鄒開亮，陳西西

（華東交通大學(xué)人文社會(huì)科學(xué)學(xué)院，江西南昌 330013）

一、問題的提出：App“人臉識(shí)別不只識(shí)別人臉”

人臉識(shí)別是基于人的面部特征信息進(jìn)行身份識(shí)別的一種生物識(shí)別技術(shù)，具有非接觸性、主體唯一性、不易復(fù)制性以及采集成本低等特點(diǎn)[1]，一直都備受關(guān)注。隨著社會(huì)經(jīng)濟(jì)的快速發(fā)展，人臉識(shí)別技術(shù)被廣泛應(yīng)用，如手機(jī)等移動(dòng)終端可以用人臉進(jìn)行解鎖，購物消費(fèi)時(shí)可以“刷臉”支付，進(jìn)入住宅小區(qū)需要人臉驗(yàn)證，上班打卡采用“刷臉”簽到……這些應(yīng)用使得人們的生活方式更加便捷，表明人臉識(shí)別正在為社會(huì)創(chuàng)造價(jià)值，使得社會(huì)對這項(xiàng)技術(shù)的無節(jié)制擴(kuò)張予以默認(rèn)。但在實(shí)踐中，人臉識(shí)別技術(shù)也引發(fā)了人們對個(gè)人信息保護(hù)的“隱憂”。南方都市報(bào)人工智能倫理課題組和App 專項(xiàng)治理工作組發(fā)布的《人臉識(shí)別應(yīng)用公眾調(diào)研報(bào)告（2020）》顯示，六成受訪者認(rèn)為人臉識(shí)別技術(shù)有濫用趨勢，三成受訪者表示已因人臉信息泄露、濫用而遭受隱私或財(cái)產(chǎn)損失。而近年來，ZAO 換臉App 背后隱藏著人臉照片交易黑色產(chǎn)業(yè)鏈①ZAO 換臉App 是由線上交友軟件“陌陌”開發(fā)的一款功能強(qiáng)大的特效換臉軟件，該App 爆紅后，一些人臉信息被App 運(yùn)營方、技術(shù)開發(fā)商泄露，造成人臉信息被濫用，甚至生成了黑色產(chǎn)業(yè)鏈。參見：2 元就能買上千張人臉照片！“刷臉”真的安全嗎？[EB/OL].https://jingji.cctv.com/2020/10/27/ARTI3ZJ26H3dKUesran1FdEZ201027.shtml，2022-3-17.，“中國人臉識(shí)別第一案”②此案中，原告郭兵認(rèn)為杭州野生動(dòng)物世界規(guī)定“未注冊人臉識(shí)別的用戶將無法正常入園”“持卡人游覽園區(qū)時(shí)需同時(shí)驗(yàn)證人臉識(shí)別及年卡入園”等內(nèi)容，強(qiáng)制持卡人進(jìn)行人臉識(shí)別的方式侵害了自身的敏感信息權(quán)益。參見“杭州市富陽區(qū)人民法院（2019）浙0111 民初6971 號”判決書。，售樓處人臉識(shí)別“無感”抓拍①浙江杭州、寧波，廣東佛山等多地被爆出售樓處安裝人臉識(shí)別攝像頭，在看房者不知情的狀態(tài)下收集其人臉信息用于制定優(yōu)惠策略。參見：售樓處人臉識(shí)別“無感”抓拍，看房人戴口罩沒用要戴頭盔[EB/OL].https://finance.sina.com.cn/tech/2020-11-23/doc-iiznctke2761655.shtml，2022-3-17.等事件的發(fā)生，無不使人們在享受人臉識(shí)別技術(shù)所帶來的便利的同時(shí)也逐漸產(chǎn)生對人臉識(shí)別技術(shù)侵犯個(gè)人隱私、人身和財(cái)產(chǎn)權(quán)益的警惕。

“人臉識(shí)別一定要穿上衣服”②參見：人臉識(shí)別App 不能超范圍采集信息[EB/OL].http://health.people.com.cn/n1/2021/0709/c14739-32153221.html.2022-3-20.的話題再一次讓人臉識(shí)別技術(shù)成為個(gè)人信息保護(hù)討論的焦點(diǎn)。隨著中國手機(jī)網(wǎng)民群體的擴(kuò)大，越來越多的網(wǎng)民傾向于使用指紋或面部解鎖智能手機(jī)，同時(shí)在使用諸如微信、支付寶等進(jìn)行支付時(shí)，指紋支付、人臉識(shí)別也比傳統(tǒng)的輸入密碼方式更受青睞。在各種App 中，人臉識(shí)別是為了提高用戶身份驗(yàn)證的安全等級。但由于技術(shù)原因以及人為原因，人臉識(shí)別功能也存在侵害用戶個(gè)人隱私的風(fēng)險(xiǎn)。日常生活中，用戶在使用人臉識(shí)別功能時(shí)，常被顯示界面所欺騙，于是放松了對人臉識(shí)別這一技術(shù)的警惕。殊不知，在用戶使用人臉識(shí)別功能時(shí)，攝像頭會(huì)將所能拍攝到的范圍影像定格并傳輸?shù)胶笈_(tái)，而后臺(tái)的工作人員正在“欣賞”著用戶們的生活百態(tài)。也許在行業(yè)內(nèi)人士看來，人臉識(shí)別收集用戶面部圖像以外的“非人臉信息”是一種技術(shù)性常識(shí)。但正是這一所謂的“技術(shù)性常識(shí)”，引發(fā)了用戶對其個(gè)人隱私安全、個(gè)人財(cái)產(chǎn)安全的擔(dān)憂。而究其原因，知情同意規(guī)則在人臉識(shí)別功能應(yīng)用中發(fā)生了失靈，致使“非人臉信息”收集現(xiàn)象的泛濫。因此，有必要通過調(diào)整知情同意規(guī)則在人臉識(shí)別中的適用，實(shí)現(xiàn)對人臉識(shí)別收集“非人臉信息”的有效規(guī)制，從而讓用戶更加安全地享受技術(shù)帶來的便利。

二、人臉識(shí)別收集“非人臉信息”的法律風(fēng)險(xiǎn)

人臉識(shí)別的兩個(gè)重要功能就是進(jìn)行身份驗(yàn)證（證明基礎(chǔ)身份）和識(shí)別（結(jié)合其他個(gè)人信息確定）[2]。在眾多App 中，人臉識(shí)別功能服務(wù)協(xié)議雖然明確提到收集使用“用戶的人臉圖片”“人臉影像數(shù)據(jù)”等③例如：《騰訊云人臉識(shí)別服務(wù)規(guī)則》中第4 條提到“您理解并同意本服務(wù)需使用到用戶的人臉圖片”，https://cloud.tencent.com/document/product/867/32685；《廣發(fā)基金管理有限公司人臉識(shí)別服務(wù)協(xié)議》“授權(quán)與許可”中提到“……所提供的個(gè)人信息（包括姓名、身份證號）及人臉影像數(shù)據(jù)”，http://gfwx.gffunds.com.cn/html/app/agreement/rlsbfw/rlsbfw.html.2022-3-20.，但實(shí)際收集的圖像卻不止于人臉部分。生活中，App 超出人臉識(shí)別協(xié)議約定范圍收集“非人臉信息”的現(xiàn)象并不少見，如若不能保障存儲(chǔ)、傳輸環(huán)境的安全性，用戶人臉信息以及“非人臉信息”一旦被泄露或冒用，極有可能造成個(gè)人隱私泄露、人格尊嚴(yán)受侵和財(cái)產(chǎn)利益受損等風(fēng)險(xiǎn)。

（一）個(gè)人隱私泄露風(fēng)險(xiǎn)

個(gè)人隱私，通常是指私人生活的安寧排除他人非法干擾，私人生活秘密不被公開或他人所知悉。個(gè)人隱私的內(nèi)涵隨著社會(huì)對個(gè)人信息保護(hù)的關(guān)注也在不斷豐富，其中便包含了個(gè)人獨(dú)處和對個(gè)人隱私信息的保護(hù)。隨著社會(huì)的發(fā)展，人們對于隱私保護(hù)的需求程度越來越高；在社會(huì)活動(dòng)中，人們希望能夠自己決定向他人傳達(dá)信息的數(shù)量、時(shí)間和方式，能夠按照自己的意愿自行決定何時(shí)參與及離開社會(huì)活動(dòng)，尤其是在公共場所能夠不被他人識(shí)別身份或者觀察自身的行動(dòng)[3]。而在互聯(lián)網(wǎng)迅速發(fā)展的社會(huì)，人們的日常生活已經(jīng)離不開手機(jī)等智能移動(dòng)終端設(shè)備，人們每天可能要進(jìn)行幾十次甚至上百次的人臉識(shí)別驗(yàn)證活動(dòng)，人臉數(shù)據(jù)被各類App平臺(tái)采集。除了人臉數(shù)據(jù)，人臉識(shí)別過程中攝像頭所能拍攝范圍也會(huì)被全部記錄，并且被上傳至系統(tǒng)后臺(tái)。如果利用一定的技術(shù)手段將人臉信息與非人臉信息以不同方式排列組合，人們的行動(dòng)軌跡、日常生活和興趣愛好等個(gè)人隱私信息就很容易被挖掘，從而進(jìn)一步識(shí)別個(gè)人身份，追蹤個(gè)人活動(dòng)軌跡，進(jìn)行社會(huì)關(guān)系匹配等，引發(fā)個(gè)人隱私泄露風(fēng)險(xiǎn)。

（二）人格尊嚴(yán)受侵風(fēng)險(xiǎn)

人臉屬于可直接或間接識(shí)別特定自然人的信息，附有與個(gè)人和身份相伴隨的一系列標(biāo)簽和屬性[4]，與自然人的人格尊嚴(yán)息息相關(guān)?！爸腥A人民共和國公民的人格尊嚴(yán)不受侵犯?！边@是我國《憲法》第三十八條之規(guī)定，也宣示了公民人格尊嚴(yán)的重要性。人格尊嚴(yán)是指人基于人的尊嚴(yán)在人格上所具有的不可冒犯、不可褻瀆、不可侵害或不可剝奪的一種社會(huì)性的精神特質(zhì)[5]。人臉識(shí)別技術(shù)的運(yùn)用應(yīng)當(dāng)尊重個(gè)體的人格尊嚴(yán)，并且將“防止對個(gè)人人格尊嚴(yán)的侵犯”放置在技術(shù)發(fā)展應(yīng)用的核心位置。但是，人臉識(shí)別技術(shù)的應(yīng)用正在給個(gè)人的人格尊嚴(yán)帶來多維度的侵犯，其中，人臉識(shí)別收集“非人臉信息”就是一個(gè)突出的表現(xiàn)。由于用戶根本不知道其所使用的人臉識(shí)別功能會(huì)上傳除人臉以外的其他信息，其在進(jìn)行驗(yàn)證時(shí)可能基于自己所處的環(huán)境而放松警惕，出現(xiàn)“未穿衣服驗(yàn)證”“與另一半擁抱驗(yàn)證”或者“上廁所驗(yàn)證”等情形。因此，App 人臉識(shí)別收集的人臉以外的其他信息是在用戶不知情的情況下進(jìn)行的，這類信息便可能包含用戶所處的環(huán)境、身邊人物、其他身體部位信息等極其敏感的信息，如若被濫用到不法領(lǐng)域，則可能侵害到用戶的人格尊嚴(yán)。同時(shí)，人臉識(shí)別技術(shù)受多方面影響，在與其他的數(shù)據(jù)、算法相關(guān)聯(lián)時(shí)難以避免出現(xiàn)數(shù)據(jù)模型不夠全面、算法本身存在偏差等問題[6]，因而導(dǎo)致用戶根本無法知道自己被收集的這些信息會(huì)結(jié)合其他個(gè)人信息對自身進(jìn)行怎樣的判定，也無法預(yù)測在使用其他服務(wù)時(shí)會(huì)受到何種不平等的待遇[7]。因此，App 人臉識(shí)別收集“非人臉信息”在一定程度上反映了App 平臺(tái)與用戶之間巨大的“信息鴻溝”，掌握信息的一方可能利用其優(yōu)勢地位對用戶人格尊嚴(yán)施以威脅和侵犯。

（三）財(cái)產(chǎn)利益損失風(fēng)險(xiǎn)

App 收集人臉以外的信息，不僅對個(gè)人隱私及人格尊嚴(yán)造成侵犯，甚至有可能帶來個(gè)人財(cái)產(chǎn)利益的損失。隨著大數(shù)據(jù)的不斷發(fā)展，App 平臺(tái)可以基于技術(shù)優(yōu)勢，通過分析龐大的數(shù)據(jù)，將人臉信息與“非人臉信息”予以整合，與用戶其他個(gè)人信息結(jié)合，最終形成“用戶畫像”[8]?！坝脩舢嬒瘛笔且环N個(gè)人特征模型①據(jù)2020 年3 月6 日國家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的最新版《信息安全技術(shù)個(gè)人信息安全規(guī)范》有關(guān)規(guī)定，“用戶畫像”是指通過收集、匯聚、分析個(gè)人信息，對某特定自然人個(gè)人特征，如職業(yè)、經(jīng)濟(jì)、健康、教育、個(gè)人喜好、信用、行為等方面作出分析或預(yù)測，形成的個(gè)人特征模型。，已經(jīng)在各式各樣的商業(yè)利用中被賦予了巨大的商業(yè)價(jià)值，App 平臺(tái)可以自行利用進(jìn)行服務(wù)的提升，也可以將該“用戶畫像”提供給第三方公司進(jìn)行其他商業(yè)利用[9]。某些App 平臺(tái)及第三方公司在實(shí)踐中過度收集、濫用人臉信息和“非人臉信息”，卻在處理分析用戶個(gè)人信息時(shí)無法給予或者故意不給予高度的安全保障，有可能將該“用戶畫像”泄露，導(dǎo)致用戶遭受財(cái)產(chǎn)損失。例如，不法分子基于獲得的用戶信息對其實(shí)施在線盜竊或者網(wǎng)絡(luò)詐騙。更有甚者，某些“心懷不軌”之人嘗試破解人臉之外的各種信息，對用戶實(shí)施線下盜竊或勒索等行為。因此，App 人臉識(shí)別繞過用戶知情同意而收集“非人臉信息”直接或間接引發(fā)了用戶的財(cái)產(chǎn)受損風(fēng)險(xiǎn)。

三、人臉識(shí)別中知情同意規(guī)則適用的失靈

知情同意規(guī)則一直被視為是個(gè)人信息保護(hù)的核心規(guī)則[10]，例如，《民法典》第1034 條第1 款規(guī)定：“自然人的個(gè)人信息受法律保護(hù)?！钡?035 條和第1036 條明確規(guī)定了處理自然人個(gè)人信息的原則、條件和免責(zé)事由，其中包括知情同意規(guī)則。而于2021 年11 月1 日施行的《中華人民共和國個(gè)人信息保護(hù)法》（以下簡稱《個(gè)人信息保護(hù)法》）第二章和第五章分別規(guī)定了個(gè)人信息的處理規(guī)則和個(gè)人信息處理者的義務(wù)，其中核心要義之一仍然是“知情同意”規(guī)則。該法規(guī)定信息主體有權(quán)在充分知情的前提下，自愿作出同意表示。而“充分知情”意味著信息處理者在處理個(gè)人信息前，應(yīng)當(dāng)以顯著且明晰的方式告知信息主體其收集處理目的、方式、范圍以及保存的期限等涉及信息主體個(gè)人信息權(quán)益的必要信息。并且在此基礎(chǔ)上，信息處理者應(yīng)當(dāng)給予信息主體充分的自由選擇權(quán)，“不得以信息主體不同意處理其個(gè)人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)”①《中華人民共和國個(gè)人信息保護(hù)法》第十六條規(guī)定：“個(gè)人信息處理者不得以個(gè)人不同意處理其個(gè)人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)；處理個(gè)人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外?！薄Ｓ纱丝梢?，“告知”與“同意”是個(gè)人信息處理中知情同意規(guī)則適用的兩個(gè)核心要素。

同時(shí)，知情同意規(guī)則也是App 平臺(tái)提供人臉識(shí)別服務(wù)時(shí)應(yīng)當(dāng)遵循的核心要求。從前文的論述中不難看出，App 平臺(tái)并不是未向用戶提供人臉識(shí)別服務(wù)協(xié)議，而是在實(shí)際應(yīng)用的過程中超出協(xié)議所約定的“人臉影像”的范圍，過度收集用戶的“非人臉信息”。App 平臺(tái)在向用戶提供人臉識(shí)別服務(wù)時(shí)，往往會(huì)附帶收集“非人臉信息”。用戶在使用人臉識(shí)別進(jìn)行驗(yàn)證時(shí)，需要通過攝像頭的拍攝將自己的人臉置于屏幕所顯示的人頭形狀中心并按照給出的指令完成“搖頭”“眨眼”等動(dòng)作。而屏幕上人頭形狀以外的區(qū)域顯示為灰白色，人臉與人臉以外的部分進(jìn)行了有效區(qū)分。正因?yàn)槿绱耍脩舫浞窒嘈臕pp 僅能收集人臉信息。但實(shí)際上，App 平臺(tái)并未明確告知用戶人臉識(shí)別會(huì)將人臉圖像以外的“非人臉信息”收集并上傳至后臺(tái)。當(dāng)用戶反應(yīng)過來希望App 平臺(tái)停止類似行為時(shí)，App 平臺(tái)往往以“用戶同意人臉識(shí)別服務(wù)協(xié)議”為理由進(jìn)行抗辯。雖然App 平臺(tái)在提供人臉識(shí)別服務(wù)時(shí)已經(jīng)進(jìn)行了其認(rèn)為的“明確告知”，也得到了用戶的“明示同意”授權(quán)，但用戶的“明示同意”僅是針對人臉信息收集，并不涉及人臉以外的“非人臉信息”。由此可見，知情同意規(guī)則在適用于人臉識(shí)別應(yīng)用場景時(shí)發(fā)生了失靈。

（一）“告知”的失靈

“有效告知”是用戶做出“同意”或者“不同意”App 平臺(tái)收集處理自身個(gè)人信息的先決條件，App 平臺(tái)在提供人臉識(shí)別服務(wù)時(shí)，應(yīng)當(dāng)以告知的方式提示用戶將收集人臉以外的其他信息。隨著國家監(jiān)管部門不斷出臺(tái)個(gè)人信息保護(hù)相關(guān)的政策，App 平臺(tái)相應(yīng)地調(diào)整了隱私政策，在收集個(gè)人信息時(shí)未告知的情況已經(jīng)減少很多。但從《APP 違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理報(bào)告（2019）》來看，App 平臺(tái)普遍存在未公開收集使用規(guī)則，未明示使用個(gè)人信息的目的、方式和范圍，未經(jīng)用戶同意收集使用個(gè)人信息和未經(jīng)同意向他人提供個(gè)人信息等問題，大量的“告知了但沒有完全告知”的現(xiàn)象依然泛濫②2019 年1 月至12 月，中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局等部門開展了治理App 違法違規(guī)收集使用個(gè)人信息專項(xiàng)行動(dòng)，成立了App 專項(xiàng)治理工作組，并形成了《APP 違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理報(bào)告（2019）》，該報(bào)告顯示，App 平臺(tái)形式上告知了但卻不夠充分明確告知的現(xiàn)象比未告知的現(xiàn)象更加嚴(yán)重。。App 平臺(tái)出于“避免被自己先前具體、明確的告知內(nèi)容拘束”的目的[11]，利用其在個(gè)人信息處理方面相對于用戶而言所具有的信息技術(shù)優(yōu)勢[12]，設(shè)置有利于保持自身后續(xù)信息處理或利用彈性的協(xié)議內(nèi)容。這些協(xié)議內(nèi)容自然存在著“未能完全體現(xiàn)其個(gè)人信息收集處理方面的內(nèi)容”“對于個(gè)人信息收集處理的目的、范圍和方式等內(nèi)容披露不夠明確”等問題。就人臉識(shí)別服務(wù)而言，App 在服務(wù)協(xié)議中往往采用“人臉圖片”“人臉影像”等字樣，告知用戶人臉識(shí)別服務(wù)會(huì)收集其人臉信息，但這些字樣有時(shí)候并不那么顯眼，可能藏在冗長而復(fù)雜的協(xié)議內(nèi)容中。App 平臺(tái)這一操作有意或者無意地降低了人臉識(shí)別服務(wù)協(xié)議的可讀性和可理解性，使得其履行“告知義務(wù)”的有效性大打折扣。

在個(gè)人信息保護(hù)方面，App 平臺(tái)具有巨大的信息優(yōu)勢，因此，其應(yīng)當(dāng)承擔(dān)更高的義務(wù)標(biāo)準(zhǔn)。對于人臉識(shí)別信息，App 平臺(tái)在收集和處理時(shí)應(yīng)當(dāng)負(fù)有相較于一般個(gè)人信息更加嚴(yán)格的告知義務(wù)，包括人臉識(shí)別將會(huì)收集“非人臉信息”等技術(shù)性常識(shí)。因?yàn)锳pp 平臺(tái)與用戶之間基于各種原因存在巨大的“信息鴻溝”，而現(xiàn)實(shí)中這一“信息鴻溝”不斷擴(kuò)大，更加折損了App 平臺(tái)“告知”的有效性。一方面，雖然App 平臺(tái)設(shè)置的協(xié)議內(nèi)容詳盡，但App 平臺(tái)往往會(huì)出于規(guī)避告知義務(wù)風(fēng)險(xiǎn)的目的，以晦澀的語言或者不明顯的方式對用戶進(jìn)行告知[13]，導(dǎo)致協(xié)議許多條款宣示性效果遠(yuǎn)大于實(shí)質(zhì)性效果。另一方面，這類宣示性的協(xié)議條款內(nèi)容冗長而又復(fù)雜，使得用戶的閱讀欲望大幅減弱。尤其是當(dāng)用戶使用手機(jī)等移動(dòng)設(shè)備時(shí)，本就冗長的協(xié)議在屏幕上更顯擁擠，致使大部分用戶在使用App 時(shí)只花少量時(shí)間或者根本不花時(shí)間閱讀相關(guān)內(nèi)容。之所以會(huì)出現(xiàn)媒體報(bào)道的“不穿衣服驗(yàn)證”“上廁所時(shí)驗(yàn)證”等現(xiàn)象，是因?yàn)橛脩魧τ谌四樧R(shí)別收集“非人臉信息”并不知情?？梢哉f，App平臺(tái)“搬起石頭砸自己的腳”，最終導(dǎo)致其“告知義務(wù)”的履行效果遠(yuǎn)低于法律要求的“明確”。

（二）“同意”的瑕疵

其一，用戶“同意”的自主性較弱。實(shí)踐中，用戶為了獲取高效便捷的服務(wù)，只能對App 平臺(tái)提供的相關(guān)協(xié)議內(nèi)容做出“同意”的決定。用戶在使用App 時(shí)，只有同意App 平臺(tái)提供的用戶協(xié)議和隱私政策等服務(wù)協(xié)議才能夠使用App 提供的各種服務(wù)，進(jìn)而在行業(yè)內(nèi)形成了一種用戶“同意方可使用”，且“使用代表同意”的潛規(guī)則[14]。如用戶只有同意支付平臺(tái)、社交平臺(tái)的人臉識(shí)別功能服務(wù)協(xié)議，才能享受相應(yīng)的服務(wù)。如果用戶在使用過程中以保護(hù)個(gè)人信息為由“不同意”App 平臺(tái)提供的人臉識(shí)別服務(wù)協(xié)議，將無法使用人臉識(shí)別功能，也可能會(huì)影響到App 其他功能的使用。并且，在使用APP 過程中，如果用戶未提供相應(yīng)的權(quán)限，那么每次使用App 時(shí)都會(huì)收到要開啟某項(xiàng)權(quán)限的提醒。目前，在即時(shí)社交、網(wǎng)絡(luò)購物以及金融支付等領(lǐng)域，用戶的人臉信息作為一種不可替代的“人臉密碼”；App 平臺(tái)提供人臉識(shí)別服務(wù)以提高身份驗(yàn)證與識(shí)別的安全性，這讓用戶對App 平臺(tái)提供的人臉識(shí)別服務(wù)形成了高度的依賴性。而基于“使用”與“同意”之間存在的捆綁效應(yīng)，用戶并沒有過多的時(shí)間去深入了解人臉識(shí)別相關(guān)聲明的實(shí)體內(nèi)容，更不用說對人臉識(shí)別服務(wù)所需要獲取權(quán)限的控制權(quán)[15]，所以有時(shí)候用戶“同意”往往出于“使用”的無奈。

其二，“默示同意”的濫用。在App 所提供的用戶使用協(xié)議中，往往傾向于讓用戶做出對一攬子條款的概括同意[16]。必須承認(rèn)的是，對一攬子條款的概括同意形式相較于一一對應(yīng)的具體同意形式而言，能夠在很大程度上提高App 使用的便利，減少App 平臺(tái)和用戶之間獲取和授予權(quán)限的成本。但由于用戶對一攬子條款的概括同意在很大程度上是迫于“使用”的無奈，其在同意時(shí)并沒有多少選擇的空間。同時(shí)，App 平臺(tái)為了“便利”信息的收集與處理，常通過獲取用戶的概括同意，而不給予用戶一一對應(yīng)授權(quán)的選項(xiàng)，使得用戶使用人臉識(shí)別功能時(shí)，其“同意”并不能夠具體特定，無法與人臉識(shí)別收集的信息范圍以及使用方式進(jìn)行一一對應(yīng)的具體授權(quán)。通過概括同意的方式，App 平臺(tái)理所當(dāng)然地認(rèn)為用戶以默示的方式表示了對其人臉識(shí)別服務(wù)協(xié)議的“同意”，從而在用戶只同意授權(quán)App 平臺(tái)收集人臉信息時(shí)，實(shí)施收集“非人臉信息”的行為。殊不知，即使是獲取用戶的“默示同意”，由于App 平臺(tái)未“明確告知”，其行為亦構(gòu)成“個(gè)人信息的過度收集”[17]?；诖?，概括同意進(jìn)行授權(quán)的形式進(jìn)一步削弱了用戶所作出的“明示同意”決定的效力[18]，這也意味著App平臺(tái)在人臉識(shí)別應(yīng)用中濫用“默示同意”。

綜上，由于App 平臺(tái)未有效履行其告知義務(wù)，以明顯的方式告知用戶人臉識(shí)別收集的不僅僅是“人臉圖像”，還有可能收集人臉以外的“非人臉信息”。而用戶迫于使用App 相關(guān)服務(wù)的需要，并不能完全自主地做出“同意”決定，加之用戶的“默示同意”正在被App 平臺(tái)濫用，造成人臉識(shí)別中知情同意規(guī)則的失靈，也就導(dǎo)致App 平臺(tái)肆意收集用戶“非人臉信息”的現(xiàn)象。

四、人臉識(shí)別中知情同意規(guī)則適用的矯正

為了實(shí)現(xiàn)對人臉識(shí)別應(yīng)用收集“非人臉信息”的有效規(guī)制，需要對人臉識(shí)別中知情同意規(guī)則的適用進(jìn)行一定的矯正，使App 平臺(tái)能夠真正做到以“知情同意”為核心依法合規(guī)收集人臉信息以及“非人臉信息”。

（一）強(qiáng)化App 平臺(tái)的“有效告知”義務(wù)及責(zé)任

“知情同意規(guī)則的強(qiáng)化應(yīng)當(dāng)以告知義務(wù)的強(qiáng)化為主要途徑”[19]。為了提高知情同意規(guī)則的適用程度，需要強(qiáng)化App 平臺(tái)的“有效告知”義務(wù)及責(zé)任，強(qiáng)調(diào)App 平臺(tái)必須在提供人臉識(shí)別服務(wù)之前，以明顯且清晰易懂的方式告知用戶人臉識(shí)別服務(wù)收集的信息范圍以及使用方式等內(nèi)容；若App 平臺(tái)未履行其“有效告知”義務(wù)，則需要承擔(dān)相應(yīng)的法律責(zé)任。

1.改進(jìn)App 平臺(tái)的告知方式。保障人臉識(shí)別應(yīng)用中知情同意規(guī)則的完全適用，要確保用戶知悉信息處理者收集、處理其人臉信息以及非人臉信息的目的、途徑等[20]，而用戶的“知悉”既包含了“知道協(xié)議”，也包含了“理解內(nèi)容”。故用戶的主觀“知情”不僅僅要求App 平臺(tái)履行其告知義務(wù)，更要強(qiáng)調(diào)履行告知義務(wù)的有效性[21]。因此，在提供人臉識(shí)別服務(wù)之前，App 平臺(tái)必須以明顯且讓用戶易于理解的方式向用戶明確告知App 平臺(tái)收集處理人臉信息以及人臉以外其他信息的范圍、目的以及處理方式等內(nèi)容。這就要求APP 平臺(tái)應(yīng)當(dāng)對人臉識(shí)別中所需要收集的信息范圍和處理方式等進(jìn)行逐一告知，不得將其放在隱私政策中通過“一攬子”條款獲得用戶的同意。這有利于縮小App 平臺(tái)與用戶之間的巨大“信息鴻溝”。當(dāng)然，這也意味著App 平臺(tái)應(yīng)當(dāng)摒棄以往使用“改善服務(wù)質(zhì)量”“提升用戶體驗(yàn)”“增強(qiáng)安全性”等抽象晦澀語言來描述人臉識(shí)別中信息收集范圍和使用目的的做法，而要以簡明易懂的條款履行其對用戶的告知義務(wù)，提高用戶對協(xié)議內(nèi)容的關(guān)注程度。尤其在用戶不愿意花費(fèi)大量時(shí)間閱讀隱私政策的情況下[22]，App 平臺(tái)對于人臉識(shí)別功能所涉及到的人臉及“非人臉信息”應(yīng)當(dāng)給予更高級別的提醒，而不是簡單地將其羅列在隱私政策等服務(wù)協(xié)議當(dāng)中。

2.明確App 平臺(tái)未“有效告知”的法律責(zé)任。App 平臺(tái)在提供人臉識(shí)別服務(wù)時(shí)，對用戶的告知不僅要求是明確的，更要求是有效的。“有效告知”意味著App 平臺(tái)對用戶告知的內(nèi)容不能過于寬泛模糊，需要能夠滿足用戶進(jìn)行“同意”的特定性要求。同時(shí)，由于App 平臺(tái)與用戶之間的信息地位不對稱，App 平臺(tái)應(yīng)當(dāng)對自身未進(jìn)行“有效告知”所導(dǎo)致的用戶個(gè)人信息處理風(fēng)險(xiǎn)及危害承擔(dān)相應(yīng)責(zé)任。為了防止App 平臺(tái)在進(jìn)行人臉信息的收集時(shí)，未經(jīng)用戶的知情與同意擴(kuò)大信息收集的范圍，應(yīng)當(dāng)明確App 平臺(tái)的法律責(zé)任。App 平臺(tái)在履行告知義務(wù)時(shí)，除了明確告知用戶信息收集的范圍和處理方式等內(nèi)容外，還需要告知用戶人臉信息處理中的風(fēng)險(xiǎn)種類、大小，可能遭受損害的嚴(yán)重程度，已經(jīng)遭受的損害以及損害的補(bǔ)救情況等內(nèi)容。如在App 人臉識(shí)別功能中，除了屏幕顯示內(nèi)容對人臉以及人臉以外的部分進(jìn)行明顯區(qū)分，還應(yīng)以明顯的語言或者標(biāo)識(shí)提示用戶將會(huì)收集“非人臉信息”的風(fēng)險(xiǎn)。如果App 平臺(tái)未進(jìn)行及時(shí)有效的告知而致使損害擴(kuò)大的，應(yīng)承擔(dān)賠償責(zé)任。

（二）完善用戶“同意”規(guī)則的適用

用戶的同意包括了“默示同意”和“明示同意”。“默示同意”是指不需要用戶以明確的方式表示自身的意思，只要用戶未進(jìn)行明確的“拒絕”，App 平臺(tái)便可以進(jìn)行信息的收集與處理。用戶“明示同意”是App 平臺(tái)收集人臉及“非人臉信息”的“通行證”，也是知情同意規(guī)則的落腳點(diǎn)。完善用戶“同意”規(guī)則的適用，需要嚴(yán)格限縮“默示同意”的適用范圍，明確用戶“明示同意”的法律效力。

1.嚴(yán)格限縮“默示同意”的適用范圍?！缎畔踩夹g(shù) 個(gè)人信息安全規(guī)范（2020）》允許默示同意作為信息處理的授權(quán)方式，不需要信息主體以明確的方式表示自身的意思，只要主體不明確反對即可進(jìn)行信息的處理行為。但即便是允許“默示同意”授權(quán)方式也需要App 平臺(tái)有效履行其告知義務(wù)。然而現(xiàn)實(shí)生活中，App 平臺(tái)根本沒有為用戶提供協(xié)商的空間，往往傾向于用概括授權(quán)的方式獲取用戶的“默示同意”。App 平臺(tái)在隱私政策或者人臉識(shí)別服務(wù)協(xié)議中并未給用戶選擇“不同意”的空間，而是預(yù)先為用戶作出“同意”的選擇。而用戶作出“同意”的決定往往出于“同意方可使用”的無奈。在一些信息收集條款中，由于用戶未明確表示“不同意”，App 平臺(tái)便以“取得了用戶的‘默示同意’”為由，大肆收集和利用用戶的個(gè)人信息[23]。為了避免無效的法律授權(quán)，App 平臺(tái)還會(huì)采用輸入選擇框或者同意的聲明模式來獲得用戶所謂的“明示同意”[24]，同時(shí)，App平臺(tái)仍然濫用“默示同意”規(guī)則來獲取、收集和處理用戶個(gè)人信息。在人臉識(shí)別中，App 平臺(tái)往往是默認(rèn)用戶知悉其通過攝像頭收集的信息包含人臉以外的“非人臉信息”，也即所謂的技術(shù)性常識(shí)，以此規(guī)避自身的告知義務(wù)，或者說在告知中用“一攬子”條款來獲取用戶的“默示同意”。如果放任這些獲取用戶“默示同意”的做法，既是不尊重用戶的信息自決權(quán)的表現(xiàn)，也讓知情同意規(guī)則成為單向的“告知”規(guī)則?！澳就狻钡倪m用需要以最小必要性為限度，不得出現(xiàn)在取得用戶概括同意授權(quán)下改變或者超越目的收集處理個(gè)人信息的情形。同時(shí)，人臉信息等個(gè)人生物特征信息不能被納入“默示同意”的范圍。因此，App 人臉識(shí)別應(yīng)當(dāng)遵循“明示同意，默示拒絕”的原則，在未取得明確授權(quán)時(shí)，不得收集人臉信息以及“非人臉信息”。

2.明確用戶“明示同意”的法律效力。如前文所述，用戶“明示同意”存在一定的效力瑕疵，并不能完全支撐App 平臺(tái)獲取人臉以外的“非人臉信息”行為的正當(dāng)性。因此，需要進(jìn)一步明確用戶“明示同意”的法律效力?，F(xiàn)實(shí)生活中，App 平臺(tái)在提供人臉識(shí)別服務(wù)時(shí)，?；谟脩魧ζ潆[私政策、人臉識(shí)別服務(wù)協(xié)議的同意而默認(rèn)用戶同意平臺(tái)收集“非人臉信息”。明確用戶“明示同意”的法律效力，需要對其同意的內(nèi)容進(jìn)行區(qū)分；App 平臺(tái)收集和處理個(gè)人信息應(yīng)當(dāng)對個(gè)人信息收集、處理方面的內(nèi)容與隱私政策分別獲得“明示同意”，不能將隱私政策的同意等同于個(gè)人信息收集和處理的“同意”。根據(jù)《信息安全技術(shù) 個(gè)人信息安全規(guī)范（2020）》，明示同意是指個(gè)人信息主體通過書面、口頭等方式主動(dòng)作出紙質(zhì)或電子形式的聲明，或者自主作出肯定性動(dòng)作，對其個(gè)人信息進(jìn)行特定處理作出明確授權(quán)的行為。其中，肯定性動(dòng)作包括個(gè)人信息主體主動(dòng)勾選、主動(dòng)點(diǎn)擊“同意”“注冊”“發(fā)送”“撥打”、主動(dòng)填寫或提供等。App 平臺(tái)，用戶的“明示同意”必須是分別針對人臉信息和“非人臉信息”的具體授權(quán)，而不是對“一攬子”條款的概括授權(quán)[25]，同時(shí)，App 平臺(tái)應(yīng)當(dāng)給用戶提供具體授權(quán)的機(jī)會(huì)，不能因?yàn)橛脩舨煌馄涫占胺侨四樞畔ⅰ倍芙^提供人臉識(shí)別服務(wù)，相反，App 平臺(tái)應(yīng)當(dāng)提升技術(shù)，真正地實(shí)現(xiàn)“人臉識(shí)別只識(shí)別人臉”。

需要特別強(qiáng)調(diào)的是，用戶概括性的“明示同意”并不是App 平臺(tái)進(jìn)行免責(zé)的正當(dāng)理由，只有當(dāng)用戶針對非人臉信息的特定內(nèi)容作出具體“明示同意”，才能成為人臉識(shí)別App 平臺(tái)收集“非人臉信息”行為的抗辯事由。但這也并非絕對的，即便用戶的“明示同意”是具體的特定的，如若App 平臺(tái)嚴(yán)重違反知情同意規(guī)則所造成的風(fēng)險(xiǎn)超出了用戶的預(yù)見，也不應(yīng)允許App 平臺(tái)因獲得“同意”而免除責(zé)任。