人脸识别技术应用背景下个人信息的法律保护

龚炜琪

（西北政法大学 法治学院、法律硕士教育学院，陕西 西安 710000）

随着互联网的飞速发展，数字领域也在不断实现跨越式发展，其中的一大典型表现即人脸识别技术在社会生产生活中得以广泛应用。例如，随处可见的刷脸移动支付、小区进出人脸识别门禁系统、日常公司扫脸考勤打卡、地铁出行人脸识别通行等。而作为一种新兴的生物识别技术，人脸识别技术主要通过在图像或视频流中检测、跟踪人脸［1］，并对所提取的人脸基本信息进行检测和匹配。据国外调研机构Gen Market Insights 发布的《全球人脸识别设备市场研究报告2018》显示，全球人脸识别设备市场价值在2018 年至2025 年期间将以26.8%的速度增长，到2025 年底将达到71.7 亿美元，而中国是人脸识别设备最大的消费区域，在2018-2023 年复合年增长率为29.53%，2023 年占全球比例将达到44.59%，到2024 年人脸识别设备市场规模将突破100 亿元［2］。

但科技的发展总伴随着一系列的社会及法律问题。人脸识别技术让人们享受便捷的同时，由于相关技术不成熟、监管不到位等因素，公民个人人脸信息被窃取、泄露、倒卖等情形与日俱增，甚至危及公民人身安全。且由于相关专门规制的缺乏、监管主体不明晰等原因，使得相关违法处分不严、地方执法“雷大雨小”等问题层出，这不仅不能弥补受害者的损失，反而进一步助长了人脸信息侵权主体的威风。因此，如何平衡科技发展、社会进步与公众人脸信息安全成为现今一大社会治理难题。

一、人脸识别技术应用对个人信息保护的挑战

作为生物识别信息中的一种，人脸信息具有人身专属性的特点，一旦泄露，不但会导致当前应用数据泄露，而且与该人脸相关的其他应用数据均可能泄露，使得用户承受信息泄露、财产损失等风险，并导致个人最终不得不选择退出人脸应用服务，这将给个人信息保护带来巨大挑战。

（一）侵权风险

人脸识别技术在社会生产生活中被广泛应用，并为生产生活提供便利，但人脸信息侵权问题也相继产生。南方都市报个人信息保护研究中心发布的《移动端人脸识别应用合规报告》显示，在其选取的50 款具有人脸识别功能的移动应用中，四成应用隐私政策透明度较低，人脸信息共享不合规现象突出［3］。

虽说在使用此类APP 前，用户就已经点击确认了软件开发者提供的《用户隐私保护政策》，同意主动提供或是允许在使用软件期间由软件自动获取人脸有关信息，以获得更好的用户体验。但显而易见，此种授权行为非传统意义上的“知情同意”。

一方面，绝大多数应用提供的相关隐私保护条款十分冗长，鲜少有用户会去细读其内容是否超出必要限度。如此一来，许多隐性霸王条款便以“用户知情同意”为由，成为软件方频繁、过度索取权限，违规使用相关人脸信息的借口。另一方面，由于缺乏统一的行业规范和相关的行政监管。大多数软件开发者对用户采取“无授权则无服务”的硬性态度。即若用户不同意软件开发者提供的相关条款，则无法使用该软件的相关服务。为此，即便用户只是想要使用软件刷脸支付功能，却不得不授权软件获取存储、位置、通讯录、电话等非必要信息权限。因此，在此情形下很难成立有效的知情同意，严重损害了用户的信息自决权。

（二）隐私泄露风险

人脸识别技术作为一项新兴技术，依赖于对个体生物特征的识别。与传统使用的数字密码不同，生物可识别信息具有特定性和惟一性等特点，一旦泄露，每个人都会像超市里的商品一样，被摆放在货架上分类出售。甚至一个人一生的个人信息会被出售多次，循环往复，其损害后果可想而知。

当前，企业通过自行收集、用户主动提供或从第三方合作方手里获取用户相关人脸信息，并建立企业商业数据库，将所收集的信息进一步加工处理，使其具备较高的商业价值。但也因此，若人脸信息保管不当，则可能出现被企业内部人员因一己私利而出卖，或是被外部黑客入侵系统盗取等情形，容易造成大规模的数据泄露事件，给人脸信息主体带来巨大信息安全隐患。在实践中，由于人脸识别技术的限制，每一次人脸数据采集和验核都能使信息采集主体获取用户人脸信息并进行存储。如此一来，整个转接过程链条所涉及的采集主体均可以获取用户人脸信息，这极易引发人脸信息安全问题，增加隐私泄露的风险。

此外，固有的技术缺陷也增加了人脸识别技术隐私泄露的风险。虽然人脸信息具有惟一性和特定性，但是人脸所包含的生物识别信息内容十分丰富，大部分人脸识别技术尚未达到完全区分相似面孔的能力，检测识别的人脸是否为图像、模型还是真人的水平。为此，人们在社交平台发布的照片，日常被监控抓拍等人脸信息亦有可能被不法分子截取利用，也存在一定的隐私泄露风险。

（三）歧视风险

人脸识别技术可分为人为歧视风险和科技歧视风险两种。人为歧视风险即通过设定特定的算法和运行程序，增强或者降低某些信息的识别率，以使得技术识别的人脸信息具有一定的倾向性。

例如美国迈哈密使用智能治安监管系统以重点监视黑人群体和西班牙移民［4］。这表明在治安监管系统中，黑人和西班牙移民群体被人脸识别系统捕捉、收集人脸信息的概率远高于白人和亚洲人等其他群体，这无疑构成肤色和种族歧视，违背种族平等的国际共识；科技歧视风险即算法在正常运行过程中，由于数据偏差或者其他技术性问题，进而导致人脸识别系统在实际运作中会自然而然地产生对公民年龄、肤色、性别等歧视对待风险，从而导致识别结果不准确。例如一些互联网平台并未在算法正常运行中进行人为的干预，但是算法仍然会根据自身的运算规则而产生数据偏差。麻省理工学院的一项研究显示，人脸识别系统对黑人和白人的识别率存在显著差异，就刑事犯罪领域而言，人脸识别技术将黑人误认为犯罪分子的概率远超过白人［5］。

二、人脸识别技术运用下个人信息法律保护的现状

（一）立法层面

就既有法律而言，我国目前并未就人脸识别信息收集、处理和保管等作出特殊规定，只是从个人信息层面对其进行保护。《个人信息保护法》将个人身份识别信息作为一项敏感信息，要求个人信息处理者在合法、合理的范围内处理个人信息。该法第二十九条规定，处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。

此外，有关个人信息法律保护规定较为零散地分布于不同类型的法律法规中。例如，我国现行《民法典》规定了“自然人的个人信息受法律保护”①参见《民法典》第一千零三十四条第一款。，将其作为一般人格权予以保护。而人脸信息可以依托一定的物质载体而被反映、识别，此时可视为肖像，依据肖像权相关规定进行保护。《消费者权益保护法》规定了经营者收集、使用消费者个人信息时，应遵循正当合法及必要性原则，且需征得消费者的同意①参见《消费者权益保护法》第二十九条。。《网络安全法》则规定网络产品、服务提供者收集用户信息时，应获得用户同意且不能违反相关法律法规，并对依法负有网络安全监督管理职责的部门及其工作人员提出具体工作要求②参见《网络安全法》第二十二条第三款。。同时，《宪法》虽未提及“个人信息”，但不得非法侵犯公民人格尊严，公民通信自由、通信秘密受法律保护等内容，仍反映了对个人信息保护的立法意图。

而人脸这种生物识别信息具备本体特殊性和社会特殊性，这决定了其具备与普通公民个人信息不同的重要性，因此也需要更严格的刑法加以辅助保护。刑法对公民个人信息的保护经历了从无到有、不断完善发展的过程［6］139。从新中国第一部“七九”刑法再到“九七”新刑法都没有规定个人信息保护的相关内容。2009 年，《刑法修正案（七）》设立了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”才使得个人信息保护进入刑法的视野。2015 年，我国出台了《刑法修正案（九）》进一步整合了个人信息方面的犯罪，将违法主体扩大至一般主体，扩大了犯罪入罪主体，并将相关罪名整合为“侵犯公民个人信息罪”罪名。2017 年，最高法与最高检联合出台了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，加大惩治侵害公民个人信息犯罪的力度，推动了我国打击侵犯公民个人信息犯罪刑法保护的具体化进程。但是，相关法条或司法解释仍未针对人脸信息制定具体定罪量刑标准，不利于实现对人脸信息的特殊保护。

由此可见，我国立法者能够及时通过立法回应社会发展需要。但值得关注的是，人脸信息所代表的是复合法益，不仅包含公民个人信息权益，还包含人格尊严、信息自决权等内容。因此，需要立法者及时完善相关法律规制，以全面保障人脸信息安全。

（二）司法层面

在司法层面，社会关注度最高的便是杭州动物园“人脸识别”案。原告郭兵因不满被告将人脸识别验证作为入园的惟一方式而将杭州野生动物世界告上法院。一审法院认为，原被告此前达成的服务合同里并没有包含“不进行人脸识别不能正常入园”的要求。此要求属于新要约，不经原告方同意不产生法律效力。因此，要求被告删除其办理指纹年卡时提交的包括照片在内的面部特征信息。由此可见，一审法院认为个人信息权益属于私权，可以由民事主体间进行协商确定相关使用规则③参见浙江省杭州市富阳区人民法院（2019）浙0111 民初6971 号判决书。。但是值得考虑的是，作为一种特殊的个人信息权益，法官在审理案件时，是否可以采取更加谨慎的处理和保护原则，对人脸信息进行更大限度的司法保护。

二审法院认为，生物识别信息高度体现自然人的行为、生理等特征。作为一种敏感的个人信息，其人格属性极强。一旦其发生泄漏，将会带来不可预测的危害。因此，二审法院一方面维持了一审法院判决，即认为郭兵在知悉动物园要收集指纹的告示下仍办理年卡，该行为对于郭兵和动物园均有约束力。但是人脸识别信息的店堂告示并非郭兵办理年卡的合同条例范围，并不对双方产生约束。另一方面，动物园想要利用原本收集的人脸识别面部特征扩大信息处理范围，超出了双方订立合同的范围，且表明动物园存在侵害郭兵人脸信息权益的目的和可能危险。为此，动物园应当在系统删除郭兵提交的照片在内的面部信息④参见浙江省杭州市中级人民法院（2020）浙01 民终10940 号判决书。。

同时检索中国裁判文书网有关侵犯公民个人信息犯罪的公开案件可知，近年来侵犯公民人脸信息犯罪的案件总体呈上升趋势。从获取数据可知，2017 年到2021 年，我国法院已审结的涉及侵犯人脸信息的案件分别为2 件、3 件、11 件、12 件、27件，共计55 件，且该统计不包含未立案审理或游离于刑法规制之外的犯罪黑数。

据此可以推测，随着人脸识别技术的进一步推广，此类犯罪案件数量将会呈大幅增加趋势。为此，进一步增加“生物识别信息纠纷”案由，以满足司法实践中对新类型权益特殊保护的需求十分必要。

（三）行政执法层面

相关执法部门已采取多重举措以保护个体人脸信息权益。2019 年，由工信部牵头，联合公安部、市场监管总局等多部门联合开展APP 侵害用户权益专项整治行动，并组织第三方检测机构对手机应用软件进行检测。并对下载量大的App 申请权限以及强制开启的权限进行了分析统计，向社会公布，保障公众知情权。2021 年1 月22 日，工信部公布了《关于侵害用户权益行为的App 通报》，要求存在违规、超范围收集个人信息等问题的157 款侵害用户权益的App 进行限期整改，并于2021 年2 月4 日，下架了37 款整改复查不达标的App。

但由于相关法律规定较为分散，目前我国尚未确立统一的个人信息监管部门承担个人信息保护的职能，相关部门存在职能交叉或者空白的情形。此外，个人信息侵权案件往往涉及多方主体，相关问题的处理需要多部门联合。因此，在尚未明确个人信息侵权问题应该由哪个或者哪几个部门主管的情形下，有可能出现多部门推诿责任或者“多头治理”的问题，并不利于高效解决个人信息侵权问题，受害人的合法权益难以得到有效保障。

三、域外有关人脸识别的法律规定

相较于我国对人脸信息保护还处于初步探索阶段，国外已经针对人脸信息等生物识别信息的收集、使用等过程可能出现的技术安全问题和法律风险建立了较为完善的保护体制机制加以规范。通过对美国和欧洲两种不同立法模式进行分析，进而对我国完善相关立法提供借鉴思路和方法。

（一）美国的专门立法模式

美国是世界上第一个使用法律手段保护个人隐私的国家，通过专门立法模式，实现对隐私的保护。美国联邦政府并未在全国范围内制定统一的个人信息保护法案，用以规制人脸识别信息的收集、管理及使用等，而是通过各个州自行立法，分散地进行法律保护。并针对不同的人脸识别技术应用主体，相关立法亦采取差异化的规制路径。即对于政府主体与非政府主体采取截然不同的立法价值取向和法律规制路径。

对于政府层面使用人脸识别技术，各州采取禁止许可使用或者特别许可使用的法律规制路径。加利福尼亚州是美国第一个通过人脸识别禁止令的州。2019 年，该州的旧金山市通过《停止秘密监控条例》，禁止包括警察在内的各个政府部门使用人脸识别技术①参见美国旧金山市《停止秘密监控条例》》（Stop Secret Surveillance Ordinance）第19 条B 款第5 项。。但值得一提的是，联邦政府、商业组织以及个人并不在限制范围之类。该条例要求政府部门向监督委员会披露目前正在使用或正在计划实施的各类秘密监控技术，并要求政府部门在特别情况需要使用该类技术时，需经过监督委员会的严格审批②参见邢会强：《人脸识别的法律规制》，载《比较法研究》2020 年第5 期，第54 页，转引自美国旧金山市《停止秘密监控条例》》（Stop Secret Surveillance Ordinance）第19 条B 款第7 项。。2020 年，华盛顿州通过《人脸识别服务法案》。法案严格限制了政府机构使用人脸识别服务进行持续、实时（或近似实时）的监视和追踪，政府机构只有在获得许可或紧急情况下才能利用人脸识别实现上述目的③参见美国华盛顿州《人脸识别服务法案》（facial recognition act）第3 条。。

对于非政府层面使用人脸识别技术亦有两种不同的规制路径：一是相较于一般个人信息，采取更为严格的特殊保护；二是采取与一般个人信息同等、无差别的普通法律保护。例如，2008 年，伊利诺伊州通过《生物识别信息隐私法》，这是美国州出台的第一个保护个人信息的法律。该法案明确要求私人实体在收集和披露个人生物识别信息之前，必须获得个人的同意④参见美国伊利诺伊州《生物识别信息隐私法案》（The Biometric Information Privacy Act）第10 条。。且私人实体应遵循行业相关的合理注意义务，并对生物识别信息采取与“机密和敏感信息”相同或更高的保护方式［7］；而美国《加利福尼亚消费者隐私法》则将人脸信息作为个人信息中的一种而予以一般性的法律保护，并对于商用主体收集、获取人脸信息采取与一般个人信息并无区别的宽松态度。

除了美国各个州制定的各类《生物识别信息隐私法案》，联邦政府通过专门制定刑事法案用以特殊规制。1988 年，美国国会通过《防止身份盗窃及假冒法案》。其中特别规定，故意转移和使用“识别他人的方法”以实施违反联邦法律或州法或地方法所规定的行为，构成身份盗窃罪⑤See Identity Theft and Assumption Deterrence Act As amended by Public Law 105-318,112 Stat.3007（Oct.30,1998）of U.S.A§003.Identity Theft.（a）（4）。个人生物识别信息包括在条款中的“识别他人的办法”。该法案同时表明，在未经合法授权的前提下，故意实施教唆或者帮助他人进行转移或非法识别他人生物识别信息的，将加重处罚⑥See Identity Theft and Assumption Deterrence Act As amended by Public Law 105-318,112 Stat.3007（Oct.30,1998）of U.S.A§003.Identity Theft.（a）（4）。

（二）欧盟的统一立法模式

与美国的分别立法模式不同，欧盟未对政府主体与非政府主体进行“区别对待”，而是采取统一的立法模式，区分一般个人信息与个人敏感信息，使得人脸信息等生物识别信息可以适用一般个人信息保护规定和针对性保护的特别条款，实现公法与私法措施间互为补充，更好发挥保障作用。

2018 年，欧盟公布堪称“史上最严数据保护法”的《通用数据保护条例》（简称GDPR）。GDPR将面部图像等个人生物数据纳入保护范围，并对生物数据的采集、处理采取“原则禁止，例外许可”的原则，对于涉及违法犯罪、公共安全等领域必须经过法律授权的相关机构才可处理个人生物信息。条例具体规定了生物数据的使用主体、使用方法、使用情形等内容，明确数据的使用需要以个人数据主体明确地“知情同意”作为前提，并赋予数据主体拒绝的权利。但GDPR 也特别指出，在某些特定的情况下，GDPR 处理生物数据的限制性条款不能限制欧盟成员国①参见欧盟《通用数据保护条例》（GDPR）第5（1）条。。在司法实践中，欧盟也严格打击生物数据侵权行为，相关违法处罚力度大。

而由英国2018 年发布的《数据保护法案》则特别强调“为单独识别特定个人的目的，处理基因数据或生物数据”的“法定必需”标准②付微明：《生物识别信息法律保护问题研究》，中国政法大学博士学位论文，2020，第75 页，转引自李爱君、苏桂梅：《国际数据保护规则要览》，法律出版社2018 年版，第238-239 页。，限定了处理基因数据或生物数据的特别情形，并以行政执法、民事赔偿及刑事定罪作为保护生物识别信息的法律链接，从而有针对性地对生物识别信息进行特定保护［8］。

四、我国人脸识别技术应用的法律规制路径

人脸识别技术所蕴含的风险不是单一风险，而是可能威胁公民个人人身、财产等的复合风险。为此，结合域外经验以及我国实际情况提出法律规制路径。

（一）完善相关立法

国家应当顺应时代发展潮流，借鉴域外经验，走中国特色法治道路，完善相关立法。2020 年10月，《信息安全技术个人信息安全规范》国家标准正式发布，其中专章规定人脸信息等个人敏感信息的收集、处理、使用等规则。这一方面体现国家顺应时代发展潮流，但另一方面，该“规范”效力并不及法律，对我国人脸识别技术下个人信息权益的保护力度不够。

2021 年11 月1 日，我国《个人信息保护法》正式生效。该法不仅对包括脸部在内的个人敏感信息的处理作出具体说明，而且对相关行政管理部门如何处理个人信息作出专门规定，以保护公民个人信息。但值得说明的是，该法并没有明确指出人脸等个人生物特征信息该如何进行特殊规制，只是笼统指出法律法规若对个人敏感信息的处理有更严格规定，从其规定。

因此，我国可借鉴欧美相关立法经验，出台《个人生物识别信息保护法》，规定人脸识别技术的应用主体、使用权限、相关监管机构等内容，并统筹完善相关法律法规，以促进人脸识别技术的健康发展。例如，在民事法律上确定人脸信息等生物识别信息作为新型人格权的地位，并规定相关侵权损害认定标准、诉讼救济手段等内容；在刑事立法上，一方面可以通过刑法解释的角度，对既定的侵犯公民个人信息罪进行解释，使其能起到对生物识别信息进行特殊保护的效果［6］139。另一方面可以在出台新的《刑法修正案》对非法窃取、获得、伪造、买卖、使用人脸信息等行为进行定罪；而在行政法上，可以完善行政执法体制机制，并规定国家机关违法使用人脸识别技术而造成公民损害的相关救济途径等。

（二）加强行政监管

首先，应当完善人脸识别技术的市场准入机制。对企业使用人脸识别技术设置一定准入门槛，确保人脸识别技术应用企业具备一定的资质和风险防范能力，实现高效保护；并制定备案审核制度。要求企业将依法使用人脸识别技术的具体操作流程以及相关用户隐私保护政策进行备案，以便在发生风险时，确认企业是否尽到相关注意义务。建立专门管理部门，虽然我国工信部、公安部、网信办等部门都有保护人脸识别技术规制和生物识别信息的法定职责，但我国当前并未设立规制人脸识别技术的专门主管部门［9］。因此，现有各部门在仅对各自职能领域进行监管情况下，可能出现职能交叉、职能割裂或者职能缺失的问题，并不能较好地推进行政监管。为此，通过设置专门管理部门以监督国家机关和企业在法治轨道上应用人脸识别技术，并定期向社会公示违法黑名单，辅之行政处罚、行政强制措施等，以完善行政保护。同时要求企业在面临收集的人脸信息遭受泄露、毁损、丢失的问题时，应及时报告相应主管部门。

其次，加强行政处罚的力度。目前我国对于人脸识别技术应用并无针对性行政处罚措施，且基于一般保护的行政处罚力度较低。以我国的《网络安全法》为例，其中第六十四条规定了“侵害个人信息权益的企业主体，处以一百万元以下罚款，并对直接责任人员处以一万元以上十万元以下罚款”。但相较于企业应用人脸识别技术所获得的高额利润，此类行政处罚力度犹如隔靴抓痒，不能较好起到行政处罚法所提倡的惩戒与教育作用。而反观欧盟GDPR，其规定泄露个人隐私的，处全球营业额的百分之四或者两千万欧元中的较高者①参见欧盟《通用数据保护条例》（GDPR）第83（4）条。。执法机关也时常开出天价罚单，给其余企业敲响警钟。如谷歌因个性化广告涉嫌违反GDPR 而被法国国务委员会开出五千七百万美元的天价罚单；万豪酒店也因泄露3.83 亿用户信息面临1840 万英镑罚款。

此外，在行政监管不能解决人脸信息侵权问题时，应当允许当事人采取司法救济途径维权，并做好行政监管与司法救济的衔接工作。总而言之，全面完善行政监管体系，是实现人脸识别技术风险防范的重要一环。

（三）完善司法救济途径

由于人脸识别技术具有远程、非接触等特点，公民人脸信息通常是在不知情的情形下被收集。同时由于人脸识别技术应用广泛，人脸信息收集者众多，受害者难以确认个人人脸信息究竟是在哪一具体环节被泄露，而原则上提起诉讼要求有具体的被告，因此，受害人可能因为找不出实际侵权人而无法获得司法救济。即便受害者找出实际侵权人，根据“谁主张谁举证”的诉讼基本原则，受害者需要明确指出侵权主体的侵权行为与受害者的损害结果间具有因果关系，且侵权者具有主观过错。在实践中，该类侵权主体常处于优势地位，这对于处于弱势地位，想要通过法律途径维护自身信息权益的受害者来说，将面临举证难度大、诉讼成本高等现实难题，不利于实现司法救济。

与此同时，应用人脸识别技术的企业和政府有较强的人力、财力等作为支撑，对于人脸信息的收集、处理、使用等过程熟悉度、专业度较高，应当有谨慎使用人脸识别技术，妥善保管相关信息的义务，此时若只要他们承担一般的举证责任，并不符合公平正义的基本原则。基于此种考量，对于举证责任的重新分配十分有必要。即要求原告承担证明被告存在人脸识别信息侵权行为和造成自身损害结果的举证责任。被告承担因果关系和无过错的证明责任。此外，若是个人与个人、企业与企业间有关面部信息传播的侵权纠纷，因其主体地位实际上相同，则采取一般举证原则即可。

（四）提升行业自律

首先，加强行业自律组织的建设。当前，我国行业自律组织还处于初级发展阶段，除了金融领域的自律组织相对规范，其余领域的自律组织存在水平参差不齐、组织成员较少、规范执行力不到位等问题。为此，需要政府与行业协会形成合力，共同解决发展问题。一方面，政府部门可以通过发布相关规范性文件，为人脸识别相关联的自律组织的建设提供指导意见，并通过财政拨款、定期召开政府与行业协会座谈会的方式，了解行业协会发展的需求，给予相关支持。另一方面，政府部门可以加强对行业协会的监管，为行业协会规范运行提供指导，防止协会为了私益而损害公共利益。

其次，建立行业自律规范。行业自律规范具有灵活性和针对性的特点，通过制定严于法律标准的行业规范，划定企业使用人脸识别技术所需遵守的义务底线，有利于提升人脸识别技术的风险防控能力。2020 年1 月，中国支付清算协会发布的《人脸识别线下支付行业自律公约（试行）》就针对线下支付领域，分别从个人信息的采集、存储和使用环节等规范人脸识别的运用［10］。虽然该《行业自律公约》为人脸识别的应用提供指导建议，但是公约内容仅30 条，且多为原则性指导意见，涉及人脸识别技术规制内容不全面，难以为人脸识别技术的实际应用提供可靠的依据。因此，行业协会应该以人脸识别技术规制为主线，围绕人脸信息保护为核心开展工作，依据相关法律法规，进一步细化人脸识别技术应用行业自律规范，以提升规范的可适用性。

最后，行业协会要加强对人脸识别技术应用企业的监督，定期向社会公布不合规企业。同时，对违反行业自律规范的企业进行内部处罚并要求其限期改正。除此之外，行业协会还要为信息主体提供投诉建议渠道，并及时提供反馈意见。

五、结语

人脸识别技术的广泛应用极大地改变了人们的日常生活，我们通过让渡自身部分个人信息权益以换取便捷的同时，个人信息遭泄露、丢失、盗用等风险也急剧增加。如何防范人脸识别技术所导致的法律风险，化解其与人脸识别信息安全之间的矛盾，是我国立法和实务急需回应的问题［11］，值得我们进一步探索。