《民法典》视野下人脸识别信息的二元保护探究*

● 康 铭，李 勃

（1.温州大学法学院，浙江 温州 325035；2.温州大学公益慈善文化中心，浙江 温州 325035）

在大数据、人工智能技术的带动下，关于人脸信息的获取、搜集、储存技术日益成熟，人脸识别技术的应用场景和领域不断扩展，已经涵盖至银行、支付、不动产登记、公安系统罪犯身份识别等行业。但随着杭州野生动物世界“人脸识别第一案”①郭兵与杭州野生动物世界服务合同纠纷案，参见浙江省杭州市中级人民法院（2020）浙01民终10940号民事判决书。的宣判，人们越来越意识到人脸识别信息保护的重要性，并引发了对人脸识别技术潜在隐患的担忧。2021年全国“两会”期间，曾有代表提及人脸识别技术的安全问题[1]；科勒卫浴、宝马4S等门店安装摄像头并抓取顾客的面部特征信息，通过分析顾客性别、年龄、购买意向等信息以达到精准营销的目的，引起了社会的强烈反响②科勒卫浴、宝马4S店等因偷采人脸信息被查。参见https://3g.163.com/dy/article/G598HOL405129QAF.html，2022年1月15日访问。；北京地铁“采用人脸识别技术对乘客实施分类安检以提高乘客通行效率”③劳东燕对此强烈反对，并指出“对于随意运用人脸识别技术的做法进行法律上的规制”。参见“劳东燕：人脸识别技术运用中的法律隐忧”，https://mp.weixin.qq.com/s/IW-3BtUN91_Jn3CK90vcXw，2022年6月30日访问。引发热议。如何妥当、周全地保护自然人的人脸识别信息免受非法利用已成为学界的热点问题。

《民法典》人格权编确立了个人隐私权和个人信息的二元保护模式，并在第1034条将个人信息中的“私密信息”适用隐私权保护模式。人脸识别信息的人格权益属性显而易见，但该项人格权益的内涵与外延、实现方式等具体内容却无从寻之[2]。也就是说，人脸识别信息是否属于《民法典》第1034条所述的“私密信息”，能否适用关于隐私权的保护方式有待进一步讨论：人脸识别信息应适用个人信息保护模式抑或隐私权的保护模式？该疑问产生的原因是人脸识别信息的特殊性以及私密信息的不确定性。这并非是仅停留于想象层面的假想命题，毕竟“个人信息及隐私应当二分，二者的救济方法不同”[3]。目前理论界和实务界对该问题的看法莫衷一是。《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（以下简称《人脸识别规定》）只是将人脸识别信息定位为《民法典》第1034条中“生物识别信息”，没有明确规定人脸识别信息是否属于“私密信息”。学者们对人脸识别信息保护方式亦存在争议，有观点认为人脸识别信息属于个人信息而非隐私，应当按照个人信息的保护模式对其进行保护①学者高仲劭认为，应秉承“原则禁止、例外允许”的处理原则和严格的告知同意规则。参见高仲劭：《人脸识别信息处理行为的法律规制》，载《学习论坛》2022年第1期，第130-136页。与之类似，有学者认为人脸识别信息属于“敏感但不隐私”的信息，并主张人脸识别中个人信息处理原则应当从严适用。参见潘林青：《我国个人敏感信息的界分基础及其立法表达——兼评＜民法典(草案)＞第一千零三十四条》，载《北京邮电大学学报(社会科学版)》2020年第2期，第30-39页。有学者认为，面部特征信息属于个人敏感信息，应完善“通知义务”和“同意机制”、明确搜集处理面部信息的条件、规定面部特征信息等生物识别信息的控制者负有信息匿名化处理的义务。还有类似观点认为，人脸图像作为个人暴露在公众面前的外表化生物特征，本身就是公民个人主动默认对公众公开、为公众所知悉的个人信息，不属于隐私权对于主体私人信息的保护范畴之内。参见“中央网信办开展面部特征信息收集专项整治 人脸信息是‘隐私’吗？”，http://www.iewzx.com/zixun/yaowen/2020/0811/54422.html，2021年5月21日访问。也有学者认为，人脸图像作为个人暴露在公众面前的外在化的生物特征，本身就是公民个人出于社会交往的需求主动向社会公开的、为公众所知悉的个人信息，不属于隐私权对于主体私人信息的保护范畴。参见刘军平、杨芷晴：《人脸识别数据保护困境及其法律应对》，载《科技与法律(中英文)》2021年第6期，第19页。；与之相反，有学者认为人脸识别正是“隐私信息化”的表现，并提出处理隐私信息的八个原则②王俊秀：《数字社会中的隐私重塑——以“人脸识别”为例》，载《探索与争鸣》2020年第2期，第86-90页。与之类似，有观点将人脸识别信息定性为“信息隐私权”，通过建立统一的法律规范体系、政府主导的多重治理模式、塑造“数字人权”正义观完善我国人脸识别技术的法律规制。参见余圣琪：《人脸识别技术的风险与法律规制》，载《上海法学研究》2020年第2期，第1-13页。有观点认为，人脸识别技术会引发大量的隐私侵权纠纷，严重影响隐私安全，应当从规则完善、健全行业自律机制、勾勒人脸识别企业的合规方案等方面完善对人脸识别信息的保护。参见蒋洁：《人脸识别技术应用的侵权风险与控制策略》，载《图书与情报》2019年第5期，第58-64页。还有学者认为，人脸识别技术将侵犯到个人隐私权，而且会产生对人身、财产上的担忧，应当同时构建个人信息保护以及隐私权保护的模式。参见石佳友、刘思齐：《人脸识别技术中的个人信息保护——兼论动态同意模式的建构》，载《财经法学》2021年第2期，第60-78页。。

因此，有必要根据人脸识别信息不同的利用场景对其进行类型化处理，讨论不同场景下人脸识别信息的保护路径。具体而言，先根据人脸识别信息的特征以及人脸识别技术的不同利用场景对人脸识别信息的性质进行类型化处理，然后根据不同的类型探究人脸识别信息的具体属性以及保护路径。

一、人脸识别技术的原理

目前学界普遍将人脸识别技术界定为认证、识别身份的生物识别技术，通过“与计算机连接的摄像头动态捕捉人的面部，利用面部器官的特征和它们之间的几何关系（比如眼睛、鼻子、嘴巴的位置以及它们的相对位置），将捕捉的人脸与预先录入在人脸数据库中的人脸进行对比，从而得出识别结果”[4]。人脸识别包括人脸图像获取、人脸信息分割、面部特征提取以及人脸判定几个步骤，其中关键的步骤在于面部特征提取以及人脸判定。

在面部特征提取过程中，系统会根据人脸的形状轮廓，眼睛、鼻子、下巴、嘴等的形状以及局部之间的相对距离、结构关系的几何描述形成人脸识别的重要特征，即几何特征。随后，计算机将这些几何特征数字化，转化为独一无二的代码，从而为每一张人脸形成一个特制的“印章”，作为面部特征的信息数据。因此人脸识别算法提取的“人脸特征向量数据”不同于人的原始图片，而是“经过人脸检测、特征提取过程后形成的信息”[1]。

人脸判定是指提取的人脸图像的特征数据与数据库中存储的特征模板进行搜索匹配，根据相似度对人脸的身份进行判断。有学者将这一“身份判断”又分为“1对 1”和“1对 N”两种情形，进一步细化该项技术的内在结构。所谓“1对1”的人脸验证，是指通过比较被识别对象的人脸信息和库存模板中的人脸信息[5]，以判定两张人脸是否属于同一人，即验证“你是你”，其广泛应用于微信、支付宝的购物支付程序、智能门禁的刷脸认证程序等。而“1对N”的人脸识别，则是指通过对比被识别对象的脸部信息与数据库中存储的多个模板信息来辨识身份[5]，即验证“你是谁”，其广泛应用于安防检查、疑犯追踪、照片自动圈人等领域。

二、人脸识别信息的类型化

《民法典》采取的是个人信息和隐私分开的“二元化”立法模式：第一，隐私权是一项独立的权利，而个人信息是一项人格利益。尽管《民法典》在总则编将“个人信息”规定在第五章“民事权利”中，并且将具体的个人信息条款规定在人格权编第六章“隐私权和个人信息保护”之中，这似乎表明个人信息是一项独立的权利。但按照我国关于人格权的一般法理，“人格权立法应适用法定主义”[6]。在早期没有明确“隐私权”时，我们只是把它定为“隐私利益”，后来将其从民事权益的保护逐步上升为隐私权的保护，才有了“隐私权”这一具体人格权[7]。《民法典》第110条明确列举了9项具体人格权，却将个人信息单独规定在第111条；同时，《民法典》界定了“隐私权”的内涵和外延，但没有采用“个人信息权”的表述。因此，个人信息只是一项人格利益。对权利和权益的保护程度不可混为一谈，对权利的保护程度高于权益。第二，《民法典》第1034条中规定了“隐私性信息优先使用隐私权保护”的规定，等于将隐私权法律规定整体构架于个人信息保护法律规定之上并优先适用[8]。之所以如此，是因为不同于传统的个人信息，“私密信息”突出该信息的“私密性”，其与隐私挂钩，“私密性”越强意味着需要通过隐私权进行保护的必要性就越高。法律通过隐私权的方式对其进行保护，体现了《民法典》对人格尊严的尊重和重视。是故，当信息处理过程中触及隐私权等人格性利益，“应该依据隐私权优先给予保护，其中主要涉及与人格相关的救济”[9]。个人的隐私往往与公共利益无涉，隐私权制度的重心在于防范个人秘密被非法披露，并不在于保护这种秘密的控制与利用；个人信息权利保护的重心则更多体现在保护信息权利主体对个人信息的控制以及其他主体对该信息利用的正当性。由此可见，这种“划分了隐私权和个人信息的界限并且确立了不同的保护模式”的做法值得肯定，对隐私的保护程度与信息的保护模式和程度有所区别，将二者区分保护是必要的。

问题是在何种情况下需要通过隐私权对人脸识别信息提供保护和救济，何种情况下需要通过个人信息权对人脸识别信息提供保护和救济。这就需要对人脸识别信息进行类型化处理，分析不同情形下人脸识别技术的法律规制，进而展开对人脸识别信息保护的探讨。人脸识别信息的法律属性应当在具体的场景中分别认定，可以在场景化模式下讨论人脸识别信息的具体属性，“从人脸识别技术法律风险的基本问题出发，指出人脸识别技术常常因为场景的变化而具有不同的属性，为此，人脸识别技术应采取场景化的治理模式，根据运用人脸识别技术的不同主体、针对的不同对象，以及人脸识别技术所涉及的不同领域而构建不同类型的治理模式”[10]。运用该技术的主体以及该技术所针对的客体出发，根据不同的场景类型对人脸识别技术进行分层、分类的治理方式[10]。正如有学者提出：“对于人脸信息用于监控目的与用于验证目的，其规制方法也可能不尽相同。”[11]

对场景的分类可以从两个角度分析：人脸识别技术应用的目的以及人脸识别技术的阶段。前文已述，人脸识别的流程大致包括采集信息、比对信息以及输出结果三个阶段。三个阶段处理的信息种类不尽相同，比如人脸识别信息的采集阶段处理的主要是“人脸”；而比对信息阶段可能涉及到自然人其他信息的加工和关联，其中最核心的是将提取的人脸图像的特征数据与数据库中存储的特征模板进行搜索匹配，根据相似度对人脸的身份进行认证或者与信息主体的其他信息相互关联或匹配。这与前文提及的“1对1”情形和“1对N”情形相对应。鉴于二者的原理以及对人脸识别信息的利用方式不尽相同，可以此为类型化的切入点，讨论“1对1”和“1对N”情形下人脸识别信息的具体属性。

在“1对1”情形下，系统只需要将自然人面部特征提取出来转换成代码并和系统内预先储存的“面部特征代码”进行比对，在一定容错率范围内即可识别成功。该模式下“无需比对自然人的姓名、住址、电话等具体身份信息”[2]，也不涉及自然人在公共场合被人认出的可能。这里的人脸识别信息更像是一种“密码”，只需要进行简单的比对就可以输出识别结果。而在“1对N”情形下，人脸识别系统会“通过大量的人脸数据录入形成深度学习训练集合来完成特定自然人的精准定位”[2]，人脸识别信息处理者会将自然人的面部特征信息与其他信息进行比对，因为在此情形下，人脸识别信息处理者的目的在于鉴定他人的身份，要么通过面部特征信息和其他信息相关联进行数据分析。例如沃尔玛超市正在开发能够检测识别顾客面部表情的人脸识别信息系统，通过摄像机记录下顾客从排队到结账过程的面部表情和体态动作，以此评估和解决顾客对服务的不满[12]；又如通过自然人的面部特征信息与其行动轨迹关联，分析出该自然人的生活习惯甚至爱好等私密信息；再如多地利用人脸识别技术，通过摄像头拍摄闯红灯的行人①对于闯红灯的行人，通过智慧城市综合指挥平台会自动将这个“人脸投屏红绿灯系统”抓取到的人脸，与人口库信息比对，通过手机短信推送信息给违规闯红灯人员。参见https://mp.weixin.qq.com/s/0U-TwzS6NI0rRp_7TLve9g，2022年6月17日访问。，然后提取其面部特征信息，并且与数据库中的其他信息匹配，进而确定违章者的身份并予以曝光和惩治。无论哪种情况，都会涉及到大量的人脸数据并且直接关涉到自然人的年龄、健康状况、运动轨迹、情绪波动甚至是生活习惯等个人私密信息。此时，该系统的识别过程既涉及特定自然人的面部特征识别，又涉及与特定自然人其他身份信息的关联和比对。由此可见，“1对1”情形和“1对N”情形下人脸识别系统对自然人面部信息的要求和利用方式不同，可以此为切入点讨论不同模式下人脸识别信息的保护模式。值得一提的是，有些场合表面上看起来是“1对1”情形，实际上人脸识别信息的采集者将自然人的面部特征信息进行了与其他信息的匹配，此时应当按照“1对N”情形处理。

三、“1对1”情形下人脸识别信息的保护

（一）“1对1”情形下人脸识别信息的法律属性

“1对1”情形下人脸识别信息的隐私权属性较弱，个人信息的属性较强。其原因主要有两点：

第一，“1对1”情形只涉及自然人身份的确认，不涉及自然人身份的识别。如前所述，该模式下人脸识别技术的作用原理在于将人脸转化为数字代码并且与已经存储的代码进行比对，在一定容错率范围内就可以识别成功。该情形下的人脸识别信息相当于一种“数字密码”，人脸识别系统的作用就是判断采集的人脸与系统内的“数字人脸”是否能匹配，并不涉及到人脸识别信息主体的其他信息。由于人脸识别信息是将面部特征通过计算机算法生成的数据而不是自然人的原始照片，这种识别体现在机器的识别而非自然人的识别，自然人无法通过面部数据定位特定自然人的身份，故该面部特征信息也无法用作“换脸”。再者，一个人脸识别系统的特征向量数据放到另一个人脸识别系统里一般是不可用的，并且无法通过人脸特征数据回溯人脸图像数据。因此，“1对1”情形下基本不涉及个人隐私，发生隐私泄露的可能性较小。

第二，“1对1”情形下人脸识别信息的个人信息属性体现在信息主体对其面部特征信息的利用。对个人信息保护的目的并非“排除一切人对个人信息的使用”，亦不能过多地限制信息主体对个人信息的利用。这是因为在正常的社会生活中我们总是需要个人的姓名、性别、爱好等，人的本质属性是社会属性，如果每个人都把自己完全封闭，形成一个孤岛，就不可能成为一个正常的社会人。个人信息发挥自身作用的空间就是信息主体与外界的交互过程，信息主体的权益在于依循自身的意愿对个人信息进行合理利用，以便在社会交往过程中占据一个有利的地位[13]。比如小区业主可能会为了方便通行愿意物业搜集自己的面部特征信息。这就意味着自然人可对其个人信息进行自由支配和利用，以发挥该信息的经济价值和社会价值，而法律只是确保“对他人信息的正当搜集、使用、存储”（即强调正当性）以及个人信息主体对其信息的自主控制。总之，在个人信息处理而形成的法律关系中，个人信息权利主体有利用或者不利用自己信息的自由（privilege），有权主张（claim）自己的信息不被非法收集、泄露、买卖或利用，其他任何主体不得非法干涉其使用，也不得非法搜集、使用、储存该信息（duty）。

（二）“1对1”情形下人脸识别信息的保护方式

该模式下人脸识别信息的个人信息属性较强，对人脸识别技术规制的重点应该是明确人脸识别技术运用的边界、信息主体的权利边界，即信息搜集者对信息价值的最大化利用与信息主体对自身面部信息享有权利之间的平衡。因此，“1对1”情形下人脸识别信息的处理应当遵循单独同意、自主控制权、提高安全性原则。

单独同意原则，首先要求人脸识别信息处理主体要充分告知信息主体人脸识别信息对个人权益产生的具体影响，使其充分理解授权的后果，从而理性地作出是否授权的决定。其次要避免信息主体概括式的、“一揽子”式的同意，需要其逐项同意、逐项授权。《人脸识别规定》第4条明确规定不得以人脸识别信息主体拒绝授权作为不提供服务的抗辩，除非该信息是提供的服务所必需。这也进一步明确了人脸识别信息处理主体不能再以缺乏“一揽子”式的概括授权为由拒绝提供服务。当然，单独同意并不要求人脸识别信息主体明确授权，即信息主体可以通过默示、推定的方式做出授权同意的意思表示。

人脸识别信息主体对其面部识别信息享有自主的控制权。在我国“隐私权和个人信息保护二分”的模式下，个人信息保护脱离于隐私权，承认个人信息的经济价值，保障个人信息的“经济价值流动，促进个人信息有序自由流动以及合理使用”[14]。个人信息的财产属性体现在个人信息主体利用其信息来谋取经济利益或者交易以满足物质、精神上的需求。问题在于，个人信息主体做出的“同意处理信息”属于个人信息的许可还是转让？人脸识别信息主体做出的“同意处理”应当理解为“许可”，而非“信息的转让”；而且这种“许可”应该理解为“效力最弱的许可”[15]。许可人（人脸识别信息主体）可以随时撤销许可，被许可人（人脸识别信息处理者）仅仅获得一项“可以按照许可的内容使用人脸识别信息”的“自由（privilege）”①这里的“自由（privilege）”不同于liberty。前者是对人脸识别信息处理者“不得擅自使用他人信息”义务的排除，但不享有排除他人干预的权利；后者则包含排除他人干预的权利。参见王涌：《私权的分析与建构：民法的分析法学基础》，北京大学出版社2020年版，第78-80页。。原因在于，个人信息主体在允许他人使用信息之后并未像转让物权那样“出局”，个人信息主体对于其授权的主体依然对该信息享有权利。为此，人脸识别信息主体应当享有更正权、删除权、访问权、查阅复制权等权利[16]以实现对自己面部特征信息的“自主控制”。欧盟的《一般数据保护条例》（GDPR）第7.3条规定了数据主体有权随时撤回其同意，并要求撤回同意应当和表达同意一样简单。与之类似，我国十家网站签署倡议书，允许网络用户撤销被信息控制人控制的部分信息授权，还可以限制或者禁止网络经营者在未来对网络用户信息的使用②2017年9月，十家互联网企业联合签署了个人信息保护倡议书。微信、淘宝网、支付宝、滴滴出行、京东商城这五款产品及服务提供了更便利的在线“一站式”撤回和关闭授权，在线访问、更正、删除其个人信息，在线注销账户等功能。。

有观点可能认为，经营者有时会以免费交付商品的模式换取用户的某些个人信息(如手机号码及姓名等)，此时经营者交付商品的行为则视为对于获取用户个人信息所支付的对价。此时的用户若要求撤回同意授权或要求信息控制者删除所获得的用户个人信息则会受到一定的限制。但该观点是值得商榷的。前文已述，个人信息主体允许他人使用自己的信息，这种行为并非将个人信息转让，而是许可他人使用。既然是“许可”，就意味着个人信息主体依然享有处理自己信息的最终权利，这种权利“不仅忠于个人信息权利的人格权属性，是个人人格利益的重要组成部分”[17]，出于“维护数据主体的个人信息自决权，避免个人尊严和行动自由受到之前同意表示的拘束，进而妨碍其人格的自由塑造”[18]的考虑，该权利不应遭受不合理的限制。故这里的“对价”针对的是个人信息处理者“获得许可”，本身不影响信息权利主体对信息的处理。若信息主体撤回了许可，其享有的信息处理者的“赠送”亦无法律上的依据，构成不当得利。基于此，个人信息主体的“同意授权”并非转让个人信息，这种“许可行为”只产生债权效力，无排他之效力。需要注意的是，当人脸识别技术应用涉及公共利益或者是执行公共事务所必须时，个人请求删除其人脸识别信息的权利将受到限制。

“1对1”情形下的人脸识别技术可能存在两种风险。第一，作为密码的人脸信息容易被破解。相比于《个人信息保护法》中列举的其他个人敏感信息，人脸识别信息具有特殊性。这种特殊性不仅体现在该信息可以直接表征和彰显个人身份的特质，蕴含重要的人格利益；更体现在人脸信息具有难以更改和容易获得的特性。作为“生物密码”的人脸信息不同于指纹信息那般具有隐秘性，这就意味着其更容易被“偷窃”，比如有不法分子利用3D人脸破解了支付宝的刷脸系统[1]。同时，人脸识别信息不同于其他数字密码那般容易更改，这意味着面部特征信息被仿造后，人脸识别信息主体不能通过“更改密码”的方式止损。第二，实务中人脸识别信息数据库往往包含大量的人脸信息样本，其中既存有人脸识别信息的数字代码，又包含清晰的人脸图像③比如Multi-Task Facial Landmark(MTFL)dataset数据库中就包含近13000张来自网络的人脸照片，Labeled Faces in the Wild Home(LFW)数据库中包含约1680个人脸图像，CASIA-FaceV5数据库包含2500多张亚洲人脸图。；人脸识别数据库泄露的新闻屡见不鲜[19]。对此，面对海量人脸信息存储，需要重视人脸识别技术中“仿造人脸”进行密码破解的安全问题以及信息存储安全问题。首先，就信息的储存主体而言，国家应当采取更高门槛的准入原则。对于涉及人脸识别信息储存的业务需要经过严格的审核，一方面要考虑不同场景对安全等级的要求，建立相应的识别精准度评估，确保人脸识别技术的精准度符合相应的场景安全要求；另一方面要审核人脸识别信息储存者是否具备足够的能力和资质保护信息安全，以防止该信息被他人盗取或者泄露。其次，人脸识别信息的储存主体应当对该信息进行加密、假名或者随机化处理，减弱该信息的标识性，并且在完成识别后及时删除原始的人脸照片数据。最后，信息储存、处理者应当遵循传输限制原则。该原则要求不得任意向第三方传输个人面部识别信息[20]，这也符合“人脸识别信息主体对其信息享有自主控制权”的理念。

四、“1对N”情形下人脸识别信息的保护

在“1对N”情形下，人脸识别信息兼具有个人隐私和个人信息的属性。人脸识别信息的隐私权属性较强，但如果该信息已经被采集，其隐私权属性逐渐消减，取而代之的是个人信息属性的增强。

（一）采集阶段：人脸识别信息的隐私权保护

1.人脸识别信息的隐私权属性

“1对N”情形下的人脸识别信息具有隐私权的属性。这是因为：

第一，不同于人脸信息，人脸识别信息通常涉及到公民的个人的隐私。前者范围更广，除了涉及人脸识别信息外，还包括以其他方式呈现出来的面部信息，如通过非电子方式呈现出面部信息的纸质照片[21]。对于该纸质照片，未经肖像主体同意使用、复制或者将其作为营业广告，会构成对肖像权甚至名誉权的侵害[22]。与自然人的纸质照片不同，人脸识别信息是自然人“面部特征信息的数字化”，具有私人性和非公开性，是与公共利益无涉的私人信息，具有个人隐私的属性。

第二，自然人隐私权的含义之一是“隐藏自己的身份”，人脸识别信息的泄露容易侵害自然人的隐私权。通常认为，“隐私是不受他人干扰的权利”。但实际上，隐私权还包含四种面向，即离群独处、亲密交往、隐藏身份和留有余地①WESTIN:A F.Privacy and Freedom[M].NewYork:Atheneum,1968.转引自潘林青：《面部特征信息法律保护的技术诱因、理论基础及其规范构造》，载《西北民族大学学报(哲学社会科学版)》2020年第6期，第78页。。其中隐藏身份是指自然人主体享有不被他人识别身份以及不被监视的自由，包括自己划定一个私密的空间、保护自己的私密事务不受公众注意以及能够暂时避开世人的批评，即使在公共场所，其也应当享有从社群中暂时抽离，获得片刻的安宁的权利[23]。正如有学者提出的“公共场所隐私权理论”，即使在公共场所中亦存在重要的隐私权益②关于公共场所隐私权理论，参见海伦·尼森鲍姆：《信息时代的公共场所隐私权》，凌玲译，载于张民安主编《公共场所隐私权研究——公共场所隐私权理论的产生、发展、确立、争议和具体适用》，中山大学出版社2016年版，第57-88页；参见N.A.莫寒：《关于公共场所隐私权研究》，敬罗晖译，载于张民安主编《公共场所隐私权研究——公共场所隐私权理论的产生、发展、确立、争议和具体适用》，中山大学出版社2016年版，第140-143页。。这源于一种“公众匿名权”。公众匿名权能为个人提供一种安全保证。即使在公众场合，一个人也应当是无名的、未被标记的，于群体之中难以与其他个人相区分。换言之，当个人在公共场所或执行公共行为时，仍然寻求不受身份识别和监视的自由[24]。隐私权正是为人们创造了这么一个“安全天堂”。在这里，人们可以掌控自己的生活，免受别人的监控和非难，避免成为他人的傀儡。尽管我们的脸不具有隐蔽性，总是暴露在大众的视野中，但这一般不会引起我们的担忧，因为大多数人无法辨识我们的身份。换言之，我们并不会担忧自己的脸被别人看到，而是担心自己的脸被素不相识的陌生人认出，从而会引发对个人私生活的困扰。如果在公共场合被一个完全陌生的人知道了自己的姓名，一般人都会感觉不舒服。在纷繁复杂的社会中，每个自然人都希望能独享一份静谧，远离世俗的喧嚣，守住内心安宁的净土。即使是在公共场合，自然人主体依然具有“不被他人注意、身份不被他人识别”的合理预期。这种对隐私的合理期待应当得到尊重，是自然人主体应当享有的人格尊严。但人脸识别技术中身份认证和身份识别功能都在挑战甚至是侵害个人隐藏身份的隐私权利[25]。原因在于，其一，人脸识别信息主体的面部特征信息被录入系统中后会被长期保存，由于人脸识别允许存在一定的容错率，系统不会因为面部特征发生的细微变化而无法识别。这就意味着除非人脸识别信息处理者将该面部特征信息删除，该信息将会永远被“记住”，长此以往可能会给信息主体造成困扰。毕竟在现实社会中人们的记忆力总是有限的，随着时间的流逝逐渐形成“以忘却为原则，以记忆为例外”的模式[26]。然而在人脸识别系统中，尤其是在“1对N”的模式下，人脸识别信息主体的行为踪迹、兴趣爱好等都会在数据库中留下长久的痕迹，出现“以记忆为原则”的情形，这容易成为自然人人格权发展的阻碍。其二，在“1对N”的情形下，人脸识别信息总是与该自然人主体的其他信息相结合，进而确定被识别人的身份。这就需要涉及对自然人其他信息的处理和分析，进而可能导致个人隐私的泄露。在大数据技术的推动下，通过人脸识别出的面部信息可以和其他信息相互关联，对数据主体的个人碎片化数据进行整合，逐渐形成对人精准的“人格画像”，进而分析出自然人主体的兴趣爱好、家庭住址、交往圈子、活动轨迹等较为私密的信息①通过人脸识别技术，除了可以获取人脸信息这一生物特征之外，甚至还可能获得位置信息、轨迹信息等。参见邢会强：《人脸识别的法律规制》，载《比较法研究》2020年第5期，第52页。，使人成为“互联网上的裸人”。而基于人脸识别数据的生物特征不可再生性，“人脸密码”是无法更改的，一旦人脸识别数据被恶意泄露，个人的隐私权就难以得到保障。2010年，美国学者Alessandro Acquisti等进行了专门识别陌生人的实验，借此推断其个人敏感信息。该实验证明，通过个人面部特征信息并利用AR技术，可以实时识别并预测个人的其他敏感信息[27]。同时，建立在人脸识别分析之上的频繁的消息推送以及精准广告也令人不胜其烦，严重影响了人们的私生活。

2.人脸识别信息的隐私权保护路径

“1对N”情形下有必要对其提出更为严格的保护手段以保障自然人面部信息不被任意采集。相比于个人信息，法律对隐私权保护的程度更强，在信息搜集阶段通过隐私权保护路径为人脸识别信息提供保护，可以在源头处尽可能避免他人对人脸识别信息的滥用。

面部识别信息搜集者应遵循方式合法、目的正当、最小必要的原则②对于人脸识别信息的处理原则，学者们提出了不同的观点，比如刘军平教授主张坚持“合法、正当、必要”的人脸识别数据收集原则以及“原则禁止，法定例外”的人脸识别数据流通原则。参见刘军平、杨芷晴：《人脸识别数据保护困境及其法律应对》，载《科技与法律(中英文)》2021年第6期，第27页。又如，潘林青认为应坚持合法、合理和透明原则、目的限制原则、最小化原则、准确性原则、限期储存原则、完整保密原则和权责一致原则。参见潘林青：《面部特征信息法律保护的技术诱因、理论基础及其规范构造》，载《西北民族大学学报(哲学社会科学版)》2020年第6期，第83页。再如王俊秀列举了最低限度原则、知情同意原则、社会许可原则等八项原则。参见王俊秀：《数字社会中的隐私重塑——以“人脸识别”为例》，载《探索与争鸣》2020年第2期，第90页。采集自然人的面部识别信息，同时需要经过人脸识别信息主体的明确同意。方式合法是指人脸识别信息的采集主体应当根据法律、行政法规规定的权限、方法、程序采集人脸识别信息。比如根据《人脸识别信息规定》第2条的规定，如果法律、行政法规规定了人脸识别信息主体需要书面做出同意的，人脸识别信息处理者需要在得到被采集者书面授权的情况下才能进行人脸识别信息的采集。目的正当是指人脸识别信息采集者的行为具有目的上的正当性。所谓正当性是指人脸识别信息采集者具有特定的目的、明确的表述、服务的相关。详细而言，特定的目的是指人脸识别信息搜集者应当在进行信息搜集之前确定其搜集面部特征信息的目的，还意味着对目的描述必须详细且具体，使之具备辨识度[28]；明确的表述是指特定的目标需要尽可能无歧义地展现出来，尽量确保人脸识别信息主体以及该信息的搜集者都能够对该目的具有一致的理解；服务的相关是指人脸识别信息搜集者收集的信息必须是与其提供的服务有关。最小必要性是指人脸识别信息的处理“应当限于实现处理目的的最小范围”[29]，具体表现在以下几个方面：第一，人脸识别信息的搜集和使用不能超过相关服务的实际需求。第二，人脸识别信息处理主体不能强迫人们使用人脸识别技术，除非该技术为接受该项服务之必需。商业主体应当选择多样化的身份验证方式，当人们拒绝“刷脸”时应当提供其他的替代验证机制，而不能以拒绝使用人脸识别为由不让人享受该服务或者进入③捷克个人信息保护办公室在对法国巴黎银行违法处理个人信息的处罚中指出，生物签名并非处理目的所必须的条件，客户的身份识别可以采用其他方式得以验证，采用生物签名违反了GDPR第5条所规定的数据最小范围原则。参见中兴通讯数据保护合规部、数据法盟：《GDPR执法案例精选白皮书》（内部报告）2019年，第16、66页。。毕竟商业主体采用这种技术的目的是提高服务质量和自身效益，一般不会涉及公共利益。而且每个人的偏好不尽相同，信息主体自然可以拒绝接受质量更好的服务；每个人对风险的承受能力也存在差异，法律规则的设置应考虑和尊重那些低风险偏好的人[11]。《人脸识别规定》第10条规定了小区物业不得强制要求业主“刷脸”。基于上文分析，该条的适用范围不能仅限于“物业或者其他建筑物管理者”，而应当扩大至所有的商业公司。第三，人脸识别信息采集者在提供服务后及时删除原始的人脸图像，防止该原始图像泄露。为了保障上述三个原则落实，有关部门需要加强对企业人脸识别技术应用资格准入规定以及资格审查制度，建立人脸识别技术使用白名单，审查人脸识别信息采集主体的数据搜集水平，审查其搜集、储存、处理信息的目的是否正当，手段是否合法且必要，使用范围是否与其目的相当以及是否具有保障数据安全的能力和数据安全保护措施，相关数据管理人员是否符合专业资格[29]等方面提出更高等级的资质要求。

“一切自然人都是自由的，除他自己同意以外，无论什么事情都不能使他受制于任何世俗的权力。”[30]明示同意体现为信息主体的知情同意权。根据《民法典》第1033条的规定，只有当隐私权利人明确同意或者法律另有规定的情况下，行为人才能搜集他人的隐私信息。表面上看，本条只是明确了隐私主体的“同意权”。但该条中同样暗含了信息主体的知情权。这是因为“同意”和“知情”并非完全割裂，二者是相辅相成的：“同意”需要以“知情”为前提，真正自由的决定是建立在行为人对其行为后果的了解之上；知情同意权根植于自主，自主正是意志自由的体现，而自由正是建立在自由意志之上；不以知情为前提的同意是虚假的，是不符合自由意志的。然而大数据和人工智能的发展使得信息技术原理变得晦涩难懂，专业人士尚且只能管中窥豹，遑论一般大众。类似于消费者和商家之间的信息不对称，囿于数据信息知识的复杂性，人脸识别信息搜集主体具备欺诈弱势群体的可能性。普通民众可能并不了解许可他人使用自己人脸识别信息的后果，并且在此前提下草率地完成了授权。在这种情况下，很难认为信息主体做出的许可是自由的。基于此，本条中隐私主体的“同意权”实际上包含了对方当事人的告知义务[31]。因此，应当从信息主体知情权和同意权两个方面理解“明确同意”的内涵。

第一，就知情权而言，面部信息采集者应当履行告知义务，在进行人脸识别信息搜集时需要告知该信息的搜集目的、使用范围、处理方式、披露规则、储存时间、潜在的风险等内容[32]。在具体内容上，人脸识别信息搜集者应当尽可能用更为具体的语言和表达方式，减少诸如“为了提高服务质量”之类的抽象表达，应指出具体的目的、方式、风险等，确保信息主体切实了解自己面部特征信息的使用状况。但这并不是说披露的信息越多越好，相反，当人们面对大量难以读懂的信息时会产生挫败感。人脸识别信息搜集者应当对披露的信息进行过滤，简明扼要地表述信息搜集的目的、方式、适用范围等内容，还需要将该信息以易于理解的方式通过平实的语言表述出来。

第二，就同意权而言，面部信息采集者应当经过面部信息主体“明确地”同意之后方能采集其面部信息。这里的“明确地”应当具有两层含义：其一，个人信息主体的同意应当以明示的方式做出。同意是一种意思表示①人脸识别信息的搜集者会将其信息搜集的目的、后果等告知信息主体，信息主体基于自身情况做出“同意”的意思，并且希望发生信息搜集者明确告知的后果。可见，“同意”的法律后果是人脸识别信息搜集者能够对其原本“难以介入”的面部识别信息进行搜集，并且在信息主体授权范围之内进行后续处理。这更像是对信息搜集者“不得介入自然人隐私”义务的免除，使其获得了有限的“特权（privilege）”，其行为具有了正当性。，根据《民法典》第140条的规定，意思表示可以明示、默示甚至沉默（在有法律规定、当事人约定或者符合当事人之间的交易习惯时）的方式做出。在没有法律明确规定的情况下，行为人可以任意方式做出意思表示。但此处法律要求人脸识别信息主体必须“明确地”做出同意，意味着信息主体只能通过明示的方式做出同意授权的意思表示——默示、沉默做出的意思表示不发生同意的效力。所谓明示，是指行为人通过具体的、没有歧义的、非含糊其辞和模棱两可的[33]表述，使得相对人能够直接明了地知晓意思表示的内容。其二，个人信息主体的同意应当是单独地、独立地同意。同意应涵盖基于相同之一个或多个目的所为之全部处理活动。如人脸识别信息之处理具有多重目的者，应为全部目的取得同意[34]。单独同意是指将涉及人脸识别信息的条款逐一列举，并且以逐项授权的方式完成授权，而不再采用一揽子、概括地授权方式。如果一项隐私协议（比如在使用某APP时需要勾选的隐私协议）中包含了人脸识别信息的搜集、处理等内容，需要用户对该内容单独授权，而不是直接点击“同意”，通过与其他隐私协议内容一并授权。这就意味着，关于人脸识别信息授权的条款不能“搭便车”，用户可以不同意人脸识别信息采集和利用，但同意其他的隐私条款；当用户只是点击“同意”而未对人脸识别信息的条款进行单独授权时，不能仅以此认为用户已经完成了对人脸识别信息的授权。

这里的“同意”并不一定以书面形式做出。《民法典》第1033条只是规定了需要权利人明确地同意，即“只要同意是以明确的方式作出的即可，至于是通过纸质、电子形式等书面方式，还是通过口头方式作出的，无关紧要”[33]。关于“同意”涵盖的范围，可以通过“合理预期”进行界定。合理预期要求人脸识别信息保护应考虑情境关联因素以及信息主体在当下情境中做出的同意后的合理预期范围[35]，即应当是信息主体对能达成某种目的所采取的合理手段的预期。人脸识别信息处理过程应当可为信息主体所预见，不得超出其合理预期[36]。在“目的特定”之后，人脸识别信息主体的预期应当为达成该目的的合理手段。这里的“合理手段”应当以一般理性人所能认知和预测的信息处理目的、范围和方式为判断依据[2]。只要人脸识别信息搜集者对人脸识别信息的处理方式符合上述预期，就无需另行请求新的许可。这种做法的合理性在于较为合理地分配了人脸识别信息保护的成本，在人脸识别技术的发展与人脸识别信息保护之间寻求平衡。对商业主体而言，人脸识别技术的使用有利于提升整体效益，其自然要负担一些管理成本，比如建立数据库、对人脸识别信息的妥善保护等；而且在保护自然人面部特征信息方面，商业主体能够通过更低的成本保护自然人的面部特征信息不受侵害，而人脸识别信息主体若想避免其面部信息被搜集则需要付出更高的成本——需要随地借助帽子、口罩等遮挡面部，这会妨碍人们之间的日常交往。故应当令商业主体分担更多的风险更为妥当。当然，商业主体对风险的承担也是有限度的，令其承担太高的风险会增加其经营成本，并不利于人脸识别技术的发展与运用。因此采取折中的手段，以“特定的目的”为起点，以“理性人对目的、方式的合理预期”为判断标准，将一部分风险由人脸识别信息主体承担。如此可以形成一种良性的风险负担模式。

当人脸识别信息采集主体为国家机关及相关组织时，对上述原则以及人脸识别信息主体明确同意范围的理解应当有所区别。首先需要明确，这里的国家机关应当做扩大解释，除国家权力机关外，还应当包括“法律、法规授权的提供公共服务的组织”以及“规章授权管理公共事务职能或提供公共服务的组织”[37]。原因在于，在人脸识别信息治理领域经常出现作为公共事务管理者的国家机关和公共服务提供者协同办事的情况①从线下收集路径分析，人脸识别设备控制者和数据处理者往往并非同一单位、企业，难以界定数据安全责任主体，比如小区门禁安装人脸识别系统中，数据的收集和处理过程涉及小区物业、技术公司、街道办、公安局等多个主体。参见刘军平、杨芷晴：《人脸识别数据保护困境及其法律应对》，载《科技与法律(中英文)》2021年第6期，第22页。。公共管理在本质上也是一种公共服务，公共服务一般也会涉及某个领域的公共资源的分配与管理。例如车辆管理所行使车辆管理的公共职能，其在履职过程中无疑涉及到自然人面部识别信息的处理，其理应承担与国家机关相同的个人信息保护义务[37]；又如通过对政府数据与企业（阿里、腾讯等企业）数据的共享和充分发掘，“可以准确识别个人的行动轨迹、个人的感染情况以及相关密切接触者的健康状况，充分发挥数字化防控的最大效能”[32]，提高防疫的效率。另外，《国务院关于在线政务服务的若干规定》第4条明确“政务服务事项包括行政权力事项和公共服务事项”。因此，这里的“国家机关”不仅限于“为实现其政治统治职能和管理职能而设立的国家机构”[38]，还包括上述两类因授权提供公共服务的组织。

关于合法方式的理解，不能仅限于“只有法律明确规定的情况下国家机关及其他组织才能搜集自然人的人脸识别信息”。有观点认为“特定政务部门进行个人信息处理，应当具有法律的明确授权”[39]。该观点值得商榷。我国现行法律中“除极少数例外，绝大部分法律规范并未正面、专门、明确授权国家机关处理个人信息”[37]，遑论单独规定人脸识别信息采集的法律规范。倘若按照前述观点，目前国家机关及其相关组织采用的人脸识别技术皆为不法，这会严重损害政府的公信力，也不利于数字化服务型政府的构建。是故这里的“合法性”并非用来规制“应不应当使用人脸识别技术”，而是关于“如何使用人脸识别技术”的规制，即国家机关及其他组织在采集人脸识别信息时应当遵守法律规定的程序。

目的正当是指国家机关及其他相关组织搜集自然人的人脸识别信息必须出于正当的目的。有学者认为，人脸识别信息被公权力机关滥用的后果比人脸识别信息被商业主体滥用的危害更大①劳东燕指出：“商业机构的滥用，至多不过是让我损失一些钱财。真正让我担忧与恐惧的是，自己的信息被公权力部门所滥用；因为当他们滥用时，我完全不知道自己与家人会付出什么样的代价，财产、名誉、职业、自由、健康或是生命，一切皆有可能。”参见劳东燕：人脸识别技术运用中的法律隐忧，https://mp.weixin.qq.com/s/IW-3BtUN91_Jn3CK90vcXw，2022年2月15日访问。。这种担忧不无道理。对于国家机关及其他相关组织而言，目的正当性的判断标准应当比非国家机关更为严格，也即搜集处理人脸识别信息必须为履行法定职责或实施人力资源管理。具体而言，其一，国家机关及其他组织采集、处理人脸识别信息的目的是为了履行特定职务，并且通过人脸识别技术可以提高履行效益。这里的“法定职责”中的“法”应当指广义上的法，“既包括全国人大及其常委会颁布的法律，也包括行政法规、地方性法规、部门规章和地方政府规章等规范性法律文件”[40]。这要求国家机关及其他组织首先要以公共利益为目的，依法履行职责，并且要求人脸识别信息的处理与其法定职责的履行具有直接关联性。其二，所谓“实施人事、资源管理”是指国家机关及其他组织出于人事管理的需要采集、处理工作人员的人脸识别信息。在这种情形下，依据法定的规章制度进行人力资源管理使得对工作人员人脸识别信息的采集、处理具有正当性。

最小必要性原则与比例原则类似，是指国家机关及其他组织在进行人脸识别信息采集、处理时需要平衡公共利益的目标以及人脸识别信息主体合法权益的保障，“应当将不利影响限制在最小范围内以保持二者之间适度的比例”[41]。详言之，首先需要国家机关及相关组织出于实现其所宣称的正当目的（公共利益的实现）之考虑进行人脸识别信息的采集、处理；其次需要人脸识别技术的使用相较于其他技术而言更有利于（比如成本更低、效率更高）实现所宣称的正当目的；最后需要在达成预期目的的情况下尽可能减少对自然人其他信息的搜集，减少对其隐私的侵犯。值得注意的是，这里的“伤害最小”不仅仅体现在搜集、采集的过程本身，后续行为依然要将对信息主体的伤害降到最低。比如在搜集面部特征信息后即时删除原始图像、采取加密等方式避免人脸识别信息主体隐私的泄露；又如在使用人脸识别技术抓拍行人闯红灯时，应当隐去一些诸如住址、工作单位信息②福州市在使用人脸识别整治“乱闯红灯”现象时，除了曝光违法者的头像和部分身份、住址、工作单位信息。这容易引发人们对隐私泄露的担忧。参见https://news.china.com/socialgd/10000169/20170613/30717537_all.html，2022年2月16日访问。等不必要公布的重要信息。

当人脸识别信息搜集主体为国家机关及其他组织时，如果面对重大疫情或者为执行公共事务所必需等需要维护公共利益的，人脸识别信息主体明确同意的要求应当放宽，即衡量“同意”涵盖范围的“合理预期”的判断标准应予以弹性化。即使该国家机关超出了信息主体可预见的范围处理其面部识别信息，如果人脸识别信息搜集者（处理者）为了应对紧急突发事件、执行公共利益领域的任务、为实现控制者或信息主体追求的合法利益而必需搜集自然人面部识别信息的，其只需履行必要的告知义务而无需人脸识别信息主体的明示授权。另外，如果告知的成本过高，或者告知行为将妨碍国家机关履行职权或者遭遇紧急情况不能告知[37]的，甚至可以不必事先告知，只需要在紧急情况消除后及时告知即可。因为权利本位并不等于以个人利益为本位[42]，个人隐私如果与社会公共利益发生冲突，应当保障社会公共利益而牺牲隐私权的某些部分，这是利益衡量的必然。但利益衡量的结果并不必然是完全舍弃某一利益而完全保存另一方更具有合理性的利益，更多的是“在数种并非不可调和的利益的情况下采用利益平衡的方法，寻找一个互不侵犯的界限，使不同权利都得到法律保护”[43]。故国家机关及其他组织对人脸识别信息的采集、处理应当本着对信息主体伤害最小的原则，尽可能避免侵害自然人的人格尊严。

（二）采集后：人脸识别信息的个人信息保护

当人脸识别信息主体同意人脸识别信息处理者储存、处理自己的面部信息后，面部信息的隐私属性减弱。原因在于，隐私权是自然人主体对其某些信息“合理的隐私期待”，当人脸识别信息主体许可他人对自己的面部识别信息进行采集和储存、分析时，自然人的面部特征信息对于人脸识别信息处理者而言将不再是隐私，被许可主体可以按照许可的内容对该信息进行加工分析，整合出信息主体的相关隐私信息，该人脸识别信息不具有“合理的隐私期待”，取而代之的是对“人脸识别信息搜集主体在许可范围内使用自己人脸识别信息”的合理期待，以及可以掌控自己人脸识别信息的合理期待——由“不受他人干涉”的隐私权属性转变为“控制和利用”的个人信息属性。因此，当人脸识别信息主体同意人脸识别信息处理者储存、处理自己的面部信息后，应当重点关注信息主体对其人脸识别信息的控制权。概言之，隐私权的保护相当于是人脸识别信息保护的“第一道门”，当人脸识别信息主体许可他人使用了自己的面部特征信息后，人脸识别信息的隐私属性就减弱了，而个人信息属性则增强。此时应当强化信息主体对其面部特征信息的控制权，允许人脸识别信息主体随时撤回许可，并且可以要求人脸识别信息处理者删除、更正自己的信息；应当提高人脸识别技术的精确度以及人脸识别信息储存的安全性。

值得一提的是，如果人脸识别信息搜集主体超出了许可权限，对信息主体进行非法采集以及非法分析，意味着人脸识别信息搜集主体的行为超过了人脸识别信息主体“合理的隐私期待”。这相当于重新对信息主体进行面部信息采集，故需要人脸识别信息主体根据具体的情形和风险决定是否针对新的预期做出许可。此时仍要以保护个人隐私的方式保护信息主体的面部特征信息，当然需要信息主体明确地同意。

五、结语

欧盟《一般数据保护条例》对人脸识别信息的态度是严格限制、统一禁止，采取了“原则禁止、明示同意、法定必要”的处理原则。这种方式未免过于严格。尽管人脸识别技术会造成个人隐私信息的泄露，存在被滥用的风险，但作为新兴的技术，其未来具有广阔的应用空间，在提升生活质量、维护公共秩序、提高商业效率等方面具有重大的价值。过度限制生物识别信息的利用会影响人们的信息分享和造福社会，因此我们更应当发扬其优势，规制其使用，尽可能降低该技术的风险，不应因噎废食，将其全盘否定。

人脸识别信息具有个人隐私和个人信息的双重属性，既受到隐私权的保护又受到个人信息的保护[44]。应当区分不同的场景，根据人脸识别技术的使用目的和作用进行类型化处理，在“隐私权和个人信息二分”的背景下讨论人脸识别信息的保护：在“1对1”情形下，人脸识别信息的“个人信息”属性较强，可通过法律对于个人信息的保护方式，采取单独同意、自主控制、安全存储的原则对人脸识别信息提供保护；在“1对N”情形下，在面部特征信息采集阶段，人脸识别信息的“个人隐私”属性较强，需要优先适用法律对于隐私权的保护模式，采取方式合法、目的正当、最小必要的人脸识别信息搜集原则并且需要获得人脸识别信息主体的明确同意授权，如此形成对人脸识别信息的保护路径；而在完成面部特征信息采集之后，人脸识别信息的“个人隐私”属性减弱，“个人信息”属性增强，应当按照个人信息的保护方式对其进行保护。这样看来，人脸识别信息的个人隐私属性主要表现在“1对N”情形下的信息采集阶段。

当人脸识别信息搜集者非法搜集他人的面部识别信息或者没有按照应有的权限处理他人的面部特征信息时，信息主体可以要求人脸识别信息搜集者删除其面部识别信息（停止侵害）并请求赔礼道歉，造成损害的可以主张侵权损害赔偿。损害赔偿范围包括精神损失和维权支付的费用等实际损失或者侵权者实际获得的利益。当人脸识别信息的隐私属性褪去后，人脸识别信息主体可以请求删除其面部识别信息，造成损害的，信息主体可以主张侵权责任；当人脸识别信息主体发现人脸识别信息处理者储存、处理的信息有误，可以行使更正请求权，要求人脸识别信息储存、处理者进行更正。

大数据时代下人脸识别信息的保护不仅仅需要法律的完善，市场主体的行业自律也有助于弥补法律的漏洞，缓解法律的僵化；新技术发展为法律的执行提供了保障和可能，避免法律沦为空文。2020年11月27日，在阿里巴巴、华为、字节跳动等多家互联网企业的共同起草下，工信部组织发布了《APP收集使用个人信息最小必要评估规范人脸信息》团体标准[45]。这表明我国人脸识别信息相关的行业规则标准也在逐渐的建立并完善。随着区块链技术研究的深入，区块链的“加密算法”以及“可追溯性”的特征为人脸识别信息的保护提供了强有力的技术支持。总之，法律的完备、技术的发展、行业的自律对人脸识别的规制而言，无疑是十分必要和大有助益的，三者协同共进才能为人脸识别信息提供更有力、更周密的保护。