王 東，李輝慧

（新疆財經(jīng)大學，新疆 烏魯木齊 830012）

一、問題的提出

人臉識別是在數(shù)字經(jīng)濟發(fā)展中出現(xiàn)的一種全新技術，在信息社會，被廣泛應用于交通出行、智慧社區(qū)、網(wǎng)上銀行、天網(wǎng)追逃犯罪嫌疑人等領域，為開展社會治理和便利居民生活帶來了極大的技術化效能。例如，在2022 年北京冬奧會上，基于人臉識別技術的智慧閘機將技術與防疫標準緊密結(jié)合，既能提高識別運動員身份信息的準確度，又能有效減少交叉感染風險①參見《人臉識別+測溫 從賽場黑科技看天翼云AI技術》，https：//m.gmw.cn/baijia/2022-02/23/35539513.html。。為提升疫情防控的精準性，上海市公惠醫(yī)院安裝了人臉識別測溫閘機，通過人臉識別技術系統(tǒng)自動篩查進入院區(qū)病患家屬的健康碼，同時完成測溫，兩者均合格后方可入院，極大地提高了入院效率，并可在必要時方便管理人員進行后期追蹤②參見《探天下人臉識別測溫閘機為上海市公惠醫(yī)院加固防疫關卡，保障人員安全》，https：//www.sohu.com/a/530557473_120130513。。綜合來看，人臉識別利用技術優(yōu)勢廣泛應用于社會綜合治理和突發(fā)事件應對，極大地提高了服務和管理效率，實現(xiàn)了真正意義上的智慧化、數(shù)字化服務和管理。但不可忽略的是，人臉識別技術的不當使用也會對個人信息保護帶來嚴峻挑戰(zhàn)，造成個人信息保護的現(xiàn)實風險。

對人臉識別技術的規(guī)制以及對人臉信息保護的研究是當前法學領域的研究熱點，研究主要集中在以下幾個方面：一是對人臉識別技術應用特點的研究。學者們對于人臉識別技術實踐應用特點的歸納，并無較大分歧，大都認為人臉識別技術是以人臉信息特征作為身份識別和驗證的一種技術，具有無接觸性、易采集性、可識別性、唯一性等特點。邢會強［1］認為人臉的獨特性、易采集性、不可匿名性和不可更改性決定了人臉識別技術的復雜性；楊復衛(wèi)［2］認為人臉識別技術是以面部特征、數(shù)字信息為基礎的一種生物識別技術，具有自然性、非接觸性。二是對人臉識別技術應用風險的研究。此類研究主要集中于人臉識別技術對現(xiàn)有社會價值和法律秩序的沖擊，涉及對個人隱私權(quán)、肖像權(quán)、財產(chǎn)安全、公共安全等方面的威脅。文銘［3］認為人臉識別技術具有非接觸性特點，便于遠程采集公民信息，進而引發(fā)個人數(shù)據(jù)泄露甚至隱私遭受侵犯的風險；王鑫媛［4］認為人臉識別技術在推廣使用中易陷入唯數(shù)據(jù)論的困境，產(chǎn)生技術倫理風險和社會信任危機；孫道銳［5］認為一旦人臉識別技術被濫用，其異化的結(jié)果將使個人、社會、國家遭受不同程度的侵害；郭春鎮(zhèn)［6］認為不規(guī)范使用人臉識別技術可能貶損人的主體性和尊嚴。三是對人臉識別技術的規(guī)制建議研究。邢會強［1］運用法經(jīng)濟學原理對治理人臉識別風險進行了成本收益預判，認為應具體問題具體分析，避免“一刀切”；周光權(quán)［7］統(tǒng)籌民法典和個人信息保護法的立場，認為應嚴格依照犯罪構(gòu)成要件判斷信息違法行為是否構(gòu)成犯罪；王利明［8］認為對于人臉識別生物信息，除主要按照法定規(guī)范進行判別外，還有必要根據(jù)不同場景遵循特殊的規(guī)則。

通過文獻分析可以發(fā)現(xiàn)：一方面，關于人臉識別技術及其濫用帶來的風險已然成為學界關注的焦點，學者們分析了人臉識別技術的本質(zhì)、技術濫用而導致的公共安全問題，以及個人權(quán)益及財產(chǎn)安全如何保障等問題，為進一步探索人臉識別技術中信息保護的法治化路徑奠定了基礎。另一方面，當前研究主要從理論層面討論對人臉識別技術的規(guī)制方式，實踐中相關法律法規(guī)落地實施后未充分發(fā)揮“重預防、兼懲治”的關鍵作用，故濫用人臉識別技術的侵權(quán)事件仍頻繁發(fā)生。因此，我們需要進一步思考，相關法律法規(guī)頒布實施后，人臉識別技術引發(fā)的侵權(quán)事件依然頻發(fā)的內(nèi)在原因是什么，以及應該如何拓展平衡技術發(fā)展與人臉信息（個人信息）權(quán)利保護之間關系的法治化路徑?；谝陨峡紤]，本文從梳理我國現(xiàn)有人臉信息保護的法律制度出發(fā)，分析人臉信息保護法律適用層面的不足，通過分析技術缺陷和濫用行為對人臉信息保護帶來的風險，歸納總結(jié)出當前人臉信息法律保護中存在的現(xiàn)實難題，以期能夠提出更有針對性的法律制度優(yōu)化思路。

二、我國關于人臉信息保護的法律制度

當前我國并未對人臉信息保護進行專門立法，相關法律規(guī)定分散于《中華人民共和國憲法》、《中華人民共和國民法典》、《中華人民共和國個人信息保護法》、《中華人民共和國刑法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國網(wǎng)絡安全法》等法律法規(guī)中。截至目前，僅有《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規(guī)定》（以下簡稱《人臉識別技術適法規(guī)定》）可被視為我國現(xiàn)時唯一的專門針對人臉識別技術進行規(guī)制的法律文件。在未有專門法的情況下，以上法律共同構(gòu)成了當前我國規(guī)范人臉識別技術與人臉信息處理的主要法律框架，因而有必要梳理相關立法條文，厘清人臉信息保護的法理基礎。

（一）《中華人民共和國憲法》將人臉信息與人格尊嚴緊密聯(lián)系在一起

憲法作為規(guī)范公權(quán)力和保障私權(quán)利的基石，從“人權(quán)”、“人格尊嚴”條款引申出對人臉信息保護法律制度的價值基礎和基本原則，從而明確對人臉信息保護的憲法基礎?！皞€人信息受保護權(quán)的根本目標，其所保護的并非信息主體對個人信息占有、使用、收益、處分，而是個人在信息處理過程中的主體尊嚴”［9］。在當前人臉識別技術廣泛被運用的“刷臉”時代，公民的人格尊嚴面臨著前所未有的被侵害風險。在許多公共場所，如居民小區(qū)、機場、火車站、酒店等，以保障個人安全或場所公共安全為由利用人臉識別技術任意獲取個人人臉信息的現(xiàn)象并不少見，公民只要具有進入該公共場所的現(xiàn)實需求就不得不錄入人臉信息并接受識別，以此獲得進出通行的許可。從某種意義上說，這種基于人臉識別后才被授予通行權(quán)利，其行為隱藏的是認為公民的人臉信息并不屬于公民基本人格尊嚴范疇的邏輯（因此隨意采集、使用并不造成對人格尊嚴的損害）。基于這種邏輯的人臉識別技術在現(xiàn)實中的推廣，一方面使得公民對人臉識別的要求不得不配合，另一方面或?qū)⑹构駥Α安凰⒛槺悴坏眠M入”這一行為邏輯的潛在意思產(chǎn)生進一步的疑問，即為了公共安全的需要而要求對進入特定領域的公民強制進行人臉信息識別是不是隱含著公共安全的保衛(wèi)者把每個公民都當成潛在的違法嫌疑人對待的意思呢？一旦公民拒絕刷臉便會被限制權(quán)利（如拒絕錄入人臉信息而導致無法刷臉通過小區(qū)門禁或無法入住酒店等），這種限制權(quán)利的做法必然會使其感到人格尊嚴受到“冒犯”。人臉識別技術在公共場所的廣泛使用可在一定程度上反映出國家對于公共安全的強烈責任感。從保障公民基本權(quán)利的底線邏輯出發(fā)，可以清晰地看出，《中華人民共和國憲法》第三十三條、第三十八條所確立的“國家尊重和保障人權(quán)”、“公民的人格尊嚴不受侵犯”的基本原則應被認定為對人臉信息進行保護的憲法基礎①《中華人民共和國憲法》第三十三條規(guī)定“國家尊重和保障人權(quán)”，第三十八條規(guī)定“中華人民共和國公民的人格尊嚴不受侵犯。禁止用任何方法對公民進行侮辱、誹謗和誣告陷害”。。“人格尊嚴”蘊含在人權(quán)保障體系并體現(xiàn)了其基礎性價值，從外延范圍來看，《中華人民共和國憲法》第三十八條“人格尊嚴”的概念外延不僅包括諸如名稱、肖像等具體權(quán)利，還包括公民所能感知的所有關乎個人尊嚴的權(quán)利。從規(guī)范他者行為的角度而言，憲法上的“人格尊嚴”是一種“公民作為具有獨立意志的主體享有的得到尊重的權(quán)利，包括但不限于不受侮辱、誹謗和誣告陷害的人格權(quán)”［10］，其可歸屬為憲法上的一般人格權(quán)，因此也可將人臉信息受保護視為一般人格權(quán)內(nèi)容的個人自我決定權(quán)之產(chǎn)物。人的尊嚴是個人信息保護的最終價值依歸，一般人格權(quán)是其具體權(quán)利基礎。作為個人生物性信息具體代表的人臉信息，承載著公民的人格利益，與公民人格尊嚴密不可分。

（二）《中華人民共和國民法典》明確了人臉信息法律保護的一般性原則

除了關乎人格尊嚴，人臉信息還是公民在現(xiàn)代信息社會享有的一項重要人身權(quán)利。人臉信息在《中華人民共和國民法典》中被置于“個人信息權(quán)利束”進行保護，“從權(quán)利性質(zhì)看，個人信息權(quán)利束是國家履行積極保護義務、通過制度性保障對個人進行賦權(quán)的結(jié)果，本質(zhì)是國家在‘保護法’理念下賦予個人的保護手段和工具”［11］?！吨腥A人民共和國民法典》第一百一十一條將人臉信息納入個人信息項進行保護，規(guī)定“自然人的個人信息受法律保護。任何組織或者個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息”，對自然人的個人信息受法律保護和其他民事主體對自然人個人信息保護的義務作出了明確規(guī)定。第一千零三十四條至一千零三十九條則在第一百一十一條這一原則性規(guī)定的基礎上對人臉信息保護的一般原則作出規(guī)定，從而為《中華人民共和國個人信息保護法》的相關規(guī)定提供了基本法依據(jù)，確立了人臉信息保護的基本規(guī)則框架。《中華人民共和國民法典》給予人臉信息明確的法律保護，禁止濫用人臉信息，保障公民人格尊嚴，使公民免受非法侵害，對維持良善和誠信的社會秩序具有重要的現(xiàn)實意義。

（三）《中華人民共和國個人信息保護法》明確了對人臉信息法律保護的一般性規(guī)則

2021 年11 月1 日起施行的《中華人民共和國個人信息保護法》是信息時代與公民個人信息保護聯(lián)系最為緊密的一部法律，標志著我國在個人信息保護領域進入了新的歷史發(fā)展階段。《中華人民共和國個人信息保護法》是除《中華人民共和國憲法》和《中華人民共和國民法典》之外，最為重要和最具系統(tǒng)性的人臉信息保護法律淵源，是人臉信息保護的核心法律基礎。

人臉信息屬于生物識別信息，《中華人民共和國個人信息保護法》第二十八條①《中華人民共和國個人信息保護法》第二十八條規(guī)定，“敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息?！泵鞔_將生物識別信息納入首要的敏感個人信息類別，給予專門性保護，從中足以看出人臉信息的法律地位。人臉信息作為生物識別信息的一個類別，具有綜合性權(quán)益，與公民隱私權(quán)、名譽權(quán)、財產(chǎn)權(quán)等權(quán)益息息相關，濫用人臉信息將對個人、社會甚至國家造成難以彌補的損害。因此，《中華人民共和國個人信息保護法》嚴格規(guī)定了人臉信息收集和處理必須遵從合法、正當、必要、透明、公開的原則，履行告知義務，禁止濫用人臉識別技術，并對在公共場所采集人臉信息作出專門規(guī)定。

（四）相關文件為人臉信息司法保護提供了具體思路

《人臉識別技術適法規(guī)定》作為對人臉信息權(quán)益進行司法保護的指導性文件，從具體審判層面對涉及人臉信息的法律屬性界定、采集儲存使用、侵權(quán)行為性質(zhì)等予以明確，將人臉識別技術所涉及的信息處理活動均納入司法保護適用范圍，對公民人臉信息以專門性保護。

《人臉識別技術適法規(guī)定》從審判實務角度出發(fā)，在保護公民人臉信息合法權(quán)益的同時，將促進數(shù)字經(jīng)濟社會穩(wěn)步發(fā)展作為目標②《人臉識別技術適法規(guī)定》明確了制定本法的目的是“為正確審理使用人臉識別技術處理個人信息相關民事案件，保護當事人合法權(quán)益，促進數(shù)字經(jīng)濟健康發(fā)展”。，其內(nèi)容主要聚焦如何認定和處理那些對人臉識別技術生成的人臉信息進行非法處理的行為，以及人臉信息主體與信息處理者對人臉信息在約定使用過程中產(chǎn)生的權(quán)益糾紛。《人臉識別技術適法規(guī)定》對人臉信息的專門性保護主要通過明確信息處理者的舉證責任、侵權(quán)案件的賠償范圍與方式、人臉信息保護公益訴訟啟動與規(guī)則，以及詳細列舉信息處理者處理人臉信息的免責事由，并通過明確適用法不溯及既往原則以平衡技術發(fā)展和社會倫理之間的關系［12］。

總體而言，對于濫用識別技術所引發(fā)的人臉信息如何進行法律保護，《中華人民共和國憲法》、《中華人民共和國民法典》、《中華人民共和國個人信息保護法》和《人臉識別技術適法規(guī)定》等法律雖然對此進行了回答，但在具體司法實踐中的適用仍存在抽象原則多于具體規(guī)則、模糊規(guī)定多于明確規(guī)定、概括性條文多于精確性條款等問題。此外，因人臉信息采集的無接觸性、被采集者的無意識性、人臉信息的身份可識別性、信息獲取成本低等特點，使得人臉信息在數(shù)字經(jīng)濟時代具有巨大的商業(yè)價值，價值潛力背后的利益追逐造成濫用人臉識別技術現(xiàn)象的屢禁不止，對現(xiàn)有社會秩序的沖擊、個人信息保護的失衡以及個人權(quán)益的損害催生了社會公眾對人臉識別技術的信任危機以及保護風險難題。

三、人臉信息面臨的現(xiàn)實風險和法律保護難題

（一）人臉信息保護面臨的風險

目前，在多場景下利用人臉識別技術進行數(shù)字化管理和服務已與公民日常生活緊密相連，關于濫用識別技術而引發(fā)的人臉信息安全問題受到了社會普遍關注，引起了人們對隱私、財產(chǎn)安全的擔憂。人臉識別技術“作為一項依賴于信息存儲和數(shù)據(jù)分析的新型智能技術，無邊界的應用將使個人信息面臨被無限暴露、過度檢索和濫用的風險”［13］。從人臉識別技術引發(fā)的風險來源來看，主要包括技術和不當使用兩個方面。

就技術方面而言，人臉識別技術系統(tǒng)的“數(shù)據(jù)有限”缺陷可能帶來人臉信息非法搜集的安全風險。從本質(zhì)上說，人臉識別技術是一種由算法程序驅(qū)動的圖像對比模式，其原理是通過采集人臉圖像后與數(shù)據(jù)庫內(nèi)的人臉信息數(shù)據(jù)進行相似性對比，從而完成是否同一（相似度）的識別工作。因此，技術識別的精準度與數(shù)據(jù)庫內(nèi)樣本圖像的數(shù)量和質(zhì)量緊密相關。受人臉識別技術使用的商業(yè)利益動機驅(qū)使，為提高識別精準度，人臉識別技術使用主體有時會采用機器記憶技術將每次識別到的人臉圖像自動儲存于信息數(shù)據(jù)庫以擴充數(shù)據(jù)量，這種未提前告知的信息獲取行為將會產(chǎn)生數(shù)據(jù)因非法采集而給信息主體帶來的信息安全風險。若數(shù)據(jù)庫被非法泄露，將會導致信息主體身份信息泄露后人格和財產(chǎn)利益權(quán)受到損害。

就人臉信息不當使用方面而言，當前最為突出的風險是人臉信息被濫用的風險。由于人臉識別技術使用成本較低且具有較大的商業(yè)價值，同時因缺乏有針對性的法律規(guī)制，使得為追求商業(yè)利益而濫用該技術的違法成本較低。央視曝光的低配兒童智能手表事件便是實踐中濫用人臉識別技術的典型案例。經(jīng)營者將裝有識別技術程序的安裝二維碼偽裝成兒童喜歡的抽獎游戲，只要孩子掃碼，身在別處的工程師便可直接掌握其一舉一動，采集人臉圖像、活動軌跡等信息，嚴重侵害未成年人人臉信息等人格權(quán)益，甚至財產(chǎn)安全也受到一定威脅①參見《低配兒童智能手表成行走的偷窺器》，http：//zjnews.china.com.cn/yuanchuan/2022-03-15/331676.html。。此外，因為人臉識別技術在數(shù)字經(jīng)濟領域被廣泛使用，技術使用者雖非直接故意但明顯屬于放任地讓人臉信息在公共場所中展現(xiàn)（如大型商場入口的人臉信息識別、銀行進行交易時的人臉信息識別等），屬于公眾熟視無睹型不當使用，如果不對其設置一定的隱私保護機制，則容易導致人臉信息公開泄露的風險。非法攝錄而獲得人臉信息數(shù)據(jù)的行為人通過人臉信息識別假冒信息主體進行網(wǎng)絡系統(tǒng)登錄，導致人臉信息主體的隱私權(quán)遭受侵害或者財產(chǎn)遭受損失。更有甚者，某些人臉識別技術濫用行為已經(jīng)構(gòu)成了刑事犯罪。例如在刑事司法實踐中，犯罪行為人利用人臉信息的唯一性，有針對性地偽造目標用戶的人臉信息，進行虛假“刷臉”識別驗證以通過平臺系統(tǒng)的身份認證，進而實施竊取賬戶內(nèi)財物、盜取快遞、轉(zhuǎn)移資金等行為，造成嚴重的社會公共安全風險。

（二）人臉信息法律保護的現(xiàn)實難題

1.“告知-同意”規(guī)則適用形式化使得法律規(guī)制無法充分發(fā)揮效用?！案嬷?同意”規(guī)則作為收集人臉信息的基礎規(guī)則被社會公眾認可和接受，甚至被視為規(guī)制人臉信息收集者和使用者不當行為的“萬能法則”［14］。《中華人民共和國民法典》第一千零三十五條②《中華人民共和國民法典》第一千零三十五條規(guī)定，“處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理，并符合下列條件：（一）征得該自然人或者其監(jiān)護人同意，但是法律、行政法規(guī)另有規(guī)定的除外；（二）公開處理信息的規(guī)則；（三）明示處理信息的目的、方式和范圍；（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。”此外，依據(jù)該法第二款關于信息處理行為的內(nèi)容，如果沒有特別指明，下文將人臉信息的收集、存儲、使用、加工、傳輸、提供、公開等行為的實施者統(tǒng)稱為“信息處理者”。明確規(guī)定了處理個人信息的，應當遵循“合法、正當、必要原則”，并需“征得該自然人或者其監(jiān)護人同意”，即正式確立了信息處理行為需遵循“告知-同意”規(guī)則?！吨腥A人民共和國網(wǎng)絡安全法》第四十一條①《中華人民共和國網(wǎng)絡安全法》第四十一條規(guī)定，“網(wǎng)絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。網(wǎng)絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，并應當依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個人信息?！碧N含著將“告知-同意”作為信息處理者收集和使用個人信息應當遵循的首要原則的要求?！吨腥A人民共和國個人信息保護法》第二十九條規(guī)定了更為嚴格的“告知-同意”規(guī)則②《中華人民共和國個人信息保護法》第二十九條規(guī)定，“處理敏感個人信息應當取得個人的單獨同意；法律、行政法規(guī)規(guī)定處理敏感個人信息應當取得書面同意的，從其規(guī)定?！?。雖然以上法條確立了人臉信息處理的基本原則，但在實踐中，“告知-同意”規(guī)則卻出現(xiàn)了適用形式化困境。

實踐中，看似“告知-同意”規(guī)則賦予信息主體對自己人臉信息支配使用的自決權(quán)，但是現(xiàn)實制度環(huán)境能夠保障自決權(quán)真正實現(xiàn)嗎？現(xiàn)實給出的答案是否定的。數(shù)據(jù)企業(yè)在收集和處理人臉信息時突破“告知-同意”規(guī)則的現(xiàn)象比比皆是，如何判斷信息處理者已經(jīng)做到“合法告知”以及如何判斷人臉信息主體已經(jīng)“有效同意”，這是實踐中適用“告知-同意”規(guī)則面臨的兩大難題。如果不能圓滿解決，則“告知-同意”規(guī)則在實踐中將失去其本身蘊含的權(quán)利保障價值?！案嬷?同意”規(guī)則的適用形式化困境主要有三種表現(xiàn)。

一是表現(xiàn)為信息采集主體利用規(guī)則漏洞而設計格式條款，有意突破人臉信息“告知-同意”規(guī)則。若嚴格遵守適用“告知-同意”規(guī)則，則信息處理者將不得不在被采集人明確同意的情形下并獲得授權(quán)時方能進行人臉信息采集和使用，這將豎立起以保護為目的的人臉信息采集安全“柵欄”。但在現(xiàn)實中，信息處理者常常在巨大數(shù)據(jù)流所帶來的商業(yè)利益驅(qū)使下，突破“告知-同意”規(guī)則，而以“告示”、“公示”等格式條款突破人臉信息保護“柵欄”。例如，在徐紅婷訴蘇州平泰置業(yè)有限公司個人信息保護糾紛案中，被告平泰置業(yè)公司在售樓處以放置展示板的方式“公示”售樓處現(xiàn)場安裝了人臉信息識別系統(tǒng)并進行信息采集這一事實行為，其中隱藏的邏輯是，消費者只要進入售樓處即推定其同意被人臉識別并采集信息，以單方默認方式推定消費者同意個人信息權(quán)利讓渡，這種“公示”顯然無法被認作合法有效的“告知”行為，也無法被認作信息主體有效的“同意”表示③參見江蘇省蘇州市姑蘇區(qū)人民法院（2022）蘇0508民初5316號民事判決書。。售樓處每天來往客人不在少數(shù)，大量前來看房的客人人臉信息被悄悄收集后用于經(jīng)營用途（主要是用于識別是否為?？停约芭c代銷機構(gòu)結(jié)算傭金時判別客戶來源），其人臉信息無意間就被侵害。此外，除常見的格式條款外，還存在在人臉識別同意協(xié)議中隱晦采用“包括但不止于”類條款，無限擴大人臉信息使用范圍和目的，使得信息主體陷入信息使用“無底洞”，自己的人臉信息被信息處理者無限制使用。

二是表現(xiàn)為對需個人授權(quán)同意的人臉信息使用范圍通過“模糊化”解釋而進行擴大化處理。如信息處理者基于經(jīng)濟利益采集客戶人臉信息時，通常需通過協(xié)議方式履行單獨告知義務，時間成本較高且不一定能獲得人臉信息主體（用戶）授權(quán)。因此，信息處理者往往會采取迂回方式，如通過將人臉信息的適用范圍擴展到以公共利益為使用目的來進行人臉信息采集，則可強制征得用戶同意。例如，小區(qū)入口安裝人臉識別通行設備，原本目的主要是便于物業(yè)管理，但其對外宣傳的目的卻是保障小區(qū)公共安全。也就是說，無論是否征得用戶有效同意，物業(yè)企業(yè)獲取居民人臉信息均可從形式上找到正當理由。另外，用戶作為有限理性人，因人臉識別技術的復雜性和現(xiàn)實緊迫性（若拒絕人臉信息采集則可能不得進入場所），其很難準確判斷未經(jīng)授權(quán)就采集人臉信息是否侵害自己的合法權(quán)益。如在顧城起訴城關物業(yè)天津分公司隱私權(quán)糾紛案中，原告認為物業(yè)公司要求刷臉進入小區(qū)侵犯了個人信息權(quán)而起訴，一審法院認為鑒于小區(qū)居住人員眾多，使用人臉信息確為疫情防控需要，故駁回了原告的訴訟請求。二審法院則認為物業(yè)公司關于使用人臉識別驗證方式是按疫情防控相關規(guī)定和要求的主張，并沒有證據(jù)證實該主張具有保障公共安全的現(xiàn)實目的，遂撤銷一審判決①參見《“刷臉之爭”如何加強個人信息保護？》，https://news.bjd.com.cn/2022/09/04/10146051.shtml。。

三是表現(xiàn)為對于“人臉信息識別同意后果”必須告知的內(nèi)容，故意設置為冗長復雜且字體微小的格式，使得信息主體在“不耐煩”的心理驅(qū)使下作出“雖同意，實隨意”的意思表示。信息處理者預先設置好人臉信息錄入并能被識別通過就視為信息主體同意的意思表示規(guī)則，在具體使用場景則會引發(fā)因意思理解不同而產(chǎn)生的爭議。例如，在趙振春訴合眾人壽保險股份有限公司營口中心支公司合同糾紛案中，雙方爭議的焦點是，原告通過保險公司App 微信端的人臉識別方式變更涉案保險合同中被保險人電話信息的行為，是否可認定為其對該合同的知情和同意。原告認為，通過人臉識別的行為僅僅是同意變更電話號碼，并非是對投保以死亡為標的的保險合同的認定。而法院判決認為，在微信端通過人臉識別方式變更涉案保險合同的被保險人電話號碼，可認定為被保險人知情且同意投保人為其投保②參見遼寧省營口市中級人民法院（2022）遼08民終1561號民事判決書。。信息主體基于現(xiàn)實的短期利益，更關心是否可以即時獲得順暢的信息服務，而忽略了對此所需支付對價的風險?，F(xiàn)實中，人們總是對冗長復雜的“同意授權(quán)”流程缺乏足夠耐心，甚少有人仔細揣摩條款內(nèi)容是否存在風險，有時信息收集方式也會被有意設計成“系統(tǒng)默認勾選同意”項，引導信息主體快速一鍵通過。

總體而言，“告知-同意”規(guī)則在實踐中并未充分發(fā)揮正面規(guī)制效用，其適用形式化反而為信息處理者隨意破壞人臉信息保護規(guī)則的行為披上“合法外衣”，導致對于人臉信息的法律保護呈現(xiàn)立法嚴格但實踐寬松的相悖狀態(tài)。

2.監(jiān)管缺口及監(jiān)管措施單一造成行政監(jiān)管效力虛化。信息化時代，只有公私部門通力協(xié)作才能對人臉信息進行全方位保護，其中行政監(jiān)管發(fā)揮著至關重要的作用［15］?！吨腥A人民共和國個人信息保護法》第六十條③《中華人民共和國個人信息保護法》第六十條規(guī)定，“國家網(wǎng)信部門負責統(tǒng)籌協(xié)調(diào)個人信息保護工作和相關監(jiān)督管理工作。國務院有關部門依照本法和有關法律、行政法規(guī)的規(guī)定，在各自職責范圍內(nèi)負責個人信息保護和監(jiān)督管理工作?？h級以上地方人民政府有關部門的個人信息保護和監(jiān)督管理職責，按照國家有關規(guī)定確定。前兩款規(guī)定的部門統(tǒng)稱為履行個人信息保護職責的部門。”規(guī)定了行政監(jiān)管的職責分工，采用“網(wǎng)信部門統(tǒng)籌協(xié)調(diào)+有關部門分散監(jiān)管”的模式［16］。從實踐中看，分散監(jiān)管模式雖然有利于滿足各部門行業(yè)性和專業(yè)化的要求，但是在實踐中卻產(chǎn)生了因監(jiān)管權(quán)責不明確而出現(xiàn)監(jiān)管缺口，以及具體監(jiān)管措施單一等問題。

一是監(jiān)管職責分散導致出現(xiàn)監(jiān)管缺口。當前我國對于個人信息安全的行政監(jiān)管涉及網(wǎng)信、公安、工信等多個部門，并沒有設立權(quán)責一致的監(jiān)管機關，容易出現(xiàn)在處理或解決某一具體問題時各部門職責交叉、競相監(jiān)管，或互相推諉、無人監(jiān)管的現(xiàn)象，導致監(jiān)管部門雖多但未能發(fā)揮實效。例如，互聯(lián)網(wǎng)金融領域和互聯(lián)網(wǎng)旅游領域大多采用人臉識別技術作為消費者身份認證的主要技術手段，《中華人民共和國商業(yè)銀行法》④《中華人民共和國商業(yè)銀行法》第六條規(guī)定，“商業(yè)銀行應當保障存款人的合法權(quán)益不受任何單位和個人的侵犯?！焙汀吨腥A人民共和國旅游法》⑤《中華人民共和國旅游法》第五十二條規(guī)定，“旅游經(jīng)營者對其在經(jīng)營活動中知悉的旅游者個人信息，應當予以保密?！狈謩e確立了信息處理者應當對個人信息予以保護的義務，但并未明確規(guī)定對違法處理消費者個人信息行為的監(jiān)管主體、監(jiān)管措施和具體法律責任形式。依據(jù)《中華人民共和國個人信息保護法》第六十條確立的行業(yè)監(jiān)管原則，多數(shù)情況下并沒有相應的行業(yè)監(jiān)管機構(gòu)主動履行對信息處理者侵犯消費者人臉信息行為的監(jiān)管職責。又如，對于消費者和網(wǎng)絡個人信息保護的監(jiān)管主體確定較為模糊，對于法條中規(guī)定的“有關行政部門”⑥《中華人民共和國消費者權(quán)益保護法》第三十二條規(guī)定，“各級人民政府工商行政管理部門和其他有關行政部門應當依照法律、法規(guī)的規(guī)定，在各自的職責范圍內(nèi)，采取措施，保護消費者的合法權(quán)益。有關行政部門應當聽取消費者和消費者協(xié)會等組織對經(jīng)營者交易行為、商品和服務質(zhì)量問題的意見，及時調(diào)查處理?！焙汀捌渌嘘P機關”⑦《中華人民共和國網(wǎng)絡安全法》第八條規(guī)定，“國家網(wǎng)信部門負責統(tǒng)籌協(xié)調(diào)網(wǎng)絡安全工作和相關監(jiān)督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規(guī)的規(guī)定，在各自職責范圍內(nèi)負責網(wǎng)絡安全保護和監(jiān)督管理工作。”并不能明確指向是哪一個具體的行政部門或機關，這就使得現(xiàn)實中當人臉信息主體權(quán)益受到實際侵害需要有權(quán)機關履行監(jiān)管職責時，可能出現(xiàn)負有監(jiān)管義務的機關相互推諉、逃避責任的情形。這就容易出現(xiàn)雖有法律規(guī)定但沒有具體監(jiān)管機構(gòu)履責的監(jiān)管缺口。

二是行政監(jiān)管方式和處理措施較為單一。一方面，行政監(jiān)管機構(gòu)對信息處理者違法和違規(guī)處理人臉信息的行為主要以行政約談方式來要求涉案企業(yè)加強行為約束。行政約談屬于事前監(jiān)管措施，其主要功能在于警示、告誡或指導，缺乏足夠的強制力?！爸糜谝?guī)制譜系來看，行政約談應當以遵從理論為基礎，以促成守法為目標，并以懲罰性方式作為后盾”［17］，其對已經(jīng)發(fā)生的違法行為實則難以真正起到預防和制止作用。而本應發(fā)揮直接約束效用的罰款和沒收違法所得這兩類行政處罰措施，也存在缺乏明確、具體的客觀標準和考量因素的問題，因而在實踐中對涉案主體個人信息違法行為的處罰力度偏低，難以發(fā)揮威懾和遏制作用［18］。另一方面，由于尚未建立統(tǒng)一的人臉識別信息采集和使用監(jiān)管制度，以及缺乏聯(lián)動執(zhí)法效能，因而實踐中對人臉信息數(shù)據(jù)庫建設和使用的行政許可、人臉信息監(jiān)管技術和標準認證、相關企業(yè)合規(guī)整改建議等相對“柔性”監(jiān)管措施的使用頻率不高。分散化監(jiān)管模式使得各部門很難建立標準統(tǒng)一且行之有效的監(jiān)管體系，在常態(tài)化監(jiān)管中很難聯(lián)合采用多元化監(jiān)管措施去發(fā)現(xiàn)并解決問題。

3.司法救濟困難化導致人臉信息主體維權(quán)較為困難。在我國，從理論上說，司法救濟包括刑事、行政和民事三方面，但從實踐來看，對于迅速發(fā)展的人臉識別技術，需要審慎使用刑事處分，以免過于嚴厲的懲處手段阻礙技術發(fā)展。而從本就較少使用的行政救濟手段來說，其對人臉信息保護的救濟更是微乎其微。那么，對于與公民日常生活息息相關的民事司法救濟是不是就暢通無阻呢？概括來講，目前我國對于人臉信息侵害的民事訴訟救濟存在難以確定被告、司法救濟成本高、難以認定損害結(jié)果等問題。

一是難以確定被告。目前，人臉信息收集往往采用線上形式，如線上信息主體通過同意手機App 相關協(xié)議，在信息主體的操作下將人臉信息轉(zhuǎn)移給信息收集者。正如前文所說，“告知-同意”規(guī)則的形式化，往往讓信息主體在不知不覺中被收集信息，可能直到信息主體發(fā)現(xiàn)隱私泄露或者財產(chǎn)損失時才會知曉，那么此時人臉信息權(quán)利主體是否可以直接提起訴訟呢？依據(jù)《中華人民共和國民事訴訟法》第一百二十二條規(guī)定，有明確的被告才能予以起訴，這在人臉信息遭受侵害的案件中難以實現(xiàn)。比如在現(xiàn)實生活中，微信已成為公民手機必備軟件，為方便使用，公民通常會把個人信息（包括人臉信息）與微信等信息交流平臺相關聯(lián)，而微信又與多個App 形成網(wǎng)絡交互關系，在二次甚至是其后多次授權(quán)過程中，出現(xiàn)的提示信息只是平臺或相關App 授權(quán)與否的選項，面對多如牛毛的授權(quán)信息，當人臉信息被泄露時，作為普通公民的信息主體又怎會知道或認定誰是被告呢？若無法確定被告，訴訟就無法提起，尋求司法救濟就非常困難。

二是司法救濟成本較高。通過檢索中國裁判文書網(wǎng)關于人臉信息侵權(quán)案件的裁判文書數(shù)量可以發(fā)現(xiàn)，司法裁判的人臉識別案例數(shù)量較少。通過對人臉信息侵權(quán)案件具體裁判文書中的原告身份的分析發(fā)現(xiàn)，原告普遍缺乏法律專業(yè)知識和維護自身權(quán)益的能力。在人臉信息侵權(quán)案例中，數(shù)據(jù)企業(yè)并非僅僅使用特定用戶的人臉信息，而是需要對大量的不確定的用戶的人臉信息進行處理分析以擴大數(shù)據(jù)庫信息規(guī)模，因而一旦發(fā)生侵權(quán)事件往往出現(xiàn)的都是規(guī)模性信息安全事件。但對于通過司法救濟手段來抵制非法收集、濫用人臉識別技術的行為，被侵權(quán)人總是因維權(quán)意識不強、訴訟成本高、訴訟結(jié)果不確定等望而卻步。從法律經(jīng)濟學視角來看，司法救濟的本質(zhì)是被侵權(quán)人花錢購買司法機關的司法服務來維護自己受損害的權(quán)利，由此必然涉及費用成本與維護利益的比較。就人臉信息訴訟主體來說，個人面對因律師費、財產(chǎn)保全和較長訴訟周期等形成的高昂訴訟成本總是猶豫不決。即使《人臉識別技術適法規(guī)定》第八條明確規(guī)定了自然人為制止侵權(quán)行為所支付的合理開支由侵權(quán)人承擔，但由于訴訟結(jié)果的不確定性，難免會讓被侵權(quán)人猶豫不決，加之缺乏其他救濟途徑，導致大量被侵權(quán)人產(chǎn)生“算了，也沒產(chǎn)生什么實際后果”的想法而放棄維護自身權(quán)益。

三是難以認定損害結(jié)果。我國民法中關于侵權(quán)損害結(jié)果的認定規(guī)則在人臉信息被侵權(quán)后如何認定損害結(jié)果方面面臨困境，主要困難在于人臉信息被濫用后或者被泄露后可能并沒有發(fā)生實際損害結(jié)果。一方面，由于人臉信息被侵權(quán)的實際損害往往具有結(jié)果的無形性、結(jié)果顯現(xiàn)的潛伏性以及受損利益評估復雜等特點，因而在人臉信息主體遭受相關利益侵害后，尚未顯現(xiàn)出的可能被侵害的風險很可能會被理解成信息主體對損害的預測，是否滿足適用“損害結(jié)果具有確定性才能進行賠償”的規(guī)則難免會引起司法機關的疑問。例如，在顧城訴城關物業(yè)天津分公司隱私權(quán)糾紛案中，雖然法院最終支持了原告關于刪除其人臉信息的訴訟請求，但在損害結(jié)果認定上只支持要求賠付原告合理支出的律師費，對于被告實際造成的其他損害結(jié)果并未認定。另一方面，司法實踐中對于損害個人信息的賠償主要采用精神損害賠償方式，所以未來對于人臉信息損害的賠付難點，也主要是如何認定人臉信息主體是否受到精神損害以及受到何種程度的精神損害?；诜乐篂E用精神損害賠償，故實踐中往往以精神損害結(jié)果達到“嚴重”程度作為適用的先決條件，由此，人臉信息主體必然面臨著審判者以不能證明存在精神損害或者精神損害未達到嚴重程度為由而否決精神損害賠償請求的困境。

四、提升人臉信息保護制度實效的法律因應

如前所述，人臉信息保護在現(xiàn)實中受到極大沖擊，“告知-同意”規(guī)則、行政監(jiān)管、司法救濟方面尚存在亟待解決的問題，應在現(xiàn)有法律基礎上進行合理解釋和完善，通過優(yōu)化“告知-同意”規(guī)則、建立多元化的行政監(jiān)管模式和構(gòu)建可操作性強的多途徑維權(quán)制度，有效解決人臉信息主體遭受損害的現(xiàn)實問題。

（一）優(yōu)化“告知-同意”規(guī)則的分場景強度適用機制

人臉信息采集的無感性使得信息主體在未被告知且未明確同意的情況下也可以進行抓取，“告知-同意”規(guī)則常處于失效狀態(tài)，因此，完善“告知-同意”優(yōu)化機制迫在眉睫。

首先，應明確規(guī)范適用“告知-同意”規(guī)則的客觀判斷標準。人臉信息保護及相關技術規(guī)制不應一成不變，而要根據(jù)人臉信息采集的不同方式和使用目的進行靈活調(diào)整，不斷規(guī)范完善“告知-同意”規(guī)則適用的客觀判斷方式。必須嚴格按照法律規(guī)定根據(jù)目的、用途等明確信息處理者采集人臉識別的范圍和限制，避免任何主體都可以基于公共利益而怠于履行告知義務。此外，在實踐中，公共場所“告知-同意”規(guī)則被破壞的現(xiàn)象較為常見，即使《中華人民共和國個人信息保護法》第二十六條明確規(guī)定了為維護公共安全在公共場所采集人臉信息時要設立顯著的提示標識，但何為“顯著的提示標識”？對其理解顯然屬于主觀看法，不同的利益主體對此會有不同的理解，在現(xiàn)實中容易使信息處理者借機突破“告知-同意”規(guī)則。因此，為減少因判斷信息處理者是否合法履行告知義務的主觀性標準而帶來的爭議，應設置信息主體“識別告知-明示同意”的判斷標準，以明確必須是信息主體表示同意，而非信息處理者主觀推定其已同意。

其次，應區(qū)分人臉識別技術應用場景來確定“告知-同意”規(guī)則的適用強度。一般而言，人臉識別技術應用場景可分為公共領域、私人領域①例如手機人臉解鎖、住宅門禁刷臉等，此時是對本人而非他人的人臉信息處理行為，不產(chǎn)生人臉信息處理的法律關系。和網(wǎng)絡空間領域②例如線上人臉認證、App表情分析等。網(wǎng)絡空間應用通常是在個人知情同意下的主動識別，其識別過程由自動化決策完成，受公開明確的各類隱私政策的約束調(diào)整。。公共領域的人臉識別技術應用場景中關系到公共利益與個人利益的平衡，涉及的法律關系形態(tài)復雜，因而需要加強“告知-同意”規(guī)則的適用?；诠差I域?qū)€人生物識別性信息保護進行法律規(guī)制具有現(xiàn)實必要性和特殊性，因而在安裝人臉識別設備時，需明確應用目的、應用主體、應用位置、應用頻度等關涉利益衡量的事項。以保護重要公共利益為目的的公共領域，例如機場、火車站等場所，應當綜合考量公共利益保護和人臉信息侵犯程度的關系以確定識別技術的應用，可采用“廣而告之”的方式以滿足適用“告知-同意”規(guī)則。以維護一般公共利益為目的的私人領域，“告知-同意”規(guī)則的適用則需明確告知信息主體并取得明示同意［19］。對于網(wǎng)絡空間領域，則需拓展適用規(guī)則為“告知-理解-同意”模式。由于網(wǎng)絡信息企業(yè)所服務的海量用戶個體認知能力有較大差異且擁有不同需求，處于不同的適用場景，因而對于內(nèi)容繁雜的告知“人臉信息將被收集使用”的格式條款或人臉信息使用合同的內(nèi)容，信息主體很難在短時間內(nèi)完全理解。即便采用“一鍵式”同意或者拒絕人臉信息采集的告知方式減少用戶的適用不便，也依然存在上文分析的告知效果虛化情形。因此，依據(jù)信息知情權(quán)原則，數(shù)據(jù)企業(yè)可以根據(jù)人臉識別應用場景的不同，針對提示和告知的類型采用不同格式、不同類型的顯著標識等方式，為用戶提供更多樣的選擇。此外，為避免出現(xiàn)用戶對專業(yè)術語理解困難等問題，可考慮聘請第三方監(jiān)管機構(gòu)對相關術語事先進行統(tǒng)一化解釋并進行“大字化”處理以作提示，實現(xiàn)用戶真正意義上的信息理解-同意權(quán)。此項內(nèi)容也可作為監(jiān)管部門對信息處理者應用“告知-同意”規(guī)則合理程度進行審查的重點內(nèi)容，“違者處罰”的預期后果亦可反向激勵信息處理者創(chuàng)新多樣化、便利化的“告知-同意”規(guī)則適用方式。

最后，應完善人臉信息二次利用的“告知-同意”規(guī)則。為避免信息處理者出現(xiàn)因使用目的限制而在需多次使用人臉信息的場景下與信息主體頻繁進行“告知-同意”的重復征詢意見情形，保持實現(xiàn)人臉信息主體對信息的控制權(quán)與信息數(shù)據(jù)自由流通的平衡，可授權(quán)信息處理者對目的限制原則作相對擴張解釋，使得同類型二次使用目的能被初次目的所包含，滿足信息主體的合理期待。同時，考慮到雙方信息不對稱，可要求信息處理者采用主動彈窗等方式告知人臉信息處理同意條款，信息主體隨時享有撤回權(quán)和刪除權(quán)，實現(xiàn)人臉信息保護和信息使用的利益平衡。

（二）完善行政監(jiān)管的效用性監(jiān)管和專業(yè)化監(jiān)管模式

理想的行政監(jiān)管應是事前、事中、事后相互配合、互相補充以提升監(jiān)管實效，且能對違法違規(guī)行為起到有效的震懾作用。人臉信息保護中的行政監(jiān)管除了要維護“告知-同意”規(guī)則的使用效果這一基本監(jiān)管方向，還需充分認識當下必須“依循數(shù)字社會的變化向智慧化監(jiān)管轉(zhuǎn)型，創(chuàng)新技術監(jiān)管方式以加強行政監(jiān)管的職能建設”［20］，而強化行政監(jiān)管的效用性和專業(yè)化是較為可行的優(yōu)化路徑。

首先，應加強對信息處理者有關信息處理行為的效用性監(jiān)管。行政監(jiān)管機構(gòu)可發(fā)布指導準則和相關案例來預先規(guī)范信息處理者處理人臉信息行為模式選擇，在出現(xiàn)違法違規(guī)處理人臉信息時可提前有效介入。特別是當以互聯(lián)網(wǎng)平臺經(jīng)營者為代表的信息處理者在網(wǎng)絡場景中為開展無接觸交易活動而獲取人臉信息時，為提升交易速度往往會選擇性忽視交易前的信息甄別和交易后的人臉信息安全服務保障（如及時刪除人臉信息等）。而在大多數(shù)場景中，信息主體對人臉信息“被獲取后是如何處理的”這一內(nèi)容的知情權(quán)基本處于被遺忘甚至無法行使的狀態(tài)。因此，行政監(jiān)管機構(gòu)需要加強對信息處理者對人臉信息的儲存、修改和刪除等信息安全管理的專項監(jiān)管，對信息處理者未及時修改和刪除的理由是否充分、合理進行核查。此外，還可以通過“違者處罰”的預防機制促使信息處理者及時履行對人臉信息主體的知情權(quán)，提升對人臉信息處理行為的監(jiān)管實效。

其次，應設立人臉識別技術的市場準入和行政備案制度。市場準入和行政備案是提升行政監(jiān)管實效的事前性安排。為降低人臉信息一旦受到侵害結(jié)果便不可逆的風險，應建立健全人臉識別技術使用的市場準入制度，設置一定的使用準入標準，從主營業(yè)務、使用領域、信息安全管理水平等方面制定統(tǒng)一標準。備案審查的重點在于信息處理者在何種場景、基于何種目的、采用何種方式、將會對個人權(quán)益產(chǎn)生何種影響以及可能存在何種安全風險等方面，由人臉信息處理者進行使用前的主動申報備案，可為事中監(jiān)管提供證據(jù)材料。鑒于目前尚未建立統(tǒng)一的監(jiān)管機構(gòu)，可考慮先行啟動人臉識別使用場景備案，在技術運用、人臉信息采集、敏感信息處理等方面，不同的行政監(jiān)管部門可根據(jù)實際情況建立備案機制。同時，還可為個人信息行政監(jiān)管部門設置職權(quán)，如許可權(quán)（決定是否批準市場準入）、調(diào)查檢查權(quán)（定期年檢）等，建立事前預防制度。

再次，應完善過罰相當?shù)男姓幜P機制。對于人臉信息處理者的違法行為，應采取多樣化且懲處力度與過錯結(jié)果相匹配的處罰類型。需要注意的是，行政處罰的適用從來不是行政執(zhí)法機關單向度決定的，而必須根據(jù)處罰對象的行為違法程度分類適用，即要關注信息處理者對處罰結(jié)果耐受的差異性。對于規(guī)模龐大的涉案信息企業(yè)（如具有一定市場規(guī)模的大型平臺企業(yè)），其在實踐中造成的人臉信息受害群體往往也具有規(guī)模性（但現(xiàn)實中知道自己的人臉信息受到侵害的主體或愿意追究侵權(quán)責任的主體只是極少數(shù)），故應采用“威懾性執(zhí)法”模式來強力規(guī)制這類涉案主體的行為，如加大執(zhí)法檢查力度和提高處罰額度等。而對于規(guī)模較小的信息處理者，行政監(jiān)管部門可采取力度不同的組合式處罰措施，如根據(jù)具體違法程度和侵害程度組合采取約談、責令改正、數(shù)額較低罰款等行政措施。另外，行政處罰類型的適用必須嚴格遵守“比例原則”，即過罰相當。要準確衡量人臉信息處理行為在不同場景中損害個人權(quán)益和損害公共利益的程度。應采用金字塔式路徑?jīng)Q定行政處罰類型的選擇適用：能通過約談、指導、責令改正、警告等就能夠?qū)崿F(xiàn)規(guī)制目的的，就采取這類較輕的處罰措施；而對于規(guī)制力度更強的制裁措施，如沒收違法所得、責令暫?；蛘呓K止提供服務、停業(yè)整頓、吊銷營業(yè)執(zhí)照等，則可以作為威懾處罰來使用。

最后，應提升人臉信息處理的行政監(jiān)管專業(yè)化水平。實踐中，人臉識別技術表現(xiàn)出風險外溢性和不確定性等特點，行政監(jiān)管應隨技術與社會風險的融合而調(diào)整，不斷提高行政監(jiān)管專業(yè)能力和效率。鑒于信息行政監(jiān)管部門工作的專業(yè)性要求，應為其配置專業(yè)化技術監(jiān)管人才；同時為減少政府人才成本的大量消耗，可聘請數(shù)據(jù)信息專家、顧問等進行指導，這樣不僅可以實現(xiàn)有效監(jiān)管，還可以與人臉信息的專業(yè)和行業(yè)組織協(xié)同合作共同保護個人信息安全。此外，還可以通過聽證、質(zhì)詢和發(fā)布意見等方式征詢公眾對特定場所設置人臉識別裝置的意見，為行政部門對人臉信息處理行為進行專業(yè)性監(jiān)管提供參考。建立政府部門間以及政府與行業(yè)協(xié)會、網(wǎng)絡平臺之間的反饋協(xié)調(diào)機制，只有協(xié)調(diào)各方利益，才能進行有效監(jiān)管，達到技術與個人權(quán)利的平衡。

（三）構(gòu)建更為靈活、多元的權(quán)利救濟渠道

通過訴訟救濟路徑可解決如何規(guī)制人臉識別技術的應用范圍邊界與信息主體權(quán)利保護范圍的問題，“其中包括人臉信息的收集主體及收集目的，風險與責任的防范與承擔等，這些法律邊界都需要充分厘清”［21］。

首先，應參照相關法律規(guī)定靈活解決人臉信息侵權(quán)主體難以確定的問題。具體而言，可參照《中華人民共和國民法典》第一千二百零三條、第一千二百零四條①《中華人民共和國民法典》第一千二百零三條規(guī)定，“因產(chǎn)品存在缺陷造成他人損害的，被侵權(quán)人可以向產(chǎn)品的生產(chǎn)者請求賠償，也可以向產(chǎn)品的銷售者請求賠償。產(chǎn)品缺陷由生產(chǎn)者造成的，銷售者賠償后，有權(quán)向生產(chǎn)者追償。因銷售者的過錯使產(chǎn)品存在缺陷的，生產(chǎn)者賠償后，有權(quán)向銷售者追償?！钡谝磺Ф倭闼臈l規(guī)定，“因運輸者、倉儲者等第三人的過錯使產(chǎn)品存在缺陷，造成他人損害的，產(chǎn)品的生產(chǎn)者、銷售者賠償后，有權(quán)向第三人追償?！眮泶_定侵權(quán)主體。產(chǎn)品責任主體確定的設計背景與人臉信息保護相似，都存在侵權(quán)人（消費者、信息主體）處于弱勢地位、對技術或者產(chǎn)品設計了解甚少、難以確定侵權(quán)人等問題。因此，對于人臉信息侵權(quán)案件侵權(quán)主體如何確定，可參照產(chǎn)品責任認定辦法，對信息采集者、信息處理者、信息存儲者等其他主體責任分別參照生產(chǎn)者、銷售者、運輸者和倉儲者等第三方責任主體提起訴訟。在人臉信息侵權(quán)案件中，不必因沒有明確的被告而阻礙司法救濟，可以快速維護信息主體的合法權(quán)益。當然，在對人臉信息進行專項立法［22］中，應承認其蘊含商業(yè)性使用價值的財產(chǎn)權(quán)保護的正當訴求，明確侵害人臉信息權(quán)利的損害認定與賠償標準，完善相關民事訴訟損害賠償?shù)呐e證原則與責任制度。

其次，應拓展集體訴訟和公益訴訟救濟方式以解決訴訟成本高的問題。目前，采取集體訴訟是較為有效的解決途徑，同時可優(yōu)化司法救濟啟動條件，進一步明確集體訴訟和公益訴訟等程序性內(nèi)容。“公益訴訟與行政監(jiān)管對個人信息的保護有共同協(xié)力、互相彌補的功能。在最佳的狀態(tài)下，公益訴訟的規(guī)模效應可以對行政監(jiān)管失靈起到彌合、扶助和補充的作用?！保?3］在提起公益訴訟的主體資格排序上，可將檢察機關列于首位，消費者權(quán)益保護組織可作為與消費行為相關的人臉信息侵權(quán)行為主體，婦女兒童權(quán)益保護團體可作為被侵權(quán)人是婦女兒童群體公益訴訟的適格主體。明確檢察機關以及社會團體等提起公益訴訟的具體情形，充分利用人臉信息保護的社會團體組織的專業(yè)優(yōu)勢，構(gòu)建人臉信息侵權(quán)案件的多元司法救濟模式。另外，根據(jù)當前我國人臉信息保護現(xiàn)狀，利用公安機關個人信息數(shù)據(jù)優(yōu)勢設立人臉信息保護專門部門也是一條可行路徑。將公安機關所擁有的個人信息數(shù)據(jù)與人臉識別技術管理機制相結(jié)合，既可提高人臉信息管理效率，又可在行政審查和追求司法責任環(huán)節(jié)形成公檢法協(xié)作化管理。如果用戶發(fā)現(xiàn)數(shù)據(jù)企業(yè)濫用人臉信息，可向公安機關提出申請，公安機關預判危害程度，用戶決定選擇私下協(xié)商還是司法維權(quán)，而公安機關介入也會對數(shù)據(jù)企業(yè)形成一定的震懾，最大程度維護信息主體的人臉信息權(quán)益。