采集的其他个人信息。市场信用信息提供单位采集自然人信息的，应当经本人同意并约定用途，法律、行政法规另有规定的除外。”位阶低的法律与人们生活较近，对社会变化的反应更为迅速，在狭义的法律层面对人脸信息给予立法保护更能适应社会发展需求。

保护商业利用中的人脸信息权益可以适应社会系统变迁。社会是由政治、经济、法律、科学等社会子系统构成的，卢曼认为各个子系统都是有着自我指涉能力的“活的系统”，各个子系统在不同的发展阶段因不同的原因发生变化，作为社会子系统的法律应对其他子系统的变迁做出反应。人脸识别技术融合了光学、计算机科学、统计学领域的发展成果，表明科学这一子系统已经发生改变。科学系统的发展引起了经济系统的变化，经济系统的活跃需要法律系统作出反应。人脸信息进入商业领域产生的法律关系需要法律调整，倘若放任人脸信息在商业领域自由流动，将损害法律系统的自我指涉能力，有碍法律系统健康发展。更高的社会复杂性和可变性对法律的适应性提出了更高的要求，法律应与多变的条件和事件形成结构性的相容。[11]

保护商业利用中的人脸信息权益可以适应社会生活方式改变。法律来源于生活又反作用于生活，“虽然每时每刻都出现新的荣誉法典、新的社交法典、新的礼节法典和新的时尚法典，但是假如它们没有真正地渗透生活，那么它们是毫无意义的。”[12]一部好的法律必须考虑社会生活方式的改变。人脸信息引起了社会生活方式的诸多改变。首先是信息使用方式的改变，以前人们使用自己的信息多数是被动提交，现在很多人为了方便会主动提交。其次是支付方式的改变，支付方式已经从密码支付发展成刷脸支付。再次是工作签到方式的改变，很多企业已经将人脸识别技术应用于员工管理，改指纹签到为刷脸签到。最后是出行方式的改变，现在凭证进站是常态，未来刷脸进站将会更普及。就目前来看，人脸信息还会伴随着我们生活，起码短时间内不会被弃之不用，法律保护人脸信息权益正是对社会生活方式改变作出的回应。

三、商业利用中人脸信息权益保护现存问题

1.无专门保护条款

人脸信息与其他个人信息相比具有更高的敏感度，需要更高程度的保护，但无论是《民法典》《刑法》等基本法律，还是《旅游法》《网络安全法》《电子商务法》等针对特定商业领域的法律，都没有人脸信息保护的专门条款，亦没有明确人脸信息的概念。只有在个别地方性法规(9)同前页注释①②③。中作出了保护人脸信息的规定，但地方性法规位阶较低且适用范围有限，不能引起商业主体对保护人脸信息的重视。在实践中保护人脸信息只能依赖个人信息保护的框架之下，获得与其他一般个人信息相同的保护程度，此种保护程度对于当今人脸信息在商业中的利用程度而言远远不够。顶层设计的缺失使得商业利用中人脸信息的权益长期得不到保护，大量商业主体游走在法律空间之外，而人脸信息的可重复利用将会继续在商业领域流动，若不制定专门保护条款将给人脸信息在商业利用中的规范治理带来极大阻碍。

2.人脸信息主体无明确权利

《电子商务法》第24条规定：“电子商务经营者收到用户信息查询或者更正、删除的申请的，应当在核实身份后及时提供查询或者更正、删除用户信息。用户注销的，电子商务经营者应当立即删除该用户的信息。”这一条明确了人脸信息主体可以向电子商务经营者提出更正、删除的请求，但没有上升为一种权利，也没有具体规定商业主体删除的程序和时间限制。删除权的缺失使人脸信息进入商业领域后就脱离了人脸信息主体的控制，人脸信息主体无法通过技术手段自行删除，与商业主体交涉困难，人脸信息主体想删除信息相当困难。

《消费者权益保护法》第29条规定：“经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。”这一条文规定了经营者应当按照法律、法规的规定和双方约定使用个人信息，但是经营者超出双方约定使用个人信息的情况普遍存在，甚至违背了法律规定。消费者对经营者过度收集分析人脸信息的行为往往无法约束，究其原因在于消费者没有明确的信息权利，无法要求经营者对人脸信息进行限制处理，因此，限制处理权对于人脸信息主体来说也是必要的。

3.未设置统一保护机关

《网络安全法》第8条规定：“国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。”网络安全和监管由电信主管部门、公安部门和其他有关机关负责。网络安全对于信息权益至关重要，人脸信息泄露事件的发生与网络环境不安全具有直接关系，但多个部门负责监管的结果可能是无人监管，“有关机关”具体指哪些机关也未明确规定，存在监管主体的分工模糊现象。“在各自职责范围内”的规定则更为抽象，发生人脸信息纠纷时各个部门可能借此不履行监管职责。即便有监管部门管辖，又可能由于监管措施不力而无法有效遏制此类事件发生。

4.缺乏有效侵权救济机制

《民法典》第1034条第三款规定：“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”实践中人脸信息纠纷多借由隐私权路径来解决，救济效果甚微。主要原因有两个。一是侵犯隐私权的归责原则是过错侵权，人脸信息主体很难证明商业主体在收集、存储和使用人脸信息的过程中具有过错，而商业主体却很容易证明自己没有过错。二是遭受严重损害后果或者实质损害后果的证明标准成了人脸信息主体主张赔偿的又一障碍。因为人脸信息主体可能只是不堪其扰，并没有遭受严重损害或实质损害，而且严重损害的判断标准又带有主观性，人脸信息主体付出大量时间和金钱参与诉讼最后可能一无所获。基于以上两个原因，能够提起诉讼的人脸信息主体少之又少，几乎陷入了恶性循环。

四、商业利用中人脸信息权益保护完善建议

1.在《民法典》中制定专门保护条款

(1)明确人脸信息概念。清晰地界定概念是制定专门保护条款的开始，人脸信息的概念宜采取“概括+列举”的方式来定义，人脸信息是指反映人的面部特征，具有可识别性的个人信息。仅作概括规定是不够的，人脸信息的表现形式多样，既有直接采集的人脸信息，也有间接制作的人脸信息，间接制作的人脸信息若被非法利用，同样会给人脸信息主体带来损害，所以人脸信息不仅包括直接提取的人脸信息，还应包括间接制作的人脸信息；不仅包括原始的人脸信息，还包括次生的人脸信息；不仅包括2D形态的还应包括3D形态的人脸信息。只有这样明确列举，各种人脸信息才能落入保护之列。

(2)将人脸信息归入个人敏感信息之列。个人信息种类多样，敏感程度不同，将人脸信息归入个人敏感信息之列可以让商业主体意识到自己应承担的人脸信息保护责任。不同类型的信息配有不同的保护规则，对于一般个人信息，市场主体在收集时取得信息主体的默示同意即可，对于人脸信息则必须取得人脸信息主体的明示同意；对于侵权的赔偿数额标准规定也不同，一般信息侵权的赔偿数额通常会低于人脸信息侵权的赔偿数额。将人脸信息归入个人敏感信息会产生良好的保护效果。

(3)在《民法典》第1034条中嵌入人脸信息保护条款。在个人信息保护法还未出台情况下专门针对人脸信息保护制定一部法律不切实际，贸然对法律进行大修大补也可能不适应社会发展需求，反而会带来新的风险，因此最好的办法是利用既有法律资源，在现有法律框架内制定人脸信息保护条款。我国《民法典》第1034条有三款内容涉及人脸信息，第一款规定自然人的个人信息受法律保护，(10)《民法典》第1034条第一款：“自然人的个人信息受法律保护。”第二款规定了个人信息的概念并列举了具体种类，(11)《民法典》第1034条第二款：“个人信息是以电子或其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”第三款规定私密信息的保护路径。(12)《民法典》第1034条第二款：“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”可以在此基础上加入第四款，作为专门保护人脸信息的条款，先明确人脸信息概念，然后表明人脸信息属于个人敏感信息，最后说明人脸信息受法律特殊保护，只有这样才能突出保护人脸信息的重要性。

2.构建人脸信息主体权利体系

(1)保障知情同意权。人权由多项具体权利构成，人脸信息主体的各项权利都能得到保障，人权才能实现。知情同意权是实现其他信息权利的基础，知情同意权的设置本身没有问题，只是权利实现遇到了阻碍，应在立法层面上保障人脸信息主体知情同意权。一方面要保障人脸信息主体的知情权，人脸信息主体应对收集目的、使用范围和保管措施等知情，算法黑箱逐渐透明化，人脸信息主体才能充分知情。另一方面要保障人脸信息主体的同意权，建立动态同意机制。每次收集行为均应取得人脸信息主体的同意，超过最初收集目的与使用范围还需重新取得同意。同意应为明确的同意，不能为默示的同意。同意还应为具体的同意，不能为概括的同意。

(2)赋予信息删除权。舍恩伯格认为自进入大数据时代以来遗忘已经成了一种美德，记忆成了常态，只要在网络中游走，几乎所有的信息都能被记忆，无论我们愿不愿意，这给人们带来了极大的心理负担，让网络失去记忆已经成了人们共同的需求，信息删除权已经成为现代人必不可少的一项权利。首先，应明确人脸信息删除权的权利主体，人脸信息删除权的权利主体既可以是人脸信息主体本人，也可委托他人。其次，人脸信息删除权的义务主体不只是人脸信息的直接利用者，也包括其他共享企业或关联企业。最后，删除时间应具体规定为多少小时，而不应以“合理期间”笼统规定。

(3)引入限制处理权。限制处理权是在删除权中独立规定的一种新型数据权利，主要是考虑到碍于技术原因无法将信息彻底删除，或信息主体仍想继续获得服务但需限制商业主体对信息的处理行为的情况。限制处理权为人脸信息主体提供了另一种选择，迎合了人脸信息保护的多样化需求。我国有必要引入限制处理权进行本土化构建。一方面应明确人脸信息主体行使限制处理权的前提，当商业主体超过最初收集目的利用人脸信息、过度分析人脸信息时，人脸信息主体可行使限制处理权。另一方面应设计人脸信息主体行使限制处理权的程序，人脸信息主体提出请求后，商业主体应即刻予以处理，若因迟延履行造成的损失商业主体应负赔偿责任，商业主体处理完毕后应将处理结果告知人脸信息主体，若对处理结果不满意，人脸信息主体可行使删除权。

3.设置统一保护机关

(1)建立监管机构。为保护个人信息权益，GDPR要求各成员国成立独立的数据保护机构，法国据此成立了国家数据保护委员会，芬兰成立了数据保护办公室，德国设置了联邦数据保护和信息自由保护专员。[12]独立监管机构的设立有力保护了信息权益。我国也应根据国情建立一个统一的信息监管机构，当发生人脸信息纠纷时，可以避免产生行政机关推诿扯皮的现象。

(2)划定监管职权。监管机构建立后还应划定监管职权。第一，人脸信息监管机关具有审批权，并不是任何一个商业主体均能采集人脸信息，应设置人脸信息采集的门槛。第二，审批通过后，人脸信息监管机构拥有许可权。第三，在商业主体利用人脸信息的过程中，人脸信息监管机构拥有检查权。第四，人脸信息监管机构检查后若发现商业主体的保管措施不合格或商业主体对人脸信息进行非法利用，人脸信息监管机构可以行使纠正权。第五，如果商业主体拒不更改或未完全更改，人脸信息监管机构可行使惩罚权。

(3)细化监管措施。监管职权明确后还应细化监管措施。当商业主体违法情节轻微，没有给人脸信息主体造成实质影响时，人脸信息监管机构可以采取约谈、责令限期改正的监管措施；当商业主体不当处理人脸信息时，人脸信息监管机构可以要求商业主体停止人脸信息处理行为，如果商业主体给个人造成影响，可以要求商业主体消除影响、恢复名誉、赔礼道歉等；当商业主体违法情节恶劣时，人脸信息监管机构可以对商业主体罚款；当商业主体的行为构成犯罪时，人脸信息监管机构应将全部案件材料移交司法机关审查。

4.完善侵权救济机制

(1)扩大民事公益诉讼主体范围。为了改变人脸信息主体的弱势地位，需要法律作出特别的制度安排。当前我国《民事诉讼法》规定的提起民事公益诉讼的主体只有法律规定的有关机关和有关组织，检察机关只能作为后顺位的主体，在有关组织未提起诉讼后才能提起诉讼，(13)《民事诉讼法》第55条第一款：“对污染环境、侵害众多消费者合法权益等损害时社会公共利益的行为，法律规定的有关机关和有关组织可以向人民法院提起诉讼。”《民事诉讼法》第55条第二款：“人民检察院在履行职责中发现破坏生态环境和资源保护、食品药品安全领域侵害众多消费者合法权益等损害社会公共利益行为，在没有前款规定的机关和组织或者前款规定的机关和组织不得提起诉讼的情况下可以向人民法院提起诉讼。”而且有关组织规定的标准甚为严格，一般组织并无提起公益诉讼的资格，这并不利于人脸信息的保护，应降低诉讼主体的资格条件，只要人脸信息主体愿意委托，一些具有实力的组织或个人可以代替人脸信息主体进行维权，《证券法》中的“明示退出，默示加入”原则可资借鉴，(14)《证券法》第95条第3款：“投资者保护机构受五十名以上投资者委托，可以作为代表人参加诉讼，并为经证券登记结算机构确认的权利人依照前款规定向人民法院登记，但投资者明确表示不愿意参加该诉讼的除外。”《证券法》中规定了五十名投资者即可委托投资者保护机构代为维权，其他投资者不否认也视为同意委托，这一原则可推行至人脸信息纠纷中，缩小人脸信息主体与商业主体的实力差距，打破人脸信息纠纷中“无人起诉”的局面。

(2)重设侵权规则体系。仅对诉讼主体进行特别规定，不足以平衡人脸信息主体和商业主体的利益，侵权规则体系还需重设。一方面应更改归责原则，适用过错归责原则于人脸信息主体不公，适用无过错归责原则对商业主体又过于严苛，为平衡二者利益采取过错推定原则是适切的。另一方面应降低损害后果的证明标准，人脸信息主体所受损害未达到严重损害或实质损害程度也可获得赔偿。美国伊利诺伊州最高院在2019年的判决中认为：《伊利诺伊州生物识别隐私法案》规定了私人实体收集、保存和处理生物识别信息的义务，当私人实体违反了这些程序性义务时信息主体的隐私便不复存在了，因此原告不必证明损害是现实的或重大的，“程序性侵权即为损害后果”的证明标准是合理的。

(3)确定最低赔偿标准。我国在消费者侵权领域(15)《消费者权益保护法》第55条第一款：“经营者提供商品或服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务费用的三倍；增加金额不足五百元的，为五百元。法律另有规定的，依照其规定。”和食品侵权领域(16)《食品安全法》第148条第二款：“生产不符合食品安全标准的食品或者经营者明知是不符合食品安全标准的食品，消费者除要求赔偿损失外，还可以向生产者或者经营者要求支付价款十倍或者损失三倍的赔偿金；增加赔偿的金额不足一千元的，为一千元。但是，食品的标签、说明书存在不影响食品安全且不会对消费者造成误导的瑕疵的除外。”确定了最低赔偿标准，使消费者的合法权益得到了有效救济，也激发了消费者的维权动力。在人脸信息侵权纠纷中也可为人脸信息主体确定最低损害赔偿标准，当人脸信息主体所受损害数额无法确定时时，可主张最低损害赔偿，能够确定时可主张补偿性损害赔偿，如果隐私遭受严重侵犯、财产损失巨大、社会影响恶劣时，可主张惩罚性赔偿。最低损害赔偿标准可为人脸信息主体提供兜底保护。

结语

人脸识别技术已经被越来越多的商业主体使用，人脸信息保护不仅仅是一个技术问题，更是一个法律问题。人脸信息在商业领域应用中的权益保护问题已初露端倪，随着数据产业的发展，人脸信息巨大的商业价值将会不断凸显，对于个人的重要性也会不断增强。当人脸识别技术渗透进社会生活的方方面面与人类建立起紧密关系之时，将挑战我们的隐私观和信息观。立法是指向未来的，我们应提前做好部署，充分发挥法律的预测作用，对人脸信息给予及时的保护。