[摘 要]信息時代，生物識別技術(shù)及其應(yīng)用得到了快速發(fā)展，從指紋識別到人臉識別，不斷推進(jìn)。提高生活便捷性的同時也對市場經(jīng)濟(jì)發(fā)展有著巨大的推動作用。隨著人臉識別技術(shù)廣泛應(yīng)用于商業(yè)活動中，人臉信息蘊(yùn)含的商業(yè)價值與信息安全之間的沖突越來越激烈，商事主體作為人臉識別技術(shù)的掌控者在追求商業(yè)利益的同時往往沒有處理好人臉信息泄露的危機(jī)。目前，我國對于商業(yè)領(lǐng)域人臉信息處理的規(guī)制機(jī)制分散于民法、刑法和部分行政法中對個人信息的規(guī)定。由于人臉信息的特殊性，以及人臉識別技術(shù)作為一種新興技術(shù)，傳統(tǒng)的個人信息保護(hù)體系在保護(hù)人臉信息存在著一定的局限性和滯后性，因此當(dāng)前迫切需要充分發(fā)揮行政法的規(guī)制作用。

[關(guān)鍵詞]商業(yè)領(lǐng)域；人臉信息；行政法規(guī)制

隨著生物識別技術(shù)的不斷迭代更新，人臉識別技術(shù)愈加成熟，不僅覆蓋了民眾的大量日常生活活動，在商業(yè)活動中也得到廣泛應(yīng)用。人臉識別技術(shù)以其特殊的計算機(jī)算法，可以讀取并保存人臉信息。人臉信息作為一種能夠單獨(dú)識別身份的個人信息，在商事主體收集處理人臉信息的過程中，必然會存在著信息安全風(fēng)險。在實(shí)踐中，人臉信息侵權(quán)案件頻繁發(fā)生。在充分發(fā)揮人臉識別技術(shù)在客觀上對市場商業(yè)發(fā)展的促進(jìn)作用的同時，必須密切關(guān)注背后的信息安全風(fēng)險，要更全面地保障人臉信息主體的合法權(quán)益，也要規(guī)制商事主體對人臉信息的處理行為。

一、商業(yè)領(lǐng)域人臉信息處理行為的界定

（一）人臉信息的法律屬性

在實(shí)踐中，隨著人臉識別相關(guān)案件頻發(fā)，“人臉信息”一詞進(jìn)入了大眾的視野。最高人民法院《關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》中明確了人臉信息屬于生物識別信息，將人臉信息納入敏感個人信息的保護(hù)范圍。人臉信息是個人信息的一種新型表現(xiàn)形式。從生物學(xué)角度，每一個人的人臉信息都具有獨(dú)有的特征——唯一性，通過技術(shù)手段對人臉信息數(shù)據(jù)進(jìn)行對比，可以對個人身份進(jìn)行識別。人臉信息與個人隱私、財產(chǎn)、人格利益的保護(hù)息息相關(guān)。人臉信息具有易采性，可以在不知不覺中偷偷采集[1]。與傳統(tǒng)的個人信息、身份信息相比更容易被獲取和收集，更容易造成人臉信息泄露風(fēng)險。

（二）商業(yè)領(lǐng)域人臉信息處理的含義

商業(yè)領(lǐng)域人臉信息處理是指商事主體在商業(yè)活動過程中對人臉信息進(jìn)行采集、供給、加工、買賣、刪除等活動。該行為特征必須滿足以下三個方面：首先，主體特定，行為主體必須是商事主體，即經(jīng)過國家登記機(jī)關(guān)依法登記、以營利為目的從事經(jīng)營活動的自然人、企業(yè)法定代表人及其他經(jīng)濟(jì)組織；其次，行為對象特定，處理對象是人臉信息，主要是運(yùn)用采集、供給、加工、買賣、刪除、修改等方式對人臉信息進(jìn)行處理來達(dá)到商業(yè)目的的行為都屬于商業(yè)領(lǐng)域人臉信息處理行為，而不需同時滿足所有方式；最后，處理人臉信息的行為須以商業(yè)活動為目的，活動本身需要具有以營利為目的。在實(shí)踐中，大多信息收集者收集信息并非直接用于商業(yè)活動，而是加工處理后提供給信息使用者間接用于商業(yè)活動，也應(yīng)當(dāng)認(rèn)定為商業(yè)領(lǐng)域人臉信息處理。

（三）商業(yè)領(lǐng)域人臉信息處理過程中商事主體具有信息處理權(quán)的優(yōu)勢地位

在實(shí)踐中，商事主體基于其服務(wù)提供者的地位，在運(yùn)用人臉識別技術(shù)進(jìn)行的商業(yè)活動中對信息處理權(quán)上往往具有優(yōu)勢地位。其優(yōu)勢地位往往表現(xiàn)為以下兩個方面：一是單方制定規(guī)則的優(yōu)勢，商事主體在制定人臉識別技術(shù)使用權(quán)條款時，往往是單方制定格式條款，對于冗長的格式條款，人臉信息主體往往會忽略其中商事主體對人臉信息處理的條款，或者商事主體利用“不同意”信息收集就無法使用人臉識別的手段對用戶進(jìn)行強(qiáng)制收集人臉信息；二是商事主體往往是擁有技術(shù)霸權(quán)的信息掌控者，對人臉信息收集識別后再通過其他手段獲得其他個人信息進(jìn)行重合識別形成信息鏈條，擴(kuò)大商業(yè)利益。

二、行政法規(guī)制的必要性論證

（一）刑法和民商法對商業(yè)領(lǐng)域人臉信息保護(hù)上存在一定的局限性

目前，我國法律對人臉信息保護(hù)的規(guī)定在刑法和民商法中都有體現(xiàn)，但在實(shí)踐運(yùn)用過程中存在著一定的局限性。

我國刑法中規(guī)定了“侵犯公民個人信息罪”，此罪名雖然對處理個人信息的部分行為做出了禁止性規(guī)定，對人臉信息案件雖具有一定的指引作用，但并沒有在量刑和構(gòu)成要件上對人臉信息進(jìn)行特殊的考量。人臉信息屬于特殊的個人信息，在案件的審理過程中，應(yīng)對人臉信息進(jìn)行單獨(dú)評價。同時，由于刑法的必要性原則，在商事活動中商事主體通過人臉識別技術(shù)對人臉信息的處理行為大部分通過民商法或者行政法調(diào)整更具有合理性，刑法往往是不能通過其他手段來規(guī)制時才進(jìn)行的最后手段，因此，通過刑法來調(diào)整商業(yè)領(lǐng)域人臉信息處理行為具有一定的局限性。

當(dāng)前，我國規(guī)定人臉信息最為全面的法律是民法。我國民法在保護(hù)個人信息領(lǐng)域主要是通過“知情同意”原則來權(quán)衡信息主體與信息處理者雙方的權(quán)利義務(wù)，但是在實(shí)踐中存在著一定的局限性以及救濟(jì)困難的情況。在實(shí)踐中，商事主體與人臉信息主體雖然存在著基于人臉信息主體知情且同意的協(xié)議，但由于商事主體的優(yōu)勢地位，人臉信息主體往往存在著未充分知情協(xié)議、被迫同意協(xié)議或者無意同意協(xié)議的情形。一方面，人臉信息主體對商事主體運(yùn)用人臉識別技術(shù)的相關(guān)協(xié)議的知情權(quán)未得到充分保障。在實(shí)踐中，知情同意協(xié)議作為商事主體提供的格式條款往往不夠清晰簡潔甚至過于冗長復(fù)雜。人臉信息主體在簽訂協(xié)議過程中往往難以逐一閱讀，導(dǎo)致信息主體往往無法判斷知情同意協(xié)議中是否會包含對自身人臉信息權(quán)益造成損害的行為。另一方面，人臉信息主體的自愿同意權(quán)往往無法得到充分保障。商事主體作為技術(shù)提供者，知情同意協(xié)議往往會存在著不同意協(xié)議，就無法使用服務(wù)的霸王條款，此種協(xié)議變相地強(qiáng)迫人臉信息主體提供其人臉信息。其次，在侵權(quán)責(zé)任救濟(jì)機(jī)制方面也存在救濟(jì)難點(diǎn)。民事侵權(quán)責(zé)任救濟(jì)屬于事后救濟(jì)，即當(dāng)損害結(jié)果實(shí)際發(fā)生后才能追究其民事侵權(quán)責(zé)任。在信息侵權(quán)案件中，侵權(quán)者實(shí)施的損害手段往往具有隱蔽性和多樣性的特點(diǎn)，且人臉信息主體與商事主體之間的信息不對稱是常態(tài)的情形下，被侵權(quán)方在舉證方面會存在很大的困難。

（二）行政法規(guī)制具有更大的優(yōu)勢

我國憲法明確規(guī)定了公民享有人權(quán)、人格尊嚴(yán)的規(guī)定，對實(shí)踐中人臉信息保護(hù)具有指引作用。我國憲法并沒有實(shí)現(xiàn)司法化，作為公法的行政法部門具有保護(hù)公民合法權(quán)益的職能，應(yīng)充分發(fā)揮其至關(guān)重要的作用。相對于民法的事后救濟(jì)，行政法的事前規(guī)制作用對商業(yè)領(lǐng)域人臉信息處理的規(guī)制更具有優(yōu)勢。行政法事前規(guī)制在時間線上提前規(guī)制商事主體的違法行為，從源頭解決問題，對于人臉信息主體的權(quán)益保護(hù)更為有效，也更為全面。首先，行政監(jiān)管能全面覆蓋人臉信息處理的全過程，實(shí)現(xiàn)事前、事中和事后的有效管理。其次，行政監(jiān)管可以有效處理涉及大量個體權(quán)益的人臉信息案件，避免司法程序的煩瑣和低效，充分保障人臉信息主體的權(quán)益。最后行政監(jiān)管可以靈活地運(yùn)用多種手段，根據(jù)不同的情況和對象采取適當(dāng)?shù)拇胧?，在商業(yè)領(lǐng)域人臉信息處理中具有巨大的規(guī)制優(yōu)勢。故行政法是人臉信息保護(hù)的重要法律保障，應(yīng)得到充分的重視和發(fā)揮。

三、行政法規(guī)制路徑

（一）完善人臉信息專門保護(hù)的行政法律規(guī)范

從立法角度制定與人臉信息相關(guān)的行政法律規(guī)范，保障有法可依，可以從根本上保障人臉信息主體的合法權(quán)益。相較于一般個人信息，人臉信息的保護(hù)應(yīng)當(dāng)更為嚴(yán)格，從立法角度看有兩種完善建議：一是在《個人信息保護(hù)法》中單獨(dú)設(shè)定一章為“商業(yè)領(lǐng)域人臉信息處理規(guī)制”，二是將人臉信息保護(hù)專門單獨(dú)立法。但從實(shí)踐角度來看前者難以實(shí)現(xiàn)，后者的可行性更強(qiáng)。由于我國針對個人信息保護(hù)采取的是統(tǒng)一立法模式，同時《個人信息保護(hù)法》第62條第2款也規(guī)定了相應(yīng)部門對人臉信息制定相關(guān)保護(hù)措施的規(guī)制和標(biāo)準(zhǔn)。因此，可以根據(jù)此條的規(guī)定建議國家互聯(lián)網(wǎng)信息辦公室等相關(guān)部門制定針對人臉信息保護(hù)的行政法規(guī)、條例，彌補(bǔ)當(dāng)前法律框架中的空白，指導(dǎo)執(zhí)法和法律適用。

（二）設(shè)立人臉信息專門監(jiān)管主體

人臉信息的保護(hù)往往涉及跨部門的監(jiān)管，這直接導(dǎo)致了監(jiān)管權(quán)的分散。各個部門制定的監(jiān)管標(biāo)準(zhǔn)不統(tǒng)一，出現(xiàn)監(jiān)管標(biāo)準(zhǔn)差異化會導(dǎo)致市場亂象。歐盟等發(fā)達(dá)地區(qū)和國家對此采取設(shè)定統(tǒng)一的機(jī)構(gòu)監(jiān)管個人信息。鑒于我國目前對個人信息的保護(hù)以網(wǎng)信部門為主要監(jiān)管主體，其他相關(guān)部門在其職責(zé)范圍內(nèi)行使監(jiān)管權(quán)。筆者認(rèn)為，可以在網(wǎng)信部門中專門設(shè)立人臉信息治理機(jī)構(gòu)，以此解決監(jiān)管分散的問題。專門監(jiān)管機(jī)構(gòu)須保障公民的知情權(quán)和監(jiān)督權(quán)，及時公開監(jiān)管中發(fā)現(xiàn)的違法商事主體。

（三）配套人臉信息保護(hù)的相關(guān)措施

1.建立事前準(zhǔn)入和評估機(jī)制

人臉信息屬于特殊的個人信息，作為敏感個人信息，確實(shí)需要進(jìn)行特殊保護(hù)?！秱€人信息保護(hù)法》和最高人民法院的司法解釋為人臉信息處理提供了法律依據(jù)和指導(dǎo)，要求商事主體在處理人臉信息時遵守相關(guān)的行政許可或其他限制，還應(yīng)進(jìn)行事前影響評估。為了控制人臉信息的濫用和安全風(fēng)險，有必要建立人臉信息處理的準(zhǔn)入和評估機(jī)制。首先，設(shè)定商業(yè)人臉識別技術(shù)運(yùn)用的相關(guān)資質(zhì)標(biāo)準(zhǔn)，規(guī)定任何商事主體將人臉識別技術(shù)運(yùn)用于商業(yè)活動，以及處理人臉信息前必須向國家網(wǎng)信部門申請，被申請部門根據(jù)商事主體的資質(zhì)和相關(guān)產(chǎn)業(yè)的特殊性綜合評估決定是否許可。此外，完善人臉信息處理的風(fēng)險評估制度，不僅需要明確評估標(biāo)準(zhǔn)和后續(xù)監(jiān)督管理的內(nèi)容，還應(yīng)引入第三方機(jī)構(gòu)評估的概念。商事主體須通過第三方評估機(jī)構(gòu)對其信息處理行為進(jìn)行風(fēng)險評估。機(jī)構(gòu)根據(jù)理性設(shè)計的審查標(biāo)準(zhǔn)和步驟，對技術(shù)準(zhǔn)確性、算法非歧視性設(shè)置、安全加密設(shè)置和主體權(quán)利保障路徑等進(jìn)行評估[2]。杜絕“自己評估，自己處理”的情形。

2.建立事中常態(tài)化行政監(jiān)管機(jī)制

由于目前人臉識別技術(shù)趨于商業(yè)常態(tài)化使用，人臉信息侵權(quán)、信息泄露案件頻發(fā)，筆者認(rèn)為，應(yīng)當(dāng)建立對商業(yè)領(lǐng)域人臉信息處理的常態(tài)化監(jiān)管機(jī)制，以此加強(qiáng)事中行政監(jiān)管。對于信息泄露事件，往往會造成難以挽回的損害結(jié)果，常態(tài)化監(jiān)管機(jī)制可以有效地避免被動監(jiān)管導(dǎo)致的無法挽回信息泄露案件的損害后果的發(fā)生。同時，行政部門應(yīng)當(dāng)設(shè)定定期檢查、重點(diǎn)檢查、專項(xiàng)檢查等工作制度，并且根據(jù)人臉信息的特點(diǎn)創(chuàng)新檢查

方式。

3.細(xì)化事后行政處罰標(biāo)準(zhǔn)

《個人信息保護(hù)法》通過提高對違法處理個人信息行為的處罰力度，來增加商事主體違規(guī)處理個人信息的成本，但是并沒有明確區(qū)分人臉信息與普通個人信息，且處罰跨度較大，對于行政執(zhí)法者而言擁有較大的自由裁量權(quán)，而商事主體在處理人臉信息時會有更大的法律合規(guī)漏洞。因此，作為敏感個人信息的人臉信息，需要在法律中得到明確區(qū)分，讓法律規(guī)定更為準(zhǔn)確，杜絕商事主體利用法律模糊概念“鉆空子”。處罰也應(yīng)當(dāng)細(xì)化，一方面，行政處罰方式要嚴(yán)格符合比例原則，處罰手段與目的相當(dāng)[3]。處罰的目的不僅需要具有懲罰性，也需要通過處罰增加商事主體違法處理人臉信息活動的成本，以此保護(hù)人臉信息主體的合法權(quán)益。在不同的違法場景使用不同的處罰方式，杜絕監(jiān)管部門出現(xiàn)以罰代管的情形。另一方面，罰款幅度也要嚴(yán)格符合比例原則，罰款幅度應(yīng)當(dāng)與事后造成后果的嚴(yán)重性相適應(yīng)，還應(yīng)當(dāng)充分考量商事主體是否采取補(bǔ)救措施、進(jìn)行違法行為時的主觀心態(tài)等因素。

四、強(qiáng)化救濟(jì)措施

在規(guī)制商業(yè)領(lǐng)域人臉信息處理行為的過程中，強(qiáng)化公民的救濟(jì)措施是必須重視的內(nèi)容。筆者認(rèn)為應(yīng)從以下三個方面進(jìn)行：首先，在實(shí)踐中，人臉識別技術(shù)應(yīng)用于商業(yè)攝像頭之中，普通民眾往往會在毫不知情的情況下，其人臉信息就被商業(yè)主體獲取，此種情況下發(fā)生信息泄露時，人臉信息主體往往并不知情侵權(quán)人，就此增加了被侵權(quán)人的維權(quán)難度。法律應(yīng)當(dāng)授予被侵權(quán)者可以向信息傳播者或信息收集者承擔(dān)責(zé)任的權(quán)利。其次，通過制定懲罰性賠償制度，促使商家合法合規(guī)處理信息[4]。民眾可以根據(jù)具體情況向相關(guān)部門舉報商事主體獲得賠償。最后，應(yīng)當(dāng)優(yōu)化人臉信息侵權(quán)案件的舉證責(zé)任分配。由于信息收集者的優(yōu)勢地位，人臉信息也是由人臉信息收集者進(jìn)行存儲使用，發(fā)生侵權(quán)后，信息主體往往難以舉證，那么對于舉證責(zé)任的分配應(yīng)當(dāng)改為信息收集者、處理者承擔(dān)更為合理[5]。

結(jié)束語

人臉識別技術(shù)在商業(yè)領(lǐng)域中運(yùn)用廣泛，在商業(yè)運(yùn)作過程中獲得的人臉信息作為一種可以單獨(dú)識別人身份的敏感信息，所蘊(yùn)含的商業(yè)價值更是無法估量，如果發(fā)生信息安全問題，造成的損害后果也是巨大的。在實(shí)踐中，商事主體作為人臉信息處理者與人臉信息主體在地位上存在著較大的強(qiáng)弱差距，行政法規(guī)制可以打破目前刑法與民法在調(diào)整此類事件上的僵局。從行政法規(guī)制角度出發(fā)，制定商業(yè)領(lǐng)域人臉信息處理的專門保護(hù)法規(guī)、設(shè)立人臉信息保護(hù)的專門監(jiān)管主體、完善事前準(zhǔn)入、事中監(jiān)管、事后處罰機(jī)制。形成強(qiáng)化“全流程、全鏈條、全主體”監(jiān)管，以此構(gòu)建商業(yè)領(lǐng)域人臉信息處理的全方位規(guī)制體系，最后強(qiáng)化公民救濟(jì)措施，以此充分保護(hù)人臉信息主體的合法權(quán)益。

參考文獻(xiàn)

[1]邢會強(qiáng).人臉識別的法律規(guī)制[J].比較法研究，2020（5）：51-63.

[2]張溪瑨，王曉麗.人臉識別技術(shù)與應(yīng)用的風(fēng)險及治理研究[J].科學(xué)研究，2023，41（3）：385-393.

[3]劉權(quán).目的正當(dāng)性與比例原則的重構(gòu)[J].中國法學(xué)，2014（4）：133-150.

[4]劉培.商業(yè)場景中人臉識別技術(shù)應(yīng)用的法律規(guī)制[J].互聯(lián)網(wǎng)天地，2022（8）：37-42.

[5]程瑩.人臉識別技術(shù)風(fēng)險法律規(guī)制問題研究[J].中國信息安全，2021（10）：62-65.

作者簡介：黃政（1996— ），男，漢族，四川內(nèi)江人，青海民族大學(xué)法學(xué)院，在讀碩士。

研究方向：行政法。

基金項(xiàng)目：本研究受青海民族大學(xué)研究生科研基金項(xiàng)目資助，項(xiàng)目名稱“青海民族大學(xué)研究生創(chuàng)新項(xiàng)目”（項(xiàng)目編號：04M2023112）。