论人脸识别信息的法律保护
——兼评我国“人脸识别第一案”

刁胜先 姜 音

（重庆邮电大学网络空间安全与信息法学院，重庆 400065）

人脸识别信息作为人脸识别技术的依托与产物，其经济价值伴随着人脸识别技术的广泛应用而凸显，但对人脸识别信息的非法处理导致人脸识别信息的安全无法被保障。因此，亟待完善人脸识别信息的法律保护，推动人脸识别行业良性发展。

一、人脸识别技术与人脸识别信息

（一）人脸识别技术概述

人脸识别是基于人的脸部特征信息进行身份识别的一种生物特征识别技术，经历了基于几何特征的人脸识别算法、基于模板的人脸识别算法和基于深度神经网络的人脸识别算法3个历程，并凭借并发性、非接触、操作简便和用户体验好等优势，在社会上得到越来越广泛的应用[1]。通过采集的面部特征信息识别个人身份，通常包括4个步骤，即采集人脸数据、提取面部特征、处理人脸图像和比对人脸数据库。

目前，人脸识别技术广泛应用于金融、智慧园区、安防执法、交通出行、游戏娱乐等领域。金融领域接入人脸识别技术，主要是为了保障资金的安全流转以及提升支付效率。智慧园区领域使用该技术，主要进行考勤打卡、门禁管理、景区人脸检票等。交通管制方面主要运用该技术来捕捉违法违规等行为；出行方面，通过在售票软件以及汽车站、火车站、机场等验票场所使用人脸核验，可提高检票率和出行效率。游戏娱乐领域使用该技术进行身份验证是为了控制未成年人的游戏时间，进行精准营销[2]。

（二）人脸识别信息解读

1.人脸识别信息的概念及特征

根据《信息安全技术人脸识别数据安全要求（征求意见稿）》，人脸图像是自然人脸部信息的模拟或数字表示，可通过设备收集，也可对视频、数字照片等进行处理后获得，主要包括可见光图像、非可见光图像（如红外图像）、三维图像等；人脸特征是从数据主体的人脸图像上提取的反映数据主体的参数；人脸识别数据是从人脸图像及其处理图像上得到的，可单独或与其他信息结合以识别特定自然人或特定自然人身份的数据。人脸识别信息具备直观性、专属性、高敏感性、可识别性、唯一性、无法变更性等特征。

2.人脸识别信息的法律属性辨析

对于人脸识别信息的法律属性，学术界莫衷一是、众说纷纭，就其承载的权益而言，主要有4类学说：“身体权说”“肖像权说”“隐私权说”以及“个人信息权益说”。

“身体权说”认为，身体权客体包含身体信息，其中声纹、指纹、虹膜和面部信息的采集行为，涉及自然人身体权的范畴，是一种更“高级”的“搜身”行为[3]。这种观点的存在与《中华人民共和国民法典》（以下简称《民法典》）中的相关立法初衷相悖，存在明显缺陷。身体本身不等同于身体信息。从《民法典·人格权编》的编排来看，将生命权、身体权和健康权单列一章，表明这3种权利属于同种类型的人格权，即物质性人格权，而对人脸识别信息的保护则更侧重于是在保护非物质的精神性利益。

“肖像权说”认为，使用信息技术手段侵害肖像权的任一权能便会对肖像权造成侵害[4]。该观点意识到了人脸识别信息的精神性法益，但仍具局限性。首先，客体与法益上，肖像固然可抽象为一种信息，但保护的客体必须是信息的成像形式。而人脸识别信息可以借助肖像形式呈现，也可以表现为数据、符号等呈现在不同载体上；信息主体在乎的不仅是肖像形象被玷污，而且更担心不法分子利用该信息盗取财产、实施精准诈骗等非法活动，造成极大的财产安全风险。其次，权能内容与侵权表现不同。肖像权包括依法制作、使用、公开或者许可他人使用本人肖像的权利，侵权方式门槛低且广泛；而人脸识别信息需要借助人脸识别技术加以制作和利用，对其侵权涉及多种使用场景，有较高的技术门槛，常常具有规模化，除与个人利益相关外，还涉及公共利益甚至国家利益。

“隐私权说”认为，即便在公众场合只要自然人并未事先获取明确的人脸识别通知，或者已采取戴帽子、口罩等相关有效措施隐藏了自己的面部特征，那么在主观上该自然人就享有合理的隐私期待，应当受隐私权保护[5]。《民法典》中，隐私权与个人信息权益的保护客体存在重叠部分，但二者不必然相同。人脸识别信息并不都具有隐秘、私密等性质，更多时候是可以基于同意授权或法律规定授权，而为私人利益、企业利益、公共利益或国家利益所用的。

“个人信息权益说”认为，人脸识别信息由于平时处于暴露状态，不具备个人隐私“私密性”特点，不能适用隐私权保护模式，应按照个人信息的标准进行保护[6]。即人脸识别信息本质上还是一种个人信息，既具备人身属性，又具备财产属性，如果单一地将人脸识别信息认定为人格权或财产权的某种范畴，那么将会陷入“二元择一论”的困境[7]。将人脸识别信息定性为个人信息权益，表明这是一种不绝对排斥他人使用的权利，除了防御第三人侵害之外，还可以主动加以利用[8]。

“个人信息权益说”在《中华人民共和国个人信息保护法》（以下简称《个保法》）中也有体现。个人信息权益是一种综合性权益，因为包括财产性利益，所以对其的保护和利用应当并重[9]；一味强调收集限制，阻碍有价值的信息流通和利用，可能会违反社会整体福利的要求[10]，不利于数字经济的发展，应从中找到一个平衡点，达到信息保护和利用的双赢状态。

二、人脸识别信息面临的安全风险及成因

（一）人脸识别信息面临的安全风险

1.人脸识别信息面临的安全风险来源

生物特征识别安全问题一般包含系统安全、个人隐私安全、应用安全和其他辅助安全等4个基本方面。人脸识别技术应用过程中的安全风险主要来源有：摄像头采集数据的传输安全、生物特征处理模块安全、生物特征处理模块与令牌通信安全、客户端与服务端通信安全和服务端安全[1]。

2.人脸识别信息的非法处理更易发生

根据GB/T 35273-2020《信息安全技术个人信息安全规范》（以下简称《个人信息安全规范》）的规定，在收集敏感个人信息前，信息处理者应确保信息主体在完全知情的前提下表示明确同意。然而，在实际情况中，许多商家往往在消费者不知情的情况下获取其人脸识别信息，或通过冗长的授权条款获得其“形式同意”，甚至过度申请权限、不同意就不能享受服务等“霸王条款”也屡见不鲜，这些行为实质上都属于非法收集。信息收集是信息流转的基础，非法收集人脸识别信息不仅是对信息主体的信息自决权的挑战，而且会对个人信息安全造成威胁。

3.人脸识别技术具有正负社会效应的双面性

人脸识别技术属于身份识别技术，以往较为流行的身份识别手段有验证码、电子签名等。随着数字时代的到来，人脸识别技术已成为身份识别的主流手段。人脸识别具有极强的人身依附性、难以篡改、易提取等特点，通过人脸信息去识别具体个人，可操作性更强、识别效率更高，更有利于数字经济的发展。

但是，技术永远是双刃剑。人脸识别技术除本身存在缺陷外，其应用的负面性也难以避免。比如，该技术的准确度会因个人的年龄、光照条件、面部表情等而出现偏差。人脸识别准确率也会因个人性别、肤色等差异而存在误差。在该技术应用的生命周期中涉及芯片厂商、算法厂商、移动终端厂商等众多角色，这使得人脸识别信息的泄露方式越来越复杂化，不正当竞争等恶性事件频发，对国家安全与社会稳定造成了一定的影响，同时也会侵犯公民的人格权与平等权，引发公众“刷脸忧虑”。

4.人脸识别信息易被泄漏和滥用且次生危害大

首先，受人脸识别技术的限制，在进行人脸验证时，需多层数据转接，用户要面对与数据中间商、数据后续利用者等多重主体的关联[11]，转接过程中，数据泄露风险势必增加。其次，商家为降低获取信息的成本，在收集人脸识别信息之初，会通过格式条款或者“霸权协议”等方式，让处于弱势地位的消费者被迫同意出让自己的面部识别信息，或者授权商家无条件使用该信息。一旦消费者同意，那么其人脸识别信息的流转、何时何地被盗取他们都将不得而知。最后，如果网络安全生态环境持续恶化，人脸识别系统的安全漏洞不可避免，黑客通过攻击这些漏洞有可能获取后台存储的人脸识别信息。

（二）人脸识别信息安全风险的成因

1.知情同意原则失效

知情同意原则是指信息处理者在收集信息主体的个人信息时，应保障其知情权并且获得其同意。该原则旨在实现信息主体的信息自决权，让其在个人信息领域占主导地位。从形式上看，这种“同意”机制为防止个人数据的滥用提供了保障[12]。然而，在人脸识别领域，知情同意原则往往流于形式，且处理方式极其简单化，难以保障用户的合法权益。这是因为人脸识别技术的“非接触性”特点导致被采集人脸识别信息的对象往往因不知情而未能明确地同意或拒绝。同时，知情同意原则本意要求用户对于收集、利用信息的行为有清楚明确的认知，并基于此做出是否同意的选择，但大多数人脸识别服务协议条款过于冗长、用词过于专业化，且未对重要条款进行明显标注，并存在“不接受即强制退出”的霸权协议，导致大多数用户被动同意采集其人脸识别信息。

2.人脸识别技术有局限性

首先，人脸识别系统的比对阈值设置过低，面部特征采集模块对样本质量判断能力较弱，使得人脸识别有可能发生错误识别的情况。其次，面部特征采集时不能很好地辨别呈现攻击类型，因此他人可以利用用户照片、视频或者其他攻击样本进行识别，存在非本人验证的情况下成功识别的风险。最后，系统缺乏对人脸图像的角度、距离等方面的有效检验能力，非法分子可以通过用户假眼或远距离注视等完成人脸验证。

3.企业忽视数据安全保障的社会责任

由于经济人的趋利性，企业往往一味追求自身效益最大化，而忽视数据安全。人脸识别技术的推广应用离不开将安全单元、可信执行环境等作为技术保障。人脸数据在收集后需要进行风险预判，通过隐私计算分析、加密存储等方法使得该数据处于风险可控状态，从而有效提升企业的风险预防能力。然而，很多企业并不注重风险防控，导致人脸数据泄露事件频繁发生。

4.人脸识别信息侵权具有特殊性且维权难度大

与一般的个人信息侵权相比，人脸识别信息的侵权问题更具特殊性，具体表现为：其一，侵权主体难以确定。人脸识别设备几乎布局于各个领域，用户的人脸识别信息可能早已在不知情的情况下被收集。同时，面部信息被收集后历经环节众多，流转于多个信息处理者之手，信息主体很难确定自己的人脸识别信息是在哪一个环节被何人所侵犯。其二，侵权行为更为隐蔽。由于人脸识别技术的“非接触性”，用户可能在无意识的情况下被采集面部信息，且很难在第一时间发现权益受损。其三，侵害后果具有不可逆性。银行卡、手机卡丢失可以通过挂失、补办将损害程度降为最低，但是人脸识别信息一旦泄露，将无法抹除互联网的记忆，难以彻底消除信息泄露所带来的负面影响。

5.人脸识别信息安全风险的监管有待加强

目前，人脸识别信息的应用场景日益泛化，导致个人权益被侵害的社会风险进一步加剧，但政府的行政监管却存在很多困境，表现为监管依据缺乏针对性与体系性、监管机构分散化、监管措施有限等问题，对此需要不断探索和完善各种保护措施[13]。

三、人脸识别信息的域外法律保护现状

（一）欧盟

目前，欧盟主要通过《通用数据保护条例》（General Data Protection Regulation，以下简称GDPR）对人脸识别信息这项生物识别数据进行特殊保护。一方面，GDPR第4（14）条规定，采用特殊技术处理个人的身体特征和行为特征，并能识别特定自然人的数据属于生物识别数据，如人脸识别信息、指纹识别信息等。为排除肖像权和隐私权的冲突，GDPR叙文第51条规定，照片不属于生物识别数据，只有经过特殊技术处理的能识别自然人的照片才属于该范畴。另一方面，GDPR将生物识别数据归于特别的个人数据范畴，非法律规定的例外情形不得随意处理。例如，人脸识别技术应用于商业领域必须经数据主体“明确同意”，且该同意必须“真实、自由、明确、不含糊”。换言之，凡是逼迫用户被动同意使用该技术的均不合乎GDPR的规定。

2018年，法国颁布的《法国数据保护法》规定，“在未经用户同意的情形下，无论是公权力机关还是私营主体，都必须经法律授权才能处理生物识别数据”。法国数据保护机构（CNIL）在2019年发布的人脸识别报告中指出，人脸识别技术的使用会威胁公共领域的匿名性。CNIL认为，在发展技术的同时应重视公民的隐私权，这样才能赢得公民的信任。2019年8月，Anderstorps高中在教室内使用人脸识别技术捕获学生人脸识别信息并将其储存在未连接互联网的本地计算机中。此举尽管事先获得了学生监护人的明示同意，但由于学校与学生之间信息不对等、地位不平等，监护人的意愿不能等同于学生的意愿，因此，仍违反了知情同意原则，属于非法收集；且收集人脸识别信息并不是上课所必要，因此还违反了数据最少收集原则。另外，由于学校未对该技术进行风险评估，被瑞典数据保护机构（DPA）罚款20万瑞典克朗[14]。由此可见，欧盟倾向于对人脸识别技术进行强制监管。

（二）美国

不同于欧盟统一立法的模式，美国采取的是对数据隐私和数据安全分别立法，且在联邦层面未制定统一法案，而是在各州分散立法。

在联邦层面，2019—2020年，美国参众两院通过了《商业人脸识别隐私法案》《人脸识别技术授权法案》以及《道德使用人脸识别法案》。《商业人脸识别隐私法案》针对的主体为企业，要求在使用人脸识别技术前应征得用户同意，且不得将人脸识别信息进行非法共享；《人脸识别技术授权法案》主要限制相关执法机构利用该技术监视公民生活，明确只有获得法院指令方能使用；《道德使用人脸识别法案》禁止公权力机关使用该技术，以防止其侵犯公民隐私。由此可见，美国的相关法案重点在于限制公权力机关随意采集公民的人脸识别信息，对企业和技术的发展有较高的包容度[15]，不倾向于强制监管，而是通过严格的行业自律规范来达到保护个人信息的目的。

在州层面，2008年，伊利诺伊州制定了《生物信息隐私法案》（BIPA）。不同于欧盟的GDPR，BIPA并未规定是否可以使用生物识别信息，而是规定应如何使用该信息。其一，在首次采集个人生物识别信息时，必须将目的、内容和数据保留时间等情况告知信息主体并获得其书面授权；其二，企业必须制定数据保留计划，如果个人与企业的最后联系时间超过三年，企业应对该数据进行销毁；其三，未经信息主体同意，不得对生物识别信息进行出售或向他人披露，除非属于法律规定的例外情形[16]。2019年5月，旧金山市颁布《停止秘密监控法令》，成为美国首个禁止面部识别监控的城市。2019年8月，马萨诸塞州禁止了政府和警察使用人脸识别技术，并规定通过该技术获取的证据在诉讼中不具证明力。2020年3月，华盛顿州通过《人脸识别服务法》，强调政府机构使用人脸识别技术必须维护公民自由和增加社会福祉，通过建立审查测试机制保障个人信息安全。

欧盟一直以来严格限制生物识别数据的使用，不仅坚持限制公权力机关采集面部识别数据，而且对企业滥用人脸识别信息的打击日趋严厉，使得技术发展受阻。而美国对人脸识别技术的规制较为自由，将权限赋予各州，但从近几年各州的立法来看，美国似乎走上了一条日渐保守的道路[17]，人脸识别技术在美国的推进发展并不顺利，而是困难重重。

四、我国人脸识别信息的法律保护现状

（一）法律依据及相关内容

立法上，《中华人民共和国网络空间安全法》（以下简称《网安法》）和《民法典》等法律对生物识别信息均有涉及。《民法典》第1034条第2款以列举形式规定，个人信息包含生物识别信息。《网安法》在第7章附则中对个人信息进行解释时也涉及到该类特殊信息，但所用术语与《民法典》稍有不同，为“个人生物识别信息”。该表述强调了生物识别信息与个人之间的对应性与关联性，更清楚地表明了生物识别信息具有唯一性与高度人身性。

具体来说，《民法典·人格权编》只是将生物识别信息列举在个人信息的范畴内，并未对其做进一步区分；《网安法》未区分敏感个人信息与一般个人信息，因此人脸识别信息作为个人生物识别信息的一个小分支，只能作为一般个人信息进行保护。《民法典·人格权编》第1034条第3款的规定看似是对个人信息的双重保护，实则容易造成两个棘手问题：一是混淆个人信息与隐私的权益客体，使对具有综合性内容的个人信息权益客体的保护受到一定程度的削弱；二是模糊一般个人信息与敏感个人信息的差异，忽视其本质区别，以同样的力度保护两种信息显然不合时宜，不利于突出人脸识别信息等个人生物识别信息的特殊保护地位[18]。对此，敏感个人信息的立法已提上议程。2021年8月20日，《中华人民共和国个人信息保护法》（以下简称《个保法》）经第13届全国人民代表大会常务委员会第30次会议予以通过，自2021年11月1日起施行。该法共包括8个章节、74条，是首部完整规定个人信息处理规则的法律，充分彰显了我国在个人信息保护领域立法的时代性、国际性和本土性[19]。《个保法》第2章第2节对敏感个人信息的处理规则进行了专节规定，从立法层面将生物识别信息正式纳入敏感个人信息范畴。同时，结合《个人信息安全规范》对生物识别信息外延的规定可知，该信息包括面部识别特征，而该特征又是人脸识别信息产生的前提和基础，由此可推出人脸识别信息属于生物识别信息，应按照《个保法》对敏感个人信息的处理规则进行保护。而以往个人信息处理者提供的一揽子授权同意协议却从本质上剥夺了知情同意权。因此，《个保法》明确规定两种同意机制：一是广泛的同意；二是单独的同意，即对于敏感个人信息的处理必须征得信息主体的单独同意，也就是需要信息主体在充分知情的情况下明确地表示同意。这是《个保法》为突破目前知情同意“僵局”而做出的重大尝试，将贯穿人脸识别信息保护全过程，但对于敏感个人信息的处理是否需要“书面同意”，仍未能明确。

（二）司法现状

1.“人脸识别第一案”分析

（1）案情简介

实践中通过人脸识别技术侵犯个人信息的情形常有发生，比如诉诸法律的“人脸识别第一案”。郭兵作为杭州野生动物世界有限公司（以下简称“野生动物世界”）的年卡用户，办卡时录入了姓名、手机号、指纹等信息，还拍了照片。后因不满野生动物世界入园方式由原先约定的指纹识别转变为强制人脸识别，他以野生动物世界违反服务合同约定、存在欺诈为由，于2019年将野生动物世界告上法庭。

（2）判决亮点

野生动物世界在与原告签订的年卡合同中约定入园方式为指纹识别，但同时又收集了原告及其妻子的面部识别信息，显然超出必要要求，违反了正当性和必要性原则。一审法院判决被告删除原告办理年卡时提交的照片等信息。对此，双方均不服而上诉。二审法院在一审判决基础上增判被告删除原告办理年卡时提交的指纹信息，因为被告不再使用指纹识别闸机，持有指纹信息已无必要。法院认为，生物识别信息直接关联特定个人的生理和行为特征，若发生泄露或存在非法处理行为，极有可能导致信息主体遭受歧视待遇，甚至威胁其人身安全和财产安全，故更应谨慎对待，以更严的标准进行保护。尽管原告在办理指纹识别时被要求拍照，但被告并未告知原告拍照会完成人脸识别信息的采集，而同意拍照也并不意味着原告及其妻子同意被告采集他们的人脸信息并用于识别。因此，被告的操作不符合知情同意原则。该案的两审判决均对个人信息的司法保护明确“亮剑”，不但适用现有立法确立的“合法、正当、必要”的收集原则、信息使用的“知情同意原则”和“目的限制原则”，而且落实了个人信息删除权，开启了我国个人信息保护的司法实践。

（3）判决未决问题及思考

尽管该案的判决保护个人信息的立场鲜明，但因案件新颖前沿，涉及问题敏感，事关各方利益，加之立法对于人脸识别信息等保护尚不具体细致，法院的两审判决都比较谨慎，并以“法律依据不足”“证据不足”等理由回避了一些关键问题与诉求，暴露出立法、司法和监管在针对这类案件时的局限性和滞后性。

首先，野生动物世界以霸王条款方式强制将人脸识别作为唯一入园方式，是否合法有效？原告要求判定该内容无效，但法院予以回避。然而，这涉及到人脸识别技术的安全性与消费者选择权的保障、人脸识别技术的正当利用与滥用的界限等问题。笼统地说，新技术的运用，应当正当；但就具体而言，人脸识别技术的使用是否坚持必要原则，是否区别主体而采取不同门槛，仍需要全面深入地论证。

其次，删除是否需要第三方认证？原告要求在被告删除其相关信息时应有第三方认证机构在场认证，但未能得到法院支持。虽然法院判决被告删除原告相关信息，但鉴于信息的易复制性、无形无体性、高度传播性，以及考虑到信息主体的技术弱势，如何确保信息主体的删除权得到落实，具体怎么删除，有无可能利用已删除信息去做别的事，对于原告而言不得而知。缺乏保障的判决执行难免让判决书变成一纸空文而折损司法威严。

再次，违约之诉与侵权之诉及个人信息维权困难。该案中，本是法学博士的原告在懂得如何收集证据等的情况下，也感慨侵权事实及损害的举证难度异常大，其前期准备的充分证据比如手机视频等也无法得到法院认可。可见，对于尚不具备法学专业知识的普通消费者而言，类似案件的维权定是难上加难。该案在性质上属于服务合同违约之诉而非个人信息侵权之诉，而原告之所以不以人脸识别信息受到侵害为由提起侵权诉讼，就在于侵权举证难度太大。在《个保法》出台之前，我国对于人脸识别信息等个人生物识别信息的侵权归责采用过错原则，要求受害方信息主体承担证明责任。比如，一审时法院认为，原告及其妻子的入园记录对消费者而言属于自身的行踪信息，而对服务提供者野生动物世界而言却属于其经营信息，该类信息应属于两方共同所有。原告只能在有证据证明被告存在泄漏、非法使用等行为，且对自身合法权益造成损害或存在损害可能性时方能要求法院对该信息进行删除，否则法院不予支持。尚且不谈举证责任的分配对处于弱势一方的信息主体是否公平，在当下互联网高速传播的信息社会，即便在信息主体收集证据准备诉讼的时期，其信息仍存在转于人手而无法止损的风险。因此，我们认为，如何在保障新兴技术蓬勃发展的同时最大限度地保护公民的个人信息安全，是目前亟需解决的问题。

最后，个人信息，尤其是人脸识别信息的保护制度与规则，存在适法困难且需求细化的问题。该案中，由于立法没有太多细化规定，法院主要从个人信息处理的“合法、正当、必要”原则进行评判，因而还不够全面。

2.《人脸信息司法解释》简析

正是在“人脸识别第一案”的推动下，2021年7月28日，最高人民法院发布《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（以下简称《人脸信息司法解释》），部分回应了该案判决中未决的疑问，同时进一步完善了其他规定。

第一，该解释仅适用于人脸信息民事案件，未涉及行政与刑事案件；且主要以人脸信息司法保护的问题与需求为导向，对侵权责任、合同规则以及诉讼程序等方面作出规定。该解释将其保护客体明确表述为“人脸信息”；调整的责任主体是信息处理者；调整的行为分为两类：一是使用人脸识别技术处理人脸信息；二是处理基于人脸识别技术生成的人脸信息。

第二，该解释列举了处理人脸信息时违反“正当、合法、必要”原则的7种具体表现和1种兜底规定，包括经营场所、公共场所使用人脸识别技术时未依法进行、不符合公开透明原则、未遵守“单独+书面同意”原则、处理行为违反约定、未采取必要措施、违约或违法提供人脸信息、违背公序良俗原则，以及违反“合法、正当、必要”原则的其他情形。这不只是对第一案判决依据的细化，还是对违反该原则的其他表现的开放式补充，大大增强了司法操作性与逻辑周延性。

第三，为落实“同意授权”的真实性，该解释进行了重点规定。除正面要求“单独同意”和“书面同意”外，还列举了负面清单即无效的“同意”情形，包括在“非必需”情形下却以“不提供产品与服务”为要挟的同意、授权捆绑同意以及强迫或变相强迫同意的其他情形。这无疑对解决“同意”失灵这一棘手的现实难点提供了有力依据与典型方式。同时，对有关“同意”的格式条款效力作出规定，即将签约时“要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利”归入《民法典》中的无效格式条款。

第四，在维权与救济方面，该解释首先列举了4种具体的免责事由并加上开放的兜底规定，以平衡人脸信息处理中的利益关系，具体包括：突发公共卫生事件或紧急避险下必须的处理；为公共安全而在公共场所的处理；为公共利益的合理使用，在同意范围内的处理；其他合法情形的处理。其次，该解释明确了信息处理者的举证责任，采取倒置原则，大大降低了信息主体的维权难度。最后，该解释还对财产损失、人格权侵害禁令做出规定，以加强权利救济。

第五，该解释补充了对死者人脸信息的保护内容，即对违规或违约处理死者人脸信息的情况，死者近亲属依据《民法典》第994条请求信息处理者承担相应民事责任的，适用本规定。《民法典》第994条是死者人格利益保护条款，在修法尚不现实的情况下，该解释是为权宜之计，具有积极意义。

目前涉及人脸识别信息的法律保护仍存在一些较为明显的问题。其一，立法碎片化现象突出，不利于对人脸识别信息有针对性且系统的保护。其二，人脸识别信息的保护被包裹在“个人信息—敏感个人信息—生物识别信息”之中，尚未对其进行独立的、细化的规定。其三，国家的推荐性标准尽管针对性更强，但因缺乏强制性而无法形成有效约束[20]。其四，利益衡量不够清晰，多为原则性规定而非确定性规则，针对性较弱，缺乏可操作性，需提高司法适用性，以避免法官裁判时的无所适从。其五，目前对人脸识别信息的保护多限于民事法律规定，保护重点是信息主体的私人权益，而对行政监管与刑事规制方面的针对性还比较欠缺，对人脸识别信息承载的公共安全利益保护不足。

五、我国人脸识别信息安全法律保护的完善

（一）立法上明确人脸识别信息的特殊地位和特别保护原则

1.建议表述为“人脸识别信息”并明确其特殊地位

尽管人脸识别信息比较特殊且重要，但在《民法典》《网安法》《消费者权益保护法》等法律中，其地位与一般个人信息别无二致。《人脸信息司法解释》将保护客体明确表述为“人脸信息”，并限定为“使用人脸识别技术处理人脸信息”“处理基于人脸识别技术生成的人脸信息”。其实，这两种情形下的人脸信息都用于识别，属于《个保法》和《民法典》中的“生物识别信息”，加上我国立法对个人信息的定义也采取“识别标准”，因此建议立法上将“人脸信息”表述为“人脸识别信息”，并归入敏感个人信息和重要数据范畴。这样不仅可以避免扩大保护未用于识别的人脸信息，而且可以为人脸信息的合理使用、匿名化使用等留出空间。人脸识别信息满足《个保法》第28条第1款的判断标准，属于该法规定的敏感个人信息。2020年，全国信息安全标准化技术委员会正式立项《信息安全技术重要数据识别指南》。从目前的草案稿来看，该标准将敏感技术类数据纳入其中。人脸识别信息依托人脸识别技术这类敏感技术而产生，属于《数据安全法》规定的“重要数据”，依该法应给予更为严格的规制及保护，对此应尽快出台保护“重要数据”的配套规则。

考虑到人脸识别信息的特殊地位，在死者人格利益的相关保护法规中应将其单列。依据《人脸信息司法解释》，在《民法典》列举的死者人格利益中，死者人脸信息与其肖像、隐私、荣誉、名誉等人格利益同样获得保护。但如前所述，人脸信息不等同于肖像（人脸图像）、隐私，在其受到侵害时也未必会造成荣誉或名誉的损害。因此，为充分保护死者人脸信息，仅靠司法解释只是权宜之计，长远来说，应在立法上补充规定死者人脸信息、生物识别信息等相关权益。死者的其他个人信息会因其死亡而变得无意义，比如住址、电话等。但人脸等生物识别信息与姓名、肖像、名誉、荣誉等一样，可能会在死者死后对其近亲属的人格与财产利益构成伤害，对此应明确给予保护。

2.明确人脸识别信息的特别保护原则

（1）动态化并全面落实知情同意原则

知情同意原则是处理个人信息的合法基础。《个保法》与《人脸信息司法解释》一般性地规定了单独同意、书面同意、负面清单、无效的同意条款等具体规则，进一步确保了自然人同意的真实意思。但针对现实中层出不穷的“强迫或变相强迫同意”的情形，知情同意原则总是面临新的困境，所以相关规则仍需完善。尤其要强调“同意”的动态化落实，即根据情况可以撤销同意等，以保证用户是完全知情和完全同意的，进而对抗概括授权、终身授权等。摒弃原有机械的知情同意模式，采取动态化同意可以提高同意授权的有效性，可以实现对人脸识别信息的全程管理[21]。比如，信息处理者在信息收集超出原始目的或者业务范围发生变更时，应及时通知用户并单独列出个人人脸识别信息以获取新的同意，保持信息的持续披露[22]，及时行使撤回同意、终止使用并删除有关数据等权益，最大程度地减少信息不对称，确保信息主体依据目的行使限制原则等。

《个保法》没有专门针对人脸识别信息作出规定，而是以第2章第2节就生物识别信息在内的敏感个人信息的处理规则作出专节规定：一是确立处理的前提条件是“具有特定目的+充分的必要性+采取严格保护措施”；二是明确要“单独同意”，并将是否需要“书面同意”留给其他法律法规来规定；三是规定处理之前的特别告知义务——告知必要性和影响。此外，该节还将不满十四周岁的未成年人的个人信息纳入敏感个人信息，规定对其的处理应在取得未成年人父母或其他法定监护人的同意之后方可实施，并要求制定专门的处理规则。对人脸识别信息进行采集时应明确出具“书面同意”，这样便于将其处理的前提条件和“单独同意”留证督促，便于对人脸识别信息被泄露、丢失等次生损害进行维权。

（2）强调并落实狭义比例原则

狭义比例原则旨在衡量手段与目的是否相当，是对目的审查的“跳跃”[23]。该原则要求处于控制地位的一方应通过考量手段与目的之间的关系来最大限度地降低损害，实现利益最大化，使利益与损害之间合乎狭义比例。公权力机关和企业等在使用人脸识别技术收集信息时必须遵循狭义比例原则，实现多元价值和利益之间的平衡。公权力机关应仅在刑事侦查、维护国家和公共安全等涉及重大公共利益等领域使用人脸识别技术，不得在非必要的情形下滥用公权力。而企业等私主体只有在不收集用户人脸信息则自身产品或相关服务无法实现其基本功能的情形下使用人脸识别技术。基于商业推广、管控便利等目的的处理，则超出必要范围，不符合狭义比例原则应予制止，这也与《个保法》第28条第2款的立法理念吻合。

（二）司法上落实并探索安全保障义务与责任的适法规则

1.明确人脸识别信息侵权归责原则为无过错原则

《民法典》对个人信息侵权案件的归责采用的是过错原则，但人脸识别信息侵权与一般的个人信息侵权存在较大差异，若将其适用于人脸识别信息侵权事件，则难免会因维权困难而让信息主体的司法救济权落空。为了更好地适应信息时代的特点，更大程度地保护公民的个人信息，《个保法》第69条采取了较为折中的归错推定原则，弥补了信息主体的弱势举证地位，较为有利地实现了对信息的保护和平衡技术的发展。人脸识别信息侵权更为隐蔽，其所造成的损害后果具有不可逆性，立法对两种不同性质的信息侵权应区别对待。对一般个人信息侵权采取过错推定原则，而对于人脸识别信息等敏感个人信息侵权应采取更严格的无过错原则。只有这样，需要采集人脸信息的企业才能真正看到国家对人脸识别信息保护的决心，才能更好地督促企业落实自己的安全保障义务，最大程度地减少人脸识别信息泄露、滥用等侵权事件的发生。

2.明确第三人侵权情形下的不真正连带责任

《民法典·侵权责任编》第1198条第2款规定，存在第三人侵权的，由第三人承担侵权责任，经营者未尽到安全保障义务的承担补充责任，承担完补充责任后可向第三人追偿。然而，在人脸识别信息侵权事件中，信息主体难以在复杂的信息流通过程中依靠自身直接锁定侵权人，更多的是通过平台进行反映和救济，如果此时只让信息处理者承担补充责任的话，并不利于对信息主体的最终救济。尽管《人脸信息司法解释》将按份责任、过错责任、连带责任的选择权交给信息主体，但鉴于信息主体各方面的弱势，其选择未必是最利于自己，很可能是出于无奈与被迫；同时，该解释主要是对多人都侵害人脸信息情况的责任划定，未明确表述适用于仅有第三人直接侵权时的情形。因此，为切实保护信息主体的利益，建议在第三人侵权情形下，信息处理者应承担不真正的连带责任，即信息主体既可以选择向直接侵权人寻求损害赔偿，也可以选择让信息处理者承担连带责任。信息处理者在承担完连带责任后可以向第三人追偿。因为信息处理者的赔偿能力比第三人强，且可以通过商业保险等方式分散自身风险[24]，而且信息处理者可以利用技术手段去检查技术纰漏，从而更快地找到直接侵权人并向其追偿。如此处理对各方主体都更为公平合理，有利于利益平衡。

（三）执法上尝试引入第三方机构认证制度

在“人脸识别第一案”中，原告要求第三方认证机构介入验证的诉求未被支持，而他自己无法验证被告是否确已删除且确保没有备份，因此对于“删除”的执法后果不无担忧。对此，《人脸信息司法解释》也未作规定，但是强调“删除”请求不因没有约定而被对抗，即“删除权”属于法定权利，不以是否约定为依据。鉴于人脸识别信息等个人信息的非物质化、易复制传播等特点，而且在删除行为上信息主体处于被动地位，为确保“删除权”得以落实，建议执法中尝试引入第三方机构认证制度，即由第三方认证机构对人脸识别信息的删除、变更等真实结果进行认证并承担相应认证责任，进一步确保信息主体的权利得到落实。同时，认证费用应由侵权者或违约者承担，加大其违法成本，遏制此类违法犯罪的发生。

（四）加强人脸识别信息的行政保护与刑事保护

人脸识别信息的保护，不但事关信息主体的私人权益，而且关乎国家和公众的利益，因此专门依靠私权力主张的民事救济远远不够，而应借助公权力的行政与刑事保护。

1.设立专门行政监管机构、完善行政监管体系以促进技术向善

监管主体的缺失是公民的个人信息无法得到有效保护的重要原因之一。但遗憾的是，最新出台的《个保法》仍未规定专门的个人信息管理机构。该法虽然规定由国家网信部门统筹负责个人信息的保护和相关监管工作，但由于人脸识别技术已渗透到各行各业，在实际操作中，网信部门往往是与中华人民共和国工业和信息化部、国家市场监督管理总局及公安部等行政部门一起对人脸识别信息进行监管。多方监管和多头治理反而容易形成“责任空白”。因此，为便于对人脸识别信息进行单独监管，我国有必要设立一个专门监管人脸识别信息的行政机构——面部信息监管委员会。该部门可以由网信部门牵头，抽调其他相关部门的专业工作人员共同参与组成。

由于“技术中立”已将人类置于过多的负效应中，“技术向善”成为新时代的技术发展原则，并得到《中华人民共和国数据安全法》（以下简称《数据安全法》）的立法肯定。比如，《数据安全法》第15条规定“提供智能化公共服务，应当充分考虑老年人、残疾人的需求，避免对老年人、残疾人的日常生活造成障碍”；第28条规定“开展数据处理活动以及研究开发数据新技术，应当有利于促进经济社会发展，增进人民福祉，符合社会公德和伦理”。这些对智能化公共服务、数据处理与新技术研发目的的要求，其实质是对技术向善的要求。在“向善”原则的指导下，结合《个保法》《民法典》《网安法》《数据安全法》等规定，可从3个方面进一步落实、加强或完善：一是设立面部信息监管委员会，并由其研制人脸识别行业安全标准；二是建立市场准入制度，完善和落实备案审查制度，确保只有符合安全标准的企业才能使用该技术，同时监管信息处理者尽到合理注意与安全保障义务；三是针对人脸识别信息完善和落实风险评估制度。

2.对侵害公民个人信息犯罪中的人脸识别信息法益以特别保护

刑法修正案（七）和（九）分别增加和完善了个人信息犯罪处罚内容，但因其走在民事立法前面，对个人信息的外延和法益内容过于笼统。随着《民法典》《网安法》《数据安全法》《人脸信息司法解释》等法规的出台，刑法保护的公民个人信息法益理应包括人脸识别信息法益。且在人工智能技术，尤其是人脸等生物识别技术蓬勃发展的背景下，应当预判到人脸识别信息遭到犯罪危害后的风险，因此应加强该部分的刑事法律保护，不断探索和总结人脸识别信息犯罪的表现和责任承担。

（五）行业发展上健全自律机制并落实企业数据合规管理

1.制定人脸识别行业组织自律规范

人脸识别技术的发展日新月异，但法律规范总是滞后，而且过于严格的法律监管并不利于新技术的发展。因此，制定并完善行业组织自律规范，加强行业协会的监督和引导作用不仅可以降低国家的执法成本，也能更好地保障技术创新，达到双赢的局面。《人脸识别线下支付行业自律公约（试行）》作为我国首个人脸识别行业自律规范，强调对用户信息的保护。该公约由中国支付清算协会负责监督检查，对违反公约的行为予以惩戒。但此公约仅适用于刷脸支付领域。在未来，还应细分应用场景和其他领域，并有针对性地制定自律规范，为人脸识别技术的应用创造积极自律的行业环境。

2.落实和完善人脸识别企业数据合规管理

当前，尽管人脸识别技术已应用于生活的方方面面，但公众对这项技术其实还处于一知半解的状态。人脸识别企业难免在利益的驱使下触碰法律法规红线。对此，可对相关企业规定合规的自证自查义务。人脸识别企业应当时刻关注个人信息领域的最新立法动态，严格按照相关法律法规对人脸识别产品和服务加强合规管理，实现自身行业发展与权利主体权益保护的平衡。首先，企业应当加强法务部门建设，更好地利用国家相关法律法规和政策，防止自身因不熟悉法律法规而违法采集人脸识别信息；其次，在对人脸识别产品和服务方案预审时，企业应及时开展合规的伦理审查，避免人脸识别技术被应用于危害社会公共安全、违背社会公序良俗的场景；再次，要对用户协议进行合法性审查，完善用户权益保障机制，并避免将大部分风险责任归于用户，以增强消费者对该技术的信任；最后，因为很多信息泄露事件是由于员工监守自盗，所以企业应定期对员工进行数据合规和数据安全方面的培训。