廖瑞怡

（广西师范大学 法学院，广西 桂林 514006）

0 引 言

在数字技术广泛运用的当下，人脸信息的识别、应用及传播均依托于计算机和网络技术，而在技术变革面前，风险社会的影响与日俱增，个人控制风险的能力减弱，容易对个人造成威胁。人脸识别技术广泛运用，一方面，可以帮助全方位、整体性地提高个体的生活质量[1]、社会运行效率；另一方面，易产生技术专断和过度渗透的风险，从而威胁或过度拘束个体、危害公共秩序。倘若不对具体场景中的人脸识别信息处理行为进行针对性规制，当人脸识别信息遭遇泄露或不当处理时，人脸识别信息与散见于各平台的个人信息组合，其识别的个人信息范围扩大，更容易标识特定个体，对隐私带来风险，其结果不但威胁个人，而且影响个人对信息处理者的信任、对技术应用的信心，不利于今后个人信息的合理分配、数据的自由流通，既损害个人利益，又不利于公共利益的实现。我国“人脸识别第一案”[2]——郭兵诉杭州野生动物世界服务合同纠纷一案的判决，促使我们对人脸信息处理问题进行进一步探索，即如何在不同场景以利益衡量思维，满足信息主体与信息处理者各自的合理期待，促进对人脸识别信息的合理利用。

对于人脸识别信息保护，美国学者海伦·尼森鲍姆创立的场景理论正逐步成为学界主流观点，国内学者对此也有不少讨论。邢会强[3]基于人脸识别应用场景多元化，提出以场景理论与预防风险理论对人脸识别加以规制；胡凌[4]针对刷脸在身份认证与识别场景中的原理，对其构建不同的场景标准并应对；杨复卫等人[5]指出，人脸识别技术因不同场景而有不同属性，应对其采取场景化的治理模式，形成完善可信赖的人脸识别技术；叶涛[6]针对公共场所人脸识别技术应用的规制，以利益衡量场景化要素开展分析，构造3类场景明确技术应用边界。个人信息的场景化保护是针对技术造成风险的一种调节方法，从而在具体场景中实现个人信息权益保护、风险有效规避、信息合理利用的三者平衡[7]。

从现有研究可见，场景理论为学界研究人脸信息保护路径提供了理论基础，然而，现有成果侧重于对人脸识别技术应用的规制，涉及人脸识别信息保护路径的成果较少，对于如何阐释与运用场景理论也缺乏具体、充足的文献。本文构建场景化分析框架，对不同场景中人脸识别信息面临的风险进行具体治理，衡量信息主体与信息处理者的利益，满足各自需求，以期建构数字化时代下良好的个人信息治理模式。

1 人脸识别信息的属性

1.1 人脸识别信息的工具属性：可识别性

明晰人脸识别信息的工具属性有利于其合理保护与分配。2020年《民法典》、2021年《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》和《个人信息保护法》（以下简称《个保法》）等规定对“个人信息”进行一致的定义，即以电子或其他方式记录的与已识别的或者可识别的自然人有关的各种信息（不包括匿名化后处理的信息)。为《个保法》立法所借鉴的欧盟《一般数据保护条例》，其中第四条也将可识别的信息作为认定个人的标识[8]。可见，我国和欧洲的个人信息保护立法将“可识别”作为个人信息的属性。我国亦有学者提出，用于标识自我、识别他人的个人信息，构成社会交往的基础[9]。

人脸识别信息指的是根据自然人面部在生理上的独特性、专属性，能对个人身份进行对应、鉴别、关联的信息，其“识别性”相比其他个人信息更加显著。刷脸支付、刷脸通行、刷脸打卡等应用场景就充分利用了人脸识别信息的工具属性，即通过人脸识别信息匹配个体身份，为社会提供准确的个体关联信息，给予个体高效、便捷的体验。但同时，其具有高度敏感性，一旦遭受泄露或者被不当利用于以上应用场景，则会产生巨大的潜在风险。因此，应当认识到人脸识别信息的工具属性具有双刃性，不但享受“可识别性”带来的社会红利，而且要根据其在不同场景的性质与价值，施以不同的保护手段。

1.2 人脸识别信息的权利属性：个人属性和公共属性

探明人脸识别信息的权利属性有助于合理建构其保护模式。个人信息的权利属性，大致上可以区分为“双重属性说”和“个人属性说”两种，两种学说分别对应着两类不同的保护模式。

赞成“双重属性说”的学者认为，个人信息连接着个体与社会，包含着公民个人利益和社会公共利益，二者不可偏废，在此基础上考量并解决个人信息方面的相关问题。例如，郭春镇[10]主张在多元主体之间合理分配个人信息，促进数据治理；郑晓剑[11]基于个人信息的个人与公共属性，提出对其给予行为规制保护模式。持“个人属性说”的学者认为，依托该技术而兴起的企业相对于个人具有优势，应当把个人信息作为一项绝对权利来保护，为个体赋权。例如，叶名怡[12]提出将个人信息作为一项人格权加以保护；吕炳斌[13]参照知识产权，并分析个人权利化的必要性，对个人信息权利化进行证成。

对比而言，“双重属性说”及其对应的人脸识别信息的保护模式更具合理性，体现在人是社会关系的总和，个人信息的公共属性来源于个人信息在社会生活中流转的需要，即个人进行社会交往的必要，公共属性是个人属性的延伸。因此，为了信息的流通共享，在人脸识别技术广泛运用的背景下，人脸识别信息不宜被“私权化”保护[14]。当个人将其人脸识别信息提供给社会使用，由信息处理者进行处理时，人脸识别信息则作为一种“社会资源”，具有公共属性，因此，被置于公共领域的人脸识别信息面临不确定的风险，应当在具体场景中平衡好人脸识别信息的个人属性和公共属性，在不侵害个人权益的前提下，有利于公共利益。

2 人脸识别信息保护场景化分析的必要性

在保护个人信息权益的同时，推动个人信息在多元主体间被合理利用和分配，促进信息共享、数据流通，是国家治理水平和治理能力现代化的重要体现。鉴于人脸识别信息在数字化时代蕴含的风险，已有学者主张以场景化规制人脸识别技术，然而对于既已流通的人脸识别信息也同样应当将其置于特定场景中，衡量与配置各方利益，从而使信息在具体场景中符合各方的合理期待。

2.1 人脸识别信息运用场景具有复杂性

人脸识别信息能够在多场景中发挥其识别属性，不同场景涉及多元主体间的利益分配需求，需要在不同场景中调整信息主体和信息处理者之间的利益天平，保障各方主体的核心利益，配置其非核心利益[15]。

用于出入私人空间的人脸识别信息只涉及本人对其信息进行使用和处理，一般不涉及其他主体，如刷脸入户、手机解锁。用于网络空间，由本人经过“告知—同意”而主动提供的人脸识别信息通常能够为隐私条款所保护，但也存在信息泄露等潜在风险。随着计算机技术的兴起，数据存储具有方式便利、存储容量大的特点，可能造成平台垄断，甚至数据库所存储的高敏感人脸信息，一旦因安全保障措施或者操作不当导致泄露或遭攻击，将引发公众恐慌。基于此，因个人使用某一服务而需要提供人脸识别信息的，网络运营商则应当以遵守隐私规则、加强信息保护措施作为其获取人脸识别信息的代价，以此保证双方利益天平的稳定。运用于公共场所的人脸识别信息，涉及个人、国家机关、其他组织，涉及公共管理服务、场所安全保障、雇主监视、消费者服务等领域，不能采用“一刀切”式的规制方法。例如，《民政部办公厅关于全面应用人脸识别技术提升流浪乞讨人员救助管理服务能力的通知》规定，在全国救助管理机构全面应用人脸识别技术。因此，在国家机关为治理跑站骗票行为、甄别在逃嫌疑人而使用相关技术处理人脸识别信息的场景中，信息主体应当让渡其人脸识别信息处理权；又如，根据《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第十条第一款：“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式，不同意的业主或者物业使用人请求其提供其他合理验证方式的，人民法院依法予以支持。”在出入物业管理区域的场景中，信息主体有权要求物业提供多种出入方式，不以人脸识别作为唯一的验证方式，此种情况下应充分保障信息主体的个人信息权益。多元主体并存、多重关系交织、多种利益共生，容易产生价值冲突，以及技术和信息运用上合法性、正当性、必要性的争议。据此引入“场景理论”，在具体场景中平衡、均衡公私法益[16]，防止对人脸识别信息采取无差别保护，忽视对其中具体风险的防控。

2.2 不同场景下的个人信息具有聚合性

信息处理者收集人脸识别信息的同时，还会获取其他私密信息、非私密信息或二者的集合，而不同信息类别以及不同信息类别的组合均承载着复杂的利益，存在着不同的风险[17]。

售楼处、商场等公共场所运营者通过安装人脸识别系统，识别用户人脸信息后，会基于用户的表情、动作、衣着等进行用户画像，不但收集人脸识别信息，还收集用户习惯、意愿等其他信息。学校、公司门禁较多设置人脸识别系统以识别学生或员工身份，当学校、公司用于储存人脸识别信息的计算机系统被不当操作或遭遇攻击时，学生、员工的人脸信息，以及其他个人档案信息都会泄露，而在此情境下，未成年学生的信息敏感程度高于成年人的信息。据此，在具体场景下，针对人脸识别信息主体，应当有具体的信息处理标准。如若不对具体人脸识别信息应用场景进行针对性规制，任由信息处理者对所收集的信息采用统一的处理标准，就容易导致因信息不当使用、外泄并与其他信息相结合而导致的风险扩大，严重威胁个人隐私安全、破坏社会秩序。因此，对人脸识别信息的保护应当分类分场景予以分析，规范信息分配与处理方式。

2.3 不同场景下侵害信息权益方式不同

不同场景存在的对人脸识别信息的侵害方式和程度并不相同，人脸识别信息所面临的风险也随着具体场景而变化，若缺乏相对应的规制措施，容易发生难以控制的侵权风险。

例如，在线上支付场景中，若服务商未经用户同意开启刷脸支付功能，则损害了用户对其人脸信息处理的知情权和决定权；在线下银行刷脸取款、转账场景中，尽管对预防诈骗有积极意义，但若收单机构、商户等中间环节违背由中国支付清算协会发布的关于印发《人脸识别线下支付行业自律公约（试行）的通知》的第六条规定，截取并收集原始人脸信息，则侵犯了个人隐私，侵害了信息主体的信息处理权；在刷脸取快递场景中，若信息处理者未对设备采取活体检测技术，他人使用打印照片或电子照片就可能取走任何人的快递，不但人脸识别技术未发挥其便利作用，而且信息主体的信息权益、财产安全都会受到侵害。在数据存储环节，无论信息处理者是国家机关，抑或营利、非营利组织，若未采取加密等保障手段使数据库遭遇病毒入侵、黑客攻击，信息同样会存在泄露风险，具有高度可识别性的人脸识别信息极易被不当利用。鉴于此，需以动态的眼光在具体场景下对人脸识别信息的安全保障需求、利益分配需求等进行分析，对安全、秩序、自由、正义等价值予以保障。这有助于灵活、有针对性地保护人脸识别信息、规制侵权行为，对于保证多元主体在特定场景内的合法有效参与，实现“场景正义”具有重要意义。

3 人脸识别信息保护场景化分析的要素

人脸识别信息存在高识别性，当被运用于各个场景中时，将产生不同的人脸识别信息侵害模式。基于人脸识别信息运用涉及个人与公共利益的平衡，有必要以信息处理的目的、主体、方式、场合4个要素予以利益衡量，构建场景化分析的宏观标准，进而确定价值位阶顺序。

3.1 信息处理目的

根据《个保法》第六条，处理该人脸识别信息必须是基于合理、明确的目的需要，即处理目的的范围“最小”原则。例如，平台软件经授权采集的人脸信息，只能在相关条款规定范围内处理，不得出售或非法向他人提供。同时，必须具备以下条件：一是将采取严格的保护措施，作为信息处理者处理人脸识别信息的“准入资格”；二是不得过度侵害个体的信息权益，更好地促进人脸识别信息的合法有效流通；三是不得用于不正当竞争，不得违反道德伦理及公序良俗，以免造成人脸识别信息的不对称运用。

3.2 信息处理主体

《个保法》第七十三条指出：“个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。”除个人对其本人的人脸识别信息进行处理外，其他信息处理者包括国家机关、非营利组织、营利性组织，其中非营利组织、营利性组织，可能涉及经法律授权的人脸识别信息委托处理方。一般而言，国家机关对于信息处理有较严格的程序，对信息保护有较高的防范措施；而其他主体，范围广、数量多，大型组织处理的数据多、风险较高；中小营利组织尽管处理的数据有限，但在措施保障方面的表现更弱，对人脸识别信息安全产生的风险高。由此，对于“其他主体”的个人信息处理活动应当有更严格的约束与监管，例如严格准入资格、严格审核力度。

《个保法》在第四十四条至第五十条规定了个人在个人信息处理活动中的权利，包括知情权、决定权，请求查阅、复制、更正、补充、删除、进行解释说明等“个人信息权利束”[18]，保障信息主体在确有利益保护需求时，其能够发挥对信息的控制力，以及对信息处理的干预程度。因此，所有信息处理者应保障“权利束”，让信息实践体现公平正义。

3.3 信息处理方式

在信息处理方式上，应当遵循《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（以下简称“人脸识别解释”）第四条规定。此外，根据《个保法》第五条、第六条、第七条、第十四条，运用人脸识别信息在手段上应当符合比例原则和诚信原则，采取对个人权益影响最小的方式；同时遵循公开、透明的原则按程序处理，把控好对信息主体的入侵程度。第十四条规定的“告知－知情－同意”规则[19]，则表明处理人脸信息应当加强程序性告知，保障信息主体的知情权，尊重其选择。因此，可以根据是否经过该规则，将信息处理方式加以区分。

对于信息主体主动提供人脸识别信息的情况：一是信息主体已经知情且同意。例如，当用户使用需要人脸识别的网络服务时，信息主体根据隐私条款对信息处理方式已知情同意，在此情况下，处理人脸识别信息时对信息安全产生的风险较弱，对信息主体的入侵强度低。二是已经告知信息主体，而信息主体不知晓潜在风险从而做出同意。例如，公共场所的门禁识别系统，信息主体已知晓需要并且主动披露人脸信息，但并不确定其人脸信息的去向及处理方式，此时，处理人脸识别信息的风险较高，对信息主体的入侵强度较高。

对于信息主体本身不知情、人脸识别信息被获取的情形，尤其在商场等公共场所，门店告知消费者“摄像中，请保持微笑”，消费者误以为店内设有监控设备，但实际上该设备是人脸识别系统，用于识别个体，深度分析消费者群体特征及消费意向等。这种情形下，信息处理者未经告知即处理人脸识别信息，违反了信息处理的比例原则和诚信原则，对人脸识别信息安全产生的风险高、对信息主体的入侵强度高，应当予以最严格的规制。

此外，信息处理者在进行人脸识别信息的收集、存储、传输、使用、加工、提供、公开、删除等处理过程中，应采取足够的安全措施。收集时，以支付宝和微信刷脸支付为例，采取3D人脸识别技术，以软硬件结合的方法开展监测，多维校检，确保收集的人脸为本体、活体；存储时，采取加密措施、遗忘措施，防止因泄露被不当利用；传输时，以人脸识别线下支付为例，确保端对端的人脸识别信息保护，防止中间阶段截取留存信息。

3.4 信息处理场所

不同场所的相关主体应被赋予不同的信息处理要求，非必要不适用或使用可替代的身份验证方式，使用适应特定场景的身份验证方式[20]。在半公开场所中，例如对特定多数人开放的大中院校、工厂等，信息处理者拥有的人脸识别信息的数量较小，关系到的利益范围较小，一旦发生个人信息权益受侵害的纠纷，解决起来相对容易。在公开场所中，例如对不特定多数人开放的大型商场、地铁站、机场，人员密集，流动与交互频繁，信息处理者掌握着大规模的人脸识别信息，涉及不特定多数人的权益，公共利益重要程度大，一旦发生人脸识别信息被泄露或不当运用的情形，其产生的不良影响更为严重，具有社会性，对个人信息权益的救济较困难。因此，应对公开场所的人脸识别信息处理予以严格规范。

4 人脸识别信息保护场景化分析的类型

人脸识别技术嵌入多场景，以工具赋能的时代加大了信息主体的风险。为满足各方对人脸识别信息的需求与期待，需要在各方利益间寻求价值平衡，防止价值间冲突，确立人脸识别信息保护的边界，合理确定价值位阶标准，并于特定场景中进行个案平衡。具体而言，可以分为3个场景进行讨论。

4.1 优先保障重大公共利益的场景

在重大公共利益有需求的场景下，尽管个人不明确其人脸识别信息的处理情况，具有一定风险，但为了重大公共利益需要，如为应对重大公共卫生事件、社会治安突发事件、侦查惩治重大违法犯罪活动等状况，信息处理者有信息处理需求时，个人应当让渡其个人信息处理权，充分发挥人脸识别信息的可识别性优势，凸显其公共属性。

例如疫情防控期间，相关信息处理者不需取得个人同意即可收集人脸识别信息的情景，对应《个保法》第十三条第四项：为应对突发公共卫生事件所必需。对此类场景的场景化要素分析如下：首先，信息处理目的必须是以为实现特定重大公共利益需要为限；其次，信息的处理主体应当限定为国家机关或者经法律授权的组织，其中，个人信息处理者委托方和受托方应遵循《个保法》第二十一条的规定；最后，信息处理方式为无须取得个人同意，但仍然要遵循法定程序，以损害最小为目标，不得扩大处理范围，防止滥用与随意处理。以此确定该场景下人脸识别信息处理的标准，既保障重大公共利益的实现，又防止以公共利益为由滥用人脸识别信息。

4.2 实现一般公共利益与群体利益需要的动态平衡场景

为防止以公共利益之名侵害个人利益，应当对公共利益进行程度划分，区分为重大公共利益和一般公共利益，实现一般公共利益与群体利益之间的平衡，同时为保护个人利益留足空间。

例如在社区这一场景，物业管理方为了鉴别出入者身份，维护社区范围内的公共安全，会在社区门禁安装人脸识别系统，以提升社区的管理效益。社区安全是一般公共利益，社区管理便利则涉及物业管理层的群体利益，应当在社区安全保障和社区管理便利之中寻找平衡点，不可因其中一者需要而过度处理人脸信息，侵害个人权益，同时要有严格的保护措施。即非为公共安全保障之必须，应当经过明确告知和知情同意才能安装人脸识别系统。而在门禁安装人脸识别系统并不是保障社区安全的唯一方式，为此应分类别讨论：未明示告知不得使用；知情同意者，可以刷脸通行；知情不同意者则采用刷卡等其他方式通行。同类场景还包括需要刷脸查验身份的场所，如大型体育赛事场馆、地铁、大型演唱会等人员聚集场所，以及需要刷脸认证身份的App，如网上银行等。另外，《个保法》第十三条规定的第五项、第六项等也包括在此类场景中，但无须取得个人同意。

依据《个保法》第二十六条，在公共场所使用人脸识别设备的，应当明示或告知，且所收集的信息只能用于维护公共安全；《个保法》第十七条规定，信息处理者在处理个人信息前，应当以清晰易懂的语言向个人进行事项告知。在此类场景下，信息处理者处理人脸识别信息的前提是履行“告知—知情—同意”规则，一旦收集信息，应对掌握的人脸信息采取严格的保护措施，一方面实现技术赋能社会治理，另一方面保障信息主体权益，平衡各方利益，促进人脸识别信息安全有效流通。

4.3 充分保护个人利益的场景

即便有个人信息的“告知—知情—同意”规则进行约束调整，在某些场景中仍然存在相关行业信息处理者无视或轻视规则，侵害人脸识别信息，影响个人利益和公共利益的现象。2021年“3·15晚会”曝光科勒卫浴在其所有门店安装人脸识别摄像头事件引起哗然。这些摄像头能够自动抓取顾客人脸，标识其个人信息，方便进行价格歧视。在门店安装人脸识别系统，进行用户画像，以便精准营销，从而达成自身利益的商户并不在少数，宝马汽车4S门店、MaxMara商店也存在同样的现象。而为商户安装人脸识别系统的苏州万店掌网络科技有限公司，其平台已经掌握了海量的人脸数据，多达上亿[21]。2022年7月21日，滴滴公司因从2015年6月至今长期过度收集的乘客人脸识别信息累计1.07亿条，被国家互联网信息办公室“双罚”[22]。

从上述典型的、具有社会影响力的案件中可见，在日常生活中，非基于公共利益，未经个人知情同意而非法获取、利用人脸识别信息，识别个人身份的现象较为普遍。即使非经披露，个人的人脸识别信息仍然面临无感知被获取、不当处理的风险。在课堂、商场等场所，相关单位、组织为了自身便利会在其支配空间内使用人脸识别系统。实际上，无论是为满足其作为管理者的“雇主监视”需要，抑或为商业判断与决策需要[6]，都难以判断其收集的人脸数据是否用于特定合法目的、是否在合理范围内使用、处理方式是否正确。相关组织容易涉嫌泄露或非法获取、过度收集或不当利用人脸识别信息，而这在手段和侵权效果上看具有隐蔽性。此外，不在合同履行、条款规定的必要范围内，强制绑定授权等处理人脸识别信息存在违反法律、法规、行业规定，及违反道德伦理的情形也被当然禁止。

在这类场景中，信息处理目的同样应当以公开告知的、合法的特定目的为限；信息处理方式上，必须经过清晰明确的“告知—知情—同意”或单独同意（但在被当然禁止的运用场景中，即使经过上述规则，也应被认定为无效），并适时使用严密的信息处理系统，如软硬件结合识别、设备绑定、加密措施、值守场景、终端安全等。处理此类场景应当站在作为弱势群体的个人角度，以保护个人利益为基点，充分保障信息主体的信息安全，对相关信息处理者予以准入制度、定期事后审查监督机制。当出现违法违规情况，及时给予相应处罚，防范电信诈骗等下游犯罪，让违法违规者无处遁形。

5 结 语

人脸识别信息具有极高的可识别性，倘若将个人的人脸识别信息置于公共领域，可能给个人和社会带来相关风险。人脸信息含有个人属性和公共属性，如何在各种具体的信息处理场景中实现对信息权益的充分保护，同时促进信息的合理利用[19]，不仅是《个保法》立法的题中之义，也是对立法、执法者判断个案事实情节与利益衡量的考验。通过人脸识别信息保护的场景化分析，能够构建数字化时代下良好的个人信息治理模式。

在以场景化方法对风险与利益开展分析之余，还应加强人脸识别信息的公私法协同保护，发挥公私法不同治理机制的作用[23]，强化专门法与一般法、立法与执法、实体与程序的法法衔接[24]，软法与硬法协同发力。未来，还需对部门协调联动保护个人信息的理论体系开展进一步分析与研究，推动全方位保护个人信息，有效促进数字治理，推进国家治理体系和治理能力现代化。