杜欣芸， 刘湘琛

（湖南师范大学，湖南 长沙 410000）

基于生物特征信息发展的识别技术包括DNA 识别、指纹识别、虹膜识别、声纹识别及人脸识别等。其中，人脸识别是基于面部特征进行身份识别的技术。人脸识别技术可在一定范围内通过摄像头捕捉面部特征即可精准分析，从而进行人脸识别。人脸识别技术无需被识别主体主动配合，脸部信息被追踪即可认证，因此易被盗取，这造成对个人相关民事权益的侵犯，从而引发相关法律问题：一方面，人脸识别信息的技术保护措施尚未达到应有力度，人脸信息存储不够安全，容易被滥用，尤其是为商业利益而售卖人脸识别信息的行为，严重侵犯个人隐私权；另一方面，各种应用软件超越权限范围，商家采用格式合同强制或半强制用户提供个人人脸信息，并对其进行处理分析，以牺牲用户个人信息为代价，实现商业价值。此外，伴随仿真头套的出现及相关技术的发展，人脸图像的可复制性成为可能，人脸识别信息被滥用的可能性增加。因此，人脸识别技术应用的权益矛盾与法律平衡成为一个亟需关注的课题。

一、人脸识别技术应用引发的权益矛盾

（一）人脸识别技术的概念和特征

人脸识别，通常也叫人像识别、面部识别，是基于人的脸部特征信息进行身份识别的一种生物识别技术。人脸识别系统主要包括人脸图像采集及检测、人脸图像预处理、人脸图像特征提取、人脸图像匹配与识别四个组成部分，主要是针对人脸中不易产生变化的部分，如眼眶、颧骨周围及嘴部边缘等区域进行图像处理。[1]

人脸识别技术在交通、金融、教育等领域广泛使用。在识别对象、识别程序以及识别效果方面，均具有其独特性。其一，人脸识别技术的对象是人脸信息。与个人信息中的姓名、出生日期、身份证件号码、住址、电话号码、电子邮箱、行踪信息等相比，人脸特征信息属于生物识别信息，直观反映个人体征，可直接识别特定自然人，具有高度敏感性，一旦脱离主体控制容易对个人造成侵害。此外，人脸信息不仅具有一般人格权意义，同时具备财产权属性，尤其是在大数据时代的今天，人脸识别数据的商业价值更为凸显。其二，人脸识别技术的程序具有便捷性。其使用主要通过计算机视觉应用进行操作：先进行数字化人脸图像生成，随后进行人脸检测，然后再进入人脸匹配，提取人脸特征信息。通过比对人脸与所提取的人脸特征，人脸识别认证得以实现。[2]操作简单，相关设备也不必要直接接触被识别主体即可获取人脸识别数据。其三，人脸识别技术的效果显著。社会生活方面，该项技术带来巨大便利，就如微信刷脸支付可以缩短消费者的支付时间，以人脸识别为基础进行电子身份证的开发也大大减轻了往返取证的时间成本；在保障公共安全方面，公安部门在侦查犯罪时应用人脸识别技术，能更精准有效地预防、识别和打击犯罪。

（二）人脸识别技术应用中的权益矛盾

然而，随着人脸识别技术广泛深入地应用于社会生活的方方面面，这一技术扩张的趋势很难不威胁到法治社会中日益高涨的公民个人信息保护需求。一方面，公民个人的隐私权及信息自决权作为人权的重要内容必须强化保护，包括政府在内的信息处理主体在利用人脸信息的过程中必须保持克制，避免触碰公民基本权益的底线；另一方面，相对于公民个体，政府与其他利用人脸信息的商业、技术主体具有天然的技术和信息优势，特别是基于社会公共利益优先原则，政府在处理人脸识别信息时又具有了法律优势。人脸识别技术应用中“保护”与“利用”之间的矛盾，具体表现为以下两个方面：

第一，公民人脸信息的权益保护与商业利益的急剧扩张存在直接矛盾。大数据时代，广泛收集包括人脸信息在内的公民个人信息，基于深入的数据分析进行商业预测，充分挖掘个人信息的商业价值，已成为互联网产业发展的必然趋势。尤其是针对特定消费者进行的个性化商业预测和精准广告推送等数据处理方式成为热门应用后，数据之争已成为商业竞争的主旋律。国家也积极推进数字经济建设，提升数据要素市场竞争力。因此，除了个人信息之人格利益，包括人脸信息在内的个人信息数据所衍生出来的商业价值获得了高度关注，我国信息产业也迎来了发展的黄金时期。①但基于天然的技术和信息优势，相对于收集处理人脸信息的商业机构，公民作为个人信息的被收集者，明显处于信息不对称的劣势地位，有关自身人脸信息的知情权、自决权、处分权乃至收益权均有可能遭受隐性侵犯。我国“人脸识别第一案”（2019 年郭某诉某野生动物世界有限公司案②）说明人脸识别信息及指纹这类高度敏感的个人信息在现实生活中存在较高的受侵害风险。随着人脸识别技术应用愈加广泛，在可预见的未来，类似的侵权案件会不断增多，两者的矛盾也会越来越多。

第二，人脸识别技术应用中公民人脸信息权益与政府所代表的公共利益之间也存在矛盾。我国法律赋予有关国家机关基于公共利益在合理限度内使用人脸识别技术的正当性，在法律规定的情形下，有关国家机关可以不征得公民同意处理人脸信息。欧盟的《通用数据保护条例》也规定，成员国为了维护国家安全可以对数据主体的相关权利予以适当限制。但值得注意的是，“公共利益”乃至“国家安全”都是较为抽象的表述。在个案的具体语境中，处理人脸等高度敏感的个人信息是否为公共利益或国家安全所必需？采集、利用的程度是否为公共利益或国家安全所必要？对这些问题，作为信息处理者的政府与作为被处理者的公民之间极有可能存在着理解上的分歧。

二、我国人脸识别技术应用法律原则的演变

人脸识别技术给社会带来便利的同时，也引发了公民个人信息权益、商业利益和公共利益之间的矛盾。因此，人脸识别技术的应用需要通过法律确立信息主体的个人利益、技术主体的商业利益以及政府的公共利益这三种利益的边界，以实现法律规制之下的利益平衡，这需要与时俱进的法律规制原则。

（一）“安全理念”下的秩序原则

人脸识别信息是科技进步的产物。当人脸识别技术尚未广泛应用于社会生活中时，人脸识别信息是与个人信息混同进行概括式保护的。《中华人民共和国民法典》（以下简称《民法典》）实施之前，我国法律对公民个人信息保护总体而言体现了强调网络安全的“安全理念”[3]。在“安全理念”之下，法律规制的重点是构建井然有序的网络安全秩序，即“秩序原则”。2012年全国人大常委会通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》（以下简称《网络信息保护决定》）以及2016 年全国人大常委会通过的《中华人民共和国网络安全法》（以下简称《网络安全法》），体现了“安全理念”之下的秩序原则。《网络信息保护决定》第4 条明确要求：“网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施，确保信息安全，防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时，应当立即采取补救措施。”《网络信息保护决定》总计12 条，一半左右的条文规定了网络服务提供者为保障用户电子信息安全所承担的义务。在此基础上，《网络安全法》更加明确其立法目的是“为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，……”，并且强调“国家坚持网络安全与信息化发展并重”“国家制定并不断完善网络安全战略”“维护网络空间安全和秩序”。

安全理念强调秩序原则，网络安全和网络秩序这两大法律价值被赋予优先地位，公民个人信息权益的价值与保护居于次要甚至附属地位。这就导致此时我国个人信息保护立法分散，内容简单重复，缺乏顶层设计和整体制度构建。国家对包括人脸识别信息的“个人信息”在法律性质上未予定位、在保障方式上未予明确。

（二）“赋权理念”之下的强化保护原则

鉴于网络安全理念之下的立法对个人信息保护不足，在《网络安全法》公布之际，不少学者主张将个人信息作为特殊客体纳入已有的公民权利体系，这就是以公民权利框架保护个人信息的“赋权理念”[3]。但是，人脸识别信息仍未得到充分重视，它还是与其他个人信息被立法统合在一起进行概括式的权利保护。

在赋权理念指导下，法律加强了对公民个人信息的保护力度，体现出强化保护的法律原则。2013 年修订《中华人民共和国消费者权益保护法》时，在第14条中增加了消费者“享有个人信息依法得到保护的权利”。2020 年修订的《中华人民共和国未成年人保护法》（以下简称《未成年人保护法》）第4 条第2 款第3 项增加“保护未成年人隐私权和个人信息”，对未满14周岁未成年人个人信息进行特殊保护，对这类信息进行处理需要经过法定监护人同意，法定监护人要求信息处理者更正、删除的，信息处理者必须及时作出更正或删除，同时网络服务提供方发现未成年人在网络上发布私密信息时必须提示并采取必要的保护措施。可以说，《未成年人保护法》是赋权理念之下强化保护原则的进一步实体法化。

《民法典》更是生动体现了强化保护原则。包括人脸识别信息在内的个人信息被融入现有的人格权体系实现了权利化保障，可谓意义深远。首先，个人信息作为人身权益被人格权保护。《民法典》在第111 条宣告“自然人的个人信息受法律保护”，将公民个人信息权益纳入人格权的权利体系，作为一种绝对权，“任何组织或者个人”均负有不得侵犯特定公民个人信息权的义务。这是以基本法的形式奠定了公民个人信息法律保障的基调。其次，在具体权利结构设计中，将公民个人信息权益与隐私权并列，作为人格权的一章。从第1034 条到第1039 条全面规定了对个人信息的保护。第1034 条第1 款宣示了对个人信息的法律保护；第2 款以“概括+列举”方式定义了个人信息的内涵，人脸信息被包含在“生物识别信息”这一类；由于人脸信息可直接识别到特定公民，在第3 款中人脸识别信息又被视为私密信息得以强化保护。第1035 条到第1039 条则分别规定了个人信息处理的原则，免责事由，自然人的查阅、复制、异议、更正等权利，个人信息处理者的义务，国家机关及其工作人员的保密义务等，构建起完整系统的个人信息权利保护体系。再次，《民法典》将个人信息分为私密信息和非私密信息，私密信息，如人脸识别信息，适用隐私权和个人信息权益双重法律保护。

然而，尽管《未成年人保护法》《民法典》极大提升了个人信息的保障力度，但直至《民法典》正式实施，立法仍未将“人脸识别信息”从“个人信息”中分别出来予以单独保护，面对人脸信息识别技术应用的狂飙猛进及其技术风险，这不能不说是一大立法缺憾。

（三）综合理念之下的保护与利用相结合的平衡原则

为及时补救这一立法缺憾，最高人民法院于《民法典》实施之后不到一年即出台《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（以下简称《人脸识别技术适用法律若干问题的规定》）。在这一司法解释中，人脸识别信息从《民法典》第1034 条中的“生物识别信息”被单独列出予以特别保护。一方面，该司法解释以司法权强化了对人脸识别信息的保障。该司法解释明确了侵犯人脸信息的八种具体情形③，确定了信息处理者的举证责任分配、共同侵权责任的承担、侵犯人脸识别信息造成财产损害的赔偿等内容；当公民发现自己的人脸识别信息正在被侵害，可向人民法院申请“人格权侵害禁令”；如发生大面积人脸识别信息被侵害事件，消费者协会可向人民法院提出公益诉讼；④同时，针对人脸信息识别技术应用过程中，自然人的知情权极易被架空、知情同意原则几乎形同虚设的现状⑤，该司法解释规定在三种侵犯人脸识别信息的情形中，信息处理者即使形式上征得自然人或监护人同意，也不得以此为由进行抗辩。⑥另一方面，为确保人脸识别技术合理利用，该司法解释还确定了五种情形，符合这五种情形的信息处理者主张不承担民事责任的，人民法院依法予以支持。⑦这表明司法权在救济保障的同时，为合理利用人脸信息这一高度敏感的数据资源预留了相应的空间。《人脸识别技术适用法律若干问题的规定》鲜明体现出司法机关在解决人脸识别信息权益纠纷时的新理念新原则，即综合理念之下保护与利用相结合的平衡原则。

但《人脸识别技术适用法律若干问题的规定》作为司法解释，其效力涵盖的是对业已形成民事纠纷的人脸识别信息侵权案件的法律适用，因此仅仅是司法权对人脸识别信息的司法保障。人脸识别信息保护的综合平衡的法律价值理念需要通过规范性法律文件的制定和实施向社会生活全面渗透。2021 年8 月20日通过的《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）在第1 条即明确宣示其立法目的是“为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用”，这就是综合理念之下保护与利用相结合的平衡原则。

《个人信息保护法》兼有公法和私法的双重性质，是通过有效规制明确法律边界，对个人信息包括人脸信息进行合理的保护和利用。第一，运用私法“权利-权利”的保障方式明确商业性质个人信息处理者合理利用个人信息的法律边界。其一，《个人信息保护法》设置了对商业性质个人信息处理者处理个人敏感信息需要承担的特别义务。不同于《民法典》，《个人信息保护法》不再将人脸识别信息作为“私密信息”，而是将其归类为“敏感信息”加以保护。《民法典》中人脸识别信息属于私密信息，既可适用隐私权规定又可适用个人信息保护的法律规定，其立法初衷在于突出公民对个人信息保护方式的自主选择。《个人信息保护法》将个人信息区别为敏感信息和非敏感信息，人脸识别信息属于敏感信息，这样的区分是为了更有针对性地提高个人信息处理者处理敏感信息的法定义务，其立法主旨在于加强规制。[4]《个人信息保护法》强化了人脸识别信息等敏感个人信息的处理者必须取得公民单独同意的义务，处理未满十四周岁的未成年人的人脸识别信息还必须经过其法定监护人的同意；增加了个人信息处理者处理敏感个人信息的法定条件——只有在具有特定目的和充分必要性并采取严格保护措施的情况下才能处理；同时，增设了信息处理者的告知义务，即信息处理者必须明确告知个人处理该类信息的必要性以及对其个人权益的影响。其二，《个人信息保护法》对公民人脸识别信息的保障比《民法典》更为全面。其中值得注意的是个人对信息处理者的请求解释权以及个人信息的删除权，《个人信息保护法》规定在五种情况下个人信息处理者应当主动删除个人信息，如个人信息处理者未删除的，个人有权请求删除。⑧

第二，《个人信息保护法》对国家机关处理个人信息作出特别规定，这是以法律直接授权的方式，划定了国家机关为了公共利益而处理个人信息的权力边界。这一法律规制的方式带有鲜明的公法色彩。《个人信息保护法》注意到大数据时代国家不再是超然的利益中立者，它既是法律规则的制定者和执行者，同时也是最大的个人信息处理者。[5]现代公共行政管理正与包括人脸识别信息在内的个人信息深度结合，公共秩序、公共安全与公共福利的推进都离不开个人信息数据资源。近年来，依托迅猛发展的信息技术，我国已经建立了很多数据库，有些数据库存放着包含人脸信息的个人信息。随着数字政府和电子政务平台的推进，公权力机关对公共事务的管理将会越来越依赖于以人脸识别信息为基础的个人信息数据资源。由此也将不可避免地使公民敏感信息暴露在很大的风险之下。基于此，《个人信息保护法》以一章的内容对国家机关处理个人信息进行专门规定。除遵守《个人信息保护法》中对一般信息处理者设定的法律义务之外，该法还要求国家机关必须在法定的权限范围内严格按法定程序处理个人信息，必须履行告知义务，如需向境外提供个人信息，必须进行安全评估。

由此可见，我国人脸识别信息保护的法律规制经历了从无到有、从概括式保护到特别保护的发展历程，这也折射出其背后与时俱进的法律规制原则的演变。

三、平衡原则下人脸识别信息保护的进一步优化

尽管在《个人信息保护法》出台后，人脸识别技术应用中人脸信息权益的保障力度得到较大提升，但相对于公民的权益保障意识和期待，对比大数据和人工智能时代人脸识别信息遭遇侵害的巨大风险，我国现有法律针对人脸识别技术应用的专门性立法阙如，对于商业性个人信息处理者可能滥用人脸识别信息的监管还需进一步到位，人脸识别技术应用中个人、商业主体和国家机关三者的利益边界仍有待进一步厘清。伴随着全球范围内人脸识别技术应用法律规制的实践与发展，我国人脸识别信息权益的法律保障体系仍有必要进一步优化。

（一）推动精准规制人脸识别技术应用的专门立法

作为生物识别技术的一种，人脸识别技术借助人工智能特别是深度学习的算法革命站在了当下新兴科技领域的风口浪尖。人脸识别技术所属的计算机视觉技术，是无人驾驶、医疗检测等应用的基础技术之一，已经成为最具商业应用前景的高科技技术。在深度学习算法驱动下，计算机视觉技术在近几年取得了突破性进展，目前我国人脸识别技术的精确度已经超过人眼。当前，人脸识别的公司数量很多，技术成熟度也比较高。据前瞻产业研究院的数据显示，2016 年我国人脸识别行业市场规模约为17.25 亿元，同比增长27.97%。[6]

从全球范围来看，很多国家加强了对人脸识别的法律应对，针对人脸识别技术应用单独立法成为趋势。2008 年，美国伊利诺伊州颁布了《生物识别信息隐私法案》，这是一部规范生物识别符⑨和信息的收集、存储、使用、销毁的专门法律。总体而言，美国对人脸识别技术的应用，特别是对公权力机关使用人脸识别技术采取了严格限制的立法态度，如处在美国联邦层面审议阶段的《道德使用人脸识别法案》[7]《商业人脸识别隐私法案》[8]《人脸识别和生物识别技术中止法案》[9]。《人脸识别和生物识别技术中止法案》要求美国政府暂停使用包括人脸识别技术在内的生物识别技术，联邦政府机构无权要求、拥有或使用包括人脸识别信息在内的生物识别信息，除非获得美国国会的特别授权。2021年欧洲委员会发布的《人脸识别指南》[10]将人脸识别信息列入公民个人数据自动决策处理有关的公约加以保护，针对人脸识别技术不同的应用情况，法律框架重点规制以下内容：使用目标的详尽说明，所用算法的最低可靠性和精度，人脸照片的保留时间，审查人脸识别技术使用细则的可能性，使用过程的可追踪性以及安全保障措施。

随着《民法典》《中华人民共和国数据安全法》《个人信息保护法》的陆续通过，我国个人信息法律保护与利用的整体框架已经清晰，综合平衡的价值理念已然明了。《个人信息保护法》第62 条第2 款明确提出“针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用，制定专门的个人信息保护规则、标准”，可以说，制定专门规制人脸识别技术应用的下位法的立法时机基本成熟。

第一，规制人脸识别技术的专门立法应实现与上位法的精准对接。人脸识别的专门立法应将上位法中有关个人信息处理的原则性规定具体化、专业化，如个人信息处理中应遵循的知情同意、正当必要、透明公正等原则，需要通过专门法针对人脸识别技术的特点予以解释说明。同时需对社会实践中易产生争议的有关术语进行进一步的细化，使之清晰明确。《个人信息保护法》第26 条规定，“在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需”。在现实生活中，写字楼、商场、校园、城市居民小区等场所大都设置了摄像头，有些小区物业要求业主“刷脸”才能进小区。这些场所是否属于法律意义上的“公共场所”？其中的“公共安全”又如何界定？诸如此类的概括式的原则规定，有必要通过专门的下位法予以明确。

第二，规制人脸识别技术的专门立法应能体现对人脸识别技术风险的精准防范。《个人信息保护法》等上位法立足于个人信息法律规制的整体权益保障，无法精细地针对各种个人信息的特点进行有效的风险防范。人脸识别技术主要涉及数据收集、数据存储以及数据使用三个环节，广泛应用于金融、零售服务、安全防卫、智能驾驶、移动互联网、医疗教育等行业，应用人脸识别技术获得的人脸识别信息与其他个人信息相比，具有更强的直观性、私密性和保密性。针对人脸识别技术及人脸识别信息的特点，立法应重点防控数据收集阶段的过度采集、数据存储环节的数据泄露、数据使用环节的开发滥用。

欧盟立法防控这三个阶段的风险是以控制核心技术（如算法和自动决策）为切入点的。因人脸识别技术实质上是人工智能中的智能感知技术的应用，欧盟的《通用数据保护条例》要求其算法具有一定的可解释性。同时该条例第22 条对包括画像在内的自动化决策根据应用场景设置了两项义务予以规制：如果自动化决策为履行合约所必需，经数据主体明示同意后，数据使用者应当实施适当措施保护数据主体利益，数据主体至少具有干预自动化决策、表达自己观点并拒绝该决策的权利；如果自动化决策产生的法律效力涉及数据主体，或对数据主体有重要影响，则数据主体有权不成为此决策的对象。[11]

我国的法律规制方式则是针对人脸信息的阶段性应用场景分别设计相应的风险防范技术标准。2023年5 月1 日，国家市场监督管理总局、国家标准化管理委员会发布的国家推荐性行业标准GB/T 41819-2022《信息安全技术人脸识别数据安全要求》（以下简称《人脸识别数据安全要求》）正式实施。“最小必要”是人脸识别信息安全的核心原则，围绕着这一原则，《人脸识别数据安全要求》分为人脸识别信息“安全通用要求”以及人脸识别信息的收集、存储、使用、传输、提供与公开、删除等六个分则要求。虽然该规范就性质而言属于国家标准中的推荐标准，不具有法律强制力从而规制效力有限，但其中经过实践检验行之有效的具体内容却可以由技术规范上升为人脸识别技术应用的专门立法。

（二）推进人工智能视觉技术应用的行业自律

随着《人脸识别数据安全要求》这一国家推荐性行业标准的出台，人脸识别技术应用的行业自律时机业已成熟。我国人工智能技术商业化前期应用的市场经验说明，实施柔性的行业标准化规范更能促进企业借助市场力量构建“内生机制”，在行业内部自发形成合理的内部秩序。[12]而良好的行业自律可合理划分个人人脸信息权益与企业商业利益之间的边界，是人工智能人脸信息识别技术发展的必不可少的前提和基础。

同时，行业自律能够有效配合政府部门对包括人脸信息在内的个人信息进行保护和监管。《个人信息保护法》第60 条规定，国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作；第62 条第1款规定，国家网信部门统筹协调有关部门依据《个人信息保护法》推进制定个人信息保护具体规则、标准的有关工作。而人脸识别信息行业自律的标准化规范正属于这一类个人信息保护的具体规则和标准，它们是人脸识别技术应用企业结合科研院校在利益博弈基础上经过充分协商达成的行业共识，不仅在行业内具有高度的统一性和认可度，还在很大程度上弥补了行政监管机构因不直接对接市场而导致的信息差。

人工智能视觉技术应用的行业规范细化了《个人信息保护法》等相关法律对人脸识别信息概括式保护的内容。《人脸识别信息安全要求》在人脸识别信息的“安全通用要求”这一部分内容中要求，可采用非人脸识别方式的，应优先选择使用非人脸识别方式；应仅在人脸识别方式比非人脸识别方式更具有安全性或便捷性时，使用人脸识别方式；即使采用人脸识别方式进行身份识别，应同时提供人脸识别和非人脸识别方式由自然人选择；在自然人拒绝使用人脸识别方式后，不应频繁提示以获取自然人对人脸识别方式的同意。这些更为详细的行业规范在现实生活中明确了技术应用的最低限度，能够明确划分公民人脸信息权益与商业利益以及政府所代表的公共利益的边界。

（三）以建立人脸识别技术应用的行政许可和准入制度，推进行政监管模式的进一步优化

尽管行业自律为人脸识别技术应用的法律规制所不可或缺，但另一方面，行业自律固有的缺点也不容忽视。由于现行人脸识别信息的标准化规则是国家推荐性规则，不具有国家强制力，缺乏监督和执行力，在激烈的市场竞争中企业为了逐利总是倾向于突破这一柔性规则，从而导致“劣币驱逐良币”，因此，为了这一产业的可持续性健康发展，为了保障公共利益及公民个人信息权益，国家公权力机关对市场进行适度介入并监管是最坚强的后盾。

根据人脸识别技术不必要接触被识别主体的特点，在现实生活中一旦发生人脸识别信息安全事故，就是不可逆的，将对公民个人权益及社会公共利益造成不可挽回的损害。因此，在当前我国个人信息保护和监管模式之下，各职能部门的监管职责的设置，就功能而言，应更注重事前的审查防范。

鉴于此，后续优化国家行政监管的着力点，应立足于与人工智能行业自律的有机融合，应将该技术的应用纳入行政许可事项中进行监管。一方面，法律需要对人脸识别技术应用主体设置许可审查和准入审查，商业机构应用人脸识别技术需要获得许可，国家行政机关基于公共安全和公共利益应用人脸识别技术也应制定相应的准入门槛。另一方面，法律应就人脸识别技术应用的必要性进行严格审查。应用人脸识别技术应符合必要性原则，非必要不适用，这一原则应是授予许可的首要原则。这一审查可严格控制商业机构应用人脸识别技术的合理性和技术范围，划定商业利益与人脸识别信息权益的边界。针对行政机关等国家公权力机关的审查则要突出公共安全和公共利益原则，以此坚守人脸识别信息权益与公共利益的法律边界。

总之，放眼当今世界，人脸识别技术及其应用正在快速渗透我们的生活。它在给我们带来巨大便利的同时，也将不可预知的风险带给了我们。我们有必要在人脸识别信息的保护与利用之间寻求法律平衡，并据此划定公民人脸识别信息权益与企业的商业利益以及政府所代表的公共利益之间的边界。法律应为包括人脸识别信息的个人信息立起一道保护的屏障，也应为其合理利用留下必要的现实和发展的空间。

注释：

①信息技术与互联网技术深度融合，2018 年，我国互联网和相关服务业全年营业收入1.7 万亿元，比2013 年增长5.5 倍；企业资产总计2.6 万亿元，比2013 年增长4.4 倍。相关信息参见2020 年1 月16 日载于人民网的“我国信息技术产业蓬勃发展，动力强劲”，网址为：http：//finance.people.com.cn/n1/2020/0121/c1004-31558440.html。

②2019 年4 月27 日，郭某购买了某野生动物世界有限公司以指纹识别方式入园的年卡，并录入指纹和拍摄照片。后该野生动物世界有限公司单方面将指纹入园改为面部识别入园，若不激活人脸识别系统将无法入园。郭某不接受人脸识别，要求退卡，双方协商未果，郭某向某市中级人民法院提起诉讼。后该市中级人民法院终审认定该野生动物世界有限公司单方面变更入园方式构成违约，要求郭某激活人脸识别超出事前收集目的，且存在侵害郭某面部特征信息之人格权益的可能与危险，判决该野生动物世界有限公司删除郭某办卡时提交的包括照片在内的面部特征信息以及指纹信息。

③参见《人脸识别技术适用法律若干问题的规定》第2 条。

④参见《人脸识别技术适用法律若干问题的规定》第14 条。

⑤生活中极少有消费者真正认真阅读网络服务提供者所设置的冗长的格式合同并知晓自身个人信息被收集处理的真实情况，网络服务提供者还将这类格式合同虚化为不必阅读具体内容的点击操作，消费者直接点击界面按钮就可以跳过阅读环节。人脸识别无须接触即可处理脸部信息的技术特点使得现实中知情同意原则的保障几乎形同虚设，不少学者对此深表忧虑。相关信息参见张新宝：“我国个人信息保护法立法主要矛盾研讨”，《吉林大学社会科学学报》，2018 年第5期；参见倪楠、王敏：“人脸识别技术中个人信息保护的法律规制”，《人文杂志》，2022 年第2 期；参见马腾飞、冯晓青：“政府数据开放背景下人脸识别法律规制研究”，《中国政法大学学报》，2023 年第3 期。

⑥参见《人脸识别技术适用法律若干问题的规定》第4 条。

⑦参见《人脸识别技术适用法律若干问题的规定》第5 条。

⑧参见《个人信息保护法》第47 条。

⑨生物识别符主要包括虹膜扫描、声纹、人脸、指纹或掌纹等，不包括照片、书面签名、笔迹样本。