呂 凱，栗嘉悅

（天津大學(xué) 法學(xué)院，天津 300072）

作為個(gè)人生物識(shí)別信息的一種，人臉信息具有 其自身的獨(dú)特性，其相較于 指紋、聲音等傳 統(tǒng)生 物識(shí)別 信息而言，使用起來 更高效，也更符合人類識(shí)別習(xí)慣，因此 在維護(hù) 公共安全、保障信息安全、保護(hù)金融交 易安全等多方面得 到普遍應(yīng)用。但與此同時(shí)，人臉識(shí)別技術(shù)的發(fā)展也會(huì)給個(gè)人信息保護(hù)帶來難題。在中國(guó)知網(wǎng)上進(jìn)行“人臉識(shí)別信息”主題搜索，共顯示 6000 余篇搜索結(jié)果。表面上看，與該主題相關(guān)的文章可謂是卷帙浩繁，但將學(xué)科限定為法律相 關(guān)之后 ，相關(guān)結(jié)果僅有 60 余篇。由此可見，我國(guó)從法律角度對(duì)人臉識(shí)別技術(shù)的研究尚不充分。從現(xiàn)有文獻(xiàn)來看，學(xué)者主要從人臉信息的定義、特征、風(fēng)險(xiǎn)、成因以及對(duì)策等方面展開研究。而本文從人臉識(shí)別角度出發(fā)，分析人臉識(shí)別技術(shù)運(yùn)用現(xiàn) 狀，希冀 從人臉 識(shí)別角度為 消費(fèi)者個(gè)人信息 保護(hù)提 供 可行 性 決 策參考。

一、問題的提出

2020 年 11 月 20 日，杭州市富陽區(qū)人民法院公開開庭宣判郭某與杭州野生動(dòng)物世界有限公司服務(wù)合同糾紛一案。該案原告郭某因?yàn)閷?duì)進(jìn)入動(dòng) 物園需 要 激 活人臉 識(shí)別 系 統(tǒng)的要求 不 滿 ，將該動(dòng)物園告上法庭。因涉及人臉信息的收集、使用等問題，該案件被稱為“人臉識(shí)別第一案”。該案中法院判定消費(fèi)者勝訴，究其原因，在于作為經(jīng)營(yíng)者的動(dòng)物園單方變更合同，擅自將指紋識(shí)別入園改為人臉識(shí)別入園。但該案只能作為喚醒公眾人臉信息保護(hù)意識(shí)的一次嘗試，想要實(shí)現(xiàn)全方位、制度化的人臉識(shí)別應(yīng)用限制，仍是未解難題。

2021 年 3 月 15 日，央視“3·15”晚會(huì)報(bào)道，科勒衛(wèi)浴上千家門店安裝了有人臉識(shí)別功能的攝像頭，這些攝像頭會(huì)在進(jìn)店消費(fèi)者不知情的情況下，抓取其人臉信息，以后消費(fèi)者再去哪家門店、去了幾次，都能夠被獲知[1]。

上述“人臉識(shí)別第一案”和科勒衛(wèi)浴事件受到社會(huì)各界廣泛關(guān)注，引發(fā)了人們從法律角度思考人臉識(shí)別的運(yùn)用給消費(fèi)者個(gè)人信息保護(hù)帶來的挑戰(zhàn)。

根據(jù) 2020 年修訂的 《信息安全技術(shù)個(gè)人信息安全規(guī)范》（以下簡(jiǎn)稱《規(guī)范》），人臉信息屬于個(gè)人敏感信息。不同于姓名、出生日期等具有易重復(fù)特征的信息，此類敏感信息往往具有獨(dú)特性、唯一性，僅憑一項(xiàng)敏感信息就很可能識(shí)別出特定主體，且若被泄露會(huì)嚴(yán)重威脅特定主體的人身和財(cái)產(chǎn)安全。因此，在人工智能快速發(fā)展的今天，選擇人臉識(shí)別信息這一敏感信息作為切口，分析其給個(gè)人信息保護(hù)帶來的法律困境，有利于司法實(shí)踐中對(duì) 《民法典》《消費(fèi)者權(quán)益保護(hù)法》《個(gè)人信息保護(hù)法》 等法律法規(guī)的具體條款更好地進(jìn)行解讀與適用，同時(shí)使得作為個(gè)人敏感信息的人臉信息在實(shí)踐中獲得有效保護(hù)與合理利用。

總體來講，人臉識(shí)別應(yīng)用場(chǎng)景分為兩類，一種是 1∶1 認(rèn)證，將一對(duì)人臉圖像進(jìn)行對(duì)比，判斷是否為同一人[2]，比如現(xiàn)實(shí)生活中的門禁系統(tǒng)、手機(jī)面部解鎖等。應(yīng)用落地場(chǎng)景為有算法識(shí)別技術(shù)的軟件供應(yīng)商為手機(jī)廠商內(nèi)置 SDK，輔助代碼移植，使手機(jī)在本地即可進(jìn)行人臉識(shí)別解鎖，而不將信息上傳[3]。另一種是 1∶N 人臉辨識(shí)問題，也叫作 1∶N 匹配，將輸入圖像在系統(tǒng)底庫(kù)中搜索，看底庫(kù)中哪張人臉圖像與其相似度更高。

在《規(guī)范》中有規(guī)定，若產(chǎn)品或服務(wù)提供者僅提供工具給個(gè)人信息主體使用而不訪問個(gè)人信息，則不屬于“收集”。同時(shí)，《規(guī)范》中列舉了離線導(dǎo)航軟件不回傳信息至軟件提供者便不屬于收集的例子來進(jìn)一步闡明?？梢姡噍^于上傳至云端而言，人臉信息本地化存儲(chǔ)所面臨的信息泄露等風(fēng)險(xiǎn)較低，因此《規(guī)范》也將人臉信息本地化存儲(chǔ)的行為與經(jīng)營(yíng)者的信息收集行為進(jìn)行了明確的區(qū)分，使得經(jīng)營(yíng)者在對(duì)人臉信息控制權(quán)減弱的同時(shí)，其責(zé)任也隨之降低，從而實(shí)現(xiàn)權(quán)責(zé)一致。雖然根據(jù)個(gè)人信息保護(hù)相關(guān)法律規(guī)范的要求，經(jīng)營(yíng)者對(duì)于消費(fèi)者人臉信息的保護(hù)義務(wù)并不能在人臉信息本地化存儲(chǔ)的情形下被豁免，但本文的研究重點(diǎn)主要集中 在 危害性可能 更大的 1 ∶N 人臉辨識(shí)問題上，對(duì) 1∶1 人臉認(rèn)證不做主要探討。另需說明，由于該技術(shù)已被廣泛應(yīng)用于公私領(lǐng)域，本文僅限于私領(lǐng)域中對(duì)消費(fèi)者人臉信息保護(hù)的探討。

二、人臉識(shí)別運(yùn)用對(duì)消費(fèi)者個(gè)人信息保護(hù)的挑戰(zhàn)

（一）知情同意原則難 以有效保護(hù)消費(fèi) 者人臉信息

知情同意原則奠基于“小數(shù)據(jù)時(shí)代”，大數(shù)據(jù)時(shí)代的知情同意原則陷入重重困境[4]。目前，我國(guó)《個(gè)人信息保護(hù)法》第 14 條、《民法典》第 1035 條和《消費(fèi)者權(quán)益保護(hù)法》第 29 條中均存在關(guān)于知情同意原則的規(guī)定，然而，個(gè)人信息保護(hù)中的知情同意原則在人臉信息識(shí)別問題上遇到了挑戰(zhàn)。一個(gè)重要原因在于，若想要收集除人臉信息之外的其他個(gè)人信息，或多或少需要自然人的配合才能夠?qū)崿F(xiàn)，比如下載、安裝軟件后需要勾選同意協(xié)議才能開始使用。而人臉信息則不然，想要收集人臉信息可以不需要自然人的主動(dòng)配合，生活中的商場(chǎng)、銀行、學(xué)校、街道等場(chǎng)所，攝像頭無處不在，只要走出家門，人們便不可能將面部信息隱藏于公眾視野，更何況一些處在隱蔽之處的攝像頭使得人們的面部信息在完全不知情的情況下被拍攝、收集。

具體分析人臉信息識(shí)別中的知情同意原則難以適用 的 原因時(shí)，可以將該 原 則分為“ 知情”與“同意”兩部分進(jìn)行解釋與探討?！爸椤笔恰巴狻钡幕A(chǔ) 和 必要前提條 件，如 果 沒有 真正“ 知情”，則“同意”便無從談起，此 時(shí)即 便有“同意”也屬于無效同意。正如在歐盟《一般數(shù)據(jù)保護(hù)條例》（GDPR）中認(rèn)定，數(shù)據(jù)主體 的“同意 ”是 指 其通 過聲明或 明 確的行動(dòng)，自由、具 體、知情 和明確地表明同意對(duì)與其相關(guān)的個(gè)人數(shù)據(jù)進(jìn)行處理的意愿[5]。

如何判定是否符合“知情”這個(gè)前提條件？本文認(rèn)為，可以憑借《個(gè)人信息保護(hù)法》第 14 條的規(guī)定來進(jìn)行解釋，第 14 條第 1 款規(guī)定，個(gè)人應(yīng)在充分知情的前提下作出意思表示；第 2 款規(guī)定了何種情形下應(yīng)重新取得同意。其中第 1 款的“充分知情”可以理解為對(duì)第 2 款中不完全列舉的個(gè)人信息處理目的、方式和種類等重要相關(guān)信息的知悉。由此，可以提出三種在人臉識(shí)別中實(shí)質(zhì)上不能判定為“知情”的情形。

1.有協(xié)議而不知情

某些經(jīng)營(yíng)者提供的知情同意協(xié)議以“包括但不限于”條款或者“霸王條款”來無限擴(kuò)大對(duì)用戶人臉信息的收集、使用[6]。例如，2019 年 8 月，一款名為“ZAO”的換臉 APP 開始流行，僅需上傳一張正臉照，就能使用戶 成為影視作品中 的“主角”。在該 APP 起初版本的用戶協(xié)議中規(guī)定，用戶人臉信息的授權(quán)是免費(fèi)、永久、可轉(zhuǎn)授權(quán)的[7]?？梢?，該協(xié)議中的知情同意形同虛設(shè)，若經(jīng)營(yíng)者將此類知情同意 協(xié)議作為其任意 使用用戶人臉信息的保護(hù) 傘，以謀求經(jīng)濟(jì)利益 ，或者進(jìn) 行有關(guān)人臉信息的商事交易等，則可能給用戶的人臉信息帶來安全隱患。

此外，從人臉識(shí)別信息延伸到個(gè)人信息領(lǐng)域的知情同意協(xié)議，本文通過調(diào)查美團(tuán)、淘寶、百度APP 的用戶服務(wù)協(xié)議和隱私政策，從以下幾方面對(duì)比、歸納了幾點(diǎn)特征，如表 1、表 2 和表 3 所示。可以看出，在這三家商業(yè)機(jī)構(gòu) APP 中，用戶都必須“閱讀并接受服務(wù)協(xié)議”才能夠注冊(cè)使用，在用戶 服務(wù)協(xié)議和隱私政策中也存在對(duì)需 要授權(quán)才能收集 使用的個(gè)人信息的列舉以及如何使 用收集來的個(gè)人信息的說明。在用戶僅使用瀏覽、搜索等基本功能時(shí)通常無需注冊(cè)或授權(quán)。此外，三家商業(yè)機(jī)構(gòu) APP 的隱私政策中均存在相類似的免責(zé)聲明。

表 1 美團(tuán)關(guān)于個(gè)人信息的收集、使用政策

表 2 淘寶關(guān)于個(gè)人信息的收集、使用政策

表 3 百度關(guān)于個(gè)人信息的收集、使用政策

根據(jù)表 1、表 2 和表 3 分析可知，若用戶接受了用戶服務(wù)協(xié)議和隱私政策并授權(quán)，即表明該用戶：（1） 同意將某些個(gè)人敏感信息交予商業(yè)機(jī)構(gòu)收集、使用，如靜態(tài)或動(dòng)態(tài)的面部特征等；（2）同意商業(yè)機(jī)構(gòu)對(duì)收集來的個(gè)人信息以提供服務(wù)為主要目的而進(jìn)行使用；（3）同意商業(yè)機(jī)構(gòu)未詳盡列舉的知情同意協(xié)議項(xiàng)目；（4）同意將某些檢索記錄等信息作為不需要授權(quán)的信息供商業(yè)機(jī)構(gòu)任意收集、使用；（5）同意承擔(dān)免責(zé)事由中未詳盡列舉的不具有可預(yù)測(cè)性的信息泄露風(fēng)險(xiǎn)。若商業(yè)機(jī)構(gòu)在收集、使用個(gè)人信息時(shí)普遍采取前述隱私政策，那么在完全遵循個(gè)人自決原則的情況下，該商業(yè)機(jī)構(gòu)做出的任何可能對(duì)個(gè)人信息權(quán)益造成損害的行為都屬于有用戶授權(quán)的合法行為，這顯然不是用戶所能預(yù)知并且認(rèn)可的。

2.無協(xié)議且不知情

此類情形下，經(jīng)營(yíng)者可能借助人臉信息數(shù)據(jù)庫(kù)對(duì)信息主體開展行為軌跡、心理軌跡和地理位置畫像。比如將某一特定主體曾經(jīng)在購(gòu)物消費(fèi)、旅游出行等多個(gè)數(shù)據(jù)庫(kù)中被收集、記錄的人臉信息進(jìn)行識(shí)別和對(duì)比，便可以對(duì)該主體開展全方位的地理位置畫像以及精準(zhǔn)的個(gè)人行為記錄。若龐大的信息數(shù)據(jù)庫(kù)相連，一次簡(jiǎn)單識(shí)別就可能發(fā)掘無盡的信息①。正如前文提到的科勒事件中，經(jīng)營(yíng)者利用人臉識(shí)別技術(shù)鏈接大數(shù)據(jù)技術(shù)，收集進(jìn)入科勒衛(wèi)浴門店顧客的人臉信息鏈接到 大數(shù)據(jù)上 ，如，此消費(fèi)者的 購(gòu) 買能力、購(gòu)物偏好便一覽無余。在此基礎(chǔ)上，經(jīng)營(yíng)者可能通過分析潛在客戶，進(jìn)行誘導(dǎo)消費(fèi)，消費(fèi)者的真情知悉權(quán)、公平交易權(quán)等權(quán)利便極有可能因此而受到侵害。

總之，以上兩種情形均屬于沒有真正“知情”。無論是多次識(shí)別還是交叉匹配，人臉信息的再結(jié)構(gòu)化和利用都將導(dǎo)致上述知情同意協(xié)議喪失制約信息濫用的效力。這種對(duì)知情同意原則的違反更是對(duì)消費(fèi)者意思自治和人格尊嚴(yán)的侵犯。

3.知情但被迫同意

對(duì)于“同意”這 部分來 說，即使 有 了“知情 ”這一前提條件，消費(fèi)者在某些場(chǎng)景下也可能被動(dòng)甚至被迫接受人臉識(shí)別。如沃爾瑪利用有人臉識(shí)別功能的監(jiān)控來捕捉消費(fèi)者表情，分析其心理活動(dòng)。再如一些銀行 APP 中，消費(fèi)者初次登陸時(shí)只有勾選了知情同意協(xié)議并通過“眨眨眼”等方式驗(yàn)證人臉后，才能開始享受手機(jī)銀行服務(wù)。此時(shí)消費(fèi)者并沒有與之協(xié)商的權(quán)利，如果以保密為由拒絕提供自己的面部信息，將被排除在網(wǎng)絡(luò)信息服務(wù)使用之外?？梢?，就像一個(gè)亟需養(yǎng)活家人的勞動(dòng)者不得不簽訂一個(gè)內(nèi)容苛刻且待遇微薄的勞動(dòng)合同那樣[7]，很多情形下人們只是迫 于現(xiàn)實(shí)需 要 而“同 意 ”，這也是 對(duì)知 情 同 意原則的違背。此外，現(xiàn)實(shí)中由于網(wǎng)絡(luò)技術(shù)迅猛發(fā)展以及其匿名性特征，一些被侵權(quán)的消費(fèi)者根本沒有察覺自己被侵權(quán)，或者雖有所察覺但卻難以查清侵權(quán)經(jīng)營(yíng)者的真實(shí)身份。無論是因?yàn)楸磺謾?quán)的消費(fèi)者相對(duì)于侵權(quán)經(jīng)營(yíng)者而言處于弱者地位，還是因?yàn)榇_認(rèn)侵權(quán)經(jīng)營(yíng)者的成本過高，結(jié)果都會(huì)導(dǎo)致個(gè)人信息被泄露、被非法利用的消費(fèi)者權(quán)利難以得到救濟(jì)。

（二）消費(fèi)者人臉識(shí)別信息隱私 權(quán)保護(hù)失靈

根據(jù)《民法典》第 1034 條第 2 款規(guī)定可知，人臉信息作為一種私密信息，既受個(gè)人信息相關(guān)法律法規(guī)的保護(hù)，也受隱私權(quán)的保護(hù)。1967年，美國(guó)聯(lián)邦最高法院在 Katz v.United States 案[8]中確立 了“合 理的隱 私期待 ”標(biāo)準(zhǔn)，該標(biāo)準(zhǔn) 可以總結(jié)為：若依照一般人的認(rèn)識(shí)，對(duì)某項(xiàng)信息具有私密期待，公眾也認(rèn)為該信息不應(yīng)被他人所知，此時(shí)隱私權(quán)成立[9]。該標(biāo)準(zhǔn)在世界多國(guó)范圍內(nèi)已形成一種常用的判定方法，然而人臉信息的特殊性可能會(huì)給個(gè)人信息保護(hù)中的合理期待標(biāo)準(zhǔn)帶來挑戰(zhàn)。

人臉信息雖然屬于個(gè)人信息的范疇，但又存在區(qū)別于其他普通個(gè)人信息的特別之處。美國(guó)最高法院在訴迪奧尼西奧案的判決書中說：“沒有人能合理期待別人不知道他的聲音，就像他不能合理期待他的臉對(duì)世界是一個(gè)謎一樣”[10]。我們并不能期待自己不會(huì)與熟人在公共場(chǎng)合相遇并被認(rèn)出，同樣的道理，我們也并沒有合理的理由期待自己的人臉信息在公共場(chǎng)合完全不被識(shí)別。

此外，隨著技術(shù)進(jìn)步，隱私權(quán)保護(hù)很難抵御技術(shù)對(duì)消費(fèi)者人臉信息安全的威脅。從主體角度看，傳統(tǒng)隱私權(quán)侵權(quán)通常針對(duì)某一特定主體。從損害結(jié)果角度看，隱私權(quán)受到損害的過程較易梳理，損害結(jié)果也容易識(shí)別。正是由于傳統(tǒng)隱私權(quán)侵權(quán)在主體和損害結(jié)果等方面較為清晰，受害人此時(shí)可以直接以侵犯隱私權(quán)為由提起訴訟獲得賠償。然而，當(dāng)傳統(tǒng)救濟(jì)方式遇到人臉信息受到侵害的情形時(shí)，消費(fèi)者往往會(huì)因?yàn)闊o法證明損害結(jié)果而難以得到救濟(jì)。這是因?yàn)榻?jīng)營(yíng)者運(yùn)用人臉識(shí)別技術(shù)實(shí)施侵害行為往往極為隱蔽，可能不會(huì)造成損害。只有當(dāng)經(jīng)營(yíng)者將運(yùn)用該技術(shù)收集來的消費(fèi)者人臉信息不合法地使用或未妥善存儲(chǔ)而導(dǎo)致人臉信息泄露時(shí)，才會(huì)對(duì)個(gè)人產(chǎn)生損害結(jié)果。正如在 2008 年，美國(guó)伊利諾伊州立法機(jī)構(gòu)頒布首個(gè)個(gè)人生物信息保護(hù)法《生物特征信息隱私法》（以下簡(jiǎn)稱“BIPA”）。2010 年，F(xiàn)acebook 推出“標(biāo)簽建議”功能，即利用人臉識(shí)別技術(shù)標(biāo)注用戶照片里出現(xiàn)的人。由于此功能默認(rèn)開啟，2015 年，三位伊利諾伊州用戶依據(jù) BIPA 將 Facebook 告上法庭，他們的訴訟后來被合并為集體訴訟[11]。原告Patel 指出，該項(xiàng)功能既沒有征得用 戶同意 ，也因未 公 開 數(shù) 據(jù) 存 儲(chǔ) 時(shí) 間 而 違 反 了 BIPA 規(guī) 定 。 而Facebook 卻辯稱，原告在指控中未能列舉出具體損害，因此原告缺乏訴訟資格。雖然 Facebook 的理由沒有被美國(guó)聯(lián)邦第九巡回上訴法院認(rèn)可，但可見在具體損害的認(rèn)定問題上，人臉信息相比于其他信息存在的爭(zhēng)議更大。

（三）經(jīng)營(yíng)者易造成對(duì)必要性原 則的違反

目前我國(guó)司法實(shí)踐中，無論民事案件還是刑事案件，大多以涉案行為的合法性和正當(dāng)性為中心進(jìn)行陳述、申辯，法院也將行為是否合法、正當(dāng)作為審理和裁判的主要依據(jù)。而在“人臉識(shí)別第一案”中，原本通過指紋識(shí)別就可進(jìn)入園區(qū)，現(xiàn)在必須通過人臉識(shí)別的方式才能進(jìn)入，這將不可避免地引向?qū)?jīng)營(yíng)者收集、使用人臉信息的必要性審查問題。

《個(gè)人信息保護(hù)法》第 6 條規(guī)定，處理個(gè)人信息應(yīng)限于實(shí)現(xiàn)處理目的的最小范圍?！睹穹ǖ洹返?035 條規(guī)定，處理個(gè)人信息應(yīng)當(dāng)遵循必要原則?！兑?guī)范》中更為細(xì)化，規(guī)定了收集個(gè)人信息要遵循最小化要求，包括：1.收集的個(gè)人信息類型應(yīng)與實(shí)現(xiàn)業(yè)務(wù)功能有直接關(guān)聯(lián)；2.自動(dòng)采集個(gè)人信息的頻率應(yīng)是實(shí)現(xiàn)業(yè)務(wù)功能所必需的最低頻率；3.間接獲取個(gè)人信息的數(shù)量應(yīng)是實(shí)現(xiàn)業(yè) 務(wù)功能所必需的最少數(shù)量。根據(jù)以上法律法規(guī)可知，杭州野生動(dòng) 物世界有限公司用 人臉識(shí) 別替代原先指紋識(shí)別的入園方式，違背了《規(guī)范》中關(guān)于個(gè)人信息收集的最小化要求。盡管《規(guī)范》并非法律規(guī)定，但 是 作 為 我 國(guó) 首 部 個(gè) 人 信 息 方 面 的 國(guó) 家 標(biāo) 準(zhǔn) ，《規(guī)范》 無疑在法官進(jìn)行必要性原則審查時(shí)起著重要的參照作用。

作為具有唯一性、難獲取性的人臉信息，在過去通常是由 國(guó)家機(jī) 關(guān)、政府部門、醫(yī)院等 公 益單位來收集和使用，收集和使用的場(chǎng)景均較為有限。然而，隨著近年來技術(shù)的發(fā)展，越來越多的人臉信息被手機(jī)廠商和安防設(shè)備廠商收集并應(yīng)用到個(gè)人信息終端、公共場(chǎng)所安防等領(lǐng)域。這些信息往往與公民的人身財(cái)產(chǎn)安全和人身安全密切相關(guān)。近年來，利用公民個(gè)人信息的犯罪活動(dòng)越來越多，社會(huì)各界要求加強(qiáng)對(duì)公民個(gè)人信息安全保護(hù)的呼聲也越來越高。在這種背景下，杭州野生動(dòng)物園有限公司未經(jīng)消費(fèi)者同意對(duì)其采用人臉識(shí)別技術(shù)，既不能解釋使用該技術(shù)的必要性，也沒有向社會(huì)公開將會(huì)采取什么措施來確保信息的安全，這將不可避免地導(dǎo)致人們的擔(dān)憂和疑慮。

三、人臉識(shí) 別法律規(guī)制路徑的本土化選擇

（一）明確必要性原則，厘清人臉識(shí)別應(yīng)用邊界

想要增強(qiáng) 我 國(guó)人臉 識(shí)別運(yùn)用 中 的 信 息 保 護(hù)力度，需要首 先明確 必要 性原 則，即 在均 可 達(dá) 成目的的數(shù)種手段之間，應(yīng)該選擇對(duì)被限制的利益干預(yù)最輕的手段，也可稱為最小侵害原則[12]。將必要性原則與我國(guó)國(guó)情相結(jié)合，可以提出以下兩點(diǎn)消費(fèi)者人臉信息保護(hù)的完善建議。

1.應(yīng)明確必要性原則具體實(shí)施的層次。經(jīng)營(yíng)者在收集消費(fèi)者個(gè)人信息時(shí)應(yīng)遵循必要性原則。具體來說，首先對(duì)經(jīng)營(yíng)者在收集消費(fèi)者個(gè)人信息的廣度 上進(jìn)行限縮，從前文所述的“包括但不 限于”到“有且僅有”，將消費(fèi)者 個(gè)人信 息 的收集 限制在其核心服務(wù)之中。當(dāng)經(jīng)營(yíng)者提供服務(wù)時(shí)，通常需要一定量的信息來實(shí)現(xiàn)正常運(yùn)轉(zhuǎn)，這些信息均屬于與經(jīng) 營(yíng)者目的相符的“合目的”信 息。但是，這些“合目的”信息并不一定是無法替代的信息，此時(shí)應(yīng)限 制收集的深度，對(duì)能夠 實(shí) 現(xiàn) 目 的 的各類信息進(jìn)行強(qiáng)度劃分。若存在能夠?qū)崿F(xiàn)核心業(yè)務(wù)功能的強(qiáng)度較低的信息，便應(yīng)禁止對(duì)高強(qiáng)度信息的收集，從而減少因信息整合而被還原真實(shí)信息主體人格的可能性。這樣經(jīng)過劃分與篩選后，最終使信息達(dá)到無法替代的標(biāo)準(zhǔn)，即如果經(jīng)營(yíng)者不收集該項(xiàng)信息便無法實(shí)現(xiàn)其核心服務(wù)目的。堅(jiān)持此種多層次劃分與篩選的必要性原則，能夠有效降低消費(fèi)者的個(gè)人信息風(fēng)險(xiǎn)。

2.明確技術(shù)使用邊界。目前，只有北京、天津等少數(shù)地方的規(guī)章 、條例就公 共安全 圖 像 信息的采集作出了規(guī)定。北京市政府頒布的《北京市公共安全圖像信息系統(tǒng)管理辦法》規(guī)定了五類應(yīng)當(dāng)安裝公共安全圖像信息系統(tǒng)的單位和區(qū)域[13]。2021 年 1 月 1 日起正式實(shí)施的 《天 津市 社會(huì)信用條例》中，也列舉了禁止 市場(chǎng)信 用信息提 供 單位采集的自然人個(gè)人信息 類型 。 而 人 臉識(shí) 別 不需 要消費(fèi)者主動(dòng)配合 即可收集，甚 至 可 以 在 消費(fèi) 者毫不知情的情況下被收集，因此，厘清人臉識(shí)別技術(shù)應(yīng)用范圍是當(dāng)務(wù)之急。為此，應(yīng)確立禁止處理原則，進(jìn)一步明確經(jīng)營(yíng)者使用該技術(shù)的禁止性規(guī)定，具體 包括：第一，非經(jīng)法定事由，經(jīng)營(yíng)者不得收集、購(gòu)買或以其他方式獲取消費(fèi)者人臉信息；第二，非經(jīng)法定事由，經(jīng)營(yíng)者不得披露或以其他方式傳播消費(fèi)者人臉信息；第三，禁止出售、出租或其他利用消費(fèi)者人臉信息獲利的行為。

（二）注重個(gè)人信息自 決權(quán)及其有效性 限制

個(gè)人信息的決定主體始終是個(gè)人。個(gè)人是其私生活的直接感受者，只有個(gè)人最清楚自己的生活是否受到不正當(dāng)干擾，也只有個(gè)人最有資格和能力來評(píng)判 自己的個(gè) 人信息 是否遭 到 違 反 個(gè) 人意志的使用或泄露。因此，個(gè)人信息自決權(quán)的重要性不言而喻，這也體現(xiàn)了對(duì)消費(fèi)者人格尊嚴(yán)和隱私權(quán)的尊重與保護(hù)。然而，隨著大數(shù)據(jù)時(shí)代的發(fā)展，個(gè)人信息自決的基礎(chǔ)在各種新型沖突的紛擾中被動(dòng)搖。一方面，不能排除消費(fèi)者在對(duì)新技術(shù)、新概念不真正知情的情況下隨意對(duì)自己的個(gè)人信 息做出 不合理決 定；另一方 面，隨著 個(gè)人信息公共性價(jià)值的突顯，難以避免一些大數(shù)據(jù)商業(yè)機(jī)構(gòu)出 于商業(yè)利益的考慮而迫切想 要 獲 取 個(gè) 人信息 ，促使消費(fèi)者的“知情同意”成為其收集、使用個(gè)人信息的保護(hù)傘，從而對(duì)消費(fèi)者合法權(quán)益造成損害。

從前文中對(duì)于美團(tuán)、淘寶、百度 APP 的用戶服務(wù)協(xié)議和隱私政策的調(diào)查也能夠看出，若完全遵循個(gè)人信息自決原則，經(jīng)營(yíng)者收集、使用消費(fèi)者個(gè) 人信息的行為很可能給用戶帶來難 以預(yù)計(jì)的損害，因此，該原則不足以使得信息收集、存儲(chǔ)、使用合法化，理應(yīng) 對(duì)該原則的有效性 進(jìn)行限制。因此，本文建議，想要實(shí)現(xiàn)對(duì)消費(fèi)者個(gè)人信息的有效保護(hù)和合理利用，不能僅以個(gè)人信息自決原則來判斷信息收集、使用者是否可以免責(zé)，而應(yīng)當(dāng) 結(jié)合法律 法規(guī)、行業(yè)規(guī)范、技 術(shù)指引等多種手段來進(jìn)行綜 合評(píng)判 ，盡量避免信息收集 、使用者因“知情同意”而獲得不當(dāng)豁免的情形出現(xiàn)。同時(shí)，需要收集個(gè)人信息的經(jīng)營(yíng)者應(yīng)將信息使用的方式詳盡列出，完全依照與消費(fèi)者訂立的知情同意協(xié)議來行使權(quán)利、履行義務(wù)。

（三）落實(shí)人臉識(shí)別技 術(shù)備案制

人臉識(shí)別技術(shù)作為經(jīng)營(yíng)者識(shí)別、發(fā)現(xiàn)用戶價(jià)值 取向的一 種工具 ，在使用 時(shí) 理應(yīng) 受 到 一定 限制，以避免技術(shù)脫離法律而運(yùn)行。特別是如前文所述，個(gè)人信息自決 的效力基礎(chǔ)并不 牢靠，往往難以做出對(duì)風(fēng)險(xiǎn)衡量的理性判斷。因此，基于平衡數(shù)據(jù)產(chǎn)業(yè)發(fā)展與消費(fèi)者個(gè)人信息保護(hù)的考慮，采用 經(jīng)營(yíng)者使用人臉 識(shí)別技術(shù)的事前備案制是相對(duì)于審批或核準(zhǔn)制來說更加高效、適當(dāng)?shù)男姓?guī)制手段。通過人臉識(shí)別技術(shù)備案制就可以對(duì)經(jīng)營(yíng) 者的使用是否兼 具合法性、合目的性、合 比 例性作出預(yù)測(cè)，從而有利于降低人臉識(shí)別技術(shù)被經(jīng)營(yíng)者濫用的風(fēng)險(xiǎn)。

至于具體操作方面，應(yīng)當(dāng)對(duì)所有經(jīng)營(yíng)者使用人臉識(shí)別技術(shù)以及收集人臉信息做出嚴(yán)格規(guī)定：1.所有經(jīng)營(yíng)者在使用人臉識(shí)別技術(shù)前，均需向?qū)I(yè)機(jī)構(gòu)提交資質(zhì)審核申請(qǐng)；2.通過資質(zhì)審核申請(qǐng)后，應(yīng)當(dāng)經(jīng)過第三方機(jī)構(gòu)的評(píng)估與定期檢測(cè)，確保 技 術(shù) 的 平等 性 、準(zhǔn) 確 性 ；3.實(shí) 行人 臉 識(shí) 別 設(shè)備購(gòu)買者實(shí)名制和用途備案制，經(jīng)營(yíng)者使用的人臉識(shí)別系統(tǒng)及其定期檢測(cè)結(jié)果應(yīng)向監(jiān)管部門備案；4.通過資質(zhì)審核后，使用人臉識(shí)別技術(shù)的經(jīng)營(yíng)者應(yīng)當(dāng)建立一個(gè)可追溯的技術(shù)系統(tǒng)。利用該系統(tǒng)，應(yīng)當(dāng)實(shí)現(xiàn)對(duì)任何人在任何時(shí)間、地點(diǎn)搜集、存儲(chǔ)、使用、修改人臉信息都能進(jìn)行明確查證。如此，當(dāng)侵權(quán)發(fā)生后，自身合法權(quán)益受到侵害的消費(fèi)者便可以憑 借該技 術(shù)追溯系統(tǒng)來查證并追究侵權(quán)人的法律責(zé)任。

由于大數(shù)據(jù)技術(shù)的不斷發(fā)展，很多原本的普通個(gè)人信息經(jīng)過碰撞或計(jì)算發(fā)掘甚至能夠預(yù)測(cè)出敏感個(gè)人信息，而一 些敏感個(gè) 人信息 經(jīng)過匿名或新型隱私保護(hù)技術(shù)處理后風(fēng)險(xiǎn)大幅減小。因此，可以在備案機(jī)關(guān)設(shè)置生物識(shí)別信息保護(hù)專員或 專門機(jī)構(gòu)，讓專業(yè)人員結(jié)合其他技術(shù)對(duì)人臉識(shí) 別技術(shù)中的算法、信息采集協(xié)議、信息使用途 徑等情況進(jìn)行法律和倫理審查，對(duì)人臉識(shí)別技術(shù)的安全性和合理性做出風(fēng)險(xiǎn)判斷 并隨著形勢(shì)的變 更而不斷更新這種判斷，從而嚴(yán)格區(qū) 分合理使用與濫用，保障消費(fèi)者免受人臉識(shí)別技術(shù)濫用的困擾。

注 釋：

① 2019 年 8 月 31 日版本的“ZAO”換臉軟件的用戶協(xié)議第 6 項(xiàng)。