沈 磊 邢恩铭

(1.北京大学法学院，北京 100871；2.中国地质大学(武汉)公共管理学院法学系，湖北 武汉 430000)

一、问题的提出

近年来，人脸识别技术得到了很大的发展，这项技术正广泛运用于日常生活中。我国的人脸识别技术正从“身份识别”走向“分析识别”，目前人脸识别算法主要应用于安防、公共、商业和私人四大场景，[1]使用的主体分别是公权力部门、谋取社会公共福利的公共组织、营利性商业机构与个人。人脸使用技术在上述多领域、全方面的广泛应用使其产生了“公私混合”的特点，各主体通过与科技公司达成协作，自我赋能，完成使用目的。

不少网络平台将人脸信息作为登录密钥，比如支付宝近年来推出了刷脸支付。2019年8月底9月初，一款名为ZAO的手机APP面世，只要用户上传自己的高清照片，它就可将影视剧中人物形象的人脸换成用户的人脸。由于新冠肺炎疫情的影响，2020年秋季学期开始，全国很多高校都推行了人脸识别的门禁系统，比如北京大学的各个校门都安装了人脸识别系统，只有北大师生才能刷脸进出校门。人脸识别技术的广泛渗透已然是全球化的趋势，而这些广泛的应用场景背后是法律风险的暗涌激增。随着人脸识别技术的不断发展和广泛运用，人脸识别技术引发的法律问题开始进入公众视野。2019年10月，浙江理工大学特聘教授郭兵对杭州市野生动物园提起了诉讼，原因是郭兵购买了杭州市野生动物园的双人畅游年卡，但是杭州市野生动物园擅自将合同中规定的刷指纹入园方式改变为刷脸入园；2020年疫情期间，清华大学法学院劳东燕教授所居住的小区推行了人脸识别，但是她认为该技术对个人信息的威胁远大于其带来的便利，因此她用行动进行了反对。

由此可见，作为一项新型技术，人脸识别在给社会发展带来便利的同时，也引发了一系列的个人信息侵害风险，因此我们有必要关注由人脸识别技术引发的个人信息保护问题。

二、人脸识别技术的民法界定

人脸信息在物理性质上属于个人的生物识别信息。根据《民法典》第1034条第2款对个人信息的列举，个人信息包括“生物识别信息”，因此人脸信息属于个人信息的范畴。

我国多部法律对个人信息都进行保护。《网络安全法》第76条第5款对“个人信息”的范畴进行了界定。《刑法修正案(九)》新增的第253条之一设立了侵犯公民个人信息罪，对侵犯公民个人信息的犯罪行为进行了规制。《个人信息保护法(草案)》更是对个人信息做出了全面详尽的规定和保护。2020年5月28日通过、2021年1月1日生效的民法典对个人信息的保护也做出了相当详细的规定。首先，民法典在总则部分的第111条对个人信息的保护做出了概括式的规定。其次，人格权编的第999条的“一般规定”规定了对个人信息的合理使用。再次，人格权编第五章“名誉权和荣誉权”这一部分的第1030条规定了处理信用信息时的法律适用。最后，人格权编第六章“隐私权和个人信息保护”中，对个人信息的含义、自然人对其个人信息享有的各项权利、其他主体对公民个人信息的安全保护义务等各方面，使用了6个条文进行了详尽规定。

对于个人信息的法律性质，法学界存在着一定争议。有学者认为，个人信息是随着上个世纪后半叶计算机技术发展而出现的一项新兴权利，个人信息权是不同于传统人格权的一种新型公法权利，个人信息保护应当是一项独立的法律制度。[2]但是，又有学者指出，与拥有个人信息权益的主体相对的个人信息处理者，可以分为国家机关和非国家机关的其他民事主体。作为非国家机关的民事主体在处理公民个人信息时，当然与公民处于平等地位，需要保护公民个人权利；但是在私权利保护问题上，国家机关并不比公民个人处于更优越的地位，若侵犯公民个人信息仍然需要承担法律责任。因此，在公民个人信息的处理和利用问题上，个人信息权益的拥有者与个人信息的处理者属于平等主体之间的民事关系。[3]就整体而言，笔者更赞同后一种观点。个人信息的本质是一种人格利益，所以将个人信息视为公法权益的前一种观点难以成立；但是后一种观点也有一定的偏颇之处。由于对个人信息的处理，既可能涉及国家机关，又可能涉及民事主体，所以笔者认为，在体现私主体利益的情境下，更适宜通过民法来保护；但是如果在体现公共利益的情境下，则更适合通过公法来保护。[4]本文主要从民事权益的维度对人脸信息进行探讨。

人脸信息作为一种个人信息，具有一些与其他个人信息相区别的特性。首先，人脸信息具有出现的新兴性。与自然人的姓名、身份证件号码、住址等传统个人信息相比，人脸信息是随着近年来人脸识别技术的迅速发展和广泛应用而进入公众视野的。无论是支付宝刷脸支付、ZAO这一APP的换脸技术，抑或是“人脸识别第一案”的动物园人脸识别、疫情期间小区的人脸识别门禁，都是近几年才出现的。其次，人脸信息具有内容的丰富性。人脸信息与以往的指纹信息相比，所包含的人的生物信息更为丰富。根据人脸信息可以解析出人的很多其他信息，人脸识别可以判断出人的年龄、性别等信息，还能辨别人的面部表情。据有关研究，根据人脸信息可以解析出人的性倾向，而且预测结果大部分正确。①最后，人脸信息具有泄露后果的严重性。比如，人脸识别技术被用于支付宝的刷脸支付，如果技术足够成熟可能导致用户财产的大量受损，这种侵害结果的危害性可想而知。而这种人脸信息泄露事件屡屡发生，一家提供人脸信息检测的科技公司，由于系统没有设置有效的密码保护，二百多万用户的人脸信息遭到泄露。②

三、人脸识别技术对个人信息的侵害风险

人脸识别技术作为一项新兴技术，对自然人的个人信息有着极大的侵害风险。

首先，人脸识别技术在人们对其侵害性无意识的情况下被广泛使用。由于人脸识别具有非接触性，这项技术可以在被识别者无意识的情况下被广泛使用。人们每天都不断地在摄像头之下被拍摄和记录。目前，人脸识别技术在安保、门禁、支付与认证等场合都得到了非常普遍的使用。除此之外，该技术还被越来越广泛地应用于商场人流量的统计、社区管理、养老金领取、办税认证、物品保管、景区检票、演出场所、地铁安检的进出等场合。在课堂教学中，甚至出现了通过视频监控获取的人脸表情，来观察学生是否认真听课的做法。在疫情期间，高校的校园门禁使用了人脸识别技术管理学生的进出，食堂也用人脸识别检测就餐人员是否佩戴了口罩。如果对人脸信息不经告知而大量使用，有可能涉嫌违法犯罪。即使在告知的情形下，也存在告知不充分的风险。比如收集者有可能没有将自己的身份、收集之后的用途、可能带来的风险告知被收集者。另一方面，由于人脸识别的非接触性和被收集者的无意识性，以及公众对人脸识别技术的风险的漠视，收集人脸信息的行为往往畅行无阻。

其次，人脸信息的保管中存在信息泄露的高度风险。比如，在某网络购物平台就有商家公然销售人脸信息的数据，这一数量接近20万条。③再如，由于疫情期间支付宝健康码需要采集人脸信息，而该系统设计存在一些漏洞，只要输入用户的身份证等信息就能查到用户照片，因此有不法分子利用非法获取的明星身份证号码对很多明星的健康码照片进行查询，并在网络平台上大批量公开售卖。由于人脸信息内容的丰富性，其一旦泄露，造成的风险将远远超过手机号信息与网络账号信息被泄露的风险。再如，根据人脸信息可以解析出人的性倾向，这有可能对识别者造成一定的歧视。

最后，人脸信息一旦被采集之后可能被长久保存下来，这会带来更多的不可控风险。比如，换脸软件ZAO的用户条款④中就规定，用户在该平台上上传或发布的内容该平台将对其永久保存，用户不可撤销，并且该平台还声称对利用用户照片制作的视频享有著作权等法律权利。这种条款一般是格式条款，用户出于好奇和从众的心理在使用该软件时往往都不会仔细阅读，而该条款对用户造成的风险将有可能是不可挽回的。再如，疫情期间高校为了便于管理，对学生收集了大量的人脸信息，但是对于该人脸信息将使用多久往往没有规定和告知。日常生活中，我们手机中经常收到垃圾信息和骚扰电话，给生活带来了很大的烦扰，这说明我们在各大网络平台上的注册信息没有被及时删除，而是被大规模贩卖和利用。而人脸信息一旦被长久保存，就有同样存在被非法泄露和恶意利用的高度可能性。并且人脸信息是比手机号信息更为重要的信息，其一旦被泄露和恶意利用，造成的风险将会更加严重。

四、对于人脸信息的法律保护

第一，收集人脸信息要遵循知情同意的原则。就属性而言，人脸信息属于人格利益的范畴，如果未经其同意而进行采集利用原则上来说是违法的。“人脸”的变化性决定了人脸信息的特征，亦导向了人脸识别技术的复杂性，是故人脸信息在采集后能否被安全合理地使用，是收集主体应当依照法律法规对被收集人作出承诺、使被收集人知情的义务之举。收集主体在收集个人信息之前，应当对被收集人充分告知收集信息的内容和范围、收集信息的用途以及可能造成的风险，尤其是对免除或者限制其责任的格式条款，收集主体应当负有提示和说明义务。比如，在疫情期间许多高校收集学生的人脸信息，而某高校只需刷紫荆码而无需刷脸的做法更有利于保障师生的个人信息权益。

第二，收集人脸信息的主体要尽到妥善保管的义务。人脸信息收集后，产生的收益不可小觑，因而更要在保管中注意其风险。收集主体在收集人脸信息之后，应当严格按照其所承诺的范围和符合法律规定的方式来使用人脸信息。收集主体一旦泄露人脸信息，将按照合同约定或者法律规定承担相应的法律责任，如果涉嫌犯罪还可能承担刑事责任。例如，支付宝健康码对明星照片的泄露，理应承担一定的法律责任。各方主体所收集的人脸信息，一般只有在涉及犯罪等少数场合，才能例外地提供给国家有关部门。

第三，在使用人脸信息时进行隐匿化处理。在匿名与否的选择上，我国个人信息保护法第51条第3项已然明确地将去标识化规定为一种安全技术措施。人脸信息包含的生物信息极为丰富，有的场合对该信息的利用仅涉及一个方面，因此在必要的时候应当进行隐匿化处理。隐匿化处理的具体内涵是，对人脸信息这种可识别性极高的信息去除其可识别性，使其无法定位到具体的个人，无法确定其人身或财产信息。比如，在校园入口进行人脸识别的时候，应当尽量避免透露个人信息。就笔者观察，北京大学校门早期的刷脸会显示被识别者的姓名和学号等信息，后来这些相关信息不再显示，这是一种注意保护个人信息的实操方法。

第四，法律应当规定和保障删除权和被遗忘权。[5]由于人脸信息是极为重要的个人信息，其一旦泄露并被不法利用会造成不可估量的后果，所以在特定情形下应当及时删除或销毁该信息。人脸信息领域的被遗忘权则是能突破传统隐私信息一经公开则无利益可言的状态，给予人脸信息在使用后退回个人的隐私领域内的可能性，在出口处把好最后一道防线。在出现法定或者约定情形时，信息收集主体应当删除其所收集的人脸信息，销毁人脸信息的副本或复制件。比如，疫情期间支付宝健康码平台收集的人脸信息，在疫情结束之后就不应当作其他用途，而应当彻底删除。

第五，在涉及公共安全的情形下，以比例原则作信息采集必要之检验。比例原则检验是一个利益衡量的过程。追求的是信息处理者的利益、个人的权利和社会的公共利益之间的平衡。[4]在上文中已然提到人脸信息采集的“风险性”，那么在个人信息保护的层面，应当以比例原则的最小必要为行为起点；当涉及个人隐私的人脸信息并非是唯一实现目标的途径，那么应以对个人的隐私领域侵犯最轻微的方式来合法地实现各主体的管理需求。在实践中，有执法主体以“涉及公共安全”为由发布通缉犯的人脸信息以期犯罪分子落网，此为合理；而在部分应用情景中，若以“提高效率”为由来规避登记、检验等其他验证个人信息的方式，则有其必要依比例原则对这一行为的风险与收益进行评估和审视。

第六，对人脸信息，在必要的时候通过国家公权力来进行保护。虽然人脸信息属于公民的人格利益，从意思自治和理性经济人的角度出发，公民的民事权益应当由其自身来维护；但是在侵犯公共利益的情况下，仍然有必要通过国家权力来对这一方面的人格利益进行保护。正如瓦格纳所说的“大规模的微型侵害”中，被收集主体的个人往往诉讼力量不够、诉讼动力不足，这时需要国家机关承担起维护公共利益的职责。[4]对于前文所说的二百多万用户的人脸信息遭到泄露的情形，国家机关应当介入，建立个人人脸信息保护架构，通过执法手段对这些被侵害者的个人信息予以保护。

注释:

①②③参见劳东燕：《人脸识别技术运用中的认知误区》，载微信公众号“劳燕东飞”，2019年11月4日，https://mp.weixin.qq.com/s/Mk8vQUI0vQeN3yNsVBXB0w。

④参见https://www.sohu.com/a/337862209_483391。