“人脸识别”技术被广泛应用于生活的各个场景，随之产生的是个人面部信息利用与保护的全新命题。“人脸识别第一案”后，个人面部信息保护迅速成为实务界、学术界探讨的热点话题。个人面部信息如何被合法、正当、必要的处理亟待规制。以“人脸识别第一案”引入，正视个人面部信息处理存在的相关风险，并在学理、规范层面探讨了个人面部信息的属性意涵。同时，还对比研究了我国和域外在个人面部信息保护立法上的差异。在检视现存风险和规制现状的基础上，试图通过建立利益平衡机制、完善面部信息处理规则、细化面部信息侵权救济制度等，以期实现科技应用与个人面部信息保护的双赢目的。

2021年“3·15”晚会曝光，多家企业在消费者不知情的情况下，捕捉、收集、存储、加工消费者面部信息并进行大数据分析。人脸识别场景下，个人面部信息保护问题愈发紧迫。人脸识别技术是人工智能迭代发展的缩影，在一定程度上方便了我们的生活。但由于人脸识别技术的功能主义导向，其在个人面部信息保护等方面存在着较大的安全风险。已经落锤的“人脸识别第一案”，就像亚马孙雨林偶尔抖动翅膀的蝴蝶一样，将掀起个人面部信息保护领域的洪波巨浪。

一、引入：“人脸识别第一案”的蝴蝶效应

最近，原告郭兵诉被告杭州野生动物世界有限公司服务合同案二审落锤，该案被誉为是中国司法领域的“人脸识别第一案”。该案从司法角度强调了个人面部信息作为敏感信息，实践中应当被依法保护。个人面部信息具有不可更改性和直接识别性等特点，而且其使用关系到人身、财产的核心利益。相比于一般的个人信息，个人面部信息更应该被谨慎对待。“人脸识别第一案”将为接下来个人面部信息保护类案审理提供裁判价值导向。

2019年4月27日，郭兵购买野生动物世界双人年卡，留存相关个人身份信息，并录入指纹和拍照。后野生动物世界将年卡入园方式由指纹识别调整为人脸识别，并向郭兵发送短信通知相关事宜，要求其进行人脸激活，之后双方协商未果。2020年11月20日，杭州市富阳区人民法院做出一审判决，对于郭兵要求删除个人面部信息诉请，法院判令野生动物世界删除郭兵办理年卡时提交的包括照片在内的面部信息。之后，郭兵与野生动物世界均不服，向杭州市中级人民法院提起上诉。2020年12月11日，杭州中院立案受理该案，经过长达四个月的审理于2021年4月9日依法公开宣判。

杭州中院经审理认为，郭兵在知悉野生动物世界指纹识别店堂告示内容的情况下，自主做出办理年卡的决定并提供相关个人信息，该店堂告示对双方均具约束力，且不符合格式条款无效的法定情形。而人脸识别店堂告示并非双方的合同条款，对郭兵不发生效力。野生动物世界欲将其已收集的郭兵照片激活处理为人脸识别信息，超出事前收集上述信息的使用目的，违反了个人面部信息处理的正当性原则，故应当删除郭兵办卡时提交的包括照片在内的面部特征信息。

本案共有三个争议焦点：一是关于个人面部信息收集的许可方式问题；二是关于单方面决定收集、加工等处理个人面部等信息的合法性问题；三是个人面部等信息被侵害后的救济方式问题。

针对焦点一，原告主张被告通知收集、使用其个人面部信息行为应当被认定为无效。其所涉及的问题在于个人面部信息能否被收集、被处理，以及应当如何收集和处理。本案中，在郭兵与野生动物世界已经达成采取指纹识别方式入园合意的情况下，野生动物世界在履行合同期间向郭兵发送案涉两条短信，拟将原已达成的指纹识别入园方式变更为人脸识别入园方式，该行为属于单方变更合同的行为。从合同缔结角度来看，该短信的内容对郭兵而言属于新的要约，鉴于郭兵在诉前已经明确表示不同意变更人脸识别入园方式，并以诉讼方式要求确认该两条短信内容无效，应当认定野生动物世界发出的前述要约已失效。野生动物世界张贴的有关人脸识别的店堂告示主要面向新办卡的不特定用户，该店堂告示内容未成为郭兵与野生动物世界之间的合同条款，对郭兵不发生法律效力。尽管野生动物世界在涉指纹识别的“年卡办理流程”中规定流程包含“至年卡中心拍照”，但其并未告知郭兵与其妻子拍照即已完成对人脸信息的收集及其收集目的，郭兵与其妻子同意拍照的行为，不应视为对野生动物世界收集两人面部信息的同意。法院从司法裁判的角度确认，个人面部信息的获取和处理应经过当事人的同意。

针对争议焦点二，单方面做出的个人面部信息处理行为不合法。上述案件，在合同履行过程中，被告野生动物世界在未与原告郭兵进行任何协商，亦未征得其同意的情况下，发送短信告知郭兵未注册人脸识别将无法正常入园。野生动物世界仅通过短信告知方式，擅自改变双方当事人之间的合同履行方式，该行为违反合同法，有违契约严格遵守的契约精神，侵害了消费者的合理信赖利益。该案是从合同法的角度确立了个人面部信息处理的同意知情规则，并没有将该规则推广至侵权责任类案的适用情形下。实践中，合同项下的个人面部信息处理毕竟是少数，大多数个人面部信息使用纠纷发生在侵权领域，特别是不特定的第三方主体对个人面部信息的收集和处理，而这个过程中缺乏有效的个人面部信息处理的知情同意模式。

针对争议焦点三，涉及个人面部信息被侵害的救济方式问题。关于野生动物世界收集的郭兵及其妻子的人脸识别信息，法院审理认为其超出了必要原则的要求，个人面部信息处理不具有正当性。郭兵要求野生动物世界删除收集的个人面部信息，具有充足的理由，应当予以支持。但郭兵要求在第三方技术机构见证的情况下删除信息，而法院认为郭兵此项诉请的法律依据不足，不予支持。实践中，在不特定第三人侵害个人面部信息后，信息所有者有权要求侵权者承担侵权责任，包括但不限于停止侵害、消除影响、赔偿损失等责任形式。其中，最主要的民事责任方式表现为对相关主体面部信息的删除。然而，个人面部信息被侵害后的删除行为，是作为简单的物理删除行为，还是需要第三方专业机构见证、监督下的技术删除，则是值得我们研究的另一个问题。

该案中，法院以服务合同纠纷类案思路进行了审理，最终认为被告的行为属于单方面变更合同主要内容，可以认定被告存在违约行为，从而应当承担违约责任。“人脸识别第一案”成了个人面部信息被收集和使用的一个缩影。生活中，我们面临的人脸识别场景还有很多，例如商场的面部识别、云端支付面部识别。而且许多个体面部信息更是在“悄无声息”的情况下，被单方面收集、存储和处理的。上述案件发生在服务合同履行过程中，尚有合同违约责任予以救济。对于广泛存在的个人面部信息侵权纠纷，又该适用什么样的救济体系呢。但该案引出的问题却是共通的，即个人面部信息是生物个体最显著的特征，应该被赋予法律保护的外衣。该案将唤起我们对个人面部信息保护的关注和重视，也必将人脸识别所产生的风险纳入法律保护的框架之内。

二、风险：“人脸识别”应用是把双刃剑

伴随着人工智能的发展，人脸识别技术已经应用到生活的各个角落。人脸识别应用场景毋庸置疑给我们生活带来了便利，但同时也带来个人信息泄露等风险问题。“人脸识别第一案”带给我们初步的话题思考，为了更好地使用人脸识别技术，我们需要了解它背后潜藏的风险。

“人脸识别”的本质在于对人脸信息的处理。民法典第一千零三十五条的规定，个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。人脸信息的处理也包括以上诸多流程。根据民法典、个人信息保护法（草案）以及《信息安全技术个人信息安全规范》（以下简称《个人信息安全规范》）》有关规定，对于人脸信息处理有四个基本原则，即合法、正当、必要、诚信原则，理论上违反这些原则的“人脸识别”都可视为违法行为。“人脸识别第一案”反映的是在大量人脸识别应用背景下，相关主体对个人面部信息的处理是无序、混乱、缺乏约束机制的，这也是导致目前“人脸识别”场景下脸部信息的处理存在诸多问题的根本原因。2021年“3·15”晚会曝光的宝马、科勒等企业安装“人脸识别”摄像头，在消费者不知情的情况下非法收集其面部信息并进行处理，这便是当下面部信息非法处理、滥用的典型例证。

处理个人信息应经过当事人的同意，民法典明确确立了该规则，这也是各国处理个人信息达成的共识。但在实践中，信息处理者对于个人面部信息处理的告知模式却存在问题。以“人脸识第一案”为例，杭州野生动物园是以在大堂张贴海报的方式对游客进行告知。这种简单、低效的告知模式与个人信息保护的重要性明显脱节。在实践中，告知模式的不合理，主要体现在以下两点：第一，多采用“使用即同意”的告知模式；即在用户使用相关网络服务时，首先需要同意人脸信息的授权使用。目前多以知情同意协议的方式进行，若不同意对面部信息的授权则无法享有相应的服务。这种告知模式明显违背公平原则，信息处理者的优势地位与自然人的被动地位形成了鲜明的对比。上述当事人缺乏选择权的告知模式，却是当前应用十分广泛的一种模式。第二，部分告知协议内规定了“包含但不限于”条款；该条款给任意使用和处理个人面部信息提供了可能性，极有可能突破收集人脸信息是为了提供信息服务的初衷。该条款的存在与推广也是目前信息处理告知模式所亟须解决的问题。

当前，我国人脸信息处理的同意模式众多，在形式上缺乏统一的规制，存在着“同意”边界不明且范围模糊的问题。首先，明示同意与默示同意交叉存在且明示同意的明示程度较为薄弱。上文已经介绍过目前较为普遍的“使用即同意模式”，当事人为了获得某些网络服务而进行了人脸扫描、录入了人脸信息，这是默示同意的典型代表，其在目前的同意模式中占据主要定位。在“刷脸”逐渐成为社会公众普遍接受的新生事物时，其背后所蕴含的信息自决权的核心正在被忽视。当“同意”这一概念开始淡化时，信息自决权更是无从谈起，更多的只是被时代洪流所裹挟前进。明示同意与默示同意相比，虽然体现了对个人信息自决权的尊重与保护，但是当前明示的方式也是多种多样，勾选服务协议、口头承诺、身体语言等等方式均可构成明示同意的表达，而这些表达方式都为后来人脸信息处理纠纷的产生埋下了伏笔。

大多数信息处理者认为人脸信息作为公开性的信息，对其的处理是无须经过当事人同意的，因为人脸信息本来就难免被不特定的公众所知悉，因此人脸信息不应属于私密信息，对于其的保护力度不应像隐私权保护那般严格。“人脸识别”所利用的人脸信息是进行个体识别的一种十分有效且便利的手段，这也是隐私侵犯风险的关键所在。“人脸识别”存在隐私侵犯风险的逻辑在于任何人对于自己的人脸信息传播范围都是有一定合理期待的，即正常情况下大多数人是不愿意自己的人脸信息在任何时间、任何地点都可以为他人所识别，其根本原因在于人脸识别深层次的技术应用在于通过人脸信息的识别进入该特定主体的信息数据库，其中蕴含着从互联网等特定途径所收集的该主体的身份信息、家庭信息、生活习惯、个人喜好等隐秘性极强的个人信息，人脸识别则是进入这一个数据库最快也是最有效的“钥匙”之一。同时，当下金融产品和网络支付多与人脸识别进行捆绑，通过收集、获取自然人的人脸信息结合大数据的系统化分析，社会公众的财产安全也存在着很大的风险。

与密码等传统身份认证信息相比较，面部信息的公开性更高、隐秘性较差，谁都不能保证自己的人脸信息可以不被其他人所知晓，这也给人脸识别技术造成了身份认证被破解的风险。目前，人脸识别所依据人脸信息大多是二维图像，即通过个人照片即可完成认证，这与立体的三维人脸识别技术具有巨大的差别。前者只需一张特定人的照片即可完成识别，而后者则需要三维人脸完整轮廓信息才能完成识别。无论哪种识别方式都存在潜在的身份认证破解风险，前者照片破解自不必赘述，后者看似安全的认证方式也在随着科技的不断发展而危机四伏。美国一家智能科技公司声称利用最新的3D打印技术制造的3D面具成功骗过了微信以及支付宝的支付程序以及机场的人脸识别系统。“人脸识别”的最大优点在于其进行个体识别的便利性和准确性，但这也意味着一旦个人面部信息被复制，身份认证被破解的便利性和破坏性也是同样明显。

三、厘清：个人面部信息的学理与规范意涵

人脸信息作为一项每个人与生俱来的信息类型一直以来受到的关注度较低，其原因在于受技术条件的限制对于其的应用较少。随着近年来科技的不断发展，人脸识别技术的兴起使得人脸信息开始受到广泛的关注。“人脸识别第一案”敲响了个人面部信息保护的警钟，而“人脸识别”应用的双刃剑特质，让我们又不得不反思人脸识别的现实风险。个人面部信息为何如此重要，从学理和规范层面来说，我们又该如何看待个人面部信息。

第一，识别性。现实生活中我们分辨他人的最重要、最直接的手段就是“人脸识别”，其原因在于人脸信息可以直接被人类的眼部识别并在大脑中形成记忆。可识别性成为个人面部信息的第一属性，这也是人脸识别应用方兴未艾的重要前提和逻辑基础。

第二，专属性。每个人的面部信息都是不同的，科学研究发现即使是双胞胎的面部信息也会存在细微的差别，经过科学技术的对比可以予以分辨，这也是人脸识别这一技术应用的核心所在。

第三，不变性。相对于指纹、虹膜等身份识别信息，人脸信息具有相对的不可变化性。虽然随着时间或者某些外力的干涉人脸信息可能发生某些细微变化，但相对而言人脸信息的整体性呈现出不可变性。

个人信息应当受到法律保护，这已成为当下社会各界的普遍共识。但个人面部信息是否属于个人信息，我国并没有明确的法律法规予以确定。从现行的有关法律条文及规定分析，笔者认为面部信息属于个人信息的范畴，应当予以法律的强力保护。民法典、个人信息保护法（草案）、《个人信息安全规范》对个人信息均采取列举式与开放式相结合的模式。通过上述规定的对比发现，三者对于个人信息认定最关键的要素是可识别性，即通过信息本身可以识别出特定自然人。在人类社会交互中，面部信息一直起着举足轻重的作用，相较于身份证信息、家庭住址等隐秘性较强的信息而言，人们之间的熟悉多是以见面次数多为前提，见面次数的增多其实就是一个人脸识别不断加深的过程。面部信息是自然人生物构成的重要因素，与个体人格尊严、个人价值以及个人财产等安全关系十分密切，个人面部信息毫无争议属于个人敏感信息的范畴。同时，民法典第四编第六章规定了隐私权和个人信息保护，需要注意的是个人信息并没有表述成个人信息权，这说明立法者认为个人信息仅属于一项人格权益而不是独立的人格权，对其的规制与保护应当与其他人格权有所区别。

第一，面部信息合理期待的突破。民法典第一千零三十二条规定，隐私包括不愿意为他人知晓的私密信息，而个人信息中也包括私密信息，因此可以确定个人信息和隐私是存在交叉的。而作为个人信息之一的面部信息是否属于私密信息，笔者认为应当从社会公众对个人面部信息的合理期待进行分析。面部信息与其他个人信息相比有一个典型特征，在于社会公众对于其面部信息会被他人认知是有合理期待的。即社会公众对于面部信息的社会效应是认可的，但是必须认识到即使面部信息是一个人最常见的个人信息，但个人是否期待其面部信息被用于常人所理解的范围之外也是不确定的。大多数的社会公众是不具备这样的合理期待的，因此超出个体期待应用的面部信息应属于私密信息范畴。

第二，面部信息的关联利用。人脸识别场景下的面部信息应用，除了基本的识别特定自然人外，通过人脸确定自然人的生活习惯、购物习惯、出行习惯等个人行为，其应用也十分广泛。这种情况下，个人面部信息与其他私密信息构成了直接、密切的联系。通过脸部信息的识别，可以进而对个人的其他私密信息进行分析、研判，从而形成对个人的整体认知，这种情况下的个人信息也应属于私密信息的范畴。

第三，保护方式的相似性。面部信息与隐私的交叉还体现在两者的保护方式具有高度的相似性。面部信息的保护问题是伴随着21世纪互联网、大数据、智能科技等高新技术产业发展而产生的全新命题。我国对其的保护机制尚在初步探讨和构建中，仍然存在许多尚未厘清的问题。隐私权的保护经过一段时间的发展，其与个人信息保护相比更具体系化、规范化，也具有较强的可操作性。因此，对于面部信息等个人信息的保护，如果存在立法空白时，可借鉴隐私权保护的方式加以保护。

四、检视：“人脸识别”应用的法律规制

“人脸识别”应用场景下的面部信息保护的现实性，与当前我国“人脸识别”法律规制单一化形成了鲜明的对比。笔者意欲通过对比研究中西方对于“人脸识别”的法律规制现状，分析我国“人脸识别”应用场景下法律规制体系的不足。

“人脸识别”的域外法制经验以欧盟和美国最为完整。欧盟对个人信息的保护一直坚持严格的优先保护原则，一段时间以来一直禁止“人脸识别”的开展，现阶段则逐渐向审慎使用的方向进行转变。美国与欧盟的严格控制相比采取更加宽松的人脸识别准入机制，主张在兼顾人脸信息安全的前提下最大限度地发挥其效益，采取较为均衡的立法方式。但两种立法模式均在关注个人面部信息安全与效用之间的利益平衡问题。

欧盟对于人脸信息保护的核心法律是《通用数据保护法规》（General Data Protection Regulation，简称“GDPR”）。“GDFR”中明确规定了面部图像属于生物识别数据，其重点强调面部图像的可识别性，将其与不能进行身份识别的图片进行了明确的区分，处理图片本身并不被禁止，只有将图片经过特殊处理到可以识别特定自然人时，才属于“GDFR”所规制的生物识别数据。欧盟对于面部图像即人脸信息采取的是严格的控制模式，但也存在一定的例外，就是在进行商业应用时数据控制者可援引“数据主体的同意”作为个人生物数据处理的例外，但该同意必须是“自由给予、明确、具体、不含混”的，数据主体的任何被动同意均不符合GDPR的规定。

美国作为联邦制政体国家，其关于人脸识别的相关法律主要由各州的人脸识别立法构成。在政府使用人脸识别的法律规制方面，禁止使用制度、特别许可制度、使用制度并行不悖。禁止使用制度相较于其他两种制度占比最重，美国加利福尼亚州的旧金山市监督委员会通过的《停止秘密监控条例》（Stop Secret Surveillance Ordinance），决定禁止该市所有政府部门使用人脸识别技术。该条例还要求市政府各部门披露其目前使用或计划使用的任何监控技术，并说明有关隐私政策，并需要获得监督委员会的批准。非政府使用人脸识别主要指的是商业领域的人脸识别，其应用的规定则较为灵活。在非政府的人脸识别规制方面则将其作为生物信息加以保护，主要包括特别保护和一般保护两种制度。特别保护制度以伊利诺伊州的《生物信息隐私法》为代表，该法明确规定信息处理者在收集人脸信息等生物信息时必须书面通知并取得当事人的书面同意，即告知、同意均必须采取书面的形式进行。信息处理者所收集的生物信息不得以任何理由对外出售，且除非获得相关自然人的同意或如法律规定的特定例外情况不得对他人披露。一般保护制度则以加利福尼亚消费者隐私法为代表，该法将人脸信息等生物信息作为普通个人信息进行规制，并未采取更为严格的保护规定。

我国“人脸识别”的法律规制正处在起步阶段。笔者在“中国人大网”就人脸识别进行检索发现，我国目前现行法当中并没有对“人脸识别”“人脸信息”“面部信息”的相关规定，仅在正在修订的个人信息保护法中略有涉及但也未明确提出上述概念，而是在第27条规定中出现了“个人图像”的描述，可以将此看作人脸信息的类似规定。上文已经论述人脸识别所涉及的面部信息属于个人信息，因此对于个人信息的法律规制当然可以应用于个人面部信息的保护。但目前我国仅在民法典人格权编中就个人信息进行了规定，条文只有6条且规定较为原则，缺乏明确的司法实践规则。但在一些专业领域有关人脸识别以及人脸信息保护的规定却呈现出具体明确的特点，如中国人民银行发布的《个人金融信息保护技术规范》以及上文提到的《个人信息安全规范》，则存在诸多可操作性的具体规则。

目前，我国人脸识别法律规制主要存在以下特征：一是立法空白。法律是规范性、体系性极强的一项社会制度建构，需要系统的研究和立法。有关人脸识别的法律纠纷在司法实践中逐渐显现，但作为司法裁判依据的法律规定却仍是空白。民法典中有关个人信息的保护仅是纲领性、原则性规定，现实操作性不强。个人信息保护法作为特别法本应极力弥补民法典在具体规则方面缺失的遗憾，然而其并未对民法典个人信息处理的核心原则及合法、正当、必要进行细致的剖析，也未对告知同意原则的具体适用分场景探讨。另外，该中多次出现法律、行政法规另有规定的除外，但现实情况是当前的立法多处于空白状态。二是行业规范先行。相较于法律、行政法规在人脸信息规制的滞后性而言，有关行业规则的制定施行要早许多，具有代表性的规范文件是《个人金融信息保护技术规范》以及《个人信息安全规范》。前述文件对于面部信息是否属于个人生物信息提供了较为明确的思路，对于面部信息等个人信息的保护措施设计的较为具体，对司法实践具有一定的参考意义。

五、建构：个人面部信息处理保护的路径探寻

“人脸识别”作为新兴的生物科技技术，其蕴含着巨大社会经济价值，但同时所带来的问题和衍生的风险也十分显著。在规范属性探讨、实践检视的基础上，有必要对个人面部信息应用的保护路径进行探寻。

第一，信息处理者与信息所有者

人脸识别的保护主要涉及两对主体之间的关系衡量问题，一个是信息处理者，一个是信息所有者。信息所有者对个人面部信息保护要求不断增强，而信息处理者则期待宽松的信息处理环境。人脸识别场景下使得个人面部信息趋向成为纯粹的数据信息，与面部信息所有者对其的定位产生了巨大落差。同时由于信息时代的迅猛发展，个人面部信息作为个人敏感生物信息具有极高的商业价值和公共管理价值，信息处理者对个人面部信息的不法处理也在不断增多。与传统隐私权涉及的利用主体不同，人脸识别场景下面部信息的利用主体包括国家和其他社会主体。国家出于国家安全、社会公共利益的需要也会对社会主体的个人信息进行处理，如公安部门的“天网”系统。而其他社会主体作为个人面部信息的处理者，其主要在于精准把握市场需求，提高市场份额、增强经济效益等。因此，准确衡量信息处理者和信息所有者基于不同的身份和立场所产生的保护需求，对于正确处理个人面部信息违法行为有着极为重要的意义。

第二，信息保护需求与信息处理需求

个人面部信息作为个人敏感信息之一，保护与处理的衡量即风险与利益的衡量，两者之间是此消彼长还是和谐共生并不是一成不变的。需要全面、准确予以衡量，找寻两者之间的最佳平衡状态以期实现风险最小、利益最大化。相较于传统隐私权的保护，个人面部信息保护与利用所及的利益主体和利益内容更加多元化。一方面，政府作为信息处理者这一角色的加入，使得个人面部信息的保护和利用更加社会化。这种社会化的趋势使得对于面部信息处理的规制与传统隐私权保护中个体层面的利益衡量存在很大的差异。另一方面，信息化时代的来临与推广，使得专门从事信息产业的主体不断产生，信息处理者作为新的独立利益主体出现。个人面部信息存在着广阔的应用场景，但不论产生多少个信息处理主体，个人面部信息都应当在合理保护的前提下加以利用，并在利用的过程中不断完善保护举措。

第三，公共利益保护与个人权利保护

个人面部信息虽然是个体所具有的特有信息，但正是因为其存在的普遍性决定了面部信息的一定的公共属性，这也是人脸信息被广泛利用的原因之一。个体利益与社会利益的冲突和矛盾，也恰恰说明了个体面部信息存在被利用的正当性。个人面部信息是社会识别某个主体主要手段，面部信息成为社会个体显著的生物属性，其与社会个体的连接使得其可识别性进一步扩张。面部信息成为社会个体不可或缺的部分，其所有者享有依法被保护的权利。但这并不能绝对排除国家基于公共利益对个人面部信息的合理使用，比如国家反恐或者民航认证等与公共利益切实相关的领域。因此，对个人面部信息处理上应以知情同意为前提，以绝对保护为主，以国家公共利益使用为例外，且应遵循严格立法授权、行政审查程序。

第一，确立“合法、正当、必要”的信息处理原则

合法原则是指人脸识别技术中人脸信息的应用必须符合法律的规定。目前，要构建合法规则的首要任务是形成完整的法律体系，明确人脸信息法律规制的价值和层级，形成以民法典为引领、个人信息保护法为基本规定、行业性法规为枝节的个人面部信息保护体系。明确面部信息作为个人敏感信息的地位，其处理过程必须依法进行。在个人面部信息收集阶段，需遵循经信息所有者的明示同意。在个人信息使用阶段，也应当在当前立法的框架内进行，且应按照信息所有者的授权范围和用途进行使用，不得将其作为他用，更不得违法存储、加工、传输、公开。合法原则是个人面部信息处理第一原则，伴随个人面部信息处理的整个过程。

正当原则要求信息处理者对个人面部信息的处理必须符合正当的使用目的。个人信息保护法第18条的规定不够详细，不能完全体现出正当目的的原则。正当目的的实现应当满足相关性、特定性和明确性。相关性是指信息处理者所处理的个体面部信息必须与其所从事的业务存在必要联系；特定性是指个人面部信息的处理、利用目的应提前确定且应向信息所有者进行细致介绍；明确性是指使用目的确定以后应当明确予以表述，信息处理者应当与信息所有者以及其他第三方信息处理平台就处理目的达成一致。个人信息保护法应规定信息处理者告知使用的方式、期限、范围，以及具体使用计划等有关规定，并对该使用目的进行明确的解释与阐述。

必要原则是指在从事某一特定活动使用个人面部等信息时应遵循比例原则。当某个场景既可以使用也可以不使用个人信息时，从使用必要原则出发则应尽量不使用。在必须使用并征得权利人许可时，要尽量少使用，且获取的信息量，以满足使用目的为必要。为达到目的只需要使用权利人的非私密个人信息的，就不应该扩大信息收集和使用的范围。因此应当进一步在个人信息保护法中规定必要的限度即在何种情况下应当允许信息处理者处理人脸信息到何种地步的具体性规定，同时应当在法律责任中明确规定违法必要限度所应承担的分层次的民事责任。

第二，构建刚性、明确、有效的知情同意规则

个人面部信息的处理应以刚性的明确告知义务为前提。应当以立法的形式明确规定任何主体在扮演人脸信息处理者时，必须履行明确、有效的告知义务。尤其是当政府作为信息处理者时的告知义务，应当以法律规定的形式进行单独规定，避免政府利用优势地位对信息所有者的个人信息进行随意使用。

个人面部信息处理的告知形式应当清晰、明确、通俗易懂，且应当以书面形式做出，并就其中就专业性强、理解存在困难或易产生分歧的事项，应进行显著标注与说明，以最大限度地保证信息所有者可以准确、全面了解个人面部信息所要应用的具体领域和目的。同时，信息被处理者对于告知的同意也应当以书面的形式明确做出，做到知情、同意两个关键步骤的明确、有效。

第三，设立面部信息处理的最低限度义务

面部信息作为个人敏感的生物信息之一。为了更好地消除在对其利用所带来的负面影响，更好地发挥其所带来的科技红利，笔者认为应当在个人信息保护法（草案）中加入对个人面部信息处理的最低限度义务，具体如下：一，面部信息所有者有权在合理限度下拒绝“人脸识别”，并有权在合理限度前提下撤回对面部信息的同意的意思表示。二，面部信息处理者应当建立安全的个人面部信息加密、存储平台并建立面部信息处理的追踪平台。三，面部信息处理者应当接受独立的第三方专门机关监管，以实现对个人面部信息处理的检查与监督。四，应当建立面部信息处理者赔偿责任机制，处理者只要对其所处理的信息存在过错从而造成信息所有者损害的，要依法承担民事责任。

民法典第一千零三十八条规定，信息处理者不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外。信息处理者应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失；发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，按照规定告知自然人并向有关主管部门报告。

第一，违规处理个人面部信息的侵权归责原则

有观点认为应适用过错原则。民法典未对信息处理者违反信息安全保障义务的归责原则做出特殊规定，个人若认为信息处理者构成对其面部信息侵权，应就侵权构成要件承担举证责任。但因信息处理相对于个人而言较为复杂，为更好保护个人信息，在对个人信息泄露、篡改、丢失与信息处理者行为之间的因果关系、个人信息处理者的主观过错等举证证明标准方面，只要个人提供的初步证据能够证明，信息处理者即应对其未实施个人主张的行为及不存在过错等侵权要件承担举证证明责任；举证不能的，应承担不利后果。

有观点认为应适用过错推定原则。信息技术的发展日新月异，个人相对于信息处理者而言，在信息保护方面完全处于弱势地位。特别是当前个人信息泄露、非法提供等情形较为多见且严重的情况下，为规范信息处理者行为，促进信息处理者合法合规处理个人信息，只要发生了由信息处理者负责处理的个人信息泄露、篡改、丢失的情形，信息处理者不能证明自己没有过错的，即应推定信息处理者违反了信息安全保障义务并承担责任。

有观点认为应适用无过错原则。网络安全法第74条规定，违反本法规定，给他人造成损害的，依法承担侵权责任。该条规定可以作为现行法上信息泄露侵权案件适用无过错责任的法律依据。适用无过错责任能够更好地保护个人的合法权益，使得个人无须证明加害人的过错，信息处理者只有在符合法定的免责事由时，才能免除责任；同时也避免了实践中自动化数据处理与非自动化数据处理适用不同归责原则造成的麻烦。

笔者认为，应适用过错责任原则。首先，除非法律明确规定要适用过错推定原则或无过错责任原则，一般应当适用过错责任原则。其次，信息处理者承担责任的前提是违反安全保障义务，而该义务只是从线下具体场所的管理义务延伸到线上虚拟场所的管理义务，其他性质并未改变，故仍应当与一般的安全保障义务相同，适用过错责任原则。最后，关于个人举证能力不足的问题，可以通过法官在个案中对举证责任依法进行合理分配予以解决。

第二，信息处理者与第三人之间的侵权责任形态

个人面部信息保护之所以不断受到关注，很大原因在于其处理过程存在着泄露并被第三人非法使用的风险。如果信息处理者违反信息安全保障义务导致个人信息被第三人窃取、破坏或泄露后用于侵权，信息处理者与第三人之间的侵权责任如何分配？这直接影响个人面部信息保护权益的实现。

有观点认为应承担按份责任。个人信息处理者的不作为与第三人的故意具有大体相当的可归责性，处于同一责任层次或级别，且在原因力上，信息处理者的疏忽行为与第三人的故意行为共同导致了个人信息被窃取等损害结果，属于多因一果，此时应适用民法典第一千零七十二条的规定，按信息处理者与第三人根据各自的过错程度和原因力向受害人承担按份责任。

有观点认为应承担补充责任，信息处理者承担责任后有权向第三人追偿。民法典第一千一百九十八条第2款规定了第三人介入时，经营者、管理者或群众活动组织者违反安全保障义务的责任形态是补充责任。民法典第一千零三十八条第2款规定的信息处理者的法定义务与民法典第一千一百九十八条第2款规定的安全保障义务本质上并无二致。因此，在第三人利用信息处理者未尽安全保障义务而实施侵权行为的，应确定信息处理者承担相应的补充责任，且其承担补充责任后，可向第三人追偿。

笔者认为信息处理者应承担补充责任。民法典对于违反安全保障义务的责任形态明确规定为补充责任，民法典第一千零三十八条第2款规定的信息处理者的义务与民法典第一千一百九十八条第2款规定的安全保障义务本质相似。在存在直接侵权人的情况下，信息处理者应当在其过错范围内承担相应的补充责任，并可向直接侵权人进行追偿。

政府处在中立第三方地位时，应当自觉履行好自身的监管职责。首先，政府应当通过多种方式向社会公众宣传面部信息的重要意义及利用原则，不断加强社会整体的面部信息保护意识；其次，在国家制定完成面部信息保护立法后，政府作为执法者要坚定、高效的履行法律所规定的相关义务，通过对面部信息侵权等严厉打击以此来保证公民对个人面部信息保护的信任感。再次，政府要发挥舆论引导作用，引导社会公众对面部信息有关内容的知悉度和敏感性，避免社会公众在人脸识别所带来的巨大便利中失去了对人脸信息保护的重要意识。最后，政府应当设立专业的个人面部信息处理审查机构，逐渐形成以政府为主导的个人面部信息处理机制。

行业协会往往处在该行业的信息链前端，应发挥信息处理行业协会在制定相关行业技术规范的作用。具体而言，应当以现有《个人信息安全规范》为范本，建立信息使用的统一技术规范，就用户知情同意、数据合规使用、数据使用透明性、数据安全保护措施、信息所有者权利保护、信息处理者侵权赔偿等几个方面进行行业技术规范制定。同时，行业协会也负担着个人面部信息利用、保护的推介功能，以推进个人对面部信息的重要性、可利用性的明确认知，避免因对个人面部信息认识不足而做出相关的任意处置决定。

六、结语

个人面部信息与指纹、虹膜等单一的个人信息不同，其是自然人生活当中非常重要的信息构成，蕴含着相关个体的人格利益。中华文化自古强调“脸”的重要性，“脸”代表着一个人最根本的价值和尊严。随着人脸识别技术的不断兴起，个人面部信息被遍布各处的摄像头所“捕捉”，最终以数据、信号等形式被用于生物识别、云端支付等场景。识别“人脸”、输出数据，这看似便利的背后，也隐藏着对每个自然人造成冲击的巨大风险。诚然，在保护中利用是科技发展的必然趋势，但在利用中强化保护则是我们由衷的愿望。

往期精彩回顾

刘悦心等｜大数据时代下德国数据权利保护的研究

万玲娣｜企业数据权利界定及交易若干问题研究

许瀚文等｜美国数据权利研究的综述——基于Citespace的文献计量分析

郑浩冉｜企业数据权利与用户隐私之界限研究

刘建｜数据主权规制下的数据知识产权保护

黄晓雯｜人脸识别技术进社区的场景化法律规制分析

上海市法学会官网

http://www.sls.org.cn