数字法治|杨华：人脸识别信息保护的规范建构

原载于《华东政法大学学报》2023年第2期。作者：杨华，上海政法学院人工智能法学院教授，法学博士。

人脸识别关系到每个自然人的个人信息安全，尤其是敏感信息的安全。国家高度重视人脸识别等人工智能技术的应用。习近平总书记指出：“要坚持网络安全为人民、网络安全靠人民，保障个人信息安全，维护公民在网络空间的合法权益。”“要加强人工智能发展的潜在风险研判和防范，维护人民利益和国家安全，确保人工智能安全、可靠、可控。要整合多学科力量，加强人工智能相关法律、伦理、社会问题研究，建立健全保障人工智能健康发展的法律法规、制度体系、伦理道德。”因此，构建人脸识别信息保护规范，符合人民群众的所急所盼。2021年1月1日施行的《中华人民共和国民法典》规定了公民肖像权、隐私权的保护，2021年8月1日施行的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(法释〔2021〕15号，以下简称“人脸识别司法解释”)为审理人脸识别侵权的民事案件提供了司法依据，2021年11月1日施行的《中华人民共和国个人信息保护法》较为全面地规定了个人信息保护的规范。我国宪法、法律、行政法规有关公民权利、信息安全、权利损害救济的规定，也为自然人的权利保护提供了依据。

由于人脸识别信息作为敏感信息保护的问题复杂性、人脸识别技术与法律的融合性、人脸识别技术应用的具体标准尚未完备，我国当前的这些立法和司法解释，对人脸识别技术普及应用所带来的人脸信息识别规范性问题、自然人人脸识别信息的保护问题，并没有给出明确的解答。如人脸识别技术应用的边界在哪里?如何避免人脸识别技术滥用?人脸识别信息受到侵害后如何救济等问题，亟待通过专门立法予以明确。美国联邦层面出台了《商业人脸识别隐私法案》《人脸识别技术授权法案》《道德使用人脸识别法案》，很多州层面也出台了人脸识别技术应用的法案。我国《个人信息保护法》第62条特别强调对“人脸识别”制定专门的保护规范。鉴于全社会对人脸识别问题的广泛关注，制定人脸识别的专门法律规范宜尽快提上日程。

一、人脸识别信息保护法律规制的现状及存在的问题

我国人脸识别的法律规范散见于现有法律、法规、部门规章和司法解释之中，没有形成系统的规范。人脸识别在没有征得被识别对象同意情况下的使用以及非法使用较为普遍，产生了诸多涉及个人信息权益保护的案件。

（一）对“人脸识别信息”缺乏明确的法律界定

《个人信息保护法》强调了制定人脸识别法律规范的重要性，该法第62条规定：“针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用，制定专门的个人信息保护规则、标准。”该规定特别强调了制定专门的“人脸识别”保护规范，说明人脸识别的法律规范处于较为重要的地位。其中，关于个人信息中的人脸信息、人脸识别信息、生物识别信息的界定以及三者之间的明确关系，是首先要明确的内容。

根据人脸识别司法解释第1条第3款“本规定所称人脸信息属于民法典第一千零三十四条规定的‘生物识别信息’”，2021年12月全国信息安全标准化技术委员会制定的《网络安全标准实践指南——网络数据分类分级指引》第5.2.2(c)条“个人生物识别信息是指个人生物特征识别原始信息和比对信息，如人脸、指纹、步态、声纹、基因、虹膜等生物识别信息”，可以得出人脸信息属于生物识别信息。

但对于什么是“人脸识别信息”，目前法律并没有统一规定。从语义上来看，人脸识别信息属于人脸信息的子类概念。《个人信息保护法》第51条规定个人信息处理者应“采取相应的加密、去标识化等安全技术措施”，第73条则对“去标识化”进行了立法界定。同时，第4条规定个人信息“不包括匿名化处理后的信息”，该法似乎默认“匿名化”处理之后的信息不会对自然人信息造成侵害。但从计算机和网络技术上讲，对多来源、多类型数据集进行关联分析和深度挖掘，匿名化的信息也是可以复原的。尽管如此，仍无法明确“人脸识别信息”的具体概念。

欧盟《通用数据保护条例》规定，人脸识别信息是指通过抓取人的面部特征等进行一定技术处理后形成的能识别到特定自然人的信息。可以得出人脸识别信息是经过“抓取”“技术处理”之后形成的特定自然人的所有“过程性”信息。这里的“抓取”“技术处理”与我国《个人信息保护法》所规定的“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等”“过程性”信息是相同的。因此，“人脸识别信息”可以界定为在处理人脸信息过程中形成的可识别信息。

（二）缺乏人脸识别信息保护的专门规定

与人脸识别信息保护密切相关的法律有《个人信息保护法》《数据安全法》《网络安全法》，三部法律通过对个人信息或数据保护的法律规范，对人脸识别信息保护起到了间接规范作用，但也缺乏明确的人脸识别信息保护法律规范。例如，《个人信息保护法》中规定了个人信息保护，但对“个人信息”与“人脸识别信息”的关系并不明确。该法多处提及的“身份识别”“生物识别”是否包含“人脸识别”，似乎需要通过具体的实施细则或法律解释予以明确。《数据安全法》中规定的数据，是指任何以电子或者其他方式对信息的记录，但是否包含“人脸识别”数据，同样没有相应的立法或司法解释。《网络安全法》规定个人信息保护包括“生物识别”信息，但“生物识别”与“人脸信息”的关系似乎也需要明确。此外，《宪法》第33条规定的“国家尊重和保障人权”、第38条规定的“人格尊严不受侵犯”，《民法典》第111条规定的个人信息权、第1019条规定不得利用信息技术手段侵害他人的肖像权、第1033条规定的隐私权，以及《刑法》第253条、第280条、第285条，《电子商务法》第23条，《消费者权益保护法》第29条和《全国人民代表大会常务委员会关于加强网络信息保护的决定》《关键信息基础设施安全保护条例》《电信条例》《征信业管理条例》等法律法规，是否可以适用于人脸识别信息保护的纠纷处理，也只能从“间接适用”的夹缝中寻求解释。这无疑为人脸识别信息保护问题的法律适用带来诸多障碍。

总体来看，我国人脸识别信息保护的法律规范呈现出如下三点不足。一是我国没有明确的人脸识别信息保护法律规定。表面上看，有关个人信息、数据和网络安全的立法已经存在，但具体运用到人脸识别信息保护纠纷解决时，法律依据往往都是间接的、分散的，找不到专门的人脸识别信息保护立法。二是法律法规或技术规范操作性不强。例如，收集、使用个人信息应当遵循合法、正当、必要原则，但如何认定“合法、正当、必要”缺乏必要的标准;又如，收集个人信息需要征得个人同意，但如何落实“同意”?相反，几乎人人都在被动地、无奈地接受人脸识别。三是法律救济机制不足，在人脸信息遭到泄露、伪造、歧视等情况下，尚缺乏有效的法律救济方式和救济途径。因此，制定专门的人脸识别信息保护的法律规范，防范人脸识别带来的风险，有效保护自然人人脸识别信息权利确有必要!

（三）司法解释无法替代人脸识别信息保护的立法和执法问题

2017年6月至2021年6月，全国法院新收侵犯公民个人信息刑事案件10059件，2016年1月至2020年12月，隐私权纠纷案件共1678件。在这些案件中，与人脸识别信息保护直接相关的案例较多，但由于缺乏相应的专门立法依据，法院在审理相关案件时依据其他法律法规予以审理，“郭兵诉杭州野生动物世界滥用人脸识别案”(以下简称“郭兵案”)就是其中的典型代表案例。

“郭兵案”是因人脸识别信息保护纠纷引发的国内“人脸识别第一案”。社会公众对本案关注的焦点是“人脸识别合不合法”的问题，也期待法院作出“人脸识别合不合法”的判决。一、二审法院则以“服务合同纠纷”的案由审理本案，并没有回应社会关切，引发了广泛的讨论。本案推动了“人脸识别司法解释”的出台。然而，司法解释解决不了人脸识别信息保护的立法与执法问题。

一方面，司法解释解决不了立法问题。司法解释正是在立法缺失的情况下，在审判领域确立人脸识别信息保护纠纷解决依据的被动之举。实现人脸识别信息保护，必须在相关立法保障的前提下，人脸识别技术和设备的应用方依法做好人脸识别的收集、存储、使用、加工、传输、提供、公开、删除工作，人脸识别信息的受保护者可依法享有知情权、选择权、修改权、删除权等权利。立法应将权利和自由从抽象化的应然状态转化为具体化的实然状态的制度设计。宪法和法律中已规定的权利也要顺应时代变迁和具体实施环境的变化而制定相应的法律制度予以落实。人脸识别信息保护的规范构建就是适应人工智能时代的个人信息安全保障、隐私权保护的实际需求而作出的应对举措。司法解释只是在司法实务中，对某些立法不够明确、不够具体时提供的审判指导、审理依据和标准，不能代替人脸识别信息保护的相关立法。

另一方面，司法解释在司法领域的作用无法解决执法领域存在的问题。由于人脸识别技术的普及应用，人脸识别信息保护的执法工作量急剧增长，缺少人脸识别信息保护的立法，必然会给执法工作带来极大的不便，也造成行政执法依据和行政处罚数额方面的巨大差异。通过检索市场监管部门在违规使用“人脸识别”技术方面的执法案例可以得出较为明显的结论。2021年5月，浙江省宁波市海曙区市场监督管理局对宁波浙坤置业有限公司因违规使用人脸识别技术，依据《消费者权益保护法》处以14万元罚款。2021年6月，浙江省兰溪市市场监督管理局对兰溪中梁龙置业有限公司违法安装使用人脸识别监控系统，依据《消费者权益保护法》处以警告处罚。浙江省温岭市市场监督管理局开展房地产领域人脸识别专项整治行动，对某楼盘擅用人脸识别技术导致侵权案件，依据《消费者权益保护法》处以25万元罚款。2021年7月，上海市静安区市场监督管理局对中央电视台“3•15晚会”曝光的科勒卫浴，依据《消费者权益保护法》处以50万元罚款。这些案例表明，市场监管部门行政执法的主要依据是《消费者权益保护法》，但也有《民法典》和国家标准、司法解释等依据;在处罚数额上，从“0”(警告)到“50万元”不等，可能还会出现更高数额的处罚。之所以造成这样的局面，其根本原因在于缺乏人脸识别信息保护的专门立法，造成执法依据和处罚数额方面的“高弹性化”。

（四）地方法规没有实质性推动人脸识别立法

由于人脸识别技术应用的普及，很多地方政府或人大制定了人脸识别的立法规定。例如，《上海市数据条例》第22条规定“处理自然人生物识别信息的，应当具有特定的目的和充分的必要性，并采取严格的保护措施。处理生物识别信息应当取得个人的单独同意;法律、行政法规另有规定的，从其规定。”《广东省社会信用条例》第22条规定“采集市场信用信息，禁止采集自然人的宗教信仰、血型信息，疾病、病史信息，基因、指纹等生物识别信息”，并在第56条规定违法单位将被“处五万元以上五十万元以下的罚款”。《天津市社会信用条例》第16条规定市场信用信息提供单位不得采集自然人的生物识别等信息，并在第63条规定了相应的处罚。《深圳经济特区数据条例》第19条规定：“处理生物识别数据的，应当在征得该自然人明示同意……基于特定目的处理生物识别数据的，未经自然人明示同意，不得将该生物识别数据用于其他目的。”这些关于人脸识别的地方立法，体现了人脸识别在全国很多地方正在走向法治化道路。但这些地方立法大都是参照现有国家立法所做的简单重复，而且条文较少，对人脸识别技术应用的过程规范性、对自然人人脸识别信息的保护及其受到侵害后的损害救济，均缺乏相应的规定。

二、人脸识别信息保护立法的理念

现实生活中，侵犯自然人人脸识别信息合法权益的事件依然频频发生。有调研报告显示，64.39%的受访者认为人脸识别有滥用趋势，三成受访者表示已因人脸信息泄露或被滥用而遭受隐私权或财产权的损失。在人脸识别全社会普及的情况下，人脸识别行为只有在法治的轨道上运行才能造福社会，而人脸识别信息保护的规范构建应当树立尊重数字人权、适当限制政府等公共机构的权力以及利益平衡的理念。

（一）人脸识别技术应用应尊重数字人权

数字人权是指在整个社会的数字化转型过程中，综合考虑到人的尊严、平等和不可剥夺的数字权利是自由、正义与公平的基础，为倡导人权必须受到法治保护并以数字算法表达，通过数字协作推动人的权利和自由的普遍尊重、遵守和实现等人权实质因素而提出的。为推动人脸识别技术应用在法治的轨道上发展，造福人类，我们首先要树立数字人权理念、以人为本。

一是在公权力和私权利的分配中贯彻数字人权理念。数字人权是传统人权的丰富和拓展，在人脸识别过程中，要注重评估技术应用给各方造成的影响，注重保护公众的数字人权，减少公众在人脸识别信息保护问题上受到的不利影响。例如，在警务执法中，要注意数字人权的保护，找到大数据应用的“社会可容许性的最大公约数”。二是人脸识别技术发展要贯彻数字人权理念。推进人脸识别技术的算法公平、非歧视、便利化应用等，以体现数字人权理念。倡导人脸识别发展的技术中立原则，反对通过技术或算法从事违反数字人权的行为。算法要为人脸识别的技术正当性、程序的正当性奠定基础，避免算法偏见、算法霸权，促进算法友好向善。三是人脸识别过程中应当贯彻数字人权理念。在使用人脸识别技术或设备时，应当树立数字人权、数字正义、数字法治的理念，征得被采集者的同意，做到合法收集、最小化利用、妥善保管、及时删除，时刻警惕和防范人脸识别技术被滥用，避免成为违法犯罪分子的工具。

因此，国家和社会在使用人脸识别等数字科技治理社会或实施管理的过程中，要有尊重和保障数字人权的意识，遵从法律规范和程序规定，注重接受者的数字人权保护。

（二）人脸识别技术应用应适当限制公权

公权力应受到制约，这是一个亘古不变的法理。习近平总书记指出：“要强化权力制约，合理分解权力，科学配置权力”，“一个国家民主不民主……要看权力运行规则和程序是否民主，更要看权力是否真正受到人民监督和制约。”建立权力制约和监督机制是法治中国建设的关键。因此，对权力的限制应当成为人脸识别技术应用的基本理念。

人脸识别技术可以帮助执法机构保护民众的安全。但是，人脸识别技术的供应商和使用者负有共同的责任，即确保人脸识别的执法机构不存在歧视、不存在滥用。而人脸识别的主要主体之一即为行使国家公共管理职能的国家机构和提供公共管理服务的企事业单位，其行使的就是公权力。我们必须注意到数据理性对行政执法的多维度渗入。

美国在联邦和各州层面都有限制或禁止人脸识别技术运用的立法规定。如美国联邦《道德使用人脸识别法案》主要针对的是政府等执法机构，规定在国家颁布人脸识别技术使用指南之前，禁止安装人脸识别设备、禁止通过人脸识别技术获取个人信息，旨在保护消费者的隐私免遭“迅速发展的人脸识别技术和数据收集活动带来的过度监视和过度监管”的风险。美国联邦《人脸识别技术授权法案》迫使执法部门在使用人脸识别技术进行监视前，应当根据涉嫌犯罪的内容获取逮捕证，特殊情况可以考虑豁免。美国很多州在政府权力和公众权益维护的利益平衡方面均采取了限制公权、保护私权的做法，如马萨诸塞州、加利福尼亚州、得克萨斯州、俄勒冈州、缅因州等。

（三）人脸识别技术应用应注重利益平衡

法律是利益调整的工具，是社会不同利益群体之间的平衡器。在利益平衡理念指引下的法律规则，能够充分考虑法律调整对象之间的利益均衡。利益平衡理念的落实，可以有效避免或减少某一利益主体盲目追求自身利益、无限扩大自身利益的现象，并在适当的情况下合理照顾弱势群体的利益。

人脸识别过程中，有多方利益需要平衡。一是国家因对人脸信息数据的归集、整理和分析，实现了数字经济、技术经济的快速发展;二是行使国家管理权的机构或部门可以提高效率、节省人力、强化权威;三是行使公共管理职能的企事业单位、基层自治组织既完成了国家授权的职能，也实现了自身利益需求;四是私营企业可以精准排查客户、节省运营成本、提高运营效率，还可以对信息数据进行加工、整理形成独具特色的商业模式;五是公众可以享受人脸支付、人脸乘车、人脸住宿等系列便利。

在五个方面的受益主体中，谁将享受到最大的利益?谁应当享受最大的利益?利益主体间是否存在此消彼长的关系?怎么保障各利益平衡?这是人脸识别法律规范制定过程中要考虑的问题。

一是要在利益平衡的理念下，促进主体各方利益的实质平等。在人脸识别过程中，应用方和接受方虽然在法律地位上是对等的，但其权利和义务的分配是不对等的。作为接受方的公众，实际上属于弱势群体或处于处境不利地位。因此，人脸识别的法律规制，应当给予技术应用方更多的合理规制、给予公众更多的保护，从而实现真正的利益平衡。二是要在利益平衡的理念下，实现整体利益最大化。公权、私权的配置，或者权利和义务的分配，必然会涉及各利益主体之间的特殊性和复杂性，涉及各主体之间此消彼长的利益分享。在这种情况下，要发挥法律能够实现调整最大多数人利益的目标和任务。在人脸识别过程中，人民大众是最大多数人，也是技术应用的对象。因此，侧重保护公众隐私权的法律规制，是实现利益平衡的合理路径。三是要在利益平衡的理念下，建立更加合理的利益实现途径。只有可以实现的利益才是真正的利益。实现利益的途径也需要在利益平衡理念下设计。比如，通过立法确立利益各方的权利和义务范围、通过举证责任分配实现利益获取的合理机制、通过特殊保护措施达到公权和私权的平衡等，都是人脸识别过程中各方利益实现的路径。

因此，在上述人脸识别信息保护立法的理念指引下，制定人脸识别信息保护规范的总体思路如下。一是确立规范目的。人脸识别信息保护规范是为规范人脸识别行为，保障人脸识别信息安全，推动人脸信息数据更好融入国家数字经济发展规划，预防人脸识别的系统和设备可能给人脸信息带来的侵害，根据《个人信息保护法》等法律、行政法规而制定的。二是明确规范事项。关于人脸信息保护规范的具体规定，应当围绕使用人脸识别的行为过程展开，即人脸识别的收集、存储、使用、加工、传输、提供、公开、删除等行为。三是实体性规范与程序性规范相结合。人脸识别信息保护规范的制定，既要明确规范人脸识别的范围、人脸信息保护的对象、自然人人脸信息权利保护的原则和内容，也要规定人脸识别信息保护的实现途径，除了普通诉讼等权利救济途径之外，还要规定人脸识别侵权行为的举证责任分配、涉及众多受害人的集团诉讼制度以及有关人脸识别技术滥用情况下的公益诉讼制度等。

三、完善人脸识别信息保护的实体法律规范

根据《个人信息保护法》第62条的规定，制定人脸识别信息保护的实体性规范，应当就建立人脸识别信息保护的基本原则、厘清人脸识别信息保护的范围、明确人脸识别技术商业应用规则、规范公权力机构人脸识别技术应用、确定人脸识别信息权益的范围等内容作出规定。

（一）厘清人脸识别信息权益的保护范围

由于个人信息权利的形成和发展，因人脸识别而侵犯公众个人信息权利的情形，已经超出了传统权利保护的范围，人脸信息侵权与传统的侵权在侵权模式、侵权范围、侵权介质、侵权救济等方面均有不同，而人脸信息侵权的情况又无所不在。因此，有必要扩大传统私权保护的范围。

第一，《民法典》中规定的权利。一是与人脸识别信息相关的人格权，第111条规定的个人信息受保护的人格权益;二是人脸识别信息产生的财产权，第127条规定的数据、网络虚拟财产方面的财产权益;三是与人脸识别信息相关的肖像权，第1019条规定任何人不得利用信息技术手段伪造等方式侵害他人的肖像权;四是与人脸识别信息相关的隐私权，《民法典》第1032规定自然人享有隐私权;五是个人信息权益，第1033条至第1039条规定了个人信息权益，即任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权，自然人可以查阅、复制、修改、删除其个人信息等。

第二，《个人信息保护法》中规定的权利。《个人信息保护法》中规定的与人脸识别信息保护有关的权利主要是该法第44条至第50条规定的“个人在个人信息处理活动中的权利”。主要包括：一是人格尊严、人身财产安全以及通信自由和通信秘密等利益(不包括财产利益)，但因其在保护方式上的“非主导性”或者“非直接性”，决定了它会被界定为权益而不是权利;二是实现个人信息权益保护的同意权、知情权、查阅权、复制权、转移权、更正权、补充权、删除权、请求解释说明权等权利。上述这些权利，构成了人脸识别信息保护的权利体系，这些权利应当在人脸识别信息保护规范中予以明确。

（二）明确人脸识别技术商业应用规则

人脸识别的商业化应用主体大多是私营企业和个人，因其逐利化使用特性，必须施加一定强度的外部责任和义务，促使其规范使用人脸识别技术和相关数据。我国有必要为私营企业设定人脸识别的“告知—同意—限制使用—及时删除—损害赔偿”规则。具体内容如下。

关于告知。私人实体只有在需要向个人提供服务或有其他有效的商业理由，并经政府部门审批许可后，方可使用人脸识别技术收集人脸识别信息。告知的方式可以由口头告知、书面告知或设置明显告知标识。如“您已进入人脸识别区”“本商场已安装人脸识别设施”等。

关于同意。《个人信息保护法》第13条仅规定个人信息处理者在取得个人同意后方可处理个人信息。实际上，在收集、披露个人信息之前，也必须征得个人同意。在个人接受人脸识别信息被识别、收集之前，应当做出口头、书面或默认的同意。同意必须可以构成单独的环节，不得与就业协议等内容中的同意相结合。个人亦有权撤回其明示或默示的同意。

关于限制使用。使用人脸识别信息，包括披露、分析、转让个人的人脸信息，必须有加密措施，不得泄露。在披露、分析、转让个人的人脸信息之前要获得书面许可，许可的内容包括披露、分析、转让的具体数据、原因、数据接收者以及谨慎的使用、保存和处理标准。其中，对于转让数据的行为，还应当与数据的原始持有人分享转让的经济效益。

关于及时删除。《个人信息保护法》第21条仅规定个人信息处理的受托人应当将信息返还给委托人或者予以删除，不得保留。第47条规定了个人信息处理者应当主动删除个人信息的五种情形。其实，对于人脸识别信息，法律应当规定及时删除的期限。由于对信息收集的必要或非必要时常难以界定，因此，对于私营企业收集的人脸信息，必须规定明确的删除或销毁期限。例如，法律可以规定企业必须在最迟不超过1年的合理时间内删除个人信息。

关于损害赔偿。法律应该规定最低的损害赔偿标准，对于违反法律规定的私营企业，受害人有权追诉其所受到的损害，可以在最低损害赔偿标准额和实际受到的损失之间做出追诉选择。

（三）规范公权力机构人脸识别技术应用

政府机构、政府授权机构或具有一定公共职能的机构，带有公权力的色彩，具有“命令控制型”的特征。这些机构在应对突发公共卫生事件、维护公共安全、公共利益所需等情形下，可以依法使用或处理人脸信息。当然，法律需要明确这些机构使用或处理人脸信息的范围，以防止公权力越权使用甚至滥用。前文所述的美国马萨诸塞州、加利福尼亚州、得克萨斯州、俄勒冈州、缅因州等地的做法就是严格限制公权使用人脸识别技术应用的体现。而《个人信息保护法》并未对公权力机构使用人脸识别技术作出规定。为了防止公权力的滥用，要适当规范政府或公共机构安装使用人脸识别技术或设备的行为。

首先，要减少政府或公共机构安装、使用人脸识别设备的随意性。政府安装或使用人脸识别设备要制定详细的规划、经过充分的论证，并征求公众的意见。其次，政府部门获取、保存、访问、使用人脸识别技术获取的信息，要经过严格的许可程序，不可随意而为之。再次，人脸信息的主体有权向政府部门申请查看自己的人脸信息，并有权要求政府部门或公共机构删除自己的人脸信息。最后，行使公共职能的机构要严格履行政府的授权或审批程序后方可使用人脸识别技术或设备。

（四）明确人脸识别信息保护的违法责任

首先，界定人脸识别信息保护违法责任主体及法律责任。禁止使用者通过人脸识别技术对自然人进行技术辨认和跟踪，禁止通过人脸识别技术对自然人进行区别对待。对违反法律规定的私营企业，若是因过失造成的，应当承担一定数额的法定损害赔偿金;若是故意造成的，应当承担一定数额的惩罚性赔偿金。如果实际损害更高，则以实际损害为准。当然，除了受害者的赔偿请求，政府部门还可以对违法使用者采取行政处罚措施。非法使用人脸识别、未履行人脸信息保护义务的单位或个人，由国家有关部门责令改正，给予警告，没收违法所得，暂停或终止违法处理人脸信息的应用程序;拒不改正或造成损失的，对单位处一定数额的罚款，对直接责任人员科以一定的责任。情节严重的，可责令停业整顿直至吊销营业执照，对直接责任人员加重处罚、限制或禁止其担任企业高级管理人员或信息保管员。构成刑事犯罪的，移送司法机关处理。对国家机关及其工作人员不履行人脸信息保护义务的，由上级部门责任改正，并对直接责任人员给予处分。国家机关工作人员玩忽职守、滥用职权、徇私舞弊，给国家、社会或公民造成重大损失的，依法追究刑事责任。侵犯人脸信息权益的单位或个人，应当承担损害赔偿等侵权责任。

其次，严厉打击利用人脸识别技术的相关犯罪行为。由于违法犯罪分子使用数据的目的和手段不符合合理需求，应当施加严格的责任。例如通过刑法中的侵犯公民个人信息罪、使用虚假身份证件、盗用身份证件罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪等对非法使用数据的单位或个人实施制裁。利用人脸识别技术实施破解他人支付账号、盗刷他人银行卡、盗窃财物等行为的，可按盗窃罪、诈骗罪等方式追究责任。严厉打击人脸识别技术领域的黑色产业链，如通过制作模拟3D人脸模型、“深度伪造”人脸等方式骗过人脸识别平台实施犯罪的行为。2017年6月至2021年6月，全国法院就侵犯公民个人信息罪，追究21726人的刑事责任，对3803人判处三年以上有期徒刑。当前我国社会老龄化情形加重，由于老年人对信息的鉴别能力弱，其正在成为人脸识别技术非法利用的特殊受害群体。我们必须对此做出应有的行动，加快制定人脸识别信息保护规范。

此外，制定人脸识别信息保护规范时，应当根据《民法典》《个人信息保护法》《数据安全法》等规范，确立人脸识别信息保护的基本原则。人脸识别信息保护的基本原则是在保护人脸识别信息过程中必须遵循的根本准则，是《个人信息保护法》的基本原则在人脸识别信息保护中的具体体现。由于属于敏感个人信息的人脸识别信息相较于一般个人信息而言，受到侵害时的后果更为严重，应受法律的特殊保护。我国在制定人脸识别信息保护规范时应当确立如下六项原则。一是使用人脸识别的合法、正当和必要原则。二是处理人脸识别信息应当遵循诚实信用、公开透明原则。三是保障自然人的知情同意权和选择权原则。四是严格人脸识别商业性技术应用标准原则。五是明确人脸识别信息的最小化收集、利用和事后删除规则。六是确立鼓励技术创新原则。

四、优化人脸识别信息保护的程序性规范

对人脸信息受侵权人的救济，除了通过实体规则确立其相应权利之外，还要通过程序法的规定确立或优化其权利的实现路径。优化人脸识别信息保护的程序规则，可以通过确立人脸信息侵权行为的举证责任倒置规则、建立人脸信息侵权行为的集团诉讼机制和完善司法救济机制等方式实现自然人人脸识别信息权益保护。

（一）人脸识别信息保护侵权纠纷的举证责任倒置

传统的侵权责任认定，需要对侵权行为、损害事实、因果关系、主观过错等要件进行认定，而人脸信息的侵权呈现出如下特点：一是侵权行为的强技术性;二是侵害发生的环节多样;三是侵权发生的时空增大;四是侵权的客体包括精神性人格权和财产性人格权。由于人脸信息侵权行为的上述特征，受侵权人作为人脸识别技术应用的被动接受方，其所有的信息都受制于人脸识别技术使用方，受侵权人的举证责任能力严重不足，导致权利保护严重缺失。例如，花季少女徐某不堪“人肉搜索”而自杀身亡，大学生徐玉玉因其个人信息被转卖后遭到电信诈骗不堪承受自杀身亡。这些案例表明，如果按照普通侵权责任认定方式，受害人显然无法获得有效救济。我国学者曾提出针对个人信息的侵权行为采取过错推定原则。《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第6条规定，信息处理者主张其行为符合“合法、正当、必要原则”的，应当就此承担举证责任;信息处理者主张其不承担民事责任的，应当就其行为的免责情形承担举证责任。这可以被认为是通过司法解释的方式明确了人脸信息侵权行为责任的过错推定与举证责任倒置原则。《个人信息保护法》第69条更是明确规定了个人信息处理者的举证责任及其赔偿的依据，该规定应当在人脸识别信息保护规范中予以明确和细化。总之，由于侵权行为的过错责任原则无法有效适用于人脸识别侵权所产生的损害救济，人脸识别信息权益诉讼程序采取举证责任倒置原则，有利于震慑人脸识别使用方，避免或减少人脸识别信息侵权行为发生。当然，人脸识别技术应用方具备法定免责事由的，则可以不承担相应的民事责任。

（二）人脸识别信息保护侵权案件的集团诉讼

利用人脸识别实施的侵权行为，一般会涉及庞大群体，如Google、Facebook的侵权行为所涉及的人达数百万乃至数亿。对于此类性质相同、人员众多的侵权行为，适合通过集团诉讼制度解决，即在一个起诉的情况下，其他众多受侵害人不需要起诉就能自动获取原告诉讼主体资格，一旦胜诉后，所有人都可以获得相应的赔偿或补偿。受害公众中的“一人起诉，人人原告”的集团诉讼，对侵权人来说无疑是巨大威慑，可以迫使人脸识别使用方遵守法律规范。

我国《民事诉讼法》第53条、第54条规定了人数不确定的代表人诉讼制度，但这一代表人诉讼，必须是参诉人员先有明确的意思表示并成为原告之后，由参加诉讼的成员推选代表人，再由代表人完成诉讼。也就是说，所有参诉人员的原告主体资格不是自动获得的。然而人脸识别侵权纠纷的集团诉讼应当采取的是自动获得原告主体资格的制度，即“只要不明确退出，就视为加入”，与代表人诉讼制度中的“只要不明确加入，就视为放弃”的诉讼效果明显不同。在人脸识别技术飞速发展并可能造成大规模侵犯公众权益的背景下，我国应当建立受害人自动获得集团诉讼原告主体资格的规则，这对规范人脸识别行为将起到良好的威慑和指引作用。

（三）人脸识别信息保护案件的公益诉讼

当前，一些经营者滥用人脸识别技术侵害自然人合法权益的事件频发，引发社会公众的普遍关注和担忧。然而，绝大多数受害者不愿起诉、不敢起诉、没能力起诉，迫切需要引入公益诉讼制度，保护广大人脸识别受害人的权益。但是，最高人民检察院发布的《检察机关提起公益诉讼改革试点方案》中关于公益诉讼的办案范围，无论是检察机关提起民事公益诉讼，还是提起行政公益诉讼，均不包括因人脸识别行为造成社会公众权益损害的行为。因此，在人脸识别技术侵权案件多发而且受害人呈现规模化趋势的背景下，我们应当将利用人脸识别技术侵犯公众利益的案件列入公益诉讼范围。

《人民检察院公益诉讼办案规则》第2条规定：“人民检察院办理公益诉讼案件的任务，是通过依法独立行使检察权，督促行政机关依法履行监督管理职责，支持适格主体依法行使公益诉权，维护国家利益和社会公共利益，维护社会公平正义。”2021年3月29日，江苏省镇江市京口区检察院依法向江苏省镇江市京口区市场监督管理局等相关监管单位发出公益诉讼诉前检察建议，督促其依法履行市场监督管理职责，推动整改售楼处采集公民人脸信息问题，确保公民隐私信息不被侵犯。检方要求市场监督管理部门履行职责，及时制止售楼处通过人脸识别技术侵犯消费者合法权益的行为，维护社会公众利益。2021年7月，广东省人民检察院公布广东省个人信息保护检察公益诉讼典型案例。其中，江门市有7个小区擅自安装“人脸识别”门禁系统，存在泄露个人信息的风险，检察机关厘清线索后，遂以行政公益诉讼立案调查。“人脸识别司法解释”第14条规定，信息处理者处理人脸信息的行为符合民事诉讼法第55条、消费者权益保护法第47条或者其他法律关于民事公益诉讼的相关规定，法律规定的机关和有关组织提起民事公益诉讼的，人民法院应予受理。《个人信息保护法》第70条规定：“个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”该条规定为人脸识别信息保护案件提起公益诉讼提供了明确的依据，但对于消费者组织、国家网信部门确定的组织有哪些，有资格提起公益诉讼的标准有哪些等，应当在人脸识别信息保护规范中予以明确。对于侵犯人脸信息行为被作为公益诉讼案件进行处理，应尽快将此类公益诉讼的规则予以明确和细化。同时，为了监督行政管理部门对人脸识别技术使用者或产品生产单位实施有效管理，人脸识别信息保护规范中宜确立有关行政公益诉讼的内容。

五、结 语

目前，人脸识别在消除“数据孤岛”方面达到前所未有的进展，甚至可以串联自然人几乎所有的工作、消费、生活轨迹等信息。然而，现有的法律对人脸信息的搜集、利用、责任承担和风险预防并不明确，对人脸识别设备的分类分级管理更是处于几乎空白的阶段，尤其是在人脸信息跨境转移的情况下，各国在技术数据传输、数据分享、数据分析及相关责任方面的规定不同，可能引发在“走出去”参与国际竞争与合作时的数据合规审查问题。因此，对人脸识别信息制定保护规范的必要性显而易见。

我们应该辩证地对待人脸识别与个人信息权利保护之间的关系。首先，要避免两种极端倾向：一是只专注于创新和技术并将它视为解决一切问题的灵丹妙药，甚至把技术进步本身作为终极目的而不考虑其可能带来的侵犯个人信息权利的风险;二是过分依赖政府，当然地认为政府主管机构能够有效地规避技术进步带来的弊端并将其绳之以法。鉴于此，要避免人脸识别技术带来的风险，需要在个人信息权利保护视角下制定法律规范。其次，兴利除弊地运用人脸识别技术提升个人信息权利保护质量。从个人信息权利的角度来看，一方面要关注在国内法和国际法的范畴内运用技术来促进和保障个人信息权利，另一方面也要关注如何通过法律规则来防范技术滥用所带来的权利侵犯。

人脸识别技术进步推动了权利需求、权利本身属性的变化，涉及公民的人格权、隐私权、个人信息权等权益保护问题，我们应当在个人信息权利保护法治理念指导下，规范人脸信息的收集、存储、保管、加工、使用、共享、转让等行为，达到科技向善、造福人类的目的。

制定《人脸识别信息保护规范》是规范人脸识别行为，而不是限制、禁止人脸识别的技术应用。大到国家安全、智慧城市建设，小到自动驾驶车主识别、手机登录解锁，都在普遍应用人脸识别技术。尤其是在社会治理、智能交通、民生服务、教育医疗、生态保护等公共服务等领域，人脸识别技术的运用具有必要性。而且，人脸识别技术应用也为国家生成了海量的数据，成为促进数字经济发展的有力推动。我们“要站在统筹中华民族伟大复兴战略全局和世界百年未有之大变局的高度，统筹国内国际两个大局、发展安全两件大事，充分发挥海量数据和丰富应用场景优势，促进数字技术与实体经济深度融合，赋能传统产业转型升级，催生新产业新业态新模式，不断做强做优做大我国数字经济”。同时，人脸识别信息保护离不开网络安全，而网络安全是共同的而不是孤立的，维护网络安全是全社会共同的责任，需要政府、企业、社会组织、广大网民共同参与，共筑网络安全防线。

《数字法治》专题由华东政法大学数字法治研究院供稿。专题统筹：秦前松