王亞楠,張琳琳

〔河北大學(xué) 法學(xué)院，河北 保定 071002〕

人臉識別技術(shù)在我們的生活中已隨處可見，上班要刷臉打考勤卡，回家要刷臉進小區(qū)，出門要刷臉住酒店，甚至逛商場取廁紙都要刷臉。人臉識別技術(shù)給我們的生活帶來了便利，但我們同時也應(yīng)看到人臉信息權(quán)益面臨的風(fēng)險。數(shù)字經(jīng)濟的發(fā)展需要人臉信息，但資本的逐利性與人臉信息權(quán)益保護之間存在矛盾，需要法律加以調(diào)整。浙江理工大學(xué)郭兵副教授反對動物園收集人臉信息，一紙訴狀將動物園告上法庭，(1)杭州市富陽區(qū)人民法院(2019)浙0111民初6971號判決書。勞東燕教授反對小區(qū)收集人臉信息，發(fā)表《人臉識別技術(shù)運用中的認知誤區(qū)》一文，[1]還有男子戴頭盔看房被稱為無聲的舉報等，[2]此類事件反映了人們對人臉信息保護的強烈需求，商業(yè)利用中的人臉信息權(quán)益需要法律加以保護。

一、商業(yè)利用中人臉信息界定

人臉信息的概念在法律中沒有明確規(guī)定，需要結(jié)合相關(guān)法律條文，根據(jù)學(xué)理對人臉信息的概念進行分析。《個人信息保護法(草案)》第4條規(guī)定：“個人信息是以電子或其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息?！比四樞畔o疑是可識別的，所以人臉信息屬于個人信息。根據(jù)歐盟《通用數(shù)據(jù)保護條例》(以下簡稱GDPR)第4條第14款規(guī)定：“生物識別性數(shù)據(jù)”指的是基于特別技術(shù)處理自然人的相關(guān)身體、生理或行為特征而得出的個人數(shù)據(jù)，這種個人數(shù)據(jù)能夠識別或確定自然人的獨特標識，例如臉部形象或指紋數(shù)據(jù)。因此，人臉信息也屬于個人生物識別信息。本文認為人臉信息是指反映人的面部特征，具有可識別性的個人信息。

人臉信息具有公開性、易采集性和不可更改性，[3]在商業(yè)利用中容易出現(xiàn)特殊的侵權(quán)情形。

第一，侵犯知情同意權(quán)。人臉信息的過度采集使人臉信息主體的知情同意權(quán)漸趨失靈。一方面，人臉信息采集的隱蔽性侵犯了人臉信息主體的知情權(quán)，采集人臉信息對被采集者的配合度要求不高，只要是帶有攝像頭的設(shè)備基本上都可以完成人臉信息的采集，人臉信息何時被采集、被誰采集、被用于何處，人臉信息主體無從知曉。另一方面，商業(yè)主體采集人臉信息要么不經(jīng)同意，要么利用技術(shù)手段迫使人臉信息主體同意采集，侵犯了人臉信息主體的同意權(quán)。

第二，侵犯人格權(quán)。[4]現(xiàn)在人臉信息的采集越來越成為一種權(quán)力服從行為，人臉信息主體的信息權(quán)利無法對抗商業(yè)主體的“算法權(quán)力”，無論商業(yè)主體線上還是線下采集，人臉信息主體基本只能選擇接受，人臉信息被當作商品用來交易，成了賺錢的工具，人格尊嚴被經(jīng)濟利益拋棄。

第三，侵犯隱私權(quán)。[5]為了獲取巨大的商業(yè)利益，根據(jù)人臉信息推測其他信息已成為商業(yè)主體常用的手段。單靠人臉信息已能精確識別自然人的身份，更可怕之處在于一旦人臉信息與姓名、性別、手機號碼等其他數(shù)據(jù)庫打通，一個“透明人”便呈現(xiàn)出來，邊沁的全景敞式監(jiān)獄就成為現(xiàn)實。(2)又稱環(huán)形監(jiān)獄，由英國哲學(xué)家邊沁提出。它的基本結(jié)構(gòu)是由一個中央塔樓和四周環(huán)形的囚室組成，監(jiān)獄的中心，是一個瞭望塔，所有囚室對著中央監(jiān)視塔，每一個囚室有一前一后兩扇窗戶，一扇朝著中央塔樓，一扇背對著中央塔樓，作為通光之用。這樣的設(shè)計使得一個監(jiān)視者就可以監(jiān)視所有的犯人，而犯人卻無法確定他們是否受到監(jiān)視。隨著人工智能的不斷發(fā)展，人臉識別技術(shù)將不僅用于識別主體身份，算法自動升級很有可能脫離人類的掌控，根據(jù)一張人臉可以分析出年齡、健康狀況甚至性取向，倘若不加以遏制，人臉信息主體的隱私將會暴露無遺。

第四，侵犯損害賠償請求權(quán)。人臉信息不同于其他個人信息，一旦泄露便是終生泄露，縱使給予金錢救濟，人臉信息也不能恢復(fù)到未被泄露狀態(tài)，造成的其他惡劣后果也可能難以挽回，如果有不法之徒利用深度偽造技術(shù)將人臉信息應(yīng)用于色情視頻制作，[6]將會給人臉信息主體的名譽造成極大的損害，人臉信息主體想要獲得充分救濟，請求損害賠償非常困難。

二、商業(yè)利用中人臉信息權(quán)益保護的正當性

1.保護人臉信息具有正當性

保障人權(quán)是立法追求的基本目標之一。人權(quán)的內(nèi)容在不同時代具有不同內(nèi)涵，卡雷爾·瓦薩克的“三代人權(quán)”理論具有廣泛影響，(3)“第一代人權(quán)”是指公民政治權(quán)利，“第二代人權(quán)”是指經(jīng)濟、社會和文化權(quán)利，“第三代人權(quán)”是指民族自決權(quán)和生存發(fā)展權(quán)。隨著信息時代的到來，很多學(xué)者(4)張文顯教授在《無數(shù)字，不人權(quán)》一文中認為當今世界正在進入數(shù)字時代，中國也正加速成為“數(shù)字中國”。在這樣的時代背景和社會場域中，“數(shù)字人權(quán)”脫穎而出。馬長山教授在《智慧社會背景下的“第四代人權(quán)”及其保障》一文中認為：隨著數(shù)字經(jīng)濟和智慧社會的深入發(fā)展,人權(quán)形態(tài)正在經(jīng)歷著深刻的數(shù)字化重塑,從而打破了既有的“三代”人權(quán)發(fā)展格局,開啟了以“數(shù)字人權(quán)”為代表的“第四代人權(quán)”。提出了“數(shù)字人權(quán)”理論，認為“數(shù)字人權(quán)”無法被囊括進前三代人權(quán)中，[7]已構(gòu)成代際革新，應(yīng)成為“第四代人權(quán)”，未來的人權(quán)將會建立在“數(shù)字人”的基礎(chǔ)上，人格權(quán)和隱私權(quán)都是重要的人權(quán)。人臉信息作為信息時代的產(chǎn)物，承載著人格權(quán)和隱私權(quán)，保護人臉信息安全是保障人權(quán)的應(yīng)有之義。

保護商業(yè)利用中的人臉信息權(quán)益可以維護人格權(quán)。深受康德“人是目的，不是手段”思想影響的歐洲一直以來都非常重視對人格權(quán)的維護，GDPR被稱為史上最嚴數(shù)據(jù)保護法，GDPR要求只要滿足規(guī)定的條件，數(shù)據(jù)控制者和數(shù)據(jù)處理者都應(yīng)聘任數(shù)據(jù)保護官。(5)《歐盟通用數(shù)據(jù)保護條例》(GDPR)第37條：在如下任一情形中，控制者和處理者應(yīng)當委任數(shù)據(jù)保護官：(a)處理是公共機構(gòu)或公共實體進行操作的，法庭在履行其司法職能時除外；(b)控制者或處理者的核心處理活動天然性地需要大規(guī)模性地對數(shù)據(jù)主體進行常規(guī)和系統(tǒng)性地監(jiān)控；或者(c)控制者或處理者的核心活動包含了第9條規(guī)定的對某種特殊類型數(shù)據(jù)的大規(guī)模處理和第10條規(guī)定的對定罪和違法相關(guān)的個人數(shù)據(jù)的處理。與之相比，我國企業(yè)內(nèi)部數(shù)據(jù)保護制度匱乏，企業(yè)濫用人臉信息現(xiàn)象嚴重。而人臉對于我們每個人而言都是珍貴的，自古以來就在中國歷史中有著深厚的文化內(nèi)涵，上至王侯將相下至黎民百姓都很看重自己的臉面，因為“人臉”的背后蘊藏著人格尊嚴。

保護商業(yè)利用中的人臉信息權(quán)益可以維護隱私權(quán)。隱私權(quán)的概念發(fā)端于美國，隨著時代改變與法學(xué)理論發(fā)展，隱私權(quán)的內(nèi)涵逐漸擴大，不僅包括在空間上免受打擾的消極權(quán)能，還包括在信息、行為上自主決定的積極權(quán)能。王澤鑒先生認為“信息自主”也是隱私權(quán)的保障范圍，[8]人們應(yīng)該有權(quán)自己決定是否使用信息，同意權(quán)是信息自主的重要體現(xiàn)，GDPR充分保障了個人的同意權(quán)并規(guī)定個人有權(quán)撤回同意。(6)《歐盟通用數(shù)據(jù)保護條例》(GDPR)第7條規(guī)定：“當處理是建立在同意基礎(chǔ)上的，控制者需要能證明，數(shù)據(jù)主體已經(jīng)同意對其個人數(shù)據(jù)進行處理。數(shù)據(jù)主體有權(quán)隨時撤回其同意?！钡覈耐鈾?quán)有流于形式之虞，人臉信息往往被商業(yè)主體強制采集，保護商業(yè)利用中的人臉信息權(quán)益是對信息自主的保障，也是對隱私權(quán)的維護。

2.保護人臉信息是平衡個人利益與商業(yè)利益的需要

利益是多元的，法律的主要作用之一就是平衡各種相互沖突的利益?！皩ο嗷α⒌睦孢M行調(diào)整以及對它們的先后順序予以安排，往往是依靠立法手段來實現(xiàn)的”。[9]立法是一個認識利益和整合利益的過程，認識利益是起點，整合利益是手段，平衡利益是目的。《個人信息保護法(草案)》和《數(shù)據(jù)安全法(草案)》充分體現(xiàn)了利益衡量的思想?！秱€人信息保護法(草案)》第一條規(guī)定：“為了保護個人信息權(quán)益，規(guī)范個人信息處理活動，保障個人信息依法有序自由流動，促進個人信息合理利用，制定本法?！?《數(shù)據(jù)安全法(草案)》第一條規(guī)定：“為了保障數(shù)據(jù)安全，促進數(shù)據(jù)開發(fā)利用，保護公民、組織的合法權(quán)益，維護國家主權(quán)、安全和發(fā)展利益，制定本法?！眱刹糠杉缺Ｗo信息與數(shù)據(jù)的安全，又注重信息與數(shù)據(jù)的合理利用，保護人臉信息權(quán)益順應(yīng)立法趨勢，平衡了個人信息權(quán)益與個人信息合理利用之間的利益沖突。

保護商業(yè)利用中的人臉信息權(quán)益，能夠滿足個人對人臉信息保護的需求。人臉信息承載著個人的人格利益，根據(jù)馬斯洛需求理論，人的需求隨著物質(zhì)生活條件的改善由低變高，現(xiàn)在人們已經(jīng)不滿足于生理需要這樣的低級需要，獲得尊重這樣的高級需要更為人們所渴望?！叭四樧R別第一案”的判決結(jié)果為保護人臉信息提供了最新的司法導(dǎo)向，杭州市富陽區(qū)法院支持了原告的訴訟請求，判決被告刪除原告的人臉信息，這一判決在滿足個人信息保護需求的同時也喚醒了人們的保護意識。保護個人信息的主體已不僅僅是個人，檢察機關(guān)也在為保護個人信息努力著，2021年1月8日杭州市下城區(qū)人民檢察院向杭州互聯(lián)網(wǎng)法院提起了全國首例適用《民法典》的個人信息保護民事公益訴訟案件。個人與商業(yè)融合越深，信息權(quán)益就越需要保障，法律保護人臉信息是對商業(yè)主體與個人二者之間強弱地位的一種平衡。

保護商業(yè)利用中的人臉信息權(quán)益，能夠滿足商業(yè)主體對人臉信息的利用需求。完全禁止商業(yè)主體利用人臉信息就陷入了另一個極端，不利于數(shù)字經(jīng)濟的發(fā)展。事實上，個人與商業(yè)主體之間并不是零和博弈，通過法律保護，個人與商業(yè)主體可以實現(xiàn)雙贏。保護商業(yè)利用中的人臉信息權(quán)益可以培養(yǎng)個人對商業(yè)主體的信任，人臉信息權(quán)益得到保障，個人也會更愿意將自己的人臉信息交給商業(yè)主體使用，二者之間的良性互動會促進數(shù)據(jù)產(chǎn)業(yè)的發(fā)展。保護商業(yè)利用中的人臉信息權(quán)益也為商業(yè)主體收集、存儲和利用人臉信息提供了行為規(guī)范，減少各商業(yè)主體之間的數(shù)據(jù)糾紛。

3.保護人臉信息適應(yīng)社會發(fā)展需求

為保障法律的可預(yù)測性，法律必須穩(wěn)定，但為了保障法律與社會的適應(yīng)性，法律又不得不變，為了適應(yīng)社會，法律可能發(fā)生翻天覆地的變化，也可能僅在細枝末節(jié)上作出調(diào)整，立法者的主要任務(wù)之一就是根據(jù)社會的變化修改或制定法律，使之與社會相適應(yīng)，“社會是所有法條的目的主體?！盵10]我國的一些地方性法規(guī)已經(jīng)作出了保護人臉信息的規(guī)定，如《杭州市物業(yè)管理條例(修訂草案)》(7)《杭州市物業(yè)管理條例(修訂草案)》第69條第二款：“違反本條例第四十四條第一款第六項規(guī)定，強制業(yè)主通過指紋、人臉識別等生物信息方式使用公用設(shè)施設(shè)備的，處五千元以下罰款。”和《天津市社會信用管理條例》。(8)《天津市社會信用條例》第16條：“市場信用信息提供單位不得采集自然人的血型、疾病和病史、生物識別信息以及法律、行政法規(guī)規(guī)定禁止采集的其他個人信息。市場信用信息提供單位采集自然人信息的，應(yīng)當經(jīng)本人同意并約定用途，法律、行政法規(guī)另有規(guī)定的除外?！蔽浑A低的法律與人們生活較近，對社會變化的反應(yīng)更為迅速，在狹義的法律層面對人臉信息給予立法保護更能適應(yīng)社會發(fā)展需求。

保護商業(yè)利用中的人臉信息權(quán)益可以適應(yīng)社會系統(tǒng)變遷。社會是由政治、經(jīng)濟、法律、科學(xué)等社會子系統(tǒng)構(gòu)成的，盧曼認為各個子系統(tǒng)都是有著自我指涉能力的“活的系統(tǒng)”，各個子系統(tǒng)在不同的發(fā)展階段因不同的原因發(fā)生變化，作為社會子系統(tǒng)的法律應(yīng)對其他子系統(tǒng)的變遷做出反應(yīng)。人臉識別技術(shù)融合了光學(xué)、計算機科學(xué)、統(tǒng)計學(xué)領(lǐng)域的發(fā)展成果，表明科學(xué)這一子系統(tǒng)已經(jīng)發(fā)生改變。科學(xué)系統(tǒng)的發(fā)展引起了經(jīng)濟系統(tǒng)的變化，經(jīng)濟系統(tǒng)的活躍需要法律系統(tǒng)作出反應(yīng)。人臉信息進入商業(yè)領(lǐng)域產(chǎn)生的法律關(guān)系需要法律調(diào)整，倘若放任人臉信息在商業(yè)領(lǐng)域自由流動，將損害法律系統(tǒng)的自我指涉能力，有礙法律系統(tǒng)健康發(fā)展。更高的社會復(fù)雜性和可變性對法律的適應(yīng)性提出了更高的要求，法律應(yīng)與多變的條件和事件形成結(jié)構(gòu)性的相容。[11]

保護商業(yè)利用中的人臉信息權(quán)益可以適應(yīng)社會生活方式改變。法律來源于生活又反作用于生活，“雖然每時每刻都出現(xiàn)新的榮譽法典、新的社交法典、新的禮節(jié)法典和新的時尚法典，但是假如它們沒有真正地滲透生活，那么它們是毫無意義的?！盵12]一部好的法律必須考慮社會生活方式的改變。人臉信息引起了社會生活方式的諸多改變。首先是信息使用方式的改變，以前人們使用自己的信息多數(shù)是被動提交，現(xiàn)在很多人為了方便會主動提交。其次是支付方式的改變，支付方式已經(jīng)從密碼支付發(fā)展成刷臉支付。再次是工作簽到方式的改變，很多企業(yè)已經(jīng)將人臉識別技術(shù)應(yīng)用于員工管理，改指紋簽到為刷臉簽到。最后是出行方式的改變，現(xiàn)在憑證進站是常態(tài)，未來刷臉進站將會更普及。就目前來看，人臉信息還會伴隨著我們生活，起碼短時間內(nèi)不會被棄之不用，法律保護人臉信息權(quán)益正是對社會生活方式改變作出的回應(yīng)。

三、商業(yè)利用中人臉信息權(quán)益保護現(xiàn)存問題

1.無專門保護條款

人臉信息與其他個人信息相比具有更高的敏感度，需要更高程度的保護，但無論是《民法典》《刑法》等基本法律，還是《旅游法》《網(wǎng)絡(luò)安全法》《電子商務(wù)法》等針對特定商業(yè)領(lǐng)域的法律，都沒有人臉信息保護的專門條款，亦沒有明確人臉信息的概念。只有在個別地方性法規(guī)(9)同前頁注釋①②③。中作出了保護人臉信息的規(guī)定，但地方性法規(guī)位階較低且適用范圍有限，不能引起商業(yè)主體對保護人臉信息的重視。在實踐中保護人臉信息只能依賴個人信息保護的框架之下，獲得與其他一般個人信息相同的保護程度，此種保護程度對于當今人臉信息在商業(yè)中的利用程度而言遠遠不夠。頂層設(shè)計的缺失使得商業(yè)利用中人臉信息的權(quán)益長期得不到保護，大量商業(yè)主體游走在法律空間之外，而人臉信息的可重復(fù)利用將會繼續(xù)在商業(yè)領(lǐng)域流動，若不制定專門保護條款將給人臉信息在商業(yè)利用中的規(guī)范治理帶來極大阻礙。

2.人臉信息主體無明確權(quán)利

《電子商務(wù)法》第24條規(guī)定：“電子商務(wù)經(jīng)營者收到用戶信息查詢或者更正、刪除的申請的，應(yīng)當在核實身份后及時提供查詢或者更正、刪除用戶信息。用戶注銷的，電子商務(wù)經(jīng)營者應(yīng)當立即刪除該用戶的信息?！边@一條明確了人臉信息主體可以向電子商務(wù)經(jīng)營者提出更正、刪除的請求，但沒有上升為一種權(quán)利，也沒有具體規(guī)定商業(yè)主體刪除的程序和時間限制。刪除權(quán)的缺失使人臉信息進入商業(yè)領(lǐng)域后就脫離了人臉信息主體的控制，人臉信息主體無法通過技術(shù)手段自行刪除，與商業(yè)主體交涉困難，人臉信息主體想刪除信息相當困難。

《消費者權(quán)益保護法》第29條規(guī)定：“經(jīng)營者收集、使用消費者個人信息，應(yīng)當公開其收集、使用規(guī)則，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息?！边@一條文規(guī)定了經(jīng)營者應(yīng)當按照法律、法規(guī)的規(guī)定和雙方約定使用個人信息，但是經(jīng)營者超出雙方約定使用個人信息的情況普遍存在，甚至違背了法律規(guī)定。消費者對經(jīng)營者過度收集分析人臉信息的行為往往無法約束，究其原因在于消費者沒有明確的信息權(quán)利，無法要求經(jīng)營者對人臉信息進行限制處理，因此，限制處理權(quán)對于人臉信息主體來說也是必要的。

3.未設(shè)置統(tǒng)一保護機關(guān)

《網(wǎng)絡(luò)安全法》第8條規(guī)定：“國務(wù)院電信主管部門、公安部門和其他有關(guān)機關(guān)依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負責(zé)網(wǎng)絡(luò)安全保護和監(jiān)督管理工作?！本W(wǎng)絡(luò)安全和監(jiān)管由電信主管部門、公安部門和其他有關(guān)機關(guān)負責(zé)。網(wǎng)絡(luò)安全對于信息權(quán)益至關(guān)重要，人臉信息泄露事件的發(fā)生與網(wǎng)絡(luò)環(huán)境不安全具有直接關(guān)系，但多個部門負責(zé)監(jiān)管的結(jié)果可能是無人監(jiān)管，“有關(guān)機關(guān)”具體指哪些機關(guān)也未明確規(guī)定，存在監(jiān)管主體的分工模糊現(xiàn)象。“在各自職責(zé)范圍內(nèi)”的規(guī)定則更為抽象，發(fā)生人臉信息糾紛時各個部門可能借此不履行監(jiān)管職責(zé)。即便有監(jiān)管部門管轄，又可能由于監(jiān)管措施不力而無法有效遏制此類事件發(fā)生。

4.缺乏有效侵權(quán)救濟機制

《民法典》第1034條第三款規(guī)定：“個人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個人信息保護的規(guī)定?！睂嵺`中人臉信息糾紛多借由隱私權(quán)路徑來解決，救濟效果甚微。主要原因有兩個。一是侵犯隱私權(quán)的歸責(zé)原則是過錯侵權(quán)，人臉信息主體很難證明商業(yè)主體在收集、存儲和使用人臉信息的過程中具有過錯，而商業(yè)主體卻很容易證明自己沒有過錯。二是遭受嚴重損害后果或者實質(zhì)損害后果的證明標準成了人臉信息主體主張賠償?shù)挠忠徽系K。因為人臉信息主體可能只是不堪其擾，并沒有遭受嚴重損害或?qū)嵸|(zhì)損害，而且嚴重損害的判斷標準又帶有主觀性，人臉信息主體付出大量時間和金錢參與訴訟最后可能一無所獲?；谝陨蟽蓚€原因，能夠提起訴訟的人臉信息主體少之又少，幾乎陷入了惡性循環(huán)。

四、商業(yè)利用中人臉信息權(quán)益保護完善建議

1.在《民法典》中制定專門保護條款

(1)明確人臉信息概念。清晰地界定概念是制定專門保護條款的開始，人臉信息的概念宜采取“概括+列舉”的方式來定義，人臉信息是指反映人的面部特征，具有可識別性的個人信息。僅作概括規(guī)定是不夠的，人臉信息的表現(xiàn)形式多樣，既有直接采集的人臉信息，也有間接制作的人臉信息，間接制作的人臉信息若被非法利用，同樣會給人臉信息主體帶來損害，所以人臉信息不僅包括直接提取的人臉信息，還應(yīng)包括間接制作的人臉信息；不僅包括原始的人臉信息，還包括次生的人臉信息；不僅包括2D形態(tài)的還應(yīng)包括3D形態(tài)的人臉信息。只有這樣明確列舉，各種人臉信息才能落入保護之列。

(2)將人臉信息歸入個人敏感信息之列。個人信息種類多樣，敏感程度不同，將人臉信息歸入個人敏感信息之列可以讓商業(yè)主體意識到自己應(yīng)承擔(dān)的人臉信息保護責(zé)任。不同類型的信息配有不同的保護規(guī)則，對于一般個人信息，市場主體在收集時取得信息主體的默示同意即可，對于人臉信息則必須取得人臉信息主體的明示同意；對于侵權(quán)的賠償數(shù)額標準規(guī)定也不同，一般信息侵權(quán)的賠償數(shù)額通常會低于人臉信息侵權(quán)的賠償數(shù)額。將人臉信息歸入個人敏感信息會產(chǎn)生良好的保護效果。

(3)在《民法典》第1034條中嵌入人臉信息保護條款。在個人信息保護法還未出臺情況下專門針對人臉信息保護制定一部法律不切實際，貿(mào)然對法律進行大修大補也可能不適應(yīng)社會發(fā)展需求，反而會帶來新的風(fēng)險，因此最好的辦法是利用既有法律資源，在現(xiàn)有法律框架內(nèi)制定人臉信息保護條款。我國《民法典》第1034條有三款內(nèi)容涉及人臉信息，第一款規(guī)定自然人的個人信息受法律保護，(10)《民法典》第1034條第一款：“自然人的個人信息受法律保護?！钡诙钜?guī)定了個人信息的概念并列舉了具體種類，(11)《民法典》第1034條第二款：“個人信息是以電子或其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。”第三款規(guī)定私密信息的保護路徑。(12)《民法典》第1034條第二款：“個人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個人信息保護的規(guī)定?！笨梢栽诖嘶A(chǔ)上加入第四款，作為專門保護人臉信息的條款，先明確人臉信息概念，然后表明人臉信息屬于個人敏感信息，最后說明人臉信息受法律特殊保護，只有這樣才能突出保護人臉信息的重要性。

2.構(gòu)建人臉信息主體權(quán)利體系

(1)保障知情同意權(quán)。人權(quán)由多項具體權(quán)利構(gòu)成，人臉信息主體的各項權(quán)利都能得到保障，人權(quán)才能實現(xiàn)。知情同意權(quán)是實現(xiàn)其他信息權(quán)利的基礎(chǔ)，知情同意權(quán)的設(shè)置本身沒有問題，只是權(quán)利實現(xiàn)遇到了阻礙，應(yīng)在立法層面上保障人臉信息主體知情同意權(quán)。一方面要保障人臉信息主體的知情權(quán)，人臉信息主體應(yīng)對收集目的、使用范圍和保管措施等知情，算法黑箱逐漸透明化，人臉信息主體才能充分知情。另一方面要保障人臉信息主體的同意權(quán)，建立動態(tài)同意機制。每次收集行為均應(yīng)取得人臉信息主體的同意，超過最初收集目的與使用范圍還需重新取得同意。同意應(yīng)為明確的同意，不能為默示的同意。同意還應(yīng)為具體的同意，不能為概括的同意。

(2)賦予信息刪除權(quán)。舍恩伯格認為自進入大數(shù)據(jù)時代以來遺忘已經(jīng)成了一種美德，記憶成了常態(tài)，只要在網(wǎng)絡(luò)中游走，幾乎所有的信息都能被記憶，無論我們愿不愿意，這給人們帶來了極大的心理負擔(dān)，讓網(wǎng)絡(luò)失去記憶已經(jīng)成了人們共同的需求，信息刪除權(quán)已經(jīng)成為現(xiàn)代人必不可少的一項權(quán)利。首先，應(yīng)明確人臉信息刪除權(quán)的權(quán)利主體，人臉信息刪除權(quán)的權(quán)利主體既可以是人臉信息主體本人，也可委托他人。其次，人臉信息刪除權(quán)的義務(wù)主體不只是人臉信息的直接利用者，也包括其他共享企業(yè)或關(guān)聯(lián)企業(yè)。最后，刪除時間應(yīng)具體規(guī)定為多少小時，而不應(yīng)以“合理期間”籠統(tǒng)規(guī)定。

(3)引入限制處理權(quán)。限制處理權(quán)是在刪除權(quán)中獨立規(guī)定的一種新型數(shù)據(jù)權(quán)利，主要是考慮到礙于技術(shù)原因無法將信息徹底刪除，或信息主體仍想繼續(xù)獲得服務(wù)但需限制商業(yè)主體對信息的處理行為的情況。限制處理權(quán)為人臉信息主體提供了另一種選擇，迎合了人臉信息保護的多樣化需求。我國有必要引入限制處理權(quán)進行本土化構(gòu)建。一方面應(yīng)明確人臉信息主體行使限制處理權(quán)的前提，當商業(yè)主體超過最初收集目的利用人臉信息、過度分析人臉信息時，人臉信息主體可行使限制處理權(quán)。另一方面應(yīng)設(shè)計人臉信息主體行使限制處理權(quán)的程序，人臉信息主體提出請求后，商業(yè)主體應(yīng)即刻予以處理，若因遲延履行造成的損失商業(yè)主體應(yīng)負賠償責(zé)任，商業(yè)主體處理完畢后應(yīng)將處理結(jié)果告知人臉信息主體，若對處理結(jié)果不滿意，人臉信息主體可行使刪除權(quán)。

3.設(shè)置統(tǒng)一保護機關(guān)

(1)建立監(jiān)管機構(gòu)。為保護個人信息權(quán)益，GDPR要求各成員國成立獨立的數(shù)據(jù)保護機構(gòu)，法國據(jù)此成立了國家數(shù)據(jù)保護委員會，芬蘭成立了數(shù)據(jù)保護辦公室，德國設(shè)置了聯(lián)邦數(shù)據(jù)保護和信息自由保護專員。[12]獨立監(jiān)管機構(gòu)的設(shè)立有力保護了信息權(quán)益。我國也應(yīng)根據(jù)國情建立一個統(tǒng)一的信息監(jiān)管機構(gòu)，當發(fā)生人臉信息糾紛時，可以避免產(chǎn)生行政機關(guān)推諉扯皮的現(xiàn)象。

(2)劃定監(jiān)管職權(quán)。監(jiān)管機構(gòu)建立后還應(yīng)劃定監(jiān)管職權(quán)。第一，人臉信息監(jiān)管機關(guān)具有審批權(quán)，并不是任何一個商業(yè)主體均能采集人臉信息，應(yīng)設(shè)置人臉信息采集的門檻。第二，審批通過后，人臉信息監(jiān)管機構(gòu)擁有許可權(quán)。第三，在商業(yè)主體利用人臉信息的過程中，人臉信息監(jiān)管機構(gòu)擁有檢查權(quán)。第四，人臉信息監(jiān)管機構(gòu)檢查后若發(fā)現(xiàn)商業(yè)主體的保管措施不合格或商業(yè)主體對人臉信息進行非法利用，人臉信息監(jiān)管機構(gòu)可以行使糾正權(quán)。第五，如果商業(yè)主體拒不更改或未完全更改，人臉信息監(jiān)管機構(gòu)可行使懲罰權(quán)。

(3)細化監(jiān)管措施。監(jiān)管職權(quán)明確后還應(yīng)細化監(jiān)管措施。當商業(yè)主體違法情節(jié)輕微，沒有給人臉信息主體造成實質(zhì)影響時，人臉信息監(jiān)管機構(gòu)可以采取約談、責(zé)令限期改正的監(jiān)管措施；當商業(yè)主體不當處理人臉信息時，人臉信息監(jiān)管機構(gòu)可以要求商業(yè)主體停止人臉信息處理行為，如果商業(yè)主體給個人造成影響，可以要求商業(yè)主體消除影響、恢復(fù)名譽、賠禮道歉等；當商業(yè)主體違法情節(jié)惡劣時，人臉信息監(jiān)管機構(gòu)可以對商業(yè)主體罰款；當商業(yè)主體的行為構(gòu)成犯罪時，人臉信息監(jiān)管機構(gòu)應(yīng)將全部案件材料移交司法機關(guān)審查。

4.完善侵權(quán)救濟機制

(1)擴大民事公益訴訟主體范圍。為了改變?nèi)四樞畔⒅黧w的弱勢地位，需要法律作出特別的制度安排。當前我國《民事訴訟法》規(guī)定的提起民事公益訴訟的主體只有法律規(guī)定的有關(guān)機關(guān)和有關(guān)組織，檢察機關(guān)只能作為后順位的主體，在有關(guān)組織未提起訴訟后才能提起訴訟，(13)《民事訴訟法》第55條第一款：“對污染環(huán)境、侵害眾多消費者合法權(quán)益等損害時社會公共利益的行為，法律規(guī)定的有關(guān)機關(guān)和有關(guān)組織可以向人民法院提起訴訟?！薄睹袷略V訟法》第55條第二款：“人民檢察院在履行職責(zé)中發(fā)現(xiàn)破壞生態(tài)環(huán)境和資源保護、食品藥品安全領(lǐng)域侵害眾多消費者合法權(quán)益等損害社會公共利益行為，在沒有前款規(guī)定的機關(guān)和組織或者前款規(guī)定的機關(guān)和組織不得提起訴訟的情況下可以向人民法院提起訴訟?！倍矣嘘P(guān)組織規(guī)定的標準甚為嚴格，一般組織并無提起公益訴訟的資格，這并不利于人臉信息的保護，應(yīng)降低訴訟主體的資格條件，只要人臉信息主體愿意委托，一些具有實力的組織或個人可以代替人臉信息主體進行維權(quán)，《證券法》中的“明示退出，默示加入”原則可資借鑒，(14)《證券法》第95條第3款：“投資者保護機構(gòu)受五十名以上投資者委托，可以作為代表人參加訴訟，并為經(jīng)證券登記結(jié)算機構(gòu)確認的權(quán)利人依照前款規(guī)定向人民法院登記，但投資者明確表示不愿意參加該訴訟的除外。”《證券法》中規(guī)定了五十名投資者即可委托投資者保護機構(gòu)代為維權(quán)，其他投資者不否認也視為同意委托，這一原則可推行至人臉信息糾紛中，縮小人臉信息主體與商業(yè)主體的實力差距，打破人臉信息糾紛中“無人起訴”的局面。

(2)重設(shè)侵權(quán)規(guī)則體系。僅對訴訟主體進行特別規(guī)定，不足以平衡人臉信息主體和商業(yè)主體的利益，侵權(quán)規(guī)則體系還需重設(shè)。一方面應(yīng)更改歸責(zé)原則，適用過錯歸責(zé)原則于人臉信息主體不公，適用無過錯歸責(zé)原則對商業(yè)主體又過于嚴苛，為平衡二者利益采取過錯推定原則是適切的。另一方面應(yīng)降低損害后果的證明標準，人臉信息主體所受損害未達到嚴重損害或?qū)嵸|(zhì)損害程度也可獲得賠償。美國伊利諾伊州最高院在2019年的判決中認為：《伊利諾伊州生物識別隱私法案》規(guī)定了私人實體收集、保存和處理生物識別信息的義務(wù)，當私人實體違反了這些程序性義務(wù)時信息主體的隱私便不復(fù)存在了，因此原告不必證明損害是現(xiàn)實的或重大的，“程序性侵權(quán)即為損害后果”的證明標準是合理的。

(3)確定最低賠償標準。我國在消費者侵權(quán)領(lǐng)域(15)《消費者權(quán)益保護法》第55條第一款：“經(jīng)營者提供商品或服務(wù)有欺詐行為的，應(yīng)當按照消費者的要求增加賠償其受到的損失，增加賠償?shù)慕痤~為消費者購買商品的價款或接受服務(wù)費用的三倍；增加金額不足五百元的，為五百元。法律另有規(guī)定的，依照其規(guī)定?！焙褪称非謾?quán)領(lǐng)域(16)《食品安全法》第148條第二款：“生產(chǎn)不符合食品安全標準的食品或者經(jīng)營者明知是不符合食品安全標準的食品，消費者除要求賠償損失外，還可以向生產(chǎn)者或者經(jīng)營者要求支付價款十倍或者損失三倍的賠償金；增加賠償?shù)慕痤~不足一千元的，為一千元。但是，食品的標簽、說明書存在不影響食品安全且不會對消費者造成誤導(dǎo)的瑕疵的除外?！贝_定了最低賠償標準，使消費者的合法權(quán)益得到了有效救濟，也激發(fā)了消費者的維權(quán)動力。在人臉信息侵權(quán)糾紛中也可為人臉信息主體確定最低損害賠償標準，當人臉信息主體所受損害數(shù)額無法確定時時，可主張最低損害賠償，能夠確定時可主張補償性損害賠償，如果隱私遭受嚴重侵犯、財產(chǎn)損失巨大、社會影響惡劣時，可主張懲罰性賠償。最低損害賠償標準可為人臉信息主體提供兜底保護。

結(jié)語

人臉識別技術(shù)已經(jīng)被越來越多的商業(yè)主體使用，人臉信息保護不僅僅是一個技術(shù)問題，更是一個法律問題。人臉信息在商業(yè)領(lǐng)域應(yīng)用中的權(quán)益保護問題已初露端倪，隨著數(shù)據(jù)產(chǎn)業(yè)的發(fā)展，人臉信息巨大的商業(yè)價值將會不斷凸顯，對于個人的重要性也會不斷增強。當人臉識別技術(shù)滲透進社會生活的方方面面與人類建立起緊密關(guān)系之時，將挑戰(zhàn)我們的隱私觀和信息觀。立法是指向未來的，我們應(yīng)提前做好部署，充分發(fā)揮法律的預(yù)測作用，對人臉信息給予及時的保護。