[摘 要]信息时代，生物识别技术及其应用得到了快速发展，从指纹识别到人脸识别，不断推进。提高生活便捷性的同时也对市场经济发展有着巨大的推动作用。随着人脸识别技术广泛应用于商业活动中，人脸信息蕴含的商业价值与信息安全之间的冲突越来越激烈，商事主体作为人脸识别技术的掌控者在追求商业利益的同时往往没有处理好人脸信息泄露的危机。目前，我国对于商业领域人脸信息处理的规制机制分散于民法、刑法和部分行政法中对个人信息的规定。由于人脸信息的特殊性，以及人脸识别技术作为一种新兴技术，传统的个人信息保护体系在保护人脸信息存在着一定的局限性和滞后性，因此当前迫切需要充分发挥行政法的规制作用。

[关键词]商业领域；人脸信息；行政法规制

随着生物识别技术的不断迭代更新，人脸识别技术愈加成熟，不仅覆盖了民众的大量日常生活活动，在商业活动中也得到广泛应用。人脸识别技术以其特殊的计算机算法，可以读取并保存人脸信息。人脸信息作为一种能够单独识别身份的个人信息，在商事主体收集处理人脸信息的过程中，必然会存在着信息安全风险。在实践中，人脸信息侵权案件频繁发生。在充分发挥人脸识别技术在客观上对市场商业发展的促进作用的同时，必须密切关注背后的信息安全风险，要更全面地保障人脸信息主体的合法权益，也要规制商事主体对人脸信息的处理行为。

一、商业领域人脸信息处理行为的界定

（一）人脸信息的法律属性

在实践中，随着人脸识别相关案件频发，“人脸信息”一词进入了大众的视野。最高人民法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》中明确了人脸信息属于生物识别信息，将人脸信息纳入敏感个人信息的保护范围。人脸信息是个人信息的一种新型表现形式。从生物学角度，每一个人的人脸信息都具有独有的特征——唯一性，通过技术手段对人脸信息数据进行对比，可以对个人身份进行识别。人脸信息与个人隐私、财产、人格利益的保护息息相关。人脸信息具有易采性，可以在不知不觉中偷偷采集[1]。与传统的个人信息、身份信息相比更容易被获取和收集，更容易造成人脸信息泄露风险。

（二）商业领域人脸信息处理的含义

商业领域人脸信息处理是指商事主体在商业活动过程中对人脸信息进行采集、供给、加工、买卖、删除等活动。该行为特征必须满足以下三个方面：首先，主体特定，行为主体必须是商事主体，即经过国家登记机关依法登记、以营利为目的从事经营活动的自然人、企业法定代表人及其他经济组织；其次，行为对象特定，处理对象是人脸信息，主要是运用采集、供给、加工、买卖、删除、修改等方式对人脸信息进行处理来达到商业目的的行为都属于商业领域人脸信息处理行为，而不需同时满足所有方式；最后，处理人脸信息的行为须以商业活动为目的，活动本身需要具有以营利为目的。在实践中，大多信息收集者收集信息并非直接用于商业活动，而是加工处理后提供给信息使用者间接用于商业活动，也应当认定为商业领域人脸信息处理。

（三）商业领域人脸信息处理过程中商事主体具有信息处理权的优势地位

在实践中，商事主体基于其服务提供者的地位，在运用人脸识别技术进行的商业活动中对信息处理权上往往具有优势地位。其优势地位往往表现为以下两个方面：一是单方制定规则的优势，商事主体在制定人脸识别技术使用权条款时，往往是单方制定格式条款，对于冗长的格式条款，人脸信息主体往往会忽略其中商事主体对人脸信息处理的条款，或者商事主体利用“不同意”信息收集就无法使用人脸识别的手段对用户进行强制收集人脸信息；二是商事主体往往是拥有技术霸权的信息掌控者，对人脸信息收集识别后再通过其他手段获得其他个人信息进行重合识别形成信息链条，扩大商业利益。

二、行政法规制的必要性论证

（一）刑法和民商法对商业领域人脸信息保护上存在一定的局限性

目前，我国法律对人脸信息保护的规定在刑法和民商法中都有体现，但在实践运用过程中存在着一定的局限性。

我国刑法中规定了“侵犯公民个人信息罪”，此罪名虽然对处理个人信息的部分行为做出了禁止性规定，对人脸信息案件虽具有一定的指引作用，但并没有在量刑和构成要件上对人脸信息进行特殊的考量。人脸信息属于特殊的个人信息，在案件的审理过程中，应对人脸信息进行单独评价。同时，由于刑法的必要性原则，在商事活动中商事主体通过人脸识别技术对人脸信息的处理行为大部分通过民商法或者行政法调整更具有合理性，刑法往往是不能通过其他手段来规制时才进行的最后手段，因此，通过刑法来调整商业领域人脸信息处理行为具有一定的局限性。

当前，我国规定人脸信息最为全面的法律是民法。我国民法在保护个人信息领域主要是通过“知情同意”原则来权衡信息主体与信息处理者双方的权利义务，但是在实践中存在着一定的局限性以及救济困难的情况。在实践中，商事主体与人脸信息主体虽然存在着基于人脸信息主体知情且同意的协议，但由于商事主体的优势地位，人脸信息主体往往存在着未充分知情协议、被迫同意协议或者无意同意协议的情形。一方面，人脸信息主体对商事主体运用人脸识别技术的相关协议的知情权未得到充分保障。在实践中，知情同意协议作为商事主体提供的格式条款往往不够清晰简洁甚至过于冗长复杂。人脸信息主体在签订协议过程中往往难以逐一阅读，导致信息主体往往无法判断知情同意协议中是否会包含对自身人脸信息权益造成损害的行为。另一方面，人脸信息主体的自愿同意权往往无法得到充分保障。商事主体作为技术提供者，知情同意协议往往會存在着不同意协议，就无法使用服务的霸王条款，此种协议变相地强迫人脸信息主体提供其人脸信息。其次，在侵权责任救济机制方面也存在救济难点。民事侵权责任救济属于事后救济，即当损害结果实际发生后才能追究其民事侵权责任。在信息侵权案件中，侵权者实施的损害手段往往具有隐蔽性和多样性的特点，且人脸信息主体与商事主体之间的信息不对称是常态的情形下，被侵权方在举证方面会存在很大的困难。

（二）行政法规制具有更大的优势

我国宪法明确规定了公民享有人权、人格尊严的规定，对实践中人脸信息保护具有指引作用。我国宪法并没有实现司法化，作为公法的行政法部门具有保护公民合法权益的职能，应充分发挥其至关重要的作用。相对于民法的事后救济，行政法的事前规制作用对商业领域人脸信息处理的规制更具有优势。行政法事前规制在时间线上提前规制商事主体的违法行为，从源头解决问题，对于人脸信息主体的权益保护更为有效，也更为全面。首先，行政监管能全面覆盖人脸信息处理的全过程，实现事前、事中和事后的有效管理。其次，行政监管可以有效处理涉及大量个体权益的人脸信息案件，避免司法程序的烦琐和低效，充分保障人脸信息主体的权益。最后行政监管可以灵活地运用多种手段，根据不同的情况和对象采取适当的措施，在商业领域人脸信息处理中具有巨大的规制优势。故行政法是人脸信息保护的重要法律保障，应得到充分的重视和发挥。

三、行政法规制路径

（一）完善人脸信息专门保护的行政法律规范

从立法角度制定与人脸信息相关的行政法律规范，保障有法可依，可以从根本上保障人脸信息主体的合法权益。相较于一般个人信息，人脸信息的保护应当更为严格，从立法角度看有两种完善建议：一是在《个人信息保护法》中单独设定一章为“商业领域人脸信息处理规制”，二是将人脸信息保护专门单独立法。但从实践角度来看前者难以实现，后者的可行性更强。由于我国针对个人信息保护采取的是统一立法模式，同时《个人信息保护法》第62条第2款也规定了相应部门对人脸信息制定相关保护措施的规制和标准。因此，可以根据此条的规定建议国家互联网信息办公室等相关部门制定针对人脸信息保护的行政法规、条例，弥补当前法律框架中的空白，指导执法和法律适用。

（二）设立人脸信息专门监管主体

人脸信息的保护往往涉及跨部门的监管，这直接导致了监管权的分散。各个部门制定的监管标准不统一，出现监管标准差异化会导致市场乱象。欧盟等发达地区和国家对此采取设定统一的机构监管个人信息。鉴于我国目前对个人信息的保护以网信部门为主要监管主体，其他相关部门在其职责范围內行使监管权。笔者认为，可以在网信部门中专门设立人脸信息治理机构，以此解决监管分散的问题。专门监管机构须保障公民的知情权和监督权，及时公开监管中发现的违法商事主体。

（三）配套人脸信息保护的相关措施

1.建立事前准入和评估机制

人脸信息属于特殊的个人信息，作为敏感个人信息，确实需要进行特殊保护。《个人信息保护法》和最高人民法院的司法解释为人脸信息处理提供了法律依据和指导，要求商事主体在处理人脸信息时遵守相关的行政许可或其他限制，还应进行事前影响评估。为了控制人脸信息的滥用和安全风险，有必要建立人脸信息处理的准入和评估机制。首先，设定商业人脸识别技术运用的相关资质标准，规定任何商事主体将人脸识别技术运用于商业活动，以及处理人脸信息前必须向国家网信部门申请，被申请部门根据商事主体的资质和相关产业的特殊性综合评估决定是否许可。此外，完善人脸信息处理的风险评估制度，不仅需要明确评估标准和后续监督管理的内容，还应引入第三方机构评估的概念。商事主体须通过第三方评估机构对其信息处理行为进行风险评估。机构根据理性设计的审查标准和步骤，对技术准确性、算法非歧视性设置、安全加密设置和主体权利保障路径等进行评估[2]。杜绝“自己评估，自己处理”的情形。

2.建立事中常态化行政监管机制

由于目前人脸识别技术趋于商业常态化使用，人脸信息侵权、信息泄露案件频发，笔者认为，应当建立对商业领域人脸信息处理的常态化监管机制，以此加强事中行政监管。对于信息泄露事件，往往会造成难以挽回的损害结果，常态化监管机制可以有效地避免被动监管导致的无法挽回信息泄露案件的损害后果的发生。同时，行政部门应当设定定期检查、重点检查、专项检查等工作制度，并且根据人脸信息的特点创新检查

方式。

3.细化事后行政处罚标准

《个人信息保护法》通过提高对违法处理个人信息行为的处罚力度，来增加商事主体违规处理个人信息的成本，但是并没有明确区分人脸信息与普通个人信息，且处罚跨度较大，对于行政执法者而言拥有较大的自由裁量权，而商事主体在处理人脸信息时会有更大的法律合规漏洞。因此，作为敏感个人信息的人脸信息，需要在法律中得到明确区分，让法律规定更为准确，杜绝商事主体利用法律模糊概念“钻空子”。处罚也应当细化，一方面，行政处罚方式要严格符合比例原则，处罚手段与目的相当[3]。处罚的目的不仅需要具有惩罚性，也需要通过处罚增加商事主体违法处理人脸信息活动的成本，以此保护人脸信息主体的合法权益。在不同的违法场景使用不同的处罚方式，杜绝监管部门出现以罚代管的情形。另一方面，罚款幅度也要严格符合比例原则，罚款幅度应当与事后造成后果的严重性相适应，还应当充分考量商事主体是否采取补救措施、进行违法行为时的主观心态等因素。

四、强化救济措施

在规制商业领域人脸信息处理行为的过程中，强化公民的救济措施是必须重视的内容。笔者认为应从以下三个方面进行：首先，在实践中，人脸识别技术应用于商业摄像头之中，普通民众往往会在毫不知情的情况下，其人脸信息就被商业主体获取，此种情况下发生信息泄露时，人脸信息主体往往并不知情侵权人，就此增加了被侵权人的维权难度。法律应当授予被侵权者可以向信息传播者或信息收集者承担责任的权利。其次，通过制定惩罚性赔偿制度，促使商家合法合规处理信息[4]。民众可以根据具体情况向相关部门举报商事主体获得赔偿。最后，应当优化人脸信息侵权案件的举证责任分配。由于信息收集者的优势地位，人脸信息也是由人脸信息收集者进行存储使用，发生侵权后，信息主体往往难以举证，那么对于举证责任的分配应当改为信息收集者、处理者承担更为合理[5]。

结束语

人脸识别技术在商业领域中运用广泛，在商业运作过程中获得的人脸信息作为一种可以单独识别人身份的敏感信息，所蕴含的商业价值更是无法估量，如果发生信息安全问题，造成的损害后果也是巨大的。在实践中，商事主体作为人脸信息处理者与人脸信息主体在地位上存在着较大的强弱差距，行政法规制可以打破目前刑法与民法在调整此类事件上的僵局。从行政法规制角度出发，制定商业领域人脸信息处理的专门保护法规、设立人脸信息保护的专门监管主体、完善事前准入、事中监管、事后处罚机制。形成强化“全流程、全链条、全主体”监管，以此构建商业领域人脸信息处理的全方位规制体系，最后强化公民救济措施，以此充分保护人脸信息主体的合法权益。

参考文献

[1]邢会强.人脸识别的法律规制[J].比较法研究，2020（5）：51-63.

[2]张溪瑨，王晓丽.人脸识别技术与应用的风险及治理研究[J].科学研究，2023，41（3）：385-393.

[3]刘权.目的正当性与比例原则的重构[J].中国法学，2014（4）：133-150.

[4]刘培.商业场景中人脸识别技术应用的法律规制[J].互联网天地，2022（8）：37-42.

[5]程莹.人脸识别技术风险法律规制问题研究[J].中国信息安全，2021（10）：62-65.

作者简介：黄政（1996— ），男，汉族，四川内江人，青海民族大学法学院，在读硕士。

研究方向：行政法。

基金项目：本研究受青海民族大学研究生科研基金项目资助，项目名称“青海民族大学研究生创新项目”（项目编号：04M2023112）。