姬蕾蕾

（安陽師范學院，河南 安陽 455000）

隨著數(shù)據(jù)技術的研發(fā)與應用，人臉識別技術已經(jīng)被應用到各個場景中，既涉及到公共管理和公共安全領域，也涉及私人行業(yè)領域，關于這一技術的理論基礎、規(guī)制路徑等在法學語境中處于起步階段，尚未得到充分研究。2019年作為“人臉識別第一案”——“郭某訴杭州野生動物世界合同糾紛”拉開了法學領域?qū)θ四樧R別技術關注的序幕。①法院最終判決當事人雙方解除合同，杭州野生動物世界賠償郭某合同利益損失及交通費一千多元，刪除郭某指紋、照片等生物識別信息。浙江省杭州市富陽區(qū)人民法院〔2019〕浙0111民初6971號民事判決書。人臉識別技術的全方位應用，是大數(shù)據(jù)分析技術發(fā)展的必然結果，而該技術的應用對法學領域發(fā)起的挑戰(zhàn)也顯而易見。技術的智能演進在給人們帶來便利的同時，開拓場景的豐富性和復雜性也給人臉識別信息的泄露帶來更大風險，在私法領域，人臉識別技術與肖像、隱私等具有高度敏感性的人格信息具有直接關聯(lián)性，傳統(tǒng)個人信息保護制度的局限性在當前的技術環(huán)境中暴露無遺。無論是國際法規(guī)范或者多數(shù)國家的個人信息保護法均對個人信息利用中的同意規(guī)則作出規(guī)定，授權同意是個人信息收集利用的合法性基礎，該規(guī)則作為個人信息保護制度的核心構架一直為理論界與實務界所認可。在大數(shù)據(jù)時代背景下，知情同意規(guī)則的實用性受到質(zhì)疑在學界已經(jīng)成為共識，由此，從私法角度對這一規(guī)則進行軟化和更新的慣常思路是，將同意規(guī)則細化為分層同意、特別同意及單獨同意等等，尤其是對人臉識別信息的單獨明確同意。事實上，僅僅在單一場景中對同意規(guī)則進行改良不足以完全適應人臉識別技術的發(fā)展前景以及匹配相關場景的制度邏輯。人臉識別技術的特殊性在于“被廣泛應用于社會主體不同身份的認證和行為識別場景”［1］，而人臉識別信息的法律屬性也孕育出不同的法律屬性，這就有必要從其法律屬性入手，發(fā)現(xiàn)其特殊屬性，再根據(jù)相關的場景設定差異化的同意規(guī)則，以此平衡數(shù)據(jù)保護與利用的利益關系。

一、人臉識別信息保護中的雙重風險

（一）個人信息權益侵害風險

《APP收集使用個人信息最小必要評估規(guī)范：人臉信息》第3.1條規(guī)定：“人臉識別即基于個體的人臉特征，對個體進行識別的過程?！钡?.3條規(guī)定，“人臉信息”即對自然人的人臉特征進行技術處理得到的、能夠單獨或者與其他信息結合識別該自然人身份的個人信息。可以看出，人臉信息屬于生物識別信息的一種，對該類信息的處理可能會對個人的人格權益與財產(chǎn)權益造成侵害。首先，人格權益的侵害風險。相較于指紋、基因、虹膜、聲紋等其他生物識別信息，該類信息的采取具有被動性、隱蔽性以及不可覺察性。［2］生物識別的驗證技術本身具有中立性，在實踐場景中更適用于遠程安全驗證、管理等需求。然而人臉信息在線下關乎個人的自然評價，線上關乎個人的算法評價，同時大數(shù)據(jù)技術的引用導致個人信息結合算法能夠描繪出個人畫像［3］，因此人臉信息屬于高度敏感信息。其具有對比其他生物識別信息獲取的技術性與需求設備的復雜性，人臉信息的獲取較為普遍且便利，僅需要利用攝像裝備即可輕易獲得，同時信息主體難以覺察。因此，未經(jīng)信息主體的同意而獲取該類信息直接侵害了個人的信息自決權，同時對信息主體造成的損害是不可逆轉的。其次，財產(chǎn)權益的侵害風險。在數(shù)字社會，個人信息具有固有人格與天然財產(chǎn)的雙重屬性，個人信息是具有財產(chǎn)權益的人格利益，在法律上可以財產(chǎn)化，通過同意將個人信息授權給他人使用來實現(xiàn)其財產(chǎn)利益，但不會因此而喪失其人格權益。只是這種財產(chǎn)權益需要與數(shù)據(jù)生產(chǎn)者共享，并且個人只能借助消極的救濟方式才能實現(xiàn)其財產(chǎn)價值。［4］人臉識別信息在算法的作用力下整合成一種財產(chǎn)資源，具有巨大的經(jīng)濟價值，同時該類信息與個人金融系統(tǒng)認證直接相關，一旦對該類信息泄露或者處理不當，則造成的財產(chǎn)侵害難以估計，為侵害個人的財產(chǎn)權益留下巨大風險。

（二）個人信息的安全風險

在傳統(tǒng)的線下社會，人臉信息是熟人社會中相互識別的重要符號，以此維護個人在固定社交范圍的溝通交流。個人基于自己的意愿進入一定的社會關系，以個人肖像（人臉信息）表征自己的身份，也可使他人識別自己的身份。［5］在此領域中，人臉信息發(fā)揮個人與社會交往的媒介功能，是個人從獨處空間邁入公共空間，開始與他人共享信息開展社會活動的工具。識別利益包含兩層含義，第一層含義是個人標識自己的身份，作為進入社會關系的資格，此時建立的是個人身份；第二層含義是他人以此信息識別個人，使他人對個人形成整體準確而正面的評價，獲得社會的尊重與認可，此時建立的是共同體身份，人臉信息、社群身份、聲譽機制、集體記憶/遺忘、合作交往等機制一起，共同構成了長久以來的社會生活。［6］數(shù)字社會的到來，在數(shù)據(jù)技術的應用下，人臉信息開始具有了身份驗證的價值，機器算法替代人腦，脫離了熟人社會中對人臉信息驗證身份的單一識別方式，成為對特定自然人身份認證與識別的重要方法。人臉識別技術在對比人臉信息的同時和個人的姓名、年齡、身份證號碼、手機號碼相互關聯(lián)，實現(xiàn)身份認證一體化，具有能夠方便快捷地進行在線交易、提升公共管理效率、維護公共安全等不可比擬的優(yōu)勢。然而，人臉識別機制正是通過自動化的技術閉環(huán)對個人信息進行整合分析，成為引起社會普遍憂慮的根本問題所在。［7］人臉信息作為一種社會交往的功能僅需要“觀看”即可，而人臉識別技術的應用會引起處理人臉信息的持續(xù)關聯(lián)性和循環(huán)分析性。信息處理者看似聚焦于對人臉信息的收集，實則是對該信息背后的健康信息、金融信息、行蹤信息等關系鏈信息的對接，使得人臉識別信息本身具有多元化、復雜化的特點。因此，一旦人臉識別技術出現(xiàn)漏洞，不僅可能導致對個人的不利評價，侵害個人的人格自由與人格尊嚴，還可能因為光線、角度等問題造成錯誤識別，可能導致錯誤在技術分析的循環(huán)中不斷擴大，侵害個人的合法權益。例如，美國密歇根州底特律的一位名叫Robert Williams的男子一紙訴訟將底特律警察局告到法院，原因是因為人臉識別錯誤，他被當成小偷被捕，且在拘留所待了30個小時才被放行回家。［8］

二、同意規(guī)則在人臉識別信息保護中的規(guī)范沿革與實踐困境

（一）同意規(guī)則的規(guī)范沿革

知情同意規(guī)則是個人信息保護制度的核心構架，是平衡個人信息保護與利用的有效杠桿?！睹绹叫畔嵺`準則》 中提出的知情同意規(guī)則對美國信息隱私立法產(chǎn)生巨大影響，其中1974年頒布的《隱私法》直接采納了知情原則以保障公民的知情權。①將美國自動化信息系統(tǒng)委員會提出的五項個人隱私保護原則納入《隱私法》，其中包括知情原則和同意原則。Daniel J.Solove，Privacy Self-Management and the Consent Dilemma，Harvard Law Review，Vol.126，2013.隨后，信息主體同意作為處理個人信息的合法要件為大部分國家立法或司法普遍采納。1980年經(jīng)濟合作與發(fā)展組織（OECD）的《隱私保護與個人數(shù)據(jù)跨境流通指南》、聯(lián)合國大會于1990年通過的《關于自動資料檔案中個人資料的指南》、2004年亞太經(jīng)濟與合作組織（APEC）的《APEC隱私框架》均延續(xù)《美國公平信息實踐準則》中的同意規(guī)則。［9］歐盟關于個人數(shù)據(jù)保護最為嚴格，以人權導向為基線在1995年頒布《個人數(shù)據(jù)保護指令》［10］，規(guī)定了數(shù)據(jù)品質(zhì)原則，包括正當處理原則、目的明確和限制原則等均對數(shù)據(jù)主體的同意作出明確規(guī)定［11］，且第7條明確對同意條款的內(nèi)容作詳細規(guī)定②Directive 95/46/EC，Article.7規(guī)定了處理個人信息的一般標準：（1）信息主體已經(jīng)明確表示同意；（2）為履行信息主體作為合同一方，或信息主體要求執(zhí)行訂立合同的先行措施所必需的處理；（3）信息控制者履行其法定義務所必需的處理；（4）為信息主體的重大利益而處理其個人信息；（5）為了公共利益而為的處理；（6）為第三人的正當利益，但信息主體的基本人權和自由優(yōu)于第三人正當利益的除外。。與歐盟立法理念不同的是，美國對個人信息保護的基本立場是反對濫用，其注重對個人經(jīng)濟關系的保護。美國沒有統(tǒng)一的個人信息保護立法，對個人信息保護采用行業(yè)自律的模式以適應經(jīng)濟的動態(tài)發(fā)展。因此，個人信息保護原則對實施分散立法兼行業(yè)自律的美國更為重要。起初，美國對于主體同意內(nèi)容僅在《隱私法》中予以規(guī)定，即在1974年將美國自動化信息系統(tǒng)委員會提出的五項個人隱私保護原則納入《隱私法》這一單行法中，其中包括知情原則和同意原則。隨后，大數(shù)據(jù)分析的應用導致個人信息的侵犯幅度提高，對此美國將個人信息區(qū)分為一般個人信息和敏感個人信息，對于后者，聯(lián)邦政府針對特殊主體或特殊信息出臺了特別立法，例如1988年出臺的《影視隱私保護法》《兒童在線隱私權保護法案》等，這些立法都對信息主體的同意作出了具體規(guī)定。可以看出，為順應立法潮流，美國也逐步認同同意是個人信息利用的正當性要件。

與《數(shù)據(jù)保護指令》相比，2018年歐盟《一般數(shù)據(jù)保護條例》新增關于“同意條件”的規(guī)定更加細致，有別于過去將絕對同意作為信息處理的首要條件。①REGULATION（EU）-2016/679 OF EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement od such data，and repealing Directive 95/46/EC（General Data Protection Regulations）.有別于過去將絕對同意作為信息處理的首要條件，《一般數(shù)據(jù)保護條例》對于特殊類型數(shù)據(jù)處理的同意為明確同意，而對其他一般信息的處理僅需同意，即同意包含明確同意和默示同意。根據(jù)《數(shù)據(jù)保護指令》第7條的規(guī)定，同意必須是明確的，而《一般數(shù)據(jù)保護條例》第6條的表述刪去了“明確”。與此同時，《一般數(shù)據(jù)保護條例》第9條第2款規(guī)定，特殊類型的信息在獲得信息主體明確同意時，其處理不受相關限制。由此可知，對于特殊類型數(shù)據(jù)處理的同意為明確同意，而對其他一般信息的處理僅需同意；后者的外延應大于前者，即同意應包含明確同意和默示同意。［12］可以看出，對比之前的僵化性同意要件，歐盟逐漸采取一些變通的姿態(tài)，對個人信息同意作出區(qū)分規(guī)定。2015年美國引入三部隱私法案：《消費者隱私保護法案（草案）》《學生數(shù)字隱私與父母權利法案》《數(shù)據(jù)經(jīng)紀人責任以及透明法案》。三部法案中，《消費者隱私保護法案（草案）》最為典型，該法案第103條（b）款規(guī)定，在具體場景中機構處理信息的行為合理，則無需信息主體授權或者同意；當信息控制者利用信息的行為不合理，威脅到信息主體的隱私時，信息控制者需要對該風險進行評估，并采取相應的救濟手段。［13］

我國《民法典》《網(wǎng)絡安全法》《全國人大常委會關于加強網(wǎng)絡信息保護的決定》《消費者權益保護法》《數(shù)據(jù)安全法》《個人信息保護法》均采用信息主體同意作為個人信息處理合法基礎的立法理念，以法律的高度覆蓋保護個人信息全生命周期?！秱€人信息保護法》對同意作出細致規(guī)定，該法第14條規(guī)定了同意的要件與方式、第15條規(guī)定了信息主體的同意撤回權、第23條規(guī)定信息處理者向第三方提供個人信息時的單獨同意規(guī)則、第25條規(guī)定個人信息公開的單獨同意規(guī)則、第29條對敏感信息的處理規(guī)定了單獨同意及書面同意規(guī)則。同意規(guī)則作為個人信息保護的核心架構，蘊涵信息主體對其信息的自主決定權。即為平衡信息主體對自身信息參控力度的缺失，通過知情同意的機理給予信息主體在信息流轉過程中以控制權，防止信息利用者侵害其知情權，進而維護信息主體個人尊嚴與自由。正如洛克所言：“一切自然人都是自由的，除他同意以外，無論什么事情都不能使他受制于任何世俗權力。”［14］時至今日，同意規(guī)則作為個人信息利用的合法基礎在個人信息保護領域仍占據(jù)舉足輕重的規(guī)范價值。在實踐中，獲取信息主體同意是信息處理者處理個人信息的合規(guī)要件和免責條款，成為打開個人信息寶藏的“萬能鑰匙”。

（二）同意規(guī)則在人臉識別信息保護中的實踐困境

在歷史的流變中，同意原則在個人信息保護中的精神內(nèi)核從未變更，即保障個人自主。然而數(shù)字時代的到來給以同意規(guī)則為核心構建的保護體系帶來沖擊，該規(guī)則投射到人臉識別信息保護的適用困境日益凸顯。

1.信息主體的有限理性。同意規(guī)則的規(guī)范前提是信息主體的理性標準，即個人是自身利益的最佳決策者，是個人自主決定的直觀體現(xiàn)，然而在實踐中，信息主體對自己利益的判斷力似乎缺乏耐性和理性，因此導致同意框架構筑的理想愿景與信息主體的實際抉擇差距顯著。美國聯(lián)邦貿(mào)易委員會主席喬恩·萊博維茨曾言：“隱私政策無疑是個人控制其信息的有效方式，但事實上這僅是一種愿景。”［15］面對各種冗長的隱私聲明，現(xiàn)實中很少有人去認真地閱讀，一是讀不懂，二是沒有時間讀，三是讀了也沒用，在這種例行公事式的同意中，自決的成分就算有也微乎其微，同意的作用被虛化和弱化。［16］而對于人臉識別信息而言，由于人臉識別技術的復雜性、隱蔽性，信息主體難以理解同意之后的使用方式和可能風險。即使信息主體認真閱讀隱私政策，專業(yè)知識的缺乏導致其陷入信息收集的后續(xù)決策困境。［17］特別是在識別分析機制下，信息主體很難知曉其面部信息在何種數(shù)據(jù)庫中的對比程度，更難以知曉信息存儲安全性、自動化決策算法邏輯的信息。［18］

2.同意規(guī)則缺乏可操作性。從上述規(guī)范可知曉，知情同意規(guī)則是個人信息利用的合法基礎，是捍衛(wèi)個人尊嚴與人格自由的必要規(guī)則。傳統(tǒng)同意的操作方式是在必要情境下獲得信息主體的同意簽署書，而大數(shù)據(jù)時代下，人臉識別信息的同意規(guī)則卻缺乏可操作性。首先，人臉識別信息收集的不易覺察性和非接觸性瓦解了同意規(guī)則的適用性。由于技術的隱蔽性，信息處理者在收集人臉信息時可以悄無聲息地收集人臉信息而不會為人知曉，而且即使獲取了信息主體的同意授權，由于信息處理的目的和范圍會不斷變化，這種同意的實質(zhì)效力也大打折扣。其次，大數(shù)據(jù)的共享性使數(shù)據(jù)處理者與信息主體間的直接聯(lián)系被切斷，信息處理者為獲得同意，可能要在大千網(wǎng)絡中尋找眾多不相識的信息主體［19］，這無疑增加了信息獲取的成本，不具有太大的可操作性。同時，由于個人信息的流通使用和數(shù)據(jù)技術的持續(xù)分析，第三方信息處理者還可以在分析過程中獲取人臉信息而不需要經(jīng)過信息主體的同意。

3.同意規(guī)則的無效性。當前，同意制度包括信息處理者的告知和信息主體的同意兩個階段，告知是信息主體作出同意與否的前置條件，是私法自治的具體體現(xiàn)。在實踐中，《隱私政策聲明》《用戶服務協(xié)議》是信息處理者獲取個人授權的主要形式，然而作為一種格式合同，信息主體一般只有點擊同意的選項，并不能改變信息被收集利用的最終結果，這實質(zhì)違背了意思自治的私法理念。這種不自由、不真實的承諾呈現(xiàn)效力瑕疵，同意原則功能逐漸嬗變，被信息處理者操縱成一種獲取個人信息資源的程序要件。［20］而對人臉信息這種極為敏感的信息類型，面對無感刷臉的隱蔽數(shù)據(jù)技術，適用同意規(guī)則顯得尤為徒勞無益，難以保障同意規(guī)則的有效性?；诖耍?019年瑞典一所學校征得學生同意，實行刷臉進校的管理制度，最終瑞典數(shù)據(jù)保護局依據(jù)《一般數(shù)據(jù)保護條例》的規(guī)定認定該行為無效，并對該校處以1 000萬瑞典克朗的行政處罰。［21］

三、同意規(guī)則在人臉識別信息保護中的困境成因與歐美改革

（一）同意規(guī)則在人臉識別信息保護中的困境成因

1.屬性的變動性。數(shù)字社會是我們討論人臉識別信息的前提，人臉作為個人的身份識別符號，在傳統(tǒng)的線下社會就存在，只不過當時是通過人來驗證個人身份的。人臉信息具有表征自然人的功能，關乎個人的外在評價和隱私，在此意義上，人臉信息彰顯個人人格要素中最核心的尊嚴與自由，因此其精神利益凸顯，法律屬性為人格利益。傳統(tǒng)立法對人臉信息的保護一般通過肖像權、隱私權的方式。進入數(shù)字社會，個人的身份識別不僅依賴于個人的面部特征，聲音、手機號碼、身份證號碼、手機驗證碼等都成為新的身份認證方式。同時，個人信息的記錄和處理方式發(fā)生巨變，人臉信息的技術價值愈發(fā)凸顯。人臉信息具有獨特性、方便性、不可更改性、易采性、多維性等特征［22］，這決定了人臉信息在識別認證上的快速識別性和精確性，因而備受信息處理者青睞。在人臉識別技術應用之初，其技術邏輯僅僅是捕捉圖像進行橫向匹配識別，對個人造成的侵害風險較小。技術是個人信息產(chǎn)出經(jīng)濟價值的變革性因素［23］，大數(shù)據(jù)、區(qū)塊鏈、人工智能技術的開發(fā)，使人臉信息具有了財產(chǎn)屬性。人臉識別技術結合人臉信息的獨特性和易采性的特征，可以對個人形成更為精準的數(shù)字畫像，由此方便信息處理者可以以此進行精準營銷或作為企業(yè)調(diào)整經(jīng)營方針的依據(jù)。由此，人臉信息的應用場景復雜多變，人臉識別分析朝縱向進階，人臉信息的屬性開始發(fā)生變化，從最初表征身份的自然符號向識別分析的機制轉變。［24］此時，信息處理者成為人臉信息的實際控制者，單一概括的同意規(guī)則很難預判人臉信息的后續(xù)使用方式，這導致最初的同意機制喪失了意思自治功能。

2.風險的持續(xù)性。敏感度高的個人信息對信息主體會造成重大傷害，且適用于大多數(shù)信息主體。［25］非經(jīng)本人同意的敏感信息處理會在社會中造成超出本人預料的結果，并對本人的人格發(fā)展造成不可預料的影響，使得本人人格塑造的結構偏離原本的預期。［26］由于技術的隱蔽性和自動化特征，有些人臉信息可能與其他數(shù)據(jù)庫進行自動化對比，由此導致未能經(jīng)過他人同意的人臉信息被信息處理者直接收集和使用。同時，在傳統(tǒng)個人信息規(guī)范中，同意規(guī)則一般適用于信息采集階段，信息處理者在滿足信息采集的合法基礎，并聲明信息使用的目的和形式之后，一般情境下均可以完成對個人信息的收集。對于人臉信息而言，由于其本身的唯一性、收集行為的非接觸性以及易采集性，在采集環(huán)節(jié)更為便利，這在采集之初就埋下了風險的種子。在后續(xù)的存儲、加工、利用環(huán)節(jié)均可能會發(fā)生人臉識別信息的泄露風險、歧視風險或技術破解風險，貫穿從收集到利用的整個處理周期。從獲取與持有信息的主體而言，可分為初始獲取主體與后續(xù)轉移主體，而后續(xù)轉移主體究竟是誰，絕大多數(shù)的個體都可能不知，確定的則是個體信息可能會處于不確定的風險之中。［27］有學者專門對現(xiàn)有人臉識別用戶服務協(xié)議文本進行調(diào)查，不少人臉識別服務協(xié)議中均約定了向“相關第三方”傳輸人臉圖像用于比對識別，但是第三方的身份不明導致人臉信息的傳輸可能無從追溯，因此，單一的概括同意規(guī)則很難有效預防風險。［28］

3.場景的單一性。個人信息的保護最初源于對隱私保護的設定，面對新型的媒體技術，沃倫和布蘭代斯在19世紀80年代首創(chuàng)隱私權，保護個人空間不受干擾，保持獨處的權利（to be let alone）。［29］梭羅伍（Solove）認為，隱私不是一個抽象的事實，它不是一種空間距離、信息、監(jiān)視，而應該是一種具體的行為規(guī)范。［30］然而，在人臉識別技術的應用情景中，這種行為規(guī)范的設定場景與數(shù)字社會的復雜識別情景差距明顯。由于網(wǎng)絡環(huán)境的復雜性和技術性，傳統(tǒng)隱私理論難以適應網(wǎng)絡環(huán)境的需求，信息控制理論隨即被Alan Westin提出，倡導個人信息的自主控制。［31］然而，同意規(guī)則往往基于單一的場景設定，而識別技術往往會根據(jù)個人主動或者被動提供的人臉信息進行對比解析，這種同意刷臉的場景會脫離最先設定的情景，隨著個人信息的流通而不斷豐富和演變，信息主體在技術的專業(yè)性與隱蔽性的背景下很難有控制能力。正如尼森鮑姆認為，任何社會生活情景都受信息流動規(guī)范的約束，社會生活情景跨越單一情景而在多重情景中徘徊與轉化［32］，信息流動需要受制于不同社會情景的信息規(guī)范。［33］以同意規(guī)則為核心構架的單一情景規(guī)范設定難以在數(shù)字時代發(fā)揮應該具有的規(guī)制效力。

（二）同意規(guī)則在人臉識別信息保護中的歐美改革

同意規(guī)則作為個人信息保護的核心框架，對敏感信息給予特別保護的規(guī)則更新顯得尤為重要。世界主要國家和地區(qū)的立法者意識到，以人臉信息為代表的生物識別信息作為敏感個人信息需要給予特殊保護，紛紛就同意規(guī)則進行重構，以此適應數(shù)字社會的發(fā)展需求，其中歐美的立法改革最具代表性。

1.美國。美國伊利諾伊州于2008年通過《生物識別信息隱私法案》，該法案主要規(guī)范企業(yè)、協(xié)會和其他組織對生物識別時信息的收集與處理的行為，該法案規(guī)定企業(yè)、協(xié)會和其他組織收集生物識別信息必須以書面形式告知信息主體，告知內(nèi)容包括收集、存儲、處理生物識別信息的目的和期限，并且需要獲得信息主體的書面同意。［34］德克薩斯州于2009年頒布了《生物特征信息隱私法》，加州在2018年底頒布的《加利福尼亞州消費者隱私法》中明確生物特征數(shù)據(jù)的特別保護規(guī)定。［35］司法層面，在Rosenbach V.Six Flags Entertainment Corp.一案中，伊利諾伊州最高法院援引《生物識別信息隱私法案》，認為被告未經(jīng)同意收集原告14歲兒子的指紋信息構成對其信息控制權益的侵害，即使原告兒子并沒有受到實質(zhì)損害，但因為未經(jīng)同意的處理行為具有高度風險性，故認定被告侵權成立。［36］2020年3月，美國參議員Jerry Moran提交《消費者數(shù)據(jù)隱私和安全法案》，該法案第14條明確包括人臉信息在內(nèi)的生物識別信息屬于敏感信息，并規(guī)定處理或者收集敏感信息需獲得信息主體的明確肯定的同意。

2.歐盟。歐盟將包括人臉信息在內(nèi)的生物識別信息納入敏感數(shù)據(jù)的保護范疇，在《一般數(shù)據(jù)保護條例》第9條中新增對個人基因信息、生物特征信息等的特別保護，因為這類信息加上相關技術可識別到特定主體，故數(shù)據(jù)控制者在處理該類信息時，需要符合目的原則，且禁止對該類信息加以識別。［37］同時該類信息的處理需要遵守“明示同意+法定必要”的條件①《一般數(shù)據(jù)保護條例》規(guī)定處理生物識別信息的必要條件包括：（1）信息主體的明示同意；（2）數(shù)據(jù)處理是為了數(shù)據(jù)控制者履行義務或行使權利，或者為了利益相關方在勞動和社會保障法中的權利行使；（3）即使未經(jīng)主體同意的情況下，為保護信息主體或其他自然人的重大利益；（4）數(shù)據(jù)處理涉及的是個人先前已公開的私人數(shù)據(jù)；（5）為維護公共利益目的；（6）為了提出、行使或辯護法律主張；（7）為了預防醫(yī)學或職業(yè)醫(yī)學有關的所有事宜，例如為評估雇員的精神狀況、協(xié)助醫(yī)生的醫(yī)療診斷、獲得健康或社會照料服務等。，并加重數(shù)據(jù)控制者違反該規(guī)定的行政處罰，“未經(jīng)數(shù)據(jù)主體同意而處理個人敏感數(shù)據(jù)，或者違反禁止處理個人敏感數(shù)據(jù)的規(guī)定，數(shù)據(jù)控制者將承擔2 000萬歐元或者公司在全球營業(yè)額4%的行政罰款。”［38］在以公共管理與公共安全為目的對生物識別信息進行使用的情景中，歐盟2018/1725條例（《通用數(shù)據(jù)保護條例》）中規(guī)定了相關機構、組織、代理處理個人信息的規(guī)則，并在第76條第1款規(guī)定相關處理主體在法定職權范圍內(nèi)，在必要情形下才可以處理包括人臉識別信息在內(nèi)的生物識別信息。［39］基于《一般數(shù)據(jù)保護條例》的嚴格規(guī)范，歐盟基本權利局在2019年發(fā)布《人臉識別技術：執(zhí)法中的基本權利考量》的報告［40］，該報告指出人臉識別技術的應用可能會嚴重威脅公民的基本權利，故對該技術的應用進行特別規(guī)制。在司法實踐中，歐盟法院將包括人臉信息在內(nèi)的生物識別信息上升為憲法層面的權利，這在Michael Schwarz v.Stadt Bochum一案中得到了承認。在該案中，歐盟法院認為指紋信息具有高度敏感性，是一種憲法性的權利，但是對該類信息的保護需要區(qū)分公共目的和合同目的，并且公共管理的正當使用需要優(yōu)先于個人信息保護。［41］可以看出，針對公共目的和合同目的的不同，歐盟對信息處理者適用同意規(guī)則的標準不同，基于公共目的而收集人臉識別信息的信息處理者一般要遵守必要原則，并對信息主體進行充分告知；而基于合同目的收集人臉識別信息的信息處理者則必須經(jīng)過信息主體的明示同意。

四、同意規(guī)則在我國人臉識別信息保護中的規(guī)范重塑

（一）同意規(guī)則在我國人臉識別信息保護中的立法現(xiàn)狀

目前我國人臉識別信息的特別規(guī)定主要集中在對個人信息安全的定位中，兼顧肖像權、隱私權的保護模式。鑒于人臉識別技術的特殊性以及人臉信息的高度敏感性，最高人民法院在2021年8月實施《關于審理使用人臉識別技術處理個人信息的司法解釋》（以下簡稱《人臉識別技術處理個人信息的司法解釋》）明確將人臉信息納入《民法典》第1034條中“生物特征信息”的范疇，并對人臉識別信息保護中同意規(guī)則的適用進行更新，將未經(jīng)同意的人臉識別信息的收集確定為侵權構成要件的行為之一，并對同意無效的情形進行詳細規(guī)定。除此之外，關于人臉識別信息同意規(guī)范的基本法依據(jù)主要包括：《民法典》《網(wǎng)絡安全法》對個人信息進行一般性的規(guī)定，《個人信息保護法》《電子商務法》《消費者權益保護法》增加獲取生物特征識別信息的特別授權規(guī)定。同時，相較于基本法的抽象性，我國對人臉識別信息的保護表現(xiàn)出軟法先行的特征，首先是行業(yè)規(guī)范文件：《互聯(lián)網(wǎng)個人信息安全保護指南》《App違法違規(guī)收集使用個人信息行為認定方法》。其次是推薦性國家標準，《APP收集使用個人信息最小必要評估規(guī)范：人臉信息》《信息安全技術個人信息安全規(guī)范》《個人金融信息技術規(guī)范》《信息安全技術——人臉識別數(shù)據(jù)安全要求（征求意見稿）》等。在上述文件中，盡管聚焦于對個人信息的收集適用進行規(guī)定，但《APP收集使用個人信息最小必要評估規(guī)范：人臉信息》《信息安全技術個人信息安全規(guī)范》《個人金融信息技術規(guī)范》《互聯(lián)網(wǎng)個人信息安全保護指南》《信息安全技術——人臉識別數(shù)據(jù)安全要求（征求意見稿）》直接明確針對包括人臉信息在內(nèi)的生物識別信息的授權行為進行規(guī)定。

數(shù)據(jù)治理的普遍性、技術性、復雜性、應時性等特點決定了數(shù)據(jù)治理具有一定的軟法空間。［42］規(guī)范性文件具有靈活性，在國家相關基本立法未出臺之前，軟法先行能夠及時填補人臉識別技術規(guī)范的缺位。［43］相關規(guī)范性文件對人臉識別信息保護中同意規(guī)則的改進顯示了國家對該類信息的重視。但基本法的硬性保護不可或缺，人臉識別技術應用帶來的風險巨大，直接關乎個人的人格尊嚴與人格自由，對以人臉信息在內(nèi)的生物識別信息的保護依賴基本法的加持。

（二）同意規(guī)則在人臉識別信息保護中的基本定位

針對同意規(guī)則在人臉識別信息保護中的適用困境，學者們紛紛提出對同意規(guī)則的改建制度，目前對于同意的模式大致有以下三種：其一，放棄同意規(guī)則，以情景規(guī)則代替。該模式認為同意規(guī)則已經(jīng)失效，鑒于個人信息場景應用的復雜性，應該視具體情景對個人信息的風險進行評估，以此在保護的前提下促進個人信息流通。①持該觀點的學者主要有：范為：《大數(shù)據(jù)時代個人信息保護的路徑重構》，載《環(huán)球法律評論》2016年第5期；高富平：《個人信息使用的合法性基礎——數(shù)據(jù)上利益分析視角》，載《比較法研究》2019年第2期；任龍龍：《論同意不是個人信息處理的正當性基礎》，載《政治與法律》2016年第1期。面對未來不確定應對的風險預防理論，對人臉識別進行法律規(guī)制。［44］其二，軟化同意的僵硬性。該模式認為同意規(guī)則的功能起到平衡信息雙方的杠桿作用，不可放棄，針對其適用困境建議采用在具體情景中適用“情景合理+擬制同意”的方式平衡信息雙方的利益。［45］其三，同意規(guī)則的分類適用。該模式認為應該類型化同意規(guī)則，在部分場景適用默認同意規(guī)則，在部分情景中適用明示同意規(guī)則。［46］

本文認為，上述第一種模式較為激進，否定了以同意規(guī)則為核心構建的個人信息保護制度。同意規(guī)則作為個人信息保護法的核心已經(jīng)成為世界立法的共同趨勢，此時若進行顛覆性立法容易動搖法律的穩(wěn)定性。同時，這種改進理念的前提是信息處理只要保障信息安全，那么任何信息均可處理，完全否定了個人在其信息保護中的自主決定價值，尤其在人臉識別技術應用的高風險背景下，這種改進模式誠不可取。“在法律父愛主義的理念下，風險規(guī)則限制了信息主體在信息領域意思自治的適用?！保?7］第二種改革方案試圖通過降低同意的標準以調(diào)和矛盾，然而同意規(guī)則本就已經(jīng)處于失效邊緣，若此時的改進是降低對同意標準的適用，似乎是向權利利用的妥協(xié)。第三種改進模式克服了傳統(tǒng)同意規(guī)則的模糊性，通過類型化的方式對同意規(guī)則進行差異化適用值得肯定。然而在人臉識別技術應用的情景中，如上所示，情景的復雜性與技術的隱蔽性，場景的設計無法窮盡，即使是信息處理者也無法完全掌握人臉信息的使用范圍和使用方式。

綜上分析，數(shù)字社會在信息主體和信息處理者的不對等關系中，同意規(guī)則是制約權利的最佳選擇。［48］本文認為，在同意規(guī)則的核心構架內(nèi)對其進行更新方為合理的解決路徑。風險的持續(xù)性、屬性的轉化是同意規(guī)則適用困難的產(chǎn)生緣由，其核心緣由在于人臉識別信息在復雜場景中應用分析，導致傳統(tǒng)的同意規(guī)則難以有效應對。同時，在數(shù)據(jù)技術背景下，同意規(guī)則需要結合技術的應用方能重新奏效，發(fā)揮其核心功能。因此，基于人臉識別信息區(qū)別于其他生物信息的易采集性、獨特性以及技術的隱蔽性特征，本文認為對人臉識別信息的同意模式可以重塑信息主體與信息處理者的信賴理念，同時基于“動態(tài)場景+風險預防”作為制度設計的基本方向。

具體而言，首先，重新回溯信息主體的理性人定位。在大數(shù)據(jù)時代，立法需要矯正傳統(tǒng)規(guī)范的失衡之處。人臉識別技術在給社會帶來收益與便利的同時，需要明了的是該技術的應用離不開人臉信息的持續(xù)喂養(yǎng)，這就決定了人臉信息作為數(shù)據(jù)源，其本身是數(shù)據(jù)經(jīng)濟價值的參與者。正如學者所言，“個人為個人信息的描述對象，是信息之源?！保?9］因此，立法必須重視信息主體在數(shù)字領域的參與者角色，在為其提供保護的同時，保證其作為個人信息權的參與主體。這就需要在信息雙方建立信賴關系，畢竟個體知情同意所決定的事情在相當程度上體現(xiàn)一種“涉他性”，系基于大數(shù)據(jù)技術的涉及和運作方式以提升人們在作出個人決定與知情同意之時，同時考慮對他人的影響的可能性。［50］其次，體現(xiàn)同意規(guī)則的動態(tài)性和場景設計的包容性。傳統(tǒng)同意規(guī)則的弊端在于過于僵硬，難以適應人臉識別信息流通中動態(tài)多變的復雜場景?；诖耍梢際elen Nissenbaum提出的情景完整性理論（Contextual Integrity Theory），該理論認為，信息流動受制于不同社會情景的信息規(guī)范，需要符合情景適當性標準（Context-Appropriate）保證情景的完整性，從而達到保護隱私的目的。［51］因此，重塑同意規(guī)則的方向應該和數(shù)據(jù)處理的復雜場景相適應，使其保持足夠的彈性和靈活性，兼容人臉識別技術的收集、存儲、使用等多種場景。為此，可在保持概括同意的基礎上，設計出分層化、動態(tài)化的新型動態(tài)同意模式。最后，風險預防理論的協(xié)同。同意規(guī)則重新發(fā)揮其核心機制離不開系統(tǒng)化的機制更新，人臉識別信息的保護方式不單單靠同意規(guī)則，也難以僅僅依賴同意規(guī)則。面對人臉識別技術的專業(yè)性、不易覺察性的特征，必須借助信息處理者履行合規(guī)義務、采取技術手段進行風險防控，在場景化的信息處理中嵌入風險預防理論，在人臉識別信息的全生命周期評估信息風險，保證個人信息安全。

（三）同意規(guī)則在人臉識別信息保護中的設計思路

1.必要原則的先行檢驗。在收集階段嚴控對人臉識別信息的收集是必要且必須的。歐盟《一般數(shù)據(jù)保護條例》導言第39條指出，個人數(shù)據(jù)應當充分、相關且僅限于處理目的所需的必要數(shù)據(jù)?！秱€人信息保護法》第28條亦明確指出對生物識別信息的收集處理以充分的必要性為前提?！度四樧R別技術處理個人信息的司法解釋》第2條第8款認定違反“必要”情形收集處理人臉識別信息構成人格權益侵權。因此，比例原則要求信息處理者在適用人臉識別技術時必須充分考慮到人臉信息的安全，并證明人臉識別技術是實現(xiàn)信息利用目的所必需的。只有在處理目的不能通過其他合理方式實現(xiàn)的情形下才能進行處理。［52］因此，當人臉識別信息的收集并非實現(xiàn)信息處理目的的唯一方式或者最安全的方式時，這種技術的應用即與必要原則不符。例如，北京地鐵將試點刷臉安檢，引起人們對個人隱私的擔憂。有學者認為，該技術的應用需要考慮目的正當性和必要性，無論是北京地鐵還是相關管理部門都需更清楚地界定設立人臉識別通道的目的。①“北京地鐵又見刷臉安檢，引隱私泄露擔憂”，https：//www.sohu.com/a/512902924_161795，最后訪問日期：2022年1月8日。需要指出的是，盡管公私部門處理人臉識別信息的目的存在差異，但是這種獨有的身份標識符可能會混同公私服務的界限，導致個人授權權限使用的混亂。尤其人臉識別系統(tǒng)在公共場景中的應用往往突破“同意使用”原則，強制、過度授權［53］，因此，無論是公共部門還是私營企業(yè)在收集人臉識別信息時均需遵守必要原則，從初始源頭保障個人信息安全。例如，《個人信息保護法》第26條就規(guī)定，在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必需，并設置顯著的提示標識。

2.公私主體的分層同意。從現(xiàn)有立法的角度看，我國立法對人臉識別信息保護中的同意規(guī)則體現(xiàn)出嚴格規(guī)范的傾向。由于人臉識別信息不同于一般個人信息，人臉識別信息的處理應堅持更強的知情同意原則。［54］考慮到這個方面，在設定必要原則的同時，以同意規(guī)則作為人臉識別信息收集保護的第一道關卡必須設置，基于人臉識別信息的敏感性和高風險性，對同意規(guī)則的設計應該更加嚴格?！秱€人信息保護法》第13條將取得個人同意作為信息處理的合法性依據(jù)，第29條、第30條規(guī)定處理敏感個人信息應該取得信息主體的書面單獨同意?！缎畔踩夹g個人信息安全規(guī)范》第3.6條和第3.7條規(guī)定，對于個人敏感信息的收集，必須明確標識或突出顯示，并應征得個人的明示同意?！度四樧R別技術處理個人信息的司法解釋》第4條規(guī)定，存在強迫或變相強迫個人同意的情形，因違反意思自治原則而無效。

從法釋義學的角度看，同意的法律性質(zhì)有兩種觀點，一種表示知情，一種表示授權。第一種觀點認為，個人信息保護體系中的“同意”并非“授權”，而是信息處理者合法收集信息的合法性基礎，個人是否授權需要綜合判斷，［55］這實質(zhì)上是把規(guī)制的重點放在“充分告知”層面，將同意作為“告知”的必然結果，信息主體此時似乎并沒有其他選擇。第二種觀點認為，同意作為授權是意思自治原則在個人信息保護法中的具體體現(xiàn)，信息主體同意他人處理其個人信息，旨在踐行個人的行動自由和信息自決，實現(xiàn)的正是其所欲實現(xiàn)的法律效果。倘若認為相關法律效力并非直接來自當事人的同意，而是來自法律規(guī)定，則事實上削弱了同意作為意思表示可能具有的規(guī)范表達空間。［56］本文認為，從不同的角度考查個人信息所呈現(xiàn)的法益不同，公私領域中同意規(guī)則的法律性質(zhì)并不相同，適用形式也呈現(xiàn)差異。在私法領域，同意此時體現(xiàn)為一種初步授權，由于雙方在形式上是平等主體，鑒于人臉識別信息的高度敏感性，決定了對該類信息的財產(chǎn)保護路徑。首先，通過合同授權的格式合同中的弱勢地位，使信息主體對自身信息具有足夠的控制力度。其次，信息主體作為自身利益的最佳判斷者有權提供自己的人臉信息，故可以嘗試人臉識別信息的有償使用機制。［57］在對人臉信息進行脫敏（打碼、加密）后使個人信息具有可交易性，從而使人臉信息的利用并不會侵犯人格自由與人格尊嚴，類比名人明星等特殊主體對個人信息進行商業(yè)化利用的情景。在處理目的之外、轉讓情境中就需要個人的再次明確書面同意。同時，考量信息主體的理性人不足的適用困境，排除“推定同意、默示同意”的設置模式［58］，并將人臉識別信息的使用目的、方式、范圍詳細告知，保障個人在充分知情的前提下自愿作出同意的選擇。其次，在公共領域，同意的行為性質(zhì)體現(xiàn)為一種知情，這實際上是一種責任保護路徑。權利受法律的限制是權利必須付出的代價。它的正當根據(jù)是建構一種和平共處的權利秩序，化解多種利益之間的沖突和確保社會責任的承擔。［59］《個人信息保護法》第26條就規(guī)定對人臉識別信息的收集只能出于維護公共安全的目的。由于公共利益在必要性原則下優(yōu)先于個人利益，故對該情景的人臉識別信息的收集和處理并不需要設定明確、書面的同意標準，但是需要詳細告知人臉信息的使用目的、方式和范圍，確保個人知情。例如，在疫情防控之中，為防止個人在流動過程中被傳染，故在支付寶中錄入人臉識別信息進行身份驗證，便于國家疫情管理具備必要性和適當性的要求，屬于個人授權的例外情形。

3.持續(xù)控制的動態(tài)同意。由于人臉識別技術的持續(xù)分析給個人信息安全帶來持續(xù)未知的風險，嵌入風險預防理論對未知風險的預防成為必需。首先，設置自動化處理禁區(qū)。識別分析風險的來源與自動化算法的識別分析框架一致，因此，設置自動化的處理禁區(qū)為保護人臉信息的必要一環(huán)。歐洲理事會《有關個人數(shù)據(jù)自動化處理之個人保護公約》第6條就明確規(guī)定了禁止敏感個人信息進行自動化處理；歐盟《一般數(shù)據(jù)保護條例》第22條規(guī)定個人有權拒絕對其信息進行自動化分析或預測；我國《個人信息保護法》第24條規(guī)定了算法透明化的自動化決策標準，同時賦予個人的反自動化決策權。其次，風險評估貫穿全生命周期。從風險角度考查同意規(guī)則，更新在收集階段對人臉識別信息的授權效力是同意規(guī)則發(fā)揮功能的重要一步。在存儲、分析、利用等動態(tài)處理階段，同意規(guī)則應該呈現(xiàn)一種韌性和動態(tài)的靈活性。情景脈絡完整性理論注重在不同的情景中采取差異化的保護規(guī)則，因此在對人臉識別信息的收集遵守合規(guī)的前提下，對動態(tài)利用的人臉識別信息進行風險控制是對場景理論的具體實踐，再根據(jù)評估的結果對同意規(guī)則進行及時更新。至于風險評估的主體，可以設置第三方風險評估機構，值得注意的是，第三方主體并非唯一的評估機構，利益相關主體均應承擔相應的風險評估責任。最后，信息披露的持續(xù)加持。傳統(tǒng)的同意規(guī)則是一種概括同意，信息披露僅僅在收集階段才發(fā)生，由此后續(xù)信息處理者對人臉識別信息如何利用未可知，“再次同意”將再次失靈。對此需要持續(xù)對人臉信息的利用情形進行披露，彌補信息主體在信息處理中同意能力的缺失，使信息主體可以在信息對稱的前提下知曉信息的利用方式、范圍，并根據(jù)可能存在的提示風險作出理性決定。因此，同意并非概括同意，而是可以隨時根據(jù)信息披露的內(nèi)容和評估的可能風險隨時限制人臉識別信息的使用方式、使用目的、使用范圍等等，同時也包括個人對同意的撤回。

在數(shù)字社會，人臉識別技術的智能應用在給人們帶來便利的同時，該技術給個人帶來的信息風險和安全風險也隨之增強，由此以同意規(guī)則為核心構建的傳統(tǒng)個人信息保護體系開始失靈。從表象來看，這僅僅是技術應用下身份驗證機制的更新所引起的，但其根本原因在于數(shù)據(jù)技術對人臉識別信息的持續(xù)處理、對比和分析，導致人臉識別信息的屬性轉化、應用場景的復雜性、安全風險的持續(xù)性。因此，在數(shù)字社會對同意規(guī)則的重塑，應該秉持保護與利用、安全與效率兼顧的價值理念，深入人臉識別技術的具體應用場景，以必要原則為標準檢驗技術應用的合理性、建立分層同意的概括同意模式、構建持續(xù)的信息披露與分級同意的動態(tài)同意模式。由此，為人臉識別技術治理提供理論框架，保障個人信息安全，捍衛(wèi)數(shù)字人權，從而驅(qū)動數(shù)字經(jīng)濟的健康發(fā)展。