程圓圓

(華東政法大學(xué)經(jīng)濟(jì)法學(xué)院，上海 200000)

一、引言

技術(shù)的日益進(jìn)步及人臉的不可隱匿性使無感抓拍成為可能，生活中違法違規(guī)采集人臉信息的現(xiàn)象屢見不鮮。2021年中央廣播電視總臺(tái)“3·15”晚會(huì)曝光科勒衛(wèi)浴、寶馬、MaxMara品牌的部分門店安裝專門對(duì)顧客進(jìn)行無感抓拍的人臉識(shí)別攝像頭，門店未在顯著位置設(shè)置提示語表明攝像頭的存在，更沒有經(jīng)過顧客授權(quán)同意，進(jìn)入門店的顧客在毫不知情的情況下被抓取面部圖像。抓取的面部圖像被自動(dòng)傳輸至系統(tǒng)后臺(tái)進(jìn)行進(jìn)一步分析，形成以人臉為核心的用戶畫像，具體包括姓名、性別、年齡、心情、進(jìn)出門店次數(shù)、購物偏好等數(shù)據(jù)信息，商家及第三方技術(shù)公司均可以掌握和利用[1]。在這些案例中，商家行為構(gòu)成了多方面的違法：一是商家未經(jīng)充分告知同意即抓取人臉并進(jìn)行識(shí)別分析的行為本身已構(gòu)成違法；二是商家與第三方技術(shù)公司共享顧客個(gè)人信息，信息流轉(zhuǎn)過程構(gòu)成二次違法，加大了人臉信息被泄露和濫用的風(fēng)險(xiǎn)；三是商家基于用戶畫像采取量身定制的營(yíng)銷手段，甚至進(jìn)行歧視性定價(jià)，侵蝕了消費(fèi)者的自主選擇權(quán)、公平交易權(quán)。類似情況如某房地產(chǎn)開發(fā)商在售樓處安裝人臉識(shí)別系統(tǒng)，未明示收集、使用信息的目的、方式和范圍且未取得客戶的同意，當(dāng)?shù)厥袌?chǎng)監(jiān)督管理部門隨即對(duì)其作出罰款25萬元的處罰決定[2-3]。除了行政執(zhí)法案例，被稱為人臉識(shí)別第一案的郭兵與杭州野生動(dòng)物世界有限公司服務(wù)合同糾紛案敲響了技術(shù)濫用的警鐘。該案二審已落下帷幕，法院從服務(wù)合同的角度認(rèn)定被告單方變更入園方式構(gòu)成違約，且鑒于被告已經(jīng)停止使用閘機(jī)，致使原約定的以指紋識(shí)別驗(yàn)證身份入園的服務(wù)方式無法實(shí)現(xiàn)，故而判決被告刪除原告的指紋及人臉信息，但是并未支持原告“被告告示和通知中的強(qiáng)制指紋和人臉識(shí)別內(nèi)容因違反消費(fèi)者權(quán)益保護(hù)法第二十六條關(guān)于格式合同的相關(guān)規(guī)定而無效”[4]的訴訟請(qǐng)求[5]。那么，其他年卡用戶的指紋和人臉信息是否要?jiǎng)h除？杭州野生動(dòng)物世界有限公司能否繼續(xù)采用人臉識(shí)別作為年卡用戶入園的唯一方式？該方式是否符合合法、必要、正當(dāng)三原則？人臉識(shí)別第一案雖然暫時(shí)告一段落，但人臉信息被大肆收集、濫用所帶來的法律問題仍未解決，人臉信息處理行為如何規(guī)制仍然值得深思。

以上案例是人臉識(shí)別技術(shù)在線下場(chǎng)景中的不當(dāng)應(yīng)用，囿于時(shí)間、空間等因素，其影響范圍相對(duì)較小，而很多手機(jī)軟件早已抓取人臉信息。有的手機(jī)軟件通過以同意換服務(wù)的方式取得訪問用戶相冊(cè)的授權(quán)，有的開發(fā)了換臉小程序，有的通過小額優(yōu)惠活動(dòng)推廣人臉識(shí)別應(yīng)用軟件。網(wǎng)絡(luò)空間具有隱匿性和無邊界的特征，從而使得人臉信息被違法處理和不當(dāng)利用的風(fēng)險(xiǎn)迅速擴(kuò)大。

傳統(tǒng)的生物識(shí)別方式主要被應(yīng)用于國家安全、治安管理等公共領(lǐng)域，而隨著互聯(lián)網(wǎng)技術(shù)的深入發(fā)展，多樣化的生物識(shí)別方式早已超越傳統(tǒng)的公共領(lǐng)域應(yīng)用場(chǎng)景，深入到人們?nèi)粘Ｉ畹姆椒矫婷?，涉及身份認(rèn)證和訂制服務(wù)等多樣化商業(yè)場(chǎng)景，如金融、醫(yī)療、學(xué)校、支付、交通、社區(qū)、企業(yè)、小區(qū)物業(yè)管理、商場(chǎng)等[6]。技術(shù)發(fā)展得再快再先進(jìn)也不能脫離法律的規(guī)制，在違法違規(guī)采集人臉信息致使自然人人格尊嚴(yán)、肖像權(quán)、財(cái)產(chǎn)權(quán)、隱私權(quán)及個(gè)人信息權(quán)益被侵犯之風(fēng)險(xiǎn)急劇增加的當(dāng)下，商業(yè)場(chǎng)景下人臉識(shí)別技術(shù)的法律規(guī)制問題亟須法學(xué)界予以回應(yīng)。

二、人臉識(shí)別技術(shù)的特性與法律風(fēng)險(xiǎn)分析

(一)人臉識(shí)別技術(shù)的特性

歐盟《互聯(lián)網(wǎng)及移動(dòng)設(shè)備人臉識(shí)別技術(shù)的意見書》將人臉識(shí)別技術(shù)定義為通過自動(dòng)處理包含人類面部圖像的數(shù)字照片來識(shí)別、驗(yàn)證以及鑒別個(gè)體的技術(shù)[7]。人臉識(shí)別系統(tǒng)主要包括人臉圖像采集及檢測(cè)、人臉圖像預(yù)處理、人臉圖像特征提取、人臉圖像匹配與識(shí)別四個(gè)組成部分，主要對(duì)人臉中不易產(chǎn)生變化的部分如眼眶、顴骨周圍及嘴部邊緣區(qū)域等進(jìn)行圖像處理[8]。人臉識(shí)別技術(shù)是人工智能應(yīng)用的產(chǎn)物之一，其工作原理是基于人臉的唯一可識(shí)別性、不可隱匿性、不可更改性等特征，運(yùn)用技術(shù)手段加以提取、存儲(chǔ)、利用，以達(dá)到準(zhǔn)確定位、身份識(shí)別等目的。

人臉信息的特征能指向特定自然人。固然容顏會(huì)隨歲月變遷而有所改變，但臉部基本結(jié)構(gòu)并不會(huì)發(fā)生大的變化。對(duì)于自然人而言，人臉彰顯其身份，是個(gè)人開展社會(huì)交往的前提和基礎(chǔ)；同時(shí)還能反映其年齡、心情、喜惡，是自然人人格精神、社會(huì)評(píng)價(jià)之載體?；谌四樀奶卣骺梢酝瞥鋈四樞畔⒌奶匦?。一是人臉特征的不可更改性決定了人臉信息的不可更改性。成熟的人臉識(shí)別系統(tǒng)應(yīng)當(dāng)基于人臉的三維特征進(jìn)行抓取和建模，其核心在于面部骨骼特征如同人的指紋一樣自出生時(shí)就已形成且不可更改，專屬于個(gè)人且不與他人重合。一些更為成熟的技術(shù)在靜態(tài)特征點(diǎn)采集的基礎(chǔ)上還加入了動(dòng)態(tài)信息，如不同表情下面部肌肉的變化。一系列特征點(diǎn)的疊加使得人臉信息更改的難度遠(yuǎn)遠(yuǎn)大于重置密碼、更改用戶ID等手段。二是人臉的唯一可識(shí)別性決定了人臉信息的唯一對(duì)應(yīng)性。肖像是直接識(shí)別符，代表著某人，可將某些行為或關(guān)聯(lián)信息歸屬于某人[9]。世界上沒有兩個(gè)一模一樣的雞蛋也沒有完全一樣的雙胞胎，即使在外表具有極高相似度的情形下，借助科技手段同樣可以定位到唯一的具體個(gè)體。因此人臉信息之于個(gè)人就如同身份證號(hào)之于公民，是一一對(duì)應(yīng)的關(guān)系。三是人臉的不可隱匿性使得人臉信息的采集可以悄無聲息。此外，人臉信息具有很強(qiáng)的人格利益。個(gè)人信息涉及自然人的人格尊嚴(yán)和人格自由，其主要理由在于個(gè)人信息是能夠識(shí)別特定自然人的信息，這種可識(shí)別性就體現(xiàn)了人格特征[10]。人臉信息作為敏感信息，其可識(shí)別性更高，因此具有更強(qiáng)的人格尊嚴(yán)價(jià)值。

(二)人臉識(shí)別技術(shù)應(yīng)用的法律風(fēng)險(xiǎn)

1.侵害自然人信息權(quán)益

我國民法典采用隱私權(quán)和個(gè)人信息并行的保護(hù)模式，正在制定的個(gè)人信息保護(hù)法則以單行法的方式對(duì)個(gè)人享有的信息權(quán)益進(jìn)行確認(rèn)和保護(hù)。個(gè)人信息與人格密不可分，在一定程度上體現(xiàn)自然人的人格特征，個(gè)人信息權(quán)益符合人格權(quán)益的本質(zhì)特征。個(gè)人信息保護(hù)的基礎(chǔ)是個(gè)人的自決權(quán)，權(quán)利人同意他人采集、利用或采取何種利用方式，都是個(gè)人自決權(quán)的具體表現(xiàn)[11]。人臉信息是個(gè)人信息的下位概念，屬于敏感信息，對(duì)于人臉信息的保護(hù)不僅應(yīng)當(dāng)遵循個(gè)人信息保護(hù)的一般原則，還應(yīng)當(dāng)適用更加嚴(yán)格的保護(hù)標(biāo)準(zhǔn)。但在現(xiàn)實(shí)生活中，人臉信息被無感抓取，在某些場(chǎng)所未經(jīng)用戶同意就推行人臉識(shí)別，各不相同的手段和方式使得個(gè)人對(duì)于信息的自我決定無從談起。人臉信息被采集后，其流轉(zhuǎn)與利用更成問題，收益由侵權(quán)者享有，不當(dāng)泄露與非法利用帶來的風(fēng)險(xiǎn)卻均由個(gè)人承擔(dān)，這顯然違背了“誰受益誰擔(dān)責(zé)”的原則。

2.隱私泄露與人格貶損之風(fēng)險(xiǎn)

人臉具有不可隱匿性，人臉信息難以成為隱私權(quán)保護(hù)的客體，但當(dāng)人臉識(shí)別技術(shù)透過人臉分析自然人的性別、性取向、年齡、種族、健康、情緒等相關(guān)信息時(shí)，就侵犯了自然人的隱私權(quán)。另外，當(dāng)人臉數(shù)據(jù)信息維持在孤島狀態(tài)時(shí)，并不會(huì)帶來太多危害，但如果能同時(shí)獲取目標(biāo)人物的身份證、電話、消費(fèi)偏好以及行為蹤跡等其他若干關(guān)聯(lián)信息，那么其危害就很直接[12]。在當(dāng)下這個(gè)處處留痕的時(shí)代，個(gè)人的一舉一動(dòng)都在生成數(shù)據(jù)和信息，當(dāng)各類數(shù)據(jù)、信息與人臉信息疊加，個(gè)人將成為透明人，幾乎無隱私可言。隱私權(quán)保護(hù)的是人格尊嚴(yán)，人臉是個(gè)人人格的一種載體，人臉信息的不當(dāng)采集和利用最終將損害自然人的人格尊嚴(yán)與精神自由。生活中未經(jīng)同意采集人臉信息進(jìn)行分析識(shí)別，轉(zhuǎn)化為一系列的數(shù)據(jù)和信息進(jìn)而在不同主體間交易流轉(zhuǎn)的現(xiàn)象，使得人臉識(shí)別已經(jīng)悄然淪為一種工具，人臉?biāo)休d的人格和精神要素被無視。識(shí)別的是人臉，得到的是數(shù)據(jù)，失去的或被貶損的則是人的主體性及尊嚴(yán)[13]。

3.財(cái)產(chǎn)安全之虞

人臉是開辦銀行業(yè)務(wù)、刷臉支付的通行證，這也意味著一旦不法分子利用新技術(shù)偽造人臉，也就為侵害財(cái)產(chǎn)權(quán)的違法犯罪行為打開了大門。誠然，當(dāng)前偽造人臉的成本較高且存在一定難度，但是當(dāng)利益足夠高的時(shí)候，總有人愿意鋌而走險(xiǎn)。人臉的不可更改性使得人臉密碼具有唯一性，傳統(tǒng)密碼被竊取盜用后尚且可以更換密碼，采用其他更加復(fù)雜的數(shù)字、字母、特殊符號(hào)的隨機(jī)排列組合來加大破解難度，但是人臉信息一旦被偽造將很難補(bǔ)救。

4.歧視化對(duì)待之隱患

商家通過捕捉、分析人臉信息，形成以人臉信息為核心的客戶畫像，進(jìn)而為客戶量身定制營(yíng)銷策略，最終進(jìn)行誘導(dǎo)性消費(fèi)。另外，商家根據(jù)客戶的瀏覽記錄、購物記錄，還能夠分析消費(fèi)者的消費(fèi)習(xí)慣、消費(fèi)水平、對(duì)于價(jià)格的敏感程度等私密信息，從而基于客戶的身份和偏好進(jìn)行差異化定價(jià)。以上種種將使得消費(fèi)者的自主選擇權(quán)、公平交易權(quán)等權(quán)利名存實(shí)亡。

5.侵犯?jìng)€(gè)人的肖像權(quán)

這種侵權(quán)行為主要表現(xiàn)為深度偽造、公開使用、污損與丑化等。

三、人臉識(shí)別技術(shù)應(yīng)用的法律規(guī)制難題

(一)人臉識(shí)別技術(shù)應(yīng)用的邊界——基于效率與安全的考量

現(xiàn)代人的困境在人臉識(shí)別第一案中充分反映出來：享受科技帶來的便利，又憧憬著田園生活；交出更多的個(gè)人信息，卻又擔(dān)心異化[14]。一方面，人臉識(shí)別的商業(yè)應(yīng)用不僅賦能產(chǎn)品和服務(wù)的質(zhì)量改善、成本降低與效率提升，亦有效助力商業(yè)組織的合規(guī)實(shí)踐[15]。另一方面，在風(fēng)險(xiǎn)社會(huì)中人臉識(shí)別技術(shù)的不當(dāng)利用也使得自然人面臨人格尊嚴(yán)被貶損，以及信息權(quán)益、隱私權(quán)、肖像權(quán)、財(cái)產(chǎn)權(quán)被侵害等諸多風(fēng)險(xiǎn)。在數(shù)字化社會(huì)，信息的收集、利用與流轉(zhuǎn)速度空前加快，也將這種風(fēng)險(xiǎn)不斷放大，人臉信息的特殊性與重要性又使得這種信息被泄露后將對(duì)自然人產(chǎn)生較大的傷害。商業(yè)場(chǎng)景下的人臉識(shí)別技術(shù)應(yīng)用產(chǎn)生的問題實(shí)則反映了個(gè)人信息利益與信息商業(yè)化利用的沖突，也是信息主體與商家之間的博弈，法律應(yīng)當(dāng)引導(dǎo)二者達(dá)到非零和博弈的狀態(tài)。

信息的利用必然伴隨著被泄露和不當(dāng)利用的風(fēng)險(xiǎn)。鑒于信息自由流通具有巨大社會(huì)效益和經(jīng)濟(jì)效益，消費(fèi)者權(quán)益保護(hù)法對(duì)個(gè)人信息權(quán)利的規(guī)定應(yīng)當(dāng)兼顧消費(fèi)者個(gè)人信息權(quán)益和信息資源有效利用的雙重目的。在過去，兼顧安全與效率不難實(shí)現(xiàn)，但如今數(shù)據(jù)與信息日益轉(zhuǎn)變?yōu)橹匾纳a(chǎn)要素，個(gè)人信息保護(hù)與資源利用之間的沖突將愈演愈烈。人臉信息屬于敏感信息，與一般的個(gè)人信息相比具有更強(qiáng)的人格利益，立法上應(yīng)當(dāng)充分考慮人臉信息作為敏感信息的特殊性。

圍繞人臉識(shí)別信息能否被利用，不同國家或地區(qū)的立法表現(xiàn)出不同的態(tài)度。美國薩默維爾等城市明確禁止使用人臉識(shí)別信息，理由是存在技術(shù)偏見和侵犯公民個(gè)人信息與隱私的可能[8]；歐盟《通用數(shù)據(jù)保護(hù)條例》在整體上嚴(yán)格限制人臉識(shí)別使用場(chǎng)景，通過強(qiáng)化事先明確同意的權(quán)利保護(hù)、設(shè)立被遺忘權(quán)等保障性權(quán)利、健全數(shù)據(jù)監(jiān)管等舉措確保人臉識(shí)別數(shù)據(jù)商用在法治軌道上運(yùn)行，并授權(quán)各成員國出臺(tái)準(zhǔn)予利用的例外規(guī)定[16]。我國民法典將個(gè)人生物識(shí)別信息作為一般個(gè)人信息加以保護(hù)，“同意”是合法處理的一種情形，然而這種規(guī)定更像是一種權(quán)利宣示?！吨腥A人民共和國個(gè)人信息保護(hù)法(草案二次審議稿)》(以下簡(jiǎn)稱“個(gè)人信息保護(hù)法草案二審稿”)明確“個(gè)人生物特征”為敏感信息，規(guī)定經(jīng)個(gè)人單獨(dú)同意或書面同意方能處理①。

(二)立法模糊——必要性原則何以界定

我國民法典并未區(qū)別人臉信息與其他個(gè)人信息，采用的是統(tǒng)一規(guī)定的方式。民法典第一千零三十五條第一款規(guī)定了“處理個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理”[17]，但過度與適當(dāng)之界限與標(biāo)準(zhǔn)無法從法律條文中得到明確指引。個(gè)人信息保護(hù)法草案二審稿則規(guī)定了處理個(gè)人信息應(yīng)當(dāng)采用合法、正當(dāng)?shù)姆绞?，具有明確、合理的目的，并限于實(shí)現(xiàn)處理目的所必要的最小范圍，采取對(duì)個(gè)人權(quán)益影響最小的方式②。在敏感信息的處理規(guī)則中應(yīng)進(jìn)一步明確個(gè)人信息處理者需具有特定的目的和充分的必要性，方可處理個(gè)人敏感信息。

原則的存在是為了彌補(bǔ)規(guī)則之不足，以適應(yīng)復(fù)雜的社會(huì)生活需要，必要性作為一項(xiàng)處理個(gè)人信息的原則，本就不具有明確的外延和內(nèi)涵。綜觀相關(guān)法律條文，無論是法律文本還是相關(guān)解讀文本，并未給出必要性的判斷標(biāo)準(zhǔn)。如果說必要性本身就具有一定的模糊性，充分必要性則加劇了這種模糊性，相當(dāng)于給予執(zhí)法機(jī)關(guān)、司法機(jī)關(guān)很大的自由裁量權(quán)，授權(quán)其在具體案件中確定必要性的具體內(nèi)涵。但當(dāng)前關(guān)于人臉識(shí)別方面的行政執(zhí)法和司法案例相對(duì)較少，如人臉識(shí)別第一案對(duì)于必要性的判斷存在明顯的不足，無法對(duì)今后類似案例的審判提供指導(dǎo)和示范。

(三)規(guī)則執(zhí)行——知情同意何以保障

從純粹私法理念角度分析，除了帶有極強(qiáng)人格、精神色彩的專屬權(quán)利外，權(quán)利一般是可以放棄和讓渡的，個(gè)人信息(包括人臉信息)權(quán)也不例外。但問題的關(guān)鍵在于權(quán)利的放棄和讓渡要以個(gè)人明確的意思表示為原則，且讓渡到何種范圍也需要由當(dāng)事人確定。制定知情同意規(guī)則的初衷即保障當(dāng)事人對(duì)于個(gè)人信息的意思自治。

民法典第一千零三十五條規(guī)定了處理個(gè)人信息應(yīng)當(dāng)征得該自然人或其監(jiān)護(hù)人的同意，但是法律、行政法規(guī)另有規(guī)定的除外。該條規(guī)定以同意為一般原則，以法律另有規(guī)定的為例外，且同意僅僅是合法處理的條件之一。個(gè)人信息保護(hù)法草案二審稿第二次征求意見稿則基本采納了歐盟《通用數(shù)據(jù)保護(hù)條例》的框架，列舉了個(gè)人信息處理的合法性基礎(chǔ)，這一規(guī)定使得我國個(gè)人信息的處理具有并行的法律依據(jù)[18]。另外，根據(jù)個(gè)人信息保護(hù)法草案二審稿的規(guī)定，處理人臉信息在內(nèi)的個(gè)人敏感信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意，法律、行政法規(guī)規(guī)定處理個(gè)人敏感信息應(yīng)當(dāng)取得書面同意的，從其規(guī)定③。

在現(xiàn)實(shí)生活中，為提高效率，學(xué)校、小區(qū)、商場(chǎng)以及第三方支付軟件都開始采用人臉識(shí)別技術(shù)，告知同意日益流于形式，具體表現(xiàn)為以下幾種情形：一是根本不告知，很多商家在顧客毫不知情的情況下抓取人臉，沒有任何告知、同意等前置程序；二是告知不充分，在某些情形下商家雖然告知來訪者已經(jīng)進(jìn)入人臉采集區(qū)域，但并未告知其可能存在的風(fēng)險(xiǎn)、使用目的、存儲(chǔ)期限等關(guān)鍵內(nèi)容，也沒有取得顧客的同意；三是并非來自真實(shí)意愿的同意，有的手機(jī)軟件采用以授權(quán)換服務(wù)的策略，通過格式合同使得客戶處于二選一的境地，在用戶別無選擇的情況下取得訪問用戶相冊(cè)的權(quán)限，變相采集人臉信息，這種同意可能并非當(dāng)事人的真實(shí)意愿。此外，在人臉識(shí)別進(jìn)社區(qū)的浪潮中，暫且不論其必要性，按照個(gè)人信息保護(hù)法草案二審稿，物業(yè)公司理應(yīng)單獨(dú)告知業(yè)主采集人臉信息的目的、方式、范圍以及存儲(chǔ)時(shí)間，并取得業(yè)主具體、清晰、明確同意的意思表示。在業(yè)主拒絕后，還應(yīng)當(dāng)提供其他替代性方法識(shí)別其身份。但在現(xiàn)實(shí)生活中大部分物業(yè)公司沒有做到這種程度。在人臉識(shí)別第一案中，原告辦理年卡時(shí)被告并未對(duì)收集和使用指紋信息可能具有的個(gè)人信息安全風(fēng)險(xiǎn)等進(jìn)行任何提示說明。此后，被告以短信的形式通知原告：“園區(qū)年卡系統(tǒng)已升級(jí)為人臉識(shí)別入園，原指紋識(shí)別已取消，即日起，未注冊(cè)人臉識(shí)別的用戶將無法正常入園?！盵4]被告不僅沒有告知原告可能存在的風(fēng)險(xiǎn)，也沒有告知保存、刪除期限等內(nèi)容。即使被告告知原告上述內(nèi)容，在被告并未提供其他可替代方式作為入園途徑的前提下，原告的知情同意也并未得到應(yīng)有的尊重。

(四)事后救濟(jì)——權(quán)利受損何以救濟(jì)

個(gè)人信息權(quán)益受到侵害后仍需借助民法典關(guān)于侵權(quán)的相關(guān)條款尋求救濟(jì)，然而這種保護(hù)路徑存在比較明顯的問題。一是無法及時(shí)察覺侵權(quán)行為。由于技術(shù)壁壘的存在，任何個(gè)人在以技術(shù)企業(yè)為代表的信息收集者面前都顯得十分弱小。人臉信息從收集、存儲(chǔ)、分析利用到流轉(zhuǎn)的全過程幾乎都牢牢掌控在企業(yè)手中，個(gè)人一旦同意授權(quán)采集即基本上喪失了對(duì)信息的掌控。二是無從知曉侵權(quán)主體。用戶在毫不知情的情況下丟失了人臉信息，而后續(xù)的信息流轉(zhuǎn)與利用更是一個(gè)黑洞。在技術(shù)使用者和所有者可以分離的時(shí)代，個(gè)人即使在某個(gè)場(chǎng)景下授權(quán)特定商家對(duì)人臉信息進(jìn)行采集和利用，也很難判斷和知曉對(duì)方是否就是信息的真正采集者。比如時(shí)下流行的小區(qū)門禁刷臉，采集信息是否委托第三方技術(shù)公司進(jìn)行？委托哪家公司進(jìn)行？該公司如何保護(hù)收集的信息？小區(qū)居民都無法詳盡知曉與掌控。這樣無法知情、無從知情的情況使得個(gè)人難以提起訴訟或是尋求救濟(jì)。三是損害難以確定。人臉信息被違法處理后，未必會(huì)給自然人帶來財(cái)產(chǎn)損失，這使得當(dāng)事人通過法律途徑主張損害賠償非常困難。

個(gè)人信息保護(hù)法草案二審稿注意到了這些問題并予以回應(yīng)。一是明確個(gè)人信息侵權(quán)行為的歸責(zé)原則為過錯(cuò)推定原則，個(gè)人信息處理者不能證明自己沒有過錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。二是損害賠償責(zé)任按照個(gè)人所受損失或處理者因此獲得的利益來確定，如果兩者都難以確定，則根據(jù)實(shí)際情況判決賠償④。相關(guān)規(guī)定使得自然人人臉信息權(quán)益受侵害后，即使在沒有發(fā)生財(cái)產(chǎn)損失或無法確定損失的情況下也能得到相應(yīng)的賠償。鑒于個(gè)人提起訴訟的成本相對(duì)較高，個(gè)人信息保護(hù)法草案二審稿規(guī)定在特定情況下，人民檢察院、履行個(gè)人信息保護(hù)職責(zé)的部門和國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟。毫無疑問，公益訴訟制度的設(shè)置為個(gè)人信息保護(hù)構(gòu)筑了一道安全防線。

個(gè)人信息保護(hù)法草案二審稿的系列規(guī)定在一定程度上解決了以往個(gè)人信息侵權(quán)糾紛中權(quán)利人舉證困難、訴訟成本過高的問題，但仍存在進(jìn)一步完善的空間：如并未規(guī)定法定最低賠償數(shù)額，那么相關(guān)規(guī)定是否具有威懾力？對(duì)于信息權(quán)益主體而言是否公平？個(gè)人信息處理者所獲利益應(yīng)當(dāng)如何認(rèn)定？在各種在線服務(wù)日益復(fù)雜的今天，某一項(xiàng)個(gè)人信息處理行為違反規(guī)定，是否會(huì)將該在線服務(wù)的收費(fèi)作為收益來認(rèn)定個(gè)人信息處理者因此而獲得的收益？若存在信息處理的受托方，人臉信息采集者和信息處理的受托方之間該如何分擔(dān)責(zé)任？此時(shí)的所獲利益是否要以二者共同利潤(rùn)作為計(jì)算基數(shù)？另外，在個(gè)人信息保護(hù)法草案二審稿第六十八條關(guān)于侵權(quán)責(zé)任的規(guī)定以及第六十九條關(guān)于公益訴訟的規(guī)定中，將訴訟的被告限于個(gè)人信息處理者，個(gè)人信息主體、相關(guān)部門和組織起訴時(shí)能否將受托方也列為共同被告，仍有待明確。

四、人臉識(shí)別技術(shù)應(yīng)用的法律規(guī)制

(一)人臉識(shí)別第一案的啟示

人臉識(shí)別第一案中有兩處涉及對(duì)必要性的判斷。首先，法院認(rèn)為被告基于提高用戶入園效率的目的考量，變指紋入園為刷臉入園符合合法、正當(dāng)、必要原則⑤。其次，法院認(rèn)為合同當(dāng)事人辦理年卡時(shí)采用的是指紋識(shí)別方式入園的服務(wù)合同，被告收集郭兵及其妻子的人臉信息，超出合同范圍，不具有必要性和正當(dāng)性⑥。該案中對(duì)于必要性的判斷核心在于采用人臉識(shí)別技術(shù)替代指紋識(shí)別技術(shù)是否必要，法院判決對(duì)這個(gè)問題的回應(yīng)存在不足。刷臉在進(jìn)入校園、進(jìn)入小區(qū)、超市購物、酒店住宿場(chǎng)景下都能或多或少節(jié)約時(shí)間、提升效率，但效率的背后還有安全的考量，必要性一定是二者博弈實(shí)現(xiàn)的動(dòng)態(tài)平衡，僅從提高入園效率的角度認(rèn)定采用人臉識(shí)別技術(shù)符合必要性原則，缺乏說服力，對(duì)于未來的個(gè)人信息保護(hù)也不具有示范意義。反觀原告的上訴狀中對(duì)必要性的論證更合理：被告收集消費(fèi)者的人臉、指紋信息是為了對(duì)年卡用戶進(jìn)行身份核查，確保服務(wù)對(duì)象的特定性；為了實(shí)現(xiàn)該目的，被告可以采用至少五種方式，即使不采用指紋識(shí)別、人臉識(shí)別的方式也可以達(dá)到該目的；考慮到指紋、人臉信息之特殊性，通過采集個(gè)人敏感信息的方式實(shí)現(xiàn)核驗(yàn)身份的目的并不具有必要性和正當(dāng)性[4]。必要性原則是技術(shù)無序發(fā)展的緩沖器，從嚴(yán)認(rèn)定必要性在一定程度上能夠從源頭上有效降低人臉信息被濫用的風(fēng)險(xiǎn)。

(二)關(guān)于人臉識(shí)別應(yīng)用中知情同意的實(shí)踐建議

知情同意規(guī)則是人臉信息保護(hù)的第一道防線，立法、執(zhí)法和司法機(jī)關(guān)應(yīng)當(dāng)致力于改變知情同意流于形式的問題，尊重個(gè)人對(duì)于人臉信息的自決權(quán)、控制權(quán)，讓人臉信息采集取得合法性基礎(chǔ)。一是明確告知的內(nèi)容。告知的內(nèi)容除了個(gè)人信息類型、處理目的、處理方式、保存期限、潛在風(fēng)險(xiǎn)等，還應(yīng)當(dāng)包括采集人臉信息之必要性、個(gè)人的權(quán)利及維權(quán)方式、信息處理者的相關(guān)信息等。二是明確告知的方式。鑒于很多手機(jī)軟件通過概括性條款獲取訪問相冊(cè)的授權(quán)從而規(guī)避告知同意義務(wù)，應(yīng)當(dāng)要求人臉信息采集者進(jìn)行淺顯易懂、清晰明了的書面告知，對(duì)于其中的重要內(nèi)容如風(fēng)險(xiǎn)、存儲(chǔ)期限等可以采用字體加粗等方式提醒被采集者注意。是否進(jìn)行個(gè)人告知需要根據(jù)具體情境來判斷，不宜作統(tǒng)一的要求，但是應(yīng)當(dāng)規(guī)定采集人臉信息前的告知以單獨(dú)條款或者以單獨(dú)的告知書的形式示明。三是對(duì)告知同意進(jìn)行實(shí)質(zhì)性判斷。很多商家并未給消費(fèi)者提供選擇的機(jī)會(huì)，而是變相強(qiáng)迫用戶在服務(wù)與人臉信息之間二選一，架空同意規(guī)則。這就要求執(zhí)法者與司法者實(shí)質(zhì)性判斷人臉信息的采集是否出于信息主體的真實(shí)自愿的意思表示。

(三)場(chǎng)景化理論下人臉識(shí)別必要性的從嚴(yán)認(rèn)定

在各種利益沖突的情形下，依據(jù)類似于比例原則的辦法，采取造成最少利益受損保全其他利益的解決方法最妥當(dāng)。因而，最大限度使法律保障的利益得以實(shí)現(xiàn)，最大限度地減少權(quán)益的損害，是處理利益沖突時(shí)應(yīng)遵循的基本原則[8]。由此，人臉識(shí)別的必要性可引申出兩層含義：一是非經(jīng)此方式不能實(shí)現(xiàn)期望效果，即人臉識(shí)別的方式應(yīng)具有不可替代性，人臉信息處理者至少應(yīng)證明在該使用情境中人臉識(shí)別方式為最優(yōu)選擇；二是此方式為所有方式中侵害最小的選擇，即人臉識(shí)別應(yīng)保證不侵害被收集者的基本權(quán)益，此時(shí)處理者應(yīng)確保人臉信息使用的正當(dāng)性(使用方式和使用目的都正當(dāng))和安全性。個(gè)人生物識(shí)別信息在風(fēng)險(xiǎn)時(shí)代、數(shù)字時(shí)代的運(yùn)用顯然需要實(shí)現(xiàn)多元價(jià)值和利益的平衡，以尋求手段與目的在價(jià)值取向上的趨近[19]。

在以管理為目的的場(chǎng)景中，如入住酒店的身份驗(yàn)證、公安機(jī)關(guān)偵辦案件的需要等，處理人臉信息往往出于公益性目的，與社會(huì)安全和社會(huì)秩序密切相關(guān)。對(duì)于這類信息的處理者而言，問題的關(guān)鍵不在于能否收集人臉信息，而在于收集后應(yīng)當(dāng)嚴(yán)格限定用途、妥善保管以及采取必要措施防止人臉信息泄露，遵循存儲(chǔ)期限最短的原則，期限屆滿后及時(shí)刪除。

在以提高效率為目的的場(chǎng)景中，應(yīng)綜合考量采用此種方式的合理性與必要性。如動(dòng)物園等人流量大的公共場(chǎng)所在高峰期確實(shí)容易出現(xiàn)人員聚集現(xiàn)象，僅刷身份證并不能解決人證一致的問題，指紋識(shí)別則存在反應(yīng)慢、無法應(yīng)對(duì)脫皮受傷造成指紋缺損的情況[4]，采用人臉識(shí)別在提高效率方面具有一定的合理性和必要性。然而在刷臉進(jìn)小區(qū)的場(chǎng)景中似乎并不具備這種必要性，小區(qū)一般有多個(gè)入口，住戶和人流量相對(duì)穩(wěn)定，盡管存在盜刷的風(fēng)險(xiǎn)，物業(yè)公司也可以通過加強(qiáng)安保進(jìn)行防范。另外，每個(gè)人的行動(dòng)軌跡相對(duì)固定，很多時(shí)候進(jìn)出次數(shù)多了，保安也會(huì)面熟，因此升級(jí)人臉識(shí)別系統(tǒng)并以此作為進(jìn)入小區(qū)的唯一方式，缺乏足夠充分的正當(dāng)性及必要性。

在商業(yè)化利用的場(chǎng)景中，為防止違法違規(guī)采集人臉信息為自然人帶來不可逆的損害，對(duì)私主體處理人臉信息應(yīng)采用更嚴(yán)格的標(biāo)準(zhǔn)，單純?yōu)榱斯?jié)約時(shí)間、提升效率而采用人臉識(shí)別技術(shù)往往不具有正當(dāng)性與必要性。商家為了精準(zhǔn)營(yíng)銷等商業(yè)利益抓取人臉進(jìn)行識(shí)別不具有正當(dāng)性，原則上應(yīng)當(dāng)禁止。另外，告知同意的生效可以參照格式條款的生效規(guī)則，信息處理者應(yīng)當(dāng)進(jìn)行清晰的提示說明、單獨(dú)取得授權(quán)(甚至可以限制為書面授權(quán)方式)，還可以考慮引入懲罰性賠償機(jī)制，避免企業(yè)獲得巨額收益而風(fēng)險(xiǎn)由被收集者承擔(dān)。

(四)加強(qiáng)對(duì)人臉識(shí)別技術(shù)應(yīng)用的差異化規(guī)制與體系化監(jiān)管

已有研究表明，信息處理會(huì)導(dǎo)致一種無力和無助的狀態(tài)，人們?nèi)狈Ρ匾臋?quán)利和方式有效地參與到個(gè)人信息收集、使用和傳播過程中[20]。在個(gè)人信息收集和處理的過程中，信息不對(duì)稱與技術(shù)不對(duì)稱加劇了信息主體的弱勢(shì)地位，造成自然人對(duì)個(gè)人信息的自決權(quán)被動(dòng)搖，因此需要通過個(gè)人信息保護(hù)等一系列立法進(jìn)行保護(hù)與救濟(jì)。在商業(yè)場(chǎng)景下應(yīng)用人臉識(shí)別技術(shù)是商家和個(gè)人的博弈，然而這并不是一種零和博弈，我們應(yīng)當(dāng)探尋一種路徑實(shí)現(xiàn)雙贏。人臉識(shí)別技術(shù)如何規(guī)制及規(guī)制到何種程度，實(shí)際上也體現(xiàn)了商家利益和個(gè)人信息利益的平衡。平衡的結(jié)果不可能是一碗水端平、無差別對(duì)待，而應(yīng)結(jié)合不同場(chǎng)景進(jìn)行差別化規(guī)制。

個(gè)人信息保護(hù)法草案二審稿注意到了人臉信息的特殊性與重要性，區(qū)分一般信息與敏感信息，對(duì)后者予以更嚴(yán)格的規(guī)制，要求處理個(gè)人敏感信息必須取得個(gè)人的單獨(dú)同意并具有特定的目的、充分的必要性。其中第三十二條規(guī)定，法律、行政法規(guī)對(duì)處理個(gè)人信息應(yīng)當(dāng)取得相關(guān)行政許可或者作出其他限制的，從其規(guī)定⑦。這一規(guī)定反映了立法者對(duì)于人臉信息在內(nèi)的敏感信息的特殊關(guān)注，也為將來特殊行業(yè)開展審批制的刷臉識(shí)別埋下了伏筆。然而，基于行政成本及商業(yè)創(chuàng)新的考量，商業(yè)場(chǎng)景下的刷臉許可制并不具有普遍推廣的可能性。人臉信息的采集者和被采集者之間的力量與技術(shù)失衡是客觀的，這種不對(duì)稱使得消費(fèi)者很難發(fā)現(xiàn)自己的權(quán)益被侵害，或者即使得知自己的權(quán)益被侵害也無法溯源，導(dǎo)致不知向誰主張賠償與救濟(jì)。因此，如果采用相對(duì)寬松的準(zhǔn)入方式，就要求相關(guān)部門事中、事后的監(jiān)管要跟上。一是宜構(gòu)建人臉識(shí)別信息的差異化保護(hù)機(jī)制，在一般信息的利用層面采用寬松模式，在充分尊重現(xiàn)實(shí)可能的情況下對(duì)敏感信息的利用可以采取準(zhǔn)入授權(quán)模式。二是引入第三方機(jī)構(gòu)對(duì)人臉識(shí)別系統(tǒng)進(jìn)行定期檢測(cè)，包括數(shù)據(jù)保存狀態(tài)、數(shù)據(jù)利用動(dòng)向、數(shù)據(jù)交易記錄等，政府部門要加強(qiáng)監(jiān)督管理。三是引導(dǎo)相關(guān)數(shù)據(jù)處理企業(yè)成立行業(yè)自律性組織，敦促其形成良好的業(yè)態(tài)氛圍和發(fā)展方向，并在某些授權(quán)許可的場(chǎng)合將部分權(quán)限下放至行業(yè)自律性組織。此外，通過統(tǒng)一的加密定位手段實(shí)現(xiàn)數(shù)據(jù)不泄漏，實(shí)現(xiàn)利用環(huán)節(jié)可追蹤，也不失為一種可行之舉。

注釋：

①參見《中華人民共和國個(gè)人信息保護(hù)法(草案二次審議稿)》第三十條。

②參見《中華人民共和國個(gè)人信息保護(hù)法(草案二次審議稿)》第六條、第二十九條。

③參見《中華人民共和國個(gè)人信息保護(hù)法(草案二次審議稿)》第三十條。

④參見《中華人民共和國個(gè)人信息保護(hù)法(草案二次審議稿)》第六十八條。

⑤在該案中，杭州野生動(dòng)物世界有限公司基于年卡用戶可在有效期內(nèi)無限次入園暢游的實(shí)際情況，使用指紋識(shí)別、人臉識(shí)別等生物識(shí)別技術(shù)，以達(dá)到甄別年卡用戶身份，提高用戶入園效率的目的，該行為本身符合前述法律規(guī)定的合法、正當(dāng)、必要三原則的要求。參見(2019)浙0111民初6971號(hào)民事判決書。

⑥關(guān)于杭州野生動(dòng)物世界有限公司收集的郭兵及其妻子的人臉識(shí)別信息，該公司抗辯系為后續(xù)采用人臉識(shí)別方式入園作準(zhǔn)備。法院認(rèn)為，合同當(dāng)事人在辦卡時(shí)簽訂的是采用指紋識(shí)別方式入園的服務(wù)合同，該公司收集郭兵及其妻子的人臉識(shí)別信息超出了必要原則的要求，不具有正當(dāng)性。參見(2019)浙0111民初6971號(hào)民事判決書。

⑦參見《中華人民共和國個(gè)人信息保護(hù)法(草案二次審議稿)》第三十二條。