张俊雄

(西南民族大学法学院，四川成都 610041)

随着社会发展进入数字时代，人脸识别等新兴技术带来的挑战不断走进大众视线。2021年有关人脸识别技术的新闻频出，前有央视3·15晚会曝出多个商家未经消费者同意非法采集面部数据信息，并将采集到的信息用作营销数据分析；后有全国首例人脸识别案在杭州市中级人民法院二审宣判，在原判决的基础上增判被告信息处理方删除原告的相关生物识别信息。种种事件都指向人脸识别技术应用门槛过低、信息处理者为自身利益未经面部数据主体同意滥用人脸识别技术等诸多问题。

人脸识别的本质是利用拍摄系统和计算机技术在三维体系中根据人脸的不同构造将人脸转换为一组数据，当人脸再次展现在镜头前时，通过相关算法即能快速地匹配到其身份[1]。相比于其他视频监控，人脸识别技术最大的特征在于其“识别”功能，即通过算法，与数据库中的人脸数据进行比对，从而识别出相应的个人信息[2]。人脸识别技术与面部数据主体权益息息相关，而该技术非接触性、易于流转的特征使得面部数据主体对其个人信息的控制力进一步降低。为了兼顾人脸识别技术的合理利用和个人信息保护，广大学者一致主张贯彻和发展传统告知同意规则。因此，本文在大数据时代背景下，以告知同意规则为视角，为完善人脸识别的法律规制提供参考路径。

一、告知同意规则的法律依据与现实困境

(一)告知同意规则在我国法律体系中的依据

对于人脸识别中面部数据保护问题，本质上是关于个人信息中个人敏感信息的保护问题。纵观我国现行法律规范，其中涉及个人信息保护的条文散见各处。首先，从我国法律体系顶端《中华人民共和国宪法》(以下简称《宪法》)中可找到依据。《宪法》第40条明确了国家对公民个人隐私权的保护，自然包含对个人信息的保护。其次，作为我国基本法律，《民法典》总则编和人格权编的有关规范构建了未来个人信息保护法的制度框架与基础。从民法解释学的角度分析，根据文义解释《民法典》中未明确规定个人信息权[3]，但是依据体系解释《民法典》则是将个人信息当作一种人格利益在保护。此外，在诸多现行法律中，例如《网络安全法》《消费者权益保护法》中对于不同主体的个人信息保护义务均有涉及。近年来，保障公民个人信息安全一直是党和国家高度关注的问题。为稳步推进个人信息保护立法工作，全国人大常委会于2020年底发布了《个人信息保护法(草案)》，拟制定专门法律来规制个人信息保护。

告知同意规则主要适用于个人信息保护领域，因此笔者以告知同意规则为研究对象，在所有涉及个人信息保护的条文中选取了最具代表性的《民法典》和《个人信息保护法(草案)》中的相关法律规定加以分析。

1.《民法典》中的告知同意规则

《民法典》第1034条中对个人信息的内涵和外延作出了明确界定。依据该条款，人脸识别的面部数据从性质上讲可以归入生物识别信息中，属于《民法典》的保护范畴。《民法典》第1035条则强调了信息处理方在处理个人信息时应当遵循的“合法、正当、必要”等基本原则。此外，《民法典》提出了处理个人信息的相关条件，其中包含需要告知的相关内容和须征得同意的对象。由此《民法典》人格权编描绘了处理个人信息的告知同意规则。

2.《个人信息保护法(草案)》中的告知同意规则

“同意”二字在《个人信息保护法(草案)》(以下简称“草案”)中的70个条款中出现了26次，其重要性不言而明。就内部的逻辑体系分析，“草案”中关于个人信息处理主要分为三个层次来进行规制：首先，对于普通个人信息的处理作出了一般规定；其次，针对处理个人信息中一类较为特殊的客体即“个人敏感信息”作出了更为严苛的规定；最后，针对处理个人信息中一类特殊的主体即“国家机关”处理个人信息作出了特殊规定。总体来看，“草案”多角度、多路径、全方位地构建了我国个人信息保护体系，值得肯定。具体而言：

首先，在处理个人信息的一般规定中，第13条被认为是处理个人信息的合法性基础。该条文一共给出了五种处理个人信息的合法情形和一个兜底条款，其中第一种即为取得个人的同意。同时，第18条对于“告知—同意”规则中的告知作出了若干要求，尤其强调告知的方式、内容和范围等。

其次，在敏感个人信息的处理规则中，第30条可以被认为是对第13条的补充，要求当处理个人信息的客体为个人敏感信息时，须取得个人的单独同意，增设了“单独同意”制度。同时对一部分处理个人敏感信息的情形中同意的形式作出了要求，即“有法律法规规定的应当取得书面同意的”。上述规定均为告知同意规则在“草案”中的体现。

(二)告知同意规则的现实困境

1.告知不充分，信息获取不对等

《民法典》人格权编第1035条和《网络安全法》第41条对于信息主体的告知范围作出了要求，并在此基础上取得被收集者的同意。基于该条款，面部数据主体在决定是否处分自己的信息前，能够清楚地了解本人哪些面部数据被收集、收集以后去向何方，以及在信息被收集后自身可能遭遇的风险，但在面部数据收集的现实情境中往往并非如此。

首先，现实中收集方并不会将相关信息完全告知面部数据主体。在缔约信息使用协议中，进行面部数据收集的一方清楚地了解数据收集、利用和市场价值的具体情况，能准确判断面部数据信息在自己手中是如何运作的，因此对于风险的认知也总是更全面一些[4]。而被收集者，往往只是浅显、抽象地知道数据用途，他们更关心的是自身对于某项服务能否正常使用，进而忽略了对有关风险的认知。其次，从数据采集与利用的运营模式来分析，数据收集方还会进一步变相地强制、敦促面部数据主体尽快同意：比如当被收集方打开注册页面时，系统已经默认勾选同意相关隐私政策和免责条款，大大降低了面部数据主体的重视度。在上述种种背景下，同意规则无法起到预设的对面部数据主体的保护作用，反而为收集者的责任转移提供了制度框架内的“合法路径”[5]。

2.隐私条款冗杂，导致同意形式化

私法领域常常强调意思自治原则的重要性，因为它充分反映了公民对私权利的支配性。意思自治原则不能简单地理解为按照当事人自己的想法作出意思表示，尤其是在涉及人脸识别这种个人信息泄露的高危场合，应当要求面部数据主体在充分知晓并理解后自己作出意思表示方为合理、正当。因此，同意的有效性不仅取决于数据收集者是否合法地履行了告知义务，同时归因于数据主体能否正确接收、理解前者所传递的信息。

现实生活中，面部数据收集方给出的数据采集协议纷繁复杂，被收集者难以准确理解其相关含义。即使通过立法的形式给面部数据收集方增加充分告知相关事项的义务，但复杂、专业、冗长的条款也无法真正发挥它的效用[6]，反而会大大消耗面部数据主体的耐心，用户多半会为了尽快完成注册流程而选择性地将部分或全部条款予以忽略，直接点击“同意”按钮。这种形式化的同意后果就是用户根本没有按照原有的制度设计去阅读隐私条款和免责声明，反倒有可能成为面部数据收集方转移责任的一个前置流程。即使有用户确实阅读了隐私政策和免责条款，能否读懂又是一个值得思考的问题，且我国公民长久以来对个人信息保护不够重视，往往非常信任收集方的保护能力和重视程度。如此一来，即便是“明示的免责条款”，也会因为相对人的忽略导致法律所欲的“知情基础上的同意”大打折扣。

3.多样的网络交互行为削弱了同意的有效性

大数据时代，包括面部数据在内的各种数据广泛流通和在不同场景下进行统计利用是发展趋势。该趋势反映到个人信息传播领域依托的是网络交互行为。例如，随着互联网技术的发展和人们的需求，微信从最初的具有聊天功能的通讯软件，逐步发展到今天的集公众号、小程序、视频号等多个功能为一体的社交软件，已然成为国内人们工作、生活必备的手机软件。为了方便使用，人们一般将包含本人身份证号、银行卡号、电话号码、收货地址、发票抬头等多个个人信息与微信账户相关联。当在使用微信附带的一些二级功能时，即可将与微信账号相关联的个人信息授权给二级功能平台使用。这种个人信息的二次授予或直接准用行为即所谓的网络交互行为。抽象到法律中的行为模式即面部数据收集方可能与其他二级平台订立合同，在交互性使用过程中共享其采集的数据信息，甚至直接将数据的流通外包给大数据公司处理。因此，面部数据收集方与二级平台之间的此类协议使得个人要想实现对自身信息的控制变得非常困难。

实践中，当面部数据主体的信息经收集方流转到相应的二级平台或外包给专业大数据计算公司后，信息的去向和用途一般不会再次通知面部数据主体，更不会刻意经过其授权同意。面部数据主体在这种潜在且无休止的信息分享与对信息的二次利用面前，不仅难以实现对当前及未来信息分析、处理、利用行为的把控，而且往往对信息的二次利用行为全然不知[7]。

二、欧盟个人信息保护中的告知同意规则

欧盟《一般数据保护条例》(以下简称GDPR)和德国《联邦个人资料保护法》(以下简称BDSG)均将告知同意规则居于核心位置[8]。本文将从上述内容中抽象出同意的表示方式、同意的生效要件，试图为国内个人信息保护立法提供参考路径。

(一)同意的表示方式

关于同意的表示方式，欧盟和德国的法律均规定了明示同意和默示同意[9]。依据BDSG第4a条规定，同意的表示方式分为两个层次：第一层的适用最为普遍，要求以书面形式表达；第二层则是在特殊情况下，允许授权其他形式。该条款表明当事人表达同意的意思表示方式为书面形式，是一种积极肯定的方式，表明对方可以处理本人的面部数据信息，只有在特殊情况下才能通过其他形式表达。此外，在GDPR第9条中将面部数据作为特殊类别的个人数据处理，而对于这种特殊类别的个人数据，GDPR采取的是“原则—例外”的立法模式，即原则上规定为禁止处理，仅在法条罗列的例外情况下才可以处理，其中例外情况之一就包含了面部数据在采用明示同意后可以处理。此外，欧盟GDPR中关于同意的形式要求必须是“自愿”作出、“知情”后作出和“明确”作出的同意，对于面部数据则是适用更为严苛的“明示同意”模式。总之，无论是默示同意还是明示同意，德国BDSG和欧盟GDPR都要求面部数据主体通过一个积极肯定的行为来完成。

(二)同意的生效要件

为了促进GDPR的实施，2018年4月欧盟“第29条”工作组发布新修订的GDPR实施指南[10]。该指南的核心内容显示，自然人应当能够以透明的方式了解与其有关的个人数据收集、使用、访问以及其他处理的样态和程度，进而对此作出同意。指南中关于同意的生效要件包括以下四点：

1.当事人同意必须为自主同意

BDSG和GDPR中均将个人数据主体的自主决定性作为同意的首要生效要件。此外，新修订的GDPR实施指南对于该种自主决定性从多个方面作出了规定，尽可能地保护同意的自主性。例如在双方地位不对等的情况下尽可能保护信息主体方；限制信息控制者处理信息的范围为经过当事人同意授权的范围；需要对多条个人信息进行处理，不能取得笼统的同意，而须分别取得同意等，否则同意是无效的。

2.当事人同意必须为具体特定的同意

在BDSG和GDPR的语境下，“具体特定的同意”是指个人信息主体对于数据控制方收集、处理、利用的目的和范围有特定的同意。具体特定的同意是相对于概括的同意而言的。BDSG和GDPR的语境下这种同意必须是前者，即明确表达对于某一条或某几条个人信息允许被处理以及允许在何种范围内处理。在该种模式下，个人信息主体是采取主动同意的方式对数据处理的范围作出了许可，相比以往被动同意的模式能有效避免同意的扩张。

3.当事人同意必须为告知后同意

告知后同意实际上是对同意的时间限制，即必须在数据处理方告知相关信息后，信息主体表示的同意才是有效的。该模式进一步明晰了“告知—同意”的实践逻辑，即只有在充分的告知以后，个人信息主体才能根据被告知的内容衡量利弊，并据此作出同意与否的决定。告知的充分一方面取决于告知的内容是否完善，另一方面取决于告知的方式。对此欧盟“第29条”工作小组创新了告知方法，要求依据告知内容的重要程度等因素采用分层次告知方法[11]。

4.当事人同意必须清楚且明确地表达

所谓清楚且明确地表达是对同意形式的实质要求。GDPR第7条详细规定了同意的条件。一方面，一般情况下要求数据控制者能够证明数据主体已经同意其处理个人数据；另一方面，若数据主体的同意是基于数据控制主体已经给出了书面声明的情况下所表示的，那么除此之外，还要求数据主体针对其信息被特定处理还需要一个积极的行为或者声明同意。如果缺少二次明确的同意，则当事人的同意是无效的。在该模式下，实际上是保护数据主体，通过增加二次同意、提高同意的清晰度让数据主体不受数据控制方的掣肘。

三、完善我国个人信息保护领域告知同意规则的建议

为解决因告知不充分、隐私条款冗杂、多样的网络交互行为导致告知同意不真实的情况，参考上述域外告知同意规则的制度框架，结合我国目前《民法典》中关于告知同意规则的顶层设计和“草案”中的相关规定，提出下列建议：

(一)明确同意的主体须为完全民事行为能力人

“草案”中关于处理个人信息的合法基础规定在第13条，其中第一项即明确要求取得个人同意。这里的同意作为一种意思表示应当是具有民事行为能力的人所作出的表意行为。换句话来说，放置在告知同意规则中，要求当事人具有民事行为能力即要求具备同意能力，否则信息控制者征得的同意是无效的[12]。若贸然许可未成年人对自己的个人信息进行支配，可能会造成不当后果，侵犯其人格权益。因此，应当要求其监护人代为表示同意。此外，对于成年但因为某种原因丧失或部分丧失行为能力的人均应当参照对未成年人的保护，采取监护人代为表示同意的规定。

《民法典》中对于自然人的民事行为能力采取的是三分法。考虑到我国长久以来对个人信息保护的忽视，个人信息泄露的严重性不一定受到全部百姓的关注，尤其是年迈的老年人和未成年人。因此，只有完全民事行为能力人才有同意的能力，而不满18周岁的未成年人和虽已成年但因为某种原因丧失或部分丧失行为能力的人均应征得其监护人的明示同意，如此才能更好地保护他们的信息自决权。综上，建议将“草案”中第13条第1款1句的表述方式修改为“只有取得自然人或者其监护人的同意，个人信息处理者方可处理个人信息”。

(二)限缩处理信息的合法性基础

关于处理个人信息的合法性基础，“草案”中除了告知同意规则还规定了其他合法性基础，其中第13条第二项即将一方为订立或者履行合同所必需的这种情形作为处理个人信息的合法性基础之一。该项一定程度上是对于告知同意规则的例外，虽然有原则就有例外，且该例外也不影响告知同意规则的主流适用地位，但是这里规定的为订立合同或者履行合同这个时间段是否过长有待商榷。例如，网络平台在向自然人提供网络服务过程中，如果网络公司都以是订立合同所必需为由来处理个人信息，那么就会使得自然人对个人信息处理的决定权受到极大的限制，甚至是变性地被排除。

从GDPR的规定来看，其第6条第1款(b)的表述是“处理是数据主体作为合同主体履行合同之必要，或者处理是因数据主体在签订合同前的请求而采取的必要措施”，即必须是数据主体即自然人在签订合同前主动提出请求(相当于提前同意)处理者处理其个人信息，如某自然人要求旅行社提供满足其个性化要求的旅游套餐服务而主动将个人信息提供给处理者。目前“草案”中第13条第二项的规定没有注意到这一点，直接规定“为订立或者履行”显然不妥，应该删除“为订立”的情形。

(三)明确告知同意的形式为书面形式

草案第30条明示了处理敏感个人信息的单独同意规则，并且在同意的形式上要求部分经法律、行政法规规定的应当取得书面同意。从形式上限制告知同意，可以有效地落实同意主体对数据信息重要性的认知，在一定程度上避免信息不对称和信息过载带来的同意不真实现象。在有些学者看来，告知同意中的同意不必过于强调表达的形式，无论是采取明示或是默示，书面或是口头形式，都不能认为是同意的生效要件。同意关键在于信息主体的意愿真实、表达清晰，而同意形式在所不问[13]。笔者认为这种观点是片面的。因为内容与形式二者是辩证统一的，不能分别割裂开来看，如若仅仅注重同意的内容而忽略同意的形式，就会打破这一规律。且面部数据作为个人信息中能反映生物特征的信息，其重要性不言而喻，若对同意的形式不加以限制，则近似于没有规定，不利于规范处理个人信息的行为。

为了促使面部数据主体能谨慎地作出同意表示，建议人脸识别中面部数据的当事人同意应以书面形式较为妥当。“草案”中有相关趋势，但对适用范围有严格限制，仅仅强调在法律法规有规定的情况下“单独同意”要求敏感信息主体出示书面同意，具体范围尚不明确。且对于单独同意的概念与形式，立法没有给出明确界定，笔者认为应当进一步优化“单独同意”的表述，因为“单独同意”和“书面同意”似乎不是并列关系，立法将两者并列的做法有待商榷。

(四)精炼告知内容，丰富告知方法

关于精炼告知同意的内容，正确理解应当是在对面部数据主体的告知达到一定的充分程度后，尽量以简洁、明了、易懂的语句呈现给面部数据主体同意。通过对信息控制者告知的充分程度的要求进行提炼，再简明扼要地表达出来，能直接解决同意趋于形式化的弊端，从而保障面部数据主体的权利。

首先，精炼告知内容。《民法典》和“草案”中均规定了信息处理方在获得信息主体的同意以前需要告知的内容，在充分告知的前提下，应当精炼告知内容，让面部数据主体有耐心读下去,有能力读懂，增强同意的有效性[14]。如果申诉渠道畅通，信息控制方若不正当地将数据转移给他者，基于数据流通所导致的侵害则有了更便利的救济途径。其次，丰富告知方法。我国个人信息保护立法可以借鉴欧盟的做法，根据本国的国情采用分层次告知方法。分层次告知法，即人为地将隐私政策中的告知内容根据其重要性进行分层，例如将个人信息的使用范围和使用方法作为基础信息排列在前，将法律风险和法律责任等重要信息紧跟在后，最后附带其他相关信息；且不同层次的信息，分别采取放大、标粗、下划线等方式提醒个人信息主体关注相关内容。通过上述途径，想必可以极大缓解由于告知不充分和隐私政策冗杂导致的错误同意。

四、结语

大数据时代的个人信息保护具有鲜明的时代特征，人脸识别技术即为时代的新兴产物，传统的告知同意规则在解决面部数据被泄露的问题时有所失灵。党的十九大以来，以习近平同志为核心的党中央高度重视网络空间法治建设，对个人信息保护立法工作作出部署，是贯彻习近平法治思想以人民为中心的体现。本文在对比欧盟、德国相关法律中关于知情同意规则制度设计的基础上，建议进一步完善同意的主体、限缩处理信息的合法性基础、明确告知同意的形式、精炼告知同意的内容，让知情同意规则真正在大数据时代发挥应有的作用。

此外，我国个人信息保护尚处在起步阶段，其中仍然存在许多值得讨论的地方。例如《民法典》中关于个人信息的分类与《个人信息保护法(草案)》中关于个人信息的分类不同，二者关系为何，又应当如何协调；关于面部数据信息，“草案”中规定了单独同意制度，如何认定所谓的单独同意；“草案”中还规定了信息主体的撤回权，撤回权的性质是什么、法律效果是什么等等，这些都值得广大学者去努力探讨。希望在众多学者的共同努力下，大家能为建设法治中国作出更大的贡献。