王亞楠,張琳琳

〔河北大學(xué) 法學(xué)院，河北 保定 071002〕

人臉識(shí)別技術(shù)在我們的生活中已隨處可見，上班要刷臉打考勤卡，回家要刷臉進(jìn)小區(qū)，出門要刷臉住酒店，甚至逛商場(chǎng)取廁紙都要刷臉。人臉識(shí)別技術(shù)給我們的生活帶來了便利，但我們同時(shí)也應(yīng)看到人臉信息權(quán)益面臨的風(fēng)險(xiǎn)。數(shù)字經(jīng)濟(jì)的發(fā)展需要人臉信息，但資本的逐利性與人臉信息權(quán)益保護(hù)之間存在矛盾，需要法律加以調(diào)整。浙江理工大學(xué)郭兵副教授反對(duì)動(dòng)物園收集人臉信息，一紙?jiān)V狀將動(dòng)物園告上法庭，(1)杭州市富陽區(qū)人民法院(2019)浙0111民初6971號(hào)判決書。勞東燕教授反對(duì)小區(qū)收集人臉信息，發(fā)表《人臉識(shí)別技術(shù)運(yùn)用中的認(rèn)知誤區(qū)》一文，[1]還有男子戴頭盔看房被稱為無聲的舉報(bào)等，[2]此類事件反映了人們對(duì)人臉信息保護(hù)的強(qiáng)烈需求，商業(yè)利用中的人臉信息權(quán)益需要法律加以保護(hù)。

一、商業(yè)利用中人臉信息界定

人臉信息的概念在法律中沒有明確規(guī)定，需要結(jié)合相關(guān)法律條文，根據(jù)學(xué)理對(duì)人臉信息的概念進(jìn)行分析?！秱€(gè)人信息保護(hù)法(草案)》第4條規(guī)定：“個(gè)人信息是以電子或其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息?！比四樞畔o疑是可識(shí)別的，所以人臉信息屬于個(gè)人信息。根據(jù)歐盟《通用數(shù)據(jù)保護(hù)條例》(以下簡稱GDPR)第4條第14款規(guī)定：“生物識(shí)別性數(shù)據(jù)”指的是基于特別技術(shù)處理自然人的相關(guān)身體、生理或行為特征而得出的個(gè)人數(shù)據(jù)，這種個(gè)人數(shù)據(jù)能夠識(shí)別或確定自然人的獨(dú)特標(biāo)識(shí)，例如臉部形象或指紋數(shù)據(jù)。因此，人臉信息也屬于個(gè)人生物識(shí)別信息。本文認(rèn)為人臉信息是指反映人的面部特征，具有可識(shí)別性的個(gè)人信息。

人臉信息具有公開性、易采集性和不可更改性，[3]在商業(yè)利用中容易出現(xiàn)特殊的侵權(quán)情形。

第一，侵犯知情同意權(quán)。人臉信息的過度采集使人臉信息主體的知情同意權(quán)漸趨失靈。一方面，人臉信息采集的隱蔽性侵犯了人臉信息主體的知情權(quán)，采集人臉信息對(duì)被采集者的配合度要求不高，只要是帶有攝像頭的設(shè)備基本上都可以完成人臉信息的采集，人臉信息何時(shí)被采集、被誰采集、被用于何處，人臉信息主體無從知曉。另一方面，商業(yè)主體采集人臉信息要么不經(jīng)同意，要么利用技術(shù)手段迫使人臉信息主體同意采集，侵犯了人臉信息主體的同意權(quán)。

第二，侵犯人格權(quán)。[4]現(xiàn)在人臉信息的采集越來越成為一種權(quán)力服從行為，人臉信息主體的信息權(quán)利無法對(duì)抗商業(yè)主體的“算法權(quán)力”，無論商業(yè)主體線上還是線下采集，人臉信息主體基本只能選擇接受，人臉信息被當(dāng)作商品用來交易，成了賺錢的工具，人格尊嚴(yán)被經(jīng)濟(jì)利益拋棄。

第三，侵犯隱私權(quán)。[5]為了獲取巨大的商業(yè)利益，根據(jù)人臉信息推測(cè)其他信息已成為商業(yè)主體常用的手段。單靠人臉信息已能精確識(shí)別自然人的身份，更可怕之處在于一旦人臉信息與姓名、性別、手機(jī)號(hào)碼等其他數(shù)據(jù)庫打通，一個(gè)“透明人”便呈現(xiàn)出來，邊沁的全景敞式監(jiān)獄就成為現(xiàn)實(shí)。(2)又稱環(huán)形監(jiān)獄，由英國哲學(xué)家邊沁提出。它的基本結(jié)構(gòu)是由一個(gè)中央塔樓和四周環(huán)形的囚室組成，監(jiān)獄的中心，是一個(gè)瞭望塔，所有囚室對(duì)著中央監(jiān)視塔，每一個(gè)囚室有一前一后兩扇窗戶，一扇朝著中央塔樓，一扇背對(duì)著中央塔樓，作為通光之用。這樣的設(shè)計(jì)使得一個(gè)監(jiān)視者就可以監(jiān)視所有的犯人，而犯人卻無法確定他們是否受到監(jiān)視。隨著人工智能的不斷發(fā)展，人臉識(shí)別技術(shù)將不僅用于識(shí)別主體身份，算法自動(dòng)升級(jí)很有可能脫離人類的掌控，根據(jù)一張人臉可以分析出年齡、健康狀況甚至性取向，倘若不加以遏制，人臉信息主體的隱私將會(huì)暴露無遺。

第四，侵犯損害賠償請(qǐng)求權(quán)。人臉信息不同于其他個(gè)人信息，一旦泄露便是終生泄露，縱使給予金錢救濟(jì)，人臉信息也不能恢復(fù)到未被泄露狀態(tài)，造成的其他惡劣后果也可能難以挽回，如果有不法之徒利用深度偽造技術(shù)將人臉信息應(yīng)用于色情視頻制作，[6]將會(huì)給人臉信息主體的名譽(yù)造成極大的損害，人臉信息主體想要獲得充分救濟(jì)，請(qǐng)求損害賠償非常困難。

二、商業(yè)利用中人臉信息權(quán)益保護(hù)的正當(dāng)性

1.保護(hù)人臉信息具有正當(dāng)性

保障人權(quán)是立法追求的基本目標(biāo)之一。人權(quán)的內(nèi)容在不同時(shí)代具有不同內(nèi)涵，卡雷爾·瓦薩克的“三代人權(quán)”理論具有廣泛影響，(3)“第一代人權(quán)”是指公民政治權(quán)利，“第二代人權(quán)”是指經(jīng)濟(jì)、社會(huì)和文化權(quán)利，“第三代人權(quán)”是指民族自決權(quán)和生存發(fā)展權(quán)。隨著信息時(shí)代的到來，很多學(xué)者(4)張文顯教授在《無數(shù)字，不人權(quán)》一文中認(rèn)為當(dāng)今世界正在進(jìn)入數(shù)字時(shí)代，中國也正加速成為“數(shù)字中國”。在這樣的時(shí)代背景和社會(huì)場(chǎng)域中，“數(shù)字人權(quán)”脫穎而出。馬長山教授在《智慧社會(huì)背景下的“第四代人權(quán)”及其保障》一文中認(rèn)為：隨著數(shù)字經(jīng)濟(jì)和智慧社會(huì)的深入發(fā)展,人權(quán)形態(tài)正在經(jīng)歷著深刻的數(shù)字化重塑,從而打破了既有的“三代”人權(quán)發(fā)展格局,開啟了以“數(shù)字人權(quán)”為代表的“第四代人權(quán)”。提出了“數(shù)字人權(quán)”理論，認(rèn)為“數(shù)字人權(quán)”無法被囊括進(jìn)前三代人權(quán)中，[7]已構(gòu)成代際革新，應(yīng)成為“第四代人權(quán)”，未來的人權(quán)將會(huì)建立在“數(shù)字人”的基礎(chǔ)上，人格權(quán)和隱私權(quán)都是重要的人權(quán)。人臉信息作為信息時(shí)代的產(chǎn)物，承載著人格權(quán)和隱私權(quán)，保護(hù)人臉信息安全是保障人權(quán)的應(yīng)有之義。

保護(hù)商業(yè)利用中的人臉信息權(quán)益可以維護(hù)人格權(quán)。深受康德“人是目的，不是手段”思想影響的歐洲一直以來都非常重視對(duì)人格權(quán)的維護(hù)，GDPR被稱為史上最嚴(yán)數(shù)據(jù)保護(hù)法，GDPR要求只要滿足規(guī)定的條件，數(shù)據(jù)控制者和數(shù)據(jù)處理者都應(yīng)聘任數(shù)據(jù)保護(hù)官。(5)《歐盟通用數(shù)據(jù)保護(hù)條例》(GDPR)第37條：在如下任一情形中，控制者和處理者應(yīng)當(dāng)委任數(shù)據(jù)保護(hù)官：(a)處理是公共機(jī)構(gòu)或公共實(shí)體進(jìn)行操作的，法庭在履行其司法職能時(shí)除外；(b)控制者或處理者的核心處理活動(dòng)天然性地需要大規(guī)模性地對(duì)數(shù)據(jù)主體進(jìn)行常規(guī)和系統(tǒng)性地監(jiān)控；或者(c)控制者或處理者的核心活動(dòng)包含了第9條規(guī)定的對(duì)某種特殊類型數(shù)據(jù)的大規(guī)模處理和第10條規(guī)定的對(duì)定罪和違法相關(guān)的個(gè)人數(shù)據(jù)的處理。與之相比，我國企業(yè)內(nèi)部數(shù)據(jù)保護(hù)制度匱乏，企業(yè)濫用人臉信息現(xiàn)象嚴(yán)重。而人臉對(duì)于我們每個(gè)人而言都是珍貴的，自古以來就在中國歷史中有著深厚的文化內(nèi)涵，上至王侯將相下至黎民百姓都很看重自己的臉面，因?yàn)椤叭四槨钡谋澈筇N(yùn)藏著人格尊嚴(yán)。

保護(hù)商業(yè)利用中的人臉信息權(quán)益可以維護(hù)隱私權(quán)。隱私權(quán)的概念發(fā)端于美國，隨著時(shí)代改變與法學(xué)理論發(fā)展，隱私權(quán)的內(nèi)涵逐漸擴(kuò)大，不僅包括在空間上免受打擾的消極權(quán)能，還包括在信息、行為上自主決定的積極權(quán)能。王澤鑒先生認(rèn)為“信息自主”也是隱私權(quán)的保障范圍，[8]人們應(yīng)該有權(quán)自己決定是否使用信息，同意權(quán)是信息自主的重要體現(xiàn)，GDPR充分保障了個(gè)人的同意權(quán)并規(guī)定個(gè)人有權(quán)撤回同意。(6)《歐盟通用數(shù)據(jù)保護(hù)條例》(GDPR)第7條規(guī)定：“當(dāng)處理是建立在同意基礎(chǔ)上的，控制者需要能證明，數(shù)據(jù)主體已經(jīng)同意對(duì)其個(gè)人數(shù)據(jù)進(jìn)行處理。數(shù)據(jù)主體有權(quán)隨時(shí)撤回其同意?！钡覈耐鈾?quán)有流于形式之虞，人臉信息往往被商業(yè)主體強(qiáng)制采集，保護(hù)商業(yè)利用中的人臉信息權(quán)益是對(duì)信息自主的保障，也是對(duì)隱私權(quán)的維護(hù)。

2.保護(hù)人臉信息是平衡個(gè)人利益與商業(yè)利益的需要

利益是多元的，法律的主要作用之一就是平衡各種相互沖突的利益?！皩?duì)相互對(duì)立的利益進(jìn)行調(diào)整以及對(duì)它們的先后順序予以安排，往往是依靠立法手段來實(shí)現(xiàn)的”。[9]立法是一個(gè)認(rèn)識(shí)利益和整合利益的過程，認(rèn)識(shí)利益是起點(diǎn)，整合利益是手段，平衡利益是目的?！秱€(gè)人信息保護(hù)法(草案)》和《數(shù)據(jù)安全法(草案)》充分體現(xiàn)了利益衡量的思想?！秱€(gè)人信息保護(hù)法(草案)》第一條規(guī)定：“為了保護(hù)個(gè)人信息權(quán)益，規(guī)范個(gè)人信息處理活動(dòng)，保障個(gè)人信息依法有序自由流動(dòng)，促進(jìn)個(gè)人信息合理利用，制定本法?！?《數(shù)據(jù)安全法(草案)》第一條規(guī)定：“為了保障數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)開發(fā)利用，保護(hù)公民、組織的合法權(quán)益，維護(hù)國家主權(quán)、安全和發(fā)展利益，制定本法?！眱刹糠杉缺Ｗo(hù)信息與數(shù)據(jù)的安全，又注重信息與數(shù)據(jù)的合理利用，保護(hù)人臉信息權(quán)益順應(yīng)立法趨勢(shì)，平衡了個(gè)人信息權(quán)益與個(gè)人信息合理利用之間的利益沖突。

保護(hù)商業(yè)利用中的人臉信息權(quán)益，能夠滿足個(gè)人對(duì)人臉信息保護(hù)的需求。人臉信息承載著個(gè)人的人格利益，根據(jù)馬斯洛需求理論，人的需求隨著物質(zhì)生活條件的改善由低變高，現(xiàn)在人們已經(jīng)不滿足于生理需要這樣的低級(jí)需要，獲得尊重這樣的高級(jí)需要更為人們所渴望。“人臉識(shí)別第一案”的判決結(jié)果為保護(hù)人臉信息提供了最新的司法導(dǎo)向，杭州市富陽區(qū)法院支持了原告的訴訟請(qǐng)求，判決被告刪除原告的人臉信息，這一判決在滿足個(gè)人信息保護(hù)需求的同時(shí)也喚醒了人們的保護(hù)意識(shí)。保護(hù)個(gè)人信息的主體已不僅僅是個(gè)人，檢察機(jī)關(guān)也在為保護(hù)個(gè)人信息努力著，2021年1月8日杭州市下城區(qū)人民檢察院向杭州互聯(lián)網(wǎng)法院提起了全國首例適用《民法典》的個(gè)人信息保護(hù)民事公益訴訟案件。個(gè)人與商業(yè)融合越深，信息權(quán)益就越需要保障，法律保護(hù)人臉信息是對(duì)商業(yè)主體與個(gè)人二者之間強(qiáng)弱地位的一種平衡。

保護(hù)商業(yè)利用中的人臉信息權(quán)益，能夠滿足商業(yè)主體對(duì)人臉信息的利用需求。完全禁止商業(yè)主體利用人臉信息就陷入了另一個(gè)極端，不利于數(shù)字經(jīng)濟(jì)的發(fā)展。事實(shí)上，個(gè)人與商業(yè)主體之間并不是零和博弈，通過法律保護(hù)，個(gè)人與商業(yè)主體可以實(shí)現(xiàn)雙贏。保護(hù)商業(yè)利用中的人臉信息權(quán)益可以培養(yǎng)個(gè)人對(duì)商業(yè)主體的信任，人臉信息權(quán)益得到保障，個(gè)人也會(huì)更愿意將自己的人臉信息交給商業(yè)主體使用，二者之間的良性互動(dòng)會(huì)促進(jìn)數(shù)據(jù)產(chǎn)業(yè)的發(fā)展。保護(hù)商業(yè)利用中的人臉信息權(quán)益也為商業(yè)主體收集、存儲(chǔ)和利用人臉信息提供了行為規(guī)范，減少各商業(yè)主體之間的數(shù)據(jù)糾紛。

3.保護(hù)人臉信息適應(yīng)社會(huì)發(fā)展需求

為保障法律的可預(yù)測(cè)性，法律必須穩(wěn)定，但為了保障法律與社會(huì)的適應(yīng)性，法律又不得不變，為了適應(yīng)社會(huì)，法律可能發(fā)生翻天覆地的變化，也可能僅在細(xì)枝末節(jié)上作出調(diào)整，立法者的主要任務(wù)之一就是根據(jù)社會(huì)的變化修改或制定法律，使之與社會(huì)相適應(yīng)，“社會(huì)是所有法條的目的主體?！盵10]我國的一些地方性法規(guī)已經(jīng)作出了保護(hù)人臉信息的規(guī)定，如《杭州市物業(yè)管理?xiàng)l例(修訂草案)》(7)《杭州市物業(yè)管理?xiàng)l例(修訂草案)》第69條第二款：“違反本條例第四十四條第一款第六項(xiàng)規(guī)定，強(qiáng)制業(yè)主通過指紋、人臉識(shí)別等生物信息方式使用公用設(shè)施設(shè)備的，處五千元以下罰款。”和《天津市社會(huì)信用管理?xiàng)l例》。(8)《天津市社會(huì)信用條例》第16條：“市場(chǎng)信用信息提供單位不得采集自然人的血型、疾病和病史、生物識(shí)別信息以及法律、行政法規(guī)規(guī)定禁止采集的其他個(gè)人信息。市場(chǎng)信用信息提供單位采集自然人信息的，應(yīng)當(dāng)經(jīng)本人同意并約定用途，法律、行政法規(guī)另有規(guī)定的除外?！蔽浑A低的法律與人們生活較近，對(duì)社會(huì)變化的反應(yīng)更為迅速，在狹義的法律層面對(duì)人臉信息給予立法保護(hù)更能適應(yīng)社會(huì)發(fā)展需求。

保護(hù)商業(yè)利用中的人臉信息權(quán)益可以適應(yīng)社會(huì)系統(tǒng)變遷。社會(huì)是由政治、經(jīng)濟(jì)、法律、科學(xué)等社會(huì)子系統(tǒng)構(gòu)成的，盧曼認(rèn)為各個(gè)子系統(tǒng)都是有著自我指涉能力的“活的系統(tǒng)”，各個(gè)子系統(tǒng)在不同的發(fā)展階段因不同的原因發(fā)生變化，作為社會(huì)子系統(tǒng)的法律應(yīng)對(duì)其他子系統(tǒng)的變遷做出反應(yīng)。人臉識(shí)別技術(shù)融合了光學(xué)、計(jì)算機(jī)科學(xué)、統(tǒng)計(jì)學(xué)領(lǐng)域的發(fā)展成果，表明科學(xué)這一子系統(tǒng)已經(jīng)發(fā)生改變?？茖W(xué)系統(tǒng)的發(fā)展引起了經(jīng)濟(jì)系統(tǒng)的變化，經(jīng)濟(jì)系統(tǒng)的活躍需要法律系統(tǒng)作出反應(yīng)。人臉信息進(jìn)入商業(yè)領(lǐng)域產(chǎn)生的法律關(guān)系需要法律調(diào)整，倘若放任人臉信息在商業(yè)領(lǐng)域自由流動(dòng)，將損害法律系統(tǒng)的自我指涉能力，有礙法律系統(tǒng)健康發(fā)展。更高的社會(huì)復(fù)雜性和可變性對(duì)法律的適應(yīng)性提出了更高的要求，法律應(yīng)與多變的條件和事件形成結(jié)構(gòu)性的相容。[11]

保護(hù)商業(yè)利用中的人臉信息權(quán)益可以適應(yīng)社會(huì)生活方式改變。法律來源于生活又反作用于生活，“雖然每時(shí)每刻都出現(xiàn)新的榮譽(yù)法典、新的社交法典、新的禮節(jié)法典和新的時(shí)尚法典，但是假如它們沒有真正地滲透生活，那么它們是毫無意義的?！盵12]一部好的法律必須考慮社會(huì)生活方式的改變。人臉信息引起了社會(huì)生活方式的諸多改變。首先是信息使用方式的改變，以前人們使用自己的信息多數(shù)是被動(dòng)提交，現(xiàn)在很多人為了方便會(huì)主動(dòng)提交。其次是支付方式的改變，支付方式已經(jīng)從密碼支付發(fā)展成刷臉支付。再次是工作簽到方式的改變，很多企業(yè)已經(jīng)將人臉識(shí)別技術(shù)應(yīng)用于員工管理，改指紋簽到為刷臉簽到。最后是出行方式的改變，現(xiàn)在憑證進(jìn)站是常態(tài)，未來刷臉進(jìn)站將會(huì)更普及。就目前來看，人臉信息還會(huì)伴隨著我們生活，起碼短時(shí)間內(nèi)不會(huì)被棄之不用，法律保護(hù)人臉信息權(quán)益正是對(duì)社會(huì)生活方式改變作出的回應(yīng)。

三、商業(yè)利用中人臉信息權(quán)益保護(hù)現(xiàn)存問題

1.無專門保護(hù)條款

人臉信息與其他個(gè)人信息相比具有更高的敏感度，需要更高程度的保護(hù)，但無論是《民法典》《刑法》等基本法律，還是《旅游法》《網(wǎng)絡(luò)安全法》《電子商務(wù)法》等針對(duì)特定商業(yè)領(lǐng)域的法律，都沒有人臉信息保護(hù)的專門條款，亦沒有明確人臉信息的概念。只有在個(gè)別地方性法規(guī)(9)同前頁注釋①②③。中作出了保護(hù)人臉信息的規(guī)定，但地方性法規(guī)位階較低且適用范圍有限，不能引起商業(yè)主體對(duì)保護(hù)人臉信息的重視。在實(shí)踐中保護(hù)人臉信息只能依賴個(gè)人信息保護(hù)的框架之下，獲得與其他一般個(gè)人信息相同的保護(hù)程度，此種保護(hù)程度對(duì)于當(dāng)今人臉信息在商業(yè)中的利用程度而言遠(yuǎn)遠(yuǎn)不夠。頂層設(shè)計(jì)的缺失使得商業(yè)利用中人臉信息的權(quán)益長期得不到保護(hù)，大量商業(yè)主體游走在法律空間之外，而人臉信息的可重復(fù)利用將會(huì)繼續(xù)在商業(yè)領(lǐng)域流動(dòng)，若不制定專門保護(hù)條款將給人臉信息在商業(yè)利用中的規(guī)范治理帶來極大阻礙。

2.人臉信息主體無明確權(quán)利

《電子商務(wù)法》第24條規(guī)定：“電子商務(wù)經(jīng)營者收到用戶信息查詢或者更正、刪除的申請(qǐng)的，應(yīng)當(dāng)在核實(shí)身份后及時(shí)提供查詢或者更正、刪除用戶信息。用戶注銷的，電子商務(wù)經(jīng)營者應(yīng)當(dāng)立即刪除該用戶的信息?！边@一條明確了人臉信息主體可以向電子商務(wù)經(jīng)營者提出更正、刪除的請(qǐng)求，但沒有上升為一種權(quán)利，也沒有具體規(guī)定商業(yè)主體刪除的程序和時(shí)間限制。刪除權(quán)的缺失使人臉信息進(jìn)入商業(yè)領(lǐng)域后就脫離了人臉信息主體的控制，人臉信息主體無法通過技術(shù)手段自行刪除，與商業(yè)主體交涉困難，人臉信息主體想刪除信息相當(dāng)困難。

《消費(fèi)者權(quán)益保護(hù)法》第29條規(guī)定：“經(jīng)營者收集、使用消費(fèi)者個(gè)人信息，應(yīng)當(dāng)公開其收集、使用規(guī)則，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。”這一條文規(guī)定了經(jīng)營者應(yīng)當(dāng)按照法律、法規(guī)的規(guī)定和雙方約定使用個(gè)人信息，但是經(jīng)營者超出雙方約定使用個(gè)人信息的情況普遍存在，甚至違背了法律規(guī)定。消費(fèi)者對(duì)經(jīng)營者過度收集分析人臉信息的行為往往無法約束，究其原因在于消費(fèi)者沒有明確的信息權(quán)利，無法要求經(jīng)營者對(duì)人臉信息進(jìn)行限制處理，因此，限制處理權(quán)對(duì)于人臉信息主體來說也是必要的。

3.未設(shè)置統(tǒng)一保護(hù)機(jī)關(guān)

《網(wǎng)絡(luò)安全法》第8條規(guī)定：“國務(wù)院電信主管部門、公安部門和其他有關(guān)機(jī)關(guān)依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負(fù)責(zé)網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理工作。”網(wǎng)絡(luò)安全和監(jiān)管由電信主管部門、公安部門和其他有關(guān)機(jī)關(guān)負(fù)責(zé)。網(wǎng)絡(luò)安全對(duì)于信息權(quán)益至關(guān)重要，人臉信息泄露事件的發(fā)生與網(wǎng)絡(luò)環(huán)境不安全具有直接關(guān)系，但多個(gè)部門負(fù)責(zé)監(jiān)管的結(jié)果可能是無人監(jiān)管，“有關(guān)機(jī)關(guān)”具體指哪些機(jī)關(guān)也未明確規(guī)定，存在監(jiān)管主體的分工模糊現(xiàn)象?！霸诟髯月氊?zé)范圍內(nèi)”的規(guī)定則更為抽象，發(fā)生人臉信息糾紛時(shí)各個(gè)部門可能借此不履行監(jiān)管職責(zé)。即便有監(jiān)管部門管轄，又可能由于監(jiān)管措施不力而無法有效遏制此類事件發(fā)生。

4.缺乏有效侵權(quán)救濟(jì)機(jī)制

《民法典》第1034條第三款規(guī)定：“個(gè)人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個(gè)人信息保護(hù)的規(guī)定。”實(shí)踐中人臉信息糾紛多借由隱私權(quán)路徑來解決，救濟(jì)效果甚微。主要原因有兩個(gè)。一是侵犯隱私權(quán)的歸責(zé)原則是過錯(cuò)侵權(quán)，人臉信息主體很難證明商業(yè)主體在收集、存儲(chǔ)和使用人臉信息的過程中具有過錯(cuò)，而商業(yè)主體卻很容易證明自己沒有過錯(cuò)。二是遭受嚴(yán)重?fù)p害后果或者實(shí)質(zhì)損害后果的證明標(biāo)準(zhǔn)成了人臉信息主體主張賠償?shù)挠忠徽系K。因?yàn)槿四樞畔⒅黧w可能只是不堪其擾，并沒有遭受嚴(yán)重?fù)p害或?qū)嵸|(zhì)損害，而且嚴(yán)重?fù)p害的判斷標(biāo)準(zhǔn)又帶有主觀性，人臉信息主體付出大量時(shí)間和金錢參與訴訟最后可能一無所獲?；谝陨蟽蓚€(gè)原因，能夠提起訴訟的人臉信息主體少之又少，幾乎陷入了惡性循環(huán)。

四、商業(yè)利用中人臉信息權(quán)益保護(hù)完善建議

1.在《民法典》中制定專門保護(hù)條款

(1)明確人臉信息概念。清晰地界定概念是制定專門保護(hù)條款的開始，人臉信息的概念宜采取“概括+列舉”的方式來定義，人臉信息是指反映人的面部特征，具有可識(shí)別性的個(gè)人信息。僅作概括規(guī)定是不夠的，人臉信息的表現(xiàn)形式多樣，既有直接采集的人臉信息，也有間接制作的人臉信息，間接制作的人臉信息若被非法利用，同樣會(huì)給人臉信息主體帶來損害，所以人臉信息不僅包括直接提取的人臉信息，還應(yīng)包括間接制作的人臉信息；不僅包括原始的人臉信息，還包括次生的人臉信息；不僅包括2D形態(tài)的還應(yīng)包括3D形態(tài)的人臉信息。只有這樣明確列舉，各種人臉信息才能落入保護(hù)之列。

(2)將人臉信息歸入個(gè)人敏感信息之列。個(gè)人信息種類多樣，敏感程度不同，將人臉信息歸入個(gè)人敏感信息之列可以讓商業(yè)主體意識(shí)到自己應(yīng)承擔(dān)的人臉信息保護(hù)責(zé)任。不同類型的信息配有不同的保護(hù)規(guī)則，對(duì)于一般個(gè)人信息，市場(chǎng)主體在收集時(shí)取得信息主體的默示同意即可，對(duì)于人臉信息則必須取得人臉信息主體的明示同意；對(duì)于侵權(quán)的賠償數(shù)額標(biāo)準(zhǔn)規(guī)定也不同，一般信息侵權(quán)的賠償數(shù)額通常會(huì)低于人臉信息侵權(quán)的賠償數(shù)額。將人臉信息歸入個(gè)人敏感信息會(huì)產(chǎn)生良好的保護(hù)效果。

(3)在《民法典》第1034條中嵌入人臉信息保護(hù)條款。在個(gè)人信息保護(hù)法還未出臺(tái)情況下專門針對(duì)人臉信息保護(hù)制定一部法律不切實(shí)際，貿(mào)然對(duì)法律進(jìn)行大修大補(bǔ)也可能不適應(yīng)社會(huì)發(fā)展需求，反而會(huì)帶來新的風(fēng)險(xiǎn)，因此最好的辦法是利用既有法律資源，在現(xiàn)有法律框架內(nèi)制定人臉信息保護(hù)條款。我國《民法典》第1034條有三款內(nèi)容涉及人臉信息，第一款規(guī)定自然人的個(gè)人信息受法律保護(hù)，(10)《民法典》第1034條第一款：“自然人的個(gè)人信息受法律保護(hù)。”第二款規(guī)定了個(gè)人信息的概念并列舉了具體種類，(11)《民法典》第1034條第二款：“個(gè)人信息是以電子或其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號(hào)碼、生物識(shí)別信息、住址、電話號(hào)碼、電子郵箱、健康信息、行蹤信息等?！钡谌钜?guī)定私密信息的保護(hù)路徑。(12)《民法典》第1034條第二款：“個(gè)人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個(gè)人信息保護(hù)的規(guī)定。”可以在此基礎(chǔ)上加入第四款，作為專門保護(hù)人臉信息的條款，先明確人臉信息概念，然后表明人臉信息屬于個(gè)人敏感信息，最后說明人臉信息受法律特殊保護(hù)，只有這樣才能突出保護(hù)人臉信息的重要性。

2.構(gòu)建人臉信息主體權(quán)利體系

(1)保障知情同意權(quán)。人權(quán)由多項(xiàng)具體權(quán)利構(gòu)成，人臉信息主體的各項(xiàng)權(quán)利都能得到保障，人權(quán)才能實(shí)現(xiàn)。知情同意權(quán)是實(shí)現(xiàn)其他信息權(quán)利的基礎(chǔ)，知情同意權(quán)的設(shè)置本身沒有問題，只是權(quán)利實(shí)現(xiàn)遇到了阻礙，應(yīng)在立法層面上保障人臉信息主體知情同意權(quán)。一方面要保障人臉信息主體的知情權(quán)，人臉信息主體應(yīng)對(duì)收集目的、使用范圍和保管措施等知情，算法黑箱逐漸透明化，人臉信息主體才能充分知情。另一方面要保障人臉信息主體的同意權(quán)，建立動(dòng)態(tài)同意機(jī)制。每次收集行為均應(yīng)取得人臉信息主體的同意，超過最初收集目的與使用范圍還需重新取得同意。同意應(yīng)為明確的同意，不能為默示的同意。同意還應(yīng)為具體的同意，不能為概括的同意。

(2)賦予信息刪除權(quán)。舍恩伯格認(rèn)為自進(jìn)入大數(shù)據(jù)時(shí)代以來遺忘已經(jīng)成了一種美德，記憶成了常態(tài)，只要在網(wǎng)絡(luò)中游走，幾乎所有的信息都能被記憶，無論我們?cè)覆辉敢猓@給人們帶來了極大的心理負(fù)擔(dān)，讓網(wǎng)絡(luò)失去記憶已經(jīng)成了人們共同的需求，信息刪除權(quán)已經(jīng)成為現(xiàn)代人必不可少的一項(xiàng)權(quán)利。首先，應(yīng)明確人臉信息刪除權(quán)的權(quán)利主體，人臉信息刪除權(quán)的權(quán)利主體既可以是人臉信息主體本人，也可委托他人。其次，人臉信息刪除權(quán)的義務(wù)主體不只是人臉信息的直接利用者，也包括其他共享企業(yè)或關(guān)聯(lián)企業(yè)。最后，刪除時(shí)間應(yīng)具體規(guī)定為多少小時(shí)，而不應(yīng)以“合理期間”籠統(tǒng)規(guī)定。

(3)引入限制處理權(quán)。限制處理權(quán)是在刪除權(quán)中獨(dú)立規(guī)定的一種新型數(shù)據(jù)權(quán)利，主要是考慮到礙于技術(shù)原因無法將信息徹底刪除，或信息主體仍想繼續(xù)獲得服務(wù)但需限制商業(yè)主體對(duì)信息的處理行為的情況。限制處理權(quán)為人臉信息主體提供了另一種選擇，迎合了人臉信息保護(hù)的多樣化需求。我國有必要引入限制處理權(quán)進(jìn)行本土化構(gòu)建。一方面應(yīng)明確人臉信息主體行使限制處理權(quán)的前提，當(dāng)商業(yè)主體超過最初收集目的利用人臉信息、過度分析人臉信息時(shí)，人臉信息主體可行使限制處理權(quán)。另一方面應(yīng)設(shè)計(jì)人臉信息主體行使限制處理權(quán)的程序，人臉信息主體提出請(qǐng)求后，商業(yè)主體應(yīng)即刻予以處理，若因遲延履行造成的損失商業(yè)主體應(yīng)負(fù)賠償責(zé)任，商業(yè)主體處理完畢后應(yīng)將處理結(jié)果告知人臉信息主體，若對(duì)處理結(jié)果不滿意，人臉信息主體可行使刪除權(quán)。

3.設(shè)置統(tǒng)一保護(hù)機(jī)關(guān)

(1)建立監(jiān)管機(jī)構(gòu)。為保護(hù)個(gè)人信息權(quán)益，GDPR要求各成員國成立獨(dú)立的數(shù)據(jù)保護(hù)機(jī)構(gòu)，法國據(jù)此成立了國家數(shù)據(jù)保護(hù)委員會(huì)，芬蘭成立了數(shù)據(jù)保護(hù)辦公室，德國設(shè)置了聯(lián)邦數(shù)據(jù)保護(hù)和信息自由保護(hù)專員。[12]獨(dú)立監(jiān)管機(jī)構(gòu)的設(shè)立有力保護(hù)了信息權(quán)益。我國也應(yīng)根據(jù)國情建立一個(gè)統(tǒng)一的信息監(jiān)管機(jī)構(gòu)，當(dāng)發(fā)生人臉信息糾紛時(shí)，可以避免產(chǎn)生行政機(jī)關(guān)推諉扯皮的現(xiàn)象。

(2)劃定監(jiān)管職權(quán)。監(jiān)管機(jī)構(gòu)建立后還應(yīng)劃定監(jiān)管職權(quán)。第一，人臉信息監(jiān)管機(jī)關(guān)具有審批權(quán)，并不是任何一個(gè)商業(yè)主體均能采集人臉信息，應(yīng)設(shè)置人臉信息采集的門檻。第二，審批通過后，人臉信息監(jiān)管機(jī)構(gòu)擁有許可權(quán)。第三，在商業(yè)主體利用人臉信息的過程中，人臉信息監(jiān)管機(jī)構(gòu)擁有檢查權(quán)。第四，人臉信息監(jiān)管機(jī)構(gòu)檢查后若發(fā)現(xiàn)商業(yè)主體的保管措施不合格或商業(yè)主體對(duì)人臉信息進(jìn)行非法利用，人臉信息監(jiān)管機(jī)構(gòu)可以行使糾正權(quán)。第五，如果商業(yè)主體拒不更改或未完全更改，人臉信息監(jiān)管機(jī)構(gòu)可行使懲罰權(quán)。

(3)細(xì)化監(jiān)管措施。監(jiān)管職權(quán)明確后還應(yīng)細(xì)化監(jiān)管措施。當(dāng)商業(yè)主體違法情節(jié)輕微，沒有給人臉信息主體造成實(shí)質(zhì)影響時(shí)，人臉信息監(jiān)管機(jī)構(gòu)可以采取約談、責(zé)令限期改正的監(jiān)管措施；當(dāng)商業(yè)主體不當(dāng)處理人臉信息時(shí)，人臉信息監(jiān)管機(jī)構(gòu)可以要求商業(yè)主體停止人臉信息處理行為，如果商業(yè)主體給個(gè)人造成影響，可以要求商業(yè)主體消除影響、恢復(fù)名譽(yù)、賠禮道歉等；當(dāng)商業(yè)主體違法情節(jié)惡劣時(shí)，人臉信息監(jiān)管機(jī)構(gòu)可以對(duì)商業(yè)主體罰款；當(dāng)商業(yè)主體的行為構(gòu)成犯罪時(shí)，人臉信息監(jiān)管機(jī)構(gòu)應(yīng)將全部案件材料移交司法機(jī)關(guān)審查。

4.完善侵權(quán)救濟(jì)機(jī)制

(1)擴(kuò)大民事公益訴訟主體范圍。為了改變?nèi)四樞畔⒅黧w的弱勢(shì)地位，需要法律作出特別的制度安排。當(dāng)前我國《民事訴訟法》規(guī)定的提起民事公益訴訟的主體只有法律規(guī)定的有關(guān)機(jī)關(guān)和有關(guān)組織，檢察機(jī)關(guān)只能作為后順位的主體，在有關(guān)組織未提起訴訟后才能提起訴訟，(13)《民事訴訟法》第55條第一款：“對(duì)污染環(huán)境、侵害眾多消費(fèi)者合法權(quán)益等損害時(shí)社會(huì)公共利益的行為，法律規(guī)定的有關(guān)機(jī)關(guān)和有關(guān)組織可以向人民法院提起訴訟。”《民事訴訟法》第55條第二款：“人民檢察院在履行職責(zé)中發(fā)現(xiàn)破壞生態(tài)環(huán)境和資源保護(hù)、食品藥品安全領(lǐng)域侵害眾多消費(fèi)者合法權(quán)益等損害社會(huì)公共利益行為，在沒有前款規(guī)定的機(jī)關(guān)和組織或者前款規(guī)定的機(jī)關(guān)和組織不得提起訴訟的情況下可以向人民法院提起訴訟。”而且有關(guān)組織規(guī)定的標(biāo)準(zhǔn)甚為嚴(yán)格，一般組織并無提起公益訴訟的資格，這并不利于人臉信息的保護(hù)，應(yīng)降低訴訟主體的資格條件，只要人臉信息主體愿意委托，一些具有實(shí)力的組織或個(gè)人可以代替人臉信息主體進(jìn)行維權(quán)，《證券法》中的“明示退出，默示加入”原則可資借鑒，(14)《證券法》第95條第3款：“投資者保護(hù)機(jī)構(gòu)受五十名以上投資者委托，可以作為代表人參加訴訟，并為經(jīng)證券登記結(jié)算機(jī)構(gòu)確認(rèn)的權(quán)利人依照前款規(guī)定向人民法院登記，但投資者明確表示不愿意參加該訴訟的除外?！薄蹲C券法》中規(guī)定了五十名投資者即可委托投資者保護(hù)機(jī)構(gòu)代為維權(quán)，其他投資者不否認(rèn)也視為同意委托，這一原則可推行至人臉信息糾紛中，縮小人臉信息主體與商業(yè)主體的實(shí)力差距，打破人臉信息糾紛中“無人起訴”的局面。

(2)重設(shè)侵權(quán)規(guī)則體系。僅對(duì)訴訟主體進(jìn)行特別規(guī)定，不足以平衡人臉信息主體和商業(yè)主體的利益，侵權(quán)規(guī)則體系還需重設(shè)。一方面應(yīng)更改歸責(zé)原則，適用過錯(cuò)歸責(zé)原則于人臉信息主體不公，適用無過錯(cuò)歸責(zé)原則對(duì)商業(yè)主體又過于嚴(yán)苛，為平衡二者利益采取過錯(cuò)推定原則是適切的。另一方面應(yīng)降低損害后果的證明標(biāo)準(zhǔn)，人臉信息主體所受損害未達(dá)到嚴(yán)重?fù)p害或?qū)嵸|(zhì)損害程度也可獲得賠償。美國伊利諾伊州最高院在2019年的判決中認(rèn)為：《伊利諾伊州生物識(shí)別隱私法案》規(guī)定了私人實(shí)體收集、保存和處理生物識(shí)別信息的義務(wù)，當(dāng)私人實(shí)體違反了這些程序性義務(wù)時(shí)信息主體的隱私便不復(fù)存在了，因此原告不必證明損害是現(xiàn)實(shí)的或重大的，“程序性侵權(quán)即為損害后果”的證明標(biāo)準(zhǔn)是合理的。

(3)確定最低賠償標(biāo)準(zhǔn)。我國在消費(fèi)者侵權(quán)領(lǐng)域(15)《消費(fèi)者權(quán)益保護(hù)法》第55條第一款：“經(jīng)營者提供商品或服務(wù)有欺詐行為的，應(yīng)當(dāng)按照消費(fèi)者的要求增加賠償其受到的損失，增加賠償?shù)慕痤~為消費(fèi)者購買商品的價(jià)款或接受服務(wù)費(fèi)用的三倍；增加金額不足五百元的，為五百元。法律另有規(guī)定的，依照其規(guī)定。”和食品侵權(quán)領(lǐng)域(16)《食品安全法》第148條第二款：“生產(chǎn)不符合食品安全標(biāo)準(zhǔn)的食品或者經(jīng)營者明知是不符合食品安全標(biāo)準(zhǔn)的食品，消費(fèi)者除要求賠償損失外，還可以向生產(chǎn)者或者經(jīng)營者要求支付價(jià)款十倍或者損失三倍的賠償金；增加賠償?shù)慕痤~不足一千元的，為一千元。但是，食品的標(biāo)簽、說明書存在不影響食品安全且不會(huì)對(duì)消費(fèi)者造成誤導(dǎo)的瑕疵的除外?！贝_定了最低賠償標(biāo)準(zhǔn)，使消費(fèi)者的合法權(quán)益得到了有效救濟(jì)，也激發(fā)了消費(fèi)者的維權(quán)動(dòng)力。在人臉信息侵權(quán)糾紛中也可為人臉信息主體確定最低損害賠償標(biāo)準(zhǔn)，當(dāng)人臉信息主體所受損害數(shù)額無法確定時(shí)時(shí)，可主張最低損害賠償，能夠確定時(shí)可主張補(bǔ)償性損害賠償，如果隱私遭受嚴(yán)重侵犯、財(cái)產(chǎn)損失巨大、社會(huì)影響惡劣時(shí)，可主張懲罰性賠償。最低損害賠償標(biāo)準(zhǔn)可為人臉信息主體提供兜底保護(hù)。

結(jié)語

人臉識(shí)別技術(shù)已經(jīng)被越來越多的商業(yè)主體使用，人臉信息保護(hù)不僅僅是一個(gè)技術(shù)問題，更是一個(gè)法律問題。人臉信息在商業(yè)領(lǐng)域應(yīng)用中的權(quán)益保護(hù)問題已初露端倪，隨著數(shù)據(jù)產(chǎn)業(yè)的發(fā)展，人臉信息巨大的商業(yè)價(jià)值將會(huì)不斷凸顯，對(duì)于個(gè)人的重要性也會(huì)不斷增強(qiáng)。當(dāng)人臉識(shí)別技術(shù)滲透進(jìn)社會(huì)生活的方方面面與人類建立起緊密關(guān)系之時(shí)，將挑戰(zhàn)我們的隱私觀和信息觀。立法是指向未來的，我們應(yīng)提前做好部署，充分發(fā)揮法律的預(yù)測(cè)作用，對(duì)人臉信息給予及時(shí)的保護(hù)。