人臉識別技術應用背景下個人信息的法律保護

龔煒琪

（西北政法大學 法治學院、法律碩士教育學院，陜西 西安 710000）

隨著互聯網的飛速發展，數字領域也在不斷實現跨越式發展，其中的一大典型表現即人臉識別技術在社會生產生活中得以廣泛應用。例如，隨處可見的刷臉移動支付、小區進出人臉識別門禁系統、日常公司掃臉考勤打卡、地鐵出行人臉識別通行等。而作為一種新興的生物識別技術，人臉識別技術主要通過在圖像或視頻流中檢測、跟蹤人臉［1］，并對所提取的人臉基本信息進行檢測和匹配。據國外調研機構Gen Market Insights 發布的《全球人臉識別設備市場研究報告2018》顯示，全球人臉識別設備市場價值在2018 年至2025 年期間將以26.8%的速度增長，到2025 年底將達到71.7 億美元，而中國是人臉識別設備最大的消費區域，在2018-2023 年復合年增長率為29.53%，2023 年占全球比例將達到44.59%，到2024 年人臉識別設備市場規模將突破100 億元［2］。

但科技的發展總伴隨著一系列的社會及法律問題。人臉識別技術讓人們享受便捷的同時，由于相關技術不成熟、監管不到位等因素，公民個人人臉信息被竊取、泄露、倒賣等情形與日俱增，甚至危及公民人身安全。且由于相關專門規制的缺乏、監管主體不明晰等原因，使得相關違法處分不嚴、地方執法“雷大雨小”等問題層出，這不僅不能彌補受害者的損失，反而進一步助長了人臉信息侵權主體的威風。因此，如何平衡科技發展、社會進步與公眾人臉信息安全成為現今一大社會治理難題。

一、人臉識別技術應用對個人信息保護的挑戰

作為生物識別信息中的一種，人臉信息具有人身專屬性的特點，一旦泄露，不但會導致當前應用數據泄露，而且與該人臉相關的其他應用數據均可能泄露，使得用戶承受信息泄露、財產損失等風險，并導致個人最終不得不選擇退出人臉應用服務，這將給個人信息保護帶來巨大挑戰。

（一）侵權風險

人臉識別技術在社會生產生活中被廣泛應用，并為生產生活提供便利，但人臉信息侵權問題也相繼產生。南方都市報個人信息保護研究中心發布的《移動端人臉識別應用合規報告》顯示，在其選取的50 款具有人臉識別功能的移動應用中，四成應用隱私政策透明度較低，人臉信息共享不合規現象突出［3］。

雖說在使用此類APP 前，用戶就已經點擊確認了軟件開發者提供的《用戶隱私保護政策》，同意主動提供或是允許在使用軟件期間由軟件自動獲取人臉有關信息，以獲得更好的用戶體驗。但顯而易見，此種授權行為非傳統意義上的“知情同意”。

一方面，絕大多數應用提供的相關隱私保護條款十分冗長，鮮少有用戶會去細讀其內容是否超出必要限度。如此一來，許多隱性霸王條款便以“用戶知情同意”為由，成為軟件方頻繁、過度索取權限，違規使用相關人臉信息的借口。另一方面，由于缺乏統一的行業規范和相關的行政監管。大多數軟件開發者對用戶采取“無授權則無服務”的硬性態度。即若用戶不同意軟件開發者提供的相關條款，則無法使用該軟件的相關服務。為此，即便用戶只是想要使用軟件刷臉支付功能，卻不得不授權軟件獲取存儲、位置、通訊錄、電話等非必要信息權限。因此，在此情形下很難成立有效的知情同意，嚴重損害了用戶的信息自決權。

（二）隱私泄露風險

人臉識別技術作為一項新興技術，依賴于對個體生物特征的識別。與傳統使用的數字密碼不同，生物可識別信息具有特定性和惟一性等特點，一旦泄露，每個人都會像超市里的商品一樣，被擺放在貨架上分類出售。甚至一個人一生的個人信息會被出售多次，循環往復，其損害后果可想而知。

當前，企業通過自行收集、用戶主動提供或從第三方合作方手里獲取用戶相關人臉信息，并建立企業商業數據庫，將所收集的信息進一步加工處理，使其具備較高的商業價值。但也因此，若人臉信息保管不當，則可能出現被企業內部人員因一己私利而出賣，或是被外部黑客入侵系統盜取等情形，容易造成大規模的數據泄露事件，給人臉信息主體帶來巨大信息安全隱患。在實踐中，由于人臉識別技術的限制，每一次人臉數據采集和驗核都能使信息采集主體獲取用戶人臉信息并進行存儲。如此一來，整個轉接過程鏈條所涉及的采集主體均可以獲取用戶人臉信息，這極易引發人臉信息安全問題，增加隱私泄露的風險。

此外，固有的技術缺陷也增加了人臉識別技術隱私泄露的風險。雖然人臉信息具有惟一性和特定性，但是人臉所包含的生物識別信息內容十分豐富，大部分人臉識別技術尚未達到完全區分相似面孔的能力，檢測識別的人臉是否為圖像、模型還是真人的水平。為此，人們在社交平臺發布的照片，日常被監控抓拍等人臉信息亦有可能被不法分子截取利用，也存在一定的隱私泄露風險。

（三）歧視風險

人臉識別技術可分為人為歧視風險和科技歧視風險兩種。人為歧視風險即通過設定特定的算法和運行程序，增強或者降低某些信息的識別率，以使得技術識別的人臉信息具有一定的傾向性。

例如美國邁哈密使用智能治安監管系統以重點監視黑人群體和西班牙移民［4］。這表明在治安監管系統中，黑人和西班牙移民群體被人臉識別系統捕捉、收集人臉信息的概率遠高于白人和亞洲人等其他群體，這無疑構成膚色和種族歧視，違背種族平等的國際共識；科技歧視風險即算法在正常運行過程中，由于數據偏差或者其他技術性問題，進而導致人臉識別系統在實際運作中會自然而然地產生對公民年齡、膚色、性別等歧視對待風險，從而導致識別結果不準確。例如一些互聯網平臺并未在算法正常運行中進行人為的干預，但是算法仍然會根據自身的運算規則而產生數據偏差。麻省理工學院的一項研究顯示，人臉識別系統對黑人和白人的識別率存在顯著差異，就刑事犯罪領域而言，人臉識別技術將黑人誤認為犯罪分子的概率遠超過白人［5］。

二、人臉識別技術運用下個人信息法律保護的現狀

（一）立法層面

就既有法律而言，我國目前并未就人臉識別信息收集、處理和保管等作出特殊規定，只是從個人信息層面對其進行保護。《個人信息保護法》將個人身份識別信息作為一項敏感信息，要求個人信息處理者在合法、合理的范圍內處理個人信息。該法第二十九條規定，處理敏感個人信息應當取得個人的單獨同意；法律、行政法規規定處理敏感個人信息應當取得書面同意的，從其規定。

此外，有關個人信息法律保護規定較為零散地分布于不同類型的法律法規中。例如，我國現行《民法典》規定了“自然人的個人信息受法律保護”①參見《民法典》第一千零三十四條第一款。，將其作為一般人格權予以保護。而人臉信息可以依托一定的物質載體而被反映、識別，此時可視為肖像，依據肖像權相關規定進行保護。《消費者權益保護法》規定了經營者收集、使用消費者個人信息時，應遵循正當合法及必要性原則，且需征得消費者的同意①參見《消費者權益保護法》第二十九條。。《網絡安全法》則規定網絡產品、服務提供者收集用戶信息時，應獲得用戶同意且不能違反相關法律法規，并對依法負有網絡安全監督管理職責的部門及其工作人員提出具體工作要求②參見《網絡安全法》第二十二條第三款。。同時，《憲法》雖未提及“個人信息”，但不得非法侵犯公民人格尊嚴，公民通信自由、通信秘密受法律保護等內容，仍反映了對個人信息保護的立法意圖。

而人臉這種生物識別信息具備本體特殊性和社會特殊性，這決定了其具備與普通公民個人信息不同的重要性，因此也需要更嚴格的刑法加以輔助保護。刑法對公民個人信息的保護經歷了從無到有、不斷完善發展的過程［6］139。從新中國第一部“七九”刑法再到“九七”新刑法都沒有規定個人信息保護的相關內容。2009 年，《刑法修正案（七）》設立了“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”才使得個人信息保護進入刑法的視野。2015 年，我國出臺了《刑法修正案（九）》進一步整合了個人信息方面的犯罪，將違法主體擴大至一般主體，擴大了犯罪入罪主體，并將相關罪名整合為“侵犯公民個人信息罪”罪名。2017 年，最高法與最高檢聯合出臺了《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，加大懲治侵害公民個人信息犯罪的力度，推動了我國打擊侵犯公民個人信息犯罪刑法保護的具體化進程。但是，相關法條或司法解釋仍未針對人臉信息制定具體定罪量刑標準，不利于實現對人臉信息的特殊保護。

由此可見，我國立法者能夠及時通過立法回應社會發展需要。但值得關注的是，人臉信息所代表的是復合法益，不僅包含公民個人信息權益，還包含人格尊嚴、信息自決權等內容。因此，需要立法者及時完善相關法律規制，以全面保障人臉信息安全。

（二）司法層面

在司法層面，社會關注度最高的便是杭州動物園“人臉識別”案。原告郭兵因不滿被告將人臉識別驗證作為入園的惟一方式而將杭州野生動物世界告上法院。一審法院認為，原被告此前達成的服務合同里并沒有包含“不進行人臉識別不能正常入園”的要求。此要求屬于新要約，不經原告方同意不產生法律效力。因此，要求被告刪除其辦理指紋年卡時提交的包括照片在內的面部特征信息。由此可見，一審法院認為個人信息權益屬于私權，可以由民事主體間進行協商確定相關使用規則③參見浙江省杭州市富陽區人民法院（2019）浙0111 民初6971 號判決書。。但是值得考慮的是，作為一種特殊的個人信息權益，法官在審理案件時，是否可以采取更加謹慎的處理和保護原則，對人臉信息進行更大限度的司法保護。

二審法院認為，生物識別信息高度體現自然人的行為、生理等特征。作為一種敏感的個人信息，其人格屬性極強。一旦其發生泄漏，將會帶來不可預測的危害。因此，二審法院一方面維持了一審法院判決，即認為郭兵在知悉動物園要收集指紋的告示下仍辦理年卡，該行為對于郭兵和動物園均有約束力。但是人臉識別信息的店堂告示并非郭兵辦理年卡的合同條例范圍，并不對雙方產生約束。另一方面，動物園想要利用原本收集的人臉識別面部特征擴大信息處理范圍，超出了雙方訂立合同的范圍，且表明動物園存在侵害郭兵人臉信息權益的目的和可能危險。為此，動物園應當在系統刪除郭兵提交的照片在內的面部信息④參見浙江省杭州市中級人民法院（2020）浙01 民終10940 號判決書。。

同時檢索中國裁判文書網有關侵犯公民個人信息犯罪的公開案件可知，近年來侵犯公民人臉信息犯罪的案件總體呈上升趨勢。從獲取數據可知，2017 年到2021 年，我國法院已審結的涉及侵犯人臉信息的案件分別為2 件、3 件、11 件、12 件、27件，共計55 件，且該統計不包含未立案審理或游離于刑法規制之外的犯罪黑數。

據此可以推測，隨著人臉識別技術的進一步推廣，此類犯罪案件數量將會呈大幅增加趨勢。為此，進一步增加“生物識別信息糾紛”案由，以滿足司法實踐中對新類型權益特殊保護的需求十分必要。

（三）行政執法層面

相關執法部門已采取多重舉措以保護個體人臉信息權益。2019 年，由工信部牽頭，聯合公安部、市場監管總局等多部門聯合開展APP 侵害用戶權益專項整治行動，并組織第三方檢測機構對手機應用軟件進行檢測。并對下載量大的App 申請權限以及強制開啟的權限進行了分析統計，向社會公布，保障公眾知情權。2021 年1 月22 日，工信部公布了《關于侵害用戶權益行為的App 通報》，要求存在違規、超范圍收集個人信息等問題的157 款侵害用戶權益的App 進行限期整改，并于2021 年2 月4 日，下架了37 款整改復查不達標的App。

但由于相關法律規定較為分散，目前我國尚未確立統一的個人信息監管部門承擔個人信息保護的職能，相關部門存在職能交叉或者空白的情形。此外，個人信息侵權案件往往涉及多方主體，相關問題的處理需要多部門聯合。因此，在尚未明確個人信息侵權問題應該由哪個或者哪幾個部門主管的情形下，有可能出現多部門推諉責任或者“多頭治理”的問題，并不利于高效解決個人信息侵權問題，受害人的合法權益難以得到有效保障。

三、域外有關人臉識別的法律規定

相較于我國對人臉信息保護還處于初步探索階段，國外已經針對人臉信息等生物識別信息的收集、使用等過程可能出現的技術安全問題和法律風險建立了較為完善的保護體制機制加以規范。通過對美國和歐洲兩種不同立法模式進行分析，進而對我國完善相關立法提供借鑒思路和方法。

（一）美國的專門立法模式

美國是世界上第一個使用法律手段保護個人隱私的國家，通過專門立法模式，實現對隱私的保護。美國聯邦政府并未在全國范圍內制定統一的個人信息保護法案，用以規制人臉識別信息的收集、管理及使用等，而是通過各個州自行立法，分散地進行法律保護。并針對不同的人臉識別技術應用主體，相關立法亦采取差異化的規制路徑。即對于政府主體與非政府主體采取截然不同的立法價值取向和法律規制路徑。

對于政府層面使用人臉識別技術，各州采取禁止許可使用或者特別許可使用的法律規制路徑。加利福尼亞州是美國第一個通過人臉識別禁止令的州。2019 年，該州的舊金山市通過《停止秘密監控條例》，禁止包括警察在內的各個政府部門使用人臉識別技術①參見美國舊金山市《停止秘密監控條例》》（Stop Secret Surveillance Ordinance）第19 條B 款第5 項。。但值得一提的是，聯邦政府、商業組織以及個人并不在限制范圍之類。該條例要求政府部門向監督委員會披露目前正在使用或正在計劃實施的各類秘密監控技術，并要求政府部門在特別情況需要使用該類技術時，需經過監督委員會的嚴格審批②參見邢會強：《人臉識別的法律規制》，載《比較法研究》2020 年第5 期，第54 頁，轉引自美國舊金山市《停止秘密監控條例》》（Stop Secret Surveillance Ordinance）第19 條B 款第7 項。。2020 年，華盛頓州通過《人臉識別服務法案》。法案嚴格限制了政府機構使用人臉識別服務進行持續、實時（或近似實時）的監視和追蹤，政府機構只有在獲得許可或緊急情況下才能利用人臉識別實現上述目的③參見美國華盛頓州《人臉識別服務法案》（facial recognition act）第3 條。。

對于非政府層面使用人臉識別技術亦有兩種不同的規制路徑：一是相較于一般個人信息，采取更為嚴格的特殊保護；二是采取與一般個人信息同等、無差別的普通法律保護。例如，2008 年，伊利諾伊州通過《生物識別信息隱私法》，這是美國州出臺的第一個保護個人信息的法律。該法案明確要求私人實體在收集和披露個人生物識別信息之前，必須獲得個人的同意④參見美國伊利諾伊州《生物識別信息隱私法案》（The Biometric Information Privacy Act）第10 條。。且私人實體應遵循行業相關的合理注意義務，并對生物識別信息采取與“機密和敏感信息”相同或更高的保護方式［7］；而美國《加利福尼亞消費者隱私法》則將人臉信息作為個人信息中的一種而予以一般性的法律保護，并對于商用主體收集、獲取人臉信息采取與一般個人信息并無區別的寬松態度。

除了美國各個州制定的各類《生物識別信息隱私法案》，聯邦政府通過專門制定刑事法案用以特殊規制。1988 年，美國國會通過《防止身份盜竊及假冒法案》。其中特別規定，故意轉移和使用“識別他人的方法”以實施違反聯邦法律或州法或地方法所規定的行為，構成身份盜竊罪⑤See Identity Theft and Assumption Deterrence Act As amended by Public Law 105-318,112 Stat.3007（Oct.30,1998）of U.S.A§003.Identity Theft.（a）（4）。個人生物識別信息包括在條款中的“識別他人的辦法”。該法案同時表明，在未經合法授權的前提下，故意實施教唆或者幫助他人進行轉移或非法識別他人生物識別信息的，將加重處罰⑥See Identity Theft and Assumption Deterrence Act As amended by Public Law 105-318,112 Stat.3007（Oct.30,1998）of U.S.A§003.Identity Theft.（a）（4）。

（二）歐盟的統一立法模式

與美國的分別立法模式不同，歐盟未對政府主體與非政府主體進行“區別對待”，而是采取統一的立法模式，區分一般個人信息與個人敏感信息，使得人臉信息等生物識別信息可以適用一般個人信息保護規定和針對性保護的特別條款，實現公法與私法措施間互為補充，更好發揮保障作用。

2018 年，歐盟公布堪稱“史上最嚴數據保護法”的《通用數據保護條例》（簡稱GDPR）。GDPR將面部圖像等個人生物數據納入保護范圍，并對生物數據的采集、處理采取“原則禁止，例外許可”的原則，對于涉及違法犯罪、公共安全等領域必須經過法律授權的相關機構才可處理個人生物信息。條例具體規定了生物數據的使用主體、使用方法、使用情形等內容，明確數據的使用需要以個人數據主體明確地“知情同意”作為前提，并賦予數據主體拒絕的權利。但GDPR 也特別指出，在某些特定的情況下，GDPR 處理生物數據的限制性條款不能限制歐盟成員國①參見歐盟《通用數據保護條例》（GDPR）第5（1）條。。在司法實踐中，歐盟也嚴格打擊生物數據侵權行為，相關違法處罰力度大。

而由英國2018 年發布的《數據保護法案》則特別強調“為單獨識別特定個人的目的，處理基因數據或生物數據”的“法定必需”標準②付微明：《生物識別信息法律保護問題研究》，中國政法大學博士學位論文，2020，第75 頁，轉引自李愛君、蘇桂梅：《國際數據保護規則要覽》，法律出版社2018 年版，第238-239 頁。，限定了處理基因數據或生物數據的特別情形，并以行政執法、民事賠償及刑事定罪作為保護生物識別信息的法律鏈接，從而有針對性地對生物識別信息進行特定保護［8］。

四、我國人臉識別技術應用的法律規制路徑

人臉識別技術所蘊含的風險不是單一風險，而是可能威脅公民個人人身、財產等的復合風險。為此，結合域外經驗以及我國實際情況提出法律規制路徑。

（一）完善相關立法

國家應當順應時代發展潮流，借鑒域外經驗，走中國特色法治道路，完善相關立法。2020 年10月，《信息安全技術個人信息安全規范》國家標準正式發布，其中專章規定人臉信息等個人敏感信息的收集、處理、使用等規則。這一方面體現國家順應時代發展潮流，但另一方面，該“規范”效力并不及法律，對我國人臉識別技術下個人信息權益的保護力度不夠。

2021 年11 月1 日，我國《個人信息保護法》正式生效。該法不僅對包括臉部在內的個人敏感信息的處理作出具體說明，而且對相關行政管理部門如何處理個人信息作出專門規定，以保護公民個人信息。但值得說明的是，該法并沒有明確指出人臉等個人生物特征信息該如何進行特殊規制，只是籠統指出法律法規若對個人敏感信息的處理有更嚴格規定，從其規定。

因此，我國可借鑒歐美相關立法經驗，出臺《個人生物識別信息保護法》，規定人臉識別技術的應用主體、使用權限、相關監管機構等內容，并統籌完善相關法律法規，以促進人臉識別技術的健康發展。例如，在民事法律上確定人臉信息等生物識別信息作為新型人格權的地位，并規定相關侵權損害認定標準、訴訟救濟手段等內容；在刑事立法上，一方面可以通過刑法解釋的角度，對既定的侵犯公民個人信息罪進行解釋，使其能起到對生物識別信息進行特殊保護的效果［6］139。另一方面可以在出臺新的《刑法修正案》對非法竊取、獲得、偽造、買賣、使用人臉信息等行為進行定罪；而在行政法上，可以完善行政執法體制機制，并規定國家機關違法使用人臉識別技術而造成公民損害的相關救濟途徑等。

（二）加強行政監管

首先，應當完善人臉識別技術的市場準入機制。對企業使用人臉識別技術設置一定準入門檻，確保人臉識別技術應用企業具備一定的資質和風險防范能力，實現高效保護；并制定備案審核制度。要求企業將依法使用人臉識別技術的具體操作流程以及相關用戶隱私保護政策進行備案，以便在發生風險時，確認企業是否盡到相關注意義務。建立專門管理部門，雖然我國工信部、公安部、網信辦等部門都有保護人臉識別技術規制和生物識別信息的法定職責，但我國當前并未設立規制人臉識別技術的專門主管部門［9］。因此，現有各部門在僅對各自職能領域進行監管情況下，可能出現職能交叉、職能割裂或者職能缺失的問題，并不能較好地推進行政監管。為此，通過設置專門管理部門以監督國家機關和企業在法治軌道上應用人臉識別技術，并定期向社會公示違法黑名單，輔之行政處罰、行政強制措施等，以完善行政保護。同時要求企業在面臨收集的人臉信息遭受泄露、毀損、丟失的問題時，應及時報告相應主管部門。

其次，加強行政處罰的力度。目前我國對于人臉識別技術應用并無針對性行政處罰措施，且基于一般保護的行政處罰力度較低。以我國的《網絡安全法》為例，其中第六十四條規定了“侵害個人信息權益的企業主體，處以一百萬元以下罰款，并對直接責任人員處以一萬元以上十萬元以下罰款”。但相較于企業應用人臉識別技術所獲得的高額利潤，此類行政處罰力度猶如隔靴抓癢，不能較好起到行政處罰法所提倡的懲戒與教育作用。而反觀歐盟GDPR，其規定泄露個人隱私的，處全球營業額的百分之四或者兩千萬歐元中的較高者①參見歐盟《通用數據保護條例》（GDPR）第83（4）條。。執法機關也時常開出天價罰單，給其余企業敲響警鐘。如谷歌因個性化廣告涉嫌違反GDPR 而被法國國務委員會開出五千七百萬美元的天價罰單；萬豪酒店也因泄露3.83 億用戶信息面臨1840 萬英鎊罰款。

此外，在行政監管不能解決人臉信息侵權問題時，應當允許當事人采取司法救濟途徑維權，并做好行政監管與司法救濟的銜接工作。總而言之，全面完善行政監管體系，是實現人臉識別技術風險防范的重要一環。

（三）完善司法救濟途徑

由于人臉識別技術具有遠程、非接觸等特點，公民人臉信息通常是在不知情的情形下被收集。同時由于人臉識別技術應用廣泛，人臉信息收集者眾多，受害者難以確認個人人臉信息究竟是在哪一具體環節被泄露，而原則上提起訴訟要求有具體的被告，因此，受害人可能因為找不出實際侵權人而無法獲得司法救濟。即便受害者找出實際侵權人，根據“誰主張誰舉證”的訴訟基本原則，受害者需要明確指出侵權主體的侵權行為與受害者的損害結果間具有因果關系，且侵權者具有主觀過錯。在實踐中，該類侵權主體常處于優勢地位，這對于處于弱勢地位，想要通過法律途徑維護自身信息權益的受害者來說，將面臨舉證難度大、訴訟成本高等現實難題，不利于實現司法救濟。

與此同時，應用人臉識別技術的企業和政府有較強的人力、財力等作為支撐，對于人臉信息的收集、處理、使用等過程熟悉度、專業度較高，應當有謹慎使用人臉識別技術，妥善保管相關信息的義務，此時若只要他們承擔一般的舉證責任，并不符合公平正義的基本原則。基于此種考量，對于舉證責任的重新分配十分有必要。即要求原告承擔證明被告存在人臉識別信息侵權行為和造成自身損害結果的舉證責任。被告承擔因果關系和無過錯的證明責任。此外，若是個人與個人、企業與企業間有關面部信息傳播的侵權糾紛，因其主體地位實際上相同，則采取一般舉證原則即可。

（四）提升行業自律

首先，加強行業自律組織的建設。當前，我國行業自律組織還處于初級發展階段，除了金融領域的自律組織相對規范，其余領域的自律組織存在水平參差不齊、組織成員較少、規范執行力不到位等問題。為此，需要政府與行業協會形成合力，共同解決發展問題。一方面，政府部門可以通過發布相關規范性文件，為人臉識別相關聯的自律組織的建設提供指導意見，并通過財政撥款、定期召開政府與行業協會座談會的方式，了解行業協會發展的需求，給予相關支持。另一方面，政府部門可以加強對行業協會的監管，為行業協會規范運行提供指導，防止協會為了私益而損害公共利益。

其次，建立行業自律規范。行業自律規范具有靈活性和針對性的特點，通過制定嚴于法律標準的行業規范，劃定企業使用人臉識別技術所需遵守的義務底線，有利于提升人臉識別技術的風險防控能力。2020 年1 月，中國支付清算協會發布的《人臉識別線下支付行業自律公約（試行）》就針對線下支付領域，分別從個人信息的采集、存儲和使用環節等規范人臉識別的運用［10］。雖然該《行業自律公約》為人臉識別的應用提供指導建議，但是公約內容僅30 條，且多為原則性指導意見，涉及人臉識別技術規制內容不全面，難以為人臉識別技術的實際應用提供可靠的依據。因此，行業協會應該以人臉識別技術規制為主線，圍繞人臉信息保護為核心開展工作，依據相關法律法規，進一步細化人臉識別技術應用行業自律規范，以提升規范的可適用性。

最后，行業協會要加強對人臉識別技術應用企業的監督，定期向社會公布不合規企業。同時，對違反行業自律規范的企業進行內部處罰并要求其限期改正。除此之外，行業協會還要為信息主體提供投訴建議渠道，并及時提供反饋意見。

五、結語

人臉識別技術的廣泛應用極大地改變了人們的日常生活，我們通過讓渡自身部分個人信息權益以換取便捷的同時，個人信息遭泄露、丟失、盜用等風險也急劇增加。如何防范人臉識別技術所導致的法律風險，化解其與人臉識別信息安全之間的矛盾，是我國立法和實務急需回應的問題［11］，值得我們進一步探索。