人脸信息保护的制度基础、现实难题与法律因应

王 东，李辉慧

（新疆财经大学，新疆 乌鲁木齐 830012）

一、问题的提出

人脸识别是在数字经济发展中出现的一种全新技术，在信息社会，被广泛应用于交通出行、智慧社区、网上银行、天网追逃犯罪嫌疑人等领域，为开展社会治理和便利居民生活带来了极大的技术化效能。例如，在2022 年北京冬奥会上，基于人脸识别技术的智慧闸机将技术与防疫标准紧密结合，既能提高识别运动员身份信息的准确度，又能有效减少交叉感染风险①参见《人脸识别+测温 从赛场黑科技看天翼云AI技术》，https：//m.gmw.cn/baijia/2022-02/23/35539513.html。。为提升疫情防控的精准性，上海市公惠医院安装了人脸识别测温闸机，通过人脸识别技术系统自动筛查进入院区病患家属的健康码，同时完成测温，两者均合格后方可入院，极大地提高了入院效率，并可在必要时方便管理人员进行后期追踪②参见《探天下人脸识别测温闸机为上海市公惠医院加固防疫关卡，保障人员安全》，https：//www.sohu.com/a/530557473_120130513。。综合来看，人脸识别利用技术优势广泛应用于社会综合治理和突发事件应对，极大地提高了服务和管理效率，实现了真正意义上的智慧化、数字化服务和管理。但不可忽略的是，人脸识别技术的不当使用也会对个人信息保护带来严峻挑战，造成个人信息保护的现实风险。

对人脸识别技术的规制以及对人脸信息保护的研究是当前法学领域的研究热点，研究主要集中在以下几个方面：一是对人脸识别技术应用特点的研究。学者们对于人脸识别技术实践应用特点的归纳，并无较大分歧，大都认为人脸识别技术是以人脸信息特征作为身份识别和验证的一种技术，具有无接触性、易采集性、可识别性、唯一性等特点。邢会强［1］认为人脸的独特性、易采集性、不可匿名性和不可更改性决定了人脸识别技术的复杂性；杨复卫［2］认为人脸识别技术是以面部特征、数字信息为基础的一种生物识别技术，具有自然性、非接触性。二是对人脸识别技术应用风险的研究。此类研究主要集中于人脸识别技术对现有社会价值和法律秩序的冲击，涉及对个人隐私权、肖像权、财产安全、公共安全等方面的威胁。文铭［3］认为人脸识别技术具有非接触性特点，便于远程采集公民信息，进而引发个人数据泄露甚至隐私遭受侵犯的风险；王鑫媛［4］认为人脸识别技术在推广使用中易陷入唯数据论的困境，产生技术伦理风险和社会信任危机；孙道锐［5］认为一旦人脸识别技术被滥用，其异化的结果将使个人、社会、国家遭受不同程度的侵害；郭春镇［6］认为不规范使用人脸识别技术可能贬损人的主体性和尊严。三是对人脸识别技术的规制建议研究。邢会强［1］运用法经济学原理对治理人脸识别风险进行了成本收益预判，认为应具体问题具体分析，避免“一刀切”；周光权［7］统筹民法典和个人信息保护法的立场，认为应严格依照犯罪构成要件判断信息违法行为是否构成犯罪；王利明［8］认为对于人脸识别生物信息，除主要按照法定规范进行判别外，还有必要根据不同场景遵循特殊的规则。

通过文献分析可以发现：一方面，关于人脸识别技术及其滥用带来的风险已然成为学界关注的焦点，学者们分析了人脸识别技术的本质、技术滥用而导致的公共安全问题，以及个人权益及财产安全如何保障等问题，为进一步探索人脸识别技术中信息保护的法治化路径奠定了基础。另一方面，当前研究主要从理论层面讨论对人脸识别技术的规制方式，实践中相关法律法规落地实施后未充分发挥“重预防、兼惩治”的关键作用，故滥用人脸识别技术的侵权事件仍频繁发生。因此，我们需要进一步思考，相关法律法规颁布实施后，人脸识别技术引发的侵权事件依然频发的内在原因是什么，以及应该如何拓展平衡技术发展与人脸信息（个人信息）权利保护之间关系的法治化路径。基于以上考虑，本文从梳理我国现有人脸信息保护的法律制度出发，分析人脸信息保护法律适用层面的不足，通过分析技术缺陷和滥用行为对人脸信息保护带来的风险，归纳总结出当前人脸信息法律保护中存在的现实难题，以期能够提出更有针对性的法律制度优化思路。

二、我国关于人脸信息保护的法律制度

当前我国并未对人脸信息保护进行专门立法，相关法律规定分散于《中华人民共和国宪法》、《中华人民共和国民法典》、《中华人民共和国个人信息保护法》、《中华人民共和国刑法》、《中华人民共和国数据安全法》、《中华人民共和国网络安全法》等法律法规中。截至目前，仅有《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（以下简称《人脸识别技术适法规定》）可被视为我国现时唯一的专门针对人脸识别技术进行规制的法律文件。在未有专门法的情况下，以上法律共同构成了当前我国规范人脸识别技术与人脸信息处理的主要法律框架，因而有必要梳理相关立法条文，厘清人脸信息保护的法理基础。

（一）《中华人民共和国宪法》将人脸信息与人格尊严紧密联系在一起

宪法作为规范公权力和保障私权利的基石，从“人权”、“人格尊严”条款引申出对人脸信息保护法律制度的价值基础和基本原则，从而明确对人脸信息保护的宪法基础。“个人信息受保护权的根本目标，其所保护的并非信息主体对个人信息占有、使用、收益、处分，而是个人在信息处理过程中的主体尊严”［9］。在当前人脸识别技术广泛被运用的“刷脸”时代，公民的人格尊严面临着前所未有的被侵害风险。在许多公共场所，如居民小区、机场、火车站、酒店等，以保障个人安全或场所公共安全为由利用人脸识别技术任意获取个人人脸信息的现象并不少见，公民只要具有进入该公共场所的现实需求就不得不录入人脸信息并接受识别，以此获得进出通行的许可。从某种意义上说，这种基于人脸识别后才被授予通行权利，其行为隐藏的是认为公民的人脸信息并不属于公民基本人格尊严范畴的逻辑（因此随意采集、使用并不造成对人格尊严的损害）。基于这种逻辑的人脸识别技术在现实中的推广，一方面使得公民对人脸识别的要求不得不配合，另一方面或将使公民对“不刷脸便不得进入”这一行为逻辑的潜在意思产生进一步的疑问，即为了公共安全的需要而要求对进入特定领域的公民强制进行人脸信息识别是不是隐含着公共安全的保卫者把每个公民都当成潜在的违法嫌疑人对待的意思呢？一旦公民拒绝刷脸便会被限制权利（如拒绝录入人脸信息而导致无法刷脸通过小区门禁或无法入住酒店等），这种限制权利的做法必然会使其感到人格尊严受到“冒犯”。人脸识别技术在公共场所的广泛使用可在一定程度上反映出国家对于公共安全的强烈责任感。从保障公民基本权利的底线逻辑出发，可以清晰地看出，《中华人民共和国宪法》第三十三条、第三十八条所确立的“国家尊重和保障人权”、“公民的人格尊严不受侵犯”的基本原则应被认定为对人脸信息进行保护的宪法基础①《中华人民共和国宪法》第三十三条规定“国家尊重和保障人权”，第三十八条规定“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害”。。“人格尊严”蕴含在人权保障体系并体现了其基础性价值，从外延范围来看，《中华人民共和国宪法》第三十八条“人格尊严”的概念外延不仅包括诸如名称、肖像等具体权利，还包括公民所能感知的所有关乎个人尊严的权利。从规范他者行为的角度而言，宪法上的“人格尊严”是一种“公民作为具有独立意志的主体享有的得到尊重的权利，包括但不限于不受侮辱、诽谤和诬告陷害的人格权”［10］，其可归属为宪法上的一般人格权，因此也可将人脸信息受保护视为一般人格权内容的个人自我决定权之产物。人的尊严是个人信息保护的最终价值依归，一般人格权是其具体权利基础。作为个人生物性信息具体代表的人脸信息，承载着公民的人格利益，与公民人格尊严密不可分。

（二）《中华人民共和国民法典》明确了人脸信息法律保护的一般性原则

除了关乎人格尊严，人脸信息还是公民在现代信息社会享有的一项重要人身权利。人脸信息在《中华人民共和国民法典》中被置于“个人信息权利束”进行保护，“从权利性质看，个人信息权利束是国家履行积极保护义务、通过制度性保障对个人进行赋权的结果，本质是国家在‘保护法’理念下赋予个人的保护手段和工具”［11］。《中华人民共和国民法典》第一百一十一条将人脸信息纳入个人信息项进行保护，规定“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”，对自然人的个人信息受法律保护和其他民事主体对自然人个人信息保护的义务作出了明确规定。第一千零三十四条至一千零三十九条则在第一百一十一条这一原则性规定的基础上对人脸信息保护的一般原则作出规定，从而为《中华人民共和国个人信息保护法》的相关规定提供了基本法依据，确立了人脸信息保护的基本规则框架。《中华人民共和国民法典》给予人脸信息明确的法律保护，禁止滥用人脸信息，保障公民人格尊严，使公民免受非法侵害，对维持良善和诚信的社会秩序具有重要的现实意义。

（三）《中华人民共和国个人信息保护法》明确了对人脸信息法律保护的一般性规则

2021 年11 月1 日起施行的《中华人民共和国个人信息保护法》是信息时代与公民个人信息保护联系最为紧密的一部法律，标志着我国在个人信息保护领域进入了新的历史发展阶段。《中华人民共和国个人信息保护法》是除《中华人民共和国宪法》和《中华人民共和国民法典》之外，最为重要和最具系统性的人脸信息保护法律渊源，是人脸信息保护的核心法律基础。

人脸信息属于生物识别信息，《中华人民共和国个人信息保护法》第二十八条①《中华人民共和国个人信息保护法》第二十八条规定，“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”明确将生物识别信息纳入首要的敏感个人信息类别，给予专门性保护，从中足以看出人脸信息的法律地位。人脸信息作为生物识别信息的一个类别，具有综合性权益，与公民隐私权、名誉权、财产权等权益息息相关，滥用人脸信息将对个人、社会甚至国家造成难以弥补的损害。因此，《中华人民共和国个人信息保护法》严格规定了人脸信息收集和处理必须遵从合法、正当、必要、透明、公开的原则，履行告知义务，禁止滥用人脸识别技术，并对在公共场所采集人脸信息作出专门规定。

（四）相关文件为人脸信息司法保护提供了具体思路

《人脸识别技术适法规定》作为对人脸信息权益进行司法保护的指导性文件，从具体审判层面对涉及人脸信息的法律属性界定、采集储存使用、侵权行为性质等予以明确，将人脸识别技术所涉及的信息处理活动均纳入司法保护适用范围，对公民人脸信息以专门性保护。

《人脸识别技术适法规定》从审判实务角度出发，在保护公民人脸信息合法权益的同时，将促进数字经济社会稳步发展作为目标②《人脸识别技术适法规定》明确了制定本法的目的是“为正确审理使用人脸识别技术处理个人信息相关民事案件，保护当事人合法权益，促进数字经济健康发展”。，其内容主要聚焦如何认定和处理那些对人脸识别技术生成的人脸信息进行非法处理的行为，以及人脸信息主体与信息处理者对人脸信息在约定使用过程中产生的权益纠纷。《人脸识别技术适法规定》对人脸信息的专门性保护主要通过明确信息处理者的举证责任、侵权案件的赔偿范围与方式、人脸信息保护公益诉讼启动与规则，以及详细列举信息处理者处理人脸信息的免责事由，并通过明确适用法不溯及既往原则以平衡技术发展和社会伦理之间的关系［12］。

总体而言，对于滥用识别技术所引发的人脸信息如何进行法律保护，《中华人民共和国宪法》、《中华人民共和国民法典》、《中华人民共和国个人信息保护法》和《人脸识别技术适法规定》等法律虽然对此进行了回答，但在具体司法实践中的适用仍存在抽象原则多于具体规则、模糊规定多于明确规定、概括性条文多于精确性条款等问题。此外，因人脸信息采集的无接触性、被采集者的无意识性、人脸信息的身份可识别性、信息获取成本低等特点，使得人脸信息在数字经济时代具有巨大的商业价值，价值潜力背后的利益追逐造成滥用人脸识别技术现象的屡禁不止，对现有社会秩序的冲击、个人信息保护的失衡以及个人权益的损害催生了社会公众对人脸识别技术的信任危机以及保护风险难题。

三、人脸信息面临的现实风险和法律保护难题

（一）人脸信息保护面临的风险

目前，在多场景下利用人脸识别技术进行数字化管理和服务已与公民日常生活紧密相连，关于滥用识别技术而引发的人脸信息安全问题受到了社会普遍关注，引起了人们对隐私、财产安全的担忧。人脸识别技术“作为一项依赖于信息存储和数据分析的新型智能技术，无边界的应用将使个人信息面临被无限暴露、过度检索和滥用的风险”［13］。从人脸识别技术引发的风险来源来看，主要包括技术和不当使用两个方面。

就技术方面而言，人脸识别技术系统的“数据有限”缺陷可能带来人脸信息非法搜集的安全风险。从本质上说，人脸识别技术是一种由算法程序驱动的图像对比模式，其原理是通过采集人脸图像后与数据库内的人脸信息数据进行相似性对比，从而完成是否同一（相似度）的识别工作。因此，技术识别的精准度与数据库内样本图像的数量和质量紧密相关。受人脸识别技术使用的商业利益动机驱使，为提高识别精准度，人脸识别技术使用主体有时会采用机器记忆技术将每次识别到的人脸图像自动储存于信息数据库以扩充数据量，这种未提前告知的信息获取行为将会产生数据因非法采集而给信息主体带来的信息安全风险。若数据库被非法泄露，将会导致信息主体身份信息泄露后人格和财产利益权受到损害。

就人脸信息不当使用方面而言，当前最为突出的风险是人脸信息被滥用的风险。由于人脸识别技术使用成本较低且具有较大的商业价值，同时因缺乏有针对性的法律规制，使得为追求商业利益而滥用该技术的违法成本较低。央视曝光的低配儿童智能手表事件便是实践中滥用人脸识别技术的典型案例。经营者将装有识别技术程序的安装二维码伪装成儿童喜欢的抽奖游戏，只要孩子扫码，身在别处的工程师便可直接掌握其一举一动，采集人脸图像、活动轨迹等信息，严重侵害未成年人人脸信息等人格权益，甚至财产安全也受到一定威胁①参见《低配儿童智能手表成行走的偷窥器》，http：//zjnews.china.com.cn/yuanchuan/2022-03-15/331676.html。。此外，因为人脸识别技术在数字经济领域被广泛使用，技术使用者虽非直接故意但明显属于放任地让人脸信息在公共场所中展现（如大型商场入口的人脸信息识别、银行进行交易时的人脸信息识别等），属于公众熟视无睹型不当使用，如果不对其设置一定的隐私保护机制，则容易导致人脸信息公开泄露的风险。非法摄录而获得人脸信息数据的行为人通过人脸信息识别假冒信息主体进行网络系统登录，导致人脸信息主体的隐私权遭受侵害或者财产遭受损失。更有甚者，某些人脸识别技术滥用行为已经构成了刑事犯罪。例如在刑事司法实践中，犯罪行为人利用人脸信息的唯一性，有针对性地伪造目标用户的人脸信息，进行虚假“刷脸”识别验证以通过平台系统的身份认证，进而实施窃取账户内财物、盗取快递、转移资金等行为，造成严重的社会公共安全风险。

（二）人脸信息法律保护的现实难题

1.“告知-同意”规则适用形式化使得法律规制无法充分发挥效用。“告知-同意”规则作为收集人脸信息的基础规则被社会公众认可和接受，甚至被视为规制人脸信息收集者和使用者不当行为的“万能法则”［14］。《中华人民共和国民法典》第一千零三十五条②《中华人民共和国民法典》第一千零三十五条规定，“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；（二）公开处理信息的规则；（三）明示处理信息的目的、方式和范围；（四）不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”此外，依据该法第二款关于信息处理行为的内容，如果没有特别指明，下文将人脸信息的收集、存储、使用、加工、传输、提供、公开等行为的实施者统称为“信息处理者”。明确规定了处理个人信息的，应当遵循“合法、正当、必要原则”，并需“征得该自然人或者其监护人同意”，即正式确立了信息处理行为需遵循“告知-同意”规则。《中华人民共和国网络安全法》第四十一条①《中华人民共和国网络安全法》第四十一条规定，“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。”蕴含着将“告知-同意”作为信息处理者收集和使用个人信息应当遵循的首要原则的要求。《中华人民共和国个人信息保护法》第二十九条规定了更为严格的“告知-同意”规则②《中华人民共和国个人信息保护法》第二十九条规定，“处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。”。虽然以上法条确立了人脸信息处理的基本原则，但在实践中，“告知-同意”规则却出现了适用形式化困境。

实践中，看似“告知-同意”规则赋予信息主体对自己人脸信息支配使用的自决权，但是现实制度环境能够保障自决权真正实现吗？现实给出的答案是否定的。数据企业在收集和处理人脸信息时突破“告知-同意”规则的现象比比皆是，如何判断信息处理者已经做到“合法告知”以及如何判断人脸信息主体已经“有效同意”，这是实践中适用“告知-同意”规则面临的两大难题。如果不能圆满解决，则“告知-同意”规则在实践中将失去其本身蕴含的权利保障价值。“告知-同意”规则的适用形式化困境主要有三种表现。

一是表现为信息采集主体利用规则漏洞而设计格式条款，有意突破人脸信息“告知-同意”规则。若严格遵守适用“告知-同意”规则，则信息处理者将不得不在被采集人明确同意的情形下并获得授权时方能进行人脸信息采集和使用，这将竖立起以保护为目的的人脸信息采集安全“栅栏”。但在现实中，信息处理者常常在巨大数据流所带来的商业利益驱使下，突破“告知-同意”规则，而以“告示”、“公示”等格式条款突破人脸信息保护“栅栏”。例如，在徐红婷诉苏州平泰置业有限公司个人信息保护纠纷案中，被告平泰置业公司在售楼处以放置展示板的方式“公示”售楼处现场安装了人脸信息识别系统并进行信息采集这一事实行为，其中隐藏的逻辑是，消费者只要进入售楼处即推定其同意被人脸识别并采集信息，以单方默认方式推定消费者同意个人信息权利让渡，这种“公示”显然无法被认作合法有效的“告知”行为，也无法被认作信息主体有效的“同意”表示③参见江苏省苏州市姑苏区人民法院（2022）苏0508民初5316号民事判决书。。售楼处每天来往客人不在少数，大量前来看房的客人人脸信息被悄悄收集后用于经营用途（主要是用于识别是否为常客，以及与代销机构结算佣金时判别客户来源），其人脸信息无意间就被侵害。此外，除常见的格式条款外，还存在在人脸识别同意协议中隐晦采用“包括但不止于”类条款，无限扩大人脸信息使用范围和目的，使得信息主体陷入信息使用“无底洞”，自己的人脸信息被信息处理者无限制使用。

二是表现为对需个人授权同意的人脸信息使用范围通过“模糊化”解释而进行扩大化处理。如信息处理者基于经济利益采集客户人脸信息时，通常需通过协议方式履行单独告知义务，时间成本较高且不一定能获得人脸信息主体（用户）授权。因此，信息处理者往往会采取迂回方式，如通过将人脸信息的适用范围扩展到以公共利益为使用目的来进行人脸信息采集，则可强制征得用户同意。例如，小区入口安装人脸识别通行设备，原本目的主要是便于物业管理，但其对外宣传的目的却是保障小区公共安全。也就是说，无论是否征得用户有效同意，物业企业获取居民人脸信息均可从形式上找到正当理由。另外，用户作为有限理性人，因人脸识别技术的复杂性和现实紧迫性（若拒绝人脸信息采集则可能不得进入场所），其很难准确判断未经授权就采集人脸信息是否侵害自己的合法权益。如在顾城起诉城关物业天津分公司隐私权纠纷案中，原告认为物业公司要求刷脸进入小区侵犯了个人信息权而起诉，一审法院认为鉴于小区居住人员众多，使用人脸信息确为疫情防控需要，故驳回了原告的诉讼请求。二审法院则认为物业公司关于使用人脸识别验证方式是按疫情防控相关规定和要求的主张，并没有证据证实该主张具有保障公共安全的现实目的，遂撤销一审判决①参见《“刷脸之争”如何加强个人信息保护？》，https://news.bjd.com.cn/2022/09/04/10146051.shtml。。

三是表现为对于“人脸信息识别同意后果”必须告知的内容，故意设置为冗长复杂且字体微小的格式，使得信息主体在“不耐烦”的心理驱使下作出“虽同意，实随意”的意思表示。信息处理者预先设置好人脸信息录入并能被识别通过就视为信息主体同意的意思表示规则，在具体使用场景则会引发因意思理解不同而产生的争议。例如，在赵振春诉合众人寿保险股份有限公司营口中心支公司合同纠纷案中，双方争议的焦点是，原告通过保险公司App 微信端的人脸识别方式变更涉案保险合同中被保险人电话信息的行为，是否可认定为其对该合同的知情和同意。原告认为，通过人脸识别的行为仅仅是同意变更电话号码，并非是对投保以死亡为标的的保险合同的认定。而法院判决认为，在微信端通过人脸识别方式变更涉案保险合同的被保险人电话号码，可认定为被保险人知情且同意投保人为其投保②参见辽宁省营口市中级人民法院（2022）辽08民终1561号民事判决书。。信息主体基于现实的短期利益，更关心是否可以即时获得顺畅的信息服务，而忽略了对此所需支付对价的风险。现实中，人们总是对冗长复杂的“同意授权”流程缺乏足够耐心，甚少有人仔细揣摩条款内容是否存在风险，有时信息收集方式也会被有意设计成“系统默认勾选同意”项，引导信息主体快速一键通过。

总体而言，“告知-同意”规则在实践中并未充分发挥正面规制效用，其适用形式化反而为信息处理者随意破坏人脸信息保护规则的行为披上“合法外衣”，导致对于人脸信息的法律保护呈现立法严格但实践宽松的相悖状态。

2.监管缺口及监管措施单一造成行政监管效力虚化。信息化时代，只有公私部门通力协作才能对人脸信息进行全方位保护，其中行政监管发挥着至关重要的作用［15］。《中华人民共和国个人信息保护法》第六十条③《中华人民共和国个人信息保护法》第六十条规定，“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作。县级以上地方人民政府有关部门的个人信息保护和监督管理职责，按照国家有关规定确定。前两款规定的部门统称为履行个人信息保护职责的部门。”规定了行政监管的职责分工，采用“网信部门统筹协调+有关部门分散监管”的模式［16］。从实践中看，分散监管模式虽然有利于满足各部门行业性和专业化的要求，但是在实践中却产生了因监管权责不明确而出现监管缺口，以及具体监管措施单一等问题。

一是监管职责分散导致出现监管缺口。当前我国对于个人信息安全的行政监管涉及网信、公安、工信等多个部门，并没有设立权责一致的监管机关，容易出现在处理或解决某一具体问题时各部门职责交叉、竞相监管，或互相推诿、无人监管的现象，导致监管部门虽多但未能发挥实效。例如，互联网金融领域和互联网旅游领域大多采用人脸识别技术作为消费者身份认证的主要技术手段，《中华人民共和国商业银行法》④《中华人民共和国商业银行法》第六条规定，“商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯。”和《中华人民共和国旅游法》⑤《中华人民共和国旅游法》第五十二条规定，“旅游经营者对其在经营活动中知悉的旅游者个人信息，应当予以保密。”分别确立了信息处理者应当对个人信息予以保护的义务，但并未明确规定对违法处理消费者个人信息行为的监管主体、监管措施和具体法律责任形式。依据《中华人民共和国个人信息保护法》第六十条确立的行业监管原则，多数情况下并没有相应的行业监管机构主动履行对信息处理者侵犯消费者人脸信息行为的监管职责。又如，对于消费者和网络个人信息保护的监管主体确定较为模糊，对于法条中规定的“有关行政部门”⑥《中华人民共和国消费者权益保护法》第三十二条规定，“各级人民政府工商行政管理部门和其他有关行政部门应当依照法律、法规的规定，在各自的职责范围内，采取措施，保护消费者的合法权益。有关行政部门应当听取消费者和消费者协会等组织对经营者交易行为、商品和服务质量问题的意见，及时调查处理。”和“其他有关机关”⑦《中华人民共和国网络安全法》第八条规定，“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。”并不能明确指向是哪一个具体的行政部门或机关，这就使得现实中当人脸信息主体权益受到实际侵害需要有权机关履行监管职责时，可能出现负有监管义务的机关相互推诿、逃避责任的情形。这就容易出现虽有法律规定但没有具体监管机构履责的监管缺口。

二是行政监管方式和处理措施较为单一。一方面，行政监管机构对信息处理者违法和违规处理人脸信息的行为主要以行政约谈方式来要求涉案企业加强行为约束。行政约谈属于事前监管措施，其主要功能在于警示、告诫或指导，缺乏足够的强制力。“置于规制谱系来看，行政约谈应当以遵从理论为基础，以促成守法为目标，并以惩罚性方式作为后盾”［17］，其对已经发生的违法行为实则难以真正起到预防和制止作用。而本应发挥直接约束效用的罚款和没收违法所得这两类行政处罚措施，也存在缺乏明确、具体的客观标准和考量因素的问题，因而在实践中对涉案主体个人信息违法行为的处罚力度偏低，难以发挥威慑和遏制作用［18］。另一方面，由于尚未建立统一的人脸识别信息采集和使用监管制度，以及缺乏联动执法效能，因而实践中对人脸信息数据库建设和使用的行政许可、人脸信息监管技术和标准认证、相关企业合规整改建议等相对“柔性”监管措施的使用频率不高。分散化监管模式使得各部门很难建立标准统一且行之有效的监管体系，在常态化监管中很难联合采用多元化监管措施去发现并解决问题。

3.司法救济困难化导致人脸信息主体维权较为困难。在我国，从理论上说，司法救济包括刑事、行政和民事三方面，但从实践来看，对于迅速发展的人脸识别技术，需要审慎使用刑事处分，以免过于严厉的惩处手段阻碍技术发展。而从本就较少使用的行政救济手段来说，其对人脸信息保护的救济更是微乎其微。那么，对于与公民日常生活息息相关的民事司法救济是不是就畅通无阻呢？概括来讲，目前我国对于人脸信息侵害的民事诉讼救济存在难以确定被告、司法救济成本高、难以认定损害结果等问题。

一是难以确定被告。目前，人脸信息收集往往采用线上形式，如线上信息主体通过同意手机App 相关协议，在信息主体的操作下将人脸信息转移给信息收集者。正如前文所说，“告知-同意”规则的形式化，往往让信息主体在不知不觉中被收集信息，可能直到信息主体发现隐私泄露或者财产损失时才会知晓，那么此时人脸信息权利主体是否可以直接提起诉讼呢？依据《中华人民共和国民事诉讼法》第一百二十二条规定，有明确的被告才能予以起诉，这在人脸信息遭受侵害的案件中难以实现。比如在现实生活中，微信已成为公民手机必备软件，为方便使用，公民通常会把个人信息（包括人脸信息）与微信等信息交流平台相关联，而微信又与多个App 形成网络交互关系，在二次甚至是其后多次授权过程中，出现的提示信息只是平台或相关App 授权与否的选项，面对多如牛毛的授权信息，当人脸信息被泄露时，作为普通公民的信息主体又怎会知道或认定谁是被告呢？若无法确定被告，诉讼就无法提起，寻求司法救济就非常困难。

二是司法救济成本较高。通过检索中国裁判文书网关于人脸信息侵权案件的裁判文书数量可以发现，司法裁判的人脸识别案例数量较少。通过对人脸信息侵权案件具体裁判文书中的原告身份的分析发现，原告普遍缺乏法律专业知识和维护自身权益的能力。在人脸信息侵权案例中，数据企业并非仅仅使用特定用户的人脸信息，而是需要对大量的不确定的用户的人脸信息进行处理分析以扩大数据库信息规模，因而一旦发生侵权事件往往出现的都是规模性信息安全事件。但对于通过司法救济手段来抵制非法收集、滥用人脸识别技术的行为，被侵权人总是因维权意识不强、诉讼成本高、诉讼结果不确定等望而却步。从法律经济学视角来看，司法救济的本质是被侵权人花钱购买司法机关的司法服务来维护自己受损害的权利，由此必然涉及费用成本与维护利益的比较。就人脸信息诉讼主体来说，个人面对因律师费、财产保全和较长诉讼周期等形成的高昂诉讼成本总是犹豫不决。即使《人脸识别技术适法规定》第八条明确规定了自然人为制止侵权行为所支付的合理开支由侵权人承担，但由于诉讼结果的不确定性，难免会让被侵权人犹豫不决，加之缺乏其他救济途径，导致大量被侵权人产生“算了，也没产生什么实际后果”的想法而放弃维护自身权益。

三是难以认定损害结果。我国民法中关于侵权损害结果的认定规则在人脸信息被侵权后如何认定损害结果方面面临困境，主要困难在于人脸信息被滥用后或者被泄露后可能并没有发生实际损害结果。一方面，由于人脸信息被侵权的实际损害往往具有结果的无形性、结果显现的潜伏性以及受损利益评估复杂等特点，因而在人脸信息主体遭受相关利益侵害后，尚未显现出的可能被侵害的风险很可能会被理解成信息主体对损害的预测，是否满足适用“损害结果具有确定性才能进行赔偿”的规则难免会引起司法机关的疑问。例如，在顾城诉城关物业天津分公司隐私权纠纷案中，虽然法院最终支持了原告关于删除其人脸信息的诉讼请求，但在损害结果认定上只支持要求赔付原告合理支出的律师费，对于被告实际造成的其他损害结果并未认定。另一方面，司法实践中对于损害个人信息的赔偿主要采用精神损害赔偿方式，所以未来对于人脸信息损害的赔付难点，也主要是如何认定人脸信息主体是否受到精神损害以及受到何种程度的精神损害。基于防止滥用精神损害赔偿，故实践中往往以精神损害结果达到“严重”程度作为适用的先决条件，由此，人脸信息主体必然面临着审判者以不能证明存在精神损害或者精神损害未达到严重程度为由而否决精神损害赔偿请求的困境。

四、提升人脸信息保护制度实效的法律因应

如前所述，人脸信息保护在现实中受到极大冲击，“告知-同意”规则、行政监管、司法救济方面尚存在亟待解决的问题，应在现有法律基础上进行合理解释和完善，通过优化“告知-同意”规则、建立多元化的行政监管模式和构建可操作性强的多途径维权制度，有效解决人脸信息主体遭受损害的现实问题。

（一）优化“告知-同意”规则的分场景强度适用机制

人脸信息采集的无感性使得信息主体在未被告知且未明确同意的情况下也可以进行抓取，“告知-同意”规则常处于失效状态，因此，完善“告知-同意”优化机制迫在眉睫。

首先，应明确规范适用“告知-同意”规则的客观判断标准。人脸信息保护及相关技术规制不应一成不变，而要根据人脸信息采集的不同方式和使用目的进行灵活调整，不断规范完善“告知-同意”规则适用的客观判断方式。必须严格按照法律规定根据目的、用途等明确信息处理者采集人脸识别的范围和限制，避免任何主体都可以基于公共利益而怠于履行告知义务。此外，在实践中，公共场所“告知-同意”规则被破坏的现象较为常见，即使《中华人民共和国个人信息保护法》第二十六条明确规定了为维护公共安全在公共场所采集人脸信息时要设立显著的提示标识，但何为“显著的提示标识”？对其理解显然属于主观看法，不同的利益主体对此会有不同的理解，在现实中容易使信息处理者借机突破“告知-同意”规则。因此，为减少因判断信息处理者是否合法履行告知义务的主观性标准而带来的争议，应设置信息主体“识别告知-明示同意”的判断标准，以明确必须是信息主体表示同意，而非信息处理者主观推定其已同意。

其次，应区分人脸识别技术应用场景来确定“告知-同意”规则的适用强度。一般而言，人脸识别技术应用场景可分为公共领域、私人领域①例如手机人脸解锁、住宅门禁刷脸等，此时是对本人而非他人的人脸信息处理行为，不产生人脸信息处理的法律关系。和网络空间领域②例如线上人脸认证、App表情分析等。网络空间应用通常是在个人知情同意下的主动识别，其识别过程由自动化决策完成，受公开明确的各类隐私政策的约束调整。。公共领域的人脸识别技术应用场景中关系到公共利益与个人利益的平衡，涉及的法律关系形态复杂，因而需要加强“告知-同意”规则的适用。基于公共领域对个人生物识别性信息保护进行法律规制具有现实必要性和特殊性，因而在安装人脸识别设备时，需明确应用目的、应用主体、应用位置、应用频度等关涉利益衡量的事项。以保护重要公共利益为目的的公共领域，例如机场、火车站等场所，应当综合考量公共利益保护和人脸信息侵犯程度的关系以确定识别技术的应用，可采用“广而告之”的方式以满足适用“告知-同意”规则。以维护一般公共利益为目的的私人领域，“告知-同意”规则的适用则需明确告知信息主体并取得明示同意［19］。对于网络空间领域，则需拓展适用规则为“告知-理解-同意”模式。由于网络信息企业所服务的海量用户个体认知能力有较大差异且拥有不同需求，处于不同的适用场景，因而对于内容繁杂的告知“人脸信息将被收集使用”的格式条款或人脸信息使用合同的内容，信息主体很难在短时间内完全理解。即便采用“一键式”同意或者拒绝人脸信息采集的告知方式减少用户的适用不便，也依然存在上文分析的告知效果虚化情形。因此，依据信息知情权原则，数据企业可以根据人脸识别应用场景的不同，针对提示和告知的类型采用不同格式、不同类型的显著标识等方式，为用户提供更多样的选择。此外，为避免出现用户对专业术语理解困难等问题，可考虑聘请第三方监管机构对相关术语事先进行统一化解释并进行“大字化”处理以作提示，实现用户真正意义上的信息理解-同意权。此项内容也可作为监管部门对信息处理者应用“告知-同意”规则合理程度进行审查的重点内容，“违者处罚”的预期后果亦可反向激励信息处理者创新多样化、便利化的“告知-同意”规则适用方式。

最后，应完善人脸信息二次利用的“告知-同意”规则。为避免信息处理者出现因使用目的限制而在需多次使用人脸信息的场景下与信息主体频繁进行“告知-同意”的重复征询意见情形，保持实现人脸信息主体对信息的控制权与信息数据自由流通的平衡，可授权信息处理者对目的限制原则作相对扩张解释，使得同类型二次使用目的能被初次目的所包含，满足信息主体的合理期待。同时，考虑到双方信息不对称，可要求信息处理者采用主动弹窗等方式告知人脸信息处理同意条款，信息主体随时享有撤回权和删除权，实现人脸信息保护和信息使用的利益平衡。

（二）完善行政监管的效用性监管和专业化监管模式

理想的行政监管应是事前、事中、事后相互配合、互相补充以提升监管实效，且能对违法违规行为起到有效的震慑作用。人脸信息保护中的行政监管除了要维护“告知-同意”规则的使用效果这一基本监管方向，还需充分认识当下必须“依循数字社会的变化向智慧化监管转型，创新技术监管方式以加强行政监管的职能建设”［20］，而强化行政监管的效用性和专业化是较为可行的优化路径。

首先，应加强对信息处理者有关信息处理行为的效用性监管。行政监管机构可发布指导准则和相关案例来预先规范信息处理者处理人脸信息行为模式选择，在出现违法违规处理人脸信息时可提前有效介入。特别是当以互联网平台经营者为代表的信息处理者在网络场景中为开展无接触交易活动而获取人脸信息时，为提升交易速度往往会选择性忽视交易前的信息甄别和交易后的人脸信息安全服务保障（如及时删除人脸信息等）。而在大多数场景中，信息主体对人脸信息“被获取后是如何处理的”这一内容的知情权基本处于被遗忘甚至无法行使的状态。因此，行政监管机构需要加强对信息处理者对人脸信息的储存、修改和删除等信息安全管理的专项监管，对信息处理者未及时修改和删除的理由是否充分、合理进行核查。此外，还可以通过“违者处罚”的预防机制促使信息处理者及时履行对人脸信息主体的知情权，提升对人脸信息处理行为的监管实效。

其次，应设立人脸识别技术的市场准入和行政备案制度。市场准入和行政备案是提升行政监管实效的事前性安排。为降低人脸信息一旦受到侵害结果便不可逆的风险，应建立健全人脸识别技术使用的市场准入制度，设置一定的使用准入标准，从主营业务、使用领域、信息安全管理水平等方面制定统一标准。备案审查的重点在于信息处理者在何种场景、基于何种目的、采用何种方式、将会对个人权益产生何种影响以及可能存在何种安全风险等方面，由人脸信息处理者进行使用前的主动申报备案，可为事中监管提供证据材料。鉴于目前尚未建立统一的监管机构，可考虑先行启动人脸识别使用场景备案，在技术运用、人脸信息采集、敏感信息处理等方面，不同的行政监管部门可根据实际情况建立备案机制。同时，还可为个人信息行政监管部门设置职权，如许可权（决定是否批准市场准入）、调查检查权（定期年检）等，建立事前预防制度。

再次，应完善过罚相当的行政处罚机制。对于人脸信息处理者的违法行为，应采取多样化且惩处力度与过错结果相匹配的处罚类型。需要注意的是，行政处罚的适用从来不是行政执法机关单向度决定的，而必须根据处罚对象的行为违法程度分类适用，即要关注信息处理者对处罚结果耐受的差异性。对于规模庞大的涉案信息企业（如具有一定市场规模的大型平台企业），其在实践中造成的人脸信息受害群体往往也具有规模性（但现实中知道自己的人脸信息受到侵害的主体或愿意追究侵权责任的主体只是极少数），故应采用“威慑性执法”模式来强力规制这类涉案主体的行为，如加大执法检查力度和提高处罚额度等。而对于规模较小的信息处理者，行政监管部门可采取力度不同的组合式处罚措施，如根据具体违法程度和侵害程度组合采取约谈、责令改正、数额较低罚款等行政措施。另外，行政处罚类型的适用必须严格遵守“比例原则”，即过罚相当。要准确衡量人脸信息处理行为在不同场景中损害个人权益和损害公共利益的程度。应采用金字塔式路径决定行政处罚类型的选择适用：能通过约谈、指导、责令改正、警告等就能够实现规制目的的，就采取这类较轻的处罚措施；而对于规制力度更强的制裁措施，如没收违法所得、责令暂停或者终止提供服务、停业整顿、吊销营业执照等，则可以作为威慑处罚来使用。

最后，应提升人脸信息处理的行政监管专业化水平。实践中，人脸识别技术表现出风险外溢性和不确定性等特点，行政监管应随技术与社会风险的融合而调整，不断提高行政监管专业能力和效率。鉴于信息行政监管部门工作的专业性要求，应为其配置专业化技术监管人才；同时为减少政府人才成本的大量消耗，可聘请数据信息专家、顾问等进行指导，这样不仅可以实现有效监管，还可以与人脸信息的专业和行业组织协同合作共同保护个人信息安全。此外，还可以通过听证、质询和发布意见等方式征询公众对特定场所设置人脸识别装置的意见，为行政部门对人脸信息处理行为进行专业性监管提供参考。建立政府部门间以及政府与行业协会、网络平台之间的反馈协调机制，只有协调各方利益，才能进行有效监管，达到技术与个人权利的平衡。

（三）构建更为灵活、多元的权利救济渠道

通过诉讼救济路径可解决如何规制人脸识别技术的应用范围边界与信息主体权利保护范围的问题，“其中包括人脸信息的收集主体及收集目的，风险与责任的防范与承担等，这些法律边界都需要充分厘清”［21］。

首先，应参照相关法律规定灵活解决人脸信息侵权主体难以确定的问题。具体而言，可参照《中华人民共和国民法典》第一千二百零三条、第一千二百零四条①《中华人民共和国民法典》第一千二百零三条规定，“因产品存在缺陷造成他人损害的，被侵权人可以向产品的生产者请求赔偿，也可以向产品的销售者请求赔偿。产品缺陷由生产者造成的，销售者赔偿后，有权向生产者追偿。因销售者的过错使产品存在缺陷的，生产者赔偿后，有权向销售者追偿。”第一千二百零四条规定，“因运输者、仓储者等第三人的过错使产品存在缺陷，造成他人损害的，产品的生产者、销售者赔偿后，有权向第三人追偿。”来确定侵权主体。产品责任主体确定的设计背景与人脸信息保护相似，都存在侵权人（消费者、信息主体）处于弱势地位、对技术或者产品设计了解甚少、难以确定侵权人等问题。因此，对于人脸信息侵权案件侵权主体如何确定，可参照产品责任认定办法，对信息采集者、信息处理者、信息存储者等其他主体责任分别参照生产者、销售者、运输者和仓储者等第三方责任主体提起诉讼。在人脸信息侵权案件中，不必因没有明确的被告而阻碍司法救济，可以快速维护信息主体的合法权益。当然，在对人脸信息进行专项立法［22］中，应承认其蕴含商业性使用价值的财产权保护的正当诉求，明确侵害人脸信息权利的损害认定与赔偿标准，完善相关民事诉讼损害赔偿的举证原则与责任制度。

其次，应拓展集体诉讼和公益诉讼救济方式以解决诉讼成本高的问题。目前，采取集体诉讼是较为有效的解决途径，同时可优化司法救济启动条件，进一步明确集体诉讼和公益诉讼等程序性内容。“公益诉讼与行政监管对个人信息的保护有共同协力、互相弥补的功能。在最佳的状态下，公益诉讼的规模效应可以对行政监管失灵起到弥合、扶助和补充的作用。”［23］在提起公益诉讼的主体资格排序上，可将检察机关列于首位，消费者权益保护组织可作为与消费行为相关的人脸信息侵权行为主体，妇女儿童权益保护团体可作为被侵权人是妇女儿童群体公益诉讼的适格主体。明确检察机关以及社会团体等提起公益诉讼的具体情形，充分利用人脸信息保护的社会团体组织的专业优势，构建人脸信息侵权案件的多元司法救济模式。另外，根据当前我国人脸信息保护现状，利用公安机关个人信息数据优势设立人脸信息保护专门部门也是一条可行路径。将公安机关所拥有的个人信息数据与人脸识别技术管理机制相结合，既可提高人脸信息管理效率，又可在行政审查和追求司法责任环节形成公检法协作化管理。如果用户发现数据企业滥用人脸信息，可向公安机关提出申请，公安机关预判危害程度，用户决定选择私下协商还是司法维权，而公安机关介入也会对数据企业形成一定的震慑，最大程度维护信息主体的人脸信息权益。