張建文，趙梓羽

西南政法大學(xué)民商法學(xué)院，重慶 渝北 401120

引言

人臉識別無疑是近年來高新科技領(lǐng)域的熱詞之一。目前，世界范圍內(nèi)已接連出現(xiàn)多起因人臉識別應(yīng)用技術(shù)引發(fā)的侵害自然人隱私權(quán)、個人信息權(quán)益的事件。人臉識別技術(shù)應(yīng)用在為人們的生產(chǎn)生活帶來極大便利的同時(shí)，由此所帶來的信息安全隱患也逐漸引發(fā)人們的關(guān)注和擔(dān)憂。2021 年，在全國政協(xié)十三屆四次會議新聞發(fā)布會上，有全國政協(xié)委員提出了關(guān)于加快構(gòu)建人臉識別技術(shù)數(shù)據(jù)監(jiān)管體系的提案[1]，對人臉識別技術(shù)應(yīng)用進(jìn)行立法規(guī)制已是箭在弦上?；诖?，有必要對該項(xiàng)技術(shù)的法律規(guī)制進(jìn)行深入研究。本文在對人臉識別技術(shù)應(yīng)用進(jìn)行利弊衡量的基礎(chǔ)上探求對其進(jìn)行法律規(guī)制的應(yīng)然態(tài)度，借鑒比較法上人臉識別技術(shù)應(yīng)用的法律規(guī)制措施，厘清該項(xiàng)技術(shù)應(yīng)用的法律邊界，進(jìn)而提出完善我國人臉識別技術(shù)法律規(guī)制的建議。

1 人臉識別技術(shù)應(yīng)用的收益與風(fēng)險(xiǎn)

人臉識別技術(shù)是在圖像或視頻流中檢測或跟蹤人臉，再基于人的面部特征信息進(jìn)行身份識別的一種生物識別技術(shù)[2]。這種識別可以通過遠(yuǎn)程進(jìn)行操作，在無接觸的情形下實(shí)現(xiàn)信息與自然人之間的匹配，從而極大地提高了信息采集、處理的便捷性。這是將其與指紋、虹膜等物理識別方式相區(qū)分的根本之處，但相較于后者而言，人臉識別的唯一性、精準(zhǔn)性有所減弱。人臉識別技術(shù)的以上特征決定了該項(xiàng)技術(shù)應(yīng)用是收益與風(fēng)險(xiǎn)并存的。收益與風(fēng)險(xiǎn)的關(guān)系決定了法律規(guī)制的基本態(tài)度，也是研究人臉識別技術(shù)法律規(guī)制的必要前提。

1.1 人臉識別技術(shù)應(yīng)用的收益

人臉識別技術(shù)可以應(yīng)用于諸多場景，其發(fā)展創(chuàng)造了大量裨益社會的機(jī)會。據(jù)調(diào)查研究顯示，2018年，人臉識別技術(shù)應(yīng)用的全球市場規(guī)模已突破54 億美元[3]。人臉識別作為人工智能時(shí)代標(biāo)志性的一項(xiàng)技術(shù)，如果應(yīng)用得當(dāng)，將在多領(lǐng)域、多場景為政府機(jī)構(gòu)、企業(yè)集團(tuán)以及個人提供便利。

1.1.1 公益價(jià)值

人臉識別作為當(dāng)前我國人工智能領(lǐng)域最為前沿的技術(shù)之一，始終在不斷發(fā)展著，至今已被應(yīng)用至治安監(jiān)管、醫(yī)療健康、行政管理等各大關(guān)涉社會公益的關(guān)鍵性領(lǐng)域。尤其是在此次新冠肺炎疫情防控中，人臉識別技術(shù)在助力公眾安全中發(fā)揮了空前的重要作用。人臉識別技術(shù)也廣泛應(yīng)用于教育行業(yè)，例如研究生招生考試、法律職業(yè)資格證考試等大型考試均采用一對一人臉識別，杜絕了替代考試行為的發(fā)生；“刷臉進(jìn)?！薄八⒛槾蚩ā蹦軌蛴行岣哒n堂出勤率，督促受教育者進(jìn)行自我提升。人臉識別技術(shù)也為交通業(yè)的發(fā)展帶來了福利，自動驗(yàn)票系統(tǒng)“刷臉進(jìn)站”服務(wù)極大地提高了驗(yàn)票效率和進(jìn)站速度。人臉識別技術(shù)同樣也是打擊犯罪的有力手段，偵查機(jī)關(guān)利用人臉識別技術(shù)建立包含通緝犯、嫌疑犯、非法逃生者以及其他相關(guān)主體的人臉圖像數(shù)據(jù)庫，并對上述主體進(jìn)行實(shí)時(shí)關(guān)注，在減少犯罪行為、維護(hù)社會治安方面立下奇功。

1.1.2 私益價(jià)值

人臉識別技術(shù)的價(jià)值除了體現(xiàn)在公共安全與公共管理方面外，也體現(xiàn)在給企業(yè)與個人帶來的益處之上。從線上刷臉支付、身份認(rèn)核、人臉智能相冊到線下刷臉取款、3D 智能人臉解鎖，人臉識別技術(shù)不斷推動著傳統(tǒng)產(chǎn)業(yè)向著信息化的方向發(fā)展。人臉識別技術(shù)的商業(yè)化應(yīng)用不僅賦能企業(yè)業(yè)務(wù)服務(wù)水平與效率的提升，更是在推動技術(shù)創(chuàng)新方面大有裨益[4]。例如，支付寶開通的小額款項(xiàng)刷臉支付可在300 毫秒內(nèi)瞬時(shí)完成便捷支付，為便捷金融、智慧金融注入了新的活力[5]。又如，售樓部、商戶門店等銷售領(lǐng)域安裝的人臉識別系統(tǒng)不僅充當(dāng)安全監(jiān)察的作用，更是分析客戶群體消費(fèi)心理、精準(zhǔn)投放廣告的重要工具。再如，“王者榮耀”游戲啟動前嵌入人臉識別系統(tǒng)對中小學(xué)生的使用時(shí)長進(jìn)行限制，是企業(yè)在網(wǎng)絡(luò)游戲監(jiān)管規(guī)范的要求之下積極承擔(dān)社會責(zé)任的體現(xiàn)，發(fā)揮著維護(hù)未成年人身心健康的效用。

1.2 人臉識別技術(shù)應(yīng)用的風(fēng)險(xiǎn)

科技是把雙刃劍。人臉識別這項(xiàng)新興技術(shù)在創(chuàng)造收益的同時(shí)也帶來了不可小覷的風(fēng)險(xiǎn)。雖然人臉識別技術(shù)在設(shè)計(jì)之初具有便利性且在一定程度上安全可控，但隨著多場景下人臉識別技術(shù)應(yīng)用范圍的擴(kuò)張，引發(fā)了基于盈利為目的的不規(guī)范使用等預(yù)期未及的問題，造成了人臉識別技術(shù)的應(yīng)用風(fēng)險(xiǎn)。

1.2.1 識別錯位、歧視風(fēng)險(xiǎn)

人臉識別技術(shù)的關(guān)鍵詞在于“識別”。然而該種“識別”受外界因素影響較大，并不必然具有穩(wěn)定性。一方面，面部特征所蘊(yùn)含的信息量遠(yuǎn)不及指紋、虹膜等生物特征，其變化形態(tài)也不及后者復(fù)雜、多樣[6]；另一方面，受限于技術(shù)與成本，大部分人臉識別尤其是中小型企業(yè)開發(fā)或應(yīng)用的商用人臉識別技術(shù)尚難以實(shí)現(xiàn)三維立體識別的普及。在以上雙重因素的共同作用下，人臉識別技術(shù)極易產(chǎn)生識別錯位的問題。此外，由于大量采集的人臉信息儲存在統(tǒng)一的平臺內(nèi)，數(shù)據(jù)量呈指數(shù)倍極快地增長，若平臺程序頻繁運(yùn)行勢必會加大數(shù)據(jù)錯位、內(nèi)部信息錯亂的風(fēng)險(xiǎn)[7]。不僅如此，這種識別錯位還隱含著歧視風(fēng)險(xiǎn)。麻省理工學(xué)院實(shí)驗(yàn)室通過對1 270 人的數(shù)據(jù)庫進(jìn)行人臉識別后發(fā)現(xiàn)：人臉識別系統(tǒng)對有色人種匹配的準(zhǔn)確率較低，錯誤率可達(dá)到35%[8]。將誤差率如此之高的人臉識別技術(shù)應(yīng)用至防控犯罪增大了有色人種被當(dāng)作罪犯的可能性，實(shí)際上是將人臉識別技術(shù)的應(yīng)用置于種族歧視的風(fēng)險(xiǎn)之下。

1.2.2 破壞知情同意規(guī)則的風(fēng)險(xiǎn)

知情同意規(guī)則是個人信息保護(hù)的核心和基礎(chǔ)，是自然人信息自決的體現(xiàn)[9]?！睹穹ǖ洹返?035條規(guī)定了處理個人信息的知情同意規(guī)則。2020 年10 月21 日公布的《中華人民共和國個人信息保護(hù)法（草案）》（以下簡稱《個人信息保護(hù)法（草案）》）第14 條又進(jìn)一步對知情同意規(guī)則進(jìn)行了總結(jié)和完善。而人臉識別技術(shù)所采集的面部特征信息既屬于個人信息，又屬于敏感個人信息的范疇，其處理不僅應(yīng)符合《民法典》第1035 條、《個人信息保護(hù)法（草案）》第14 條的規(guī)定，還須滿足《個人信息保護(hù)法（草案）》第二章第二節(jié)對敏感個人信息處理的特殊規(guī)定，如取得個人的單獨(dú)同意（第30 條）、向個人告知處理敏感個人信息的必要性以及對個人的影響（第31 條）等。

然而，在實(shí)踐中，人臉識別技術(shù)的應(yīng)用往往難以符合上述要求，構(gòu)成了對知情同意規(guī)則的違反。這種違反主要集中在以下兩個方面：其一，未充分告知信息主體。公共場所安裝的人臉識別系統(tǒng)直接對鏡頭下捕捉到的面部特征信息進(jìn)行分析、處理，這一過程并未告知信息主體，侵犯了信息主體的知情權(quán)。其二，信息主體未真正同意。大多應(yīng)用到人臉識別技術(shù)的APP 往往在用戶進(jìn)行注冊登錄時(shí)彈出所謂的“隱私條款”，但系統(tǒng)又設(shè)定信息主體若不同意該“隱私條款”便無法使用該應(yīng)用軟件，以此獲得采集、使用面部特征信息的許可。因此，這種概括式的、僵化式的“同意”過于形式化，并非基于信息主體真正自愿，未能使“同意”規(guī)則發(fā)揮真正效用。

1.2.3 侵犯個人隱私風(fēng)險(xiǎn)

數(shù)字社會必須保護(hù)好自然人的個人隱私，這也是數(shù)字治理本身的內(nèi)容[10]。面部特征信息被廣泛采集形成大數(shù)據(jù)后，有極大可能會對信息主體的隱私造成威脅，這種威脅貫穿面部特征信息采集到關(guān)聯(lián)比對的整個過程[11]。首先，信息主體對其面部特征信息享有合理隱私期待，而人臉識別技術(shù)在信息采集過程中往往利用其隔空捕捉信息的能力繞過對方知情同意，在未經(jīng)信息主體授權(quán)或允許的情形下保存其面部特征信息。例如，在某連鎖商戶門店的攝像頭之下，客戶的姓名、年齡、職業(yè)、心情，甚至是否具有購買欲望都已被悄悄獲取并同時(shí)傳送給全國范圍內(nèi)的連鎖門店，使客戶個人信息公然暴露于聚光燈之下。此外，在采集自然人的面部特征信息后，在該信息的存儲與流轉(zhuǎn)中也容易發(fā)生侵犯信息主體隱私的情形，因?yàn)楸４婷娌刻卣餍畔⒌挠?jì)算機(jī)系統(tǒng)也存在被黑客入侵、病毒入侵的風(fēng)險(xiǎn)，這也進(jìn)一步導(dǎo)致隱私泄露的風(fēng)險(xiǎn)大大增加。

總而言之，人臉識別技術(shù)既能帶來可觀的收益，同時(shí)也存在難以估量的風(fēng)險(xiǎn)。對此，我們在鼓勵科技發(fā)展的同時(shí)，必須對人臉識別技術(shù)進(jìn)行系統(tǒng)有效的法律規(guī)制，不能縱容該項(xiàng)技術(shù)在侵犯公民人身、財(cái)產(chǎn)安全的風(fēng)險(xiǎn)中“野蠻生長”。

2 域外人臉識別技術(shù)應(yīng)用的法律規(guī)制

隨著近年來個人信息保護(hù)的呼聲逐漸高漲，對人臉識別技術(shù)應(yīng)用進(jìn)行法律規(guī)制已成為各國立法保護(hù)的焦點(diǎn)?？傮w上看，域外人臉識別技術(shù)應(yīng)用的法律規(guī)制模式主要包括美國的分散式立法模式、歐洲的統(tǒng)一規(guī)制模式兩種模式。

2.1 美國的分散式立法規(guī)制

美國是人臉識別技術(shù)立法規(guī)制的先行者，在聯(lián)邦形成統(tǒng)一法案之前，各州立法先行，伊利諾伊州、佛羅里達(dá)州、華盛頓州等已經(jīng)發(fā)布多項(xiàng)法案對人臉識別技術(shù)進(jìn)行專門立法規(guī)制。從總體上看，美國對人臉識別技術(shù)的規(guī)制因應(yīng)用主體不同而呈現(xiàn)差異化的路徑。

2.1.1 政府部門——禁止性規(guī)范為主

美國對政府部門使用人臉識別技術(shù)持謹(jǐn)慎態(tài)度，相關(guān)法規(guī)以禁止性規(guī)范為主?！都又萆眢w攝像頭責(zé)任法案》（California body camera Liability Act）是首個州級別的對行政采集面部特征信息行為進(jìn)行制止的法案，法案確認(rèn)警察執(zhí)法部門隨身攜帶攝像頭進(jìn)行人臉識別的操作是對個人隱私的侵害[12]。在該類禁止性法案出臺之前，美國主要通過行政禁令對行政人臉信息采集行為進(jìn)行規(guī)制。舊金山發(fā)布的《停止秘密監(jiān)視條例》（Stop Secret Surveillance Ordinance）是首個以城市為主體發(fā)布的禁止性條例，規(guī)定了政府部門非特定緊急情況下不得隨意采集人臉信息。隨后，薩默維爾市也通過了《人臉識別全面禁止條例》（Banning the Usage of Facial Technology Surveillance in Somerville），宣告了薩默維爾市范圍內(nèi)所有接獲、使用人臉識別系統(tǒng)獲取人臉信息的行為均是非法的，成為美國率先禁止使用人臉識別技術(shù)的城市之一。

2.1.2 非政府部門——限制性規(guī)范為主

不同于禁止政府機(jī)構(gòu)使用人臉識別技術(shù)的規(guī)定，美國對非政府機(jī)構(gòu)使用人臉識別技術(shù)持較為開放的態(tài)度，其通過對生物識別信息或人臉識別技術(shù)進(jìn)行專門立法的方式對私主體使用該項(xiàng)技術(shù)進(jìn)行規(guī)范，在一定程度上允許該技術(shù)的限制性使用。

美國各州最早是通過生物識別信息立法保護(hù)的方式對非政府部門使用人臉識別技術(shù)進(jìn)行規(guī)制的。其典型代表是2008 年頒布于伊利諾伊州的《生物識別信息隱私法案》（Biometric Information Privacy Act，BIPA），該法案通過個體賦權(quán)、強(qiáng)化義務(wù)的方式對包含面部特征信息在內(nèi)的生物識別信息的采集、存儲、使用、保留與銷毀進(jìn)行規(guī)范。具體來看，法案作出了以下具有借鑒意義的規(guī)定：初次采集生物識別信息時(shí)應(yīng)當(dāng)獲得信息主體書面授權(quán)并告知信息主體被采集信息的具體內(nèi)容、目的、存儲時(shí)間；企業(yè)對生物識別信息負(fù)有達(dá)到信息采集目的后一定期限內(nèi)的銷毀義務(wù)；生物識別信息未經(jīng)允許不得出售、不得被非法披露，等等[13]。除了生物識別信息的專門立法外，華盛頓州、加利福尼亞州還通過人臉識別技術(shù)專門立法（Facial Recognition）的方式對人臉識別技術(shù)應(yīng)用進(jìn)行直接性、針對性的規(guī)制。隨著人臉識別技術(shù)在實(shí)踐應(yīng)用中帶來的各項(xiàng)風(fēng)險(xiǎn)不斷增多，聯(lián)邦層面也加緊了制定人臉識別技術(shù)專門法案的步伐，以迎合面部特征信息保護(hù)的現(xiàn)實(shí)需要[14]。

2.2 歐盟的統(tǒng)一嚴(yán)格限制模式

與美國分散式立法規(guī)制人臉識別技術(shù)應(yīng)用形成鮮明對比的是，歐盟早先立法形成了嚴(yán)格限制人臉識別技術(shù)應(yīng)用的普遍認(rèn)識。2016 年通過的《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation,GDPR）將不同種類、性質(zhì)的個人信息均納入該條例保護(hù)框架之下，通過民事、行政、刑事措施合一的立法安排對個人信息進(jìn)行嚴(yán)格保護(hù)[15]。GDPR 第4 條第14 款對“生物特征數(shù)據(jù)”（biometric data）的內(nèi)涵與外延進(jìn)行了界定，能夠識別特定自然人的“面部圖像”（facial images）通過技術(shù)應(yīng)用轉(zhuǎn)化為個人數(shù)據(jù)后即歸于此列。第9 條規(guī)定自然人的生物數(shù)據(jù)屬于個人數(shù)據(jù)的特殊類別，處理該類數(shù)據(jù)須遵守“原則禁止、特殊例外”的原則，特殊情況下確需處理的需滿足“合法、正當(dāng)、同意”等要件，且“同意”必須基于數(shù)據(jù)主體“自愿、明確、具體、不含混”的方式作出[16]。由此可見，在GDPR 下，人臉識別技術(shù)的應(yīng)用受到極大限制，即使是在特定情形下允許該項(xiàng)技術(shù)對人臉信息的采集，其處理?xiàng)l件也十分嚴(yán)苛。歐盟GDPR 的立法者認(rèn)為，比起為現(xiàn)代社會帶來的收益，人臉識別技術(shù)侵犯公民隱私與個人信息的風(fēng)險(xiǎn)是不可容忍的，因此應(yīng)當(dāng)不加區(qū)分地嚴(yán)格限制政府機(jī)構(gòu)、非政府機(jī)構(gòu)對人臉識別技術(shù)的使用。

對比以上兩種立法模式不難發(fā)現(xiàn)，美國分散式立法根據(jù)各州實(shí)際情況制定規(guī)則，有針對性、實(shí)踐性較強(qiáng)的優(yōu)勢，但也存在保護(hù)層級不清、保護(hù)措施單一的問題；歐盟統(tǒng)一式立法更為全面、系統(tǒng)，但人臉識別技術(shù)發(fā)展之快，容易出現(xiàn)法律滯后于技術(shù)發(fā)展的現(xiàn)象?？傊瑑煞N模式各有利弊，完善我國人臉識別技術(shù)應(yīng)用的法律規(guī)范應(yīng)立足于國情及社會經(jīng)濟(jì)發(fā)展情況進(jìn)行探討。

3 我國人臉識別技術(shù)應(yīng)用法律規(guī)制的現(xiàn)狀及完善措施

3.1 我國人臉識別技術(shù)應(yīng)用法律規(guī)制的現(xiàn)狀

我國目前對人臉識別技術(shù)涉及的面部特征信息的保護(hù)散見于法律法規(guī)、規(guī)章條例中。2016 年實(shí)施的《網(wǎng)絡(luò)安全法》與2017 年實(shí)施的《民法總則》最先在法律層面上規(guī)定了個人信息保護(hù)，但均未明確其內(nèi)容是否包含人臉識別技術(shù)涉及的面部特征信息或個人生物識別信息。2021 年1 月1 日生效的《民法典》對此有所突破，其中第1034 條第1 款規(guī)定：“自然人的個人信息受法律保護(hù)”，第2 款將生物識別信息與自然人的姓名、出生日期、身份證件號碼等相并列規(guī)定為個人信息內(nèi)容。但不難看出，以上條款僅對生物識別信息作宣示性保護(hù)，并未對保護(hù)內(nèi)容及保護(hù)方式作實(shí)質(zhì)性規(guī)定。

與上述法律規(guī)范形成對比，我國在行政法規(guī)、規(guī)章、條例等規(guī)范性文件中對人臉識別技術(shù)應(yīng)用中涉及的面部特征信息（個人生物識別信息）作了較為細(xì)化的規(guī)定，其中包括多項(xiàng)意見征求中的數(shù)據(jù)（個人信息）管理的專門性法規(guī)以及多項(xiàng)國家標(biāo)準(zhǔn)規(guī)定。其中，2020 年3 月修訂的《信息安全技術(shù)個人信息安全規(guī)范》對個人生物識別信息的保護(hù)進(jìn)行了較為全面的規(guī)定。該項(xiàng)規(guī)范明確規(guī)定了個人生物識別信息屬于敏感個人信息，并對該類信息進(jìn)行特殊保護(hù)：采集個人生物識別信息前應(yīng)當(dāng)向信息主體告知采集、使用個人信息的目的、方式和范圍以及存儲時(shí)間等規(guī)則，并獲得個人信息主體的明示同意；個人生物識別信息應(yīng)與個人身份信息分開存儲；原則上不應(yīng)存儲原始個人生物識別信息，等等。但該項(xiàng)規(guī)范僅為國家層面的推薦性標(biāo)準(zhǔn)，不具有強(qiáng)制效力[17]。由此可見，我國關(guān)于人臉識別技術(shù)應(yīng)用的法律規(guī)制問題仍有待進(jìn)一步完善。

3.2 我國人臉識別技術(shù)應(yīng)用的法制完善

鑒于人臉識別技術(shù)應(yīng)用可能帶來的識別錯位和歧視風(fēng)險(xiǎn)、破壞知情同意規(guī)則風(fēng)險(xiǎn)、隱私和個人信息侵害風(fēng)險(xiǎn)，未來立法上應(yīng)當(dāng)確立面部特征信息的準(zhǔn)確化處理原則、完善知情同意規(guī)則和隱私侵害的救濟(jì)措施等。

3.2.1 確立面部特征信息的準(zhǔn)確化處理原則

當(dāng)前，人臉識別技術(shù)尚不成熟，其應(yīng)用過程中仍存在較大的識別錯位與歧視風(fēng)險(xiǎn)，有必要借鑒歐盟《通用數(shù)據(jù)保護(hù)條例》確立信息處理的準(zhǔn)確化原則。歐盟《通用數(shù)據(jù)保護(hù)條例》在第5 條個人數(shù)據(jù)處理原則中規(guī)定了個人數(shù)據(jù)的準(zhǔn)確性：數(shù)據(jù)處理者應(yīng)當(dāng)確保個人數(shù)據(jù)是準(zhǔn)確的，如有必要應(yīng)當(dāng)及時(shí)更新、擦除或更正。在此條規(guī)范的要求之下，人臉識別技術(shù)得到應(yīng)用的前提是其技術(shù)水平得到保障。由此，我國可根據(jù)該原則從以下幾個方面創(chuàng)設(shè)具體規(guī)則，用以達(dá)到準(zhǔn)確處理面部特征信息的效果：其一，要求企業(yè)及時(shí)進(jìn)行系統(tǒng)性能測試，避免技術(shù)誤差帶來的面部特征信息識別錯位風(fēng)險(xiǎn)，同時(shí)加強(qiáng)安全保密措施的實(shí)施，用來降低面部特征信息存儲過程中的風(fēng)險(xiǎn)，實(shí)現(xiàn)面部特征信息處理的準(zhǔn)確化；其二，政府可建立第三方獨(dú)立檢測機(jī)構(gòu)，對人臉識別技術(shù)進(jìn)行定期合規(guī)性檢測，督促企業(yè)對相關(guān)設(shè)備進(jìn)行升級，避免技術(shù)應(yīng)用中準(zhǔn)確性的欠缺帶來的識別錯位與歧視風(fēng)險(xiǎn)。

3.2.2 構(gòu)建具有可操作性的知情同意規(guī)則

面部特征信息屬于敏感個人信息，是與人身財(cái)產(chǎn)相關(guān)的重要個人信息，對面部特征信息的保護(hù)也應(yīng)更加嚴(yán)格。相應(yīng)地，面部特征信息使用的知情同意也應(yīng)嚴(yán)于一般個人信息的知情同意[18]。美國伊利洛伊州的《生物信息隱私法》采用書面知情同意原則，要求處理個人生物信息必須事先獲得信息主體的書面同意。這部法律頒布較早，隨著信息社會的發(fā)展，要求信息主體一一進(jìn)行書面同意顯然難以滿足當(dāng)下信息處理的需求[19]。因此，在對《個人信息保護(hù)法（草案）》第30 條處理敏感個人信息的告知同意規(guī)則進(jìn)行完善時(shí)，應(yīng)致力于提高該規(guī)則的靈活性與兼容性，既要考慮信息主體的自主選擇也要進(jìn)行成本控制，還要照顧到一般主體的數(shù)據(jù)理性能力[20]。基于此，構(gòu)建具有可操作性的知情同意規(guī)則可考慮以下兩個方面：一方面，對面部特征信息的同意應(yīng)從概括同意、整齊劃一的同意向動態(tài)同意轉(zhuǎn)變，允許個人選擇其偏好的知情方式、頻率以及內(nèi)容，并自由決定授予同意或退出同意，以提高信息主體在信息處理過程中的參與度[21]。另一方面，嚴(yán)格禁止知情同意的推定。除法律明確規(guī)定該場景可推定信息主體已經(jīng)作出默示同意外，信息處理者不得作出不利于信息主體的默示推定，信息主體未經(jīng)拒絕的沉默不得視為同意，以防止信息處理者以此為由濫用人臉識別應(yīng)用技術(shù)，提高侵害信息主體個人信息自決權(quán)的風(fēng)險(xiǎn)。

3.2.3 強(qiáng)化侵害隱私的救濟(jì)措施

人臉識別技術(shù)應(yīng)用所帶來的核心難題在于實(shí)現(xiàn)隱私侵害的預(yù)防與救濟(jì)。面部特征信息處理的準(zhǔn)確化原則與知情同意規(guī)則均致力于信息處理前的制度構(gòu)建，對人臉識別技術(shù)應(yīng)用進(jìn)行有效的法律規(guī)制還須有針對性地完善相應(yīng)的救濟(jì)措施。這就需要對多方參與主體進(jìn)行責(zé)任配置，實(shí)現(xiàn)從私主體到公權(quán)力再到社會組織的全方位立體治理。一方面，應(yīng)對接不同部門法對人臉識別技術(shù)應(yīng)用中涉及的個人隱私進(jìn)行綜合保護(hù)。具體而言，不僅要在民事領(lǐng)域?yàn)橄鄳?yīng)責(zé)任主體配置義務(wù)、設(shè)定規(guī)范，完善面部特征信息的侵權(quán)救濟(jì)制度，還應(yīng)在行政領(lǐng)域加強(qiáng)行政監(jiān)管，落實(shí)行政主體統(tǒng)籌保護(hù)面部特征信息的責(zé)任，并在刑法領(lǐng)域設(shè)立專門規(guī)范用以規(guī)制人臉識別技術(shù)的不當(dāng)使用，對利用人臉識別技術(shù)嚴(yán)重侵犯個人隱私與財(cái)產(chǎn)權(quán)的犯罪行為進(jìn)行嚴(yán)厲打擊。另一方面，應(yīng)推動社會規(guī)范的構(gòu)建，完善人臉識別技術(shù)應(yīng)用中的合同和交易制度設(shè)計(jì)，由此對私主體或政府機(jī)構(gòu)等個人信息處理者的責(zé)任進(jìn)行確切的落實(shí)。此外，還應(yīng)強(qiáng)化個人信息控制者、監(jiān)管者的責(zé)任。個人信息控制者、監(jiān)管者有義務(wù)制定合乎法律規(guī)范且符合大數(shù)據(jù)時(shí)代信息科技發(fā)展理念的行業(yè)規(guī)范，并承擔(dān)防范面部特征信息不當(dāng)泄露的責(zé)任，即使信息泄露未對信息主體造成實(shí)質(zhì)性損害，監(jiān)管者也應(yīng)承擔(dān)監(jiān)管不力的責(zé)任。

4 結(jié)語

在人臉識別技術(shù)已得到普遍應(yīng)用的信息科技時(shí)代，我們既要正視其帶來的社會收益，鼓勵新興科技的發(fā)展，也要及時(shí)應(yīng)對人臉識別技術(shù)給個人尊嚴(yán)、隱私以及現(xiàn)存法律制度帶來的挑戰(zhàn)。對人臉識別技術(shù)進(jìn)行有效規(guī)制應(yīng)從以下三個方面入手。一是應(yīng)確立面部特征信息處理的準(zhǔn)確化原則，確保人臉識別技術(shù)所采集、存儲、使用、公開個人信息等一系列環(huán)節(jié)中信息的準(zhǔn)確性。二是應(yīng)以信息主體面部特征信息的保護(hù)為導(dǎo)向完善知情同意規(guī)則，即通過采納動態(tài)同意規(guī)則、嚴(yán)格禁止知情同意的推定等措施，強(qiáng)化知情同意規(guī)則的可操作性，避免因知情同意的僵化性而侵害信息主體的面部特征信息，阻礙信息社會的發(fā)展。三是應(yīng)對接不同部門法強(qiáng)化信息處理者、使用者、監(jiān)管者的責(zé)任，創(chuàng)設(shè)信息科技時(shí)代全方位、立體化的面部特征信息保護(hù)機(jī)制。