程昌春，楊振銳

(1.福建師范大學(xué)法學(xué)院，福建 福州 350108；2.福建師范大學(xué)馬克思主義學(xué)院，福建 福州 350108)

電子科學(xué)技術(shù)提升了信息處理主體收集、存儲(chǔ)、共享和處理圖像及信息的能力，人臉識(shí)別技術(shù)就是這類科技發(fā)展的最新產(chǎn)物。[1]人臉識(shí)別技術(shù)作為生物識(shí)別技術(shù)中的一種，能夠便捷地在眾多情形下認(rèn)證自然人身份，并逐步應(yīng)用于社會(huì)生活的各個(gè)領(lǐng)域，如安防、支付系統(tǒng)、交通、App個(gè)人身份綁定等。[2]人臉識(shí)別技術(shù)相較于傳統(tǒng)的自然人身份認(rèn)證方式，具有信息捕捉的便利性及信息比對(duì)的高效性等優(yōu)勢(shì)，在效率至上的社會(huì)環(huán)境中，人臉識(shí)別技術(shù)受到追捧，同時(shí)也促進(jìn)了對(duì)生物識(shí)別技術(shù)的研究。本文集中探討支付系統(tǒng)中人臉識(shí)別技術(shù)應(yīng)用的規(guī)制。支付系統(tǒng)的人臉識(shí)別技術(shù)不僅涉及個(gè)人的人臉信息收集，也與個(gè)人的財(cái)產(chǎn)安全密切相關(guān)。在社會(huì)管理效率提升的同時(shí)，也伴隨著數(shù)據(jù)被盜、個(gè)人信息被侵犯的風(fēng)險(xiǎn)。[2]

我國(guó)尚未制定專門的法律體系以保障生物識(shí)別技術(shù)涉及的自然人信息，市場(chǎng)對(duì)于生物識(shí)別技術(shù)的廣泛應(yīng)用誘發(fā)了一系列法律問(wèn)題，這就要求生物信息技術(shù)的信息處理主體應(yīng)當(dāng)建立商業(yè)自治規(guī)則，合理合法地保障自然人的生物信息安全。支付寶App在將生物識(shí)別技術(shù)應(yīng)用于支付系統(tǒng)時(shí)，率先制定了生物識(shí)別技術(shù)服務(wù)通用規(guī)則以保障自然人的個(gè)人信息權(quán)利。但該通用規(guī)則作為自然人使用支付寶人臉識(shí)別技術(shù)必須同意的前置條款，內(nèi)容過(guò)于粗糙，條款過(guò)于稀疏，難以起到真正的保護(hù)作用，應(yīng)當(dāng)逐步完善。當(dāng)然，除支付寶以外，其他的信息處理主體利用生物識(shí)別技術(shù)收集、使用、處理生物信息的情形也隨處可見，本文以支付寶生物識(shí)別技術(shù)為例，展開對(duì)類似生物識(shí)別技術(shù)通用規(guī)則的完善。

一、生物識(shí)別技術(shù)通用規(guī)則的應(yīng)用

生物識(shí)別技術(shù)在當(dāng)今社會(huì)的各領(lǐng)域得到廣泛應(yīng)用。以人臉識(shí)別技術(shù)為例，其屬于生物識(shí)別技術(shù)中的一種。2013年7月，芬蘭創(chuàng)業(yè)公司Uniqul推出了第一款刷臉支付系統(tǒng)，這是人臉識(shí)別技術(shù)應(yīng)用于支付領(lǐng)域的開端。[3]此后，英國(guó)、美國(guó)及日本等國(guó)家也開始推行人臉識(shí)別支付系統(tǒng)。中國(guó)也在生物識(shí)別技術(shù)的發(fā)展潮流中不斷深化對(duì)人臉識(shí)別技術(shù)的研究，并將其應(yīng)用于多個(gè)領(lǐng)域，而不僅僅局限于支付系統(tǒng)。

(一)支付寶生物識(shí)別技術(shù)

支付寶生物識(shí)別技術(shù)包含指紋支付和手機(jī)刷臉支付兩種方式，以支付寶刷臉支付為例，延展到對(duì)個(gè)人生物信息的保障與規(guī)制。2015年，支付寶在德國(guó)漢諾威展上對(duì)刷臉支付技術(shù)進(jìn)行了相關(guān)展示之后，支付寶不斷擴(kuò)展刷臉支付的應(yīng)用領(lǐng)域。如2017年，支付寶在國(guó)內(nèi)進(jìn)行首次商用試點(diǎn)，在肯德基的概念餐廳KPRO上線刷臉支付，后續(xù)又?jǐn)U展到商場(chǎng)、超市、餐廳及品牌零售等多種場(chǎng)景。支付寶主要采取三維人臉識(shí)別技術(shù)，為提高活體檢測(cè)的正確率，還采取硬件系統(tǒng)和軟件系統(tǒng)相結(jié)合的方式來(lái)辨別面部信息采集的真實(shí)性，避免照片、視頻合成及其他軟件虛擬面部信息蒙混過(guò)關(guān)。

(二)生物識(shí)別技術(shù)服務(wù)通用規(guī)則

生物識(shí)別服務(wù)通用規(guī)則是自然人使用人臉識(shí)別技術(shù)前必須同意的條款，其由信息處理主體一方單獨(dú)制定，具有格式條款的性質(zhì)。生物識(shí)別服務(wù)通用規(guī)則是指為重復(fù)使用而由支付平臺(tái)經(jīng)營(yíng)者一方預(yù)先擬定，并在締結(jié)合同時(shí)向相對(duì)人提出的條款，具有事先擬定、重復(fù)使用、不可協(xié)商以及定型化的法律特征。[4]格式條款具有典型的不可協(xié)商性，限制了信息主體與信息處理主體平等對(duì)話的機(jī)會(huì)。[5]以支付寶的《生物識(shí)別服務(wù)通用規(guī)則》(以下簡(jiǎn)稱《通用規(guī)則》)為例，傳統(tǒng)的消費(fèi)合同需要交易雙方協(xié)商一致產(chǎn)生，但支付寶的《通用規(guī)則》并未經(jīng)過(guò)雙方協(xié)商一致，而是由支付寶單方面制定。用戶在是否使用刷臉支付方式時(shí)，只有拒絕或接受條款兩種選擇，沒有與支付寶平臺(tái)協(xié)商的余地，如若拒絕接受條款，則無(wú)法使用刷臉支付的功能。

二、生物識(shí)別技術(shù)服務(wù)通用規(guī)則的意義

(一)生物識(shí)別技術(shù)服務(wù)通用規(guī)則具有時(shí)代性

生物識(shí)別技術(shù)服務(wù)通用規(guī)則是信息時(shí)代的產(chǎn)物，具有鮮明的時(shí)代性。信息時(shí)代的來(lái)臨，社會(huì)對(duì)生活的效率和便捷性要求逐步提高，生物識(shí)別技術(shù)的普及和廣泛應(yīng)用就是對(duì)時(shí)代需求的回應(yīng)。生物識(shí)別技術(shù)是以搜集自然人生物信息為技術(shù)核心，在運(yùn)用過(guò)程中能夠快速核驗(yàn)自然身份的科技手段。[6]由于自然人生物信息具備不可逆的特征，因此，要求生物信息處理主體應(yīng)當(dāng)嚴(yán)格運(yùn)用生物識(shí)別技術(shù)，妥善使用自然人生物信息。生物識(shí)別技術(shù)通用規(guī)則在生物識(shí)別技術(shù)飛速發(fā)展的環(huán)境下應(yīng)運(yùn)而生，這是生物信息處理主體對(duì)自我行為的約束方式，也是保障生物信息主體信息安全的途徑，更是響應(yīng)科技信息時(shí)代號(hào)召的產(chǎn)物。

(二)生物識(shí)別技術(shù)服務(wù)通用規(guī)則具有實(shí)踐性

生物識(shí)別技術(shù)服務(wù)通用規(guī)則是生物信息處理主體與生物信息主體簽訂的合同，對(duì)雙方都具有法律約束力，具有實(shí)踐性。在個(gè)人信息法律保障制度尚未健全的情況下，生物識(shí)別技術(shù)的飛速發(fā)展容易誘發(fā)一系列問(wèn)題，不利于保障信息主體的信息安全。生物識(shí)別技術(shù)服務(wù)通用規(guī)則的廣泛應(yīng)用有助于提高信息處理的責(zé)任意識(shí)和風(fēng)險(xiǎn)意識(shí)，有助于信息處理主體對(duì)信息主體盡到更加嚴(yán)格的保護(hù)義務(wù)。同時(shí)，當(dāng)信息安全受到侵犯時(shí)，信息主體也能依據(jù)信息服務(wù)通用規(guī)則尋求法律救濟(jì)。此類通用規(guī)則能夠被切實(shí)地運(yùn)用到生活中。

(三)支付寶生物識(shí)別服務(wù)通用規(guī)則具有示范性

支付寶《通用規(guī)則》規(guī)定了對(duì)個(gè)人信息使用的基本規(guī)則，保障了個(gè)人的知情同意權(quán)，確定了可能使用支付寶平臺(tái)收集人臉信息的基本場(chǎng)景。越來(lái)越多的實(shí)地場(chǎng)景為了實(shí)現(xiàn)無(wú)接觸、無(wú)介質(zhì)化的智慧服務(wù)，紛紛將人臉識(shí)別技術(shù)嵌入門禁、借閱、物品存放、遠(yuǎn)程預(yù)約以及內(nèi)部考勤和管理系統(tǒng)。[7]《通用規(guī)則》是一種開端和向?qū)?，引?dǎo)其他信息處理主體在收集、使用和處理類似于人臉信息這種敏感信息時(shí)，應(yīng)當(dāng)在保障信息主體知情同意權(quán)的情況下，采取書面協(xié)議等形式，確保生物識(shí)別技術(shù)的合法使用?！锻ㄓ靡?guī)則》可以保障生物識(shí)別技術(shù)的安全使用，不斷完善的《通用規(guī)則》還增加了信息處理主體的安保義務(wù)，保障合理、合法的收集、使用和處理個(gè)人的生物信息，不得濫用、任意販賣、刪除個(gè)人信息。支付寶《通用規(guī)則》的制定和完善具有示范作用，其他收集、利用、處理個(gè)人生物信息的主體也應(yīng)當(dāng)制定類似條款，以保護(hù)個(gè)人生物識(shí)別信息的安全使用。

三、生物識(shí)別技術(shù)通用規(guī)則的不足

(一)信息主體難以參與規(guī)則制定

《通用規(guī)則》是信息處理主體與信息相對(duì)人之間訂立的合同，由支付寶平臺(tái)一方單獨(dú)制定，信息主體若想使用刷臉支付或指紋支付的功能，只能同意合同條款的內(nèi)容。該類型的通則限制了信息主體就生物識(shí)別技術(shù)規(guī)則與平臺(tái)進(jìn)行平等協(xié)商的機(jī)會(huì)。在支付寶《通用規(guī)則》的開篇寫明，如若生物信息被采集主體對(duì)規(guī)則有疑問(wèn)，可以與支付寶平臺(tái)即信息處理平臺(tái)聯(lián)系，信息處理主體可以提供說(shuō)明和解釋。此處雖然為使用者提供了與支付寶平臺(tái)溝通的可能性，但僅表達(dá)了單方面的解釋和說(shuō)明義務(wù)，平臺(tái)使用者依舊不能參與條款的制定與條款的更改，同時(shí)也沒有提供咨詢的具體方式，增加了使用者與平臺(tái)協(xié)商的難度。

(二)支付寶生物識(shí)別技術(shù)服務(wù)通用規(guī)則條款的欠缺

第一，《通用規(guī)則》支付寶刷臉驗(yàn)證服務(wù)1.1寫明，為了便于信息主體在支付寶客戶端及不同商家更好地使用刷臉支付功能，支付寶采取1對(duì)1人臉信息比對(duì)方式來(lái)驗(yàn)證信息主體的身份信息，主體在使用支付寶刷臉支付功能的過(guò)程中，需要同意支付寶對(duì)人臉信息進(jìn)行必要的使用和處理。此條款體現(xiàn)了知情同意原則，保障了人臉信息主體的知情權(quán)和同意權(quán)，同時(shí)也說(shuō)明了對(duì)人臉信息的使用方式。但此條款及后文均沒有清晰地闡釋對(duì)人臉識(shí)別收集的最終處理和歸屬路徑。

第二，《通用規(guī)則》支付寶刷臉驗(yàn)證服務(wù)1.2、1.3、1.4、1.5、1.6、1.7等條款中，細(xì)化了支付寶平臺(tái)可能使用人臉信息的具體場(chǎng)景，但對(duì)具體的操作描述過(guò)于模糊。例如，支付寶驗(yàn)證服務(wù)規(guī)則1.4中只說(shuō)明在必要時(shí)對(duì)人臉信息與有法律法規(guī)允許或政府機(jī)關(guān)授權(quán)的機(jī)構(gòu)保存的人臉信息進(jìn)行比對(duì)驗(yàn)證，并沒有對(duì)其中的必要性進(jìn)行界定，必要性的外延過(guò)于模糊，不利于人臉信息安全保護(hù)。

第三，《通用規(guī)則》支付寶刷臉驗(yàn)證服務(wù)1.8規(guī)定，努力在現(xiàn)有技術(shù)能力基礎(chǔ)之上保障刷臉驗(yàn)證服務(wù)有效、正常運(yùn)行，并將盡力提升刷臉驗(yàn)證身份結(jié)果的準(zhǔn)確性等內(nèi)容。該條款說(shuō)明刷臉技術(shù)水平還不夠完善，在無(wú)法驗(yàn)證時(shí)可以選擇重新驗(yàn)證或者聯(lián)系客服，在支付寶平臺(tái)認(rèn)為可能存在風(fēng)險(xiǎn)時(shí)可以暫停提供刷臉驗(yàn)證服務(wù)，但關(guān)于可能存在風(fēng)險(xiǎn)并沒有具體的界定。在人臉信息主體沒有參與條款制定的前提下，該通用服務(wù)規(guī)則對(duì)人臉信息的保護(hù)力度仍需不斷提高。

第四，《通用規(guī)則》還規(guī)定了支付寶平臺(tái)的生物識(shí)別技術(shù)與手機(jī)或其他設(shè)備廠商提供的生物識(shí)別功能的關(guān)系，警示生物識(shí)別信息主體對(duì)自己信息須加強(qiáng)保護(hù)、提高關(guān)注度。但條款未就相關(guān)設(shè)備與支付寶的生物識(shí)別技術(shù)作出清晰的界定和劃分，對(duì)于設(shè)備與支付寶平臺(tái)的生物識(shí)別信息也沒有給出具體的處理路徑。

(三)生物識(shí)別技術(shù)服務(wù)通用規(guī)則法律規(guī)制不足

1.生物識(shí)別技術(shù)運(yùn)用的國(guó)外立法保護(hù)

歐盟已于2016年4月14日通過(guò)的《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulations, GDPR)，并于2018年5月25日開始強(qiáng)制執(zhí)行。GDPR主要適用于歐盟組織內(nèi)部有關(guān)組織對(duì)個(gè)人信息的收集、利用、儲(chǔ)存和處理。其第4條第11款主要闡釋了數(shù)據(jù)處理者搜集和處理個(gè)人數(shù)據(jù)應(yīng)當(dāng)取得數(shù)據(jù)主體的同意，這是保護(hù)個(gè)人數(shù)據(jù)的前提。荷蘭《個(gè)人數(shù)據(jù)保護(hù)法》(Personal Data Protection Act，DPA)也規(guī)定，處理個(gè)人數(shù)據(jù)必須取得數(shù)據(jù)主體的同意。[8]歐盟議會(huì)批準(zhǔn)通過(guò)《統(tǒng)一數(shù)據(jù)保護(hù)條例》中對(duì)合法性原則的規(guī)定，并立即生效。[9]《美國(guó)聯(lián)邦貿(mào)易委員會(huì)正當(dāng)信息通則》對(duì)選擇或同意原則予以明確規(guī)定，消費(fèi)者擁有兩種類型的選擇或同意機(jī)制可供選擇。[10]國(guó)際社會(huì)將同意視作信息處理活動(dòng)的合法性原則，同時(shí)也肯定在信息處理活動(dòng)中還存在其他合法性基礎(chǔ)。[11]GDPR除規(guī)定數(shù)據(jù)主體的個(gè)人知情同意權(quán)之外，還規(guī)定了數(shù)據(jù)主體訪問(wèn)請(qǐng)求、拒絕權(quán)、修正權(quán)、刪除權(quán)、數(shù)據(jù)便攜權(quán)等保護(hù)數(shù)據(jù)主體數(shù)據(jù)安全的權(quán)利，以更加完整地保護(hù)數(shù)據(jù)主體的數(shù)據(jù)安全。

2.生物識(shí)別技術(shù)運(yùn)用的國(guó)內(nèi)立法不足

目前，我國(guó)《民法典》人格權(quán)編和《網(wǎng)絡(luò)安全法》均未區(qū)分敏感信息與一般信息，生物識(shí)別技術(shù)下的人臉信息只能作為一般個(gè)人信息進(jìn)行保護(hù)?！睹穹ǖ洹啡烁駲?quán)編1 034條第2款將個(gè)人信息與隱私權(quán)共同規(guī)定在一章中，不利于明確包含面部特征信息在內(nèi)的生物識(shí)別信息的特殊保護(hù)地位。[12]2020年10月21日，《個(gè)人信息保護(hù)草案》公布并公開征求意見，該草案是我國(guó)第一部針對(duì)個(gè)人信息進(jìn)行系統(tǒng)保護(hù)的法律(草案)?！秱€(gè)人信息保護(hù)草案》總則第3條規(guī)定了該法的適用范圍和適用對(duì)象，第4條對(duì)個(gè)人信息的內(nèi)涵及個(gè)人信息的處理進(jìn)行了清晰的界定；第2章規(guī)定了處理個(gè)人信息的規(guī)則，其中包含知情同意原則等一般規(guī)定，種族、民族、宗教信仰、個(gè)人生物特征等敏感個(gè)人信息的處理規(guī)則以及國(guó)家機(jī)關(guān)處理個(gè)人信息的特別規(guī)定。2020年8月20日，第十三屆全國(guó)人大常委會(huì)第十三次會(huì)議表決通過(guò)《個(gè)人信息保護(hù)法》，并從2021 年11月1日開始施行。該法不僅涵蓋了前述草案對(duì)個(gè)人生物信息保護(hù)的內(nèi)容，還強(qiáng)調(diào)不得過(guò)度收集個(gè)人信息，不得非法買賣、提供或者公開他人的個(gè)人信息，在公共場(chǎng)所安裝圖像采集設(shè)備應(yīng)設(shè)置提示標(biāo)等?！秱€(gè)人信息保護(hù)法》的出臺(tái)，強(qiáng)化了對(duì)個(gè)人生物信息的實(shí)體保護(hù)，但就生物識(shí)別技術(shù)服務(wù)通用規(guī)則對(duì)生物識(shí)別信息使用、的規(guī)制。

(四)生物識(shí)別服務(wù)通用規(guī)則的司法救濟(jì)不足

《個(gè)人信息保護(hù)法》的出臺(tái)，落實(shí)了對(duì)個(gè)人生物信息的實(shí)體保護(hù)，強(qiáng)化了個(gè)人信息收集時(shí)信息主體的知情同意原則，并強(qiáng)調(diào)不得過(guò)度收集個(gè)人信息。此法注重對(duì)個(gè)人信息的實(shí)體保護(hù)，為生物識(shí)別服務(wù)通用規(guī)則的條款制定提供法律指引，導(dǎo)致個(gè)人信息受到侵犯時(shí)生物識(shí)別服務(wù)通用規(guī)則往往作為使用某項(xiàng)服務(wù)必須同意的前置規(guī)則，這就要求在不斷強(qiáng)化個(gè)人信息保護(hù)法的時(shí)代，不僅應(yīng)當(dāng)將《個(gè)人信息保護(hù)法》落到實(shí)處，也應(yīng)當(dāng)強(qiáng)化司法救濟(jì)，做到全方位、寬領(lǐng)域地保護(hù)個(gè)人生物信息安全。

四、生物識(shí)別技術(shù)服務(wù)通用規(guī)則的完善

(一)提高對(duì)生物識(shí)別信息的保護(hù)

目前，生物識(shí)別個(gè)人信息在我國(guó)作為一般信息予以保護(hù)，不同于歐美國(guó)家將其明確界定為個(gè)人敏感信息。我國(guó)《民法典》將其與個(gè)人信息規(guī)定放在一起，可知我國(guó)的生物識(shí)別生物信息只能適用一般個(gè)人信息的保護(hù)規(guī)則。而無(wú)論是歐盟的《通用數(shù)據(jù)保護(hù)條例》，還是美國(guó)各州的相關(guān)法案，對(duì)于個(gè)人生物識(shí)別信息的共同規(guī)則是“禁止處理、明示同意、法定必要”[13]。禁止處理，指原則上禁止信息主體以外的他人利用生物識(shí)別技術(shù)識(shí)別及處理個(gè)人生物識(shí)別信息；明示同意，指經(jīng)生物信息主體明確以書面形式表示同意，信息處理主體可在特定的范圍內(nèi)處理此類信息，即在明示同意的范圍內(nèi)處理生物信息；法定必要，即法律規(guī)定的信息處理主體在特定條件下可以處理信息主體的信息而無(wú)須經(jīng)生物識(shí)別信息主體同意，通常包括社會(huì)公共利益等條件。上述三大規(guī)則，是以禁止處理為原則，以明示同意、法定必要為例外。美國(guó)伊利諾伊州的《生物識(shí)別信息隱私法案》還賦予生物識(shí)別信息主體以知情權(quán)、同意權(quán)、信息自決權(quán)三大權(quán)利，以及三大禁止規(guī)范即：禁止未經(jīng)生物識(shí)別信息主體同意而收集、儲(chǔ)存、使用、披露或以其他方式傳播生物信息主體的生物識(shí)別信息；禁止購(gòu)買、通過(guò)貿(mào)易接收、出售、租賃、交易個(gè)人生物識(shí)別信息；禁止信息主體的生物識(shí)別信息中獲取利益。[14]

信息處理主體的生物識(shí)別服務(wù)通用規(guī)則可以在借鑒歐美法律規(guī)定基礎(chǔ)上，細(xì)化對(duì)規(guī)則的制定和完善，在保證知情同意原則的前提下，保障信息主體對(duì)自己生物信息的收集、使用以及最終處理的方式，完善規(guī)則的內(nèi)容。同時(shí)，信息處理主體應(yīng)提升信息保護(hù)意識(shí)。在人臉識(shí)別的過(guò)程中，人臉信息相當(dāng)于傳統(tǒng)形式下的密碼，一旦泄露便會(huì)對(duì)信息主體的人身安全及財(cái)產(chǎn)安全造成威脅。因此，需要明確對(duì)生物信息采集的過(guò)程、使用與最終處理規(guī)則，不僅要防止人臉信息被泄露，更要防止惡意擴(kuò)張生物識(shí)別信息的使用目的。

(二)確保與現(xiàn)行法律有效銜接

從支付寶《通用規(guī)則》的內(nèi)容可以看出，在制定通用規(guī)則的過(guò)程中，信息處理主體未盡到充分保障生物信息安全的義務(wù)。就人臉識(shí)別技術(shù)而言，無(wú)論何種個(gè)人信息處理主體在制定和執(zhí)行《通用規(guī)則》過(guò)程中，均應(yīng)當(dāng)充分保障生物信息安全，以防止損害信息主體的人身和財(cái)產(chǎn)安全。信息處理主體在制定規(guī)則在法律規(guī)制進(jìn)程中，應(yīng)當(dāng)明確可采集自然人生物信息的應(yīng)用場(chǎng)景、使用范圍、保管責(zé)任、違規(guī)處罰標(biāo)準(zhǔn)等，避免商家隨意越界采集、使用個(gè)人信息，有效規(guī)制商家對(duì)生物信息的合理保障，敦促商家妥善保管用戶個(gè)人生物信息，并對(duì)信息泄露行為有效追責(zé)。[15]據(jù)《個(gè)人信息保護(hù)法》第四條和第五條規(guī)定可知，人臉信息的處理包括人臉信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等內(nèi)容。同時(shí)，信息收集主體在處理人臉信息時(shí)應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠(chéng)實(shí)信用原則。那么，信息處理主體所制定的生物識(shí)別技術(shù)服務(wù)通用規(guī)則的條款應(yīng)當(dāng)嚴(yán)格遵循《個(gè)人信息保護(hù)法》的新規(guī)定，做到在《個(gè)人信息保護(hù)法》的基本內(nèi)容上有效規(guī)制生物識(shí)別技術(shù)服務(wù)通用規(guī)則的內(nèi)容，對(duì)人臉信息所涉及的各個(gè)環(huán)節(jié)和可能性予以明晰，保障人臉信息的流動(dòng)及歸屬合法、正當(dāng)。

(三)細(xì)化生物識(shí)別技術(shù)服務(wù)通用規(guī)則的內(nèi)容

目前，同類型的生物識(shí)別服務(wù)通用規(guī)則都比較簡(jiǎn)略，條款規(guī)定也模棱兩可，難以凸顯對(duì)生物信息主體信息安全的保護(hù)。從《個(gè)人信息保護(hù)》的條款內(nèi)容可知，人臉識(shí)別技術(shù)收集的人臉信息屬于個(gè)人敏感信息。個(gè)人敏感信息事關(guān)信息主體多方面的利益，處理主體應(yīng)當(dāng)更加謹(jǐn)慎，必須在現(xiàn)行法的基礎(chǔ)上，廣泛借鑒別國(guó)法律與相應(yīng)法律條款，細(xì)化生物識(shí)別服務(wù)通用規(guī)則，完善人臉識(shí)別應(yīng)用的調(diào)整規(guī)則、健全行業(yè)自律機(jī)制、勾勒企業(yè)合規(guī)方案，大幅降低侵權(quán)風(fēng)險(xiǎn)，有序推動(dòng)產(chǎn)業(yè)發(fā)展。[16]當(dāng)然，不同的信息處理主體在收集、使用和處理生物信息時(shí)的技術(shù)要求和使用程度各不相同，應(yīng)在充分考慮自身技術(shù)條件、使用程度的基礎(chǔ)上，制定最有利于保護(hù)生物信息安全的生物通用規(guī)則，以達(dá)到維護(hù)社會(huì)信息安全的目的。

(四)強(qiáng)化生物識(shí)別服務(wù)通用規(guī)則的司法救濟(jì)

《通用規(guī)則》作為個(gè)人信息處理主體制定的條款，現(xiàn)有內(nèi)容的模糊性會(huì)增強(qiáng)信息的不安全性，而《通用規(guī)則》中的法律責(zé)任劃分也尚待明確，即使是在個(gè)人信息受損的情形下，也難以獲得足夠的證據(jù)支持，尋求司法救濟(jì)。雖然《個(gè)人信息保護(hù)法》第60條規(guī)定了國(guó)家機(jī)關(guān)對(duì)個(gè)人信息的保護(hù)和監(jiān)督義務(wù)，且《個(gè)人信息保護(hù)法》第70條也規(guī)定眾多個(gè)人信息遭受信息處理主體侵害時(shí)，檢察院、法定消費(fèi)者組織以及國(guó)家網(wǎng)信辦可以依法提請(qǐng)?jiān)V訟，但在實(shí)踐中由于《通用規(guī)則》的事前規(guī)避性會(huì)增大原告的舉證難度，受到損害的個(gè)人信息主體也難以依據(jù)《通用規(guī)則》的條款獲得法院支持。根據(jù)前文對(duì)支付寶《通用規(guī)則》條款的剖析，可以發(fā)現(xiàn)《通用規(guī)則》的內(nèi)容本身沒有對(duì)雙方法律責(zé)任的劃分。另外，在此基礎(chǔ)上查詢了其他日常通用App的通用規(guī)則，事實(shí)上各類App都較少涉及個(gè)人信息受損后的司法救濟(jì)指引和法律責(zé)任劃分。那么，在《個(gè)人信息保護(hù)法》出臺(tái)的大背景下，如何強(qiáng)化個(gè)人信息保護(hù)的司法救濟(jì)及通用規(guī)則中的法律責(zé)任劃分，不僅是個(gè)人信息處理主體應(yīng)當(dāng)予以完善的內(nèi)容，也是國(guó)家司法機(jī)關(guān)在訴訟過(guò)程中的證據(jù)認(rèn)定環(huán)節(jié)應(yīng)當(dāng)予以考量的要點(diǎn)。

支付寶《生物識(shí)別技術(shù)通用規(guī)則》只是人臉識(shí)別技術(shù)應(yīng)用規(guī)范的一個(gè)探索樣本，其他類似主體應(yīng)在現(xiàn)有基礎(chǔ)上遵循法律和社會(huì)的要求，不斷完善規(guī)則內(nèi)容；已經(jīng)收集自然人生物信息但尚未制定相關(guān)規(guī)則的企業(yè)、單位等信息處理主體，應(yīng)當(dāng)盡快制定生物識(shí)別保護(hù)規(guī)則。在不斷完善法律強(qiáng)制力保障的前提下，繼續(xù)加強(qiáng)和完善信息處理主體的保障義務(wù)，提高生物信息主體的自我保護(hù)意識(shí)，為信息處理主體和信息主體提供正確的法律指引，確保生物識(shí)別技術(shù)信息處理的安全應(yīng)用。