■龐 嘉

（桂林理工大學(xué)，廣西 桂林 541004）

人臉識別技術(shù)是基于人的面部特征，通過計算機(jī)算法分析圖像和視頻中每張臉的主要面部器官之間的位置信息，并對比數(shù)據(jù)庫中存儲的人臉圖像信息來判定識別對象的身份的技術(shù)。2020年10月27日，央視4套播出的今日環(huán)球節(jié)目中針對人臉識別信息的安全性做了一個關(guān)于面具是否替代人臉解鎖手機(jī)的科學(xué)測試，結(jié)果是肯定的，低成本的3D打印面具可以通過簡單的調(diào)節(jié)成功解鎖手機(jī)。在信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布的《人臉識別應(yīng)用公眾調(diào)研報告（2020）》①中，人臉識別技術(shù)的普及程度非常高，尤其是“刷臉支付”技術(shù)，90%以上受訪者都使用過此技術(shù)，但60%受訪者對人臉識別技術(shù)被濫用的可能性表示擔(dān)憂，已有30%受訪者因信息泄露、濫用而遭受到人身和財產(chǎn)損失。

我國人臉識別技術(shù)的應(yīng)用處于全球前列，沁入日常生活方方面面中，但由人臉信息泄露、遭受的損失如何判定，相關(guān)的法律還停留在起步階段，更談不上對于人臉識別技術(shù)所引發(fā)的侵權(quán)與救濟(jì)。本文通過分析國內(nèi)外的學(xué)說觀點和相關(guān)的法律法規(guī)，結(jié)合國內(nèi)外司法實踐的焦點，進(jìn)而探討人臉識別技術(shù)侵權(quán)行為特征及其救濟(jì)。

一、厘清人臉識別信息的法律屬性

周延的保護(hù)，來自明確的理論，厘清人臉識別信息的法律性質(zhì)是首要任務(wù)。人臉識別技術(shù)顧名思義，就是利用技術(shù)掃描人的面目特征等具體信息后，再與大數(shù)據(jù)庫內(nèi)的已存數(shù)據(jù)相對比，從而得出結(jié)果來判定識別此人身份。一方面，人臉識別信息是與生俱來的、將人與人區(qū)分開來的信息。與其他個人信息相比，其具有唯一性、不可破壞性、不可逆性。比如日常密碼的丟失可以通過手機(jī)、郵箱等方式重置密碼，身份證、銀行卡丟失可以通過特定機(jī)構(gòu)補(bǔ)回，人臉識別信息一旦泄漏，損害后果無可估量，如美國《財富》雜志報道，美國Kneron公司通過特制的一個3D面具騙取了包括支付寶和微信在內(nèi)的諸多人臉識別支付系統(tǒng)信任，甚至欺騙火車站人臉識別系統(tǒng)②。另一方面，人臉識別技術(shù)具有強(qiáng)大的功能潛變特性[1]。有學(xué)者曾指出，人臉識別技術(shù)最終發(fā)展的前景是，通過面部特征信息與其他識別信息關(guān)聯(lián)，并對權(quán)利主體的行為進(jìn)行預(yù)測。隨著人臉識別技術(shù)的不斷發(fā)展，其功能不斷得以提升變化，通過人臉識別信息與此人的性取向、宗教信仰、政治理念、行動軌跡等隱私信息關(guān)聯(lián)起來，侵犯了其安寧生活和私密空間，一旦泄漏，給其帶來的是不可逆的乃至毀滅性的打擊。

閆雙巧[2]認(rèn)為將人臉識別信息與其他生物識別信息的保護(hù)歸結(jié)為“個人信息權(quán)”來進(jìn)行權(quán)利保護(hù)更為合適。其主要從生物識別信息的價值性、侵害的行為表現(xiàn)以及權(quán)利救濟(jì)方面入手，認(rèn)為這是因為：（1）生物信息的公開性需求；（2）大多數(shù)識別信息案例中侵權(quán)行為的特點是相對方“未經(jīng)權(quán)利人同意非法收集、存儲、使用其個人生物識別信息”所引起的③；（3）可同時實現(xiàn)人格權(quán)請求權(quán)與侵權(quán)責(zé)任請求權(quán)，實現(xiàn)其權(quán)利個人精神上和財產(chǎn)上的真正救濟(jì)[3]。

但筆者持有不同觀點，人臉識別信息由于自身特殊性，應(yīng)是個人隱私和個人識別信息的重疊部分，對于這部分內(nèi)容所享有的權(quán)利應(yīng)是隱私信息性隱私權(quán)。其一，從權(quán)利保護(hù)的基本內(nèi)容來看，人臉識別信息并不僅僅是“可識別”這一特性，相對于其他識別技術(shù)，人臉識別技術(shù)具有強(qiáng)大的功能潛變特性，可以使臉部識別信息直接或間接與反公民私生活的個人識別數(shù)據(jù)信息關(guān)聯(lián)，這樣信息的泄露不僅影響個人生活安全和穩(wěn)定，還給主體人格尊嚴(yán)和自由帶來傷害；其二，從權(quán)利客體來看，人臉識別信息是個人隱私和識別信息的交叉點，雖然其具備了個人識別信息的特性，但人臉識別信息屬于特定的敏感信息，更多是一種隱私，可見隱私權(quán)的客體也可以通過信息的形態(tài)所呈現(xiàn)；其三，從國外關(guān)于人臉信息等生物識別信息的立法實踐中看，美國的伊利諾伊州《生物信息隱私法》（Biometric Information Privacy Act）和加利福尼亞州《消費者隱私法案》都明確將人臉識別信息等個人生物識別信息作為隱私來保護(hù)[4]；其四，從我國立法實踐來看，2020年頒布的《民法典》第1032條④明確了隱私的含義，自然人的私人生活安寧和不愿為他人所打擾的私密空間、私密活動、私密信息。人臉識別信息唯一性和損害后果不可逆性，以及人臉識別技術(shù)強(qiáng)大功能潛變性，注定了人臉識別信息是公民最不愿意被泄漏的私密信息。而其第1033條⑤的兜底條款更是明確了收集、處理他人的私密信息的行為是一項侵犯隱私權(quán)的行為。綜上所述，對人臉部識別信息的保護(hù)應(yīng)是信息隱私權(quán)，與傳統(tǒng)隱私權(quán)不同，這種信息隱私權(quán)不再是消極防護(hù)模式，更多是主動出擊，既保護(hù)權(quán)利人免遭其他私主體的侵?jǐn)_也對抗著公權(quán)力的過度收集、濫用等行為。

二、人臉識別技術(shù)的侵權(quán)可能性分析

法律行為造成了法律關(guān)系發(fā)生、變更和消滅，要正確分析人臉識別技術(shù)侵犯信息的隱私權(quán)可能性，關(guān)鍵在于詳細(xì)分析人臉識別技術(shù)處理信息過錯中所出現(xiàn)的風(fēng)險。

（一）收集階段的信息泄漏風(fēng)險分析

“知情同意”是正當(dāng)收集個人信息的基石，但相對人臉識別技術(shù)的特殊性，即使具備了公民的“知情同意”但在人臉識別數(shù)據(jù)存儲和傳輸流程中，數(shù)據(jù)有可能被數(shù)據(jù)持有者或不法分子截留和竊取，嚴(yán)重侵犯了公民的個人隱私，更甚者造成人身財產(chǎn)安全的受損風(fēng)險。其一，公民行使知情同意權(quán)的有效性被弱化。相對其他生物信息，人臉識別技術(shù)則不需要與信息主體進(jìn)行接觸，作為真正的“非接觸式”和“非騷擾式”技術(shù)，很多情形下權(quán)利人根本無法意識自己的信息被收集了。IBM公司為了檢測該公司的人臉識別算法，通過Flickr網(wǎng)站在使用者瀏覽網(wǎng)站時毫不知情的情況下，抓取了近100萬張照片[5]。其二，公權(quán)力對公民個人人臉生物信息的采集并不需要公民的知情同意。人臉識別技術(shù)開發(fā)的初衷是為了社會安定和公民利益的保護(hù)識別隱藏的犯罪分子，人臉識別技術(shù)最初應(yīng)用于國家公安系統(tǒng)，政府才是個人信息的最大收集者和利用者。其三，大多數(shù)權(quán)利人忽略了甚至不了解人臉識別技術(shù)的強(qiáng)大潛變功能，對于收集者所收集的面部信息的共享范圍、存儲時間長短、存儲數(shù)據(jù)庫安全系數(shù)的關(guān)鍵性問題一無所知，甚至對發(fā)生信息泄露后的權(quán)利救濟(jì)也不知所以。如2019年從爆紅到爆黑的“ZAO”APP事件，人們?yōu)榱俗非笞陨淼拿餍菈簦C奇于“換臉”技術(shù)，在對此APP采用的數(shù)據(jù)內(nèi)容應(yīng)用何處一無所知的狀態(tài)下，毫不在意地簽訂了此開發(fā)商減免自身責(zé)任的格式化用戶協(xié)議⑥。

（二）處理階段的信息泄漏風(fēng)險分析

人臉識別信息的處理依靠計算機(jī)技術(shù)的發(fā)展，但一門技術(shù)必定會存在著時代、科技水平上的局限性，與數(shù)字密碼不同，人臉識別信息的唯一性意味著不可更改，從而給公民帶來不可逆的影響。同時大數(shù)據(jù)時代到來，信息收集量和流通量數(shù)倍增長帶來的不可控的危險，對于主體的信息安全、財產(chǎn)安全，乃至來自人身安全的隱憂將會是困擾人們的難題。深圳深網(wǎng)視界公司在2019年被荷蘭安全研究員Victor Gevers發(fā)現(xiàn)數(shù)據(jù)庫存在未授權(quán)訪問的漏洞，導(dǎo)致了超過250萬用戶的記錄包括身份證號碼、地址、出生日期乃至其身份的位置等信息被泄漏。根據(jù)深網(wǎng)視界的實時面部識別，任何人可以跟蹤一個人的行蹤，嚴(yán)重威脅公民的信息安全[6]。諷刺的是，這家公司因人臉識別、AI和安防等技術(shù)位于國內(nèi)前列，但卻連最簡單的數(shù)據(jù)庫密碼防護(hù)都無法保證。

（三）使用階段的信息潛變風(fēng)險分析

LOGAN[7]認(rèn)為身份識別僅僅是人臉識別的最基礎(chǔ)功能，人臉識別技術(shù)令人恐懼的地方是它的強(qiáng)大潛變性，通過人臉識別信息與其自身對其生活安寧和財產(chǎn)安全乃至人身安全信息關(guān)聯(lián)起來，并通過計算算法模擬預(yù)判其日常行為。在目前的門禁識別技術(shù)發(fā)展中，其不僅包括以人臉識別為主的身份識別系統(tǒng)、車輛牌照識別系統(tǒng)等數(shù)字識別數(shù)據(jù)庫，更甚者與用戶的家庭住址、日常出入記錄、購買習(xí)慣等等信息關(guān)聯(lián)起來。通過數(shù)字識別技術(shù)和數(shù)據(jù)庫的分析比對后，可以快速確定此人的姓名、年齡、家庭住址等數(shù)字人格資料，給其他使用人臉識別門禁或支付系統(tǒng)的商家?guī)砹巳P預(yù)測用戶購買行為的可能性，其完全可以通過商場和住宅門禁識別系統(tǒng)的數(shù)據(jù)捕捉用戶喜好、購物行為和日常出入記錄，并針對性提供量身定做的推薦列表和價格標(biāo)準(zhǔn)。更甚者，不法分子通過竊取相關(guān)數(shù)據(jù)，摸清被侵害者的日常行蹤，從而進(jìn)行不法侵害。

同時，正是由于人臉識別信息的應(yīng)用社會性與收集隱蔽性，公權(quán)力在運用人臉識別技術(shù)時若因為便捷或經(jīng)濟(jì)利益以犧牲公民隱私作為代價，就給予非法公開個人信息與數(shù)據(jù)泄露的無限可能性，即意味著公權(quán)力對公民權(quán)利隨意克減將使公民權(quán)利將無法得到真正保障。如著名的2011年深圳大運會“清出”事件中，政府利用警方泄漏的公民違法犯罪記錄、職業(yè)信息、收入信息等隱私信息，將公民進(jìn)行“分類貼簽”，將所謂的“治安高危人群”清理出這個城市⑦。

三、人臉識別技術(shù)的侵權(quán)損害原認(rèn)定原則

人臉識別技術(shù)侵權(quán)理論主要是為了保護(hù)公民的隱私權(quán)、知情權(quán)、平等權(quán)、自主選擇權(quán)，如何確定具體案件中侵權(quán)“損害”及其損害具體范圍是受害者尋求救濟(jì)、得到真正的保護(hù)，并能得到損害賠償?shù)牟豢扇笔У囊画h(huán)。

（一）人臉識別技術(shù)侵權(quán)認(rèn)定的因果判斷原則

與普通的個人信息不同，人臉識別信息采集無需經(jīng)過權(quán)利人的同意，甚至權(quán)利人毫無感知和沒有肢體接觸，處于權(quán)利主體無法掌握也無法知悉的情況下，更談不上是否意識到隱私有被侵犯的可能。因此，長期以來，如何證明人臉識別技術(shù)侵權(quán)行為與結(jié)果之間的因果關(guān)系是困擾權(quán)利人維護(hù)權(quán)利的難題。在侵權(quán)行為發(fā)生于人臉識別信息處理全過程，接觸到信息的主體都無法避嫌。同時，人臉識別技術(shù)的廣泛運用，給清楚界定信息侵權(quán)者帶來了更大的難度。被廣泛應(yīng)用于公司、超市、高鐵站與居住區(qū)的人臉識別技術(shù)，一旦發(fā)生權(quán)利主體的信息泄漏，無法準(zhǔn)確確定泄漏渠道。若公司、超市的不加密上傳網(wǎng)絡(luò)行為，地鐵站、居住區(qū)與公安局的共享行為，擴(kuò)大了有可能人臉識別信息侵權(quán)主體的范圍。但受害者無法追蹤信息泄露渠道，也無法得知信息收集者、處理者相互關(guān)系。給受害人準(zhǔn)確提起訴訟帶來困擾，是否按共同侵權(quán)提起訴訟，或是單獨針對某一方單獨訴訟？更甚至者，如果介入黑客攻擊數(shù)據(jù)庫等因素，訴訟的復(fù)雜性和侵權(quán)損害的因果關(guān)系，相對受害者而言，更難厘清。損害因果關(guān)系認(rèn)定標(biāo)準(zhǔn)是否先就收集者盡到信息收集注意義務(wù)？還是其他信息處理者或黑客的人為信息泄露行為[8]？

因此，相較于依賴分析單一信息侵權(quán)人的侵權(quán)行為和損害結(jié)果之間的關(guān)系，筆者更為認(rèn)可多個信息侵權(quán)人的行為導(dǎo)致最終損害結(jié)果的推定規(guī)則。首先，公民個人必須花費相當(dāng)巨大的精力和金錢去證明損害結(jié)果是因為信息處理者侵害行為造成的。相對地，信息處理者因為其強(qiáng)大技術(shù)和資本相比個人而言證明其行為是否導(dǎo)致了損害結(jié)果，并不是難事。從法理來看，作為享受利益的信息處理者也應(yīng)在無法證明情況下承擔(dān)相應(yīng)風(fēng)險，推定事實上因果關(guān)系的成立，將會大大降低因信息處理者未盡到注意義務(wù)的信息泄露可能性[9]。其次，鑒于目前司法審判中，由于缺乏具體的可操作的法律法規(guī)內(nèi)容，如何準(zhǔn)確認(rèn)定隱私性信息侵權(quán)行為損害結(jié)果，是困擾法官的難題。由于人臉信息采集的隱蔽性和無感知性，法官很難判斷侵權(quán)行為與損害結(jié)果存在法律意義上的因果關(guān)系，一旦受害人遭受“身份盜竊、社會分選與歧視”侵權(quán)行為，就難以得到相符合的人格權(quán)侵權(quán)救濟(jì)。

（二）人臉識別技術(shù)侵權(quán)認(rèn)定的過錯評價和歸責(zé)原則

與歐盟的《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡稱GDPR）相比，我國目前法律法規(guī)中在人臉識別技術(shù)侵權(quán)主體認(rèn)定上，把目光集中于確定企業(yè)“過錯”。但卻忽略了政府機(jī)關(guān)、公安局等掌握大量人臉識別信息的部門，導(dǎo)致難以追究公權(quán)力對人臉識別信息的侵權(quán)責(zé)任[10]。筆者認(rèn)為，運用人臉識別技術(shù)的侵權(quán)主體，除了企業(yè)、個人等非公務(wù)機(jī)關(guān)，也應(yīng)將政府機(jī)關(guān)、公安局等公權(quán)機(jī)構(gòu)列入其中。正因為侵權(quán)主體的復(fù)雜性，國內(nèi)對于其侵權(quán)責(zé)任的“歸責(zé)原則”劃分標(biāo)準(zhǔn)各說紛紜，主要分為三派。第一，陳吉棟[10]主張的“技術(shù)”歸責(zé)原則，主張無差別對待主體，采取自動化處理的技術(shù)為標(biāo)準(zhǔn)，來認(rèn)定過錯推定或一般過錯二元歸責(zé)體系；第二，鄧佑文教授[11]所主張的“身份識別”歸責(zé)原則，認(rèn)為信息侵權(quán)應(yīng)從行為識別轉(zhuǎn)換身份識別來劃分標(biāo)準(zhǔn)，公權(quán)機(jī)關(guān)適用無過錯責(zé)任，過錯推定責(zé)任則適用于非公權(quán)機(jī)關(guān)[23]；第三，葉名怡教授[12]所主張的“綜合說”，是在前兩種學(xué)說基礎(chǔ)上發(fā)展而來，主張個人信息侵權(quán)責(zé)任歸責(zé)不僅要看主體，也要看其是否盡到處理義務(wù)，而兩者之間的關(guān)系，應(yīng)該分三個層次：第一層次先以采用自動化處理技術(shù)為判斷條件，識別信息權(quán)利人只要證明信息處理者存在過錯，未采用自動化處理技術(shù)，即可認(rèn)定信息處理者侵權(quán)責(zé)任。在第一層次基礎(chǔ)上，即采用自動化處理技術(shù)的前提下，再以主體為責(zé)任區(qū)分依據(jù)，分為非公權(quán)機(jī)關(guān)與公權(quán)機(jī)關(guān)兩個層次。第二層次，考慮非公權(quán)機(jī)關(guān)適用過錯推定責(zé)任，而第三層次則是公務(wù)機(jī)關(guān)，其則適用無過錯責(zé)任。

筆者也傾向于第三種學(xué)說。第一，先考慮把是否進(jìn)行技術(shù)處理責(zé)任區(qū)分的基本，信息泄露風(fēng)險出現(xiàn)的主要原因是作為信息收集、控制者未采用數(shù)據(jù)處理技術(shù)的，理應(yīng)由其承擔(dān)責(zé)任，同時相應(yīng)地，其比信息權(quán)利人更有能力控制風(fēng)險。第二，在已實施了數(shù)據(jù)處理義務(wù)的情況下，將主體是否是公權(quán)機(jī)關(guān)分為兩層個次考慮，主要因為公權(quán)機(jī)關(guān)因代表著國家的權(quán)威，其采集的人臉信息泄漏的可能性微乎其微。且一般而言，政府機(jī)關(guān)的人臉識別信息采集行為具有強(qiáng)制性，公民出于對公權(quán)的敬畏，基本不會拒絕，即使發(fā)生損害也相信事出有因，或者無法抵抗，沒有尋求救濟(jì)意向⑧。第三，從立法實踐看，目前各國基本上關(guān)于涉及規(guī)范人臉識別技術(shù)的立法，都致力規(guī)范權(quán)利人收集、處理這種隱私識別信息的行為。因此，據(jù)以上的分析，對政府等公權(quán)機(jī)關(guān)采用了更為嚴(yán)格的歸責(zé)原則，是為了保障人臉信息權(quán)利人權(quán)利的實現(xiàn)，確保公權(quán)機(jī)構(gòu)在人臉識別信息收集、處理的過程中盡到最大限度的義務(wù)。第四，越來越多的公民拒絕或謹(jǐn)慎對待企業(yè)、組織等非公權(quán)機(jī)構(gòu)控制其臉部信息。公民個人往往因為與這些非公權(quán)機(jī)構(gòu)在信息的不對稱和暫無明文法律，難以證明這些機(jī)構(gòu)的侵權(quán)行為。若簡單“一刀切”采取“無過錯責(zé)任”，又會給企業(yè)發(fā)展帶上沉重枷鎖。因此，“過錯推定”原則就是最佳選擇，由企業(yè)、組織等非公權(quán)機(jī)構(gòu)來承擔(dān)舉證責(zé)任，一來減輕了受害者的證明責(zé)任，二來若信息收集者足以證明自己毫無過錯則免于擔(dān)責(zé)，也相對地降低了企業(yè)的負(fù)擔(dān)。

（三）人臉識別技術(shù)的侵權(quán)損害認(rèn)定范圍

人臉識別信息受害者是否能得到損害賠償，首先得正確地確定具體案件中“損害”的范圍。人臉識別信息的泄漏、非正常使用等侵權(quán)行為，侵犯信息權(quán)利人的隱私權(quán)，可能帶來不可逆的人身和財產(chǎn)的危險，如降低社會評價、信譽受損、被歧視等損害。依據(jù)2020年頒布的《民法典》的第1183條⑨與《侵權(quán)責(zé)任法》第22條⑩規(guī)定，嚴(yán)重精神損害后果是權(quán)利人要求精神損害賠償?shù)那疤釛l件，但何為“嚴(yán)重”的程度，只能由法官自由裁量，因為法律中缺乏具體的闡述。在司法中，法官們往往無法意識到侵害隱私信息引起的嚴(yán)重?fù)p害后果，導(dǎo)致受害人無法得到與損害結(jié)果相符的救濟(jì)。楊立新教授認(rèn)為，一味采取“入罪標(biāo)準(zhǔn)化”的刑事思路審判此類的民事案件，不僅無法杜絕個人信息侵權(quán)行為的發(fā)生，也無法真正救濟(jì)受害者[13]。也有學(xué)者指出，受侵犯程度不能作為損害賠償請求權(quán)存在與否的依據(jù)，影響的僅僅是損害賠償數(shù)額[14]。對人格權(quán)的保護(hù)是立法者設(shè)立精神損害賠償?shù)某踔?，但僅僅因為防止請求權(quán)被過分利用，不合理地以“嚴(yán)重程度”阻礙權(quán)利人得到相應(yīng)相符的精神賠償，從而成為精神賠償?shù)恼埱髾?quán)的禁錮，也有違立法的最初目的。特別是人臉識別信息侵權(quán)案件中，相比于所帶來的物質(zhì)損害而言，其遠(yuǎn)遠(yuǎn)小于受害者所遭受的精神損害。此時不宜不應(yīng)再設(shè)定過高的門檻從而影響到受害者得到相符合的救濟(jì)。因此，首要考慮的是依據(jù)具體情況和社會發(fā)展，適當(dāng)放緩放開精神損害的賠償要件。放眼于世界，針對個人信息保護(hù)都并無以是否“嚴(yán)重”作為精神損害賠償?shù)臉?gòu)成要件。例如，臺灣地區(qū)《個人資料保護(hù)法》中，并沒有設(shè)定精神損害的限制性條件，還規(guī)定了“每人每一事件新臺幣五百元以上二萬元以下”的賠償額度，從而保障信息權(quán)利人有效獲得精神損害賠償[12]。另，歐盟立法上也沒有“嚴(yán)重”作為精神損害賠償?shù)谋匾獥l件，如歐盟GDPR的第82條規(guī)定：“任何因為違反本條例而受到物質(zhì)或非物質(zhì)性傷害的人都有權(quán)從控制者或數(shù)據(jù)者那里獲得對損害的賠償?！?/p>

四、構(gòu)建人臉識別技術(shù)下權(quán)利救濟(jì)

目前，個人信息保護(hù)的法律法規(guī)遠(yuǎn)未能形成自身完整體系，散發(fā)狀地分布在《民法典》《網(wǎng)絡(luò)安全法》《消費者權(quán)益保護(hù)法》，乃至最高人民法院、最高人民檢察院和國務(wù)院頒布的相關(guān)司法解釋和規(guī)定中。這種形態(tài)造成了個人信息保護(hù)各自為政的局面，甚至?xí)霈F(xiàn)有所出入的情況，乃至出現(xiàn)問題相互踢皮球的局面。此外，相對于GDPR，我國現(xiàn)行法律對于政府機(jī)關(guān)、社會公共部門等大量掌握個人信息的部門的關(guān)注嚴(yán)重不足，導(dǎo)致公務(wù)機(jī)關(guān)侵害個人信息的責(zé)任難以被追究[15]。

鑒于人臉識別信息的信息濫用后損失不可逆的特殊性，構(gòu)建一個可行性的權(quán)利救濟(jì)系統(tǒng)，成了迫在眉睫的重點問題。

（一）加快針對人臉識別信息的專項立法

人臉識別信息是隱私信息，應(yīng)屬于人格權(quán)保護(hù)的范疇，其收集、使用、存儲、傳輸在滿足《民法典》《網(wǎng)絡(luò)安全法》等法律規(guī)定的同時，應(yīng)該有更嚴(yán)格的要求。當(dāng)務(wù)之急，構(gòu)建和完善符合中國實際的個人隱私信息保護(hù)制度，制定法律來明確人臉識別信息的非商業(yè)應(yīng)用范圍，如在刑事偵查、治安管理、人口治理、醫(yī)療衛(wèi)生等領(lǐng)域，加強(qiáng)對人臉信息商業(yè)應(yīng)用、侵權(quán)風(fēng)險及不正當(dāng)競爭的管理，明確公民的法律救濟(jì)途徑，明確政府和相關(guān)機(jī)構(gòu)的責(zé)權(quán)利，特別是人臉識別信息的權(quán)利保護(hù)邊界，設(shè)定人臉識別技術(shù)運用的各類標(biāo)準(zhǔn)，設(shè)定公民隱私的保護(hù)準(zhǔn)則，讓法律救濟(jì)、行政處罰有充分、清晰的法律依據(jù)。

（二）設(shè)立專門信息監(jiān)管部門

對于個人信息保護(hù)目前我國處于各部門分散性監(jiān)管的混亂狀態(tài)，更勿論人臉識別信息等隱私信息，工信部、公安部、網(wǎng)信辦等部門都在其領(lǐng)域內(nèi)負(fù)責(zé)，監(jiān)管部門眾多，就會出現(xiàn)分散監(jiān)管、各自為政、相互推諉的問題，更甚者容易造成對同一問題反復(fù)監(jiān)管和遺漏監(jiān)管，從而浪費了有限行政資源或是權(quán)利人無法得到有效救濟(jì)。另外，鑒于人臉識別信息收集主體的復(fù)雜性，把監(jiān)管部門簡單歸于以上任一部門不利于約束公權(quán)力對識別信息盡到注意義務(wù)。筆者認(rèn)為，針對人臉識別信息等隱私信息的復(fù)雜性，設(shè)立專門的、相對獨立的保護(hù)監(jiān)管機(jī)構(gòu)，明確監(jiān)管機(jī)構(gòu)的名稱、組織、工作原則、職權(quán)、責(zé)任，是人臉識別技術(shù)的繼續(xù)發(fā)展的必為之舉。在明確的法律法規(guī)下，該獨立監(jiān)管機(jī)構(gòu)對公權(quán)力主體和私主體在應(yīng)用人臉識別技術(shù)過程中從采集到刪除信息等一系列行為進(jìn)行嚴(yán)格監(jiān)管。

（三）規(guī)范法律程序，完善救濟(jì)途徑

由于人臉識別信息的隱蔽性、唯一性以及侵權(quán)主體的復(fù)雜性，意味著單一訴訟保護(hù)機(jī)制，無法給予權(quán)利人相符的權(quán)利救濟(jì)。筆者認(rèn)為，人臉識別技術(shù)的侵權(quán)救濟(jì)真正意義上是公民對自身人格權(quán)的保護(hù)以及發(fā)生損害后的賠償，以民事訴訟為主，行政訴訟、刑事訴訟相輔助的機(jī)制，明確規(guī)定侵犯個人隱私識別信息的情形、舉證主體、行政投訴部門、民事賠償義務(wù)機(jī)關(guān)、刑事追訴對象，更有利于權(quán)利得到充分的保護(hù)與救濟(jì)。如民事訴訟的舉證責(zé)任，由于公民和企業(yè)之間存在明顯的技術(shù)上和經(jīng)濟(jì)實力上的不對等，在侵害公民人臉識別信息的案子中，由公民的舉證非常艱難，可借鑒加拿大經(jīng)驗，在此類案件中確立舉證責(zé)任倒置規(guī)則，讓侵權(quán)者證明其沒有侵害公民的隱私權(quán)和個人信息權(quán)益，有利于降低公民一方的舉證負(fù)擔(dān)，也有助于企業(yè)自覺接受公民和社會的監(jiān)督，糾正自身的違法行為。同理，公民和國家公權(quán)力之間的地位不對等，將行政復(fù)議、行政訴訟以及行政賠償中的舉證責(zé)任倒置，有力約束公權(quán)力對公民隱私權(quán)利隨意克減，使公權(quán)力也置于社會的監(jiān)督之中。

五、結(jié)語

科技發(fā)展日新月異，我國的人臉識別技術(shù)發(fā)展走在了世界前列，正迅速滲透到安防、金融、教育與娛樂等多個領(lǐng)域，為我們的人身、財產(chǎn)安全帶來不可預(yù)知的風(fēng)險，也給個人隱私信息的保護(hù)帶來新的挑戰(zhàn)。加快我國對人臉識別信息等隱私信息立法，設(shè)置專門的監(jiān)管信息部門，明確識別隱私信息保護(hù)原則、主體權(quán)利、信息控制者義務(wù)等等，引領(lǐng)人臉識別技術(shù)應(yīng)用健康發(fā)展，維護(hù)以人臉識別信息為首的隱私權(quán)利與國家安全利益、社會經(jīng)濟(jì)發(fā)展之間的平衡。

注釋：

①參見南方都市報人工智能倫理課題組和App專項治理工作組小蠻腰科技大會的分論壇上，發(fā)布了《人臉識別應(yīng)用公眾調(diào)研報告（2020）》。

②搜狐網(wǎng).《美國公司宣稱3D面具攻破人臉識別，刷臉支付將不再安全？》.https://www.sohu.com/a/3612351 02_120411860。

③參見美國判例：1.Monroy v.Shutterfly.Inc.No.16-C-10984,2017.2.Rosenbach v.Six Flags Entm't Corp.2017 ILApp(2d)170317,rev'd,2019 IL123186.3.Sekura v.Krishna Schaumburg Tan,Inc.2018 IL App(1st)180175.4.McCollough v.Smarte Carte,Inc.No.16 C 03777,2016 WL4077108(N.D.Ill.Aug.1,2016).

④《民法典》第1032條規(guī)定，自然人享有隱私權(quán)。任何組織或者個人不得以刺探、侵?jǐn)_、泄露、公開等方式侵害他人的隱私權(quán)。隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息。

⑤《民法典》第1033條，除法律另有規(guī)定或者權(quán)利人明確同意外，任何組織或者個人不得實施下列行為：（一）以電話、短信、即時通訊工具、電子郵件、傳單等方式侵?jǐn)_他人的私人生活安寧；（二）進(jìn)入、拍攝、窺視他人的住宅、賓館房間等私密空間；（三）拍攝、窺視、竊聽、公開他人的私密活動；（四）拍攝、窺視他人身體的私密部位；（五）處理他人的私密信息；（六）以其他方式侵害他人的隱私權(quán)。

⑥如ZAO用戶協(xié)議（第1版）第6條規(guī)定其享有全球范圍內(nèi)完全免費、不可撤銷、永久、可轉(zhuǎn)授權(quán)和可再許可對用戶內(nèi)容進(jìn)行修改與編輯，以及對修改前后的用戶內(nèi)容進(jìn)行信息網(wǎng)絡(luò)傳播以及《著作權(quán)法》規(guī)定的著作權(quán)人享有的全部著作財產(chǎn)權(quán)利及鄰接權(quán)利。

⑦網(wǎng)易網(wǎng).《深圳加強(qiáng)大運會安保8萬治安高危人員被清出》，https://news.163.com/photoview/00AN0001/14022.html#p=71ECFKKK00AN0001。2011年8月深圳舉行了世界大學(xué)生運動會,為了保障大運會期間的社會治安,深圳市于年初開始對其認(rèn)定的“治安管理高危人群”進(jìn)行行政清除,在一百天里累計清除八萬余人，并于4月25日以新聞發(fā)布會的形式公告其戰(zhàn)果。

⑧美國舊金山市是世界上首個禁止政府機(jī)關(guān)購買或使用人臉識別技術(shù)的城市，歐盟委員會宣布將在三到五年內(nèi)禁止在公共場所使用人臉識別技術(shù)。

⑨《民法典》第1183條，侵害自然人人身權(quán)益造成嚴(yán)重精神損害的，被侵權(quán)人有權(quán)請求精神損害賠償。

⑩《侵權(quán)責(zé)任法》第22條，侵害他人人身權(quán)益,造成他人嚴(yán)重精神損害的,被侵權(quán)人可以請求精神損害賠償。