龔煒琪

（西北政法大學 法治學院、法律碩士教育學院，陜西 西安 710000）

隨著互聯(lián)網(wǎng)的飛速發(fā)展，數(shù)字領(lǐng)域也在不斷實現(xiàn)跨越式發(fā)展，其中的一大典型表現(xiàn)即人臉識別技術(shù)在社會生產(chǎn)生活中得以廣泛應用。例如，隨處可見的刷臉移動支付、小區(qū)進出人臉識別門禁系統(tǒng)、日常公司掃臉考勤打卡、地鐵出行人臉識別通行等。而作為一種新興的生物識別技術(shù)，人臉識別技術(shù)主要通過在圖像或視頻流中檢測、跟蹤人臉［1］，并對所提取的人臉基本信息進行檢測和匹配。據(jù)國外調(diào)研機構(gòu)Gen Market Insights 發(fā)布的《全球人臉識別設(shè)備市場研究報告2018》顯示，全球人臉識別設(shè)備市場價值在2018 年至2025 年期間將以26.8%的速度增長，到2025 年底將達到71.7 億美元，而中國是人臉識別設(shè)備最大的消費區(qū)域，在2018-2023 年復合年增長率為29.53%，2023 年占全球比例將達到44.59%，到2024 年人臉識別設(shè)備市場規(guī)模將突破100 億元［2］。

但科技的發(fā)展總伴隨著一系列的社會及法律問題。人臉識別技術(shù)讓人們享受便捷的同時，由于相關(guān)技術(shù)不成熟、監(jiān)管不到位等因素，公民個人人臉信息被竊取、泄露、倒賣等情形與日俱增，甚至危及公民人身安全。且由于相關(guān)專門規(guī)制的缺乏、監(jiān)管主體不明晰等原因，使得相關(guān)違法處分不嚴、地方執(zhí)法“雷大雨小”等問題層出，這不僅不能彌補受害者的損失，反而進一步助長了人臉信息侵權(quán)主體的威風。因此，如何平衡科技發(fā)展、社會進步與公眾人臉信息安全成為現(xiàn)今一大社會治理難題。

一、人臉識別技術(shù)應用對個人信息保護的挑戰(zhàn)

作為生物識別信息中的一種，人臉信息具有人身專屬性的特點，一旦泄露，不但會導致當前應用數(shù)據(jù)泄露，而且與該人臉相關(guān)的其他應用數(shù)據(jù)均可能泄露，使得用戶承受信息泄露、財產(chǎn)損失等風險，并導致個人最終不得不選擇退出人臉應用服務，這將給個人信息保護帶來巨大挑戰(zhàn)。

（一）侵權(quán)風險

人臉識別技術(shù)在社會生產(chǎn)生活中被廣泛應用，并為生產(chǎn)生活提供便利，但人臉信息侵權(quán)問題也相繼產(chǎn)生。南方都市報個人信息保護研究中心發(fā)布的《移動端人臉識別應用合規(guī)報告》顯示，在其選取的50 款具有人臉識別功能的移動應用中，四成應用隱私政策透明度較低，人臉信息共享不合規(guī)現(xiàn)象突出［3］。

雖說在使用此類APP 前，用戶就已經(jīng)點擊確認了軟件開發(fā)者提供的《用戶隱私保護政策》，同意主動提供或是允許在使用軟件期間由軟件自動獲取人臉有關(guān)信息，以獲得更好的用戶體驗。但顯而易見，此種授權(quán)行為非傳統(tǒng)意義上的“知情同意”。

一方面，絕大多數(shù)應用提供的相關(guān)隱私保護條款十分冗長，鮮少有用戶會去細讀其內(nèi)容是否超出必要限度。如此一來，許多隱性霸王條款便以“用戶知情同意”為由，成為軟件方頻繁、過度索取權(quán)限，違規(guī)使用相關(guān)人臉信息的借口。另一方面，由于缺乏統(tǒng)一的行業(yè)規(guī)范和相關(guān)的行政監(jiān)管。大多數(shù)軟件開發(fā)者對用戶采取“無授權(quán)則無服務”的硬性態(tài)度。即若用戶不同意軟件開發(fā)者提供的相關(guān)條款，則無法使用該軟件的相關(guān)服務。為此，即便用戶只是想要使用軟件刷臉支付功能，卻不得不授權(quán)軟件獲取存儲、位置、通訊錄、電話等非必要信息權(quán)限。因此，在此情形下很難成立有效的知情同意，嚴重損害了用戶的信息自決權(quán)。

（二）隱私泄露風險

人臉識別技術(shù)作為一項新興技術(shù)，依賴于對個體生物特征的識別。與傳統(tǒng)使用的數(shù)字密碼不同，生物可識別信息具有特定性和惟一性等特點，一旦泄露，每個人都會像超市里的商品一樣，被擺放在貨架上分類出售。甚至一個人一生的個人信息會被出售多次，循環(huán)往復，其損害后果可想而知。

當前，企業(yè)通過自行收集、用戶主動提供或從第三方合作方手里獲取用戶相關(guān)人臉信息，并建立企業(yè)商業(yè)數(shù)據(jù)庫，將所收集的信息進一步加工處理，使其具備較高的商業(yè)價值。但也因此，若人臉信息保管不當，則可能出現(xiàn)被企業(yè)內(nèi)部人員因一己私利而出賣，或是被外部黑客入侵系統(tǒng)盜取等情形，容易造成大規(guī)模的數(shù)據(jù)泄露事件，給人臉信息主體帶來巨大信息安全隱患。在實踐中，由于人臉識別技術(shù)的限制，每一次人臉數(shù)據(jù)采集和驗核都能使信息采集主體獲取用戶人臉信息并進行存儲。如此一來，整個轉(zhuǎn)接過程鏈條所涉及的采集主體均可以獲取用戶人臉信息，這極易引發(fā)人臉信息安全問題，增加隱私泄露的風險。

此外，固有的技術(shù)缺陷也增加了人臉識別技術(shù)隱私泄露的風險。雖然人臉信息具有惟一性和特定性，但是人臉所包含的生物識別信息內(nèi)容十分豐富，大部分人臉識別技術(shù)尚未達到完全區(qū)分相似面孔的能力，檢測識別的人臉是否為圖像、模型還是真人的水平。為此，人們在社交平臺發(fā)布的照片，日常被監(jiān)控抓拍等人臉信息亦有可能被不法分子截取利用，也存在一定的隱私泄露風險。

（三）歧視風險

人臉識別技術(shù)可分為人為歧視風險和科技歧視風險兩種。人為歧視風險即通過設(shè)定特定的算法和運行程序，增強或者降低某些信息的識別率，以使得技術(shù)識別的人臉信息具有一定的傾向性。

例如美國邁哈密使用智能治安監(jiān)管系統(tǒng)以重點監(jiān)視黑人群體和西班牙移民［4］。這表明在治安監(jiān)管系統(tǒng)中，黑人和西班牙移民群體被人臉識別系統(tǒng)捕捉、收集人臉信息的概率遠高于白人和亞洲人等其他群體，這無疑構(gòu)成膚色和種族歧視，違背種族平等的國際共識；科技歧視風險即算法在正常運行過程中，由于數(shù)據(jù)偏差或者其他技術(shù)性問題，進而導致人臉識別系統(tǒng)在實際運作中會自然而然地產(chǎn)生對公民年齡、膚色、性別等歧視對待風險，從而導致識別結(jié)果不準確。例如一些互聯(lián)網(wǎng)平臺并未在算法正常運行中進行人為的干預，但是算法仍然會根據(jù)自身的運算規(guī)則而產(chǎn)生數(shù)據(jù)偏差。麻省理工學院的一項研究顯示，人臉識別系統(tǒng)對黑人和白人的識別率存在顯著差異，就刑事犯罪領(lǐng)域而言，人臉識別技術(shù)將黑人誤認為犯罪分子的概率遠超過白人［5］。

二、人臉識別技術(shù)運用下個人信息法律保護的現(xiàn)狀

（一）立法層面

就既有法律而言，我國目前并未就人臉識別信息收集、處理和保管等作出特殊規(guī)定，只是從個人信息層面對其進行保護?！秱€人信息保護法》將個人身份識別信息作為一項敏感信息，要求個人信息處理者在合法、合理的范圍內(nèi)處理個人信息。該法第二十九條規(guī)定，處理敏感個人信息應當取得個人的單獨同意；法律、行政法規(guī)規(guī)定處理敏感個人信息應當取得書面同意的，從其規(guī)定。

此外，有關(guān)個人信息法律保護規(guī)定較為零散地分布于不同類型的法律法規(guī)中。例如，我國現(xiàn)行《民法典》規(guī)定了“自然人的個人信息受法律保護”①參見《民法典》第一千零三十四條第一款。，將其作為一般人格權(quán)予以保護。而人臉信息可以依托一定的物質(zhì)載體而被反映、識別，此時可視為肖像，依據(jù)肖像權(quán)相關(guān)規(guī)定進行保護。《消費者權(quán)益保護法》規(guī)定了經(jīng)營者收集、使用消費者個人信息時，應遵循正當合法及必要性原則，且需征得消費者的同意①參見《消費者權(quán)益保護法》第二十九條。?！毒W(wǎng)絡安全法》則規(guī)定網(wǎng)絡產(chǎn)品、服務提供者收集用戶信息時，應獲得用戶同意且不能違反相關(guān)法律法規(guī)，并對依法負有網(wǎng)絡安全監(jiān)督管理職責的部門及其工作人員提出具體工作要求②參見《網(wǎng)絡安全法》第二十二條第三款。。同時，《憲法》雖未提及“個人信息”，但不得非法侵犯公民人格尊嚴，公民通信自由、通信秘密受法律保護等內(nèi)容，仍反映了對個人信息保護的立法意圖。

而人臉這種生物識別信息具備本體特殊性和社會特殊性，這決定了其具備與普通公民個人信息不同的重要性，因此也需要更嚴格的刑法加以輔助保護。刑法對公民個人信息的保護經(jīng)歷了從無到有、不斷完善發(fā)展的過程［6］139。從新中國第一部“七九”刑法再到“九七”新刑法都沒有規(guī)定個人信息保護的相關(guān)內(nèi)容。2009 年，《刑法修正案（七）》設(shè)立了“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”才使得個人信息保護進入刑法的視野。2015 年，我國出臺了《刑法修正案（九）》進一步整合了個人信息方面的犯罪，將違法主體擴大至一般主體，擴大了犯罪入罪主體，并將相關(guān)罪名整合為“侵犯公民個人信息罪”罪名。2017 年，最高法與最高檢聯(lián)合出臺了《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，加大懲治侵害公民個人信息犯罪的力度，推動了我國打擊侵犯公民個人信息犯罪刑法保護的具體化進程。但是，相關(guān)法條或司法解釋仍未針對人臉信息制定具體定罪量刑標準，不利于實現(xiàn)對人臉信息的特殊保護。

由此可見，我國立法者能夠及時通過立法回應社會發(fā)展需要。但值得關(guān)注的是，人臉信息所代表的是復合法益，不僅包含公民個人信息權(quán)益，還包含人格尊嚴、信息自決權(quán)等內(nèi)容。因此，需要立法者及時完善相關(guān)法律規(guī)制，以全面保障人臉信息安全。

（二）司法層面

在司法層面，社會關(guān)注度最高的便是杭州動物園“人臉識別”案。原告郭兵因不滿被告將人臉識別驗證作為入園的惟一方式而將杭州野生動物世界告上法院。一審法院認為，原被告此前達成的服務合同里并沒有包含“不進行人臉識別不能正常入園”的要求。此要求屬于新要約，不經(jīng)原告方同意不產(chǎn)生法律效力。因此，要求被告刪除其辦理指紋年卡時提交的包括照片在內(nèi)的面部特征信息。由此可見，一審法院認為個人信息權(quán)益屬于私權(quán)，可以由民事主體間進行協(xié)商確定相關(guān)使用規(guī)則③參見浙江省杭州市富陽區(qū)人民法院（2019）浙0111 民初6971 號判決書。。但是值得考慮的是，作為一種特殊的個人信息權(quán)益，法官在審理案件時，是否可以采取更加謹慎的處理和保護原則，對人臉信息進行更大限度的司法保護。

二審法院認為，生物識別信息高度體現(xiàn)自然人的行為、生理等特征。作為一種敏感的個人信息，其人格屬性極強。一旦其發(fā)生泄漏，將會帶來不可預測的危害。因此，二審法院一方面維持了一審法院判決，即認為郭兵在知悉動物園要收集指紋的告示下仍辦理年卡，該行為對于郭兵和動物園均有約束力。但是人臉識別信息的店堂告示并非郭兵辦理年卡的合同條例范圍，并不對雙方產(chǎn)生約束。另一方面，動物園想要利用原本收集的人臉識別面部特征擴大信息處理范圍，超出了雙方訂立合同的范圍，且表明動物園存在侵害郭兵人臉信息權(quán)益的目的和可能危險。為此，動物園應當在系統(tǒng)刪除郭兵提交的照片在內(nèi)的面部信息④參見浙江省杭州市中級人民法院（2020）浙01 民終10940 號判決書。。

同時檢索中國裁判文書網(wǎng)有關(guān)侵犯公民個人信息犯罪的公開案件可知，近年來侵犯公民人臉信息犯罪的案件總體呈上升趨勢。從獲取數(shù)據(jù)可知，2017 年到2021 年，我國法院已審結(jié)的涉及侵犯人臉信息的案件分別為2 件、3 件、11 件、12 件、27件，共計55 件，且該統(tǒng)計不包含未立案審理或游離于刑法規(guī)制之外的犯罪黑數(shù)。

據(jù)此可以推測，隨著人臉識別技術(shù)的進一步推廣，此類犯罪案件數(shù)量將會呈大幅增加趨勢。為此，進一步增加“生物識別信息糾紛”案由，以滿足司法實踐中對新類型權(quán)益特殊保護的需求十分必要。

（三）行政執(zhí)法層面

相關(guān)執(zhí)法部門已采取多重舉措以保護個體人臉信息權(quán)益。2019 年，由工信部牽頭，聯(lián)合公安部、市場監(jiān)管總局等多部門聯(lián)合開展APP 侵害用戶權(quán)益專項整治行動，并組織第三方檢測機構(gòu)對手機應用軟件進行檢測。并對下載量大的App 申請權(quán)限以及強制開啟的權(quán)限進行了分析統(tǒng)計，向社會公布，保障公眾知情權(quán)。2021 年1 月22 日，工信部公布了《關(guān)于侵害用戶權(quán)益行為的App 通報》，要求存在違規(guī)、超范圍收集個人信息等問題的157 款侵害用戶權(quán)益的App 進行限期整改，并于2021 年2 月4 日，下架了37 款整改復查不達標的App。

但由于相關(guān)法律規(guī)定較為分散，目前我國尚未確立統(tǒng)一的個人信息監(jiān)管部門承擔個人信息保護的職能，相關(guān)部門存在職能交叉或者空白的情形。此外，個人信息侵權(quán)案件往往涉及多方主體，相關(guān)問題的處理需要多部門聯(lián)合。因此，在尚未明確個人信息侵權(quán)問題應該由哪個或者哪幾個部門主管的情形下，有可能出現(xiàn)多部門推諉責任或者“多頭治理”的問題，并不利于高效解決個人信息侵權(quán)問題，受害人的合法權(quán)益難以得到有效保障。

三、域外有關(guān)人臉識別的法律規(guī)定

相較于我國對人臉信息保護還處于初步探索階段，國外已經(jīng)針對人臉信息等生物識別信息的收集、使用等過程可能出現(xiàn)的技術(shù)安全問題和法律風險建立了較為完善的保護體制機制加以規(guī)范。通過對美國和歐洲兩種不同立法模式進行分析，進而對我國完善相關(guān)立法提供借鑒思路和方法。

（一）美國的專門立法模式

美國是世界上第一個使用法律手段保護個人隱私的國家，通過專門立法模式，實現(xiàn)對隱私的保護。美國聯(lián)邦政府并未在全國范圍內(nèi)制定統(tǒng)一的個人信息保護法案，用以規(guī)制人臉識別信息的收集、管理及使用等，而是通過各個州自行立法，分散地進行法律保護。并針對不同的人臉識別技術(shù)應用主體，相關(guān)立法亦采取差異化的規(guī)制路徑。即對于政府主體與非政府主體采取截然不同的立法價值取向和法律規(guī)制路徑。

對于政府層面使用人臉識別技術(shù)，各州采取禁止許可使用或者特別許可使用的法律規(guī)制路徑。加利福尼亞州是美國第一個通過人臉識別禁止令的州。2019 年，該州的舊金山市通過《停止秘密監(jiān)控條例》，禁止包括警察在內(nèi)的各個政府部門使用人臉識別技術(shù)①參見美國舊金山市《停止秘密監(jiān)控條例》》（Stop Secret Surveillance Ordinance）第19 條B 款第5 項。。但值得一提的是，聯(lián)邦政府、商業(yè)組織以及個人并不在限制范圍之類。該條例要求政府部門向監(jiān)督委員會披露目前正在使用或正在計劃實施的各類秘密監(jiān)控技術(shù)，并要求政府部門在特別情況需要使用該類技術(shù)時，需經(jīng)過監(jiān)督委員會的嚴格審批②參見邢會強：《人臉識別的法律規(guī)制》，載《比較法研究》2020 年第5 期，第54 頁，轉(zhuǎn)引自美國舊金山市《停止秘密監(jiān)控條例》》（Stop Secret Surveillance Ordinance）第19 條B 款第7 項。。2020 年，華盛頓州通過《人臉識別服務法案》。法案嚴格限制了政府機構(gòu)使用人臉識別服務進行持續(xù)、實時（或近似實時）的監(jiān)視和追蹤，政府機構(gòu)只有在獲得許可或緊急情況下才能利用人臉識別實現(xiàn)上述目的③參見美國華盛頓州《人臉識別服務法案》（facial recognition act）第3 條。。

對于非政府層面使用人臉識別技術(shù)亦有兩種不同的規(guī)制路徑：一是相較于一般個人信息，采取更為嚴格的特殊保護；二是采取與一般個人信息同等、無差別的普通法律保護。例如，2008 年，伊利諾伊州通過《生物識別信息隱私法》，這是美國州出臺的第一個保護個人信息的法律。該法案明確要求私人實體在收集和披露個人生物識別信息之前，必須獲得個人的同意④參見美國伊利諾伊州《生物識別信息隱私法案》（The Biometric Information Privacy Act）第10 條。。且私人實體應遵循行業(yè)相關(guān)的合理注意義務，并對生物識別信息采取與“機密和敏感信息”相同或更高的保護方式［7］；而美國《加利福尼亞消費者隱私法》則將人臉信息作為個人信息中的一種而予以一般性的法律保護，并對于商用主體收集、獲取人臉信息采取與一般個人信息并無區(qū)別的寬松態(tài)度。

除了美國各個州制定的各類《生物識別信息隱私法案》，聯(lián)邦政府通過專門制定刑事法案用以特殊規(guī)制。1988 年，美國國會通過《防止身份盜竊及假冒法案》。其中特別規(guī)定，故意轉(zhuǎn)移和使用“識別他人的方法”以實施違反聯(lián)邦法律或州法或地方法所規(guī)定的行為，構(gòu)成身份盜竊罪⑤See Identity Theft and Assumption Deterrence Act As amended by Public Law 105-318,112 Stat.3007（Oct.30,1998）of U.S.A§003.Identity Theft.（a）（4）。個人生物識別信息包括在條款中的“識別他人的辦法”。該法案同時表明，在未經(jīng)合法授權(quán)的前提下，故意實施教唆或者幫助他人進行轉(zhuǎn)移或非法識別他人生物識別信息的，將加重處罰⑥See Identity Theft and Assumption Deterrence Act As amended by Public Law 105-318,112 Stat.3007（Oct.30,1998）of U.S.A§003.Identity Theft.（a）（4）。

（二）歐盟的統(tǒng)一立法模式

與美國的分別立法模式不同，歐盟未對政府主體與非政府主體進行“區(qū)別對待”，而是采取統(tǒng)一的立法模式，區(qū)分一般個人信息與個人敏感信息，使得人臉信息等生物識別信息可以適用一般個人信息保護規(guī)定和針對性保護的特別條款，實現(xiàn)公法與私法措施間互為補充，更好發(fā)揮保障作用。

2018 年，歐盟公布堪稱“史上最嚴數(shù)據(jù)保護法”的《通用數(shù)據(jù)保護條例》（簡稱GDPR）。GDPR將面部圖像等個人生物數(shù)據(jù)納入保護范圍，并對生物數(shù)據(jù)的采集、處理采取“原則禁止，例外許可”的原則，對于涉及違法犯罪、公共安全等領(lǐng)域必須經(jīng)過法律授權(quán)的相關(guān)機構(gòu)才可處理個人生物信息。條例具體規(guī)定了生物數(shù)據(jù)的使用主體、使用方法、使用情形等內(nèi)容，明確數(shù)據(jù)的使用需要以個人數(shù)據(jù)主體明確地“知情同意”作為前提，并賦予數(shù)據(jù)主體拒絕的權(quán)利。但GDPR 也特別指出，在某些特定的情況下，GDPR 處理生物數(shù)據(jù)的限制性條款不能限制歐盟成員國①參見歐盟《通用數(shù)據(jù)保護條例》（GDPR）第5（1）條。。在司法實踐中，歐盟也嚴格打擊生物數(shù)據(jù)侵權(quán)行為，相關(guān)違法處罰力度大。

而由英國2018 年發(fā)布的《數(shù)據(jù)保護法案》則特別強調(diào)“為單獨識別特定個人的目的，處理基因數(shù)據(jù)或生物數(shù)據(jù)”的“法定必需”標準②付微明：《生物識別信息法律保護問題研究》，中國政法大學博士學位論文，2020，第75 頁，轉(zhuǎn)引自李愛君、蘇桂梅：《國際數(shù)據(jù)保護規(guī)則要覽》，法律出版社2018 年版，第238-239 頁。，限定了處理基因數(shù)據(jù)或生物數(shù)據(jù)的特別情形，并以行政執(zhí)法、民事賠償及刑事定罪作為保護生物識別信息的法律鏈接，從而有針對性地對生物識別信息進行特定保護［8］。

四、我國人臉識別技術(shù)應用的法律規(guī)制路徑

人臉識別技術(shù)所蘊含的風險不是單一風險，而是可能威脅公民個人人身、財產(chǎn)等的復合風險。為此，結(jié)合域外經(jīng)驗以及我國實際情況提出法律規(guī)制路徑。

（一）完善相關(guān)立法

國家應當順應時代發(fā)展潮流，借鑒域外經(jīng)驗，走中國特色法治道路，完善相關(guān)立法。2020 年10月，《信息安全技術(shù)個人信息安全規(guī)范》國家標準正式發(fā)布，其中專章規(guī)定人臉信息等個人敏感信息的收集、處理、使用等規(guī)則。這一方面體現(xiàn)國家順應時代發(fā)展潮流，但另一方面，該“規(guī)范”效力并不及法律，對我國人臉識別技術(shù)下個人信息權(quán)益的保護力度不夠。

2021 年11 月1 日，我國《個人信息保護法》正式生效。該法不僅對包括臉部在內(nèi)的個人敏感信息的處理作出具體說明，而且對相關(guān)行政管理部門如何處理個人信息作出專門規(guī)定，以保護公民個人信息。但值得說明的是，該法并沒有明確指出人臉等個人生物特征信息該如何進行特殊規(guī)制，只是籠統(tǒng)指出法律法規(guī)若對個人敏感信息的處理有更嚴格規(guī)定，從其規(guī)定。

因此，我國可借鑒歐美相關(guān)立法經(jīng)驗，出臺《個人生物識別信息保護法》，規(guī)定人臉識別技術(shù)的應用主體、使用權(quán)限、相關(guān)監(jiān)管機構(gòu)等內(nèi)容，并統(tǒng)籌完善相關(guān)法律法規(guī)，以促進人臉識別技術(shù)的健康發(fā)展。例如，在民事法律上確定人臉信息等生物識別信息作為新型人格權(quán)的地位，并規(guī)定相關(guān)侵權(quán)損害認定標準、訴訟救濟手段等內(nèi)容；在刑事立法上，一方面可以通過刑法解釋的角度，對既定的侵犯公民個人信息罪進行解釋，使其能起到對生物識別信息進行特殊保護的效果［6］139。另一方面可以在出臺新的《刑法修正案》對非法竊取、獲得、偽造、買賣、使用人臉信息等行為進行定罪；而在行政法上，可以完善行政執(zhí)法體制機制，并規(guī)定國家機關(guān)違法使用人臉識別技術(shù)而造成公民損害的相關(guān)救濟途徑等。

（二）加強行政監(jiān)管

首先，應當完善人臉識別技術(shù)的市場準入機制。對企業(yè)使用人臉識別技術(shù)設(shè)置一定準入門檻，確保人臉識別技術(shù)應用企業(yè)具備一定的資質(zhì)和風險防范能力，實現(xiàn)高效保護；并制定備案審核制度。要求企業(yè)將依法使用人臉識別技術(shù)的具體操作流程以及相關(guān)用戶隱私保護政策進行備案，以便在發(fā)生風險時，確認企業(yè)是否盡到相關(guān)注意義務。建立專門管理部門，雖然我國工信部、公安部、網(wǎng)信辦等部門都有保護人臉識別技術(shù)規(guī)制和生物識別信息的法定職責，但我國當前并未設(shè)立規(guī)制人臉識別技術(shù)的專門主管部門［9］。因此，現(xiàn)有各部門在僅對各自職能領(lǐng)域進行監(jiān)管情況下，可能出現(xiàn)職能交叉、職能割裂或者職能缺失的問題，并不能較好地推進行政監(jiān)管。為此，通過設(shè)置專門管理部門以監(jiān)督國家機關(guān)和企業(yè)在法治軌道上應用人臉識別技術(shù)，并定期向社會公示違法黑名單，輔之行政處罰、行政強制措施等，以完善行政保護。同時要求企業(yè)在面臨收集的人臉信息遭受泄露、毀損、丟失的問題時，應及時報告相應主管部門。

其次，加強行政處罰的力度。目前我國對于人臉識別技術(shù)應用并無針對性行政處罰措施，且基于一般保護的行政處罰力度較低。以我國的《網(wǎng)絡安全法》為例，其中第六十四條規(guī)定了“侵害個人信息權(quán)益的企業(yè)主體，處以一百萬元以下罰款，并對直接責任人員處以一萬元以上十萬元以下罰款”。但相較于企業(yè)應用人臉識別技術(shù)所獲得的高額利潤，此類行政處罰力度猶如隔靴抓癢，不能較好起到行政處罰法所提倡的懲戒與教育作用。而反觀歐盟GDPR，其規(guī)定泄露個人隱私的，處全球營業(yè)額的百分之四或者兩千萬歐元中的較高者①參見歐盟《通用數(shù)據(jù)保護條例》（GDPR）第83（4）條。。執(zhí)法機關(guān)也時常開出天價罰單，給其余企業(yè)敲響警鐘。如谷歌因個性化廣告涉嫌違反GDPR 而被法國國務委員會開出五千七百萬美元的天價罰單；萬豪酒店也因泄露3.83 億用戶信息面臨1840 萬英鎊罰款。

此外，在行政監(jiān)管不能解決人臉信息侵權(quán)問題時，應當允許當事人采取司法救濟途徑維權(quán)，并做好行政監(jiān)管與司法救濟的銜接工作?？偠灾?，全面完善行政監(jiān)管體系，是實現(xiàn)人臉識別技術(shù)風險防范的重要一環(huán)。

（三）完善司法救濟途徑

由于人臉識別技術(shù)具有遠程、非接觸等特點，公民人臉信息通常是在不知情的情形下被收集。同時由于人臉識別技術(shù)應用廣泛，人臉信息收集者眾多，受害者難以確認個人人臉信息究竟是在哪一具體環(huán)節(jié)被泄露，而原則上提起訴訟要求有具體的被告，因此，受害人可能因為找不出實際侵權(quán)人而無法獲得司法救濟。即便受害者找出實際侵權(quán)人，根據(jù)“誰主張誰舉證”的訴訟基本原則，受害者需要明確指出侵權(quán)主體的侵權(quán)行為與受害者的損害結(jié)果間具有因果關(guān)系，且侵權(quán)者具有主觀過錯。在實踐中，該類侵權(quán)主體常處于優(yōu)勢地位，這對于處于弱勢地位，想要通過法律途徑維護自身信息權(quán)益的受害者來說，將面臨舉證難度大、訴訟成本高等現(xiàn)實難題，不利于實現(xiàn)司法救濟。

與此同時，應用人臉識別技術(shù)的企業(yè)和政府有較強的人力、財力等作為支撐，對于人臉信息的收集、處理、使用等過程熟悉度、專業(yè)度較高，應當有謹慎使用人臉識別技術(shù)，妥善保管相關(guān)信息的義務，此時若只要他們承擔一般的舉證責任，并不符合公平正義的基本原則?；诖朔N考量，對于舉證責任的重新分配十分有必要。即要求原告承擔證明被告存在人臉識別信息侵權(quán)行為和造成自身損害結(jié)果的舉證責任。被告承擔因果關(guān)系和無過錯的證明責任。此外，若是個人與個人、企業(yè)與企業(yè)間有關(guān)面部信息傳播的侵權(quán)糾紛，因其主體地位實際上相同，則采取一般舉證原則即可。

（四）提升行業(yè)自律

首先，加強行業(yè)自律組織的建設(shè)。當前，我國行業(yè)自律組織還處于初級發(fā)展階段，除了金融領(lǐng)域的自律組織相對規(guī)范，其余領(lǐng)域的自律組織存在水平參差不齊、組織成員較少、規(guī)范執(zhí)行力不到位等問題。為此，需要政府與行業(yè)協(xié)會形成合力，共同解決發(fā)展問題。一方面，政府部門可以通過發(fā)布相關(guān)規(guī)范性文件，為人臉識別相關(guān)聯(lián)的自律組織的建設(shè)提供指導意見，并通過財政撥款、定期召開政府與行業(yè)協(xié)會座談會的方式，了解行業(yè)協(xié)會發(fā)展的需求，給予相關(guān)支持。另一方面，政府部門可以加強對行業(yè)協(xié)會的監(jiān)管，為行業(yè)協(xié)會規(guī)范運行提供指導，防止協(xié)會為了私益而損害公共利益。

其次，建立行業(yè)自律規(guī)范。行業(yè)自律規(guī)范具有靈活性和針對性的特點，通過制定嚴于法律標準的行業(yè)規(guī)范，劃定企業(yè)使用人臉識別技術(shù)所需遵守的義務底線，有利于提升人臉識別技術(shù)的風險防控能力。2020 年1 月，中國支付清算協(xié)會發(fā)布的《人臉識別線下支付行業(yè)自律公約（試行）》就針對線下支付領(lǐng)域，分別從個人信息的采集、存儲和使用環(huán)節(jié)等規(guī)范人臉識別的運用［10］。雖然該《行業(yè)自律公約》為人臉識別的應用提供指導建議，但是公約內(nèi)容僅30 條，且多為原則性指導意見，涉及人臉識別技術(shù)規(guī)制內(nèi)容不全面，難以為人臉識別技術(shù)的實際應用提供可靠的依據(jù)。因此，行業(yè)協(xié)會應該以人臉識別技術(shù)規(guī)制為主線，圍繞人臉信息保護為核心開展工作，依據(jù)相關(guān)法律法規(guī)，進一步細化人臉識別技術(shù)應用行業(yè)自律規(guī)范，以提升規(guī)范的可適用性。

最后，行業(yè)協(xié)會要加強對人臉識別技術(shù)應用企業(yè)的監(jiān)督，定期向社會公布不合規(guī)企業(yè)。同時，對違反行業(yè)自律規(guī)范的企業(yè)進行內(nèi)部處罰并要求其限期改正。除此之外，行業(yè)協(xié)會還要為信息主體提供投訴建議渠道，并及時提供反饋意見。

五、結(jié)語

人臉識別技術(shù)的廣泛應用極大地改變了人們的日常生活，我們通過讓渡自身部分個人信息權(quán)益以換取便捷的同時，個人信息遭泄露、丟失、盜用等風險也急劇增加。如何防范人臉識別技術(shù)所導致的法律風險，化解其與人臉識別信息安全之間的矛盾，是我國立法和實務急需回應的問題［11］，值得我們進一步探索。