人脸识别中个人信息保护的困境与进路

刘丹丹

泰国格乐大学，泰国 曼谷

随着互联网科技的发展，人脸识别技术被广泛应用于各个领域。自“人脸识别第一案”之后，人脸识别个人信息领域的法律问题也层出不穷。那幺，在人脸信息适用与日俱增的情况下，人脸信息保护还存在哪些风险、如何有效防范等均成为当前研究中需要直面回应的问题。基于此，本文通过梳理人脸信息背后的逻辑、问题、成因，寻求突破思路，进行法理上的考察分析，并提出相应的优化进路。

一、人脸识别中个人信息保护概述

（一）人脸识别个人信息的法律属性

1．人脸信息具有人格利益属性

《中华人民共和国民法典》（以下简称《民法典》）人格权编第六章中仅规定“私密信息”适用隐私权，对于其他个人信息用“等权利”“人格权益”等表述，表明民法体系中人格权益保护的开放性。最高人民法院2021 年7 月发布的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第二条通过“列举+兜底”的方式，将非法处理人脸信息行为界定为侵害自然人人格权益的行为。同时，在第二条至第九条中规定了非法处理人脸信息的权责义务［1］。

2．人脸信息属于个人生物识别信息

人脸信息属于“数字人权”，通过大数据、新型智能技术获取和处理，与自然人的面部特征高度相关，可以此直接识别或者判断自然人身份。

（二）人脸识别个人信息的模式及特征

从人脸识别技术获取个人信息的运行原理看，根据应用场景可分为“人脸验证”与“人脸监控”两种模式。“人脸验证”模式主要是进行人脸比对确定是否是同一人员，即将摄像头抓取的现场人脸信息与先前数据库中已有的照片或图像进行比对，通过程序验证识别是否为同一人员。在实践中，该模式被应用于交通行业的通行、取票，企业中的签到打卡、门禁通行以及移动“刷脸”支付等需要人脸识别验证的场景［2］。“人脸监控”模式主要是进行人脸比对判断是否有特定人员存在，即将摄像头抓取的现场人脸信息与先前数据库中已有的照片或图像进行比对，通过程序验证识别判断是否有特定人员存在。在实践中，该模式被应用于政府数据开放、公安机关抓捕犯罪嫌疑人或寻找失踪人员等特殊场景。两种模式的人脸信息均具有如下特征。

1．人脸信息的唯一性

一般个人信息包括姓名、居民身份证信息、指纹、虹膜、瞳孔识别以及掌纹等其他相关个人信息。而人脸信息属于公民独有的个人信息，对于个人信息主体公民或者消费者个人具有不可替代性，具有唯一性［3］。

2．程序的验证识别性

一般个人信息不需要涉及计算机技术的鉴定和识别，更鲜少用及算法技术进行信息验证、鉴别。而人脸识别信息自身的信息复杂性决定了程序验证比一般个人信息更为复杂，人脸信息采集时通常需要进行计算机的验证识别。

3．信息损害的不可逆性

人脸信息是公民的一种身份，具有唯一的代表性，与其他信息之间的关联较为密切。因此，一旦人脸信息泄露或者被非法使用，对于公民、消费者或其他相关自然人将造成不可逆的损害［4］。

4．与其他个人信息的高度关联性

人脸信息的敏感性特征，表明人脸识别信息和其他个人信息之间具有的较强的关联性。人脸信息通常与其他个人信息绑定作为识别个人的验证方式。一旦人脸识别数据信息发生泄漏或者被非法使用，则容易侵犯公民隐私权、财产权以及性别平权等权益。

二、人脸信息保护的域外实践

（一）美国

美国将人脸识别信息认定为敏感个人信息，并且将其与公民或者消费者自然人的人格、尊严等人身权益和财产权益联系起来。目前，美国在联邦层面对于人脸识别技术的规制，尚未制定统一的法律规范，由各州独立管理。现阶段制定生物识别信息相关法案的州已多达七个，其中伊利诺伊州2008 年颁布的《生物识别信息隐私法案》是美国第一部关于收集、使用“生物识别信息”和虹膜扫描、声纹等信息的专门法律文件［5］。同时，美国以《加州消费者隐私法》的确立原则为基础，形成了相对统一的个人信息保护标准，人脸识别中个人信息保护也适用上述标准，赋予了个人对企业违反义务行为提起相应的民事诉讼的权利，明确企业在人脸信息使用中的义务和责任。此外，美国对于政府机构和非政府机构使用人脸信息采取不同的规制方式。对政府部门机构的法律规制主要存在以下三种制度：禁止使用制度，任意使用制度，特别许可使用制度［6］。

（二）欧盟

判断人脸识别中个人信息数据的处理是否合法合理合规，应当从数据处理者的处理目的以及追求目标出发。自2016 年以来，欧盟关于数据保护方面采用目的针对性使用方法，只有通过特定技术处理、能够识别特定的公民的图片才能被认为是生物识别数据。欧盟在立法中采取了集中监管、统一立法的治理模式，将人脸信息权上升为公民人格权的一部分，形成相对统一的人脸识别信息保护机制。欧盟2018 年出台的《通用数据保护条例》（以下简称“GDPR”）中将人脸识别信息数据归类于特殊种类的信息数据，适用“原则禁止，特殊例外”原则，即对生物特征识别信息进行数据处理原则上是被禁止的，只有在特殊目的、特殊情形之下，才能评估关于处理的人脸信息数据是否相关、安全并合乎既定比例等。在GDPR 中，对于包括人脸识别信息数据在内的生物数据，适用主动明确、直接且具体的同意，否则任何超出个人信息主体的主观意愿之外的被动同意都是违反GDPR 的违法行为［7］。

（三）法国

人脸识别信息是个人信息主体特有的生物特征，具有永久性与数据主体密不可分性。法国将人脸信息视为生物特征识别信息、敏感信息，并对其进行特殊保护，且适用较为严格的法律规制。2018 年法国颁布的《法国数据保护法》对其先前的数据保护立法进行了修订，与欧盟的GDPR基本保持一致，并畅通了公民关于信息权利的救济途径。即在未经法律授权和个人信息主体同意的情况下，无论是政府行政部门主体还是非政府行政部门如商业部门，均不得实施生物特征识别数据的处理行为。

三、人脸识别中个人信息保护的现实困境

（一）“知情—同意”规则下个人信息保护力度不强

我国《民法典》在第一千零三十五条中对个人信息的处理仅作出了原则性规定，并未明确规定是否可以适用新型智能技术进行共享、收集和分析私密信息和非私密信息。若同意收集，关于信息收集主体、收集程序、收集信息事后监管措施、收集信息是否需要不同级别的保存措施以及是否有权委托第三方进行保存等问题，尚未作出细化规定。目前，对于个人信息普遍采用“知情—同意”规则，针对人脸识别中个人信息的“同意”范围是否界定清楚，是对“局部信息的同意”还是对“整体信息的同意”，是否包含“同意人脸信息实际控制者再次或多次共享和检索该信息”，均需具体明确［8］。

在实践中，人脸识别技术既被广泛地应用到金融支付、信息保管等重要领域，也被应用于签到打卡、门禁通过等一般生活性场景。针对上述不同适用场景中人脸识别技术实际控制者的权责是否一致，当前立法也缺乏相应规定。在立法上关于人脸信息的保护力度不强、在行政监管方面对消费场所或者企业、平台终端适用人脸识别技术未发挥作用，监管机制失灵，不利于人脸信息在消费场所或者公司、平台终端以及其他领域的保护以及公民相关合法权益的保护。

（二）人脸信息实际控制者行业自律管理机制缺位

当前，人脸识别技术实际控制者行业自律管理机制缺失，对于平台终端、消费场所等营利性机构适用人脸识别技术的标准、条件以及获取其他信息的程度未作出具体化规定，导致营利性机构未经公民同意使用人脸识别技术采集、共享人脸信息，过度获取公民其他方面信息的情形日益增多。在实践中，行业自律管理机制失灵，行政监管力度有限，行业协会内部也无相关行业细则约束消费场所或者公司、平台终端适用人脸识别技术，极易致使公民的人脸信息泄露、收集、共享以及被过度获取，难以发挥行业内部监督的作用。

（三）单一处罚性事后行政监管机制效用尚有不足

当前由于对企业、平台终端以及营利性机构适用人脸识别技术缺乏事前以及事中行政监管，存在人脸识别技术行政监管主体缺失以及行政监管措施不明等问题，导致人脸信息侵权案件频出。我国当前关于人脸识别行政监管主要体现在《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》以及《中华人民共和国消费者权益保护法》（以下简称《消费者权益保护法》）等四部法律中。监管方式较为单一，多数案件为“责令改正”和“罚款”的形式，而“警告”的方式占比较低。整体的行政监管机制体现为处罚性监管机制，对于事前监管机制以及事中监管机制并未覆盖提及，行政监管机制效用尚有不足［9］。

四、人脸识别中个人信息保护的优化进路

（一）明确“知情—同意”规则具体适用标准

在2013 年第二次修正的《消费者权益保护法》中，仅对经营者采取措施保护消费者个人信息作出笼统性规定，但是对于采取措施的种类、级别并未作出细化规定。因此，应当根据“知情—同意”规则，明确备案制、核准制和审批制的具体适用标准。规定备案制适用于仅拥有非私密信息的机构，即应用一般生活场景的人脸信息；核准制适用于仅拥有私密信息的机构或者同时拥有双重信息的集合单位；审批制适用于第三方专业存储机构，考虑巨大的数据存储规模，应对其设置准入门槛，定期进行风险评估。此外，对于既拥有私密信息又拥有双重信息的集合单位，在征得当事人同意的情况下，可以将信息存储于第三方专业存储机构。在这个阶段，应当设置第三方平台的“知情—同意”条款，提前告知人脸信息当事人存储风险以及权限。

（二）设置专门外部行政监管机构

在人工智能时代，随着人脸识别技术的应用，人脸信息保护越来越重要。实践中关于人脸识别技术持有者自律性不足和人脸识别技术持有行业自律管理机制缺失等问题，除了对人脸技术持有者的规范进行行政监管，还需要人脸识别技术持有者行业协会内部设立相应的自律管理机制。为了减轻司法负担，可以在行政监管阶段设置专门的外部行政监管机构，定期对于第三方专业信息储存机构进行风险评估，以期对消费场所、平台或者后台终端适用人脸识别技术获取人脸信息进行外部监督。同时也有利于实现当前关于人脸识别技术对于公民或者消费者自然人人脸识别信息的平衡。通过外部行政监管机构的监管，有利于增加人脸识别技术持有者相关市场主体进入该行业的准入门槛，将有效降低人脸识别信息领域中权益损害情形的出现。

（三）建立“事前机制+事中机制+事后机制”全责任机制

实践中，人脸识别技术的应用也给监管部门带来相应的行政负担。在行政机关依法监管过程中，单一的处罚性事后监管机制对人脸识别信息的保护和一般民商事案件一样，具有事后救济的特征，无法起到“事前监管+事中监管+事后监管”的全监管机制的效用。因此，应当在当前单一处罚性事后监管机制的基础上进行改进，建立“事前机制+事中机制+事后机制”全责任机制。此外，还应当加强对人脸信息保护的监管，引入信用机制，以期构建“行政监管+行业监管”的双监管模式。

五、结语

随着人工智能以及大数据的快速发展，人脸识别技术被广泛应用于多个领域。关于人脸信息的保护，无论是理论层面还是实践层面均具有较大的研究价值。人脸信息保护只有通过明确“知情同意”规则具体适用标准、设置专门外部行政监管机构以及建立“事前机制+事中机制+事后机制”全责任机制，才能有效保护人民群众的人脸识别信息合法权益。