冯恺 | 人脸识别信息处理中“合法、正当、必要”原则的区分审查

人脸识别信息处理中“合法、正当、必要”原则的区分审查

冯恺

中国政法大学比较法学研究院教授

杨润宇

中国人民大学外国语学院学生

载《东南法学》2022年春季卷

　　摘要：在我国现有立法框架内，“合法、正当、必要”原则是人脸识别信息处理的重要审查依据。三原则内涵关系上存在混淆性，故区分其界限作出区分审查符合立法本旨。首先，进行“合法性”审查时，须确保被处理的人脸识别信息处于法律保护的范围之内，并基于“法定”和“合意”两种不同的合法性基础作出判定：一是在更宽泛的法律框架下考量人脸识别信息处理是否获得“法律授权”；二是针对人脸识别信息之敏感性，采行更高的同意标准。其次，围绕人脸识别信息处理的目的、手段及其平衡性作出“正当性”审查。最后，进一步划清“正当性”和“必要性”的界限，基于信息类型、处理的频率和数量等因素诠释“最小范围或必要”。

　　关键词：人脸识别信息处理 合法性 正当性 必要性 区分审查

　　一、问题的提出

　　随着人脸识别技术在疫情期间的大量推广和应用，对相关法律风险的社会关注陡然增多。人脸识别信息系属生物识别信息的一个特定类型，而生物识别信息又系个人信息的一种，据此，我国法中个人信息处理的“合法、正当、必要”原则（下称“三原则”）亦适用于人脸识别信息的处理。三原则早在 2012 年 12 月 28 日全国人民代表大会常务委员会通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》第二条中被确立为收集、使用个人信息的基本原则，2020 年《信息安全技术个人信息安全规范》（简称《个人信息安全规范》）第 4 条作出类似规定，要求个人信息控制者开展个人信息处理活动时遵循三原则。更为重要的是，作为基本法的《中华人民共和国民法典》第一千零三十五条与 2021 年最新出台的《中华人民共和国个人信息保护法》（简称《个人信息保护法》）均对三原则予以了确认。与此同时，在受到业界高度关注的首例人脸识别侵权案中，杭州市富阳区法院基于三原则分析认为：动物园基于年卡用户可在有效期内无限次入园畅游的实际情况，使用指纹识别、人脸识别等生物识别技术，以达到分辨年卡用户身份、提高年卡用户入园效率的目的，该行为本身符合法律规定的合法、正当、必要原则；然而，动物园在办卡合同中仅表明采用指纹识别入园，收集郭某及其妻子的人脸识别信息超出了必要性的原则要求，因此不具有正当性。

　　从法解释的视角分析，法律实践中区分“合法、正当、必要”三原则对人脸识别信息的处理行为作出审查符合现行立法的期待。然而，三项原则在内涵上存在一定混淆性，个人信息侵权诉讼中应如何对三者一一分别作出审查，立法及理论上均未作充分说明。如学者所指， “合法、正当、必要”作为基本原则内涵太过丰富和抽象，不通过解释难以指导具体实践。以杭州动物园年卡案为例，法院虽基于三原则对被告动物园处理原告人脸识别信息的行为 是否构成侵权作出了分析，但并未严格区分三者，对每项原则一一作出审查；从表述上看， 它甚至将“必要性”纳入“正当性”的范围之中。显然，法院在一定程度上模糊了“合法、正当和必要”的界限，客观上削弱了立法者并行设立三项原则的法律价值。

　　不可否认的是，人脸识别技术凭借其在不同领域的潜在创新力，仍将继续发展和变得更加普遍；政府和企业将继续将人脸识别技术纳入管理软件工具的各个方面，消费者也对获取这项技术的需求充满强烈意愿。但正如莎伦·纳克尔（Sharon Naker）等学者所指出的那样，当前针对人脸识别的法律规制水平远未能跟进相关技术的发展，致使产业界缺乏明确的合规根据，并引发诸多隐私保护问题。如何进一步提高法律规制的精细程度，在人脸识别信息保护及其处理利用之间求得有效平衡，遂成为当前理论及实践中亟待解决的问题。本文拟通过对人脸识别信息这一特定样本的比较分析，厘定“合法、正当、必要”三原则的关系界限及其审查要点，以避免因实践审查标准与立法要求不相符合而引发适用上的混乱。

　　二、人脸识别信息处理三原则的审查困境

　　（一）三原则的关系界定不明

　　从司法适用的视角，三原则审查具体表现为对“合法性、正当性和必要性”的检验，结果的准确性又取决于能否对三者的关系作出明确的界定。然而，理论上关于三原则关系的认识存在分歧，一定程度上加剧了其适用上的困境。

　　一方面，对“合法性”和“正当性”的内涵关系存在认知上的模糊性。关于这对范畴的讨论，传统上多见于政治学、社会学及理论法学等领域。从概念发展来看，理论界一度将二者视为一对相互包含的范畴。例如，具有影响力的马克斯·韦伯在广义上使用“合法性”的  概念，认为它既包含价值哲学范围意义上的狭义“正当性”，也包括法律教义学意义上的“合法律性”，同时还包括了社会学意义上的“正当性”，这一主张对后世产生了深刻的影响。同时，在 Legitimacy 和 Legality 这对易混概念的翻译上，不同翻译者采纳了不同的表述，且不同学科的学者基于各自场景的需要作出不同解释，更使得“合法性”和“正当性”的关系扑朔迷离。从相关文献来看，即便是权威的学者对 Legitimacy 的翻译也有所不同，有的译为“正当性”，有的译为“合法性”，例如，《元照英美法辞典》（第 1 版）将其译为“合法化、正当性、准正”，而《布莱克维尔政治学百科全书》中则将其译作内涵较窄的“合法性”。即便是在现实运用中，人们对“合法性”和“正当性”这对中文表述的认知也存在一定差异，前者因在字面上与“合法律性”更为相近而被使用的频率往往高过后者。

　　另一方面，在“正当性”与“必要性”的界限问题上存在一定混淆。设定“必要”原则的目的有时被认为是为了确保人脸识别信息处理的正当性，认为其构成广义上的“正当性” 的一部分，从而与立法上将“正当”和“必要”相并列的立场发生冲突。例如杭州动物园年卡案中法院给出的理由之一即为，相关信息的收集“超出了必要性的原则要求，不具有正当性”。从具体审查要点来看，二者在“目的相关性”和“措施妥当性”的理解上容易发生混淆。根据“目的相关性”的要求，人脸识别信息的处理应与其“目的”相关，若从“正当性”审查的视角理解即应具有“目的上的正当性”；但在法律实践中，此种“相关性”要求又常被视为“必要性”审查的一个具体要求。根据“措施妥当性”的要求，个人信息处理的手段须合理、适当， 从“正当性”审查的视角理解即应为“手段上的正当性”；但若从“必要性”审查的视角，又会被认为是用以限制程度大小的方法，也即“采取影响最小的手段”。可见，对人脸识别信息处理的“正当性”和“必要性”审查要点存在一定分歧。

　　一个不争的事实是，尽管民事案件中常常涉及对某一行为是否“合法、正当、必要”的审查，理论上却鲜有对三者及其审查标准的研究探索。对三原则审查的模糊化处理，如果是在纯粹进行理论探讨时尚能被容忍，但在具体的制度适用背景下尤其是法院需要对某些行为作出具体审查的情况下却变得极具挑战性。法院在审判实践中不得不绕过这一问题，不加区分地采用概括式的审查方式。

　　（二）人脸识别信息处理的三原则应作区分审查

　　三原则的理论界限不明之现状，无益于明确其各自的法律审查范围。当前不同法律文件中对三原则的内容及标准并未作出统一的规定。例如，《个人信息安全规范》第 4 条规定的“合法、正当、必要”原则具体包括“权责一致、目的明确、选择同意、最小必要、公开透明、确保安全、主体参与”等方面，“公开透明”为三原则的要求之一；《个人信息保护法》却将“合法、正当、必要”的原则（第五条）与“公开透明”原则（第七条）并列起来。立法及理论对此并未作出进一步解释，从而为司法审查带来操作上的不便。从实践需求来看，区分人脸识别信息处理三原则的不同，逐项对其作出审查，不仅能够真实呈现我国当前立法的意图，也有利于司法审判和产业合规中对审查标准的准确把握。

　　为了划分三原则的界限，有必要对其内涵予以厘清。近年来，一些学者对“合法性”和“正当性”的关系作出了区分性界定。刘杨在深入证成“正当性”源流的基础上剖析了其与“合法性”的不同，其认为：“合法性”是指行为或状态的存在符合法律的规定；“正当性”也即“合理性”，是指行为或状态的存在符合某种道德原则或价值标准。对合法性而言，重要的是其如何有效“应用”的问题，侧重于经验实证层面；而对于正当性来说，更重要的是其如何有效证明或辩护（justification）的问题，其兴奋点主要在理性反思的层面。刘毅在诠释 Legitimacy 和 Legality 这对英文范畴的基础上提出了自己的观点，认为：Legitimacy 所关涉的是社会中权力和权威的基础以及为实存的法律秩序所提供的正当性证明，它意味着对一种政治法律制度的公认，或者说，它是政治法律制度存在的内在基础；Legality 概念正式粉墨登场则是在形式主义法学或法实证主义出现以后，在这种理论主导下，强调的是法律秩序的实际存在以及行为者对法律的服从和遵守。据此，宜将 Legality 解释为“合法性”， legitimacy 则解释为“正当性”，二者在狭义上属于相互独立的两个概念。因此有学者宣称， 合法性审查与适当性审查之间泾渭分明，适当性审查都是在已经合法的前提下进行的。相关观点为区分“合法性”和“正当性”提供了重要的理论支持。而就“正当性”和“必要性” 的适用关系而言，尽管在进行目的审查时往往需要作出“限度”上的权衡，其本质仍在于考察人脸识别信息处理的“目的”而非“处理行为”的合理性；将前者纳入“正当性”的审查范围，通过对“目的特定、相关、合比例”等具体要点的考量确保信息处理的合理性，而将“必要性”的审查限于信息处理的类型、处理的频率及数量等特定方面，“正当性”和“必要性”的审查界限则更为清晰。

　　本文认为，为了司法审查和产业合规的便利性，宜从狭义上界定和区分个人信息处理三原则的内涵，并分别对三者予以审查。以人脸识别信息的处理为出发点，“合法性”审查侧重于该处理行为是否存在法律根据；“正当性”审查侧重于处理行为的“合理性”，也即是否符合某种道德原则或价值标准；与“正当性”比较，“必要性”的审查则侧重于针对人脸识别信息处理行为本身的限度要求，也即信息的“最小范围或必要”。下文将结合比较法上的立法及司法审判经验，对人脸识别信息处理三原则的司法审查问题一一进行分析。当然，鉴于立法、理论与司法实践中对相关问题认识的局限性，本文并非无所不包，而是拟重点对较具代表性的要点审查进行探究。

　　三、人脸识别信息处理“合法”原则的审查

　　（一）关于“合法性”的两种解释路径

　　对“合法性”的解释存在广义和狭义两种不同路径。基于三原则的区分立场，我国现行法采狭义上的“合法性”概念。在此种场景下，“合法性”强调的是“合法律性”，而“法律”特指人定法、实在的法律，并非虚无缥缈的“自然法准则”，其体现实际存在的法律秩序以及行为人对这一法律秩序的服从与遵守；在这一层面上，“合法性”并不具有价值判断属性，它仅仅具有事实判断层面的属性，即判断是否“合法”（legal）的标准在于行为人是否遵守了 “人定法”，而并不考虑“人定法”本身的善恶属性。据此，“正当性”从“合法性”中被剥离出来，对人脸识别信息处理的“合法性”作出审查时也不再进行价值性判断。

　　与我国法的立场不同，欧盟及其成员国立法上采行广义的“合法性”概念，其不仅要求人脸识别信息的处理存在法律上的依据，还包含了合理性（或说正当性）的考量。在此种宽泛解释路径下，“正当性”被纳入“合法性”之中，对二者不作严格区分。例如，德国联邦和州独立数据保护监管机构会议《关于生物分析的立场声明》中具体表述了“合法性”的审查范围，其认为：遵循《一般数据保护条例》（GDPR）第 9 条第 1 款，德国法原则上禁止处理用以明确识别自然人的生物特征数据；但如果属于 GDPR 第 9 条第 2 款列举的情形，则可以例外地进行数据处理，例外的情形包括：（1）数据主体明示同意，并在同意中明确提及相关数据及其处理的目的；（2）数据控制者或数据主体为行使劳动法、社会保障和社会保护法所规定的权利以及履行相关义务必须对生物特征数据进行处理的情形；（3）数据主体必须“清楚”地公开相关敏感数据；（4）数据处理对于权利的主张、行使或抗辩具有必要性；（5）基于重要公共利益对数据进行处理。数据处理只有在至少满足其规定条件之一的情况下才是“合法”的，其分别是：同意；对于合同履行或先合同措施的采取具有必要性；对于维护数据控制者或第三方的正当利益具有必要性。显然，诸如“清楚公开数据”“基于重要公共利益”或“对于维护数据控制者或第三方的正当利益具有必要性”等内容体现的是“正当性” 或说“合理性”要求，而非“合法性”的要求。

　　同时，欧盟法实践中也践行广义的“合法性”审查标准，法院对人脸识别信息处理的合法性审查并未限定于法律规定本身，而是往往基于不同利益的需求作出权衡。例如，德国联邦最高行政法院 2019 年 3 月 27 日第 6C 2/18 号判决在援引《德国数据保护法》（旧版）和GDPR 的基础上认为：对于私主体的数据处理行为，可以第 6 条第 1 款（f）项作为合法性依据，要求数据处理者客观上可证明且值得保护的合法利益大于数据主体的相关权益，同时采取的措施对于维护其合法利益具有必要性；本案中设置摄像头的行为对于维护原告的合法利益并非必要，从而属于非法行为。汉堡行政法院 2019 年 10 月 23 日 17 K 203/19 号判决指出：《联邦数据保护法》第 47、48 条为审查数据处理是否“合法”提供了判断标准，要求汉堡数据保护机构对数据处理目的是否明确、清楚、合法，处理是否符合比例原则和具有必要性等问题进行审查，被告并没有予以审查；据此，法院撤销汉堡数据保护机构要求警局删除通过人脸识别技术收集的数据的行政命令。

　　欧盟法针对个人信息处理采广义的“合法性”概念，与其自身传统理论对这一用语的立场不无关联，其法律体系内部能保持逻辑自洽性。与之不同，我国立法中确立了“合法、正当、必要”三原则，此种逻辑框架下需要将“合法性”与“正当性”相区分，以在不同层面上发挥其各自的功能。然而，无论是对“合法性”作出广义还是狭义的解释，均包含着同一要旨：因被判断或被相信符合某种规则而被承认或被接受。根据“合法性”效力来源的不同，人脸识别信息处理的合法性基础分为“法定”和“同意”两种，前者侧重于是否存在“法律授权” 的审查，后者则侧重于审查是否存在“合意”（其核心在于获取权利人的同意）。同时，确保被处理的人脸识别信息处于法律保护范围之内，也构成了进行“合法性”审查的一个基本前提。下文主要针对该三个审查要点作出分析。

　　（二）被处理的人脸识别信息是否处于法律保护范围

　　在启动人脸识别信息处理的“合法性”审查之时，首先需要考虑的一个前提性问题是：被处理的人脸识别信息是否处于法律保护的范围之内，以及满足何种形式要件的人脸识别信息才能受到保护？基于立法上所普遍认同的个人信息“可识别性”标准，一项人脸识别信息是否被用于识别特定个体的身份，是判定其应否处于法律保护范围的一个基本指标。例如，美国 Rivera v. Google Inc. 案审理法院明确指出，无论私人实体在将生物特征标识符处理为信息片段时做了什么，只要该信息可用于“识别”该个体，由此产生的信息仍受法案保护。故而，不应将对个体图像的处理一概认定为对特殊个人数据的处理，除非该图像指向特定的个体。

　　同时，人脸识别信息作为一种从照片中获取的、来源于人脸特征扫描的数据，还须符合特定的技术认定标准。目前人脸识别技术以基于模板和几何特征的方法最为常见，司法审查中确认人脸识别信息时需要考虑相关技术特征。其一，应将“人脸识别信息”与“人脸模板”相区分。“人脸模板”是服务运营商将照片主体的人脸特征扫描和自动上传至云服务而创建的一种“生物特征标识符”，此种“生物特征标识符”是一组测量；“人脸识别信息”则是将这些测量转换为不同的、可被使用的形式。其二，司法适用中采行何种标准认定“人脸几何扫描”，也决定着其能否构成一项受法律保护的人脸识别信息。在 2018 年的一起涉及脸书（Facebook）的诉讼案件中，法院在分析脸书是否收集和存储了“人脸几何扫描”时认为：脸书提起的抗辩实际上将《伊利诺伊州生物识别信息隐私法》（BIPA）中“人脸几何扫描” 的“扫描”限定为“对人脸特征的精确测量”，比如“测量一个人的眼、鼻、耳之间的距离”，但“扫描”一词并不具有脸书所试图强加的定义。按照惯常理解，“扫描”意为“通过观察和核验去检查”或是“系统地为获得尤其是用于显示和存储的数据的活动”；“几何”的日常含义仅是“形状”，指的是“组成部分和要素的相关排列”。这些定义都不要求对空间数量（如距离、深度或角度）进行实际或快速的测量，因此将人脸几何扫描限制在实际测量距离、深度和角度的技术上与立法机关监管任何特定形式的新兴生物识别数据收集技术的明确意图不相符合。其三，并非只有“对本人进行的”人脸扫描才有资格成为生物特征标识符，也并非只能通过“面对面的”过程取得，法律上应避免作出过于狭义的理解，以便为法律适应和应对技术发展留下一定空间。

　　此外，关联技术不断开发拓宽着人脸识别信息的获取途径，一定程度上凸显出在司法审查中宽泛解释“人脸识别信息”的现实保护意义。除了从静态照片获取人脸数据的传统方式，视频之类的动态方式（也即“实时”利用）也日益成为重要的信息获取途径。以作为便携记录仪（body-worn camera）最大销售商之一的 Axon 于 2018 年 5 月获得的一项软件专利为例，该软件能从人体摄像头的镜头中实时找到人脸或其他物体，一旦一张人脸被用户的随身摄像头捕捉到，通过手持设备就能将特定个体的名字提供给捕捉系统的用户。大公司竞相将便携记录仪与人脸识别技术相结合，希望最终利用人工智能来识别实时捕获的人脸。基于此种技术，任何配备该项技术的警官，其身边的人都可被扫描、识别并在面部识别数据库中编目，即便他们没有任何犯罪嫌疑甚至没有和警官有过任何沟通。对隐私的担忧由此而生。正如美国 Steven Vance & Tim Janecyk 案中法官引述 Rivera 案的判词指出：“谁会知道虹膜扫描、视网膜扫描、指纹、声纹以及人脸和手部扫描未来如何进行？重要的是不加限制地收集生物识别信息的行为对隐私的潜在侵犯。”可见，科技常常超越立法，客观上要求加强隐私法以满足个人信息保护的需求。针对人脸识别信息进行合法性审查时应对这一理念作出回应。

　　（三）对人脸识别信息的处理是否存在“法律授权”

　　针对人脸识别信息处理进行合法性审查时，应当如何理解“法律授权”？作为合法效力来源的“法律”，须限定于相关立法文件的直接性规定，还是在更为宽泛的“法律框架”下对其作出解释？若采前者立场，进行合法性审查时核实有无关于人脸识别信息处理的直接法律规定即可。但若采后者立场，除了核实有无法律规定，还需要进一步审查是否存在其他间接的法律规定或相关政策；如有，应如何把握该法律框架的范围？对这一系列问题，我国理论、实践中均未达成共识。

　　作为目前并不多见的一个比较法实践范例，2019 年英国高等法院关于南威尔士警方人脸识别的判决中采用了宽泛的解释方法。法院在审查警方采用人脸识别技术是否满足公约第 8 条第 2 款要求时，针对“依照法律规定”提出了明确的判定标准：（1）该行为必须 “有国内法依据”，并符合法律原则；（2）法律框架必须已发布、可理解，相关规定具体内容可查询；（3）该法律解释空间小，即足够清晰明确地规定了有关机关的裁量范围和执法方式；（4）若解决争议的措施是自由裁量性质的，则不要求对裁量权作过于严格的限制，以避免对基本权利的不合理干预，但要求有保护措施，以避免过宽裁量对权利造成任意的、不成比例的干预；（5）具体规则不一定是成文法，只要在法律框架内且规定了有效的实施方法即可；（6） 合理可预测性不要求所有问题的答案都由法律所规定。不仅如此，该法院进而指出， 除了普通法之外，规制人脸识别的法律框架由三个层级构成：（1）初始立法；（2）在初始立法下发布的二级立法文件，即实践准则；（3）南威尔士警方自己的政策。每个层级的文件都可以提供执法标准。具体而言，该案中的初始立法为《数据保护法》，二级立法文件为《监控摄像机实践准则》，该准则由内政部根据《2012 年保护自由法》颁布，第三级文件则为南威尔士警方自己出台的政策，相关政策可以为人脸识别执法提供额外信息，告知如何、何时、何种情况下使用人脸识别技术。基于相关的标准，法院判定该案中被告警方使用人脸识别技术存在足够的法律框架，因此满足“合法性”的要求。

　　显然，英国高等法院针对人脸识别信息处理是否获取“法律授权”进行审查时，在更为宽泛的法律框架下进行了解释。一定意义上，作为原欧盟成员国之一的英国在数据保护政策上遵循欧盟法的一般立场，欧盟在“合法性”概念上的开放性影响了其司法立场。同时， 英国作为判例法国家，其针对法律的认定标准中自然也包括了判例法中的若干具体规则。

　　由此视角，英国所采取的宽泛解释方法似乎并不完全符合我国法设定的狭义的“合法性”的审查要求。然而，在当前人脸识别技术被广泛应用而对其法律规制却严重缺乏的背景下，若将“法律依据”局限于直接的法律规定，必然会因缺乏规制的法律前提而难以遏制对人脸识别信息的不当处理；反之，若在更为宽泛的“法律框架”下予以解释，则可更为弹性地结合相关立法政策判断人脸识别的处理是否具有合法性。

　　在我国现有立法框架下，人脸识别信息系属生物识别信息的一种，较一般的个人信息更为敏感，保护的标准和要求也较之更高。为了实现其特定保护目的，宜在更宽泛的法律框架下对人脸识别信息处理是否获得“法律授权”作出审查：一是对初始立法的审查，也即对关于人脸识别以及相关个人信息保护的直接法律规定作出审查；二是对二级文件也即实践准则的审查，包括安全规范、指南、标准等形式；三是信息处理者针对人脸识别问题制定的内部政策。同时，在因缺乏相关规定或政策而影响到合法性审查的情况下，应该允许法官基于裁量权、结合个案情形作出判定。据此，宜对我国法中相关人脸识别信息处理“合法”原则中的“法”作出宽泛解释，使其不仅包括全国人大及其常委会制定的法律以及各级行政法规、地方性法规、部门规章，还包括相关人脸识别的各类政策文件。

　　（四）对人脸识别信息的处理是否已获得“同意”

　　将“同意”视为人脸识别信息处理的一个重要合法性基础，这在各国法中已达成普遍共识。例如，GDPR 将面部图像视为一种具有“敏感性”的生物识别符（第 4 条），对其处理遵循“原则禁止，特殊例外”的原则，并恪守以同意为核心的“选择进入”机制（第 9 条）。与虹膜扫描和指纹等其他生物识别技术不同，人脸识别技术被设计成在远距离进行操作，而不依赖于被识别者的知情或同意。基于这一事实，要求人脸识别信息的处理取得数据主体同意具有更为重要的意义。正如 Patel v. Facebook Inc. 案所指出的那样，此种程序性保护在数字世界中尤为重要；技术允许大规模收集和存储唯一生物特征标识符，如果被泄露或滥用，这些标识符无法更改，而且当网站如所指称的那般无视程序的话，维护生物识别隐私的权利便不复存在。与“法律授权”有所不同，“同意”基于信息主体和处理者的合意而达成，将其作为个人信息处理的合法性基础，尊重私法自治的同时也益于推动数据的社会应用。

　　人脸识别信息被归为“个人敏感信息”，对其处理须获得信息主体的同意，且针对该种同意的要求较一般信息处理的情形通常更高。其一，要求须为“明示同意”。根据我国 2020年《个人信息安全规范》的规定，收集个人敏感信息前应征得个人信息主体的明示同意，确保同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示（第 5.4.b 条）。德国联邦和州独立数据保护监管机构会议《关于生物分析的立场声明》亦强调：数据主体的同意必须明确指向对生物特征数据的处理，在同意中必须明确提及相关数据；必须向数据主体提示数据的敏感性，以使得数据主体能够决定是否同意这一数据处理；不允许对数 据处理进行默示同意，且必须提及数据处理的具体目的。其二，要求须为“单独同意”。我国《个人信息保护法》第二十九条明确规定：处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。不过，应如何界定立法所指的“单独同意”？对此理论上仍语焉不详。从字面来看，此种同意与“一揽子同意” 相对应，要求就每项处理行为均需单独给出明示同意，也即个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作出肯定性动作，为对其个人信息进行的特定处理行为作出明确授权。其三，在特定情况下需要满足更高的同意要求。例如在雇佣关系中，信息主体和信息控制者形成依赖关系，处理生物特征信息时对于同意的要求往往更 高。故而，对作为人脸识别信息处理之合法性基础的“同意”进行司法审查时，须恪守较一般个人信息更高的标准。

　　然而，尽管同意作为一项基本法律制度在私法中适用已久，但不同的人脸识别个案中如何判断某项处理行为是否已获取“同意”并非易事。根据通常的要求，同意必须是知情、有意识且自愿作出的，但对这些要点进行合法性审查时仍需要结合不同的场景作出判定。以德国人脸识别和汉堡数据保护及信息自由专员公署关于脸书公司的法律鉴定意见为例，其认为：处理者在征得用户同意前必须使用户清楚了解相关情况，不得通过外力强迫用户同意；用户使用条款或隐私政策中的声明并不足以使人脸识别合法化，而脸书在没有通知用户的情况下擅自激活人脸识别功能，且仅使用通信渠道通知用户，用户需要自己主动通过各种渠道（博客、社区页面、政策页面等）了解该功能，这种情况下的用户同意显然无效。由于脸书没有足够清楚、明确地解释与人脸识别有关的信息，例如哪些数据会被处理、在何种范围内被处理、数据会被存储多长时间等；无论是在注册环节、用户条款还是隐私设置方面， 其关于人脸识别功能的说明都不够明确，此种情况下用户根本没法作出知情后的决定，其作出的“同意”不能视为有效。

　　除此以外，同意通常以书面形式作出，但在互联网环境下其表达形式又呈现出一定特殊性，即“点击或浏览”便能构成“同意”，从而加大了对“同意”的审查难度。在比较法实践中， 法院对人脸识别信息的处理者是否获取在线“同意”提出了不同的认定路径。一种路径以2015 年脸书生物信息隐私诉讼案为范例。该案中，被告脸书修订并更新使用条款，通过邮件将此告知每一位用户，并通过界面相关功能通知了用户。两位原告佩岑（Pezen）和帕特尔（Patel）面对的是典型的“点击表示同意”协议，他们必须单独点击一个框体，以确认他们已阅读并同意使用条款；但另一位原告利卡塔（Licata）在注册时只被要求点击一个“注册” 框，点击即意味着同时同意了用户协议。法院认为，脸书公司已满足证据优势要求，此种“与用户的持续使用相结合的个体化告知”对通知与同意而言已足够，故两种点击方式均构成 “同意”。一种路径以 Miracle-Pond v. Shutterfly，Inc. 案为范例。该案中，法院基于两种不同的协议形式对原告是否构成同意开展分析：一方面，当网站用户单击按钮或选中一个框 以确认其同意一个发布在网站上的“有机会滚动浏览的”条款后，将构成一个“点击”即表示同意的协议，通常这个协议会得到法院的执行；另一方面，“浏览”即表示同意的协议是用户仅通过浏览或使用网站而受网站条款约束的协议，用户不需要签署电子文档或明确单击“接受”或“我同意”按钮，法院只有在用户对条款有实际或结构性的了解时才会执行该协议。两种协议的重要区别在于：是否需要用户有“肯定性的同意”和“肯定性的行为”。此种情况下，对“同意”的审查要点在于：处理者在应用程序中是否包含清晰显著的陈述，一个理想的用户通过单击链接或按下按钮同意服务条款和隐私政策时是否意识到自己对其作了“同意”的表示。然而，尽管对同意的认定要点上存在一定差异性，其本质仍在于令信息主体“知情、有意识且自愿”，包括保证其能在注册时或后续阶段有机会明确授权同意该功能， 且始终能够以简单的方式撤回其同意。

　　四、人脸识别信息处理“正当”原则的审查

　　“正当性”审查又称“合理性”审查，旨在判定规范对象是否合乎理性。学者多认为，个人信息处理之正当性审查主要是对其目的、手段及平衡性的审查。例如，龙卫球等认为，正当性审查意指处理个人信息的目的和手段正当，尤其是个人信息处理者应当依据特定的使用目的并将该目的告知信息主体；根据刘权的观点，“正当性”审查包括目的的正当性，手段的妥当性、必要性和手段与目的的均衡性等方面。我国《个人信息保护法》即围绕目的、手段及其关系提出了对“正当”原则的审查要求，其第六条第一款规定，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。为欧盟成员国提供指引的《欧盟人工智能白皮书》指出：应根据欧盟或本国法律处理数据，且遵守相称性要求、尊重数据保护权的实质并采取适当的保障措施；只有在用途合理、目的相称且保障充分的情况下，才可将人工智能用于远程生物识别。尽管相关观点各有其侧重， 对人脸识别处理的目的、手段及其平衡性的考量构成了“正当性”审查的重要方面。从各国司法实践来看，人脸识别信息处理之“正当性”的审查要点又可细化为几个方面：人脸识别技术使用是否合理、对信息的处理是否符合信息主体的合理预期、是否合乎均衡性原则的要求、处理手段和保障措施是否合理等。

　　（一）人脸识别技术的使用是否合理

　　要确保人脸识别信息处理的正当性，须首先满足一个前提：人脸识别技术使用准确、合理。在一些国家的法律实践中，这一审查通常通过“合理性测试”的方法得以实现。美国2019 年《商业人脸识别隐私法案》（Commercial Facial Recognition Privacy Act）要求对人脸识别技术的准确性进行独立第三方测试；同时，使用人脸识别技术的实体应当提供一个应用程序编程接口，使至少一名合法从事独立测试的第三方能够对人脸识别技术的准确性和偏见进行合理测试。相关司法判例进一步丰富了“合理性测试”的具体适用。例如，Pruitt v. Par-A-Dice Hotel Casino 案判决认为，尽管美国第七巡回法庭在 Swanson 案中建议考虑“合理注意”由何构成、原告可以提供多少细节以及应如何要求诉状指明诉讼的类型，但本案中应考虑对“被告业务的性质”进行合理测试；对收集和存储人脸几何扫描的加油站或零售店而言，原告可能需要提供除“被告使用监控摄像头”之外更多的事实，以使诉求“合理”，但就本案中经营赌场的情形而言，被告拥有大量资金，通常能够采取广泛的安全措施，因此其投资生物识别设备完全合理。可见，关于“合理性测试”尚无一个统一标准，一定程度上仍依赖于个案的评估。

　　需要注意的是，鉴于人脸识别技术的应用前景及风险有待评估，立法者对其使用的态度仍是保守而谨慎的。欧盟基本权利局 2019 年 11 月发布的《人脸识别技术：执法中的基本权利考虑》报告即坦率地指出：欧洲尚未准备好应用相关技术；人脸识别技术太新，目前缺乏使用经验及针对其影响的详细研究，欧洲须更严格监管其在国家边境及公共场所的应用， 避免技术可能带来的风险。这也在客观上使得对人脸识别技术使用进行合理性审查时存在一定程度上的严格化偏向。

　　（二）是否符合信息主体的“合理期待”

　　“合理期待”是信息主体基于与信息收集者的关系而产生的一种可预见性的期待。根据“正当性”的要求，人脸识别信息的处理应当能够为信息主体所预见，并且不得超出其合理期待的范围。据此，使用人脸识别技术的数据控制者在制定隐私政策时应考虑公众对隐私的合理期待，并予以适当提醒。作为审查人脸识别信息处理的一个实践标准，“合理预期”规则在欧盟及其成员国的司法判例中广为接受。例如，欧洲人权法院在第 1874/13 号和第 8567/13 号判决中声称：数据收集者必须告知数据主体对其个人数据是否存在收集和处理行为、处理的目的和方式；应当认定本案申请人对隐私保护具有合理期待。根据英国信息专员公署的要求，信息收集者对信息的后续使用方法应该满足与收集目的“相称”（compatible）条件或者应当符合信息主体的合理期待。

　　然而，对“合理期待”规则的适用远未达成共识，司法审查中仍需要结合个案作出权衡。例如，商家应用户申请制作会员卡时收集姓名、邮件、地址等基本个人信息的行为通常被认为符合用户的合理期待，若是要求提供与之无关的个人信息（如用户其他家庭成员的个人信息）则违反了用户对隐私的合理期待。当人脸识别这一新技术被用于不确定人群而引发对“合理期待”规则的规避时，个案审查时需要对此作出修正。例如，英国高等法院针对南威尔士警方使用人脸识别技术是否违反《欧洲人权公约》第 8 条作出审查时认为：第 8 条第 1 款的权利内容很广泛，判例已经确立了防止滥用这一条款的三重保障，其中一重为保障原告的“合理隐私期待”；南威尔士警方使用人脸识别技术提取了个人身上具有唯一性的标识符，使得个人在很多场合都能被精确识别；而生物数据是重要的个人信息，本质上具有“隐私性”，即使这种生物数据是从公开场合获得的，也不能改变这一事实。

　　（三）是否满足“均衡性”原则要求

　　基于人脸识别技术本身的应用价值无法被忽视，均衡性原则在各国立法实践中获得普遍认可。这一原则主要通过“合比例性”审查规则得以实现，也即要求手段所造成的损害与足够重要的目的所产生的效果成比例。法国数据保护机构CNIL 关于人脸识别的报告指出，人脸识别技术的误差以及无法忽视的内在偏见，决定了需要将成本预算和社会角度纳入考虑；就人脸识别而言，并非一切都被允许或将被允许，应认识到其某些用途的合法性和合比例性，以及某些用途是被禁止的。换言之，人脸识别技术的使用须有充足的理由，与既定目的的实现成比例，并经过适当的检验。美国虽未明确确立比例原则，但各州立法多规定通过利益和成本的大小比较来判定人脸识别技术使用的正当性。例如，依据加州伯克利市关于监视技术使用的法令，市议会只有在确定实施监视技术对社区的利益大于成本后，才应批准其使用申请；俄亥俄州黄泉镇关于监视技术使用的法令亦要求，镇议会确定监视技术的收益应超过其成本，提案应适当维护公民自由、隐私权等公民权利，以及用途和部署不得基于歧视性及观点偏好等因素对任何社区或群体产生不良影响。

　　关于“合比例性”的司法判例，较具代表性的为英国高等法院对于南威尔士警方人脸识别技术使用案的判决，其在分析警方干预行为是否合理时认为：警方对人脸识别信息的使用满足合比例标准，因为其处理行为绝对必要、为行使法律或法律原则所赋予某人的职能所必需且对维护重大公共利益具有必要性。同时，法院并未止步于此，而是针对“合比例” 标准提出了更具操作性的四步测试法：（1）干预措施的目的是否重要到足以证明对基本权利的限制是合理的；（2）干预措施是否与目的有合理联系；（3）是否能采取对权利限制更少而又不会阻碍目的实现的干预措施；（4）考虑上述情况及后果的严重性，是否可以达成个体权利和公共利益的平衡。瑞典数据保护机构亦以不满足“合比例性”为由对某高中使用人脸识别的行为作出罚款裁决，认为遵循 GDPR 的精神，只有在无法以令人满意的其他方式实现处理目的的情形下方可使用个人数据；被告学校原本可采用侵入性较小的方式考察课堂出勤情况，选择使用人脸识别软件与目的不成比例。德国联邦最高劳工法院第 2 AZR 133/18 号判决亦指出：根据比例原则，工作场所的合法视频监控可以存储更长时间；在警方基于侦查目的使用人脸识别技术时，其行为较之更容易受到认可。可见，“合比例性”审查成为人脸识别技术使用正当与否的一个要点；然而，就此审查不存在绝对统一的尺度，需要法官结合个案作出判断。

　　（四）处理手段、保障措施是否合理

　　人脸识别信息处理的“正当性”审查要点中还包括处理手段或保障措施是否合理、适当。根据我国《个人信息保护法》第九条的规定，人脸识别信息的处理者应采取必要措施保障所处理的个人信息的安全。德国联邦议会在有关人脸识别的一个立法动议中明确指出：由于个人数据处理会对数据主体的权利和自由造成风险，数据控制者有义务基于 GDPR 第32 条要求采取适当的技术和组织措施，以确保提供适当的保护以防范风险。欧洲数据保护委员会（EDPB）2019 年 7 月颁布的《关于通过视频设备处理个人数据的 3/2019 指引》则详尽列举了提供尽量降低风险的措施要求，其中包括：对原始数据进行分离存储和传输；对生物识别数据尤其是分离出的片段数据进行加密并制定加密和秘钥管理政策；整合关于反欺诈的组织性和技术性措施；为数据分配整合代码（例如标识符和哈希表）；禁止外部访问生物识别数据；及时删除原始数据，如果必须保存则采取添加干扰的保护方法等。

　　司法实践中亦注重对是否采取“适当”措施作出审查。英国上诉法院认定南威尔士警方使用人脸识别技术违反人权和数据保护法时，其中一个理由即认为被告采取的手段和步骤不够合理。根据法院的观点，人脸识别涉及个人敏感数据，南威尔士警方没有提供明确的文件来说明谁会被列入监视名单，哪里可以部署人脸识别设备，自由裁量权过大；警方也没能正确评估人脸识别技术给数据主体的权利自由带来的风险，没有采取“合理的步骤”询问人脸识别使用是否涉及歧视。可见，对人脸识别信息处理手段、保障措施的正当性或说合理性作出审查，已成为当前立法及司法实践的共识。

　　五、人脸识别信息处理“必要”原则的审查

　　如何判断人脸识别信息的处理为“必要”？不同国家的立法实践对此存在不同的理解和认识。欧盟 GDPR 第 5 条第 1 款（c）将“必要”原则解释为“数据最小化”，要求充分、相关以及以该个人数据处理目的的必要性为限度进行处理。(4)GDPR 第29 条数据保护工作组《关于在线移动服务中人脸识别的 02/2012 号意见》对数据最小化利用原则作了进一步阐释，认为数据控制者必须确保数字图像和模板仅被用于其被提供时的特定目的，相关模板不得在不同人脸识别系统之间进行传输，应采取适当措施以确保数据传输、存储的安全性以及确保数据主体的访问权。显然，鉴于欧盟法采行宽泛的“合法性”解释方法，其从处理目的、范围、手段等方面描述“最小化利用”的审查要点，这便在一定程度上模糊了“必要性”与“合法性”的界限，使得二者发生适用上的混淆。因此，欧盟立法者试图进一步澄清“必要性”与相关范畴的不同。欧洲数据保护监管局（EDPS）在其发布的个人数据保护比例原则的指南中对“必要性”和“比例性”的关系予以了区分，认为应将必要性作为比例性的先决条件，比例性测试一般涉及：评估一项措施（例如监测）应附带什么保障措施，以便将所设想的措施对有关个人的基本权利和自由所造成的危险减少到“可接受 / 相称”的水平；在评估一项拟议措施的比例性时，需要考虑的另一个因素是现有措施的“有效性”；如果已经存在类似或具有相同目的的措施，则应将其作为比例性评估的一部分进行有效性的系统评估。如此， 对作为欧盟法中合法（正当）原则之实现手段的“比例性”的审查偏重于“目的和效果”，而 对“必要性”的审查则偏重于“手段”。

　　与欧盟的立场不同，我国法针对“必要性”的内涵采狭义的解释方法。《个人信息保护法》在总结之前立法经验的基础上，将信息处理的收集范围限于“实现处理目的的最小范围”。2020 年《个人信息安全规范》第 5.2 条对个人信息收集的“最小必要”要求作了更为具体的解释，包括：（1）收集的个人信息的类型应与实现产品或服务的业务功能有直接关联，直接关联是指没有上述个人信息的参与，产品或服务的功能无法实现；（2）自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率；（3）间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。然而，在“正当性”和“必要性”的审查问题上存在理论上的混淆，例如，有学者将“必要性原则”与“最小范围原则”相并列， 认为《个人信息保护法》第六条确立的目的性原则、必要性原则与最小范围原则，实际上是行政法研究中常见的比例原则于个人信息保护方面的扩大化运用。此种解释方法，客观上为原本就界限不甚清晰的信息处理三原则带来审查上的误区。

　　本文认为，在信息处理区分论的框架下，为了进一步划清“正当性”和“必要性”的审查界限，针对人脸识别信息处理的审查要点须被限定于特定方面。必要原则作为人脸识别信息处理的基本原则之一，其具体要求表现为“最小范围或必要”，意味着只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量，目的达成后应及时删除个人信息。一是仅处理业务所需的信息类型。此类信息若不完整就会阻碍某种类型的服务的正常运转，信息的用途与相关产品和服务存在紧密联系，以及信息处理对实现服务目的是必要且必需的，不可以没有任何限制地设定自己的营业目的而作出过量收集信息的行为，所以就需要严格限制营业目的的范围。二是须保持处理频率和数量上的最小限度。如无强制性要求尽量不使用个人信息，将处理信息的数量限定在必要范围之内。例如，经同意披露某人的阅读习惯时，不应包括其观看电视的习惯信息。

　　六、结论

　　人脸识别技术的大量推广和应用极大程度上提升了数据处理的效率，但因现有法律规制水平远未能跟进相关技术的发展，产业界缺乏明确的合规根据，从而引发诸多隐私保护问题。如何进一步提高法律规制的精细程度，在人脸识别信息保护及其利用之间博得有效平衡，遂成为当前理论及实践中亟待解决的问题。在我国现有立法框架内，“合法、正当、必要”原则被视为人脸识别信息处理的重要审查根据，但其内涵上存在混淆性，关系界限上不尽清晰。因此有必要进一步厘定“合法、正当、必要”三原则之间的审查界限，避免因实践审查标准与立法要求不相符合而引发适用上的混乱。

　　一是合法性审查。首先应确保被处理的人脸识别信息处于法律保护的范围之内，使之满足法律上的“可识别性”及相关技术认定标准。同时依据合法性基础的不同作出审查：一方面，在更宽泛的法律框架下对人脸识别信息处理是否获得“法律授权”作出判断，并允许法官基于裁量权和结合个案作出判定；另一方面，人脸识别信息被归为“个人敏感信息”，对其处理须获得信息主体的同意，且该种同意的要求较一般情形更高，须为明示、单独的同意，并以“知情、有意识且自愿”为核心认定网络环境下的特殊同意类型。

　　二是正当性审查。对人脸识别处理的目的、手段及其平衡性的考量构成了“正当性”审查的重要方面。正当性的审查要点又可细化为人脸识别技术使用是否合理、对信息的处理是否符合信息主体的合理预期、是否合乎均衡性原则的要求、手段和措施是否合理等方面。三是必要性审查。进一步划清“正当性”和“必要性”的审查界限，采狭义的“必要性”解释方法，基于信息类型、处理的频率和数量等因素诠释“最小范围或必要”。

（本文刊载《东南法学》2022年春季卷第18-35页，为阅读方便，注释从略。）