论人脸信息的保护

摘要：在现实生活中，人脸信息泄露、滥用等现象屡屡发生，《个人信息保护法》和《人脸识别规定》的出台虽然在一定程度上缓解了科技发展与权益保护的矛盾，但是相关规定仍未臻完善。在人脸信息的法律属性上，应将涉及财产隐私、家庭隐私以及个人经历隐私等人脸信息界定为“私密信息”，划归隐私权保护。信息处理者在处理人脸信息时应当遵循特定的原则和限度，并构建动态“知情—同意”机制以确保信息主体对自身信息的控制。

关键词：人脸信息；法律属性；处理路径

中图分类号：D923;TP391.4文献标识码：A文章编号：2095-6916（2024）20-0076-04

On the Protection of Facial Information

—Legal Attribute and Processing Path

Feng Ge

（Civil and Commercial Law School， Southwest University of Political Science and Law， Chongqing 401120）

Abstract： In real life， facial information leakage， abuse and other similar phenomena occur frequently. Although the introduction of the Personal Information Protection Law and the Face Recognition Regulations has eased the contradiction between the development of science and technology and the protection of rights and interests to a certain extent， the relevant regulations are still not perfect. In the legal attributes of face information， face information involving property privacy， family privacy and personal experience privacy should be defined as “private information” and classified as privacy protection. Processors of the information should follow specific principles and limits when processing face information， and build a dynamic “know-consent” mechanism to ensure the information subject’s control over their own information.

Keywords： facial information; legal attribute; processing path

随着《民法典》《个人信息保护法》等相关法律法规的出台，人脸信息在民法中的保护得以体现。相较于一般个人信息，属于个人敏感信息中生物识别信息的人脸信息具有唯一性和不可更改性，信息泄露、技术滥用所衍生的违约侵权损害具有不可逆性。司法实践中存在着大量侵害公民个人信息权益的案件，充分体现出人脸信息属性界定不清、人脸信息处理者处理人脸信息路径不明等问题。因此，基于人脸信息的独特属性，有必要厘清人脸信息的法律属性，并在各项法律法规交织的背景下完善人脸信息处理者的处理模式，以期为人民群众美好幸福生活提供充分的法律保障。

一、人脸信息的法律属性

人脸信息是指从数据主体的人脸图像提取的反映数据主体参数的信息，可单独或者与其他信息结合识别特定自然人或特定自然人身份，属于《民法典》第一千零三十四条所规定的“生物识别信息”，并适用《个人信息保护法》中敏感个人信息的处理规则。然而，我国立法并未明确人脸信息的法律属性，美国伊利诺伊州的《生物识别信息隐私法案》（BIPA）、《加利福尼亚州消费者隐私保护法案》（CCPA）法案均对人脸信息在内的生物识别信息采用隐私权保护模式［1］。但是民法典并未采取敏感信息和非敏感信息的划分方式，而是将个人信息分为私密信息和非私密信息。学界有观点认为，公众场合只要信息主体未事先知晓人脸识别通知或者采取戴口罩等遮掩方式有效隐藏自身面部特征的，那么主观上该信息主体就享有合理的隐私期待，可受隐私权保护［2］。亦有学者认为通常处于暴露状态下的人脸信息不具有私密性特点，不适用隐私权的保护模式。敏感信息和私密信息的交叉难以判断人脸信息是否属于隐私权范畴。笔者认为，对于人脸信息应以区分适用场景的方式判断其是否属于隐私权范畴的私密信息。

敏感信息和私密信息二者的属性特征存在差异，《个人信息保护法》对敏感信息贯彻“识别性保护”原则，原因在于人脸信息等敏感信息具有识别独特个体的特性，承载着人格尊严与人身、财产安全。换言之，人脸信息蕴含着人格平等、人格尊严等重要人格利益，具有基本人权属性和一般人格权属性。隐私权范畴内的私密信息主要强调信息的“私密性”，遭受侵害的表现主要为自然人个体的隐私期待落空［3］。学界有观点认为，私密信息的判断应当从信息的尊严性意义着手［4］，若信息对于维护自然人的人格尊严、人格自由以及人身财产安全具有重要意义的为私密信息，反之，则为非私密信息。诚如前述，人脸信息具有人格尊严、人格自由等一般人格权属性，单从尊严性意义上辨别不仅过于主观，而且有碍人脸信息财产属性的发挥。人脸信息在信息产业发展中展现出极高的经济利益和财产价值［5］，而隐私权的严格保护规则显然不利于人脸信息的商业运用以及价值发挥。例如，处理私密信息需要权利人的同意，而处理非私密信息根据《民法典》第一千零三十六条的规定包括自然人或者其监护人同意、自然人已经合法公开、为维护公共利益或者自然人合法权益三种例外情形。换言之，监护人无权擅自同意处理被监护人的私密信息。同时，私密信息的处理需要权利人“明确同意”，相较于一般同意要求同意的意思表示更为具体、明确，即权利人需要具有明确表明愿意对方当事人正当化利用隐私以及自愿对方当事人处理私密信息的范围［6］。对于人脸信息的保护应当注意隐私权与个人信息保护交叉的情形，注重信息数据的商业价值。

在人脸信息是否属于私密信息适用有关隐私权保护的问题上，笔者认为应当结合信息处理的阶段、用途以及信息是否具有私密性等综合判断。若信息的处理仅涉及收集、存储阶段，并且仅用于身份识别等单一用途，并不具有尊严性意义的则以个人信息权益保护。例如，人脸识别门禁系统的作用是录入并识别业主身份，并未涉及信息的加工和处理过程，此时的人脸信息应当属于“非私密信息”，适用《个人信息保护法》中敏感信息的保护规则；而当人脸信息的加工处理过程涉及财产隐私、家庭隐私或者个人经历隐私时，应当受到隐私权的规制，如将人脸识别技术作为支付手段进行操作（支付宝、微信的刷脸支付）等，此时的人脸信息涉及信息主体的财产隐私，应当升级为“私密信息”。换言之，对于人脸信息法律属性的界定应当采用“动态”认定标准，结合信息处理涉及的阶段、用途以及人脸信息是否涉及财产隐私、家庭隐私等私密信息判断。

二、信息处理者处理人脸信息存在的问题

我国《民法典》仅在第一千零三十八条和第一千零三十九条笼统地规定了信息处理者的安全保障义务和保密义务，并未详细规定补救不及时以及不当泄密所应承担的责任。

（一）“一键同意，概括授权”下信息主体的知情权剥离

人脸信息的适用具有场景化特征，如在民事领域中进行人脸识别支付账款、办理业务，或者在刑事领域中用于查询和追缉犯罪嫌疑人，以及查找走失儿童等。更为重要的是，人脸信息通常蕴含着信息主体的私密信息，如用于财产账户解锁，或者公司企业进行收集然后通过面相分析饮食偏好或者潜在疾病进而提供“个性化”服务。人脸识别技术推动现实社会智能化发展，但是“一次授权，概括同意”的模式让人脸信息的泄露风险、技术滥用风险、违约或者侵权风险暴露无遗。《个人信息保护法》第二十九条规定信息处理者处理个人信息需要取得个人的单独同意，《人脸识别规定》第十一条规定要求自然人授予无期限限制、不可撤销、可任意转授权等处理人脸信息权利的条款构成格式条款，但是并未表明是否每一次处理人脸信息都需要信息主体的授权。信息处理者为追求信息利益的最大化，通常在为主体提供服务或者产品的过程中希望在权限范围内获取最大数量且能反复使用的信息。例如，美颜相机和抖音等APP需要用户授权人脸识别的方式才能提供服务，用户在授权APP使用相机功能时并不代表用户同意对其人脸信息进行分析和处理。然而，人脸信息通常会在不知情的情况下被捕捉、采集，并且用于“1对N”的识别场景，信息主体对人脸信息被使用的“知情权”被逐渐剥离［7］。而导致这一现象产生最主要的原因就是同意边界的模糊不清。《人脸识别规定》虽然在一定程度上防止无期限同意现象的发生，但概括性的规定仅仅要求取得用户的同意，并未解决现实场景中用户对人脸信息的同意使用是授权至何种阶段以及适用范围，僵化了同意的动态性。

（二）信息处理者在处理人脸信息时未明确特定的限度和目的

国家机关等行政单位通常以公共利益维护和管理需要为限度，《人脸识别规定》第五条规定应对突发公共卫生事件、维护公共安全以及为公共利益实施新闻报道而处理人脸信息的信息处理者不承担民事责任；而公司企业的处理限度和目的以其提供的产品和服务为基础，通常需要用户或者其监护人的同意。然而现实生活中信息处理者违背限度和目的处理人脸信息的现象屡屡发生。如日本政府在防治流感期间，以强制绑定手机软件的形式开展病毒溯源和个人健康检测，引发民众对“政府监视”的抵抗情绪，政府在处理和监管人脸信息等敏感信息时该把握何种的限度与原则成为时代背景下的难题。欧盟GDPR秉持禁止处理为主，法定必要以及主体同意为辅的基本原则，其第九条明确规定禁止以识别自然人身份为目的对个人基因数据、生物特征数据处理。然而过于限制人脸识别技术的商业化显然不符合现代智能化社会的发展，商业利益和公共利益适用人脸信息的场景应当区分不同的限度和目的，同时需要建立更为严格的规范程序以及监督机制。

三、信息处理者处理人脸信息的应然路径

（一）构建动态“知情—同意”机制

《个人信息保护法》第十四条第二款的规定在一定程度上能够防止“一次同意，概括授权”现象的产生和蔓延，但是一方面处理场景的变化可能并不会变更处理目的、方式和信息种类，却会对信息主体的民事权益产生影响［8］；另一方面“重新取得同意”机制过于僵化，同时会带来相对较高的技术成本，这对人脸识别技术的兴起和发展无疑存在负外部效应。笔者认为，《个人信息保护法》主要规范信息处理者与信息主体之间就信息处理的初始利益关系，对场景变化、二次更改的同意规制未臻完善。因此，在“重新取得同意”机制的基础上应当建构动态“知情—同意”体系。

首先，信息处理者除在处理个人信息前应当根据《个人信息保护法》第十七条的规定履行事项告知义务外，针对人脸信息等敏感信息的处理还应当告知相应的技术不稳定风险、相应的处理流程以及所提供的安全防范措施等事项［9］。其次，建立动态授权机制，在确保信息主体对人脸信息被采集等处理行为知情的基础上，应当考虑人脸信息所适用的场景环境以及信息主体合理保护预期下适当的授权期间，实现在动态时间轴内的多次授权。换言之，信息主体可在一定期间内以“一次授权”的模式同意信息处理者处理人脸信息，但是超过时间段或者出现其他超过同意表示作出时所授权情形的，如处理不再局限于识别特定身份而用于数据分析等，信息处理者应当采用短信告知、电话通知、消息推送的形式向信息主体获取授权。反过来，动态授权机制允许信息主体自由选择知情方式并可选择单次授权还是某一时间段内的持续授权，以提高参与感的形式保障信息主体的知情权。最后，重大事项除要采用“醒目”告知的方式外，还应当进行二次告知，以防止信息主体在冗长和繁杂的合同条款中不能清晰知晓信息处理者的告知事项以及自身授权的权限范围。

（二）明确必要的限度和原则

必要的限度和原则是个人信息处理者在处理个人信息过程中所必须遵从的行为准则，然而作为贯彻信息自决理念的重要保障，信息处理者在处理个人信息时仍会超过限度和原则处理个人信息，如物业将“刷脸”作为进出小区的唯一方式、动物园强制采集“人脸”用作入园凭证等案件都是信息处理者未遵从“最小、必要”原则收集和处理个人信息的体现。

人脸信息的场景化特征决定了信息处理者在处理人脸信息时应当结合适用场景分层、分类明确必要的限度和原则。笔者认为，信息处理者收集和处理人脸信息时的必要限度和原则首先应当围绕“人脸信息是否为实现处理目的所必须”展开。例如，人脸识别在动物园入园、业主进入住宅等场景中并不具有唯一不可替代性，《人脸识别规定》更是明确规定不同意以人脸识别作为进入物业服务区域验证方式的业主或者物业使用人有权请求物业提供其他合理验证方式，因为刷卡入园、指纹验证等方式已然能够满足产品和服务的需要，而美颜相机、面相分析等软件则必须由信息主体授权处理人脸信息才能提供服务。而后，针对是否必须采集和处理人脸信息区分适用不同的限度标准。若人脸信息并非产品和服务所必需，则信息主体有权选择是否适用人脸识别技术享受服务和产品，信息处理者应当提供多种途径满足产品和服务的需要，不能以不同意采集和处理人脸信息而拒绝信息主体的请求；若人脸信息是产品和服务所必需，信息处理者应当明确告知需要授权采集和处理人脸信息才能享受产品和服务的必要性，以及相关的授权范围和使用途径。其次，判断人脸信息是否属于私密信息。诚如前述，加工处理过程涉及财产隐私、家庭隐私或者个人经历隐私的人脸信息应当划归隐私权保护，需要取得权利人的明确同意，因此在同意机制上应当根据相关法律规定有所区分。针对私密信息的人脸信息处理，应当识别授权主体的身份并取得明确的授权同意，而针对非私密信息的人脸信息处理，则可将授权主体的范围扩大到监护人范围。最后，将收集和处理范围限制在实现处理目的的最小范围内。人脸信息可能涉及收集、存储、使用、加工、传输等多个流程，根据“最小”原则的要求，信息处理者应当将人脸信息的处理限制在实现服务和产品目的以及信息主体的授权范围内，如采用身份识别系统的信息处理者除收集、存储和使用人脸信息进行识别外，不得对人脸信息进行二次加工以及对数据进行多次处理，同时不得对外传输相关信息，确保将人脸信息滥用、泄露和超范围收集的风险限制在最小。

四、结论

人脸信息作为敏感信息受到《个人信息保护法》规制，但当人脸信息的加工和处理过程涉及财产隐私、家庭隐私等个人私密信息时，应当将人脸信息划为私密信息并受隐私权规则保护。然而，信息处理者在处理人脸信息时义务边界模糊，难以为信息主体的人脸信息提供健全的保护模式。信息处理者在处理人脸信息时应当构建动态“知情—同意”机制保障信息主体的知情权并确保信息处理者的信息处理行为遵守正当性和必要性，同时在“最小、必要”原则下，信息处理者首先应当明确人脸信息是否为提供产品和服务所必需，而后判断是否属于私密信息，并在此基础上明确处理的限度和原则。

参考文献：

［1］张新宝.隐私权的法律保护［M］.北京：群众出版社，2004：28-44.

［2］蒋洁.人脸识别技术应用的侵权风险与控制策略［J］.图书与情报，2019（5）：58-64.

［3］吴基祥.合理隐私期待理论：网络适用与反思［J］.青年记者，2021（6）：97-98.

［4］方璐馨，李永军.论人脸信息的民事法律保护［J］.南通大学学报（社会科学版），2023（5）：89-99.

［5］曾昌.分离困境与整合路径：大数据时代下个人生物识别信息保护制度之完善［J］.云南社会科学，2021（5）：114-122，187.

［6］最高人民法院民法典贯彻实施工作领导小组.中华人民共和国民法典人格权编理解与适用［M］.北京：人民法院出版社，2020：352.

［7］崔丽.个人生物识别信息的法律属性与保护路径：以《民法典》第1034条的解释为出发点［J］.学习与探索，2021（8）：73-81.

［8］韩旭至.个人信息保护中告知同意的困境与出路：兼论《个人信息保护法（草案）》相关条款［J］.经贸法律评论，2021（1）：47-59.

［9］石佳友，刘思齐.人脸识别技术中的个人信息保护：兼论动态同意模式的建构［J］.财经法学，2021（2）：60-78.

作者简介：冯舸（1997—），男，汉族，四川绵阳人，博士研究生，单位为西南政法大学民商法学院，研究方向为民商法学。

（责任编辑：赵良）