人臉識別技術應用的權益矛盾與法律平衡

杜欣蕓， 劉湘琛

（湖南師范大學，湖南 長沙 410000）

基于生物特征信息發展的識別技術包括DNA 識別、指紋識別、虹膜識別、聲紋識別及人臉識別等。其中，人臉識別是基于面部特征進行身份識別的技術。人臉識別技術可在一定范圍內通過攝像頭捕捉面部特征即可精準分析，從而進行人臉識別。人臉識別技術無需被識別主體主動配合，臉部信息被追蹤即可認證，因此易被盜取，這造成對個人相關民事權益的侵犯，從而引發相關法律問題：一方面，人臉識別信息的技術保護措施尚未達到應有力度，人臉信息存儲不夠安全，容易被濫用，尤其是為商業利益而售賣人臉識別信息的行為，嚴重侵犯個人隱私權；另一方面，各種應用軟件超越權限范圍，商家采用格式合同強制或半強制用戶提供個人人臉信息，并對其進行處理分析，以犧牲用戶個人信息為代價，實現商業價值。此外，伴隨仿真頭套的出現及相關技術的發展，人臉圖像的可復制性成為可能，人臉識別信息被濫用的可能性增加。因此，人臉識別技術應用的權益矛盾與法律平衡成為一個亟需關注的課題。

一、人臉識別技術應用引發的權益矛盾

（一）人臉識別技術的概念和特征

人臉識別，通常也叫人像識別、面部識別，是基于人的臉部特征信息進行身份識別的一種生物識別技術。人臉識別系統主要包括人臉圖像采集及檢測、人臉圖像預處理、人臉圖像特征提取、人臉圖像匹配與識別四個組成部分，主要是針對人臉中不易產生變化的部分，如眼眶、顴骨周圍及嘴部邊緣等區域進行圖像處理。[1]

人臉識別技術在交通、金融、教育等領域廣泛使用。在識別對象、識別程序以及識別效果方面，均具有其獨特性。其一，人臉識別技術的對象是人臉信息。與個人信息中的姓名、出生日期、身份證件號碼、住址、電話號碼、電子郵箱、行蹤信息等相比，人臉特征信息屬于生物識別信息，直觀反映個人體征，可直接識別特定自然人，具有高度敏感性，一旦脫離主體控制容易對個人造成侵害。此外，人臉信息不僅具有一般人格權意義，同時具備財產權屬性，尤其是在大數據時代的今天，人臉識別數據的商業價值更為凸顯。其二，人臉識別技術的程序具有便捷性。其使用主要通過計算機視覺應用進行操作：先進行數字化人臉圖像生成，隨后進行人臉檢測，然后再進入人臉匹配，提取人臉特征信息。通過比對人臉與所提取的人臉特征，人臉識別認證得以實現。[2]操作簡單，相關設備也不必要直接接觸被識別主體即可獲取人臉識別數據。其三，人臉識別技術的效果顯著。社會生活方面，該項技術帶來巨大便利，就如微信刷臉支付可以縮短消費者的支付時間，以人臉識別為基礎進行電子身份證的開發也大大減輕了往返取證的時間成本；在保障公共安全方面，公安部門在偵查犯罪時應用人臉識別技術，能更精準有效地預防、識別和打擊犯罪。

（二）人臉識別技術應用中的權益矛盾

然而，隨著人臉識別技術廣泛深入地應用于社會生活的方方面面，這一技術擴張的趨勢很難不威脅到法治社會中日益高漲的公民個人信息保護需求。一方面，公民個人的隱私權及信息自決權作為人權的重要內容必須強化保護，包括政府在內的信息處理主體在利用人臉信息的過程中必須保持克制，避免觸碰公民基本權益的底線；另一方面，相對于公民個體，政府與其他利用人臉信息的商業、技術主體具有天然的技術和信息優勢，特別是基于社會公共利益優先原則，政府在處理人臉識別信息時又具有了法律優勢。人臉識別技術應用中“保護”與“利用”之間的矛盾，具體表現為以下兩個方面：

第一，公民人臉信息的權益保護與商業利益的急劇擴張存在直接矛盾。大數據時代，廣泛收集包括人臉信息在內的公民個人信息，基于深入的數據分析進行商業預測，充分挖掘個人信息的商業價值，已成為互聯網產業發展的必然趨勢。尤其是針對特定消費者進行的個性化商業預測和精準廣告推送等數據處理方式成為熱門應用后，數據之爭已成為商業競爭的主旋律。國家也積極推進數字經濟建設，提升數據要素市場競爭力。因此，除了個人信息之人格利益，包括人臉信息在內的個人信息數據所衍生出來的商業價值獲得了高度關注，我國信息產業也迎來了發展的黃金時期。①但基于天然的技術和信息優勢，相對于收集處理人臉信息的商業機構，公民作為個人信息的被收集者，明顯處于信息不對稱的劣勢地位，有關自身人臉信息的知情權、自決權、處分權乃至收益權均有可能遭受隱性侵犯。我國“人臉識別第一案”（2019 年郭某訴某野生動物世界有限公司案②）說明人臉識別信息及指紋這類高度敏感的個人信息在現實生活中存在較高的受侵害風險。隨著人臉識別技術應用愈加廣泛，在可預見的未來，類似的侵權案件會不斷增多，兩者的矛盾也會越來越多。

第二，人臉識別技術應用中公民人臉信息權益與政府所代表的公共利益之間也存在矛盾。我國法律賦予有關國家機關基于公共利益在合理限度內使用人臉識別技術的正當性，在法律規定的情形下，有關國家機關可以不征得公民同意處理人臉信息。歐盟的《通用數據保護條例》也規定，成員國為了維護國家安全可以對數據主體的相關權利予以適當限制。但值得注意的是，“公共利益”乃至“國家安全”都是較為抽象的表述。在個案的具體語境中，處理人臉等高度敏感的個人信息是否為公共利益或國家安全所必需？采集、利用的程度是否為公共利益或國家安全所必要？對這些問題，作為信息處理者的政府與作為被處理者的公民之間極有可能存在著理解上的分歧。

二、我國人臉識別技術應用法律原則的演變

人臉識別技術給社會帶來便利的同時，也引發了公民個人信息權益、商業利益和公共利益之間的矛盾。因此，人臉識別技術的應用需要通過法律確立信息主體的個人利益、技術主體的商業利益以及政府的公共利益這三種利益的邊界，以實現法律規制之下的利益平衡，這需要與時俱進的法律規制原則。

（一）“安全理念”下的秩序原則

人臉識別信息是科技進步的產物。當人臉識別技術尚未廣泛應用于社會生活中時，人臉識別信息是與個人信息混同進行概括式保護的。《中華人民共和國民法典》（以下簡稱《民法典》）實施之前，我國法律對公民個人信息保護總體而言體現了強調網絡安全的“安全理念”[3]。在“安全理念”之下，法律規制的重點是構建井然有序的網絡安全秩序，即“秩序原則”。2012年全國人大常委會通過的《全國人民代表大會常務委員會關于加強網絡信息保護的決定》（以下簡稱《網絡信息保護決定》）以及2016 年全國人大常委會通過的《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》），體現了“安全理念”之下的秩序原則。《網絡信息保護決定》第4 條明確要求：“網絡服務提供者和其他企業事業單位應當采取技術措施和其他必要措施，確保信息安全，防止在業務活動中收集的公民個人電子信息泄露、毀損、丟失。在發生或者可能發生信息泄露、毀損、丟失的情況時，應當立即采取補救措施?！薄毒W絡信息保護決定》總計12 條，一半左右的條文規定了網絡服務提供者為保障用戶電子信息安全所承擔的義務。在此基礎上，《網絡安全法》更加明確其立法目的是“為了保障網絡安全，維護網絡空間主權和國家安全、社會公共利益，……”，并且強調“國家堅持網絡安全與信息化發展并重”“國家制定并不斷完善網絡安全戰略”“維護網絡空間安全和秩序”。

安全理念強調秩序原則，網絡安全和網絡秩序這兩大法律價值被賦予優先地位，公民個人信息權益的價值與保護居于次要甚至附屬地位。這就導致此時我國個人信息保護立法分散，內容簡單重復，缺乏頂層設計和整體制度構建。國家對包括人臉識別信息的“個人信息”在法律性質上未予定位、在保障方式上未予明確。

（二）“賦權理念”之下的強化保護原則

鑒于網絡安全理念之下的立法對個人信息保護不足，在《網絡安全法》公布之際，不少學者主張將個人信息作為特殊客體納入已有的公民權利體系，這就是以公民權利框架保護個人信息的“賦權理念”[3]。但是，人臉識別信息仍未得到充分重視，它還是與其他個人信息被立法統合在一起進行概括式的權利保護。

在賦權理念指導下，法律加強了對公民個人信息的保護力度，體現出強化保護的法律原則。2013 年修訂《中華人民共和國消費者權益保護法》時，在第14條中增加了消費者“享有個人信息依法得到保護的權利”。2020 年修訂的《中華人民共和國未成年人保護法》（以下簡稱《未成年人保護法》）第4 條第2 款第3 項增加“保護未成年人隱私權和個人信息”，對未滿14周歲未成年人個人信息進行特殊保護，對這類信息進行處理需要經過法定監護人同意，法定監護人要求信息處理者更正、刪除的，信息處理者必須及時作出更正或刪除，同時網絡服務提供方發現未成年人在網絡上發布私密信息時必須提示并采取必要的保護措施。可以說，《未成年人保護法》是賦權理念之下強化保護原則的進一步實體法化。

《民法典》更是生動體現了強化保護原則。包括人臉識別信息在內的個人信息被融入現有的人格權體系實現了權利化保障，可謂意義深遠。首先，個人信息作為人身權益被人格權保護?！睹穹ǖ洹吩诘?11 條宣告“自然人的個人信息受法律保護”，將公民個人信息權益納入人格權的權利體系，作為一種絕對權，“任何組織或者個人”均負有不得侵犯特定公民個人信息權的義務。這是以基本法的形式奠定了公民個人信息法律保障的基調。其次，在具體權利結構設計中，將公民個人信息權益與隱私權并列，作為人格權的一章。從第1034 條到第1039 條全面規定了對個人信息的保護。第1034 條第1 款宣示了對個人信息的法律保護；第2 款以“概括+列舉”方式定義了個人信息的內涵，人臉信息被包含在“生物識別信息”這一類；由于人臉信息可直接識別到特定公民，在第3 款中人臉識別信息又被視為私密信息得以強化保護。第1035 條到第1039 條則分別規定了個人信息處理的原則，免責事由，自然人的查閱、復制、異議、更正等權利，個人信息處理者的義務，國家機關及其工作人員的保密義務等，構建起完整系統的個人信息權利保護體系。再次，《民法典》將個人信息分為私密信息和非私密信息，私密信息，如人臉識別信息，適用隱私權和個人信息權益雙重法律保護。

然而，盡管《未成年人保護法》《民法典》極大提升了個人信息的保障力度，但直至《民法典》正式實施，立法仍未將“人臉識別信息”從“個人信息”中分別出來予以單獨保護，面對人臉信息識別技術應用的狂飆猛進及其技術風險，這不能不說是一大立法缺憾。

（三）綜合理念之下的保護與利用相結合的平衡原則

為及時補救這一立法缺憾，最高人民法院于《民法典》實施之后不到一年即出臺《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》（以下簡稱《人臉識別技術適用法律若干問題的規定》）。在這一司法解釋中，人臉識別信息從《民法典》第1034 條中的“生物識別信息”被單獨列出予以特別保護。一方面，該司法解釋以司法權強化了對人臉識別信息的保障。該司法解釋明確了侵犯人臉信息的八種具體情形③，確定了信息處理者的舉證責任分配、共同侵權責任的承擔、侵犯人臉識別信息造成財產損害的賠償等內容；當公民發現自己的人臉識別信息正在被侵害，可向人民法院申請“人格權侵害禁令”；如發生大面積人臉識別信息被侵害事件，消費者協會可向人民法院提出公益訴訟；④同時，針對人臉信息識別技術應用過程中，自然人的知情權極易被架空、知情同意原則幾乎形同虛設的現狀⑤，該司法解釋規定在三種侵犯人臉識別信息的情形中，信息處理者即使形式上征得自然人或監護人同意，也不得以此為由進行抗辯。⑥另一方面，為確保人臉識別技術合理利用，該司法解釋還確定了五種情形，符合這五種情形的信息處理者主張不承擔民事責任的，人民法院依法予以支持。⑦這表明司法權在救濟保障的同時，為合理利用人臉信息這一高度敏感的數據資源預留了相應的空間?！度四樧R別技術適用法律若干問題的規定》鮮明體現出司法機關在解決人臉識別信息權益糾紛時的新理念新原則，即綜合理念之下保護與利用相結合的平衡原則。

但《人臉識別技術適用法律若干問題的規定》作為司法解釋，其效力涵蓋的是對業已形成民事糾紛的人臉識別信息侵權案件的法律適用，因此僅僅是司法權對人臉識別信息的司法保障。人臉識別信息保護的綜合平衡的法律價值理念需要通過規范性法律文件的制定和實施向社會生活全面滲透。2021 年8 月20日通過的《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）在第1 條即明確宣示其立法目的是“為了保護個人信息權益，規范個人信息處理活動，促進個人信息合理利用”，這就是綜合理念之下保護與利用相結合的平衡原則。

《個人信息保護法》兼有公法和私法的雙重性質，是通過有效規制明確法律邊界，對個人信息包括人臉信息進行合理的保護和利用。第一，運用私法“權利-權利”的保障方式明確商業性質個人信息處理者合理利用個人信息的法律邊界。其一，《個人信息保護法》設置了對商業性質個人信息處理者處理個人敏感信息需要承擔的特別義務。不同于《民法典》，《個人信息保護法》不再將人臉識別信息作為“私密信息”，而是將其歸類為“敏感信息”加以保護。《民法典》中人臉識別信息屬于私密信息，既可適用隱私權規定又可適用個人信息保護的法律規定，其立法初衷在于突出公民對個人信息保護方式的自主選擇?！秱€人信息保護法》將個人信息區別為敏感信息和非敏感信息，人臉識別信息屬于敏感信息，這樣的區分是為了更有針對性地提高個人信息處理者處理敏感信息的法定義務，其立法主旨在于加強規制。[4]《個人信息保護法》強化了人臉識別信息等敏感個人信息的處理者必須取得公民單獨同意的義務，處理未滿十四周歲的未成年人的人臉識別信息還必須經過其法定監護人的同意；增加了個人信息處理者處理敏感個人信息的法定條件——只有在具有特定目的和充分必要性并采取嚴格保護措施的情況下才能處理；同時，增設了信息處理者的告知義務，即信息處理者必須明確告知個人處理該類信息的必要性以及對其個人權益的影響。其二，《個人信息保護法》對公民人臉識別信息的保障比《民法典》更為全面。其中值得注意的是個人對信息處理者的請求解釋權以及個人信息的刪除權，《個人信息保護法》規定在五種情況下個人信息處理者應當主動刪除個人信息，如個人信息處理者未刪除的，個人有權請求刪除。⑧

第二，《個人信息保護法》對國家機關處理個人信息作出特別規定，這是以法律直接授權的方式，劃定了國家機關為了公共利益而處理個人信息的權力邊界。這一法律規制的方式帶有鮮明的公法色彩。《個人信息保護法》注意到大數據時代國家不再是超然的利益中立者，它既是法律規則的制定者和執行者，同時也是最大的個人信息處理者。[5]現代公共行政管理正與包括人臉識別信息在內的個人信息深度結合，公共秩序、公共安全與公共福利的推進都離不開個人信息數據資源。近年來，依托迅猛發展的信息技術，我國已經建立了很多數據庫，有些數據庫存放著包含人臉信息的個人信息。隨著數字政府和電子政務平臺的推進，公權力機關對公共事務的管理將會越來越依賴于以人臉識別信息為基礎的個人信息數據資源。由此也將不可避免地使公民敏感信息暴露在很大的風險之下?；诖耍秱€人信息保護法》以一章的內容對國家機關處理個人信息進行專門規定。除遵守《個人信息保護法》中對一般信息處理者設定的法律義務之外，該法還要求國家機關必須在法定的權限范圍內嚴格按法定程序處理個人信息，必須履行告知義務，如需向境外提供個人信息，必須進行安全評估。

由此可見，我國人臉識別信息保護的法律規制經歷了從無到有、從概括式保護到特別保護的發展歷程，這也折射出其背后與時俱進的法律規制原則的演變。

三、平衡原則下人臉識別信息保護的進一步優化

盡管在《個人信息保護法》出臺后，人臉識別技術應用中人臉信息權益的保障力度得到較大提升，但相對于公民的權益保障意識和期待，對比大數據和人工智能時代人臉識別信息遭遇侵害的巨大風險，我國現有法律針對人臉識別技術應用的專門性立法闕如，對于商業性個人信息處理者可能濫用人臉識別信息的監管還需進一步到位，人臉識別技術應用中個人、商業主體和國家機關三者的利益邊界仍有待進一步厘清。伴隨著全球范圍內人臉識別技術應用法律規制的實踐與發展，我國人臉識別信息權益的法律保障體系仍有必要進一步優化。

（一）推動精準規制人臉識別技術應用的專門立法

作為生物識別技術的一種，人臉識別技術借助人工智能特別是深度學習的算法革命站在了當下新興科技領域的風口浪尖。人臉識別技術所屬的計算機視覺技術，是無人駕駛、醫療檢測等應用的基礎技術之一，已經成為最具商業應用前景的高科技技術。在深度學習算法驅動下，計算機視覺技術在近幾年取得了突破性進展，目前我國人臉識別技術的精確度已經超過人眼。當前，人臉識別的公司數量很多，技術成熟度也比較高。據前瞻產業研究院的數據顯示，2016 年我國人臉識別行業市場規模約為17.25 億元，同比增長27.97%。[6]

從全球范圍來看，很多國家加強了對人臉識別的法律應對，針對人臉識別技術應用單獨立法成為趨勢。2008 年，美國伊利諾伊州頒布了《生物識別信息隱私法案》，這是一部規范生物識別符⑨和信息的收集、存儲、使用、銷毀的專門法律?？傮w而言，美國對人臉識別技術的應用，特別是對公權力機關使用人臉識別技術采取了嚴格限制的立法態度，如處在美國聯邦層面審議階段的《道德使用人臉識別法案》[7]《商業人臉識別隱私法案》[8]《人臉識別和生物識別技術中止法案》[9]。《人臉識別和生物識別技術中止法案》要求美國政府暫停使用包括人臉識別技術在內的生物識別技術，聯邦政府機構無權要求、擁有或使用包括人臉識別信息在內的生物識別信息，除非獲得美國國會的特別授權。2021年歐洲委員會發布的《人臉識別指南》[10]將人臉識別信息列入公民個人數據自動決策處理有關的公約加以保護，針對人臉識別技術不同的應用情況，法律框架重點規制以下內容：使用目標的詳盡說明，所用算法的最低可靠性和精度，人臉照片的保留時間，審查人臉識別技術使用細則的可能性，使用過程的可追蹤性以及安全保障措施。

隨著《民法典》《中華人民共和國數據安全法》《個人信息保護法》的陸續通過，我國個人信息法律保護與利用的整體框架已經清晰，綜合平衡的價值理念已然明了。《個人信息保護法》第62 條第2 款明確提出“針對小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等新技術、新應用，制定專門的個人信息保護規則、標準”，可以說，制定專門規制人臉識別技術應用的下位法的立法時機基本成熟。

第一，規制人臉識別技術的專門立法應實現與上位法的精準對接。人臉識別的專門立法應將上位法中有關個人信息處理的原則性規定具體化、專業化，如個人信息處理中應遵循的知情同意、正當必要、透明公正等原則，需要通過專門法針對人臉識別技術的特點予以解釋說明。同時需對社會實踐中易產生爭議的有關術語進行進一步的細化，使之清晰明確?！秱€人信息保護法》第26 條規定，“在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必需”。在現實生活中，寫字樓、商場、校園、城市居民小區等場所大都設置了攝像頭，有些小區物業要求業主“刷臉”才能進小區。這些場所是否屬于法律意義上的“公共場所”？其中的“公共安全”又如何界定？諸如此類的概括式的原則規定，有必要通過專門的下位法予以明確。

第二，規制人臉識別技術的專門立法應能體現對人臉識別技術風險的精準防范。《個人信息保護法》等上位法立足于個人信息法律規制的整體權益保障，無法精細地針對各種個人信息的特點進行有效的風險防范。人臉識別技術主要涉及數據收集、數據存儲以及數據使用三個環節，廣泛應用于金融、零售服務、安全防衛、智能駕駛、移動互聯網、醫療教育等行業，應用人臉識別技術獲得的人臉識別信息與其他個人信息相比，具有更強的直觀性、私密性和保密性。針對人臉識別技術及人臉識別信息的特點，立法應重點防控數據收集階段的過度采集、數據存儲環節的數據泄露、數據使用環節的開發濫用。

歐盟立法防控這三個階段的風險是以控制核心技術（如算法和自動決策）為切入點的。因人臉識別技術實質上是人工智能中的智能感知技術的應用，歐盟的《通用數據保護條例》要求其算法具有一定的可解釋性。同時該條例第22 條對包括畫像在內的自動化決策根據應用場景設置了兩項義務予以規制：如果自動化決策為履行合約所必需，經數據主體明示同意后，數據使用者應當實施適當措施保護數據主體利益，數據主體至少具有干預自動化決策、表達自己觀點并拒絕該決策的權利；如果自動化決策產生的法律效力涉及數據主體，或對數據主體有重要影響，則數據主體有權不成為此決策的對象。[11]

我國的法律規制方式則是針對人臉信息的階段性應用場景分別設計相應的風險防范技術標準。2023年5 月1 日，國家市場監督管理總局、國家標準化管理委員會發布的國家推薦性行業標準GB/T 41819-2022《信息安全技術人臉識別數據安全要求》（以下簡稱《人臉識別數據安全要求》）正式實施。“最小必要”是人臉識別信息安全的核心原則，圍繞著這一原則，《人臉識別數據安全要求》分為人臉識別信息“安全通用要求”以及人臉識別信息的收集、存儲、使用、傳輸、提供與公開、刪除等六個分則要求。雖然該規范就性質而言屬于國家標準中的推薦標準，不具有法律強制力從而規制效力有限，但其中經過實踐檢驗行之有效的具體內容卻可以由技術規范上升為人臉識別技術應用的專門立法。

（二）推進人工智能視覺技術應用的行業自律

隨著《人臉識別數據安全要求》這一國家推薦性行業標準的出臺，人臉識別技術應用的行業自律時機業已成熟。我國人工智能技術商業化前期應用的市場經驗說明，實施柔性的行業標準化規范更能促進企業借助市場力量構建“內生機制”，在行業內部自發形成合理的內部秩序。[12]而良好的行業自律可合理劃分個人人臉信息權益與企業商業利益之間的邊界，是人工智能人臉信息識別技術發展的必不可少的前提和基礎。

同時，行業自律能夠有效配合政府部門對包括人臉信息在內的個人信息進行保護和監管?！秱€人信息保護法》第60 條規定，國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作；第62 條第1款規定，國家網信部門統籌協調有關部門依據《個人信息保護法》推進制定個人信息保護具體規則、標準的有關工作。而人臉識別信息行業自律的標準化規范正屬于這一類個人信息保護的具體規則和標準，它們是人臉識別技術應用企業結合科研院校在利益博弈基礎上經過充分協商達成的行業共識，不僅在行業內具有高度的統一性和認可度，還在很大程度上彌補了行政監管機構因不直接對接市場而導致的信息差。

人工智能視覺技術應用的行業規范細化了《個人信息保護法》等相關法律對人臉識別信息概括式保護的內容。《人臉識別信息安全要求》在人臉識別信息的“安全通用要求”這一部分內容中要求，可采用非人臉識別方式的，應優先選擇使用非人臉識別方式；應僅在人臉識別方式比非人臉識別方式更具有安全性或便捷性時，使用人臉識別方式；即使采用人臉識別方式進行身份識別，應同時提供人臉識別和非人臉識別方式由自然人選擇；在自然人拒絕使用人臉識別方式后，不應頻繁提示以獲取自然人對人臉識別方式的同意。這些更為詳細的行業規范在現實生活中明確了技術應用的最低限度，能夠明確劃分公民人臉信息權益與商業利益以及政府所代表的公共利益的邊界。

（三）以建立人臉識別技術應用的行政許可和準入制度，推進行政監管模式的進一步優化

盡管行業自律為人臉識別技術應用的法律規制所不可或缺，但另一方面，行業自律固有的缺點也不容忽視。由于現行人臉識別信息的標準化規則是國家推薦性規則，不具有國家強制力，缺乏監督和執行力，在激烈的市場競爭中企業為了逐利總是傾向于突破這一柔性規則，從而導致“劣幣驅逐良幣”，因此，為了這一產業的可持續性健康發展，為了保障公共利益及公民個人信息權益，國家公權力機關對市場進行適度介入并監管是最堅強的后盾。

根據人臉識別技術不必要接觸被識別主體的特點，在現實生活中一旦發生人臉識別信息安全事故，就是不可逆的，將對公民個人權益及社會公共利益造成不可挽回的損害。因此，在當前我國個人信息保護和監管模式之下，各職能部門的監管職責的設置，就功能而言，應更注重事前的審查防范。

鑒于此，后續優化國家行政監管的著力點，應立足于與人工智能行業自律的有機融合，應將該技術的應用納入行政許可事項中進行監管。一方面，法律需要對人臉識別技術應用主體設置許可審查和準入審查，商業機構應用人臉識別技術需要獲得許可，國家行政機關基于公共安全和公共利益應用人臉識別技術也應制定相應的準入門檻。另一方面，法律應就人臉識別技術應用的必要性進行嚴格審查。應用人臉識別技術應符合必要性原則，非必要不適用，這一原則應是授予許可的首要原則。這一審查可嚴格控制商業機構應用人臉識別技術的合理性和技術范圍，劃定商業利益與人臉識別信息權益的邊界。針對行政機關等國家公權力機關的審查則要突出公共安全和公共利益原則，以此堅守人臉識別信息權益與公共利益的法律邊界。

總之，放眼當今世界，人臉識別技術及其應用正在快速滲透我們的生活。它在給我們帶來巨大便利的同時，也將不可預知的風險帶給了我們。我們有必要在人臉識別信息的保護與利用之間尋求法律平衡，并據此劃定公民人臉識別信息權益與企業的商業利益以及政府所代表的公共利益之間的邊界。法律應為包括人臉識別信息的個人信息立起一道保護的屏障，也應為其合理利用留下必要的現實和發展的空間。

注釋：

①信息技術與互聯網技術深度融合，2018 年，我國互聯網和相關服務業全年營業收入1.7 萬億元，比2013 年增長5.5 倍；企業資產總計2.6 萬億元，比2013 年增長4.4 倍。相關信息參見2020 年1 月16 日載于人民網的“我國信息技術產業蓬勃發展，動力強勁”，網址為：http：//finance.people.com.cn/n1/2020/0121/c1004-31558440.html。

②2019 年4 月27 日，郭某購買了某野生動物世界有限公司以指紋識別方式入園的年卡，并錄入指紋和拍攝照片。后該野生動物世界有限公司單方面將指紋入園改為面部識別入園，若不激活人臉識別系統將無法入園。郭某不接受人臉識別，要求退卡，雙方協商未果，郭某向某市中級人民法院提起訴訟。后該市中級人民法院終審認定該野生動物世界有限公司單方面變更入園方式構成違約，要求郭某激活人臉識別超出事前收集目的，且存在侵害郭某面部特征信息之人格權益的可能與危險，判決該野生動物世界有限公司刪除郭某辦卡時提交的包括照片在內的面部特征信息以及指紋信息。

③參見《人臉識別技術適用法律若干問題的規定》第2 條。

④參見《人臉識別技術適用法律若干問題的規定》第14 條。

⑤生活中極少有消費者真正認真閱讀網絡服務提供者所設置的冗長的格式合同并知曉自身個人信息被收集處理的真實情況，網絡服務提供者還將這類格式合同虛化為不必閱讀具體內容的點擊操作，消費者直接點擊界面按鈕就可以跳過閱讀環節。人臉識別無須接觸即可處理臉部信息的技術特點使得現實中知情同意原則的保障幾乎形同虛設，不少學者對此深表憂慮。相關信息參見張新寶：“我國個人信息保護法立法主要矛盾研討”，《吉林大學社會科學學報》，2018 年第5期；參見倪楠、王敏：“人臉識別技術中個人信息保護的法律規制”，《人文雜志》，2022 年第2 期；參見馬騰飛、馮曉青：“政府數據開放背景下人臉識別法律規制研究”，《中國政法大學學報》，2023 年第3 期。

⑥參見《人臉識別技術適用法律若干問題的規定》第4 條。

⑦參見《人臉識別技術適用法律若干問題的規定》第5 條。

⑧參見《個人信息保護法》第47 條。

⑨生物識別符主要包括虹膜掃描、聲紋、人臉、指紋或掌紋等，不包括照片、書面簽名、筆跡樣本。