人脸识别个人信息的倾斜保护

石 超,张蓓洁

(1.中南财经政法大学法学院，湖北 武汉 430073；2.上海外国语大学，上海 200083)

0 引言

科技在带来便利的同时也夹裹着风险。曾引发社会广泛关注的人脸识别第一案——郭某与杭州野生动物世界服务合同纠纷案 (以下简称 “杭州动物世界案”)[1]虽已落下帷幕，但伴随人脸识别技术被推广应用后的法律命题关切才刚刚开启。事实上，法律界对人脸识别技术的关注视角是多元的。最先成为关注焦点的就是法律规范的缺位与补足，Welinder[2]、Lochner[3]和Raab[4]认为立法应首先表明立场。监管与规制方面的研究更加丰富，包括人脸识别技术应用的边界、主体责任[5]，监管者责任以及纳入公众参与的多重治理结构[6]。还有学者主张制定技术标准体系[7]，从技术应用端出发规范技术使用[8]，提出以社会为本位的价值取向[9]，确立 “新治理”比例和专项责任审核等法律规制原则[10]，以及以场景理论、风险预防理论为基础同一性与差异性相结合的规制原理等[11]。隐私与信息保护的方面，有学者认为在个人信息分级分类保护制度建设中应对生物特征识别信息应进行专门的规则构建[12]；也有学者结合 《民法典》探讨人脸识别信息的权益归属问题[13]。有学者以人脸识别第一案为切入，研究数字社会中隐私重塑的若干原则[14]，探讨对新兴权利的诉求等问题[15]；还有学者主张构建个人生物信息安全的法律法规体系等[16]。

人脸识别技术应用带来的法律问题远不止此，再如技术使用之便、商业利益与风险控制的平衡；个人自主与社会自主的平衡；法律规范与制度监管的着力点的选择等都有探讨空间。从人脸识别技术的功用 (验证和监控等)性角度解读，这些思考首要聚焦在人脸识别技术的个人信息保护上。这在规范层面也有体现，关于个人信息规范与使用，在 《民法典》 《网络安全法》 《数据安全法》和 《个人信息保护法》均有重点关切，且是数字经济时代立法的亮点。2021年7月28日，最高人民法院发布 《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定 (法释〔2021〕15号)》 (以下简称 “人脸识别司法解释”)，重点明确相关案件的若干司法裁判准则。综上，本文从个人信息视角切入，通过阐释人脸识别信息及其风险的特殊性及传统保护模式的困境，探讨一种倾斜保护模式的适用。

1 人脸识别技术应用下的个人信息风险

人脸识别是基于人的面部特征信息进行身份识别与验证的精准生物特征识别技术[17]。始于20世纪60年代使用该技术对人之面部特征相对坐标位置的测量[18]。其运作机理是通过创建 “生物特征模块”以检测并测量人脸图像中的各种面部特征，以此为基础提取并进一步处理为生物特征数据，故其技术路径实现可概述为 “一对多比较” “一对一验证”与 “精确匹配”。这一技术具有 “无感性” “隐秘性”与 “并发性”，且效率与准确率相对较高，故被广泛推广使用。凡事皆具两面性，此特性使得人脸识别技术又具有高度危害性，其一旦被滥用，将带来巨大风险隐患。

这种风险隐患表现在3个方面。①隐私风险提升。人脸信息是一种个人敏感信息，其间接关涉公民隐私与自由。当人脸所携带的信息与它所出现的时空信息相结合时，就能破解个人隐私，从而侵犯个人隐私。②安全风险恶化。人脸识别技术特点之一是 “非受控制性”，这意味着人脸信息一旦被收集，信息控制者对信息使用将脱离信息主体控制，从而加剧信息被滥用的风险。商业主体可基于此，形成线上与线下对消费者的全过程监控，获取数据，进行精准营销，消费者将面临无休止的商业推广轰炸，不法之徒可以此窃取盗刷公民的数字财产等。发生在四川成都的 “人脸识别盗窃案”就是实例。该案中，唐某非法获取他人网络账号信息和人脸肖像后，通过制作3D人脸动态图突破支付宝的人脸识别认证系统[19]。③社会风险加剧。作为一项算法技术势必有漏洞或者不完善之处，也难以消除算法设计者的偏见，这极可能造成歧视。人脸识别系统在被测试人群中，使用的人种差异将直接影响识别结果，且已被验证[20]。原因是用于训练识别算法的脸谱里，不同人种和不同性别人群数量的选择上存在差异。实际上，识别的准确度通常与 “喂食”算法的人脸数量和多元性成正比，而所谓的 “技术偏见”更多源于人类偏见和不加纠正的利用[20]。

人脸数据信息安全的重要性还表现在，人脸虽是唯一的，但人脸信息主要通过代码形式存储，代码数据通常存在漏洞，人脸数据一旦泄露将导致不可逆的危害后果，因为 “人脸数据具有不可更换性，人们无法换脸。一旦泄露就是终身泄露，即便采取法律手段维权成功，也难以恢复原状”[21]。人脸信息不仅属于数据，它还扮演用户身份识别的关键性 “密匙”角色，辐射个人人格权与财产权，其信息保护应优先于数据流通的价值变现[10]。诚然，人类身处风险社会，人脸密码的精准性与难以控制性势必会将这种风险隐患现实化。可以说，一旦人脸识别信息的保护失效，则无异于打开 “隐私与安全风险”的潘多拉之盒，可能引发诸多侵权风险，甚至人权危机，这是信息社会与数字经济背景下人脸识别技术应用的风险所在。

2 自治性保护模式的制度困境及其因由

自治性保护是通过信息主体自治以实现个人信息保护。源自私法自治理念对 “新领域”先入为主的代入，人脸识别个人信息的法律保护就首先以此模式适用。其配套制度工具包括 “知情同意”规则的授权控制、合理信赖机制和私力救济制度的威慑等，将个人信息的授受交于当事者，以促进个人信息保护与商业使用的动态平衡。但该模式忽视自治性保护有效条件的变化：数字经济场景下的强弱关系和个体理性发生改变，事实可能性与法律可能性的差异比工业经济时代更显著。

2.1 知情同意规则失灵

知情同意规则是信息采集的基础性准则，我国2021年实施的 《民法典》第1035条中规定处理个人信息应征得自然人或其监护人的同意。知情同意是信息采集应征得被采集者的同意，体现着个人信息自主，这是个人信息保护的基础。现实中，知情同意规则在人脸识别个人信息保护中的制度作用被架空，或变相规避，被架空因由如下。

(1)强制与变相强制。①强制采集。对人脸识别信息的采集非经信息主体的同意而采集获得，包括通过欺骗手段私自抓取，通过照片私自提取，或基于管理者便利未经同意而移用等。如在一些高校门禁系统中的使用， “学校在安装人脸识别系统前从未征求过教职员工意见”[22]，甚至从未进行人脸信息采集，直接基于掌握的学生信息进行替换升级。学生进出校门即便不选择人脸识别通道，但不意味着其人脸信息未被录入。②变相强制采集。主要是仅提供识别方式的 “唯一”路径。如在售楼部通常看到 “如您进入销售现场，视同您同意对您的人脸信息进行采集”的公告。在 “杭州动物世界案”中，杭州动物园方为入园便利而推广使用人脸识别技术，但仅通过短信的方式告知信息主体 “即日起，未注册人脸识别的用户将无法正常入园”，并在郭某核实确认时，明确表示 “不进行人脸识别注册将无法入园，也无法办理退卡退费手续”。杭州野生动物园作为商业组织虽有自主决定入园系统采用何种方式的权利，但接受与否，消费者也有选择的自由。然而动物园单方面以拒绝入园的方式强制推广，且不提供其他入园选择，也不向消费者提供退票选择，是迫使消费者选择接受，本质是变相的强制。

(2)信息网络场景下个体同意选择的非理性。 “点击一下鼠标就能订立合同”会诱使消费者在未经充分考虑和没有足够信息的情况下订立交易[23]。实践经验表明，在信息互联网时代，使用者对于信息采集中提供的协议文本缺乏理性，通常不会认真、细致、耐心阅读，致使知情同意规则失灵。 “消费者在没有意识到同意使用他们的面部识别数据的危险性和这种生物特征数据的价值的情况下，为获取方便，很容易就签署对他们面部数据使用的授权”[24]。实证案例数据分析显示，网络平台通过形式化的格式条款设置的契约，在司法裁判中得到的支持度高达96%以上[25]。

细究理性变化之因由，主要有以下方面：①信息网络时代的协议条款以电子文本形式为载体，与纸质文本规范性以及亲笔签名的庄重性与严肃性相比，电子文本和 “点击—同意”的数字化操作减弱人的理性。人对数字的不敏感效应还可感之于 “电子支付”对消费的促进作用。②从众效应。消费者片面认为所有文本都经过监管部门审核而不过多关注内容；也可能基于从众心理，认为大家都选择而放松警惕。③信息处理能力限制。对不具专业知识者而言，格式条款根本就无意义。即使对一般理性人和具有专业知识者而言，有限的信息处理能力使个体在作出决策时不可能将涉及的所有信息即全部交易条款纳入考量范围[26]。

(3)知情同意的规范保障性不足。基于知情同意规则的规范认定过于 “形式化”也是加速其失灵的重要原因。在2020年引发社会广泛关注的王某与 “每日优鲜公司”的司法裁判中[27]，王某主张的 “每日优鲜公司向消费者推送商业广告的约定属格式条款应无效，多次发送商业广告短信应属违约”，法院认定该种 “知情同意”规则是有效的，因由包括 “每日优鲜公司经营的每日优鲜App向用户推送商业广告短信，是基于双方的 《用户协议》 《隐私政策》中的相关条款约定。相关协议是每日优鲜公司基于 ‘一对多’的网络购物平台模式，预先拟定并面向众多会员重复使用的条款，具有经济性、便捷性，符合网络购物App应用特点。协议内容本身亦未免除每日优鲜公司责任、加重每日优鲜公司用户责任、排除每日优鲜公司用户主要权利，并均以加粗或加下划线方式进行合理提示，履行了提示义务，上述两条款亦应认定为有效”[27]。本文认为，信息时代每个人面临无数的信息轰炸，信息时代的格式条款规则适用应避免僵化。首先，手机短信涉及消费者生活安宁，不能被网购平台模式排斥，而网购App应用推广至短信端是否属于同类型应用的普遍特点并不能证立，推广至消费者短信的商业推广模式是否值得保护当打上问号。其次，没有去除的勾选项，单纯加粗或下划线提示没有实质意义，知情同意仍是强制的，消费者选择权遭到排除。概括讲，一方面是在经济性与便捷性的掩饰下获得形式肯定；另一方面是排斥用户选择，结果是无论用户知情与不知情都是同意，最终是变相强制。

2.2 合理信赖关系失衡

(1)信息让渡中的合理信赖。信息采集后将进入信息的存储、处理与加工使用阶段，此处的规范依然重要，其制度逻辑通常是一种信赖关系的建构与保障。 《民法典》第1035条界定的信息处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等诸多类型。如果说前文对信息采集的特别强调是从信息主体知情同意规则上或权利语境下的表达，那么此处处理的称谓乃是从整体视角言之，下文统一称信息处理者。无论是在合同关系中，还是行政关系中，信赖利益保护已愈加成为一种调和具有特定关系主体间权益的重要原则。在人脸识别中，虽然信息主体未必有基于信赖的物质利益损害，但一种敏感信息的交付也当然不能简单而无偿，信息控制者应为信息让渡者提供合理信赖的预期。如前所述，一方面，人脸信息属于敏感信息，具有不可匿名性，不受控制性等特点，这些特点使人脸识别信息具有高风险性；另一方面，在信息主体与信息控制者之间存在显著的不平衡性，即信息一旦让渡，风险由信息主体承受，但获益非常微弱，受益与风险负担不平衡。相对而言，法律通常是滞后的，因此合理期待在法律规范相对滞后的场合具有适用空间。所以，即使是在规范要求之外，人脸信息的让渡需要给信息主体以合理信赖。

合理信赖包括4个方面。①主体资质良善、可信且有相应的保障能力。这称为 “主体的适格性”，即面向不特定公众采集并处理敏感信息的主体不应是随意的、低标准的。当然，由于法律滞后性，实定法可能缺少规定，但作为法理分析的理据将之纳入考量仍是必要的。②有充分正当的理由。合法、正当、必要原则是处理个人信息的基本原则，在人脸识别信息处理中理应得到坚守并强化。③健全的安全规范与风险处置机制。拥有健全的安全规范与风险处置机制是一个组织体持续健康运行的关键，更是获得委托方信任的重要方面。④争议的解释上有利于信息主体。在智能互联网的数字经济时代，企业与个体的不平等性扩大，再加上法律规范本身的滞后性，这就为在规范层面对个体的保护带来困难。故在争议的解释上，如对格式文本和模糊词语的解释上可采合理倾斜原则，使其有利于信息主体，以促进强弱双方的平衡，也有利于增进信息主体的信赖。

(2)合理信赖难以生成。首先，主体的适格性存疑。①信息采集主体的适格性。信息收集主体能力不一，规范欠缺，门槛较低，大至 “政府部门”小到 “社区物业” “小微企业”等，贴张公告公民就需将人脸信息 “交付”，发布一款App即可对人脸信息进行搜集，收集者的主体资质，因何事由使用，是否必要，信息安全如何保障等相对空白。②信息存储主体的适格性。采集人通常是存储者，也是使用人，这就陷入一种 “自己控制自己使用”，再自己监督的逻辑。缺乏必要的监督、规范以及程序，想必很难使人产生合理期待。

其次，安全保障性存疑。我国 《民法典》第111条规定 “任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全”。这对信息采集者和处理者课以保障信息安全的义务，但实际上，这种安全保障义务的履行程度需要打疑问号，如较多存在着安全规范缺失，存在着数据泄露可能。据报道，丰巢快递柜人脸识别系统就被揭露 “刷张大头照”就能轻易破解；在互联网中，也存在公开发布购买人脸识别信息的广告。

最后， “模糊条款”的不利解释。在订立民事协议中，作为采集者的企业居强势地位，信息主体处于弱势，再加之大量的使用格式文本以及信息主体本身对数字文本的理性局限，协议内容通常对作为消费者的信息主体不利。涉人脸识别协议文本中，通常存在 “包含但不限于条款”，无异于赋予信息处理者无限扩张使用范围的可能，使信息主体处于不利地位。同样，2019年的ZAO换脸事件[28]，其之所以引起如此巨大关注，一方面是授权的 “永久性”，另一方面就是自设 “包括但不限于条款”使用范围扩展的 “无限性”。在 “杭州动物世界”案中，杭州野生动物园就辩称，其是在郭某知情同意下搜集的个人信息，当然被告所谓的知情同意应是基于年卡用户提供的照片等信息，这就涉及到是否可以将之前的办卡的知情同意，简单套用在人脸识别中？显然，郭某是否认的，相信现实中像动物园一般的扩张解释并不是少数。

进一步，对此还可延伸讨论，即基于A目的所搜集的信息能否再用于B目的。譬如商场运营者、展会举办者甚至参展者等通过监控影像中的人脸信息对用户进行识别，并对用户进行跟踪分析其关注点和兴趣，从而根据用户偏好对其进行后续的精准营销。虽然我国 《民法典》 《网络安全法》等规定，处理个人信息时，应明示收集、使用信息的目的、方式和范围。将基于安监目的所收集的人脸图像等信息进一步加工和商业化应用也明显超出消费者对个人信息知情同意而授权的正常预期，但仍留有可做不利解释的空间。再说，知情同意授权规则本身更多是一种规范层面的消极平衡方式，他们的同意与否可以说是形式上的，信息主体根本无力对 “违反者”做积极的事前干预。换言之，这种模式严重依赖于信息处理者自觉。事实上，整个搜集处理过程，信息主体完全 “无感”，行为过程高度隐秘，这无疑对信息个体是极其不利的。当然，这种假设并非 “主观臆测”，曾引发社会广泛关注的 “戴头盔看房”[29]的现象就突显出对 “基于特定目的 (如安全安监目的)的人脸识别信息而任意扩张使用”进行规范的重要性。

2.3 私力救济机制失准

相对于事前的权利确认与事中的制度保障，救济制度保护路径的适配性不足同样不可忽视。这种不足主要表现以下方面。

(1)权益侵害的认定难。首先，在理论上，对个人信息应给予权利保护还是法益保护仍存有争论，有学者认为是 “法益”[30]，也有学者认为应将个人信息视为 “个人信息权”[31]。 “法益说”与 “权利说”的不同可能直接关涉法律保护程度，信息数据流动与信息保护的平衡以及法律救济的程度，在各国的立法例中对法益与权利的保护就存在 “平等保护”与 “差别保护”的制度区分。其次，作为个人信息的侵权法救济困难；主要表现形式是人脸识别信息损害的新形式与侵权构成要件的高标准的张力。在传统民法理论下，民事权益受到侵犯一般依赖侵权责任法，请求其承担侵权责任。侵权责任的构成要件中包含损害要件，但个人信息侵权造成的损害不同于人身损害、财产损害，也较难认定精神损害，有时并没有直接损害，所以存在举证困难的现实障碍。再加之，面对互联网领域的新型案件，法律滞后性更加突显，两者共同作用给信息主体的司法救济带来困难。

具体如在司法实例 “凌某某与北京微播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷案 (以下简称 “抖音案”)”[32]中就有所体现：法院一面认定构成对个人信息权益的侵害，但另一面也认为并不构成对隐私权的侵害。相对于隐私权的举证，个人信息权益的举证难度相对较高，需要符合法定要件，这无疑为本就处于弱势的信息个体权益保障带来困难。再回到 “杭州人脸识别第一案”作引申讨论。在此案中，相对 “巧合”的一点是动物园所采集的人脸识别信息是在郭某办理年卡过程中，在当事人不知情情况下秘密采集的，在提起诉讼之前，郭某本人也只是想当然认为人脸信息并未采集，所收到的短信通知仅是通知采集信息，后来诉讼阶段方知信息实际上已经采集，现在仅是通知激活系统。试想，假设真如郭某所想，动物园所发送短信通知时并未采集到人脸信息，而仅是通知强制采集人脸信息，那么此时郭某的权益又该如何保护？

(2)私力救济的不经济。当前的私力救济制度并不能很好应对人脸识别技术应用所带来个人信息侵害的这一新变化，这一变化表现在3个方面。①受害人未必知晓。人脸识别侵权具有隐蔽性、无感性，通过监控摄像头抓取信息，此种方式以及后续可能的滥用行为，作为信息主体可能根本就不知情，提起诉讼更无从谈起。②信息主体的专业知识匮乏。信息互联网更加专业化，作为个体的信息主体未必具有相关的专业知识进行有效判断，亦缺乏相应救济能力。这相比较于企业的专业化团队而言，显著处于劣势。③私人维权的积极性较低。人脸识别技术还有一个重要特点是 “并发性”，这一特点使得在互联网应用场景中，人脸识别是一对多的形式存在，所以实质上风险因素也是一对多的，这就使多数人产生 “搭便车”心理，单一个体的积极性并不会很高。另外，对风险的认知薄弱，而诉讼救济本身成本高昂，费时费力，相对诉讼即使获胜，收益也并不高，也成为阻却个体诉讼积极性的障碍。

3 保护模式的因应:转向倾斜保护

3.1 合理性解释

倾斜性保护与平等保护相对应，是一种社会法保护理念。私法是一种平等保护的典型，典型的倾斜保护则如劳动法对劳动者的保护，理论基础源自于19世纪末的 “法律社会化”思潮，在这一过程下，传统自由主义私法秩序下 “形式公平”的缺陷被发现——拉德布鲁赫称之为权利自由时代的人性观、法律观及在其指导下建构的法律， “片面化、简单化”地将 “法律可能性与事实可能性等量齐观”[33]，而旨在修补 “劳资”两个强弱主体之间差异以推进 “实质公平”的人性观和法律观顺势产生。 “倾斜保护”的方式就是其中重要的制度理念，主要是通过在法律规范层面倾斜性配置强弱双方的权利义务——如以弱势一方的权利直接匹配强势一方义务[34]，希冀实现对弱势一方的合理有效保护。尽管在一些领域适用的效果存在争议[35]，但在对劳动者、消费者等弱者的保护上已颇具成效，其在人脸识别应用场景下对个人信息保护的合理性主要表现为以下两个方面。

(1)修补法益平衡。首先，在法律属性上，人脸识别信息可归入 “个人敏感信息”范畴。这一信息的特征在于其非控制性、隐秘性和不可更改性等，人脸识别信息高度敏感，高度关涉个人信息安全、财产安全和隐私安全，具有高风险性。相对于隐私信息，人脸识别信息通常并不 “直接”暴露个人隐私，就人脸本身而言，无隐私可言。但是，人脸信息的识别却能够 “间接”侵犯人的隐私，例如通过人脸识别的精准定位、精准识别，就可确定某人某天去过某个地方，从事了某项不愿公开的行为，这样就间接侵犯了隐私，甚至人身自由权利。换言之，人脸识别信息是一种关涉 “不特定主体”的隐私、自由与财产安全的基础性信息，关涉人的基本权利，它的价值位阶更高。

其次，从经济分析视角，倾斜性保护更符合经济公平，实质是一种对市场的纠偏机制。劳东燕曾对人脸识别风险负担如此论述道， “基本上征得同意之后，你的个人数据就跟你没有关系，之后所有的风险都需要由你自己来承担”[36]。人脸识别技术的应用具有高风险性，信息处理者是信息采集者和控制者，也是主要的使用者，理应是风险的主要承受者，但实际上风险最终由信息主体承担，且由于相关行为隐秘性，通常还将表现出巨大的滞后性，风险的危害性势必加重。以上是风险负担的视角，再从收益视角而言，信息主体通过使用人脸识别主要获得 “方便”——人脸识别技术本身存在诸多的安全性问题，故笔者并不认为在当前阶段，安全性是一种获益，在价值衡量上，安全性显然高于便利性。更何况，当获得的便利度差别并不显著时，人脸识别技术所带来的益处更加微弱，如在当前技术水平下，人脸识别支付相对于密码支付并无显著优势——可能仅是几秒的区别，人脸识别门禁系统相对于刷卡进入所带来便利亦无显著差异。相对而言，信息处理者获益巨大，无论是成本还是效率均获得较高提升，所以人脸识别技术使用的利益获得，主要归信息处理者。简言之，信息数据主体是风险承担者，但却并不是主要获益者，反之，企业和管理部门是主要获益者，但风险负担最小，这种权益配置的不平衡需要恢复。综合而言，人脸识别信息本身需要更高标准且更优先的制度保护，但现实的权益结构配置与之相悖，倾斜保护模式能够具体应对这种简单形式化背后的复杂性，对人脸识别信息授权与处理双方的结构不平衡进行修补。

(2)保障个人自主。毋庸赘言，个人自主是最有效的市场机制，也是最有效的保护模式。但对上文困境归因分析可知，人脸识别个人信息保护的困境也多表现为 “强者的强制” “强者对弱者的限制” “个人的理性弱化”等。强势一方基于信息技术、经济能力、组织能力以及激励机制等对个人权利进行强性或软性限制，从而实现对个体的支配与控制，这是一种 “社会事实”，而既有 “法律事实”则对此予以 “认可”，所以造成 “形式与实质平等”不匹配的差异，所谓的自治性保护仅注重形式上的双方关系平等。倾斜性保护则是可以修复该种失衡关系，它通过法律制度优化设计的方式对强者的恣意进行限制，提升个体的理性水平和权利行使能力，这是对个人自主的实质保障。

3.2 如何倾斜

至于倾斜的方式，笔者认为，相对于 “加强监管”或启动 “社会组织保护”的方式设置，人脸识别个人信息的保护应 “重在权利义务配置上进行倾斜”，或言之，后者为主要，前者则为辅助。之所以如此选择，一方面，正如前文所解释，倾斜保护目标在于 “恢复法益平衡和保护个体自主”。权利义务的倾斜配置其实是对市场机制、个体理性的修正，是实质的 “自由与平等”，是将自主权归还于市场主体，同时也有利于保障商业应用。应当说，在形式的自主前虽加设了 “倾斜性的不平等”，但本质上，这种倾斜是一种恢复机制，意在恢复弱势者的信息获取、恢复弱势者的个体理性判断、限制强势者对强势地位的滥用等。另一方面，相对效果更优。加强监管通常面临 “一管就死一放就乱”的窘境，且具有明显的滞后性，试错成本高昂；而社会组织保护通常建制成本高昂，又可能缺乏效率。总归而言，这种无效性将使他们在人脸识别技术发展应用与个人信息保护之间的平衡上有所缺失，会陷入顾此失彼的困境。

承上，在倾斜保护路径上，综合倾斜保护理念与人脸识别信息的特殊性，整体上可主要从以下制度要素上着力：首先，对信息采集处理者科以必要的 “受托人”义务，提升其注意义务和勤勉尽责义务要求；其次，赋予信息主体更高且更富有意义的知情权与选择权，以恢复其理性自主能力。以信息主体为视角，具体制度路径可分拆为4个方面。①信息主体的知情权保护。信息是决策的基础，获取充分完整的信息是理性与自主前提条件。②信息主体的选择权保护。有决策的自主，但未必就具有选择的能力或空间，所以在保障知情权的基础上还尤应强化信息主体的可选择权利。③信息主体的后悔权。鉴于理性的局限性，为防 “激情消费”心理的冲动，应在选择之后，赋予一定的犹豫期限，以及单方撤回的权利等。④信息主体的信赖利益保护。明确信息主体与信息处理者间的特殊关系，对信息的处理与使用，不能使得信息主体利益受损。在以上方面强化信息主体必要权利，以保障信息主体自主。

4 倾斜性保护模式的制度安排

倾斜保护的关键是以自主为基础的保护，不是交由监管附带；倾斜的目的在于超越形式恢复实质平衡，而不是扭曲市场。倾斜性保护的制度安排，需注重对强弱双方权利义务的自主平衡进行配置，以及实现这种平衡的规范保障。应当说，法释〔2021〕15号司法解释的出台在朝着这个方向前进，但仍然遗留诸多期待。例如，在人脸识别司法解释中，针对现实突出的知情同意规则失灵现象，在第2条和第4条中分别确立了 “单独同意”与 “强迫同意无效”规则，颇具亮点，但对信息网络场景下个体的理性水平变化和诱发个体决策的不理性障碍因素还是缺少考量。再如，关于信息处理者采用格式条款与自然人订立合同情形，司法解释仅是在第11条中对人脸识别信息协议适用 《民法典》第497条进行确认，与一般情形无异，并无特别制度安排。依次类推，第12条中的违约责任基于约定，而约定大凡是信息处理者自拟的格式化的条款，信息主体处于守势，在协议里面想必不会出现对信息的严格安全保障条款，所以如此设定的违约责任之实际效果可以想象。在诉讼保障上，扩宽财产损失范围认定 (第8条)具有创新，但第6条对处强势地位的信息处理者课以较多的举证责任，实际上仅是重新回归到要求信息处理者证明自己获得了知情同意的粗旷规定之中。第14条积极倡导推进公益诉讼，但亦需假借相关法律 (如 《民事诉讼法》第55条、 《消费者权益保护法》第47条等)适用，范围受限且涉人脸识别信息的特殊性并无法体现。基于价值平衡考量，规定免责事由 (如第5条)无可厚非，但 “不溯及既往”规则 (第16条)显得过于 “生硬”。毕竟之前涉人脸识别信息违法行为的风险和危害是 “面向未来的”，且所控制信息的体量非常巨大，予以宽恕将更加降低信息处理者的谨慎义务，使风险隐患增加；再说，之前的相关违法行为并不完全属于不可操作事项，如信息主体可主张对强制搜集信息进行删除等均是可实际操作的；此外，即便从数字经济发展而言， “一刀切”式的完全排除，对其他同业的竞争者来说也是不公平的；笔者认为，倘若有所区分甚至可溯及，将是在数字经济创新发展中确立一种对个人、对法律予以事先尊重的规则，此方是促进数字经济健康发展的平衡之道。

4.1 自由选择与有效告知

(1)信息主体免于强制的信息自决。倾斜保护视角下，知情同意规则仍有价值。一方面，对信息主体而言，知情同意是个人主体对个人信息进行自我处理的权利，是对个人信息有效保护的第一道门槛；另一方面，就个人信息或数据的有效使用而言，坚守 “知情同意”本身也是沟通信息授受双方，促进交换的最便利方式，当然也应是信息数据合理使用的规范路径。但知情同意规则框架下的权利义务需要重新强调，主要包括以下层面。

首先，在性质上，知情同意规则与个人信息自决权的关系方面存在不同观点，一种是 “绝对权说”，一种是 “相对权说”。知情同意规则的正当性源于个人信息自决。而个人信息自决权是一种绝对权，排他性权利[37]。 “绝对权说”强调信息主体对个人信息的绝对控制，要求涉及个人信息的收集、使用等一切数据活动必须以个人的知情同意作为合法要件。 “相对权说”认为， “知情权和同意权都是针对数据控制者的相对权，设置知情同意的绝对权并无意义，知情同意规则与个人信息自决权应解绑”[38]。笔者认为，在前述 “抖音案”中存在的一种情形有助于对以上两种路径的解释进行理解，信息处理者通过对相对人的手机通讯录信息进行非法搜集，从而形成对第三人信息的侵犯。也即，信息处理者可通过一个人而获得其他第三人的信息，相对权说对此种保护可能存在不足。即便是在人脸识别信息中，并不排除技术进步，人工智能的自动学习，可实现对近亲属之间如双胞胎兄弟一方的人脸信息进行采集而获得第三人的人脸这一生物信息，或者某一信息处理者善意取得第三人人脸生物信息等，此时相对权的解释将陷入理论困境。

其次，在制度上，知情同意规则免于失灵的前提是必须确保信息主体免于被强制，此时的信息自决才是有意义的。本文认为，这提示我们在制度构设中应赋予处于弱势一方的信息主体以 “选择权”，具体可在以下3个方面进行制度修正：①信息处理者必须提供多种替代选择方式以供选择，并明确告知信息主体，其中不能对替代性方式增设不合理的繁琐条件以变相限选——使替代性方式变得繁琐、成本高昂，在人脸识别司法解释规定出台后可能会成为新的 “强制方式”。②非经明示同意不得采集，且需履行选择前的有意义的告知 (具体见下文有效告知义务)，不能是事后告知，当然也不能是在如 “杭州动物世界案”一案中在采集之后的激活告知。③应赋予信息主体拥有犹豫或后悔的权利，可合理设定一定的犹豫或后悔的期限，在合理期限之内允许撤回同意授权，信息处理者应同步予以删除。

(2)信息采集的有效告知。充分获取信息是理性决策的前提，有意义的告知则是充分获取信息的前提，这需要对信息处理者在采集信息时设定必要的告知义务，应进行有效告知。有学者研究指出，知情权和同意权均表现出典型的消极性，它们都以数据控制者履行告知义务，提供充分的权利行使路径为前提[38]。知情同意规则不能仅是信息主体拥有简单被动地被同意的权利，而应在积极性上着力，故权利论视角下，知情同意规则的修正尤应注意在信息采集时的告知义务上进行 “精细化”完善。

精细化主要包括5个方面。①具体告知。告知的方式应禁止概括告知。不仅需单独告知，且所告知信息目的、用途应具体明确，包括充分了解收集主体是谁，收集敏感信息的类型和数量，用于什么目的，存储方式，使用与留存期限等。②使用必要性与替代性告知。一方面是告知使用人脸识别信息的必要性及正当性，另一方面是告知其他人脸识别方式之外的替代性选择方案。对信息主体而言，使其充分了解非人脸识别的替代选择，对信息采集者/处理者而言，使其阐释采集使用人脸识别信息的必要性。③风险提示与安全保障告知。兼顾创新性与安全性，在专门进行风险告知的同时，信息采集者/处理者也应告知相应的安全保障义务，如此一方面可平衡风险告知后的吓阻效应，另一方面也是采集者对安全保障的承诺。④格式文本选项设置 “默认不勾选”。所授权内容的选择项，或可能对信息主体造成义务负担的项目应是 “默认不勾选”，由信息主体自主选择是否进行勾选。应然设计是：提供勾选项，由用户选择勾选方可认可其效力。⑤撤销与删除告知。需明确告知撤销或删除的程序与方式，在授权存储期限届满时，还需履行单独告知程序。若用户没有对告知进行回应，应视为用户默示同意撤销或删除信息数据。

4.2 注意义务与特定授权

(1)信息处理者的注意义务。较高的注意标准能增加可信赖性，注意义务通常发生在委托—代理关系之中，致力于平衡受托人与委托人间的利益冲突以及对可能引发的道德风险进行法律应对。在人脸识别信息让渡中，信息处理者与信息主体之间也存在同样的强弱关系。尤其是，当人脸信息一旦让渡给信息收集者，被收集人就很难进行控制却要承受利益损害，这也亟需一种法律制度上的平衡机制。基于此，笔者认为，在民商事领域中平衡双方特殊关系的 “注意义务”模式具有可资借鉴之处，即可通过对信息处理者课以较高的注意义务，提升人脸识别信息安全。 “注意义务”是私法中对受托人设定较高义务标准的一种制度平衡方式，理论上对其是属于信义义务子义务还是独立的义务类型有争议[39]，本文仅是在对注意义务理论借鉴基础上，结合人脸识别信息特性而提出具体的制度建议，主要包括以下：首先，心怀善意。目的动机纯粹，实现商业利益最大化并无不妥，但需保持对所采集信息的高度善意，所以在设定信息采集和使用主体的适格性标准时，不仅包括信用标准，还应将主观动机的自证纳入考量。其次，勤勉尽责与小心谨慎。履行义务时要具有不低于正常人在处理相似情景下应有的谨慎与合理注意。再次，采用良好的方式。尽最大努力提供最恰当的保障，降低风险。最后，信息主体信息保护利益优先。信息处理者不得为自己或第三人利益而损害信息主体之利益，亦不得使之与信息主体的相关利益相冲突。

提升可信赖性的制度保障可从以下3个方面着手。①主体适格。区分公共使用与私益使用，不同的使用主体确立不同的资格准入标准。尤其是在规范商业主体的使用时，应将其既往的涉及侵犯消费者权益的遭受处罚与涉诉的情况纳入考量，应注重考查申请主体的安全保障能力等。②信息披露。在保障商业秘密的前提下，对主要的算法规制进行披露，以供评估其安全性。如有些人脸识别技术仅仅基于照片或2D技术进行采集，这种技术水平并不能符合安全规定。③专业第三方机构参与。笔者认为，秉持安全使用原则应引入第三方独立机构的参与。首要的应是 “存”与 “用”的分离，即是说，人脸识别信息的存储应有第三方专业机构独立存在，加密存储，既加强安全性，也对使用者用途进行监督；其次，第三方机构对所使用技术的安全性进行定期评估检测，毕竟信息技术迭代更新迅速，人脸识别技术安全性评估需要如 “消防栓”一般应 “常态化”存在。

(2)使用授权的特定化。合理信赖性保障的另一层意义是明确人脸识别信息保护中的 “特定化使用原则”。一方面是特定授权，主要是使用阶段应严格在授权范围和授权目的内使用，秉持一事一授权原则；另一方面是独立使用，对所授权事项原则上独立使用，对人脸识别信息的共享流转机制进行严格限制。或可借用相关学者所言，独立使用原则能杜绝多方实体之间的交叉识别，避免对个人信息的滥用，将保护天平倾向于个人信息主体[10]。进一步，笔者认为，可将其具体化为4个方面。①主体特定。严格归属信息采集阶段的特定主体资质，主体不满足胜任条件则停止使用，对所搜集信息进行安全处置。②使用目的与使用范围特定。不能扩大使用范围，变更使用目的。确需变更，必须重新获得明示授权，按照信息采集阶段的知情同意规则执行。③用于商业分析的目的需特定授权，且需加密或 “去标识化”处理。严格限制商业追踪，严格限制人脸识别信息分析用于精准商业推广。④非明示同意禁止共享转移。如确需共享时，要进行安全影响评估，应充分告知涉及的个人敏感信息的类型、数据接收方的身份和数据安全能力。传输时应采取加密等安全措施，确保传输安全。

4.3 程序的有利与便利

通过前述 “抖音案”的救济可知，人脸识别新技术下的个人信息保护，与应用场景结合的形式多样，差异显著，也难以绝对量化，单纯依靠传统的私法或者公法救济路径实际上并不足够，这需要一种公私融合的思维和制度设计，也即社会法的理念。在此基础上，对人脸识别技术应用中的个人信息保护问题可采一种 “功能主义”的取向[40]，在诉讼中，以有利且便利保护为基础，超越形式法的形式主义拘束。在此路径下，如当法律滞后性突显时，人脸识别技术信息保护的请求权配置可以向弱势的信息主体倾斜，以有利于个人权益保护。无论是学理上将个人信息视为 “权利”还是 “法益”，在侵权责任保护上应采 “平等保护”的立法选择，即便是视为法益也仍给予与权利同等的保护，而非 “差别对待”。当面对侵权法的构成要件适用或举证困难之时，要基于人脸识别信息保护的特殊性或其创新性所需之法律应变，裁判人员可酌情考虑降低损害认定的标准等。尤其是，在涉人脸识别信息领域推进独立适用公益诉讼，并配置以更为便利的制度保障。在消费者保护领域公益诉讼主要是针对侵害不特定多数人利益的考量，而在涉互联网场景中，人脸识别技术应用可能造成的信息侵害实际上针对的正是不特定多数人。与线下场景不同，虽然人脸识别在具体案件中是一个人起诉，但在此过程中的违法行为承受者并不是一个人，且潜在危害更大。人脸识别信息保护中同样存在单个个体主张权利的困难，甚至更甚，进行制度的专门构设亦有必要。制度选择上，一方面，在提起公益诉讼主体上，可适当扩大可提起主体范围，将行业协会、检察机关等主体予以纳入，同时国家或社会需对信息主体自己提起的诉讼提供必要的法律支持，亦可激发专业群体为个人的司法救济赋权赋能——在人脸识别第一案与 “抖音案”中两起诉讼中原告都是法学博士；另一方面，在减轻弱势一方举证责任而考虑适用过错推定责任原则基础上，尝试推进公益诉讼的惩罚性赔偿制度，对其中的赔偿款部分可考虑设定专项基金用以支持涉人脸识别信息类公益诉讼案件的可持续推进。

5 结语

当前，人脸识别的主要应用的场景是监控与身份验证，这无疑是打开个人信息的一把钥匙，个人信息、个人隐私与基本权利也因此被置于风险之地。尽管欧美对人脸识别技术应用予以严格限制的法律态度——美国的旧金山市、萨默维尔市、奥克兰等对人脸识别技术进行禁用或严格限制[41]，未必一定可取，但确实明证了人脸识别技术的个人信息保护非常重要。至少在规范定性上，应将其置于个人基本权利保障的基础层级。人脸识别司法解释的出台朝着这个方向迈出一步，但并不足够。毕竟在我国，构成网络空间基础的用户群体基本是实名制的，公民对个人信息的重视程度也相对较弱，这都提醒我们在人脸识别应用从无序走向规范的保护模式设置中，考量更为倾斜且有利于信息个体的视角将非常有意义——尽管该种倾斜保护可能仅是在恢复一种扭曲的平衡。