論人臉識別信息的法律保護
——兼評我國“人臉識別第一案”

刁勝先 姜 音

（重慶郵電大學(xué)網(wǎng)絡(luò)空間安全與信息法學(xué)院，重慶 400065）

人臉識別信息作為人臉識別技術(shù)的依托與產(chǎn)物，其經(jīng)濟價值伴隨著人臉識別技術(shù)的廣泛應(yīng)用而凸顯，但對人臉識別信息的非法處理導(dǎo)致人臉識別信息的安全無法被保障。因此，亟待完善人臉識別信息的法律保護，推動人臉識別行業(yè)良性發(fā)展。

一、人臉識別技術(shù)與人臉識別信息

（一）人臉識別技術(shù)概述

人臉識別是基于人的臉部特征信息進行身份識別的一種生物特征識別技術(shù)，經(jīng)歷了基于幾何特征的人臉識別算法、基于模板的人臉識別算法和基于深度神經(jīng)網(wǎng)絡(luò)的人臉識別算法3個歷程，并憑借并發(fā)性、非接觸、操作簡便和用戶體驗好等優(yōu)勢，在社會上得到越來越廣泛的應(yīng)用[1]。通過采集的面部特征信息識別個人身份，通常包括4個步驟，即采集人臉數(shù)據(jù)、提取面部特征、處理人臉圖像和比對人臉數(shù)據(jù)庫。

目前，人臉識別技術(shù)廣泛應(yīng)用于金融、智慧園區(qū)、安防執(zhí)法、交通出行、游戲娛樂等領(lǐng)域。金融領(lǐng)域接入人臉識別技術(shù)，主要是為了保障資金的安全流轉(zhuǎn)以及提升支付效率。智慧園區(qū)領(lǐng)域使用該技術(shù)，主要進行考勤打卡、門禁管理、景區(qū)人臉檢票等。交通管制方面主要運用該技術(shù)來捕捉違法違規(guī)等行為；出行方面，通過在售票軟件以及汽車站、火車站、機場等驗票場所使用人臉核驗，可提高檢票率和出行效率。游戲娛樂領(lǐng)域使用該技術(shù)進行身份驗證是為了控制未成年人的游戲時間，進行精準營銷[2]。

（二）人臉識別信息解讀

1.人臉識別信息的概念及特征

根據(jù)《信息安全技術(shù)人臉識別數(shù)據(jù)安全要求（征求意見稿）》，人臉圖像是自然人臉部信息的模擬或數(shù)字表示，可通過設(shè)備收集，也可對視頻、數(shù)字照片等進行處理后獲得，主要包括可見光圖像、非可見光圖像（如紅外圖像）、三維圖像等；人臉特征是從數(shù)據(jù)主體的人臉圖像上提取的反映數(shù)據(jù)主體的參數(shù)；人臉識別數(shù)據(jù)是從人臉圖像及其處理圖像上得到的，可單獨或與其他信息結(jié)合以識別特定自然人或特定自然人身份的數(shù)據(jù)。人臉識別信息具備直觀性、專屬性、高敏感性、可識別性、唯一性、無法變更性等特征。

2.人臉識別信息的法律屬性辨析

對于人臉識別信息的法律屬性，學(xué)術(shù)界莫衷一是、眾說紛紜，就其承載的權(quán)益而言，主要有4類學(xué)說：“身體權(quán)說”“肖像權(quán)說”“隱私權(quán)說”以及“個人信息權(quán)益說”。

“身體權(quán)說”認為，身體權(quán)客體包含身體信息，其中聲紋、指紋、虹膜和面部信息的采集行為，涉及自然人身體權(quán)的范疇，是一種更“高級”的“搜身”行為[3]。這種觀點的存在與《中華人民共和國民法典》（以下簡稱《民法典》）中的相關(guān)立法初衷相悖，存在明顯缺陷。身體本身不等同于身體信息。從《民法典·人格權(quán)編》的編排來看，將生命權(quán)、身體權(quán)和健康權(quán)單列一章，表明這3種權(quán)利屬于同種類型的人格權(quán)，即物質(zhì)性人格權(quán)，而對人臉識別信息的保護則更側(cè)重于是在保護非物質(zhì)的精神性利益。

“肖像權(quán)說”認為，使用信息技術(shù)手段侵害肖像權(quán)的任一權(quán)能便會對肖像權(quán)造成侵害[4]。該觀點意識到了人臉識別信息的精神性法益，但仍具局限性。首先，客體與法益上，肖像固然可抽象為一種信息，但保護的客體必須是信息的成像形式。而人臉識別信息可以借助肖像形式呈現(xiàn)，也可以表現(xiàn)為數(shù)據(jù)、符號等呈現(xiàn)在不同載體上；信息主體在乎的不僅是肖像形象被玷污，而且更擔心不法分子利用該信息盜取財產(chǎn)、實施精準詐騙等非法活動，造成極大的財產(chǎn)安全風(fēng)險。其次，權(quán)能內(nèi)容與侵權(quán)表現(xiàn)不同。肖像權(quán)包括依法制作、使用、公開或者許可他人使用本人肖像的權(quán)利，侵權(quán)方式門檻低且廣泛；而人臉識別信息需要借助人臉識別技術(shù)加以制作和利用，對其侵權(quán)涉及多種使用場景，有較高的技術(shù)門檻，常常具有規(guī)模化，除與個人利益相關(guān)外，還涉及公共利益甚至國家利益。

“隱私權(quán)說”認為，即便在公眾場合只要自然人并未事先獲取明確的人臉識別通知，或者已采取戴帽子、口罩等相關(guān)有效措施隱藏了自己的面部特征，那么在主觀上該自然人就享有合理的隱私期待，應(yīng)當受隱私權(quán)保護[5]。《民法典》中，隱私權(quán)與個人信息權(quán)益的保護客體存在重疊部分，但二者不必然相同。人臉識別信息并不都具有隱秘、私密等性質(zhì)，更多時候是可以基于同意授權(quán)或法律規(guī)定授權(quán)，而為私人利益、企業(yè)利益、公共利益或國家利益所用的。

“個人信息權(quán)益說”認為，人臉識別信息由于平時處于暴露狀態(tài)，不具備個人隱私“私密性”特點，不能適用隱私權(quán)保護模式，應(yīng)按照個人信息的標準進行保護[6]。即人臉識別信息本質(zhì)上還是一種個人信息，既具備人身屬性，又具備財產(chǎn)屬性，如果單一地將人臉識別信息認定為人格權(quán)或財產(chǎn)權(quán)的某種范疇，那么將會陷入“二元擇一論”的困境[7]。將人臉識別信息定性為個人信息權(quán)益，表明這是一種不絕對排斥他人使用的權(quán)利，除了防御第三人侵害之外，還可以主動加以利用[8]。

“個人信息權(quán)益說”在《中華人民共和國個人信息保護法》（以下簡稱《個保法》）中也有體現(xiàn)。個人信息權(quán)益是一種綜合性權(quán)益，因為包括財產(chǎn)性利益，所以對其的保護和利用應(yīng)當并重[9]；一味強調(diào)收集限制，阻礙有價值的信息流通和利用，可能會違反社會整體福利的要求[10]，不利于數(shù)字經(jīng)濟的發(fā)展，應(yīng)從中找到一個平衡點，達到信息保護和利用的雙贏狀態(tài)。

二、人臉識別信息面臨的安全風(fēng)險及成因

（一）人臉識別信息面臨的安全風(fēng)險

1.人臉識別信息面臨的安全風(fēng)險來源

生物特征識別安全問題一般包含系統(tǒng)安全、個人隱私安全、應(yīng)用安全和其他輔助安全等4個基本方面。人臉識別技術(shù)應(yīng)用過程中的安全風(fēng)險主要來源有：攝像頭采集數(shù)據(jù)的傳輸安全、生物特征處理模塊安全、生物特征處理模塊與令牌通信安全、客戶端與服務(wù)端通信安全和服務(wù)端安全[1]。

2.人臉識別信息的非法處理更易發(fā)生

根據(jù)GB/T 35273-2020《信息安全技術(shù)個人信息安全規(guī)范》（以下簡稱《個人信息安全規(guī)范》）的規(guī)定，在收集敏感個人信息前，信息處理者應(yīng)確保信息主體在完全知情的前提下表示明確同意。然而，在實際情況中，許多商家往往在消費者不知情的情況下獲取其人臉識別信息，或通過冗長的授權(quán)條款獲得其“形式同意”，甚至過度申請權(quán)限、不同意就不能享受服務(wù)等“霸王條款”也屢見不鮮，這些行為實質(zhì)上都屬于非法收集。信息收集是信息流轉(zhuǎn)的基礎(chǔ)，非法收集人臉識別信息不僅是對信息主體的信息自決權(quán)的挑戰(zhàn)，而且會對個人信息安全造成威脅。

3.人臉識別技術(shù)具有正負社會效應(yīng)的雙面性

人臉識別技術(shù)屬于身份識別技術(shù)，以往較為流行的身份識別手段有驗證碼、電子簽名等。隨著數(shù)字時代的到來，人臉識別技術(shù)已成為身份識別的主流手段。人臉識別具有極強的人身依附性、難以篡改、易提取等特點，通過人臉信息去識別具體個人，可操作性更強、識別效率更高，更有利于數(shù)字經(jīng)濟的發(fā)展。

但是，技術(shù)永遠是雙刃劍。人臉識別技術(shù)除本身存在缺陷外，其應(yīng)用的負面性也難以避免。比如，該技術(shù)的準確度會因個人的年齡、光照條件、面部表情等而出現(xiàn)偏差。人臉識別準確率也會因個人性別、膚色等差異而存在誤差。在該技術(shù)應(yīng)用的生命周期中涉及芯片廠商、算法廠商、移動終端廠商等眾多角色，這使得人臉識別信息的泄露方式越來越復(fù)雜化，不正當競爭等惡性事件頻發(fā)，對國家安全與社會穩(wěn)定造成了一定的影響，同時也會侵犯公民的人格權(quán)與平等權(quán)，引發(fā)公眾“刷臉憂慮”。

4.人臉識別信息易被泄漏和濫用且次生危害大

首先，受人臉識別技術(shù)的限制，在進行人臉驗證時，需多層數(shù)據(jù)轉(zhuǎn)接，用戶要面對與數(shù)據(jù)中間商、數(shù)據(jù)后續(xù)利用者等多重主體的關(guān)聯(lián)[11]，轉(zhuǎn)接過程中，數(shù)據(jù)泄露風(fēng)險勢必增加。其次，商家為降低獲取信息的成本，在收集人臉識別信息之初，會通過格式條款或者“霸權(quán)協(xié)議”等方式，讓處于弱勢地位的消費者被迫同意出讓自己的面部識別信息，或者授權(quán)商家無條件使用該信息。一旦消費者同意，那么其人臉識別信息的流轉(zhuǎn)、何時何地被盜取他們都將不得而知。最后，如果網(wǎng)絡(luò)安全生態(tài)環(huán)境持續(xù)惡化，人臉識別系統(tǒng)的安全漏洞不可避免，黑客通過攻擊這些漏洞有可能獲取后臺存儲的人臉識別信息。

（二）人臉識別信息安全風(fēng)險的成因

1.知情同意原則失效

知情同意原則是指信息處理者在收集信息主體的個人信息時，應(yīng)保障其知情權(quán)并且獲得其同意。該原則旨在實現(xiàn)信息主體的信息自決權(quán)，讓其在個人信息領(lǐng)域占主導(dǎo)地位。從形式上看，這種“同意”機制為防止個人數(shù)據(jù)的濫用提供了保障[12]。然而，在人臉識別領(lǐng)域，知情同意原則往往流于形式，且處理方式極其簡單化，難以保障用戶的合法權(quán)益。這是因為人臉識別技術(shù)的“非接觸性”特點導(dǎo)致被采集人臉識別信息的對象往往因不知情而未能明確地同意或拒絕。同時，知情同意原則本意要求用戶對于收集、利用信息的行為有清楚明確的認知，并基于此做出是否同意的選擇，但大多數(shù)人臉識別服務(wù)協(xié)議條款過于冗長、用詞過于專業(yè)化，且未對重要條款進行明顯標注，并存在“不接受即強制退出”的霸權(quán)協(xié)議，導(dǎo)致大多數(shù)用戶被動同意采集其人臉識別信息。

2.人臉識別技術(shù)有局限性

首先，人臉識別系統(tǒng)的比對閾值設(shè)置過低，面部特征采集模塊對樣本質(zhì)量判斷能力較弱，使得人臉識別有可能發(fā)生錯誤識別的情況。其次，面部特征采集時不能很好地辨別呈現(xiàn)攻擊類型，因此他人可以利用用戶照片、視頻或者其他攻擊樣本進行識別，存在非本人驗證的情況下成功識別的風(fēng)險。最后，系統(tǒng)缺乏對人臉圖像的角度、距離等方面的有效檢驗?zāi)芰?，非法分子可以通過用戶假眼或遠距離注視等完成人臉驗證。

3.企業(yè)忽視數(shù)據(jù)安全保障的社會責任

由于經(jīng)濟人的趨利性，企業(yè)往往一味追求自身效益最大化，而忽視數(shù)據(jù)安全。人臉識別技術(shù)的推廣應(yīng)用離不開將安全單元、可信執(zhí)行環(huán)境等作為技術(shù)保障。人臉數(shù)據(jù)在收集后需要進行風(fēng)險預(yù)判，通過隱私計算分析、加密存儲等方法使得該數(shù)據(jù)處于風(fēng)險可控狀態(tài)，從而有效提升企業(yè)的風(fēng)險預(yù)防能力。然而，很多企業(yè)并不注重風(fēng)險防控，導(dǎo)致人臉數(shù)據(jù)泄露事件頻繁發(fā)生。

4.人臉識別信息侵權(quán)具有特殊性且維權(quán)難度大

與一般的個人信息侵權(quán)相比，人臉識別信息的侵權(quán)問題更具特殊性，具體表現(xiàn)為：其一，侵權(quán)主體難以確定。人臉識別設(shè)備幾乎布局于各個領(lǐng)域，用戶的人臉識別信息可能早已在不知情的情況下被收集。同時，面部信息被收集后歷經(jīng)環(huán)節(jié)眾多，流轉(zhuǎn)于多個信息處理者之手，信息主體很難確定自己的人臉識別信息是在哪一個環(huán)節(jié)被何人所侵犯。其二，侵權(quán)行為更為隱蔽。由于人臉識別技術(shù)的“非接觸性”，用戶可能在無意識的情況下被采集面部信息，且很難在第一時間發(fā)現(xiàn)權(quán)益受損。其三，侵害后果具有不可逆性。銀行卡、手機卡丟失可以通過掛失、補辦將損害程度降為最低，但是人臉識別信息一旦泄露，將無法抹除互聯(lián)網(wǎng)的記憶，難以徹底消除信息泄露所帶來的負面影響。

5.人臉識別信息安全風(fēng)險的監(jiān)管有待加強

目前，人臉識別信息的應(yīng)用場景日益泛化，導(dǎo)致個人權(quán)益被侵害的社會風(fēng)險進一步加劇，但政府的行政監(jiān)管卻存在很多困境，表現(xiàn)為監(jiān)管依據(jù)缺乏針對性與體系性、監(jiān)管機構(gòu)分散化、監(jiān)管措施有限等問題，對此需要不斷探索和完善各種保護措施[13]。

三、人臉識別信息的域外法律保護現(xiàn)狀

（一）歐盟

目前，歐盟主要通過《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，以下簡稱GDPR）對人臉識別信息這項生物識別數(shù)據(jù)進行特殊保護。一方面，GDPR第4（14）條規(guī)定，采用特殊技術(shù)處理個人的身體特征和行為特征，并能識別特定自然人的數(shù)據(jù)屬于生物識別數(shù)據(jù)，如人臉識別信息、指紋識別信息等。為排除肖像權(quán)和隱私權(quán)的沖突，GDPR敘文第51條規(guī)定，照片不屬于生物識別數(shù)據(jù)，只有經(jīng)過特殊技術(shù)處理的能識別自然人的照片才屬于該范疇。另一方面，GDPR將生物識別數(shù)據(jù)歸于特別的個人數(shù)據(jù)范疇，非法律規(guī)定的例外情形不得隨意處理。例如，人臉識別技術(shù)應(yīng)用于商業(yè)領(lǐng)域必須經(jīng)數(shù)據(jù)主體“明確同意”，且該同意必須“真實、自由、明確、不含糊”。換言之，凡是逼迫用戶被動同意使用該技術(shù)的均不合乎GDPR的規(guī)定。

2018年，法國頒布的《法國數(shù)據(jù)保護法》規(guī)定，“在未經(jīng)用戶同意的情形下，無論是公權(quán)力機關(guān)還是私營主體，都必須經(jīng)法律授權(quán)才能處理生物識別數(shù)據(jù)”。法國數(shù)據(jù)保護機構(gòu)（CNIL）在2019年發(fā)布的人臉識別報告中指出，人臉識別技術(shù)的使用會威脅公共領(lǐng)域的匿名性。CNIL認為，在發(fā)展技術(shù)的同時應(yīng)重視公民的隱私權(quán)，這樣才能贏得公民的信任。2019年8月，Anderstorps高中在教室內(nèi)使用人臉識別技術(shù)捕獲學(xué)生人臉識別信息并將其儲存在未連接互聯(lián)網(wǎng)的本地計算機中。此舉盡管事先獲得了學(xué)生監(jiān)護人的明示同意，但由于學(xué)校與學(xué)生之間信息不對等、地位不平等，監(jiān)護人的意愿不能等同于學(xué)生的意愿，因此，仍違反了知情同意原則，屬于非法收集；且收集人臉識別信息并不是上課所必要，因此還違反了數(shù)據(jù)最少收集原則。另外，由于學(xué)校未對該技術(shù)進行風(fēng)險評估，被瑞典數(shù)據(jù)保護機構(gòu)（DPA）罰款20萬瑞典克朗[14]。由此可見，歐盟傾向于對人臉識別技術(shù)進行強制監(jiān)管。

（二）美國

不同于歐盟統(tǒng)一立法的模式，美國采取的是對數(shù)據(jù)隱私和數(shù)據(jù)安全分別立法，且在聯(lián)邦層面未制定統(tǒng)一法案，而是在各州分散立法。

在聯(lián)邦層面，2019—2020年，美國參眾兩院通過了《商業(yè)人臉識別隱私法案》《人臉識別技術(shù)授權(quán)法案》以及《道德使用人臉識別法案》?！渡虡I(yè)人臉識別隱私法案》針對的主體為企業(yè)，要求在使用人臉識別技術(shù)前應(yīng)征得用戶同意，且不得將人臉識別信息進行非法共享；《人臉識別技術(shù)授權(quán)法案》主要限制相關(guān)執(zhí)法機構(gòu)利用該技術(shù)監(jiān)視公民生活，明確只有獲得法院指令方能使用；《道德使用人臉識別法案》禁止公權(quán)力機關(guān)使用該技術(shù)，以防止其侵犯公民隱私。由此可見，美國的相關(guān)法案重點在于限制公權(quán)力機關(guān)隨意采集公民的人臉識別信息，對企業(yè)和技術(shù)的發(fā)展有較高的包容度[15]，不傾向于強制監(jiān)管，而是通過嚴格的行業(yè)自律規(guī)范來達到保護個人信息的目的。

在州層面，2008年，伊利諾伊州制定了《生物信息隱私法案》（BIPA）。不同于歐盟的GDPR，BIPA并未規(guī)定是否可以使用生物識別信息，而是規(guī)定應(yīng)如何使用該信息。其一，在首次采集個人生物識別信息時，必須將目的、內(nèi)容和數(shù)據(jù)保留時間等情況告知信息主體并獲得其書面授權(quán)；其二，企業(yè)必須制定數(shù)據(jù)保留計劃，如果個人與企業(yè)的最后聯(lián)系時間超過三年，企業(yè)應(yīng)對該數(shù)據(jù)進行銷毀；其三，未經(jīng)信息主體同意，不得對生物識別信息進行出售或向他人披露，除非屬于法律規(guī)定的例外情形[16]。2019年5月，舊金山市頒布《停止秘密監(jiān)控法令》，成為美國首個禁止面部識別監(jiān)控的城市。2019年8月，馬薩諸塞州禁止了政府和警察使用人臉識別技術(shù)，并規(guī)定通過該技術(shù)獲取的證據(jù)在訴訟中不具證明力。2020年3月，華盛頓州通過《人臉識別服務(wù)法》，強調(diào)政府機構(gòu)使用人臉識別技術(shù)必須維護公民自由和增加社會福祉，通過建立審查測試機制保障個人信息安全。

歐盟一直以來嚴格限制生物識別數(shù)據(jù)的使用，不僅堅持限制公權(quán)力機關(guān)采集面部識別數(shù)據(jù)，而且對企業(yè)濫用人臉識別信息的打擊日趨嚴厲，使得技術(shù)發(fā)展受阻。而美國對人臉識別技術(shù)的規(guī)制較為自由，將權(quán)限賦予各州，但從近幾年各州的立法來看，美國似乎走上了一條日漸保守的道路[17]，人臉識別技術(shù)在美國的推進發(fā)展并不順利，而是困難重重。

四、我國人臉識別信息的法律保護現(xiàn)狀

（一）法律依據(jù)及相關(guān)內(nèi)容

立法上，《中華人民共和國網(wǎng)絡(luò)空間安全法》（以下簡稱《網(wǎng)安法》）和《民法典》等法律對生物識別信息均有涉及?！睹穹ǖ洹返?034條第2款以列舉形式規(guī)定，個人信息包含生物識別信息?！毒W(wǎng)安法》在第7章附則中對個人信息進行解釋時也涉及到該類特殊信息，但所用術(shù)語與《民法典》稍有不同，為“個人生物識別信息”。該表述強調(diào)了生物識別信息與個人之間的對應(yīng)性與關(guān)聯(lián)性，更清楚地表明了生物識別信息具有唯一性與高度人身性。

具體來說，《民法典·人格權(quán)編》只是將生物識別信息列舉在個人信息的范疇內(nèi)，并未對其做進一步區(qū)分；《網(wǎng)安法》未區(qū)分敏感個人信息與一般個人信息，因此人臉識別信息作為個人生物識別信息的一個小分支，只能作為一般個人信息進行保護?！睹穹ǖ洹と烁駲?quán)編》第1034條第3款的規(guī)定看似是對個人信息的雙重保護，實則容易造成兩個棘手問題：一是混淆個人信息與隱私的權(quán)益客體，使對具有綜合性內(nèi)容的個人信息權(quán)益客體的保護受到一定程度的削弱；二是模糊一般個人信息與敏感個人信息的差異，忽視其本質(zhì)區(qū)別，以同樣的力度保護兩種信息顯然不合時宜，不利于突出人臉識別信息等個人生物識別信息的特殊保護地位[18]。對此，敏感個人信息的立法已提上議程。2021年8月20日，《中華人民共和國個人信息保護法》（以下簡稱《個保法》）經(jīng)第13屆全國人民代表大會常務(wù)委員會第30次會議予以通過，自2021年11月1日起施行。該法共包括8個章節(jié)、74條，是首部完整規(guī)定個人信息處理規(guī)則的法律，充分彰顯了我國在個人信息保護領(lǐng)域立法的時代性、國際性和本土性[19]?！秱€保法》第2章第2節(jié)對敏感個人信息的處理規(guī)則進行了專節(jié)規(guī)定，從立法層面將生物識別信息正式納入敏感個人信息范疇。同時，結(jié)合《個人信息安全規(guī)范》對生物識別信息外延的規(guī)定可知，該信息包括面部識別特征，而該特征又是人臉識別信息產(chǎn)生的前提和基礎(chǔ)，由此可推出人臉識別信息屬于生物識別信息，應(yīng)按照《個保法》對敏感個人信息的處理規(guī)則進行保護。而以往個人信息處理者提供的一攬子授權(quán)同意協(xié)議卻從本質(zhì)上剝奪了知情同意權(quán)。因此，《個保法》明確規(guī)定兩種同意機制：一是廣泛的同意；二是單獨的同意，即對于敏感個人信息的處理必須征得信息主體的單獨同意，也就是需要信息主體在充分知情的情況下明確地表示同意。這是《個保法》為突破目前知情同意“僵局”而做出的重大嘗試，將貫穿人臉識別信息保護全過程，但對于敏感個人信息的處理是否需要“書面同意”，仍未能明確。

（二）司法現(xiàn)狀

1.“人臉識別第一案”分析

（1）案情簡介

實踐中通過人臉識別技術(shù)侵犯個人信息的情形常有發(fā)生，比如訴諸法律的“人臉識別第一案”。郭兵作為杭州野生動物世界有限公司（以下簡稱“野生動物世界”）的年卡用戶，辦卡時錄入了姓名、手機號、指紋等信息，還拍了照片。后因不滿野生動物世界入園方式由原先約定的指紋識別轉(zhuǎn)變?yōu)閺娭迫四樧R別，他以野生動物世界違反服務(wù)合同約定、存在欺詐為由，于2019年將野生動物世界告上法庭。

（2）判決亮點

野生動物世界在與原告簽訂的年卡合同中約定入園方式為指紋識別，但同時又收集了原告及其妻子的面部識別信息，顯然超出必要要求，違反了正當性和必要性原則。一審法院判決被告刪除原告辦理年卡時提交的照片等信息。對此，雙方均不服而上訴。二審法院在一審判決基礎(chǔ)上增判被告刪除原告辦理年卡時提交的指紋信息，因為被告不再使用指紋識別閘機，持有指紋信息已無必要。法院認為，生物識別信息直接關(guān)聯(lián)特定個人的生理和行為特征，若發(fā)生泄露或存在非法處理行為，極有可能導(dǎo)致信息主體遭受歧視待遇，甚至威脅其人身安全和財產(chǎn)安全，故更應(yīng)謹慎對待，以更嚴的標準進行保護。盡管原告在辦理指紋識別時被要求拍照，但被告并未告知原告拍照會完成人臉識別信息的采集，而同意拍照也并不意味著原告及其妻子同意被告采集他們的人臉信息并用于識別。因此，被告的操作不符合知情同意原則。該案的兩審判決均對個人信息的司法保護明確“亮劍”，不但適用現(xiàn)有立法確立的“合法、正當、必要”的收集原則、信息使用的“知情同意原則”和“目的限制原則”，而且落實了個人信息刪除權(quán)，開啟了我國個人信息保護的司法實踐。

（3）判決未決問題及思考

盡管該案的判決保護個人信息的立場鮮明，但因案件新穎前沿，涉及問題敏感，事關(guān)各方利益，加之立法對于人臉識別信息等保護尚不具體細致，法院的兩審判決都比較謹慎，并以“法律依據(jù)不足”“證據(jù)不足”等理由回避了一些關(guān)鍵問題與訴求，暴露出立法、司法和監(jiān)管在針對這類案件時的局限性和滯后性。

首先，野生動物世界以霸王條款方式強制將人臉識別作為唯一入園方式，是否合法有效？原告要求判定該內(nèi)容無效，但法院予以回避。然而，這涉及到人臉識別技術(shù)的安全性與消費者選擇權(quán)的保障、人臉識別技術(shù)的正當利用與濫用的界限等問題。籠統(tǒng)地說，新技術(shù)的運用，應(yīng)當正當；但就具體而言，人臉識別技術(shù)的使用是否堅持必要原則，是否區(qū)別主體而采取不同門檻，仍需要全面深入地論證。

其次，刪除是否需要第三方認證？原告要求在被告刪除其相關(guān)信息時應(yīng)有第三方認證機構(gòu)在場認證，但未能得到法院支持。雖然法院判決被告刪除原告相關(guān)信息，但鑒于信息的易復(fù)制性、無形無體性、高度傳播性，以及考慮到信息主體的技術(shù)弱勢，如何確保信息主體的刪除權(quán)得到落實，具體怎么刪除，有無可能利用已刪除信息去做別的事，對于原告而言不得而知。缺乏保障的判決執(zhí)行難免讓判決書變成一紙空文而折損司法威嚴。

再次，違約之訴與侵權(quán)之訴及個人信息維權(quán)困難。該案中，本是法學(xué)博士的原告在懂得如何收集證據(jù)等的情況下，也感慨侵權(quán)事實及損害的舉證難度異常大，其前期準備的充分證據(jù)比如手機視頻等也無法得到法院認可?？梢姡瑢τ谏胁痪邆浞▽W(xué)專業(yè)知識的普通消費者而言，類似案件的維權(quán)定是難上加難。該案在性質(zhì)上屬于服務(wù)合同違約之訴而非個人信息侵權(quán)之訴，而原告之所以不以人臉識別信息受到侵害為由提起侵權(quán)訴訟，就在于侵權(quán)舉證難度太大。在《個保法》出臺之前，我國對于人臉識別信息等個人生物識別信息的侵權(quán)歸責采用過錯原則，要求受害方信息主體承擔證明責任。比如，一審時法院認為，原告及其妻子的入園記錄對消費者而言屬于自身的行蹤信息，而對服務(wù)提供者野生動物世界而言卻屬于其經(jīng)營信息，該類信息應(yīng)屬于兩方共同所有。原告只能在有證據(jù)證明被告存在泄漏、非法使用等行為，且對自身合法權(quán)益造成損害或存在損害可能性時方能要求法院對該信息進行刪除，否則法院不予支持。尚且不談舉證責任的分配對處于弱勢一方的信息主體是否公平，在當下互聯(lián)網(wǎng)高速傳播的信息社會，即便在信息主體收集證據(jù)準備訴訟的時期，其信息仍存在轉(zhuǎn)于人手而無法止損的風(fēng)險。因此，我們認為，如何在保障新興技術(shù)蓬勃發(fā)展的同時最大限度地保護公民的個人信息安全，是目前亟需解決的問題。

最后，個人信息，尤其是人臉識別信息的保護制度與規(guī)則，存在適法困難且需求細化的問題。該案中，由于立法沒有太多細化規(guī)定，法院主要從個人信息處理的“合法、正當、必要”原則進行評判，因而還不夠全面。

2.《人臉信息司法解釋》簡析

正是在“人臉識別第一案”的推動下，2021年7月28日，最高人民法院發(fā)布《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》（以下簡稱《人臉信息司法解釋》），部分回應(yīng)了該案判決中未決的疑問，同時進一步完善了其他規(guī)定。

第一，該解釋僅適用于人臉信息民事案件，未涉及行政與刑事案件；且主要以人臉信息司法保護的問題與需求為導(dǎo)向，對侵權(quán)責任、合同規(guī)則以及訴訟程序等方面作出規(guī)定。該解釋將其保護客體明確表述為“人臉信息”；調(diào)整的責任主體是信息處理者；調(diào)整的行為分為兩類：一是使用人臉識別技術(shù)處理人臉信息；二是處理基于人臉識別技術(shù)生成的人臉信息。

第二，該解釋列舉了處理人臉信息時違反“正當、合法、必要”原則的7種具體表現(xiàn)和1種兜底規(guī)定，包括經(jīng)營場所、公共場所使用人臉識別技術(shù)時未依法進行、不符合公開透明原則、未遵守“單獨+書面同意”原則、處理行為違反約定、未采取必要措施、違約或違法提供人臉信息、違背公序良俗原則，以及違反“合法、正當、必要”原則的其他情形。這不只是對第一案判決依據(jù)的細化，還是對違反該原則的其他表現(xiàn)的開放式補充，大大增強了司法操作性與邏輯周延性。

第三，為落實“同意授權(quán)”的真實性，該解釋進行了重點規(guī)定。除正面要求“單獨同意”和“書面同意”外，還列舉了負面清單即無效的“同意”情形，包括在“非必需”情形下卻以“不提供產(chǎn)品與服務(wù)”為要挾的同意、授權(quán)捆綁同意以及強迫或變相強迫同意的其他情形。這無疑對解決“同意”失靈這一棘手的現(xiàn)實難點提供了有力依據(jù)與典型方式。同時，對有關(guān)“同意”的格式條款效力作出規(guī)定，即將簽約時“要求自然人授予其無期限限制、不可撤銷、可任意轉(zhuǎn)授權(quán)等處理人臉信息的權(quán)利”歸入《民法典》中的無效格式條款。

第四，在維權(quán)與救濟方面，該解釋首先列舉了4種具體的免責事由并加上開放的兜底規(guī)定，以平衡人臉信息處理中的利益關(guān)系，具體包括：突發(fā)公共衛(wèi)生事件或緊急避險下必須的處理；為公共安全而在公共場所的處理；為公共利益的合理使用，在同意范圍內(nèi)的處理；其他合法情形的處理。其次，該解釋明確了信息處理者的舉證責任，采取倒置原則，大大降低了信息主體的維權(quán)難度。最后，該解釋還對財產(chǎn)損失、人格權(quán)侵害禁令做出規(guī)定，以加強權(quán)利救濟。

第五，該解釋補充了對死者人臉信息的保護內(nèi)容，即對違規(guī)或違約處理死者人臉信息的情況，死者近親屬依據(jù)《民法典》第994條請求信息處理者承擔相應(yīng)民事責任的，適用本規(guī)定。《民法典》第994條是死者人格利益保護條款，在修法尚不現(xiàn)實的情況下，該解釋是為權(quán)宜之計，具有積極意義。

目前涉及人臉識別信息的法律保護仍存在一些較為明顯的問題。其一，立法碎片化現(xiàn)象突出，不利于對人臉識別信息有針對性且系統(tǒng)的保護。其二，人臉識別信息的保護被包裹在“個人信息—敏感個人信息—生物識別信息”之中，尚未對其進行獨立的、細化的規(guī)定。其三，國家的推薦性標準盡管針對性更強，但因缺乏強制性而無法形成有效約束[20]。其四，利益衡量不夠清晰，多為原則性規(guī)定而非確定性規(guī)則，針對性較弱，缺乏可操作性，需提高司法適用性，以避免法官裁判時的無所適從。其五，目前對人臉識別信息的保護多限于民事法律規(guī)定，保護重點是信息主體的私人權(quán)益，而對行政監(jiān)管與刑事規(guī)制方面的針對性還比較欠缺，對人臉識別信息承載的公共安全利益保護不足。

五、我國人臉識別信息安全法律保護的完善

（一）立法上明確人臉識別信息的特殊地位和特別保護原則

1.建議表述為“人臉識別信息”并明確其特殊地位

盡管人臉識別信息比較特殊且重要，但在《民法典》《網(wǎng)安法》《消費者權(quán)益保護法》等法律中，其地位與一般個人信息別無二致?！度四樞畔⑺痉ń忉尅穼⒈Ｗo客體明確表述為“人臉信息”，并限定為“使用人臉識別技術(shù)處理人臉信息”“處理基于人臉識別技術(shù)生成的人臉信息”。其實，這兩種情形下的人臉信息都用于識別，屬于《個保法》和《民法典》中的“生物識別信息”，加上我國立法對個人信息的定義也采取“識別標準”，因此建議立法上將“人臉信息”表述為“人臉識別信息”，并歸入敏感個人信息和重要數(shù)據(jù)范疇。這樣不僅可以避免擴大保護未用于識別的人臉信息，而且可以為人臉信息的合理使用、匿名化使用等留出空間。人臉識別信息滿足《個保法》第28條第1款的判斷標準，屬于該法規(guī)定的敏感個人信息。2020年，全國信息安全標準化技術(shù)委員會正式立項《信息安全技術(shù)重要數(shù)據(jù)識別指南》。從目前的草案稿來看，該標準將敏感技術(shù)類數(shù)據(jù)納入其中。人臉識別信息依托人臉識別技術(shù)這類敏感技術(shù)而產(chǎn)生，屬于《數(shù)據(jù)安全法》規(guī)定的“重要數(shù)據(jù)”，依該法應(yīng)給予更為嚴格的規(guī)制及保護，對此應(yīng)盡快出臺保護“重要數(shù)據(jù)”的配套規(guī)則。

考慮到人臉識別信息的特殊地位，在死者人格利益的相關(guān)保護法規(guī)中應(yīng)將其單列。依據(jù)《人臉信息司法解釋》，在《民法典》列舉的死者人格利益中，死者人臉信息與其肖像、隱私、榮譽、名譽等人格利益同樣獲得保護。但如前所述，人臉信息不等同于肖像（人臉圖像）、隱私，在其受到侵害時也未必會造成榮譽或名譽的損害。因此，為充分保護死者人臉信息，僅靠司法解釋只是權(quán)宜之計，長遠來說，應(yīng)在立法上補充規(guī)定死者人臉信息、生物識別信息等相關(guān)權(quán)益。死者的其他個人信息會因其死亡而變得無意義，比如住址、電話等。但人臉等生物識別信息與姓名、肖像、名譽、榮譽等一樣，可能會在死者死后對其近親屬的人格與財產(chǎn)利益構(gòu)成傷害，對此應(yīng)明確給予保護。

2.明確人臉識別信息的特別保護原則

（1）動態(tài)化并全面落實知情同意原則

知情同意原則是處理個人信息的合法基礎(chǔ)?！秱€保法》與《人臉信息司法解釋》一般性地規(guī)定了單獨同意、書面同意、負面清單、無效的同意條款等具體規(guī)則，進一步確保了自然人同意的真實意思。但針對現(xiàn)實中層出不窮的“強迫或變相強迫同意”的情形，知情同意原則總是面臨新的困境，所以相關(guān)規(guī)則仍需完善。尤其要強調(diào)“同意”的動態(tài)化落實，即根據(jù)情況可以撤銷同意等，以保證用戶是完全知情和完全同意的，進而對抗概括授權(quán)、終身授權(quán)等。摒棄原有機械的知情同意模式，采取動態(tài)化同意可以提高同意授權(quán)的有效性，可以實現(xiàn)對人臉識別信息的全程管理[21]。比如，信息處理者在信息收集超出原始目的或者業(yè)務(wù)范圍發(fā)生變更時，應(yīng)及時通知用戶并單獨列出個人人臉識別信息以獲取新的同意，保持信息的持續(xù)披露[22]，及時行使撤回同意、終止使用并刪除有關(guān)數(shù)據(jù)等權(quán)益，最大程度地減少信息不對稱，確保信息主體依據(jù)目的行使限制原則等。

《個保法》沒有專門針對人臉識別信息作出規(guī)定，而是以第2章第2節(jié)就生物識別信息在內(nèi)的敏感個人信息的處理規(guī)則作出專節(jié)規(guī)定：一是確立處理的前提條件是“具有特定目的+充分的必要性+采取嚴格保護措施”；二是明確要“單獨同意”，并將是否需要“書面同意”留給其他法律法規(guī)來規(guī)定；三是規(guī)定處理之前的特別告知義務(wù)——告知必要性和影響。此外，該節(jié)還將不滿十四周歲的未成年人的個人信息納入敏感個人信息，規(guī)定對其的處理應(yīng)在取得未成年人父母或其他法定監(jiān)護人的同意之后方可實施，并要求制定專門的處理規(guī)則。對人臉識別信息進行采集時應(yīng)明確出具“書面同意”，這樣便于將其處理的前提條件和“單獨同意”留證督促，便于對人臉識別信息被泄露、丟失等次生損害進行維權(quán)。

（2）強調(diào)并落實狹義比例原則

狹義比例原則旨在衡量手段與目的是否相當，是對目的審查的“跳躍”[23]。該原則要求處于控制地位的一方應(yīng)通過考量手段與目的之間的關(guān)系來最大限度地降低損害，實現(xiàn)利益最大化，使利益與損害之間合乎狹義比例。公權(quán)力機關(guān)和企業(yè)等在使用人臉識別技術(shù)收集信息時必須遵循狹義比例原則，實現(xiàn)多元價值和利益之間的平衡。公權(quán)力機關(guān)應(yīng)僅在刑事偵查、維護國家和公共安全等涉及重大公共利益等領(lǐng)域使用人臉識別技術(shù)，不得在非必要的情形下濫用公權(quán)力。而企業(yè)等私主體只有在不收集用戶人臉信息則自身產(chǎn)品或相關(guān)服務(wù)無法實現(xiàn)其基本功能的情形下使用人臉識別技術(shù)?；谏虡I(yè)推廣、管控便利等目的的處理，則超出必要范圍，不符合狹義比例原則應(yīng)予制止，這也與《個保法》第28條第2款的立法理念吻合。

（二）司法上落實并探索安全保障義務(wù)與責任的適法規(guī)則

1.明確人臉識別信息侵權(quán)歸責原則為無過錯原則

《民法典》對個人信息侵權(quán)案件的歸責采用的是過錯原則，但人臉識別信息侵權(quán)與一般的個人信息侵權(quán)存在較大差異，若將其適用于人臉識別信息侵權(quán)事件，則難免會因維權(quán)困難而讓信息主體的司法救濟權(quán)落空。為了更好地適應(yīng)信息時代的特點，更大程度地保護公民的個人信息，《個保法》第69條采取了較為折中的歸錯推定原則，彌補了信息主體的弱勢舉證地位，較為有利地實現(xiàn)了對信息的保護和平衡技術(shù)的發(fā)展。人臉識別信息侵權(quán)更為隱蔽，其所造成的損害后果具有不可逆性，立法對兩種不同性質(zhì)的信息侵權(quán)應(yīng)區(qū)別對待。對一般個人信息侵權(quán)采取過錯推定原則，而對于人臉識別信息等敏感個人信息侵權(quán)應(yīng)采取更嚴格的無過錯原則。只有這樣，需要采集人臉信息的企業(yè)才能真正看到國家對人臉識別信息保護的決心，才能更好地督促企業(yè)落實自己的安全保障義務(wù)，最大程度地減少人臉識別信息泄露、濫用等侵權(quán)事件的發(fā)生。

2.明確第三人侵權(quán)情形下的不真正連帶責任

《民法典·侵權(quán)責任編》第1198條第2款規(guī)定，存在第三人侵權(quán)的，由第三人承擔侵權(quán)責任，經(jīng)營者未盡到安全保障義務(wù)的承擔補充責任，承擔完補充責任后可向第三人追償。然而，在人臉識別信息侵權(quán)事件中，信息主體難以在復(fù)雜的信息流通過程中依靠自身直接鎖定侵權(quán)人，更多的是通過平臺進行反映和救濟，如果此時只讓信息處理者承擔補充責任的話，并不利于對信息主體的最終救濟。盡管《人臉信息司法解釋》將按份責任、過錯責任、連帶責任的選擇權(quán)交給信息主體，但鑒于信息主體各方面的弱勢，其選擇未必是最利于自己，很可能是出于無奈與被迫；同時，該解釋主要是對多人都侵害人臉信息情況的責任劃定，未明確表述適用于僅有第三人直接侵權(quán)時的情形。因此，為切實保護信息主體的利益，建議在第三人侵權(quán)情形下，信息處理者應(yīng)承擔不真正的連帶責任，即信息主體既可以選擇向直接侵權(quán)人尋求損害賠償，也可以選擇讓信息處理者承擔連帶責任。信息處理者在承擔完連帶責任后可以向第三人追償。因為信息處理者的賠償能力比第三人強，且可以通過商業(yè)保險等方式分散自身風(fēng)險[24]，而且信息處理者可以利用技術(shù)手段去檢查技術(shù)紕漏，從而更快地找到直接侵權(quán)人并向其追償。如此處理對各方主體都更為公平合理，有利于利益平衡。

（三）執(zhí)法上嘗試引入第三方機構(gòu)認證制度

在“人臉識別第一案”中，原告要求第三方認證機構(gòu)介入驗證的訴求未被支持，而他自己無法驗證被告是否確已刪除且確保沒有備份，因此對于“刪除”的執(zhí)法后果不無擔憂。對此，《人臉信息司法解釋》也未作規(guī)定，但是強調(diào)“刪除”請求不因沒有約定而被對抗，即“刪除權(quán)”屬于法定權(quán)利，不以是否約定為依據(jù)。鑒于人臉識別信息等個人信息的非物質(zhì)化、易復(fù)制傳播等特點，而且在刪除行為上信息主體處于被動地位，為確?！皠h除權(quán)”得以落實，建議執(zhí)法中嘗試引入第三方機構(gòu)認證制度，即由第三方認證機構(gòu)對人臉識別信息的刪除、變更等真實結(jié)果進行認證并承擔相應(yīng)認證責任，進一步確保信息主體的權(quán)利得到落實。同時，認證費用應(yīng)由侵權(quán)者或違約者承擔，加大其違法成本，遏制此類違法犯罪的發(fā)生。

（四）加強人臉識別信息的行政保護與刑事保護

人臉識別信息的保護，不但事關(guān)信息主體的私人權(quán)益，而且關(guān)乎國家和公眾的利益，因此專門依靠私權(quán)力主張的民事救濟遠遠不夠，而應(yīng)借助公權(quán)力的行政與刑事保護。

1.設(shè)立專門行政監(jiān)管機構(gòu)、完善行政監(jiān)管體系以促進技術(shù)向善

監(jiān)管主體的缺失是公民的個人信息無法得到有效保護的重要原因之一。但遺憾的是，最新出臺的《個保法》仍未規(guī)定專門的個人信息管理機構(gòu)。該法雖然規(guī)定由國家網(wǎng)信部門統(tǒng)籌負責個人信息的保護和相關(guān)監(jiān)管工作，但由于人臉識別技術(shù)已滲透到各行各業(yè)，在實際操作中，網(wǎng)信部門往往是與中華人民共和國工業(yè)和信息化部、國家市場監(jiān)督管理總局及公安部等行政部門一起對人臉識別信息進行監(jiān)管。多方監(jiān)管和多頭治理反而容易形成“責任空白”。因此，為便于對人臉識別信息進行單獨監(jiān)管，我國有必要設(shè)立一個專門監(jiān)管人臉識別信息的行政機構(gòu)——面部信息監(jiān)管委員會。該部門可以由網(wǎng)信部門牽頭，抽調(diào)其他相關(guān)部門的專業(yè)工作人員共同參與組成。

由于“技術(shù)中立”已將人類置于過多的負效應(yīng)中，“技術(shù)向善”成為新時代的技術(shù)發(fā)展原則，并得到《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）的立法肯定。比如，《數(shù)據(jù)安全法》第15條規(guī)定“提供智能化公共服務(wù)，應(yīng)當充分考慮老年人、殘疾人的需求，避免對老年人、殘疾人的日常生活造成障礙”；第28條規(guī)定“開展數(shù)據(jù)處理活動以及研究開發(fā)數(shù)據(jù)新技術(shù)，應(yīng)當有利于促進經(jīng)濟社會發(fā)展，增進人民福祉，符合社會公德和倫理”。這些對智能化公共服務(wù)、數(shù)據(jù)處理與新技術(shù)研發(fā)目的的要求，其實質(zhì)是對技術(shù)向善的要求。在“向善”原則的指導(dǎo)下，結(jié)合《個保法》《民法典》《網(wǎng)安法》《數(shù)據(jù)安全法》等規(guī)定，可從3個方面進一步落實、加強或完善：一是設(shè)立面部信息監(jiān)管委員會，并由其研制人臉識別行業(yè)安全標準；二是建立市場準入制度，完善和落實備案審查制度，確保只有符合安全標準的企業(yè)才能使用該技術(shù)，同時監(jiān)管信息處理者盡到合理注意與安全保障義務(wù)；三是針對人臉識別信息完善和落實風(fēng)險評估制度。

2.對侵害公民個人信息犯罪中的人臉識別信息法益以特別保護

刑法修正案（七）和（九）分別增加和完善了個人信息犯罪處罰內(nèi)容，但因其走在民事立法前面，對個人信息的外延和法益內(nèi)容過于籠統(tǒng)。隨著《民法典》《網(wǎng)安法》《數(shù)據(jù)安全法》《人臉信息司法解釋》等法規(guī)的出臺，刑法保護的公民個人信息法益理應(yīng)包括人臉識別信息法益。且在人工智能技術(shù)，尤其是人臉等生物識別技術(shù)蓬勃發(fā)展的背景下，應(yīng)當預(yù)判到人臉識別信息遭到犯罪危害后的風(fēng)險，因此應(yīng)加強該部分的刑事法律保護，不斷探索和總結(jié)人臉識別信息犯罪的表現(xiàn)和責任承擔。

（五）行業(yè)發(fā)展上健全自律機制并落實企業(yè)數(shù)據(jù)合規(guī)管理

1.制定人臉識別行業(yè)組織自律規(guī)范

人臉識別技術(shù)的發(fā)展日新月異，但法律規(guī)范總是滯后，而且過于嚴格的法律監(jiān)管并不利于新技術(shù)的發(fā)展。因此，制定并完善行業(yè)組織自律規(guī)范，加強行業(yè)協(xié)會的監(jiān)督和引導(dǎo)作用不僅可以降低國家的執(zhí)法成本，也能更好地保障技術(shù)創(chuàng)新，達到雙贏的局面。《人臉識別線下支付行業(yè)自律公約（試行）》作為我國首個人臉識別行業(yè)自律規(guī)范，強調(diào)對用戶信息的保護。該公約由中國支付清算協(xié)會負責監(jiān)督檢查，對違反公約的行為予以懲戒。但此公約僅適用于刷臉支付領(lǐng)域。在未來，還應(yīng)細分應(yīng)用場景和其他領(lǐng)域，并有針對性地制定自律規(guī)范，為人臉識別技術(shù)的應(yīng)用創(chuàng)造積極自律的行業(yè)環(huán)境。

2.落實和完善人臉識別企業(yè)數(shù)據(jù)合規(guī)管理

當前，盡管人臉識別技術(shù)已應(yīng)用于生活的方方面面，但公眾對這項技術(shù)其實還處于一知半解的狀態(tài)。人臉識別企業(yè)難免在利益的驅(qū)使下觸碰法律法規(guī)紅線。對此，可對相關(guān)企業(yè)規(guī)定合規(guī)的自證自查義務(wù)。人臉識別企業(yè)應(yīng)當時刻關(guān)注個人信息領(lǐng)域的最新立法動態(tài)，嚴格按照相關(guān)法律法規(guī)對人臉識別產(chǎn)品和服務(wù)加強合規(guī)管理，實現(xiàn)自身行業(yè)發(fā)展與權(quán)利主體權(quán)益保護的平衡。首先，企業(yè)應(yīng)當加強法務(wù)部門建設(shè)，更好地利用國家相關(guān)法律法規(guī)和政策，防止自身因不熟悉法律法規(guī)而違法采集人臉識別信息；其次，在對人臉識別產(chǎn)品和服務(wù)方案預(yù)審時，企業(yè)應(yīng)及時開展合規(guī)的倫理審查，避免人臉識別技術(shù)被應(yīng)用于危害社會公共安全、違背社會公序良俗的場景；再次，要對用戶協(xié)議進行合法性審查，完善用戶權(quán)益保障機制，并避免將大部分風(fēng)險責任歸于用戶，以增強消費者對該技術(shù)的信任；最后，因為很多信息泄露事件是由于員工監(jiān)守自盜，所以企業(yè)應(yīng)定期對員工進行數(shù)據(jù)合規(guī)和數(shù)據(jù)安全方面的培訓(xùn)。