人臉識(shí)別的法律規(guī)制
——以告知同意規(guī)則為視角

張俊雄

(西南民族大學(xué)法學(xué)院，四川成都 610041)

隨著社會(huì)發(fā)展進(jìn)入數(shù)字時(shí)代，人臉識(shí)別等新興技術(shù)帶來的挑戰(zhàn)不斷走進(jìn)大眾視線。2021年有關(guān)人臉識(shí)別技術(shù)的新聞?lì)l出，前有央視3·15晚會(huì)曝出多個(gè)商家未經(jīng)消費(fèi)者同意非法采集面部數(shù)據(jù)信息，并將采集到的信息用作營銷數(shù)據(jù)分析；后有全國首例人臉識(shí)別案在杭州市中級(jí)人民法院二審宣判，在原判決的基礎(chǔ)上增判被告信息處理方刪除原告的相關(guān)生物識(shí)別信息。種種事件都指向人臉識(shí)別技術(shù)應(yīng)用門檻過低、信息處理者為自身利益未經(jīng)面部數(shù)據(jù)主體同意濫用人臉識(shí)別技術(shù)等諸多問題。

人臉識(shí)別的本質(zhì)是利用拍攝系統(tǒng)和計(jì)算機(jī)技術(shù)在三維體系中根據(jù)人臉的不同構(gòu)造將人臉轉(zhuǎn)換為一組數(shù)據(jù)，當(dāng)人臉再次展現(xiàn)在鏡頭前時(shí)，通過相關(guān)算法即能快速地匹配到其身份[1]。相比于其他視頻監(jiān)控，人臉識(shí)別技術(shù)最大的特征在于其“識(shí)別”功能，即通過算法，與數(shù)據(jù)庫中的人臉數(shù)據(jù)進(jìn)行比對(duì)，從而識(shí)別出相應(yīng)的個(gè)人信息[2]。人臉識(shí)別技術(shù)與面部數(shù)據(jù)主體權(quán)益息息相關(guān)，而該技術(shù)非接觸性、易于流轉(zhuǎn)的特征使得面部數(shù)據(jù)主體對(duì)其個(gè)人信息的控制力進(jìn)一步降低。為了兼顧人臉識(shí)別技術(shù)的合理利用和個(gè)人信息保護(hù)，廣大學(xué)者一致主張貫徹和發(fā)展傳統(tǒng)告知同意規(guī)則。因此，本文在大數(shù)據(jù)時(shí)代背景下，以告知同意規(guī)則為視角，為完善人臉識(shí)別的法律規(guī)制提供參考路徑。

一、告知同意規(guī)則的法律依據(jù)與現(xiàn)實(shí)困境

(一)告知同意規(guī)則在我國法律體系中的依據(jù)

對(duì)于人臉識(shí)別中面部數(shù)據(jù)保護(hù)問題，本質(zhì)上是關(guān)于個(gè)人信息中個(gè)人敏感信息的保護(hù)問題?？v觀我國現(xiàn)行法律規(guī)范，其中涉及個(gè)人信息保護(hù)的條文散見各處。首先，從我國法律體系頂端《中華人民共和國憲法》(以下簡稱《憲法》)中可找到依據(jù)?！稇椃ā返?0條明確了國家對(duì)公民個(gè)人隱私權(quán)的保護(hù)，自然包含對(duì)個(gè)人信息的保護(hù)。其次，作為我國基本法律，《民法典》總則編和人格權(quán)編的有關(guān)規(guī)范構(gòu)建了未來個(gè)人信息保護(hù)法的制度框架與基礎(chǔ)。從民法解釋學(xué)的角度分析，根據(jù)文義解釋《民法典》中未明確規(guī)定個(gè)人信息權(quán)[3]，但是依據(jù)體系解釋《民法典》則是將個(gè)人信息當(dāng)作一種人格利益在保護(hù)。此外，在諸多現(xiàn)行法律中，例如《網(wǎng)絡(luò)安全法》《消費(fèi)者權(quán)益保護(hù)法》中對(duì)于不同主體的個(gè)人信息保護(hù)義務(wù)均有涉及。近年來，保障公民個(gè)人信息安全一直是黨和國家高度關(guān)注的問題。為穩(wěn)步推進(jìn)個(gè)人信息保護(hù)立法工作，全國人大常委會(huì)于2020年底發(fā)布了《個(gè)人信息保護(hù)法(草案)》，擬制定專門法律來規(guī)制個(gè)人信息保護(hù)。

告知同意規(guī)則主要適用于個(gè)人信息保護(hù)領(lǐng)域，因此筆者以告知同意規(guī)則為研究對(duì)象，在所有涉及個(gè)人信息保護(hù)的條文中選取了最具代表性的《民法典》和《個(gè)人信息保護(hù)法(草案)》中的相關(guān)法律規(guī)定加以分析。

1.《民法典》中的告知同意規(guī)則

《民法典》第1034條中對(duì)個(gè)人信息的內(nèi)涵和外延作出了明確界定。依據(jù)該條款，人臉識(shí)別的面部數(shù)據(jù)從性質(zhì)上講可以歸入生物識(shí)別信息中，屬于《民法典》的保護(hù)范疇?！睹穹ǖ洹返?035條則強(qiáng)調(diào)了信息處理方在處理個(gè)人信息時(shí)應(yīng)當(dāng)遵循的“合法、正當(dāng)、必要”等基本原則。此外，《民法典》提出了處理個(gè)人信息的相關(guān)條件，其中包含需要告知的相關(guān)內(nèi)容和須征得同意的對(duì)象。由此《民法典》人格權(quán)編描繪了處理個(gè)人信息的告知同意規(guī)則。

2.《個(gè)人信息保護(hù)法(草案)》中的告知同意規(guī)則

“同意”二字在《個(gè)人信息保護(hù)法(草案)》(以下簡稱“草案”)中的70個(gè)條款中出現(xiàn)了26次，其重要性不言而明。就內(nèi)部的邏輯體系分析，“草案”中關(guān)于個(gè)人信息處理主要分為三個(gè)層次來進(jìn)行規(guī)制：首先，對(duì)于普通個(gè)人信息的處理作出了一般規(guī)定；其次，針對(duì)處理個(gè)人信息中一類較為特殊的客體即“個(gè)人敏感信息”作出了更為嚴(yán)苛的規(guī)定；最后，針對(duì)處理個(gè)人信息中一類特殊的主體即“國家機(jī)關(guān)”處理個(gè)人信息作出了特殊規(guī)定。總體來看，“草案”多角度、多路徑、全方位地構(gòu)建了我國個(gè)人信息保護(hù)體系，值得肯定。具體而言：

首先，在處理個(gè)人信息的一般規(guī)定中，第13條被認(rèn)為是處理個(gè)人信息的合法性基礎(chǔ)。該條文一共給出了五種處理個(gè)人信息的合法情形和一個(gè)兜底條款，其中第一種即為取得個(gè)人的同意。同時(shí)，第18條對(duì)于“告知—同意”規(guī)則中的告知作出了若干要求，尤其強(qiáng)調(diào)告知的方式、內(nèi)容和范圍等。

其次，在敏感個(gè)人信息的處理規(guī)則中，第30條可以被認(rèn)為是對(duì)第13條的補(bǔ)充，要求當(dāng)處理個(gè)人信息的客體為個(gè)人敏感信息時(shí)，須取得個(gè)人的單獨(dú)同意，增設(shè)了“單獨(dú)同意”制度。同時(shí)對(duì)一部分處理個(gè)人敏感信息的情形中同意的形式作出了要求，即“有法律法規(guī)規(guī)定的應(yīng)當(dāng)取得書面同意的”。上述規(guī)定均為告知同意規(guī)則在“草案”中的體現(xiàn)。

(二)告知同意規(guī)則的現(xiàn)實(shí)困境

1.告知不充分，信息獲取不對(duì)等

《民法典》人格權(quán)編第1035條和《網(wǎng)絡(luò)安全法》第41條對(duì)于信息主體的告知范圍作出了要求，并在此基礎(chǔ)上取得被收集者的同意?；谠摋l款，面部數(shù)據(jù)主體在決定是否處分自己的信息前，能夠清楚地了解本人哪些面部數(shù)據(jù)被收集、收集以后去向何方，以及在信息被收集后自身可能遭遇的風(fēng)險(xiǎn)，但在面部數(shù)據(jù)收集的現(xiàn)實(shí)情境中往往并非如此。

首先，現(xiàn)實(shí)中收集方并不會(huì)將相關(guān)信息完全告知面部數(shù)據(jù)主體。在締約信息使用協(xié)議中，進(jìn)行面部數(shù)據(jù)收集的一方清楚地了解數(shù)據(jù)收集、利用和市場(chǎng)價(jià)值的具體情況，能準(zhǔn)確判斷面部數(shù)據(jù)信息在自己手中是如何運(yùn)作的，因此對(duì)于風(fēng)險(xiǎn)的認(rèn)知也總是更全面一些[4]。而被收集者，往往只是淺顯、抽象地知道數(shù)據(jù)用途，他們更關(guān)心的是自身對(duì)于某項(xiàng)服務(wù)能否正常使用，進(jìn)而忽略了對(duì)有關(guān)風(fēng)險(xiǎn)的認(rèn)知。其次，從數(shù)據(jù)采集與利用的運(yùn)營模式來分析，數(shù)據(jù)收集方還會(huì)進(jìn)一步變相地強(qiáng)制、敦促面部數(shù)據(jù)主體盡快同意：比如當(dāng)被收集方打開注冊(cè)頁面時(shí)，系統(tǒng)已經(jīng)默認(rèn)勾選同意相關(guān)隱私政策和免責(zé)條款，大大降低了面部數(shù)據(jù)主體的重視度。在上述種種背景下，同意規(guī)則無法起到預(yù)設(shè)的對(duì)面部數(shù)據(jù)主體的保護(hù)作用，反而為收集者的責(zé)任轉(zhuǎn)移提供了制度框架內(nèi)的“合法路徑”[5]。

2.隱私條款冗雜，導(dǎo)致同意形式化

私法領(lǐng)域常常強(qiáng)調(diào)意思自治原則的重要性，因?yàn)樗浞址从沉斯駥?duì)私權(quán)利的支配性。意思自治原則不能簡單地理解為按照當(dāng)事人自己的想法作出意思表示，尤其是在涉及人臉識(shí)別這種個(gè)人信息泄露的高危場(chǎng)合，應(yīng)當(dāng)要求面部數(shù)據(jù)主體在充分知曉并理解后自己作出意思表示方為合理、正當(dāng)。因此，同意的有效性不僅取決于數(shù)據(jù)收集者是否合法地履行了告知義務(wù)，同時(shí)歸因于數(shù)據(jù)主體能否正確接收、理解前者所傳遞的信息。

現(xiàn)實(shí)生活中，面部數(shù)據(jù)收集方給出的數(shù)據(jù)采集協(xié)議紛繁復(fù)雜，被收集者難以準(zhǔn)確理解其相關(guān)含義。即使通過立法的形式給面部數(shù)據(jù)收集方增加充分告知相關(guān)事項(xiàng)的義務(wù)，但復(fù)雜、專業(yè)、冗長的條款也無法真正發(fā)揮它的效用[6]，反而會(huì)大大消耗面部數(shù)據(jù)主體的耐心，用戶多半會(huì)為了盡快完成注冊(cè)流程而選擇性地將部分或全部條款予以忽略，直接點(diǎn)擊“同意”按鈕。這種形式化的同意后果就是用戶根本沒有按照原有的制度設(shè)計(jì)去閱讀隱私條款和免責(zé)聲明，反倒有可能成為面部數(shù)據(jù)收集方轉(zhuǎn)移責(zé)任的一個(gè)前置流程。即使有用戶確實(shí)閱讀了隱私政策和免責(zé)條款，能否讀懂又是一個(gè)值得思考的問題，且我國公民長久以來對(duì)個(gè)人信息保護(hù)不夠重視，往往非常信任收集方的保護(hù)能力和重視程度。如此一來，即便是“明示的免責(zé)條款”，也會(huì)因?yàn)橄鄬?duì)人的忽略導(dǎo)致法律所欲的“知情基礎(chǔ)上的同意”大打折扣。

3.多樣的網(wǎng)絡(luò)交互行為削弱了同意的有效性

大數(shù)據(jù)時(shí)代，包括面部數(shù)據(jù)在內(nèi)的各種數(shù)據(jù)廣泛流通和在不同場(chǎng)景下進(jìn)行統(tǒng)計(jì)利用是發(fā)展趨勢(shì)。該趨勢(shì)反映到個(gè)人信息傳播領(lǐng)域依托的是網(wǎng)絡(luò)交互行為。例如，隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展和人們的需求，微信從最初的具有聊天功能的通訊軟件，逐步發(fā)展到今天的集公眾號(hào)、小程序、視頻號(hào)等多個(gè)功能為一體的社交軟件，已然成為國內(nèi)人們工作、生活必備的手機(jī)軟件。為了方便使用，人們一般將包含本人身份證號(hào)、銀行卡號(hào)、電話號(hào)碼、收貨地址、發(fā)票抬頭等多個(gè)個(gè)人信息與微信賬戶相關(guān)聯(lián)。當(dāng)在使用微信附帶的一些二級(jí)功能時(shí)，即可將與微信賬號(hào)相關(guān)聯(lián)的個(gè)人信息授權(quán)給二級(jí)功能平臺(tái)使用。這種個(gè)人信息的二次授予或直接準(zhǔn)用行為即所謂的網(wǎng)絡(luò)交互行為。抽象到法律中的行為模式即面部數(shù)據(jù)收集方可能與其他二級(jí)平臺(tái)訂立合同，在交互性使用過程中共享其采集的數(shù)據(jù)信息，甚至直接將數(shù)據(jù)的流通外包給大數(shù)據(jù)公司處理。因此，面部數(shù)據(jù)收集方與二級(jí)平臺(tái)之間的此類協(xié)議使得個(gè)人要想實(shí)現(xiàn)對(duì)自身信息的控制變得非常困難。

實(shí)踐中，當(dāng)面部數(shù)據(jù)主體的信息經(jīng)收集方流轉(zhuǎn)到相應(yīng)的二級(jí)平臺(tái)或外包給專業(yè)大數(shù)據(jù)計(jì)算公司后，信息的去向和用途一般不會(huì)再次通知面部數(shù)據(jù)主體，更不會(huì)刻意經(jīng)過其授權(quán)同意。面部數(shù)據(jù)主體在這種潛在且無休止的信息分享與對(duì)信息的二次利用面前，不僅難以實(shí)現(xiàn)對(duì)當(dāng)前及未來信息分析、處理、利用行為的把控，而且往往對(duì)信息的二次利用行為全然不知[7]。

二、歐盟個(gè)人信息保護(hù)中的告知同意規(guī)則

歐盟《一般數(shù)據(jù)保護(hù)條例》(以下簡稱GDPR)和德國《聯(lián)邦個(gè)人資料保護(hù)法》(以下簡稱BDSG)均將告知同意規(guī)則居于核心位置[8]。本文將從上述內(nèi)容中抽象出同意的表示方式、同意的生效要件，試圖為國內(nèi)個(gè)人信息保護(hù)立法提供參考路徑。

(一)同意的表示方式

關(guān)于同意的表示方式，歐盟和德國的法律均規(guī)定了明示同意和默示同意[9]。依據(jù)BDSG第4a條規(guī)定，同意的表示方式分為兩個(gè)層次：第一層的適用最為普遍，要求以書面形式表達(dá)；第二層則是在特殊情況下，允許授權(quán)其他形式。該條款表明當(dāng)事人表達(dá)同意的意思表示方式為書面形式，是一種積極肯定的方式，表明對(duì)方可以處理本人的面部數(shù)據(jù)信息，只有在特殊情況下才能通過其他形式表達(dá)。此外，在GDPR第9條中將面部數(shù)據(jù)作為特殊類別的個(gè)人數(shù)據(jù)處理，而對(duì)于這種特殊類別的個(gè)人數(shù)據(jù)，GDPR采取的是“原則—例外”的立法模式，即原則上規(guī)定為禁止處理，僅在法條羅列的例外情況下才可以處理，其中例外情況之一就包含了面部數(shù)據(jù)在采用明示同意后可以處理。此外，歐盟GDPR中關(guān)于同意的形式要求必須是“自愿”作出、“知情”后作出和“明確”作出的同意，對(duì)于面部數(shù)據(jù)則是適用更為嚴(yán)苛的“明示同意”模式?？傊瑹o論是默示同意還是明示同意，德國BDSG和歐盟GDPR都要求面部數(shù)據(jù)主體通過一個(gè)積極肯定的行為來完成。

(二)同意的生效要件

為了促進(jìn)GDPR的實(shí)施，2018年4月歐盟“第29條”工作組發(fā)布新修訂的GDPR實(shí)施指南[10]。該指南的核心內(nèi)容顯示，自然人應(yīng)當(dāng)能夠以透明的方式了解與其有關(guān)的個(gè)人數(shù)據(jù)收集、使用、訪問以及其他處理的樣態(tài)和程度，進(jìn)而對(duì)此作出同意。指南中關(guān)于同意的生效要件包括以下四點(diǎn)：

1.當(dāng)事人同意必須為自主同意

BDSG和GDPR中均將個(gè)人數(shù)據(jù)主體的自主決定性作為同意的首要生效要件。此外，新修訂的GDPR實(shí)施指南對(duì)于該種自主決定性從多個(gè)方面作出了規(guī)定，盡可能地保護(hù)同意的自主性。例如在雙方地位不對(duì)等的情況下盡可能保護(hù)信息主體方；限制信息控制者處理信息的范圍為經(jīng)過當(dāng)事人同意授權(quán)的范圍；需要對(duì)多條個(gè)人信息進(jìn)行處理，不能取得籠統(tǒng)的同意，而須分別取得同意等，否則同意是無效的。

2.當(dāng)事人同意必須為具體特定的同意

在BDSG和GDPR的語境下，“具體特定的同意”是指?jìng)€(gè)人信息主體對(duì)于數(shù)據(jù)控制方收集、處理、利用的目的和范圍有特定的同意。具體特定的同意是相對(duì)于概括的同意而言的。BDSG和GDPR的語境下這種同意必須是前者，即明確表達(dá)對(duì)于某一條或某幾條個(gè)人信息允許被處理以及允許在何種范圍內(nèi)處理。在該種模式下，個(gè)人信息主體是采取主動(dòng)同意的方式對(duì)數(shù)據(jù)處理的范圍作出了許可，相比以往被動(dòng)同意的模式能有效避免同意的擴(kuò)張。

3.當(dāng)事人同意必須為告知后同意

告知后同意實(shí)際上是對(duì)同意的時(shí)間限制，即必須在數(shù)據(jù)處理方告知相關(guān)信息后，信息主體表示的同意才是有效的。該模式進(jìn)一步明晰了“告知—同意”的實(shí)踐邏輯，即只有在充分的告知以后，個(gè)人信息主體才能根據(jù)被告知的內(nèi)容衡量利弊，并據(jù)此作出同意與否的決定。告知的充分一方面取決于告知的內(nèi)容是否完善，另一方面取決于告知的方式。對(duì)此歐盟“第29條”工作小組創(chuàng)新了告知方法，要求依據(jù)告知內(nèi)容的重要程度等因素采用分層次告知方法[11]。

4.當(dāng)事人同意必須清楚且明確地表達(dá)

所謂清楚且明確地表達(dá)是對(duì)同意形式的實(shí)質(zhì)要求。GDPR第7條詳細(xì)規(guī)定了同意的條件。一方面，一般情況下要求數(shù)據(jù)控制者能夠證明數(shù)據(jù)主體已經(jīng)同意其處理個(gè)人數(shù)據(jù)；另一方面，若數(shù)據(jù)主體的同意是基于數(shù)據(jù)控制主體已經(jīng)給出了書面聲明的情況下所表示的，那么除此之外，還要求數(shù)據(jù)主體針對(duì)其信息被特定處理還需要一個(gè)積極的行為或者聲明同意。如果缺少二次明確的同意，則當(dāng)事人的同意是無效的。在該模式下，實(shí)際上是保護(hù)數(shù)據(jù)主體，通過增加二次同意、提高同意的清晰度讓數(shù)據(jù)主體不受數(shù)據(jù)控制方的掣肘。

三、完善我國個(gè)人信息保護(hù)領(lǐng)域告知同意規(guī)則的建議

為解決因告知不充分、隱私條款冗雜、多樣的網(wǎng)絡(luò)交互行為導(dǎo)致告知同意不真實(shí)的情況，參考上述域外告知同意規(guī)則的制度框架，結(jié)合我國目前《民法典》中關(guān)于告知同意規(guī)則的頂層設(shè)計(jì)和“草案”中的相關(guān)規(guī)定，提出下列建議：

(一)明確同意的主體須為完全民事行為能力人

“草案”中關(guān)于處理個(gè)人信息的合法基礎(chǔ)規(guī)定在第13條，其中第一項(xiàng)即明確要求取得個(gè)人同意。這里的同意作為一種意思表示應(yīng)當(dāng)是具有民事行為能力的人所作出的表意行為。換句話來說，放置在告知同意規(guī)則中，要求當(dāng)事人具有民事行為能力即要求具備同意能力，否則信息控制者征得的同意是無效的[12]。若貿(mào)然許可未成年人對(duì)自己的個(gè)人信息進(jìn)行支配，可能會(huì)造成不當(dāng)后果，侵犯其人格權(quán)益。因此，應(yīng)當(dāng)要求其監(jiān)護(hù)人代為表示同意。此外，對(duì)于成年但因?yàn)槟撤N原因喪失或部分喪失行為能力的人均應(yīng)當(dāng)參照對(duì)未成年人的保護(hù)，采取監(jiān)護(hù)人代為表示同意的規(guī)定。

《民法典》中對(duì)于自然人的民事行為能力采取的是三分法?？紤]到我國長久以來對(duì)個(gè)人信息保護(hù)的忽視，個(gè)人信息泄露的嚴(yán)重性不一定受到全部百姓的關(guān)注，尤其是年邁的老年人和未成年人。因此，只有完全民事行為能力人才有同意的能力，而不滿18周歲的未成年人和雖已成年但因?yàn)槟撤N原因喪失或部分喪失行為能力的人均應(yīng)征得其監(jiān)護(hù)人的明示同意，如此才能更好地保護(hù)他們的信息自決權(quán)。綜上，建議將“草案”中第13條第1款1句的表述方式修改為“只有取得自然人或者其監(jiān)護(hù)人的同意，個(gè)人信息處理者方可處理個(gè)人信息”。

(二)限縮處理信息的合法性基礎(chǔ)

關(guān)于處理個(gè)人信息的合法性基礎(chǔ)，“草案”中除了告知同意規(guī)則還規(guī)定了其他合法性基礎(chǔ)，其中第13條第二項(xiàng)即將一方為訂立或者履行合同所必需的這種情形作為處理個(gè)人信息的合法性基礎(chǔ)之一。該項(xiàng)一定程度上是對(duì)于告知同意規(guī)則的例外，雖然有原則就有例外，且該例外也不影響告知同意規(guī)則的主流適用地位，但是這里規(guī)定的為訂立合同或者履行合同這個(gè)時(shí)間段是否過長有待商榷。例如，網(wǎng)絡(luò)平臺(tái)在向自然人提供網(wǎng)絡(luò)服務(wù)過程中，如果網(wǎng)絡(luò)公司都以是訂立合同所必需為由來處理個(gè)人信息，那么就會(huì)使得自然人對(duì)個(gè)人信息處理的決定權(quán)受到極大的限制，甚至是變性地被排除。

從GDPR的規(guī)定來看，其第6條第1款(b)的表述是“處理是數(shù)據(jù)主體作為合同主體履行合同之必要，或者處理是因數(shù)據(jù)主體在簽訂合同前的請(qǐng)求而采取的必要措施”，即必須是數(shù)據(jù)主體即自然人在簽訂合同前主動(dòng)提出請(qǐng)求(相當(dāng)于提前同意)處理者處理其個(gè)人信息，如某自然人要求旅行社提供滿足其個(gè)性化要求的旅游套餐服務(wù)而主動(dòng)將個(gè)人信息提供給處理者。目前“草案”中第13條第二項(xiàng)的規(guī)定沒有注意到這一點(diǎn)，直接規(guī)定“為訂立或者履行”顯然不妥，應(yīng)該刪除“為訂立”的情形。

(三)明確告知同意的形式為書面形式

草案第30條明示了處理敏感個(gè)人信息的單獨(dú)同意規(guī)則，并且在同意的形式上要求部分經(jīng)法律、行政法規(guī)規(guī)定的應(yīng)當(dāng)取得書面同意。從形式上限制告知同意，可以有效地落實(shí)同意主體對(duì)數(shù)據(jù)信息重要性的認(rèn)知，在一定程度上避免信息不對(duì)稱和信息過載帶來的同意不真實(shí)現(xiàn)象。在有些學(xué)者看來，告知同意中的同意不必過于強(qiáng)調(diào)表達(dá)的形式，無論是采取明示或是默示，書面或是口頭形式，都不能認(rèn)為是同意的生效要件。同意關(guān)鍵在于信息主體的意愿真實(shí)、表達(dá)清晰，而同意形式在所不問[13]。筆者認(rèn)為這種觀點(diǎn)是片面的。因?yàn)閮?nèi)容與形式二者是辯證統(tǒng)一的，不能分別割裂開來看，如若僅僅注重同意的內(nèi)容而忽略同意的形式，就會(huì)打破這一規(guī)律。且面部數(shù)據(jù)作為個(gè)人信息中能反映生物特征的信息，其重要性不言而喻，若對(duì)同意的形式不加以限制，則近似于沒有規(guī)定，不利于規(guī)范處理個(gè)人信息的行為。

為了促使面部數(shù)據(jù)主體能謹(jǐn)慎地作出同意表示，建議人臉識(shí)別中面部數(shù)據(jù)的當(dāng)事人同意應(yīng)以書面形式較為妥當(dāng)?！安莅浮敝杏邢嚓P(guān)趨勢(shì)，但對(duì)適用范圍有嚴(yán)格限制，僅僅強(qiáng)調(diào)在法律法規(guī)有規(guī)定的情況下“單獨(dú)同意”要求敏感信息主體出示書面同意，具體范圍尚不明確。且對(duì)于單獨(dú)同意的概念與形式，立法沒有給出明確界定，筆者認(rèn)為應(yīng)當(dāng)進(jìn)一步優(yōu)化“單獨(dú)同意”的表述，因?yàn)椤皢为?dú)同意”和“書面同意”似乎不是并列關(guān)系，立法將兩者并列的做法有待商榷。

(四)精煉告知內(nèi)容，豐富告知方法

關(guān)于精煉告知同意的內(nèi)容，正確理解應(yīng)當(dāng)是在對(duì)面部數(shù)據(jù)主體的告知達(dá)到一定的充分程度后，盡量以簡潔、明了、易懂的語句呈現(xiàn)給面部數(shù)據(jù)主體同意。通過對(duì)信息控制者告知的充分程度的要求進(jìn)行提煉，再簡明扼要地表達(dá)出來，能直接解決同意趨于形式化的弊端，從而保障面部數(shù)據(jù)主體的權(quán)利。

首先，精煉告知內(nèi)容?！睹穹ǖ洹泛汀安莅浮敝芯?guī)定了信息處理方在獲得信息主體的同意以前需要告知的內(nèi)容，在充分告知的前提下，應(yīng)當(dāng)精煉告知內(nèi)容，讓面部數(shù)據(jù)主體有耐心讀下去,有能力讀懂，增強(qiáng)同意的有效性[14]。如果申訴渠道暢通，信息控制方若不正當(dāng)?shù)貙?shù)據(jù)轉(zhuǎn)移給他者，基于數(shù)據(jù)流通所導(dǎo)致的侵害則有了更便利的救濟(jì)途徑。其次，豐富告知方法。我國個(gè)人信息保護(hù)立法可以借鑒歐盟的做法，根據(jù)本國的國情采用分層次告知方法。分層次告知法，即人為地將隱私政策中的告知內(nèi)容根據(jù)其重要性進(jìn)行分層，例如將個(gè)人信息的使用范圍和使用方法作為基礎(chǔ)信息排列在前，將法律風(fēng)險(xiǎn)和法律責(zé)任等重要信息緊跟在后，最后附帶其他相關(guān)信息；且不同層次的信息，分別采取放大、標(biāo)粗、下劃線等方式提醒個(gè)人信息主體關(guān)注相關(guān)內(nèi)容。通過上述途徑，想必可以極大緩解由于告知不充分和隱私政策冗雜導(dǎo)致的錯(cuò)誤同意。

四、結(jié)語

大數(shù)據(jù)時(shí)代的個(gè)人信息保護(hù)具有鮮明的時(shí)代特征，人臉識(shí)別技術(shù)即為時(shí)代的新興產(chǎn)物，傳統(tǒng)的告知同意規(guī)則在解決面部數(shù)據(jù)被泄露的問題時(shí)有所失靈。黨的十九大以來，以習(xí)近平同志為核心的黨中央高度重視網(wǎng)絡(luò)空間法治建設(shè)，對(duì)個(gè)人信息保護(hù)立法工作作出部署，是貫徹習(xí)近平法治思想以人民為中心的體現(xiàn)。本文在對(duì)比歐盟、德國相關(guān)法律中關(guān)于知情同意規(guī)則制度設(shè)計(jì)的基礎(chǔ)上，建議進(jìn)一步完善同意的主體、限縮處理信息的合法性基礎(chǔ)、明確告知同意的形式、精煉告知同意的內(nèi)容，讓知情同意規(guī)則真正在大數(shù)據(jù)時(shí)代發(fā)揮應(yīng)有的作用。

此外，我國個(gè)人信息保護(hù)尚處在起步階段，其中仍然存在許多值得討論的地方。例如《民法典》中關(guān)于個(gè)人信息的分類與《個(gè)人信息保護(hù)法(草案)》中關(guān)于個(gè)人信息的分類不同，二者關(guān)系為何，又應(yīng)當(dāng)如何協(xié)調(diào)；關(guān)于面部數(shù)據(jù)信息，“草案”中規(guī)定了單獨(dú)同意制度，如何認(rèn)定所謂的單獨(dú)同意；“草案”中還規(guī)定了信息主體的撤回權(quán)，撤回權(quán)的性質(zhì)是什么、法律效果是什么等等，這些都值得廣大學(xué)者去努力探討。希望在眾多學(xué)者的共同努力下，大家能為建設(shè)法治中國作出更大的貢獻(xiàn)。