金 朗

(浙江金融职业学院 马克思主义学院，浙江 杭州 310018)

数字经济高速发展过程中，人脸识别技术的应用给公共管理与日常生活带来便利，却也对人格权、财产权和个人信息保护提出了挑战。特别是近年来，野生动物园强制游客刷脸入园，小区安装人脸识别门禁系统，售楼处未经授权收集、分析上门顾客面部数据，经由用户画像预测消费模式，提供差异化报价方案等……大数据时代个人信息保护不同于传统民法上的隐私权或肖像权保护，如何实现个人信息保护与信息流动及以此为基础的数字经济发展间的平衡；乃至在风险社会背景下，不会因信息滥用影响国家、公共、经济安全及社会稳定，这些都是数据立法与执法中亟需回应的问题。

一、人脸识别信息法律属性和规则沿革

(一)人脸识别信息法律属性

1969年联合国国际人权会议首次提出“数据保护”概念，之后各国立法中，“个人数据”和“个人信息”的用法较为常见，如2003年日本《个人信息保护法》、2018年欧盟《通用数据保护条例》等，我国法律文件中基本采用“个人信息”的表述，《民法典》也沿用了这一提法，与以往立法保持一致。个人数据是个人信息内容的载体，就权利保护的实质而言，法律保护的并非是数据载体，而是载体所承载的内容，所以这一表述更为准确。而明确规定对个人信息保护，始于2003年的《居民身份证法》。

目前根据我国法律规定，通过人脸识别技术收集的生物识别信息属于个人信息范畴。从《民法典》关于人格权的规定来看，个人信息保护在第四编第六章标题中被列于隐私权后，未以“个人信息权”的形式被确定为具体人格权利。隐私权中虽然也包含个人信息保密内容，但根据《民法典》的规定，个人信息中的私密信息，适用隐私权的规定；没有规定的，适用个人信息保护的规定。显然法律认可的个人信息保护，客观上已超越了现有的隐私权保护模式。

而《民法典》建构的个人信息保护模式盖由诸多因素所决定。首先，个人信息既含人格要素，亦有财产要素，虽然二者相比并非等量齐观。其次，依照传统法学理论，信息主体对个人信息享有的是权利还是权益取决于此种权利(益)的重要性和发展的成熟度，目前个人信息与现有人格权体系中的隐私权、姓名权、肖像权等略有交叠，且内容尚待丰富和明晰。再次，个人信息的控制者和处理者既有私法上的平等主体，也有公法上的公权力主体，这增加了利益衡量的复杂性与难度，亦引起是否需回避“个人信息权”具化以方便信息自由流动与社会管理的争议。最后，《民法典》不仅明确规定了生命权、健康权、肖像权、隐私权等具体人格权利，还以“人身自由”、“人格尊严”为基础将一般人格权利纳入保护范畴，确定了民法体系中人格权利保护的开放性。司法实践中，完全可以通过适用一般人格权规定，容纳法律未予以明确的权利类型。

然而，在刑事裁判文书中，仍有法官使用侵害公民“个人信息权利”、“个人信息权”的提法。但在民事裁判中，涉及个人信息的案件往往表现为一般人格权纠纷，法官大多使用“个人信息权益”的提法，认为立法未赋予个人信息权益绝对权地位,而只是将其作为受保护的民事权益,通过社会行为控制的方式场景化地加以保护。这些分歧亦是立法与司法，理论与实践对个人信息保护问题的不同回应。

(二)人脸识别信息规则沿革

从域外来看，基于人脸识别技术尚在发展阶段，有潜在的信息安全、隐私侵权、技术滥用和歧视风险，各国对其应用大多持审慎态度，目前立法主要采用两种模式。一种是专项立法保护模式，以美国部分州为代表，如伊利伊诺州的《生物识别信息隐私法案》、加利福尼亚州的《人脸识别技术法案》。另一种是综合立法保护模式，将不同内容、性质的个人信息以及不同类型的保护措施纳入统一的规范性文件。如日本《个人信息保护法》、英国《数据保护法案》、欧盟《通用数据保护条例》等。

人脸识别信息在我国属于个人信息范畴，目前具体规定个人信息保护的主要法律、法规和规章包括：《民法典》、《消费者权益保护法(2013年修正)》、《数据安全法》、《网络安全法》、《电子商务法》、《密码法》，《征信业管理条例》、《电信和互联网用户个人信息保护规定》、《儿童个人信息网络保护规定》等。而《刑法》中涉及到个人信息的罪名主要为侵犯公民个人信息罪和破坏计算机信息系统罪。还有已列入全国人大常委会立法工作计划，正在审议的《个人信息保护法(草案)》。

在此基础上，我国还出台了与个人信息保护相关的部门规范性文件，如《互联网个人信息安全保护指南》、《App违法违规收集使用个人信息行为认定方法》、《个人金融信息保护技术规范》等。此外，市场监督管理总局、国家标准化管理委员会、全国信息安全标准化技术委员会等还发布了与个人信息保护相关的一系列国家、行业标准和指南，如《信息安全技术个人信息安全规范》(GB/T 35273-2020)(以下简称《个人信息安全规范》)、《信息安全技术个人信息去标识化指南》(GB/T 37964-2019)等。

我国对个人生物识别信息的保护起步较晚，在《民法典》中，个人生物识别信息被明确纳入保护范围，虽然在此之前，行政法规、司法解释和其他规范性文件中也有涉及生物识别信息保护的具体条款，但内容比较分散且相对简单。目前对生物识别信息规定较多的是2020年10月开始施行的新版《个人信息安全规范》，明确定义包含人脸识别信息在内的个人生物识别信息为敏感信息，细化了信息在收集、存储、共享环节的保护要求。在《个人信息保护法》尚未正式出台的情况下，国家标准发挥了积极作用，但推荐性或指导性国家标准不具有强制性。

二、人脸识别应用类型与风险定位

(一)人脸识别应用类型

在2020年11月1日开始实施的推荐性国家标准《信息安全技术远程人脸识别系统技术要求》(GB/T38671-2020)中将人脸识别定义为：以人面部特征作为识别个体身份的一种个体生物特征识别方法，通过分析提取用户人脸图像数字特征产生样本特征序列，并将该样本特征序列与已存储的模板特征序列进行比对，用以识别用户身份。

根据方式的不同，人脸识别应用可分为人脸验证和人脸辨识。人脸验证是指将所产生的样本特征序列与按用户标识信息已存储的用户模板特征序列进行1∶1比对，以确认用户是否为所声明的身份。较为常见的应用场景包括智能门禁的刷脸认证、顾客在商家的刷脸支付等。而人脸辨识是指将所产生的样本特征序列与已存储的指定范围内的所有模板特征序列进行1：N比对，以确定用户身份。较为常见的应用场景包括追踪嫌疑人、安防检查、照片自动圈人等。

根据目的的不同，人脸识别应用可分为安全防控、服务优化和服务营销三大类。以金融业务为例，运用人脸识别可实现智能安全防控，从现金押运到柜台身份识别，有效降低金融机构义务风险，也有利于保障客户资金安全。而在医疗领域，可通过面部表情特征的识别，分析追踪病人药物消耗及疼痛感知状况，以优化医疗服务。实践中，也有部分经营者安装人脸识别系统，通过摄像机记录顾客面部表情和体态动作，以识别顾客身份和评估顾客对商品或服务满意程度，提供差异化营销方案。比较以上三类人脸识别技术的应用场景，安全防控和服务优化兼顾了安全与效率，数据提供者或能满足行政主管部门的管理要求，或能令数据提供者通过人脸识别行为获益。但在服务营销场景下，数据采集和使用者往往可以依赖人脸识别进行客户画像，精细区分客群，降低营销成本；而数据提供者获益甚微甚至极有可能引发不平等和歧视问题。

(二)人脸识别应用风险定位

人脸识别应用的风险首先来源于数据本身不可更改的特性。通信联系方式、住址、账号密码等个人信息泄露后可以更改，但人脸数据无法变更；纵然可要求数据控制者删除，但一旦被非法收集和不当使用，对信息主体造成的财产权和人格权损害不可逆转且将长期存在。其次，技术的脱法倾向会导致功能异化。人脸识别信息有较低应用门槛却具备很高应用价值，企业在逐利动机驱使下会想方设法以更低成本去收集、使用、处理、共享数据，并尽可能延长周期挖掘数据利用价值。人脸识别研发企业为提高技术精准度需掌握大量人脸数据，如果通过购买获得，这一过程本身就可能涉嫌违法甚至犯罪。而部分人脸识别应用企业在公共场所未经授权收集自然人面部数据，即使使用“优化产品体验”或“保障用户安全”等理由，亦不能免除其责任。同时，技术误差也会进一步加剧风险与消极效应。人脸识别数据应用领域的迅速扩张，已需要深度介入，通过衡量主体、成本、风险、收益等因素来平衡各方利益，但反观立法现状及有关部门，却更多停留在将该项技术作为工具的定位上，对数据控制(处理)者与数据主体的价值冲突回应甚微。

1.隐私威胁：同意原则失灵

隐私权在《民法典》中被界定为自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动和私密信息。任何组织或个人不得以刺探、侵扰、泄露、公开等方式侵害他人隐私权。个人信息和隐私的保护范围存在交叉，构成私密信息的个人信息应通过隐私权加以保护。实践中，判断某一具体事物是否为隐私，可综合私人性、主观感受和客观状态来认定。一般认为，当事人主动公开或主观上不想保密的事物，不属于隐私范畴。人脸信息与私密照片不同,一般可用于公开场合的身份识别和社会交往，因此其属性更接近个人信息。但个人生物识别信息属于敏感信息，一旦泄露或滥用极易导致个人名誉和身心健康受损，进而影响到生活安宁与私密活动。然而收集者往往通过“使用即同意”协议，要求用户提供人脸信息。如果用户拒绝，即被排除在该项服务或产品之外。而后收集者可提取特定的面部信息，与用户以往被记录的所有面部信息匹配，再结合数据库(可能存在过度收集用户个人信息现象)中的行踪轨迹、文字信息、交易信息、健康生理信息等就进行用户画像。人脸信息收集规模越大，实现的经济效益也越高。而为了便于使用和处理人脸信息，收集者往往会借助“包含但不限于”条款来任意扩大范围，这些都将导致协议中的默示或明示同意失去制约信息非法收集和滥用的功能。

2.财产侵权：加大交易成本和风险

《民法典》第一千零一十九条规定了肖像权的消极权能，禁止任何组织、个人以丑化、污损，或者利用信息技术手段伪造等方式侵害他人的肖像权。禁止未经同意，制作、使用、公开肖像权人的肖像。该规定虽为盗用人脸行为提供了侵权保护的救济思路。但肖像权与个人信息权益所保护的法益并不相同，前者主要保护自然人肖像所承载的人格利益，后者主要保护可识别到特定自然人的相关利益，具体表现为防止冒用、滥用引发的人身或财产损失等。

目前有效防范风险的方案是把3D技术、人脸、指纹以及密码等进行融合性使用，但基于成本和利益考虑，企业或机构虽也愿积极采取措施降低风险，但很少会真的采取上述方案。近年来，在人脸识别环节采用欺骗手段通过机构检测的犯罪行为逐渐增多。通过使用软件将公民照片制成3D头像，通过人脸识别认证；或利用虚拟视频刷机包程序工具侵入APP用户账户窃取他人账户内资金，欺骗性技术手段不断升级。

3.尊严贬抑：稀释信任与核心价值

人的权利核心是人格尊严。人脸信息的收集和识别，在特定场景下可能还会侵犯人格尊严。人是主体、目的，而非手段、工具，人拥有不可侵犯与剥夺的尊严。而实践中，“为激活社保卡，94岁老人被抱起做人脸识别“类似事件的出现，已经背离了技术应用的目的。人对于自身的价值具备本能和微妙的感觉，任何贬损人自身价值的行为不亚于直接侵害人的身体与财产。人格尊严作为一项基本、终极性价值，必须要通过具体权利来实现。

从个人“信息自决权”角度出发，行使自决权的前提是充分知情，个人有权要求全程参与信息流动的过程。如果个人无法控制甚至根本没有意识到自己的面部信息正在被收集和使用，将会对个人隐私造成巨大损害，同时也将严重侵犯人格尊严。2019年，瑞典一所学校因使用面部识别技术来登记学生出勤率而受到GDPR的处罚。而在我国，《公共及商用服务信息系统个人信息保护指南》和《个人信息安全规范》均规定，敏感信息的收集需要获得信息主体的明示同意授权。

三、人脸识别信息保护路径

(一)创制合理规范体系

人脸识别本身只是一种客观的技术现象，之所以亟需立法回应，是因为随着该项技术的深入开发和应用，形成了新的民事法律关系。而人脸识别信息是个人信息的子概念，也应当适用《民法典》中关于个人信息保护的一般规则。具体到个人信息的处理，《民法典》确立了合理、正当、必要原则，要求信息处理应征得信息主体同意，还应公开处理规则，明示处理目的、方式和范围；并赋予信息主体查阅、复制、异议、更正和删除的权利。但以上规定较为简单抽象，在具体适用过程中尚需细化，完善可操作性。而现已公布的《个人信息保护法(草案二次审议稿)》，从个人信息生命周期角度扩充了个人信息保护规则，以“告知—同意”为核心，要求个人信息处理者应当在事先充分告知的前提下取得个人同意，并且该同意可撤回；重要事项发生变更时还应重新取得个人同意；且不得以不同意为由拒绝提供产品或服务。此外，处理敏感个人信息的，还应取得单独同意。以上内容丰富了个人信息处理规则，但仅为草案，尚在征求意见过程中。

目前已有5部行政法规、67个部门规章直接规定了“人脸识别”，若加上地方法规、地方政府规章，则数量更多。这些低位阶规范性文件的主要内容包括：明确应用人脸识别技术实现身份认证，以及具体的识别技术标准。实践中，低位阶规范更关注人脸识别技术的应用场景及其现实利益，而法律层面的文本则更关注个人信息权益保护与个人信息合理利用间的平衡。各种不同或相同级别的规范形式散乱不统一，甚至会出现价值定位游离不定的状况。如《黑龙江省住宅物业管理条例》规定“不得将人脸识别、指纹等生物识别技术作为唯一服务手段”，而《威海市物业管理办法》则规定“鼓励住宅小区建设视频监控、人脸识别、车辆识别等安全防范系统”。

实践中人脸识别被大规模用于政务、商业、服务等领域，但相关信息处理者良莠不齐，无论是识别技术与设备的安全性，还是应用过程中信息的处理方式均存在着安全隐患。如果现阶段人脸识别信息的保护仍然依赖于信息处理者在指导性或推荐性国家标准下的行业自律(有些信息处理者甚至是相关国家标准的起草单位)，显然这已与生物识别信息的安全与个人权益保障的迫切需要不相称。未来法律保护的重心，应当是商业应用过程中个人生物信息安全以及个人具体权益。

首先，需要制定高位阶法律纲举目张，给予低位阶规范正确的价值导向。未来若《个人信息保护法》正式实施，可以和宪法、其他法律协调一致，引领生物识别信息安全保护的发展方向。其次，可采用部门规章或强制性国家标准的形式制定专门的个人生物识别信息保护规范，重点规制人脸识别信息处理行为。其结构应包含立法宗旨及法律原则、核心概念定义、信息处理的限定条款(主体资格限定、处理方法限定、使用范围限定、处理条件限定等)、信息处理关系中的权责类条款，以及保护措施和责任条款等。从人脸识别信息的生命周期管理角度而言，应包含以下主要内容。

周期规范内容收集告知同意(基本原则,适用情形,免于告知同意情形,告知的内容、方式、展示形式、适当性,同意模式、变更与撤销、证据留存)最小必要原则使用主体授权同意、避免扩大使用存储与其他个人信息隔离存储、技术处理后存储、存储期限要求、境内存储要求传输加密传输共享、转让原则禁止(确需应单独告知、明示同意)

从个人信息主体的权利角度而言，应包含知情同意权(核心权能)、查询权、复制权、更正权、删除权等。最后，就人脸信息处理过程中的告知内容、合同模板等可采用推荐性国家标准、行业自律公约等形式，引导信息处理者合规操作。

(二)建构多重治理机制

为规范包括人脸信息在内的个人生物识别信息的处理，应形成多重治理机制，明确监管部门、信息处理者、信息主体各自的责任，并充分考虑成本、风险、收益等因素，通过利益衡量建构治理机制，合理分配相关主体的权利、义务和责任。

首先，设置专门机构统筹个人信息保护工作。自我国法律明确保护个人信息以来，具体领域的相关行政职能主要由网信部门、工信部门，公安部门以及市场监督管理部门共同履行，最主要和最常见的执法行为是行政检查与行政处罚。虽然各部门有其法定职责和权限，执法对象和范围也各有侧重，但在具体执法过程中仍然存在着一些问题：多头管理、权责不清、推诿执法、效率低下。在发生个人信息泄露或者滥用等安全事件后，用户也常遇到投诉无门或相关部门各自为政的情形。而信息处理单位也可能会遇到不同执法部门就同一事项重复检查且标准不一的问题，增加额外负担。为强化该领域监管工作的权责统一，可参考域外国家设置专门个人信息保护机构的方法，在中央统一领导下，指定或者整合一个专门机构来具体实施包括人脸信息在内的个人信息保护的政策制定与执法工作。

其次，除进一步明确各职能部门权责界限之外，还可采取联合协作等方式开展执法工作，以加强资源整合、信息共享、打破壁垒。如2019年初，中央网信办、工信办、公安部，市场监督管理总局发布《关于开展App违法违规收集使用个人信息专项治理的公告》，在全国联手开展治理行动，效果明显。此外，在细分行业的基础上，还应强调具体的行业主管部门也应承担个人信息安全保护职责。如金融行业，中国银行保险监督管理委员会、中国人民银行会积极参与到个人金融信息保护的治理行动中；而在教育行业，教育部、国家新闻出版署等相部门，也会就个人信息保护进行监督管理。

最后，在司法实践中还应对接不同部门法规范，通过诉讼实现对人脸识别信息在内的个人信息的一体化保护。在民事领域，平衡各方主体利益，尊重对人脸识别信息合理使用的创新行为并进行有效规制。在刑法领域，对突破道德底线、性质恶劣的侵犯人脸识别信息的行为进行严厉惩处并长期保持高压态势。

(三)增强个体安全意识与理性

知情同意是个人信息保护的核心和基础，是主体意思自治的体现，这一行为模式预期目标的实现有赖于人的理性，即需要行为人清楚自身的最大利益所在且能通过积极的自主行为予以实现。但在个体长期使用互联网的过程中，“免费”和“分享”几乎成为习惯与共识，而忽视这种“无成本”的服务或产品实际上是个人提供信息或让渡部分权利获得的对价。有鉴于此，信息主体在经济活动中应当更理性地审视和分析个体与产品或服务提供者之间的法律关系，正视自身为取得产品或接受服务将要承担的风险与成本，权利、义务和责任；不断提高认知能力，消除认知偏差；积极获取与人脸识别有关的各类信息；认真阅读人脸信息处理过程中的告知书、协议等书面材料；了解个人信息被侵犯或滥用时的救济渠道。有关部门也可通过舆情引领、宣传教育等方式，让公众知晓人脸识别技术的潜在风险与消极影响；并且通过对各类组织的有效监管，违法犯罪活动的有力打击，消减公众对人脸识别信息处理的不安全感。