人臉識別應(yīng)用與保護(hù)路徑研究

金 朗

(浙江金融職業(yè)學(xué)院 馬克思主義學(xué)院，浙江 杭州 310018)

數(shù)字經(jīng)濟(jì)高速發(fā)展過程中，人臉識別技術(shù)的應(yīng)用給公共管理與日常生活帶來便利，卻也對人格權(quán)、財產(chǎn)權(quán)和個人信息保護(hù)提出了挑戰(zhàn)。特別是近年來，野生動物園強(qiáng)制游客刷臉入園，小區(qū)安裝人臉識別門禁系統(tǒng)，售樓處未經(jīng)授權(quán)收集、分析上門顧客面部數(shù)據(jù)，經(jīng)由用戶畫像預(yù)測消費(fèi)模式，提供差異化報價方案等……大數(shù)據(jù)時代個人信息保護(hù)不同于傳統(tǒng)民法上的隱私權(quán)或肖像權(quán)保護(hù)，如何實(shí)現(xiàn)個人信息保護(hù)與信息流動及以此為基礎(chǔ)的數(shù)字經(jīng)濟(jì)發(fā)展間的平衡；乃至在風(fēng)險社會背景下，不會因信息濫用影響國家、公共、經(jīng)濟(jì)安全及社會穩(wěn)定，這些都是數(shù)據(jù)立法與執(zhí)法中亟需回應(yīng)的問題。

一、人臉識別信息法律屬性和規(guī)則沿革

(一)人臉識別信息法律屬性

1969年聯(lián)合國國際人權(quán)會議首次提出“數(shù)據(jù)保護(hù)”概念，之后各國立法中，“個人數(shù)據(jù)”和“個人信息”的用法較為常見，如2003年日本《個人信息保護(hù)法》、2018年歐盟《通用數(shù)據(jù)保護(hù)條例》等，我國法律文件中基本采用“個人信息”的表述，《民法典》也沿用了這一提法，與以往立法保持一致。個人數(shù)據(jù)是個人信息內(nèi)容的載體，就權(quán)利保護(hù)的實(shí)質(zhì)而言，法律保護(hù)的并非是數(shù)據(jù)載體，而是載體所承載的內(nèi)容，所以這一表述更為準(zhǔn)確。而明確規(guī)定對個人信息保護(hù)，始于2003年的《居民身份證法》。

目前根據(jù)我國法律規(guī)定，通過人臉識別技術(shù)收集的生物識別信息屬于個人信息范疇。從《民法典》關(guān)于人格權(quán)的規(guī)定來看，個人信息保護(hù)在第四編第六章標(biāo)題中被列于隱私權(quán)后，未以“個人信息權(quán)”的形式被確定為具體人格權(quán)利。隱私權(quán)中雖然也包含個人信息保密內(nèi)容，但根據(jù)《民法典》的規(guī)定，個人信息中的私密信息，適用隱私權(quán)的規(guī)定；沒有規(guī)定的，適用個人信息保護(hù)的規(guī)定。顯然法律認(rèn)可的個人信息保護(hù)，客觀上已超越了現(xiàn)有的隱私權(quán)保護(hù)模式。

而《民法典》建構(gòu)的個人信息保護(hù)模式蓋由諸多因素所決定。首先，個人信息既含人格要素，亦有財產(chǎn)要素，雖然二者相比并非等量齊觀。其次，依照傳統(tǒng)法學(xué)理論，信息主體對個人信息享有的是權(quán)利還是權(quán)益取決于此種權(quán)利(益)的重要性和發(fā)展的成熟度，目前個人信息與現(xiàn)有人格權(quán)體系中的隱私權(quán)、姓名權(quán)、肖像權(quán)等略有交疊，且內(nèi)容尚待豐富和明晰。再次，個人信息的控制者和處理者既有私法上的平等主體，也有公法上的公權(quán)力主體，這增加了利益衡量的復(fù)雜性與難度，亦引起是否需回避“個人信息權(quán)”具化以方便信息自由流動與社會管理的爭議。最后，《民法典》不僅明確規(guī)定了生命權(quán)、健康權(quán)、肖像權(quán)、隱私權(quán)等具體人格權(quán)利，還以“人身自由”、“人格尊嚴(yán)”為基礎(chǔ)將一般人格權(quán)利納入保護(hù)范疇，確定了民法體系中人格權(quán)利保護(hù)的開放性。司法實(shí)踐中，完全可以通過適用一般人格權(quán)規(guī)定，容納法律未予以明確的權(quán)利類型。

然而，在刑事裁判文書中，仍有法官使用侵害公民“個人信息權(quán)利”、“個人信息權(quán)”的提法。但在民事裁判中，涉及個人信息的案件往往表現(xiàn)為一般人格權(quán)糾紛，法官大多使用“個人信息權(quán)益”的提法，認(rèn)為立法未賦予個人信息權(quán)益絕對權(quán)地位,而只是將其作為受保護(hù)的民事權(quán)益,通過社會行為控制的方式場景化地加以保護(hù)。這些分歧亦是立法與司法，理論與實(shí)踐對個人信息保護(hù)問題的不同回應(yīng)。

(二)人臉識別信息規(guī)則沿革

從域外來看，基于人臉識別技術(shù)尚在發(fā)展階段，有潛在的信息安全、隱私侵權(quán)、技術(shù)濫用和歧視風(fēng)險，各國對其應(yīng)用大多持審慎態(tài)度，目前立法主要采用兩種模式。一種是專項立法保護(hù)模式，以美國部分州為代表，如伊利伊諾州的《生物識別信息隱私法案》、加利福尼亞州的《人臉識別技術(shù)法案》。另一種是綜合立法保護(hù)模式，將不同內(nèi)容、性質(zhì)的個人信息以及不同類型的保護(hù)措施納入統(tǒng)一的規(guī)范性文件。如日本《個人信息保護(hù)法》、英國《數(shù)據(jù)保護(hù)法案》、歐盟《通用數(shù)據(jù)保護(hù)條例》等。

人臉識別信息在我國屬于個人信息范疇，目前具體規(guī)定個人信息保護(hù)的主要法律、法規(guī)和規(guī)章包括：《民法典》、《消費(fèi)者權(quán)益保護(hù)法(2013年修正)》、《數(shù)據(jù)安全法》、《網(wǎng)絡(luò)安全法》、《電子商務(wù)法》、《密碼法》，《征信業(yè)管理條例》、《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》、《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》等。而《刑法》中涉及到個人信息的罪名主要為侵犯公民個人信息罪和破壞計算機(jī)信息系統(tǒng)罪。還有已列入全國人大常委會立法工作計劃，正在審議的《個人信息保護(hù)法(草案)》。

在此基礎(chǔ)上，我國還出臺了與個人信息保護(hù)相關(guān)的部門規(guī)范性文件，如《互聯(lián)網(wǎng)個人信息安全保護(hù)指南》、《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》、《個人金融信息保護(hù)技術(shù)規(guī)范》等。此外，市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會、全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會等還發(fā)布了與個人信息保護(hù)相關(guān)的一系列國家、行業(yè)標(biāo)準(zhǔn)和指南，如《信息安全技術(shù)個人信息安全規(guī)范》(GB/T 35273-2020)(以下簡稱《個人信息安全規(guī)范》)、《信息安全技術(shù)個人信息去標(biāo)識化指南》(GB/T 37964-2019)等。

我國對個人生物識別信息的保護(hù)起步較晚，在《民法典》中，個人生物識別信息被明確納入保護(hù)范圍，雖然在此之前，行政法規(guī)、司法解釋和其他規(guī)范性文件中也有涉及生物識別信息保護(hù)的具體條款，但內(nèi)容比較分散且相對簡單。目前對生物識別信息規(guī)定較多的是2020年10月開始施行的新版《個人信息安全規(guī)范》，明確定義包含人臉識別信息在內(nèi)的個人生物識別信息為敏感信息，細(xì)化了信息在收集、存儲、共享環(huán)節(jié)的保護(hù)要求。在《個人信息保護(hù)法》尚未正式出臺的情況下，國家標(biāo)準(zhǔn)發(fā)揮了積極作用，但推薦性或指導(dǎo)性國家標(biāo)準(zhǔn)不具有強(qiáng)制性。

二、人臉識別應(yīng)用類型與風(fēng)險定位

(一)人臉識別應(yīng)用類型

在2020年11月1日開始實(shí)施的推薦性國家標(biāo)準(zhǔn)《信息安全技術(shù)遠(yuǎn)程人臉識別系統(tǒng)技術(shù)要求》(GB/T38671-2020)中將人臉識別定義為：以人面部特征作為識別個體身份的一種個體生物特征識別方法，通過分析提取用戶人臉圖像數(shù)字特征產(chǎn)生樣本特征序列，并將該樣本特征序列與已存儲的模板特征序列進(jìn)行比對，用以識別用戶身份。

根據(jù)方式的不同，人臉識別應(yīng)用可分為人臉驗(yàn)證和人臉辨識。人臉驗(yàn)證是指將所產(chǎn)生的樣本特征序列與按用戶標(biāo)識信息已存儲的用戶模板特征序列進(jìn)行1∶1比對，以確認(rèn)用戶是否為所聲明的身份。較為常見的應(yīng)用場景包括智能門禁的刷臉認(rèn)證、顧客在商家的刷臉支付等。而人臉辨識是指將所產(chǎn)生的樣本特征序列與已存儲的指定范圍內(nèi)的所有模板特征序列進(jìn)行1：N比對，以確定用戶身份。較為常見的應(yīng)用場景包括追蹤嫌疑人、安防檢查、照片自動圈人等。

根據(jù)目的的不同，人臉識別應(yīng)用可分為安全防控、服務(wù)優(yōu)化和服務(wù)營銷三大類。以金融業(yè)務(wù)為例，運(yùn)用人臉識別可實(shí)現(xiàn)智能安全防控，從現(xiàn)金押運(yùn)到柜臺身份識別，有效降低金融機(jī)構(gòu)義務(wù)風(fēng)險，也有利于保障客戶資金安全。而在醫(yī)療領(lǐng)域，可通過面部表情特征的識別，分析追蹤病人藥物消耗及疼痛感知狀況，以優(yōu)化醫(yī)療服務(wù)。實(shí)踐中，也有部分經(jīng)營者安裝人臉識別系統(tǒng)，通過攝像機(jī)記錄顧客面部表情和體態(tài)動作，以識別顧客身份和評估顧客對商品或服務(wù)滿意程度，提供差異化營銷方案。比較以上三類人臉識別技術(shù)的應(yīng)用場景，安全防控和服務(wù)優(yōu)化兼顧了安全與效率，數(shù)據(jù)提供者或能滿足行政主管部門的管理要求，或能令數(shù)據(jù)提供者通過人臉識別行為獲益。但在服務(wù)營銷場景下，數(shù)據(jù)采集和使用者往往可以依賴人臉識別進(jìn)行客戶畫像，精細(xì)區(qū)分客群，降低營銷成本；而數(shù)據(jù)提供者獲益甚微甚至極有可能引發(fā)不平等和歧視問題。

(二)人臉識別應(yīng)用風(fēng)險定位

人臉識別應(yīng)用的風(fēng)險首先來源于數(shù)據(jù)本身不可更改的特性。通信聯(lián)系方式、住址、賬號密碼等個人信息泄露后可以更改，但人臉數(shù)據(jù)無法變更；縱然可要求數(shù)據(jù)控制者刪除，但一旦被非法收集和不當(dāng)使用，對信息主體造成的財產(chǎn)權(quán)和人格權(quán)損害不可逆轉(zhuǎn)且將長期存在。其次，技術(shù)的脫法傾向會導(dǎo)致功能異化。人臉識別信息有較低應(yīng)用門檻卻具備很高應(yīng)用價值，企業(yè)在逐利動機(jī)驅(qū)使下會想方設(shè)法以更低成本去收集、使用、處理、共享數(shù)據(jù)，并盡可能延長周期挖掘數(shù)據(jù)利用價值。人臉識別研發(fā)企業(yè)為提高技術(shù)精準(zhǔn)度需掌握大量人臉數(shù)據(jù)，如果通過購買獲得，這一過程本身就可能涉嫌違法甚至犯罪。而部分人臉識別應(yīng)用企業(yè)在公共場所未經(jīng)授權(quán)收集自然人面部數(shù)據(jù)，即使使用“優(yōu)化產(chǎn)品體驗(yàn)”或“保障用戶安全”等理由，亦不能免除其責(zé)任。同時，技術(shù)誤差也會進(jìn)一步加劇風(fēng)險與消極效應(yīng)。人臉識別數(shù)據(jù)應(yīng)用領(lǐng)域的迅速擴(kuò)張，已需要深度介入，通過衡量主體、成本、風(fēng)險、收益等因素來平衡各方利益，但反觀立法現(xiàn)狀及有關(guān)部門，卻更多停留在將該項技術(shù)作為工具的定位上，對數(shù)據(jù)控制(處理)者與數(shù)據(jù)主體的價值沖突回應(yīng)甚微。

1.隱私威脅：同意原則失靈

隱私權(quán)在《民法典》中被界定為自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動和私密信息。任何組織或個人不得以刺探、侵?jǐn)_、泄露、公開等方式侵害他人隱私權(quán)。個人信息和隱私的保護(hù)范圍存在交叉，構(gòu)成私密信息的個人信息應(yīng)通過隱私權(quán)加以保護(hù)。實(shí)踐中，判斷某一具體事物是否為隱私，可綜合私人性、主觀感受和客觀狀態(tài)來認(rèn)定。一般認(rèn)為，當(dāng)事人主動公開或主觀上不想保密的事物，不屬于隱私范疇。人臉信息與私密照片不同,一般可用于公開場合的身份識別和社會交往，因此其屬性更接近個人信息。但個人生物識別信息屬于敏感信息，一旦泄露或?yàn)E用極易導(dǎo)致個人名譽(yù)和身心健康受損，進(jìn)而影響到生活安寧與私密活動。然而收集者往往通過“使用即同意”協(xié)議，要求用戶提供人臉信息。如果用戶拒絕，即被排除在該項服務(wù)或產(chǎn)品之外。而后收集者可提取特定的面部信息，與用戶以往被記錄的所有面部信息匹配，再結(jié)合數(shù)據(jù)庫(可能存在過度收集用戶個人信息現(xiàn)象)中的行蹤軌跡、文字信息、交易信息、健康生理信息等就進(jìn)行用戶畫像。人臉信息收集規(guī)模越大，實(shí)現(xiàn)的經(jīng)濟(jì)效益也越高。而為了便于使用和處理人臉信息，收集者往往會借助“包含但不限于”條款來任意擴(kuò)大范圍，這些都將導(dǎo)致協(xié)議中的默示或明示同意失去制約信息非法收集和濫用的功能。

2.財產(chǎn)侵權(quán)：加大交易成本和風(fēng)險

《民法典》第一千零一十九條規(guī)定了肖像權(quán)的消極權(quán)能，禁止任何組織、個人以丑化、污損，或者利用信息技術(shù)手段偽造等方式侵害他人的肖像權(quán)。禁止未經(jīng)同意，制作、使用、公開肖像權(quán)人的肖像。該規(guī)定雖為盜用人臉行為提供了侵權(quán)保護(hù)的救濟(jì)思路。但肖像權(quán)與個人信息權(quán)益所保護(hù)的法益并不相同，前者主要保護(hù)自然人肖像所承載的人格利益，后者主要保護(hù)可識別到特定自然人的相關(guān)利益，具體表現(xiàn)為防止冒用、濫用引發(fā)的人身或財產(chǎn)損失等。

目前有效防范風(fēng)險的方案是把3D技術(shù)、人臉、指紋以及密碼等進(jìn)行融合性使用，但基于成本和利益考慮，企業(yè)或機(jī)構(gòu)雖也愿積極采取措施降低風(fēng)險，但很少會真的采取上述方案。近年來，在人臉識別環(huán)節(jié)采用欺騙手段通過機(jī)構(gòu)檢測的犯罪行為逐漸增多。通過使用軟件將公民照片制成3D頭像，通過人臉識別認(rèn)證；或利用虛擬視頻刷機(jī)包程序工具侵入APP用戶賬戶竊取他人賬戶內(nèi)資金，欺騙性技術(shù)手段不斷升級。

3.尊嚴(yán)貶抑：稀釋信任與核心價值

人的權(quán)利核心是人格尊嚴(yán)。人臉信息的收集和識別，在特定場景下可能還會侵犯人格尊嚴(yán)。人是主體、目的，而非手段、工具，人擁有不可侵犯與剝奪的尊嚴(yán)。而實(shí)踐中，“為激活社保卡，94歲老人被抱起做人臉識別“類似事件的出現(xiàn)，已經(jīng)背離了技術(shù)應(yīng)用的目的。人對于自身的價值具備本能和微妙的感覺，任何貶損人自身價值的行為不亞于直接侵害人的身體與財產(chǎn)。人格尊嚴(yán)作為一項基本、終極性價值，必須要通過具體權(quán)利來實(shí)現(xiàn)。

從個人“信息自決權(quán)”角度出發(fā)，行使自決權(quán)的前提是充分知情，個人有權(quán)要求全程參與信息流動的過程。如果個人無法控制甚至根本沒有意識到自己的面部信息正在被收集和使用，將會對個人隱私造成巨大損害，同時也將嚴(yán)重侵犯人格尊嚴(yán)。2019年，瑞典一所學(xué)校因使用面部識別技術(shù)來登記學(xué)生出勤率而受到GDPR的處罰。而在我國，《公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》和《個人信息安全規(guī)范》均規(guī)定，敏感信息的收集需要獲得信息主體的明示同意授權(quán)。

三、人臉識別信息保護(hù)路徑

(一)創(chuàng)制合理規(guī)范體系

人臉識別本身只是一種客觀的技術(shù)現(xiàn)象，之所以亟需立法回應(yīng)，是因?yàn)殡S著該項技術(shù)的深入開發(fā)和應(yīng)用，形成了新的民事法律關(guān)系。而人臉識別信息是個人信息的子概念，也應(yīng)當(dāng)適用《民法典》中關(guān)于個人信息保護(hù)的一般規(guī)則。具體到個人信息的處理，《民法典》確立了合理、正當(dāng)、必要原則，要求信息處理應(yīng)征得信息主體同意，還應(yīng)公開處理規(guī)則，明示處理目的、方式和范圍；并賦予信息主體查閱、復(fù)制、異議、更正和刪除的權(quán)利。但以上規(guī)定較為簡單抽象，在具體適用過程中尚需細(xì)化，完善可操作性。而現(xiàn)已公布的《個人信息保護(hù)法(草案二次審議稿)》，從個人信息生命周期角度擴(kuò)充了個人信息保護(hù)規(guī)則，以“告知—同意”為核心，要求個人信息處理者應(yīng)當(dāng)在事先充分告知的前提下取得個人同意，并且該同意可撤回；重要事項發(fā)生變更時還應(yīng)重新取得個人同意；且不得以不同意為由拒絕提供產(chǎn)品或服務(wù)。此外，處理敏感個人信息的，還應(yīng)取得單獨(dú)同意。以上內(nèi)容豐富了個人信息處理規(guī)則，但僅為草案，尚在征求意見過程中。

目前已有5部行政法規(guī)、67個部門規(guī)章直接規(guī)定了“人臉識別”，若加上地方法規(guī)、地方政府規(guī)章，則數(shù)量更多。這些低位階規(guī)范性文件的主要內(nèi)容包括：明確應(yīng)用人臉識別技術(shù)實(shí)現(xiàn)身份認(rèn)證，以及具體的識別技術(shù)標(biāo)準(zhǔn)。實(shí)踐中，低位階規(guī)范更關(guān)注人臉識別技術(shù)的應(yīng)用場景及其現(xiàn)實(shí)利益，而法律層面的文本則更關(guān)注個人信息權(quán)益保護(hù)與個人信息合理利用間的平衡。各種不同或相同級別的規(guī)范形式散亂不統(tǒng)一，甚至?xí)霈F(xiàn)價值定位游離不定的狀況。如《黑龍江省住宅物業(yè)管理條例》規(guī)定“不得將人臉識別、指紋等生物識別技術(shù)作為唯一服務(wù)手段”，而《威海市物業(yè)管理辦法》則規(guī)定“鼓勵住宅小區(qū)建設(shè)視頻監(jiān)控、人臉識別、車輛識別等安全防范系統(tǒng)”。

實(shí)踐中人臉識別被大規(guī)模用于政務(wù)、商業(yè)、服務(wù)等領(lǐng)域，但相關(guān)信息處理者良莠不齊，無論是識別技術(shù)與設(shè)備的安全性，還是應(yīng)用過程中信息的處理方式均存在著安全隱患。如果現(xiàn)階段人臉識別信息的保護(hù)仍然依賴于信息處理者在指導(dǎo)性或推薦性國家標(biāo)準(zhǔn)下的行業(yè)自律(有些信息處理者甚至是相關(guān)國家標(biāo)準(zhǔn)的起草單位)，顯然這已與生物識別信息的安全與個人權(quán)益保障的迫切需要不相稱。未來法律保護(hù)的重心，應(yīng)當(dāng)是商業(yè)應(yīng)用過程中個人生物信息安全以及個人具體權(quán)益。

首先，需要制定高位階法律綱舉目張，給予低位階規(guī)范正確的價值導(dǎo)向。未來若《個人信息保護(hù)法》正式實(shí)施，可以和憲法、其他法律協(xié)調(diào)一致，引領(lǐng)生物識別信息安全保護(hù)的發(fā)展方向。其次，可采用部門規(guī)章或強(qiáng)制性國家標(biāo)準(zhǔn)的形式制定專門的個人生物識別信息保護(hù)規(guī)范，重點(diǎn)規(guī)制人臉識別信息處理行為。其結(jié)構(gòu)應(yīng)包含立法宗旨及法律原則、核心概念定義、信息處理的限定條款(主體資格限定、處理方法限定、使用范圍限定、處理條件限定等)、信息處理關(guān)系中的權(quán)責(zé)類條款，以及保護(hù)措施和責(zé)任條款等。從人臉識別信息的生命周期管理角度而言，應(yīng)包含以下主要內(nèi)容。

周期規(guī)范內(nèi)容收集告知同意(基本原則,適用情形,免于告知同意情形,告知的內(nèi)容、方式、展示形式、適當(dāng)性,同意模式、變更與撤銷、證據(jù)留存)最小必要原則使用主體授權(quán)同意、避免擴(kuò)大使用存儲與其他個人信息隔離存儲、技術(shù)處理后存儲、存儲期限要求、境內(nèi)存儲要求傳輸加密傳輸共享、轉(zhuǎn)讓原則禁止(確需應(yīng)單獨(dú)告知、明示同意)

從個人信息主體的權(quán)利角度而言，應(yīng)包含知情同意權(quán)(核心權(quán)能)、查詢權(quán)、復(fù)制權(quán)、更正權(quán)、刪除權(quán)等。最后，就人臉信息處理過程中的告知內(nèi)容、合同模板等可采用推薦性國家標(biāo)準(zhǔn)、行業(yè)自律公約等形式，引導(dǎo)信息處理者合規(guī)操作。

(二)建構(gòu)多重治理機(jī)制

為規(guī)范包括人臉信息在內(nèi)的個人生物識別信息的處理，應(yīng)形成多重治理機(jī)制，明確監(jiān)管部門、信息處理者、信息主體各自的責(zé)任，并充分考慮成本、風(fēng)險、收益等因素，通過利益衡量建構(gòu)治理機(jī)制，合理分配相關(guān)主體的權(quán)利、義務(wù)和責(zé)任。

首先，設(shè)置專門機(jī)構(gòu)統(tǒng)籌個人信息保護(hù)工作。自我國法律明確保護(hù)個人信息以來，具體領(lǐng)域的相關(guān)行政職能主要由網(wǎng)信部門、工信部門，公安部門以及市場監(jiān)督管理部門共同履行，最主要和最常見的執(zhí)法行為是行政檢查與行政處罰。雖然各部門有其法定職責(zé)和權(quán)限，執(zhí)法對象和范圍也各有側(cè)重，但在具體執(zhí)法過程中仍然存在著一些問題：多頭管理、權(quán)責(zé)不清、推諉執(zhí)法、效率低下。在發(fā)生個人信息泄露或者濫用等安全事件后，用戶也常遇到投訴無門或相關(guān)部門各自為政的情形。而信息處理單位也可能會遇到不同執(zhí)法部門就同一事項重復(fù)檢查且標(biāo)準(zhǔn)不一的問題，增加額外負(fù)擔(dān)。為強(qiáng)化該領(lǐng)域監(jiān)管工作的權(quán)責(zé)統(tǒng)一，可參考域外國家設(shè)置專門個人信息保護(hù)機(jī)構(gòu)的方法，在中央統(tǒng)一領(lǐng)導(dǎo)下，指定或者整合一個專門機(jī)構(gòu)來具體實(shí)施包括人臉信息在內(nèi)的個人信息保護(hù)的政策制定與執(zhí)法工作。

其次，除進(jìn)一步明確各職能部門權(quán)責(zé)界限之外，還可采取聯(lián)合協(xié)作等方式開展執(zhí)法工作，以加強(qiáng)資源整合、信息共享、打破壁壘。如2019年初，中央網(wǎng)信辦、工信辦、公安部，市場監(jiān)督管理總局發(fā)布《關(guān)于開展App違法違規(guī)收集使用個人信息專項治理的公告》，在全國聯(lián)手開展治理行動，效果明顯。此外，在細(xì)分行業(yè)的基礎(chǔ)上，還應(yīng)強(qiáng)調(diào)具體的行業(yè)主管部門也應(yīng)承擔(dān)個人信息安全保護(hù)職責(zé)。如金融行業(yè)，中國銀行保險監(jiān)督管理委員會、中國人民銀行會積極參與到個人金融信息保護(hù)的治理行動中；而在教育行業(yè)，教育部、國家新聞出版署等相部門，也會就個人信息保護(hù)進(jìn)行監(jiān)督管理。

最后，在司法實(shí)踐中還應(yīng)對接不同部門法規(guī)范，通過訴訟實(shí)現(xiàn)對人臉識別信息在內(nèi)的個人信息的一體化保護(hù)。在民事領(lǐng)域，平衡各方主體利益，尊重對人臉識別信息合理使用的創(chuàng)新行為并進(jìn)行有效規(guī)制。在刑法領(lǐng)域，對突破道德底線、性質(zhì)惡劣的侵犯人臉識別信息的行為進(jìn)行嚴(yán)厲懲處并長期保持高壓態(tài)勢。

(三)增強(qiáng)個體安全意識與理性

知情同意是個人信息保護(hù)的核心和基礎(chǔ)，是主體意思自治的體現(xiàn)，這一行為模式預(yù)期目標(biāo)的實(shí)現(xiàn)有賴于人的理性，即需要行為人清楚自身的最大利益所在且能通過積極的自主行為予以實(shí)現(xiàn)。但在個體長期使用互聯(lián)網(wǎng)的過程中，“免費(fèi)”和“分享”幾乎成為習(xí)慣與共識，而忽視這種“無成本”的服務(wù)或產(chǎn)品實(shí)際上是個人提供信息或讓渡部分權(quán)利獲得的對價。有鑒于此，信息主體在經(jīng)濟(jì)活動中應(yīng)當(dāng)更理性地審視和分析個體與產(chǎn)品或服務(wù)提供者之間的法律關(guān)系，正視自身為取得產(chǎn)品或接受服務(wù)將要承擔(dān)的風(fēng)險與成本，權(quán)利、義務(wù)和責(zé)任；不斷提高認(rèn)知能力，消除認(rèn)知偏差；積極獲取與人臉識別有關(guān)的各類信息；認(rèn)真閱讀人臉信息處理過程中的告知書、協(xié)議等書面材料；了解個人信息被侵犯或?yàn)E用時的救濟(jì)渠道。有關(guān)部門也可通過輿情引領(lǐng)、宣傳教育等方式，讓公眾知曉人臉識別技術(shù)的潛在風(fēng)險與消極影響；并且通過對各類組織的有效監(jiān)管，違法犯罪活動的有力打擊，消減公眾對人臉識別信息處理的不安全感。