周 行(中國政法大學 國際法學院，北京 100080)

近年，人臉識別技術(shù)被廣泛運用于社會生活的各個方面，發(fā)揮著舉足輕重的作用。例如，許多小區(qū)采用人臉識別技術(shù)作為門禁，只有刷臉才能進入小區(qū)[1]；人臉識別被學校作為日常管理的技術(shù)工具[2]。這一技術(shù)在給社會治理帶來許多便利的同時，也引發(fā)了人們的擔憂。相比于一般個人信息，人臉信息具有直接識別性、不可更改性、易獲取等特征。一旦發(fā)生信息泄露，或被非法利用，極易導致公民的名譽、健康受到損害或遭受歧視性待遇，其造成的損害往往難以彌補。因此，對于人臉信息的收集和使用，無論是出于公共管理目的還是商業(yè)目的，都應(yīng)當高度謹慎。而我國在法律規(guī)范上尚未給予人臉信息保護足夠關(guān)注。筆者從人臉信息與人格尊嚴的關(guān)系出發(fā)，探討人臉信息保護的憲法保護基礎(chǔ)，并對部門法的立法進行約束和指引，在法律層面為人臉信息保護搭建三重相互配合、協(xié)調(diào)發(fā)展的法律保護體系，并確立個人信息安全的政府標準和市場標準，形成標準和法律相互配合、相互依賴的多元規(guī)范保護體系。

一、人臉信息保護的憲法基礎(chǔ)——人格尊嚴

(一)人臉信息保護與人格尊嚴保障關(guān)系密切

我國憲法第38條規(guī)定：“中華人民共和國公民的人格尊嚴不受侵犯”。在這一表述中，能夠確立起人臉信息保護的規(guī)范基礎(chǔ)。

首先，人臉在社會文化中的意義和功能，使其內(nèi)在蘊含著人的尊嚴[3]。在社會交際中，常從一個人的臉上發(fā)現(xiàn)一些非語言信息以判定其情感、觀點、態(tài)度等，也就是說“臉”不僅有生理的面向，更有社會的面向，包括一個人在社會中的身份、地位、受尊敬的程度等，即俗話所說的“面子”[4]。因此，人臉技術(shù)的不正當利用會貶損人格尊嚴，如“深偽技術(shù)”的惡意利用使得犯罪分子能夠在淫穢色情等視頻中換臉，最新的深偽技術(shù)還能實現(xiàn)對聲音和口型的編輯，進行極其精準的操控，也就是說，能讓任何人在鏡頭前，按照其他人寫的劇本來講話，完全可以以假亂真[5〗。這種技術(shù)的不當利用會對當事人的人格尊嚴造成嚴重的傷害。

其次，政府對公民生活的過度監(jiān)控在無形中會對公民人格尊嚴造成傷害。在大數(shù)據(jù)時代，國家會運用各種監(jiān)控工具進行風險監(jiān)測、預(yù)防和應(yīng)對，但是當這些監(jiān)控技術(shù)被廣泛用于公共場所的安保，大到機場、火車站，小到小區(qū)門禁、地鐵安檢都安裝了人臉識別設(shè)備的時候，就會造成對公民生活的過度干預(yù)，會讓公民產(chǎn)生犯罪嫌疑人般被監(jiān)督并時刻需要提防的心理，感受到社會對自己極大的不信任感，這也是對公民人格尊嚴的貶損。

再次，人臉信息收集的知情同意原則的泛化與失靈，會對人格尊嚴與自由意志造成侵犯。在我國法律制度上,現(xiàn)有的個人信息保護專門規(guī)定或條款的核心內(nèi)容均為“個人知情同意”,但“同意”的真實性值得懷疑：有的是“被迫同意”，例如我國的“人臉識別第一案”中，郭兵被短信告知動物園將啟用人臉識別系統(tǒng)。根據(jù)短信中的內(nèi)容，若不參與升級則無法入園[6]。還有的是“無意同意”。每一個人的理性是有限的，由于信息的不對稱、較低的自我安全保護意識，可能并不知道“同意”的真正意義，并不愿意承擔“同意”所可能產(chǎn)生的后果。無論哪一種情況，都是對知情同意原則的削弱，更是對當事人自由意志和人格尊嚴的侵犯。

最后，算法偏差帶來的算法歧視危及到個人自由平等和人格尊嚴。在國外，警察在偵查活動中廣泛運用由算法模型系統(tǒng)主導的預(yù)測警務(wù)系統(tǒng)引發(fā)了社會民眾對種族歧視的擔憂。據(jù)麻省理工的研究表明，以防控犯罪為例，運用于警情控制的人臉識別技術(shù)，將非白人誤認為犯罪的概率遠大于白人[7]；在國內(nèi)，近年來,“大數(shù)據(jù)殺熟”引發(fā)社會廣泛關(guān)注和爭論。這些關(guān)注與爭論，從不同側(cè)面反映出算法歧視問題的嚴重性和緊迫性[8]。一旦人工智能的算法存在設(shè)計漏洞，就可能導致其對數(shù)據(jù)分析解讀產(chǎn)生歪曲和錯亂，進而產(chǎn)生不合理的歧視結(jié)果[9]。

由此可見，每個人的人臉信息與人格尊嚴關(guān)系密切，如果對人臉信息不加節(jié)制地使用甚至是濫用，將會損害公民的自我決定權(quán)，抑制公民在監(jiān)視空間內(nèi)的表達權(quán)，加深現(xiàn)有的歧視甚至造成新的歧視[10]。

(二)人格尊嚴進路對人臉信息保護的意義

首先，強調(diào)國家對公民人臉信息的保護義務(wù)。在平臺經(jīng)濟時代，每個獨立的自然人面對的都是擁有技術(shù)霸權(quán)的信息掌控者，普通公眾基本無從知道自己在多大程度、有多少數(shù)量的個人數(shù)據(jù)和信息已被他人掌控。這就意味著，當下日益加劇的巨大“信息壟斷”和“信息鴻溝”，明顯危及到個人隱私、自由平等和人格尊嚴[11]。因此，面對個人與信息處理者之間存在的持續(xù)性不平等關(guān)系，需要國家轉(zhuǎn)變消極的“守夜人”角色，通過強有力的規(guī)制手段保護處于弱勢地位的個人，因此明確人臉信息保護的憲法理論依據(jù)有助于促進國家履行其在個人信息問題上的保護義務(wù)，避免國家權(quán)力消極不作為[12]。

其次，防止公權(quán)力對公民人臉信息造成侵害。國家權(quán)力的參與雖然有保護人臉信息的作用，但同時也意味著國家對個人生活的干預(yù)，因此需要防止國家以保護為名侵害公民的基本權(quán)利。在公共安全事件期間，身份碼技術(shù)在災(zāi)情防控、風險研判和復工復產(chǎn)等方面的創(chuàng)新應(yīng)用，其運行應(yīng)當要經(jīng)得起正當性檢驗：一方面，公共利益構(gòu)成對個人信息權(quán)的正當限制，政府為了保護公眾生命健康可以對個人信息進行干預(yù)與限制；另一方面，需要通過比例原則限定信息收集和使用的范圍，通過法律保留原則限定信息收集主體，以將身份碼引發(fā)的個人信息安全風險控制在合理范圍內(nèi)。

最后，對部門法的立法進行約束和指引。憲法作為一種“框架秩序”，通過“人格尊嚴”條款明確了憲法對部門法領(lǐng)域?qū)θ四樞畔⒈Ｗo問題的價值和規(guī)范設(shè)定，并通過更為具體的法律規(guī)范將人臉信息保護落實為部門法秩序[13]。立法者制定有關(guān)人臉信息保護的法律規(guī)范，要以保護人格尊嚴為出發(fā)點和落腳點，在對各種利益進行權(quán)衡比較時，最不能放棄的價值就是公民的人格尊嚴。

綜上所述，人臉信息保護具有憲法上的理論依據(jù)，在明確國家目標的同時，留給立法者判斷和裁量空間，通過部門法對人臉信息的采集和處理方式進行具體化的制度落實,即“通過立法發(fā)展憲法”[14]。由此，人臉信息的保障就能在憲法和具體部門法的張力與平衡中逐漸發(fā)展完善。

二、人臉信息保護的法律體系建構(gòu)

(一)《民法典》為人臉信息提供一般性法律保護

《民法典》第1034條第二款規(guī)定：“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等?！?/p>

其中，“生物識別信息”是指與自然人的身體、生理或行為特征有關(guān)的基于特定技術(shù)處理產(chǎn)生的個人數(shù)據(jù)，這些數(shù)據(jù)可以確認該自然人的獨特身份(1)GDPR, Art.4(14); Regulation (EU) 2018/1725, Art.3(18).?？傮w上可以分為身體信息和行為信息。身體信息是個人先天的生理信息，包括面部圖像、指紋、手掌靜脈、視網(wǎng)膜、虹膜和DNA樣本等;行為信息是個人后天形成的行為信息，包括筆跡、打字節(jié)奏、步態(tài)和聲音等[15]。人臉信息作為個人信息中生物識別信息的一種，《民法典》能夠為其提供統(tǒng)一的一般性保護。

《民法典》對個人信息的保護與隱私權(quán)保護有著密不可分的聯(lián)系(2)如給人格權(quán)編第六章取名為“隱私權(quán)與個人信息保護”，又如在第1034條中規(guī)定：“個人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個人信息保護的規(guī)定?！薄Ｒ环矫?，在大數(shù)據(jù)技術(shù)的廣泛運用之下，出現(xiàn)人臉信息隱私化的趨勢。在傳統(tǒng)社會，縱使個人身處公共場所，人臉會被其他人看到，但是并不意味著會被別人辨識出身份，因此本不屬于隱私的范疇。但是，在信息社會，人臉如果被設(shè)備捕捉記錄，經(jīng)過數(shù)據(jù)和算法加工，就可以識別出身份。美國學者Ruth Gavison認為，隱藏身份是隱私的重要組成部分，其指出隱私是由三個各自獨立但又相互關(guān)聯(lián)的要素組合而成，分別為保持秘密、隱藏身份和離群獨處。其中，他認為“隱藏身份”是指個體在多大程度上成為他人關(guān)注的對象，一個人一旦成為眾人關(guān)注的對象便會失去隱私[16]，因此，人臉識別技術(shù)的身份識別功能會對公民隱私權(quán)造成挑戰(zhàn)。另一方面，隱私信息化使得隱私的范圍與概念需要重塑。在信息社會，公民的隱私也經(jīng)常以信息化的方式呈現(xiàn)，其蘊含的巨大商業(yè)價值，導致許多人企圖憑借技術(shù)手段從中牟利。美國圣地亞哥的一家人工智能公司Kneron團隊用一個特制的3D面具，成功欺騙了支付寶和微信的人臉識別支付系統(tǒng)，完成了購物支付程序[16]。因此，當人臉等原本社會公開的信息可用于流通牟利，隱私的范圍也需重新考慮[17]。即使人臉信息與隱私權(quán)有著密切聯(lián)系，但是隱私權(quán)進路尚不能完全滿足人臉信息保護的要求。首先，隱私權(quán)保護與人臉信息保護的法律結(jié)構(gòu)不同。人臉信息的主體不限于信息本身的主體，還涉及人臉信息的數(shù)據(jù)控制者，人臉信息主體可以自主控制或允許數(shù)據(jù)控制者利用，從而發(fā)揮該信息的經(jīng)濟與社會價值，這是傳統(tǒng)的隱私權(quán)觀念所不具備的。因此，單個個人生物識別信息的保護可以適用于隱私權(quán)規(guī)范，但是一旦涉及個人生物識別信息的數(shù)據(jù)控制者，則應(yīng)當適用個人信息相關(guān)規(guī)范[18]。其次，隱私權(quán)保護邏輯無法滿足人臉信息的雙重屬性的要求。隱私權(quán)具有強烈的排他性和防御性，而人臉信息兼具個體屬性與公共流通屬性。簡單地強調(diào)人臉信息的某一種屬性均不足以闡述人臉信息的本質(zhì)特征，也不足以為人臉信息保護搭建合理的法律框架[19]。因此，若僅將視角限于通過私法語境下的排他性隱私權(quán)以保護人臉信息，不利于信息時代下在商業(yè)和公務(wù)領(lǐng)域?qū)τ谌四様?shù)據(jù)的合理開發(fā)和有效利用[20]。

綜上，《民法典》將人臉信息作為個人信息的下位概念，能夠針對人臉信息和個人信息的共性問題提供一般性的法律保護，但是缺陷在于不能針對人臉信息的特殊性進行具體法律保護，因而亟需制定一部能夠保護人臉信息的特殊性法律。

(二)《個人信息保護法》為人臉信息提供特殊法律保護

1.《個人信息保護法》的法律定位。在分析具體內(nèi)容之前，需要明確《個人信息保護法(草案)》(以下簡稱《草案》)的性質(zhì)，以協(xié)調(diào)其與《民法典》的適用關(guān)系?！恫莅浮凡皇恰睹穹ǖ洹返南挛环?，而是保護個人信息的專門性法律、綜合性法律。從調(diào)整的法律關(guān)系看，《草案》同時處理三重關(guān)系：私人主體之間、國家與個人之間以及不平等的私法主體，即用戶與互聯(lián)網(wǎng)平臺之間[21]。因此，《草案》不必被《民法典》中的規(guī)則和思路所約束，而應(yīng)針對現(xiàn)有立法對個人信息保護的不足之處，基于《草案》本身的性質(zhì)和宗旨進行補充完善。

隨著個人信息領(lǐng)域問題的專業(yè)化、復雜化，將來即將出臺的《個人信息保護法》必將成為保護個人信息的基礎(chǔ)法律，針對《民法典》的不足之處，對個人信息進行進一步的細化分類，為以人臉信息為代表的生物特征識別信息提供特殊法律保護。

2.人臉信息屬于敏感個人信息。我國《民法典》未對個人信息進行進一步分類，《草案》對個人信息做出了敏感個人信息和一般個人信息的區(qū)分，如第29條第2款規(guī)定：“敏感個人信息是一旦泄露或者非法使用，可能導致個人受到歧視或者人身、財產(chǎn)安全受到嚴重危害的個人信息，包括種族、民族、宗教信仰、個人生物特征、醫(yī)療健康、金融賬戶、個人行蹤等信息”。

人臉信息作為上述個人生物特征信息的一種，有著相比于其他一般個人信息，甚至是其他生物特征識別信息的特殊性。

一是人臉信息具有不可更改性，一旦泄露很難救濟。雖然從理論上講，任何數(shù)據(jù)都有泄露的風險，但與其他數(shù)據(jù)相比，電話號碼、銀行賬號及其他身份信息可以更改，而更改人臉信息的代價和成本過高，在人臉數(shù)據(jù)泄漏后選擇用整容的方式來救濟權(quán)利的方式并不可取，因此從某種程度上來說，人臉信息具有不可更改性。

二是人臉信息的收集具有不易察覺性。即使同屬生物識別信息，人臉信息也與指紋、基因等生物信息之間存在著重要區(qū)別。指紋、基因信息的獲取一般需要經(jīng)過刻意的方式，被獲取信息者往往知道有人正在獲取或者比對自己的個人信息。而人臉經(jīng)常在當事人不自知的情況下被攝像頭捕捉，人臉信息更容易被收集利用。

三是人臉信息在大數(shù)據(jù)背景下有著勾連一切的屬性。通過人工智能的計算，人臉不僅能準確地識別到信息主體，包括種族、膚色、健康狀況甚至情緒等情況[22]，而且能夠關(guān)聯(lián)出每個個體的重要信息。從更廣義的角度來說，“智慧城市”本身就是擴大版的人臉識別技術(shù)，因為它指向無數(shù)攝像頭、大數(shù)據(jù)技術(shù)、二維碼掃描，人們不僅被識別臉，也棲居在人臉識別之中[23]。

基于人臉信息的上述特性，人臉信息與公民的隱私權(quán)、名譽權(quán)、財產(chǎn)權(quán)等多種權(quán)益關(guān)系緊密，對人臉信息的不正當使用對公民造成的侵害是長久的、持續(xù)的、難以彌補的。因此，有必要將人臉信息納入敏感個人信息的范疇，為其提供更高標準的嚴格保護，同時更好地協(xié)調(diào)個人信息保護和利用的關(guān)系。

(三)行政、刑事法律為人臉信息提供多元法律保護

從行政法角度，一方面，在人臉信息的公共利用場景下，收集人臉信息必須基于公共利益的要求并遵循法定程序， 符合比例原則的要求，人臉信息作為個人敏感信息，就應(yīng)當僅在追求“極為重要的公益目的”，且所采取者系與目的之達成具有“直接密切關(guān)聯(lián)之手段”時，始能通過比例原則審查的檢驗[24]。另一方面，在人臉信息的商業(yè)利用場景下，發(fā)揮行政法在規(guī)制私人主體采集人臉信息中的重要作用。具體而言，可以建立生物識別技術(shù)與工具交易管理的行政許可制度[25]，明確規(guī)定具備何種資質(zhì)的私人主體才能收集公民人臉信息，出臺有關(guān)人臉識別設(shè)備安裝申請和人臉識別技術(shù)的安全檢驗規(guī)則，避免企業(yè)或其他部門濫用職權(quán)。例如在公共安全防控實踐中，派出所、街道辦事處以及各居委會、村委會都對相關(guān)人員的通勤信息、個人家庭住址、身體狀況等個人信息進行了收集和分析[26]，甚至對于人臉信息這種個人敏感信息均被作為企業(yè)性質(zhì)的小區(qū)物業(yè)收集，其實,這些主體尚無法律授權(quán)。

從刑法角度，刑法保護人臉信息有著獨特的優(yōu)勢。刑法保護是以被告人為中心、以實施犯罪的行為人的行為為基本依據(jù)，按照法定的標準，符合標準就構(gòu)成犯罪，就可以按照構(gòu)成犯罪的事實和情節(jié)追究其刑事責任[27]。但是，我國現(xiàn)行刑事立法對人臉信息的保護存在缺陷，從我國刑法歷次修正案到《解釋》，立法者對公民個人信息的種類進行列舉時，從來未提及人臉信息的上位概念“生物識別信息”一詞，這降低了該種類在公民個人信息中的特殊重要性?，F(xiàn)在可能的突破口在于最高人民法院、最高人民檢察院出臺的《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》中第5條第1款第10項的“兜底條款”，用“其他情節(jié)嚴重的情形”將侵犯一定數(shù)量的公民生物識別信息作為法定刑升格，這就能從刑法解釋的角度實現(xiàn)對生物識別信息的特殊保護[28]，從而發(fā)揮刑法具有明確性、威懾性等優(yōu)勢，對人臉信息保護構(gòu)筑最后法律防線。

(四)三重法律保護之間的配合協(xié)調(diào)

人臉信息保護法益的復合性、多元化，決定了僅靠私法保護模式或是公法保護模式均無法有效保障其安全，因而有必要對我國人臉信息的法律保護作出系統(tǒng)性的制度安排[29]，使不同的法律在對人臉識別的規(guī)制上有著不同的規(guī)制對象和保護手段。若能實現(xiàn)三重法律之間的相互配合、協(xié)調(diào)發(fā)展，便能為人臉信息保護架構(gòu)起全面而有效的法律保護體系。

一方面，基于人臉信息的不同應(yīng)用場景，由不同法律對不同主體作出有所側(cè)重的規(guī)制，提供不同的救濟方式。人臉信息的應(yīng)用場景可以分為基于政務(wù)價值的公共利用和基于商業(yè)價值的市場利用[30]，由此對應(yīng)的主體分別是政府機關(guān)和商業(yè)主體。從公共利用角度，國家實際上已經(jīng)成為了個人生物識別信息最大的收集、處理、儲存和利用者，此時《民法典》這樣規(guī)制私人主體之間關(guān)系的法律已無用武之地。為了避免政府機關(guān)對人臉信息造成侵害，則應(yīng)當由行政法發(fā)揮事前規(guī)制作用，如限制人臉信息的收集主體、收集范圍和收集方式，遵循法律保留原則、比例原則、法定程序原則。但是若政府機關(guān)已經(jīng)對人臉信息造成侵害，則主要采用國家賠償或達到一定程度由刑法進行制裁單位犯罪。從商業(yè)利用角度，對侵害人臉信息的救濟主要采事后的民事救濟手段，此時由《民法典》和《個人信息保護法》配合起來對人臉信息提供法律保護，在《個人信息保護法》正式出臺之后，應(yīng)當做好二者之間的銜接。由于只有《個人信息保護法》作出了個人敏感信息和個人一般信息的區(qū)分，則對于人臉信息的保護優(yōu)先適用個人信息保護法，個人信息保護法沒有規(guī)定的，再適用民法典。只有違反《個人信息保護法》的行為造成民事權(quán)益損害的，《民法典》才從民事責任追究方面進行銜接[31]。涉及事中和事后的政府監(jiān)管時則由《個人信息保護法》和行政法中的有關(guān)規(guī)定發(fā)揮作用。

另一方面，建立三重法律統(tǒng)一適用的規(guī)則制度，即不做主體或法律關(guān)系區(qū)分，只要違背就是違法收集人臉信息。例如“知情同意”制度的貫徹與落實，無論是誰使用人臉識別技術(shù)，人們均有權(quán)拒絕“刷臉”。如果是在無競爭性的服務(wù)領(lǐng)域(如民航、鐵路、學校、社區(qū)等)使用人臉識別技術(shù)，當人們拒絕“刷臉”時，應(yīng)提供其他替代性的驗證機制，而不能規(guī)定不“刷臉”就不能使用或進入[32]。

綜上，三重法律保護雖然有各自不同的規(guī)制對象和規(guī)制特點，但是我們不能將每種法律保護方式孤立看待，需要將三重法律保護方式統(tǒng)一協(xié)調(diào)起來，以為人臉信息保護構(gòu)建全方面、多場景的法律保護體系。

三、個人信息安全標準為人臉信息提供支撐性保護

標準雖然不是《立法法》規(guī)定的正式法源，不具有形式上的拘束力，但是標準的規(guī)范性特征使得其作為“軟法”的組成部分，是“沒有法律拘束力但有實際效力的行為規(guī)則”[33]。在法治的背景之下，特別是在環(huán)境保護、產(chǎn)品質(zhì)量、科學技術(shù)等領(lǐng)域，標準發(fā)揮著不可或缺的重要作用，與法律一起，構(gòu)成相互聯(lián)系、相互配合、密不可分的規(guī)范體系。因此，完善個人信息安全標準將對人臉信息保護提供重要的支撐性作用。

(一)政府標準：充分發(fā)揮行政機關(guān)的預(yù)先規(guī)制作用

行政法中的行政處罰等措施更多強調(diào)事后的救濟，而一旦人臉信息遭到泄漏，其危害是不可逆、難以救濟的，因此僅僅運用傳統(tǒng)的行政手段還不足以有效的保護人臉信息。通過政府標準的制定和實施，有助于充分發(fā)揮行政機關(guān)的預(yù)先規(guī)制作用，把人臉信息的保護時間提前，做好風險預(yù)防和控制工作。

2020年由中國電子技術(shù)標準化研究院組織修訂的《信息安全技術(shù)個人信息安全規(guī)范》(以下簡稱《個人信息安全規(guī)范》)是我國個人信息安全領(lǐng)域重要的國家標準。行政機關(guān)可以直接依據(jù)《個人信息安全規(guī)范》采取非正式監(jiān)管措施，如警示約談、行政檢查、勸導示范、行政指導、行政獎勵等。這些措施雖然沒有強制效力且不存在制裁結(jié)果，但是企業(yè)出于政府政策優(yōu)惠和企業(yè)信譽的考量通常會予以遵守，從而發(fā)揮政府標準對企業(yè)利用個人信息合規(guī)化的行為規(guī)范和事前引領(lǐng)作用。

(二)市場標準：充分發(fā)揮市場主體的自我規(guī)制作用

在互聯(lián)網(wǎng)時代，由于人臉信息被廣泛商業(yè)利用，大量分散的個體和小型企業(yè)能夠借助數(shù)字平臺參與經(jīng)濟活動，僅靠自上而下的監(jiān)管式保護會力不從心，此時通過制定市場標準提高企業(yè)對用戶信息保護的意識，推動自下而上的自發(fā)式保護尤為重要。同時，我國現(xiàn)有的有關(guān)個人信息保護的法律規(guī)定存在過于抽象和滯后的特征，而市場主體在協(xié)商一致的基礎(chǔ)上制定的市場標準能夠即時總結(jié)實踐中的經(jīng)驗教訓，通過標準本身相對靈活、簡便的制修訂活動，事實上領(lǐng)先于法律規(guī)范實現(xiàn)了對現(xiàn)實變遷的回應(yīng)。

2020年11月27日，在阿里巴巴、華為、字節(jié)跳動等多家互聯(lián)網(wǎng)企業(yè)的共同起草下，工信部組織發(fā)布了《APP收集使用個人信息最小必要評估規(guī)范 人臉信息》團體標準，規(guī)定了移動應(yīng)用軟件對人臉信息的收集、使用、存儲、銷毀等活動中的最小必要規(guī)范和評估方法，并通過個人信息處理活動中的典型應(yīng)用場景來說明如何落實最小必要原則。這一市場標準的制定體現(xiàn)了我國移動互聯(lián)網(wǎng)行業(yè)已經(jīng)具備一定的自律性，能夠自發(fā)進行自我規(guī)制，主動彌補法律保護人臉信息過于抽象的不足，成為人臉信息保護規(guī)范體系的有機組成部分。

人臉信息保護是數(shù)字經(jīng)濟、人工智能時代的核心命題，從規(guī)范層面為人臉信息提供前瞻性保護有著重要意義。在全面依法治國、建設(shè)法治國家的背景下，一方面，隨著科技的不斷發(fā)展，人臉信息保護的法律體系建構(gòu)將是法治體系中不可或缺的一環(huán)，另一方面，通過制定高水平的人臉信息保護的標準，為法律關(guān)于權(quán)利義務(wù)的配置提供科學技術(shù)上合理化的支持，將標準納入法治視野，從而進一步提高法治水平，實現(xiàn)良法善治。