人脸识别技术的法律风险及其场景化治理

杨复卫，白家烨

(西南大学 法学院， 重庆 400715)

一、问题提出：人脸识别技术衍生法律风险

人脸识别技术是以个人面部的某种特征、数字信息为基础的一项生物特征识别技术[1]。人脸识别技术汇聚了大数据、人工智能等高新数字科学领域的最新成就，被看作全球高新领域中的战略至高点。比较传统的生物特征识别技术，人脸识别技术是一项全新的个体生物识别技术，运用特定的静态图像或动态视频，将已储存的某些人脸数据图像库，进行验证和特征识别具体场景下的若干人的身份[2]。从作用原理角度理解，人脸识别技术基于大量图像数据研究基础，通由人脸图像采集及检测、人脸图像预处理、人脸图像特征提取以及匹配与识别四个步骤组成。伴随着互联网与信息技术的高速发展，以大数据技术为基础的新兴生物技术，逐渐在商业竞争及维护社会秩序等方面发挥着越来越重要的作用，数据信息的流动与利用也达到了前所未有的高度。

如今人脸识别技术对社会产生越来越大的影响，成为社会关注的焦点。人脸识别技术自产生以来一路高歌猛进，市场规模不断扩大，在生物识别市场结构中的占比仅次于指纹识别。出于更高的安全性及便利性考虑，指纹接触可能带来的病毒传播等问题也受到更多诟病。基于此，人脸识别在生物识别市场的占比将会持续走高。人脸识别在运用上也具有独特的优势：第一，自然性，通常是指由人类所具有的自然性的面部特征进行身份辨别。人脸识别可通过自然性识别使我们的生活方式更加便捷，用户无须携带任何证件或进行其他操作，从而在使用中减少负担。第二，非强制性，是指被识别的人脸图像信息可以主动获取而不易被识别个体察觉。在人脸识别过程中，数字图像处理能够自动完成，识别过程隐蔽，技术整体高效、安全。第三，非接触性，是指在图像处理的过程中，识别者不用与识别机器进行直接接触，只需其面部特征进入识别区域并抓取成功即可。同时，非接触性会使用户在信息采集时减少排斥心理，大大降低采集难度。第四，并发性，是指在应用场景中，人脸识别技术可以在众多用户的面部特征中进行及时判断、快速识别，节约识别时间，缓解场地拥挤。人脸识别技术在应用中优势明显，且具有较高的使用价值，能够广泛应用到如高铁安检、入门打卡、金融密钥等场景，发挥改变生活方式的科技力量，这也是人脸识别技术应用越来越普遍的原因。

随着大数据、云计算、人工智能等信息科技的迅速发展，人脸识别技术在提升工作效率、革新生物识别方式的同时，潜在的使用风险也受到更多关注。在人脸识别过程中，可能出现随意收集人脸信息，引起个人信息泄露的风险。尤其在大数据时代，有关个人信息的收集、利用和共享能力爆炸性增长，人脸识别应用中的个人信息保护问题亟待解决[3]。在面对衍生的某些法律风险时，如若不加以规制，可能会危害社会，甚至反噬社会。我们常常深陷一个误区，在面对技术风险时通常用技术手段处理，认为法律规范更多用于调整社会关系，不能有针对性地解决技术问题。但从事实角度出发，我们应该明确的是，技术发展的同时也考验着法律规范的回应，科技的进步也不应该以牺牲公民的权益为代价[4]。因此，人脸识别技术风险防范不仅仅是技术问题，更是法律问题。随着信息规制的兴起，如何通过法律规制来防范人脸识别技术的风险，保护公民个人信息安全，以求更大发挥人脸识别效用，逐渐成为学界研究与实践应用都关注的焦点。

二、人脸识别技术法律风险的场景化

在人工智能快速发展的时代，用户的个人信息使用范围及传播频率不断扩大，传统的法律规范覆盖范围并不全面。因此，本文以人脸识别技术应用中的个人信息保护为出发点，聚焦规范和治理人脸识别技术之潜在法律风险，探究人脸识别技术的健康、有序发展途径。

(一)人脸识别信息收集规制缺位风险

在法治社会中，风险的存在往往与规制密不可分。不论是理论技术研究，还是实践应用场景，人脸识别技术所引起的风险与日俱增，日益受到社会重视[5]。要系统性地建构人脸信息收集的规制体系，需要整体性地审视人脸识别应用所引起的风险，重视该风险引发的规制需求。虽然2021年11月1日起施行的《个人信息保护法》将人脸识别明确纳入到该法律的调整范围，但仅规定了由国家网信部门协调有关部门推进制定个人人脸信息的保护规则与标准，尚未细致考量规制人脸信息所面临的以日为单位变化着的现实。人脸识别信息收集在不同场景下面临着不同的风险，人脸识别技术的崛起对法律规制提出了挑战，它考验着知情权的保障、隐私权与信息自由的平等保护，等等。在人工智能的大数据时代背景下，人脸信息的关联度很高[6]，其商业价值不容小觑，过度收集人脸信息的情况往往难以避免。尤其是利用人脸识别技术能更便捷、快速地收集个人信息，在商业利益的驱动下，可能会导致一些主体对个人信息的恶意收集与盲目滥用。若个人信息被不法分子获取，更会产生复杂的信息安全问题。易言之，应该在《个人信息保护法》对人脸信息保护进行统领式规定的前提下，各部门协调发力，对人脸识别技术收集、利用，以及侵犯个人信息的应用方式进行明确规范，即更有针对性地规制人脸识别技术，加强个人信息赋权，从而保护公民个人信息。

伴随着信息技术飞速发展，互联网企业使用人脸识别技术收集用户个人信息也愈加广泛，如未获得法律的明确规制，易产生潜在的信息泄露风险。人脸识别技术在商业领域的应用，应在用户知情同意，且意思表示真实的基础上，落实数据主体责任[7]。人脸识别信息收集平台不应基于单方意志，未经用户同意而收集其人脸识别信息，即使获得对方同意亦应履行提示说明义务。若平台提供格式合同却未尽提示说明义务，或用户对信息理解有误产生重大误解，此时人脸信息收集均可能损害用户正当权益。从用户的同意角度出发，《个人信息保护法》第13条明确规定了除特殊情况外，个人信息处理者在处理包括人脸信息在内的个人信息时须以取得个人的同意为前提，而现实中该规定却常被信息处理者以默认个人同意的格式条款所规避。但根据《民法典》第140条规定，沉默不等同于默示，默示是一种行为，应有一定的举动；而沉默属于不作为，但法律明确规定除外[8]。而沉默与默示同意的区别，在实践中往往被技术使用平台模糊甚至忽略，格式合同的“已同意”成为人脸识别技术收集个人信息的法律通行证。还应重视“用户—数据处理者”关系中的公正与公开要求，着重强调对用户的防御性保护，在规范基础上关注“用户—数据处理者”双方关系中处理活动的公平性[9]。

一方面，格式条款作为用户使用平台的基本条款，除规定平台有权在用户触犯法律时将用户信息提供给有关行政部门外，还应明确平台为自身利益而使用用户个人信息的范围，并完善保密制度以保障用户各项权利，防止恶意泄露用户个人信息等情况的发生。然而在实际应用中，滥用格式条款的情况并不少见，本应保护用户权益的条款却导致其利益被侵犯。从格式条款之性质出发，合同本身是基于一方当事人提供合同文本，出于效率目的省略双方当事人协商的过程。传统的协商方式被单方取代，利益分配自然出现不公平状态，会更偏向于提供合同文本的一方当事人[10]。因此，格式合同并没有真正规制平台收集信息的行为，反而使其规制效果更外表化，未能切实保护被收集者的信息安全。格式条款与个人信息权保护出现的此种冲突，要求平台在制定格式条款时，更应遵循公平原则，并尽合理的提示说明义务。

另一方面，当前我国个人信息收集均以知情同意为基础。不论是上文所述的《个人信息保护法》第13条第1款的规定，还是《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《规定》)第2条第2款，都确立了以“同意”作为收集个人信息的基准。在现实情况中，大多数人因不知风险或迫于形势压力的情形以表同意。该形式上的同意虽然符合法律的规定，但实质上却没有真正体现个人信息主体的意志，更是有损人格尊严的表现。通过公共网络收集、利用、存储用户的个人信息，理应使用加密保护措施，对收集的用户信息进行分块、单独存储，不允许公开披露用户个人信息。但诉诸法律规范时，对用户的个人信息进行收集、利用、加工处理等环节均无明确的法律规制，导致平台出现随意收集用户信息，甚至存在“不刷脸就不提供服务”的恶性条款。除此之外，保护生物识别信息的法律原则以及权利义务责任的规定也不够清晰明了，对信息主体的权利救济也缺乏相应法律保护机制[11]。《网络安全法》第41条规定，如若网络运营者收集用户个人信息，应当征得个人“同意”。然而，从语义的角度出发，“同意”在法条的理解上本身就存在多重含义，既有基于明显答复的“同意”，有来自“默示”行为“同意”；有主动“同意”，也有被动“同意”。“同意”显然有多重理解，到底何为该法所规定的“同意”，该“同意”是否可以解释为“默示”行为的“同意”，该法条并未对“同意”作出明确的规定。在此基础上，可看出人脸识别信息收集行为的法条本身针对性不强，同时会出现人脸识别信息收集行为规制缺位的风险。“同意”仅仅是享用技术的门槛，难以成为保护用户信息安全的壁垒[12]。《个人信息保护法》规定处理人脸识别信息应当取得用户的单独同意，禁止一揽子授权行为。数据收集主体对于人脸识别等敏感个人信息的处理，需要逐项取得信息主体的授权[13]。在人脸识别技术发展阶段，用户的个人信息是基于数字图像处理的识别技术，经历一系列算法后用于辨别身份信息。综观整个流程，人脸信息已经被作为一种工具。人脸识别技术作为一种新型的生物识别技术，将用户的独立人格转换成一系列代码，将生动的人脸转化成一行行数据，此时，识别的是人脸，最终得到的是数据，失去的或者被贬低的则是人的主体性及其尊严，所以，有必要加强个人信息赋权。

(二)人脸识别信息泄露的监管失序风险

互联网时代，人们在享受着大数据带来的便利的同时，个人信息不可避免地被收集、利用。在每一次浏览、交易、通信使用时，都会留下信息痕迹。在此基础上，个人信息被随意收集、个人信息出现泄漏及滥用等问题日益常态化。相比较日新月异、快速更迭的人工智能、大数据等信息技术，我国的监管制度滞后于技术及应用场景的发展。如今，无论是门禁打卡还是各种APP上都会出现人脸识别的身影。人脸识别技术已经被广泛地应用到各领域，而监管部门仅着重于加强个人信息的保护，对如何预防信息泄露以及信息合理利用的各个环节都没有明确规定，受侵犯后处罚力度不够具体，使信息收集、泄露、滥用仍具有随意性。所以，有必要对个人信息的收集、利用行为进行规范，各部门及社会组织做到协同监管才能从源头上抑制信息滥用的情况，规避信息泄露造成的不可逆转的伤害，维护信息主体的利益。人脸识别技术在数字时代理应得到理论与实践的双重重视[14]。

我国对于保护个人信息的法律规定较为分散，且保护效力较低，缺乏体系化监管。专门性的个人信息保护规定尚不明确，在出现信息泄露时，没有做到事前预防、事中储存及事后处罚机制。如今，法律规范均立足于用户个人信息的间接性保护。其一，用户的个人信息常常以电子形式存在，电子化形式的最大特点是容易存取，但易出现信息泄露[15]。互联网公司已掌握用户的大量信息，一旦黑客利用电子技术入侵，容易造成信息安全隐患，有必要做好事前预防措施。人脸信息具有唯一性，不像其他信息和身份证件在丢失后可以进行挂失、补办，而人脸信息一旦丢失就等于自己所有的“密码”全部公之于众，且任何补救措施都很难弥补[16]。其二，《民法典》第1037条规定有关用户的一般保护机制，要求侵权者为自己的侵权行为承担责任，且用户有权要求改正、删除信息及其提出异议等。但在此基础上，仍需进一步提高对收集者行为的要求，对其具体行为进行规制[17]。要以法律形式赋予各类型主体一定的权利，使该主体对信息处理行为享有监督权和一定范围内的异议权、删除权。同时加强外部监管，从收集信息主体、处理信息场景等多个层次对信息收集的整个流程进行规制。其三，用户信息在公共场所被随意收集，或用户因接受优惠服务而选择信息交换的现象也反映出，我国有关信息收集所设置的门槛线较低。任何有关部门、政府机关和企业都能出于公共利益或提供商业服务而收集用户的个人信息，导致个人信息或多或少的泄露。从当前监管手段来看，相关部门不仅在事后监管力度及处罚手段不到位，甚至还出现了监管失序的风险。此外，当用户的个人信息出现泄漏时，有关部门有必要提升数据透明度，划分收集者的合理界限。同时，在个人信息出现风险时，应在事前做好预防、在发生侵害时做到及时止损、事后处罚上加大监管力度，建立一套完整的监管体系，从而最大程度地保护信息主体的合法权益。

(三)人脸识别信息合理运用的边界模糊风险

近年来，人脸识别技术被广泛运用于各行各业，比如用于网络支付、手机解锁、门禁系统、法律案件(刑事抑或民事)、国家安全等方面。不难看出，政府和非政府主体均开始使用人脸识别技术，且其运用领域还将不断扩展，但每一种运用场景都应有其合理的边界。如果没有明确的边界，人脸识别信息可能出现信息被过度解读或过度利用的情形，具体表现为以下几种形式：第一，基于边界不清引发的合法行为，超越合同约定该行为使用的类型边界，如银行人脸识别信息被用于保险、网络购物等环节；超越合同约定该行为使用的范围，如高校门禁系统的人脸信息，被用于教师课堂点名、考试个人信息识别、教务系统等内容。其二，基于边界不清引发的违法行为，可分为故意和过失，如银行信息被不当运用导致泄露，从而盗取财物；信息泄露导致被人肉搜索、被诈骗等等。信息的不当运用会造成个人信息泄露，甚至信息贩卖或者敲诈，导致财产、隐私等损害风险。当黑客等不法分子掌握用户的人脸信息和个人隐私数据后，可以利用电子技术远程窃取用户信息，从而损害公民人格权。因此，使用该技术时不可暴露他人隐私和侵犯他人合法权益，应合理界定人脸识别信息被合理运用的边界[18]。当前，《个人信息保护法》在处理、运用“人脸识别信息”的规定时，还缺乏更为细致的规则，第6条虽规定了“采取对个人权益影响最小的方式”，但如何界定仍存在较大裁量空间，“人脸识别信息”运用的限度还无法清晰掌控。并且有关保护个人信息的立法也呈分散状态，未能构建完整的法律体系，同时可执行性较弱。历经数十载，人脸识别技术逐渐被我国公共机构运用，尤其是在安防领域。但立法者尚未从人脸信息的角度出发，设定专门规则，也未基于现实需求去深入探究该制度的应有功能，而是将其作为个人信息的一种笼括于《个人信息保护法》之下。虽说《规定》引导了相关制度设计，但主要从民事审判角度出发，并未深入探究背后的立法规范以及立法缘由，具体规定都基本侧重于对私权主体的规制，以政府为代表的公权力主体被排除在外。政府与私权利主体在地位上的不对等性，更易导致侵害个人信息的情况，却没有规范性文件对其行为加以约束，这也是亟待完善的地方。此外，对于“人脸识别信息”运用应当有场景化规定，不同“人脸识别信息”收集者应当有不同的运用边界，即合法行为和违法行为的边界应当有所不同。

另外，收集者运用“人脸识别信息”应当具有一定情形下的豁免权，即法律应当规定涉及国家安全或重大刑事犯罪时，基于法定事由及正当法律程序，应当向国家安全机关和司法机关提供所搜集到的“人脸识别信息”。尤其是在大数据相关行业发展如火如荼的形势下，应当规定有一定豁免权的情形。然而，目前的立法并未对此进行规定，既导致“人脸识别信息”可能被国家安全机关和司法机关过度使用，也导致权力机关收集信息的行为缺乏法律的明确依据，产生某种行为是否合法的“或然”状态。如果存在适当且全面的监管框架并严格实施，并且对应的框架合乎判决所指明的宪法保护，政府就可使用已收集的信息。由于我国并未对适当和全面作出明确界定，也缺乏具体的可操作的设施，生物验证信息中的边界问题仍存在[19]。在大数据时代背景下，包括公民个人信息在内的各种信息要想创造价值，必须能够自由地流通和交易，而在这一过程中不可避免地会涉及公民个人信息的保护边界问题。易言之，人脸识别信息应当被合理运用，但目前其合理运用的边界模糊会产生更大风险。

三、人脸识别技术法律风险治理：场景化模式的嵌入

人脸识别技术法律风险的治理，不仅仅要关注技术本身，更要关注技术的运用，不要将思维止步于结果上，要在场景化模式下，对信息的收集及运用进行约束。针对人脸识别技术法律风险的治理，应把握在风险生成、传播和爆发的基础上，从落实法律主体、明确法律责任、完善监管等角度出发，建立系统的治理框架。从人脸识别技术法律风险的基本问题出发，指出人脸识别技术常常因为场景的变化而具有不同的属性。为此，人脸识别技术应采取场景化的治理模式，根据运用人脸识别技术的不同主体、所针对的不同对象，以及人脸识别技术所涉及的不同领域而构建不同类型的治理模式，从而形成完善和可信赖的人脸识别技术。

(一)场景化模式具有可嵌入性

从风险的可治理角度出发，其治理手段应当建立在场景化思维的基础上。以分类场景的原则规制人脸识别技术，提出对用户数据的收集要考虑场景的类型、用户的身份、数据的用途及存储等因素，其治理模式也应当结合不同场景设置不同规则。具体而言，人脸识别技术在运用过程中包含三方主体，即数据产生者(数据主体)—数据收集者—数据运用者，不同的权利主体所代表的权利之平衡，会产生不同的法律风险。人脸识别技术不仅是人工智能时代下的产物，也是高技术的核心，既对经济发展带来变革性的影响，也随之带来一系列的风险问题[20]。因此，人脸识别技术的风险治理不应机械地采取个人信息赋权、信息公开与协同监管框架进行判断，而要以场景化模式作为治理重点，采取技术控制与法律手段的综合治理机制。

在场景化治理模式下，不同主体的治理模式、治理手段及其力度均有所不同，且场景化治理的考量因素也有特定区别。人脸识别技术的法律风险可能会因使用主体、针对的对象、所涉及问题的不同而会有较大的差异。一旦场景不同，运用人脸识别技术的性质就会有所不同，对其所采用的治理模式也应当不同。在场景化治理的模式下，需要考量的因素有：使用主体、针对的客体以及应用场景等。考量因素多种多样，不可机械地采用任何一种治理模式[21]，否则会视为孤立的治理对象，要结合具体场景进行分析。场景化治理的具体手段应当帮助个体或群体作出更为正当合理的决策。场景化治理要求以数据主体的知情同意为核心来构建信息保护制度，将私主体的同意作为与庞大的商业主体或公权力力量抗衡的基础，以获得多数人共识为目标。为提升场景化治理的有效性，还应提高信息公开政策的透明度，让数据主体对信息的收集、存储及运用有准确的了解，以确保司法适用的统一性与协调性。提升透明度既保障了高效的治理，也确保数据主体平等地了解人脸识别技术中的个人权利[22]。同时，要明确技术控制是风险治理机制的重要切入点，要在实现数据保护的前提下，做到数据产业安全稳定的发展[23]。此外，还应关注个人信息安全问题，重点防范关于信息泄露、滥用等风险，将法律作为风险治理机制的重要手段。应以场景化模式作为治理前提，提高数据采集的透明度，构建人脸识别技术应用的治理体系。

(二)场景化模式的嵌入理念

人脸识别技术应当采取场景化的治理模式，根据不同场景类型对人脸识别技术采取分层、分类的治理方式。就运用人脸识别技术的主体而言，当公权力主体作为人脸识别技术的使用者时，人脸识别技术对公共安全是一种保障。如政府机构将人脸识别系统与国家安全系统相连，人脸识别系统不仅可以加快出入场所的速度，也可以帮助对恐怖分子及其犯罪分子进行大范围的检测等等。如果人脸识别技术的使用者是一般企业，则企业成为数据信息的收集者及其保密者，国家机关应当对其加大监管力度，进而保护用户的个人信息。就人脸识别技术所针对的客体而言，若人脸识别技术针对的是具有高度可辨识性的个体，其数据信息的收集与运用都是以识别特定个体为目标，在此种情形下，人脸识别技术的性质就与个人权利密切相关，从个人信息立法的角度进行治理更为合理。尤其在涉及弱势群体保护的情形中，人脸识别技术可能演化成为加剧不公的催化剂。此类情形中，应当对人脸识别技术进行更多的干预，使弱势群体受到合理、公正的对待。但在其他情形中，若数据信息的收集主要是为了分析某种群体或不可直接识别个体的对象从而提供服务，则此类情形中的人脸识别技术和个人信息权利的关系并不密切。此种情形下，加大个体权利的保护力度，可能会影响数据发挥流通性价值与公共性价值。此外，若脱离数据共享，此类个人信息的权利也会影响人脸识别技术本身的有效运行[24]，人脸识别技术和个人信息权利的关系并不密切。此种情形下，加大个体权利的保护力度，可能会影响数据发挥流通性价值与公共性价值。此外，若脱离数据共享，此类个人信息的权利也会影响人脸识别技术本身的有效运行[24]。如若人脸识别技术关联的是纯粹商业化企业，此种情形的人脸识别更类似于数据的统计区分，人脸识别收集信息就更像是一种信息匮乏手段下的信息甄别。

不同的场景模式形成对客观世界的不同映像，不同映像的组合形成不同的治理体系。就使用主体而言，人脸识别技术的使用主体可分为公权力机构、私权利机构及其兼具公私主体特征的机构。面对私人特性的使用者时，要谨慎为之。同时，场景化治理的嵌入理念，不应该一味地追求以人脸信息主体享有的权利为中心，而是各方利益诉求应符合个人信息的整体运用情况[25]；不仅仅要关注信息主体的自由支配权，更要重视社会整体利益的诉求。场景化治理模式的嵌入理念，考量因素包括两方面：一是承载着对个人信息保护的使命，倡导合理运用个人信息；二是在保护个人信息的前提下，要追求多元化的价值诉求。此外，在场景化治理的模式下，政府要平衡好权力与责任间的关系，政府在收集利用个人信息时，要把握好应有的尺度。易言之，场景化治理的考量因素多种多样，不同场景下的考量因素有所相同，要根据具体情况具体分析。

(三)场景化模式的嵌入方略

在场景化治理模式下，针对不同场景类型要做到强化个人信息赋权、增加信息公开的透明性及各部门间做到协同监管。以加强个人信息赋权为治理重点，将法律作为风险治理机制的重要手段；在处理人脸数据时，应公开收集者的权利边界；在人脸数据信息的存储及运用环节，各部门及社会组织应协同监管。同时，不仅要赋予用户进行人脸识别的主要权利，促进以用户为主体的人脸识别技术发展潜能，也要形成法律规制责任主体的倒逼机制，激发用户主体弱保护与科技手段强保护之间的维稳状态。就场景化模式而言，其核心利益是信息保护。人脸信息易被收集，会出现泄露、滥用的情形，如何有效保护个人信息成为关键问题。所以，信息公开的初衷在于防止人脸信息被滥用，更好地规制收集者的权利边界。信息公开可以提高企业及其政府工作的透明度，确保信息可以正确运用。在信息爆炸的时代，大数据将个人信息暴露在无形的网络之中，而场景化治理则恰好针对个人信息的特定保护[26]，在不同网络环境中完成隐私权、人格权的恢复。用户数据收集者、数据使用者、数据处理者以及数据监管者等各方参与主体的权利保障、责任分担，是发挥数据信息价值、合理规避风险的重要前提。丰富协同监管手段，使社会组织为其监管提供有力保障。同时，也要推进各行政部门间信息共享，为各部门间综合监管和联合惩戒提供支撑。

总之，就人脸识别技术风险治理而言，应当建立场景化的思维模式。人脸识别技术并不像一般的有形物或某些无形物，不具有相对稳定的法律属性，并不适用统一的传统法律，比如某些动产或不动产，法律一般对其适用统一的物权、合同法或侵权法[27]。人脸识别技术并不是一种标准化的物，而是一种人工智能下的产物。此外，人脸识别技术的法律属性会因为具体场景的不同而有所不同，人脸识别技术法律风险的治理应建立在场景化的基础上。对于人脸识别技术与未来法治研究而言，应当准确把握人脸识别技术治理的场景化特征与原理，根据不同场景对人脸识别技术进行不同的规制，从而实现可信赖与多元化的人脸识别技术。

四、场景化治理路径：一种混合规制模式设计

人脸识别技术是社会经济发展中技术推动而形成的新型生物识别技术，它有许多优势，发展不容小觑，然而其缺陷也不可忽视，应当选择适当的场景化治理模式方可扬长避短，促进其健康有序的发展。近年来，人脸识别技术随着社会发展不断更新，公权力主体也一直在尽力寻求有效的治理模式。行政机关针对可能涉及国家、社会安全及经济安全领域的人脸识别技术运用，设立专门的审查、审判制度，同时在场景化治理模式下，将个人赋权、信息公开与协同监管结合称为“混合模式”。其实，该“混合模式”并不是一种新的治理模式，它只是越来越多地用来实现治理目标的一种工具。该“混合模式”既可以节约治理成本，又可提高治理效率，也可确保政府面对一些极端问题作出及时有效的反应。

(一)个人赋权的场景化塑造

在场景化治理模式下，为保护人脸信息，应落实数据主体责任，加强个人信息赋权。如果法律更好地保护个人信息的合法权益，必然会调动广大用户的积极性，大大提高人脸识别效率。加强个人信息赋权最重要的目标是明确划分收集者的权利边界，从用户—数据的角度出发对人脸识别技术进行法律规制。加强防范人脸信息的滥用，尤其应警惕收集者的处理行为给用户带来的损害或负面影响，降低人脸信息损害至用户可接受的合理程度即为个人信息保护的目标。规范人脸识别技术第一步应是明确收集者在人脸识别技术运用中的边界，确保人脸识别技术得到正确运用。更为重要的是，在场景化治理模式下，人脸信息保护的边界并非固定、僵化的，而是主观的、动态的，并受多种因素影响，人脸信息的合理使用，在不同场合均有所不同。大数据时代，人脸信息的使用场景纷繁复杂，要加强个人赋权，更要提倡以用户为中心、结果为导向的思路。

为解决用户个人信息受到损害的问题，我们需要加强个人信息赋权。要以法律保护规则为指导，结合成熟的行业规则，构建完善的个人信息赋权责任体系。《规定》第2条的内容为场景化塑造提供了路径，包括了违法使用人脸识别技术进行人脸验证、辨识或者分析，未公开处理人脸信息的规则，未明示处理的目的、方式、范围等内容。在此场景化视角下解释立法，落实数据主体的知情权、同意权、更正权及删除权在内的权利，以强制规范明确其利害关系，通过侵权责任的落实来设计数据主体受到损害后的救济途径等内容。为了数据更好地流转及实现其价值，还应在法条中构建数据使用方的权利保障条款，明确对数据收集者及利用者的安全保障措施。同时，要求其接受政府及社会监督，避免其利用优势地位对用户的权益进行侵害，保障用户应有的权利。根据现有规范的解释研究，也是另一条可探索的信息保护法律规制的道路。通过新增有关人脸信息的解释，严格收集主体信息公开的义务，落实保障知情权、同意权以及豁免权等，从而达到提高对个人信息的使用效率、落实数据主体责任的目的。无论采用何种方式，均应在加强个人信息赋权的责任中，探寻互利共赢的平衡点。

(二)信息公开的场景化塑造

信息公开有助于促进数据主体作出正确选择。信息公开要求收集主体在交易前向数据主体公开收集范围、方式、信息用途等必要内容。信息公开应是一个完整的交易过程，真实、全面地反映人脸信息被收集、运用、存储的各个环节，从而使数据主体更好地作出知情选择。同时，要最大限度地保障不同数据主体的核心诉求，使数据主体在被收集时即对交易过程作出较为准确的判断。但在大多数情形下，尤其在商业领域，数据主体往往必须先做出选择，才可以接受后续服务。对人脸识别技术针对的用户及社会公众而言，最为重要的是用户知情权的保障，使用户有机会知晓或同意信息运转流程、信息收集的利害结果，以及相关影响的处理。收集信息的主体也可以通过不断的信息反馈建立信任机制，使用户主体更放心、更安全地完成交易活动。为防止收集主体对个人信息的过度使用，知情是信息处理的正当性基础。此外，欺诈行为的基础都来源于信息不对称，无论是不法企业恶意收集信息，还是政府机构滥用信息，信息公开都会减少信息不对称的出现，从而极大地保障用户合法权益。将信息公开不仅会促进数据主体作出更正确的选择，也是充分保护用户知情权的最好体现。

保护用户的知情权是数据主体对数据进行自治的重要手段。人脸信息属于个人敏感信息，收集、存储及运用需经过信息主体的明确知情且同意。在对用户进行人脸信息收集前，要准确告知该信息的使用方向、信息存储地点以及信息使用后作何处理等关键信息。一方面，尽管用户的知情权是保护个人信息的基础，但面对复杂和专业性很强的隐私条款时，用户的“知情”往往会变得很被动。另一方面，由于信息不对称，数据主体通常很难理解数据收集、存储及运用的范围，也更难以预估其潜在的危险。同时要明确，尽管商业主体的主动信息披露是保障用户知情权的基础，用户能否仔细阅读收集信息主体主动公开的内容，能否及时了解授权的使用范围，这些问题并不是收集信息主体进行信息公开就可解决的，还需要其他因素共同作用[28]。知情权来源于宪法权益，而这种宪法权益集中体现在《网络安全法》，强化了用户权利的具体范围。《网络安全法》第22条规定，如若网络服务提供者发现风险，有及时告知用户的法定义务，且用户对数据的控制权和其他合法权益都是建立在用户知情权的基础上。但《网络安全法》对用户知情权的规定仍不够全面、具体，需要构建用户知情权的制度体系。当前，用户知情权最大的困境来源于对用户知情权的保护与商业主体对人脸信息便捷利用的市场需求间的冲突[29]。政府部门对用户人脸信息的保护，秉持知情同意的原则，商业主体在收集信息前履行告知义务。在此基础上，政府仅仅是规定了需要告知的义务，并没有明确规定必须以怎样的方式告知、通过什么样的流程告知。因此，还需要构建用户知情权制度体系，从而更好地落实信息公开。

(三)协同监管的场景化塑造

为加强个人信息保护的法治环境，协调各方资源，构建以政府监管、行业自律及社会监管为一体的协同监管机制成为了新的话题。从协同监管的制度构建角度出发，其主旨在于保护用户个人信息，以及帮助商业主体更便捷地获取个人信息，而非让个人信息被随意收集或交易。针对人脸识别技术的法律风险等问题，不应一味采用机械的监管机制，应当着力于建设动态、互动、协作的监管机制，确保规范适用的统一和高效。在监管中要加强政府、行业协会及社会组织间的信息交流与共享，为商业主体提供合规合法的指引，做好事前预防、事后监管的衔接，使商业主体自觉遵守法律法规。网络舆论也可以为政府监管、行业自律规范提供监管方向，使其执法时更有效率。同时，监管机关要加强监管人员素质培养，定期进行专项训练，保证执法过程的公平公正。基于人脸识别技术在运用过程中具有多变性，且人脸识别给商业主体带来的高额利润等多种因素考量，应该更加严格要求其监管机构。总之，要从政府监管、行业自律及社会监管的协同监管模式出发，及时捕捉对个人信息过度收集和滥用的行为，依法严厉打击利用个人信息的违法犯罪行为。

人脸识别技术在应用的过程中会产生较多的未知风险，应当在场景化治理模式下采用协同监管。要构建协同监管模式，合理划分界限，提高监管效率。在政府监管的过程中，容易出现监管主体不明确、多头执法导致监管虚化，人脸识别技术的监管领域出现真空地带。因此，要加强监管、强化责任落实，明确监管主体与监管责任范围。政府的监管部门应当根据备案登记材料进行合理的风险判断，对收集主体的收集目的、储存方式、使用范围以及事后信息的消除方式等方面进行风险预估。同时，为了节约政府资源，对收集人脸信息最有效的监管是加强行业自律。即使法律规定和政府监管是治理人脸识别技术的有效手段，但数据治理仍考验着商业主体的能动性。加强自律规范，有利于降低政府监督的成本，节约资源。行业自律规范是约束行业自身行为的内生机制，从运用程度来讲，更具针对性、灵活性与便捷性。行业自律规范不同于企业内部的自身约束条款，自律规范针对的是整个行业而设定的统一标准，规定了商业主体收集人脸信息的限度，约束范围更广。建立行业自律规范[30]，不仅可以在人脸信息的收集时加以规制，也可以在人脸信息的使用和处理时加以规范；既可针对在不同领域中对人脸识别技术的运用规定不同标准，也可进行宏观的统一规范。

在协同监管的模式下，也应为数据主体提供社会监督投诉的渠道，对数据主体的建议及时接受和反馈。要与利用人脸识别技术的社会组织进行沟通交流，构建适用于人脸识别技术行业的准用规则和否定机制。加强社会监管是实现对收集人脸信息有效监管的现实基础。应当加强网络舆论监督，及时捕捉、判断有关个人信息的违法活动及非法收集、泄露个人信息的行为，以便消除隐患。同时，对恶意收集个人信息进行举报的社会群众，采取奖金机制，支持新闻媒体、社会大众对个人信息保护进行监督。此外，要以群众监督为基础，建立预防思维，自觉树立个人信息保护和自我防范意识[31]。随着个人信息的敏感度逐渐提高，公民自身要了解人脸识别技术并对其带来的风险加强预防意识，并不断提高自我保护能力。总之，大数据时代构建个人信息场景化治理，应该最大限度地加强社会监管，建立多元化的监管机制。

五、结语

大数据快速发展的时代，人脸识别技术已经逐渐成为社会焦点，以人脸识别技术为代表的新兴技术也已经成为政府和商业主体收集信息不可或缺的手段。利用人脸识别技术可以快速地进行身份识别，提高效率与准确率。但是任何事物都具有两面性，人脸识别技术广泛运用对我国传统个人信息保护体系带来冲击，面对人脸信息出现泄漏与滥用的情形，应当对人脸识别技术的应用进行场景化治理。因此，构建个人信息保护的相应制度愈发重要。在技术便利与个人信息得到保护的双重条件下，要完善个人信息保护的法律体系，加强行业自律机制，落实数据主体责任，利用政府、社会监管以及行业自律的协同监管模式，平衡数据利用主体和提供主体二者之间的关系，为经济贸易往来带来便利的同时避免风险的发生。