□ 張嘉鑫

（蘭州大學(xué) 法學(xué)院，甘肅 蘭州 730000）

一、問題的提出

2021年“3·15”晚會(huì)上，央視記者曝光了科勒衛(wèi)浴通過安裝人臉識別攝像頭采集進(jìn)店消費(fèi)者的個(gè)人信息：科勒公司在線下門店安裝了具有人臉識別功能的攝像頭，當(dāng)顧客進(jìn)入時(shí)，人臉信息會(huì)被攝像頭捕捉、識別、記錄，后臺對獲取的信息進(jìn)行編號儲(chǔ)存，科勒公司可以隨時(shí)通過后臺系統(tǒng)查看信息?？评展舅惭b的無感攝像頭，可以在自然人毫不知情的情況下隨時(shí)多角度抓拍獲取人臉信息，就算其佩戴遮擋物，人臉識別率依舊高達(dá)80%以上。

不僅僅是科勒衛(wèi)浴，根據(jù)官方新聞報(bào)道，江蘇大劇院、無錫寶馬汽車4S店以及港匯恒隆MaxMara專賣店等商家都發(fā)現(xiàn)了具有相同功能的人臉識別設(shè)備。記者在走訪時(shí)發(fā)現(xiàn)，這些商家采集并儲(chǔ)存人臉信息都未征得對方同意。

目前，萬店掌、悠絡(luò)客、雅量智能等網(wǎng)絡(luò)（電子）科技公司為客戶安裝人臉識別設(shè)備的數(shù)量龐大，僅萬店掌一家公司就掌握了上億的人臉數(shù)據(jù)量。商主體通過對采集到的人臉信息進(jìn)行分析，可以獲得顧客的信息，如性別、年齡、到店日期、到店次數(shù)及消費(fèi)次數(shù)、心情等。人臉識別信息屬于生物識別信息，也是個(gè)人敏感信息，一旦遭受泄露、非法提供或?yàn)E用，不僅會(huì)危害當(dāng)事人的人身和財(cái)產(chǎn)安全，還易導(dǎo)致其個(gè)人名譽(yù)、身心健康受到損害甚至遭受歧視性待遇。同時(shí)，隨著人工智能技術(shù)的不斷發(fā)展，通過人臉識別獲取的信息不再單單是個(gè)人敏感信息，在商業(yè)領(lǐng)域不合理地使用人臉識別會(huì)侵犯自然人的隱私權(quán)?？梢?，商主體在未征得同意的情況下便無感抓拍顧客人臉信息，不僅侵犯了顧客的個(gè)人信息權(quán)益，還侵犯了其隱私權(quán)。因此，當(dāng)人臉識別侵權(quán)發(fā)生時(shí)，受害人有權(quán)依照法律規(guī)定請求行為人承擔(dān)民事責(zé)任，其不僅可以主張對個(gè)人信息權(quán)益進(jìn)行救濟(jì)，還可以主張對隱私權(quán)進(jìn)行救濟(jì)。

科勒衛(wèi)浴事件的曝光，意味著我國對自然人人臉識別信息保護(hù)進(jìn)入到新階段。人臉識別技術(shù)從過去單純對生物識別信息進(jìn)行采集和分析到如今被廣泛應(yīng)用于商業(yè)領(lǐng)域之中，其利用形式的復(fù)雜多樣化迫使人們不能再冷眼觀之，系統(tǒng)研究對人臉識別信息的保護(hù)已刻不容緩。

二、我國人臉識別技術(shù)應(yīng)用及個(gè)人信息保護(hù)寫實(shí)

（一）我國人臉識別技術(shù)應(yīng)用狀況

人臉識別技術(shù)是一種基于人的臉部特征數(shù)據(jù)辨別個(gè)體身份的生物識別技術(shù)，具有非接觸性、強(qiáng)自主性、高直觀性、開放性和不對稱性。如科勒衛(wèi)浴事件中，商家安裝的是具有人臉識別功能的無感攝像頭，該類人臉識別設(shè)備自主性強(qiáng)，在非接觸的情況下無須自然人同意便可短時(shí)間內(nèi)獲取多張人臉圖像，被收集信息的自然人很難獲知人臉信息被采集的事實(shí)。后臺系統(tǒng)可以通過檢測收集而來的圖像，精準(zhǔn)標(biāo)記人臉的位置和大小，自動(dòng)挑選出圖像中有用的信息，從而識別出圖像中的人像。

傳統(tǒng)的人臉識別方式通過知識表征方法提取人臉特征得出結(jié)論，在商業(yè)領(lǐng)域之中并未被推廣適用，后因知識表征方法的局限性以及分類誤差較高等缺陷逐漸被神經(jīng)網(wǎng)絡(luò)方法所取代。神經(jīng)網(wǎng)絡(luò)方法是計(jì)算機(jī)通過“向量表示”之間的距離計(jì)算出圖像之間的相似程度，再與預(yù)設(shè)的閾值進(jìn)行比較得出結(jié)論。神經(jīng)網(wǎng)絡(luò)方法克服了知識表征方法的缺陷，提高了檢測效率，人臉識別技術(shù)由此迎來了井噴式發(fā)展，逐漸在智能家居、金融、安防、交通和醫(yī)療檢測等領(lǐng)域占據(jù)了廣泛的應(yīng)用空間，特別是人臉識別技術(shù)可以通過情感計(jì)算及時(shí)發(fā)現(xiàn)罹患自閉癥人群的心理健康問題并提早介入治療，幫助其盡快重返社會(huì)。當(dāng)前，人臉識別技術(shù)在公共管理領(lǐng)域中也發(fā)揮著積極作用。如出于公共利益的需要，政府一般會(huì)在公共場所中安裝具有圖像識別功能的設(shè)備來預(yù)防危險(xiǎn)事件的發(fā)生；在案件偵破過程中，偵查機(jī)關(guān)通過圖像采集可以精準(zhǔn)確定嫌疑人的身份信息。值得關(guān)注的是，不合理使用人臉識別技術(shù)侵犯自然人合法權(quán)益的現(xiàn)象也廣泛存在，主要表現(xiàn)為：

其一，非法獲取?！吨腥A人民共和國個(gè)人信息保護(hù)法》（以下簡稱《個(gè)人信息保護(hù)法》）第二十六條規(guī)定：“在公共場所安裝圖像采集、個(gè)人身份識別設(shè)備，應(yīng)當(dāng)為維護(hù)公共安全所必需，遵守國家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識。所收集的個(gè)人圖像、身份識別信息只能用于維護(hù)公共安全的目的，不得用于其他目的；取得個(gè)人單獨(dú)同意的除外?！倍评招l(wèi)浴、無錫寶馬汽車4S店、港匯恒隆MaxMara專賣店等商家所安裝的無感攝像頭，其目的既不是為了維護(hù)公共安全，亦未設(shè)置提示標(biāo)識，且未取得對方同意，已明顯侵犯了顧客的個(gè)人信息權(quán)益，在公共場合安裝圖像采集、人臉識別設(shè)備收集分析信息的行為也構(gòu)成了對顧客隱私權(quán)的侵害。如在被稱為“中國人臉識別第一案”的“郭某訴杭州野生動(dòng)物世界有限公司服務(wù)合同糾紛案”［（2019）浙0111民初6971號］中，郭某向杭州野生動(dòng)物世界有限公司（以下簡稱野生動(dòng)物世界）購買了以指紋識別方式入園的雙人年卡，按照野生動(dòng)物世界公示的指紋識別年卡的辦理和使用說明留存了其與妻子的姓名、身份證號碼、電話號碼等個(gè)人信息，并錄入指紋和拍攝照片。在雙方服務(wù)合同履行過程中，野生動(dòng)物世界將入園方式從指紋識別調(diào)整為人臉識別并停用指紋識別閘機(jī)。郭某至野生動(dòng)物世界交涉，不同意接受人臉識別，要求野生動(dòng)物世界退卡，雙方協(xié)商未果。郭某遂提起訴訟。浙江省杭州市中級人民法院認(rèn)為，生物識別信息作為敏感的個(gè)人信息，深度體現(xiàn)自然人的生理和行為特征，具備較強(qiáng)的人格屬性，一旦被泄露或者非法使用，可能導(dǎo)致個(gè)人受到歧視或者人身、財(cái)產(chǎn)安全受到不測危害，故更應(yīng)謹(jǐn)慎處理和嚴(yán)格保護(hù)。經(jīng)營者只有在消費(fèi)者知情同意的前提下方能收集和使用生物識別信息，且須遵循合法、正當(dāng)、必要原則。經(jīng)營者違反雙方約定處理信息或者因違約而停止提供某項(xiàng)產(chǎn)品或服務(wù)，消費(fèi)者有權(quán)要求經(jīng)營者刪除與其違約情形相對應(yīng)的個(gè)人信息。野生動(dòng)物世界單方變更入園方式構(gòu)成違約，應(yīng)當(dāng)賠償郭某合同利益損失；野生動(dòng)物世界要求郭某激活人臉識別，超出事前收集目的，且存在侵害郭某面部特征信息之人格利益的可能與危險(xiǎn)，故其應(yīng)當(dāng)刪除郭某辦卡時(shí)提交的包括照片在內(nèi)的面部特征信息。同時(shí)，因原約定的指紋識別入園服務(wù)方式無法實(shí)現(xiàn)，野生動(dòng)物世界還應(yīng)當(dāng)刪除指紋識別信息。

其二，非法竊取。不法分子通過竊取被害人的人臉信息來盜竊被害人賬戶中的財(cái)產(chǎn)，嚴(yán)重侵害了被害人的法益。當(dāng)前，非法竊取已成為不法分子的一種常規(guī)手段且途徑多樣，或直接進(jìn)入賬戶竊取，或侵入人臉識別數(shù)據(jù)庫竊取，相較于非法獲取，其社會(huì)危害程度更大、法益損害程度更深。如在陳某盜竊案［（2019）桂0202刑初161號］中，被告人陳某使用盧某華的手機(jī)通過第三方平臺套現(xiàn)盧的信用卡9萬余元，再轉(zhuǎn)移到其支付寶賬戶內(nèi)。因支付寶大額轉(zhuǎn)賬需要人臉識別信息，陳某即將手機(jī)放在盧某的面部，完成人臉識別，達(dá)成交易。

其三，非法使用。當(dāng)下，非法使用已經(jīng)成為個(gè)人信息處理者侵犯自然人的人臉信息權(quán)益的主要方式，若個(gè)人信息處理者無法盡到保護(hù)自然人信息的義務(wù)，將信息明碼標(biāo)價(jià)予以販賣，勢必會(huì)嚴(yán)重侵犯自然人的合法權(quán)益并造成無法彌補(bǔ)的損失。自然人將個(gè)人信息上傳至互聯(lián)網(wǎng)平臺，互聯(lián)網(wǎng)平臺應(yīng)當(dāng)妥善地保存并保護(hù)其個(gè)人信息，且避免泄露。2021年央視“3·15”晚會(huì)上曝光了智聯(lián)招聘、前程無憂、獵聘等平臺“賤賣”用戶簡歷、泄露用戶的個(gè)人信息的行為，被泄露的信息中就包含了用戶的人臉信息。智聯(lián)招聘并非首次侵權(quán)，早在2019年，智聯(lián)招聘便被曝光內(nèi)部員工泄露用戶的個(gè)人信息，涉案數(shù)量約為16萬份。

（二）我國個(gè)人信息保護(hù)現(xiàn)狀

就履行個(gè)人信息保護(hù)職責(zé)的部門而言，《個(gè)人信息保護(hù)法》第六十條第一款規(guī)定：“國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)工作和相關(guān)監(jiān)督管理工作。國務(wù)院有關(guān)部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作?！钡诙钜?guī)定：“縣級以上地方人民政府有關(guān)部門的個(gè)人信息保護(hù)和監(jiān)督管理職責(zé)，按照國家有關(guān)規(guī)定確定?！睂?shí)踐中，這種“國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)、國務(wù)院有關(guān)部門分頭執(zhí)法”的監(jiān)管方式效果并不理想，無法有效地監(jiān)管強(qiáng)制采集和信息濫用的情形，特別是應(yīng)用人臉識別技術(shù)而引發(fā)的侵犯自然人隱私權(quán)和個(gè)人信息權(quán)益的案件時(shí)有發(fā)生。在筆者看來，人臉識別信息的技術(shù)性強(qiáng)，形式上的檢查、排查并不能有效制止商主體利用人臉識別設(shè)備非法獲取、竊取、使用自然人的隱私和個(gè)人信息，有必要設(shè)置獨(dú)立的、專業(yè)的專門機(jī)構(gòu)，統(tǒng)籌監(jiān)管個(gè)人信息相關(guān)事務(wù)，力求對人臉識別技術(shù)應(yīng)用的監(jiān)管更及時(shí)、更精準(zhǔn)。

就自然人而言，現(xiàn)如今，自然人對隱私權(quán)的保護(hù)意識要遠(yuǎn)遠(yuǎn)強(qiáng)于對個(gè)人信息的保護(hù)意識。究其原因，主要在于侵害個(gè)人信息權(quán)益的案例以刑事案件居多，民事案件較少。以無訟案例網(wǎng)提供的數(shù)據(jù)為例：筆者以“侵犯個(gè)人信息”為詞條進(jìn)行檢索，共搜索出99件案例，其中民事案件僅為18件，占比18．18%，刑事案件高達(dá)65件，占比66．66%。相比較為成熟的隱私權(quán)保護(hù)體系，當(dāng)侵犯個(gè)人信息權(quán)益的情況發(fā)生時(shí)，自然人受制于救濟(jì)成本高、維權(quán)渠道少、缺乏專業(yè)性知識、舉證難等因素，往往不會(huì)主動(dòng)尋求救濟(jì)。未來，提升自然人的個(gè)人信息保護(hù)意識，應(yīng)從降低救濟(jì)成本、增加維權(quán)渠道、培養(yǎng)專業(yè)性知識、減輕當(dāng)事人舉證難度等方面著手。

三、商業(yè)人臉識別中構(gòu)建隱私權(quán)和個(gè)人信息雙重保護(hù)體系的可行性

自美國律師沃倫和布蘭代斯最早提出“隱私權(quán)”的概念，將隱私權(quán)定義為一項(xiàng)“免受外界干擾的、獨(dú)處的”權(quán)利以來，各國的隱私權(quán)立法皆以此為基礎(chǔ)。在我國，隱私權(quán)保護(hù)經(jīng)歷了從名譽(yù)權(quán)到人格利益再到具體人格權(quán)的歷史沿革?！吨腥A人民共和國民法典》（以下簡稱《民法典》）將人格權(quán)作為保護(hù)對象獨(dú)立成編，更加有利于保護(hù)自然人的隱私權(quán)?！睹穹ǖ洹返谝磺Я闳l第一款規(guī)定：“自然人享有隱私權(quán)。任何組織或者個(gè)人不得以刺探、侵?jǐn)_、泄露、公開等方式侵害他人的隱私權(quán)。”隱私權(quán)作為一種具體的人格權(quán)，當(dāng)其受到侵害時(shí)，自然人享有人格權(quán)請求權(quán)用以恢復(fù)隱私權(quán)的完滿狀態(tài)。

《民法典》第一千零三十四條第二款規(guī)定：“個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等?！薄睹穹ǖ洹返谝话僖皇粭l規(guī)定：“自然人的個(gè)人信息受法律保護(hù)。任何組織或者個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息?！眰€(gè)人信息作為一種人格利益，自然人享有支配其個(gè)人信息的民事權(quán)益，包括精神利益和財(cái)產(chǎn)利益。

通過對《民法典》相關(guān)條款的分析可以發(fā)現(xiàn)，隱私權(quán)與個(gè)人信息在權(quán)利屬性、權(quán)利客體、權(quán)利（權(quán)益）內(nèi)容、救濟(jì)途徑以及使用程度上存在著區(qū)別（見下表）。區(qū)分隱私權(quán)與個(gè)人信息的目的在于區(qū)分權(quán)利行使和救濟(jì)途徑。基于我國成文法分別規(guī)定了隱私權(quán)與個(gè)人信息的不同內(nèi)容以及規(guī)范基礎(chǔ)，科學(xué)判斷一個(gè)客體屬于隱私權(quán)保護(hù)還是個(gè)人信息保護(hù)的范疇有利于個(gè)人維權(quán)和司法實(shí)踐的展開。

《民法典》 第一千零三十二條第二款規(guī)定：“隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動(dòng)、私密信息?！彼矫苄畔⑹请[私的一種具體表現(xiàn)形式，個(gè)人信息只有具備“不愿為他人知曉”和“私密”這兩個(gè)主客觀要件方可稱之為私密信息。“不愿為他人知曉”是指通過自然人的主觀狀態(tài)進(jìn)行判斷達(dá)到不希望他人知曉的程度；“私密”要求空間、活動(dòng)和信息客觀上是“私人”且“隱秘”的，并且自然人希望存在這種“私人”且“隱秘”的客觀狀態(tài)。由是觀之，盡管隱私的判斷不同于個(gè)人信息的判斷，但隱私權(quán)中的私密信息屬于個(gè)人信息的范疇之中毋庸置疑。

《民法典》第一千零三十四條第二款詳細(xì)列舉了個(gè)人信息的具體類型，意圖明確個(gè)人信息的內(nèi)涵和外延。當(dāng)然，列舉不能窮盡，故第三款規(guī)定“個(gè)人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個(gè)人信息保護(hù)的規(guī)定”，這意味著在成文法層面確認(rèn)了隱私權(quán)與個(gè)人信息在范圍上存在交叉。在這種交叉情況下，法律要求首先適用隱私權(quán)規(guī)定，并非說隱私權(quán)具有適用優(yōu)先性，而是指當(dāng)事人擁有共同主張的權(quán)利：其一，隱私權(quán)與個(gè)人信息的區(qū)別決定了二者保護(hù)的權(quán)益并不相同，隱私權(quán)中的私密信息與個(gè)人信息中的私密信息在權(quán)利屬性、權(quán)利（權(quán)益）內(nèi)容以及救濟(jì)途徑上存在差異，具有獨(dú)立性；其二，出于尊重當(dāng)事人的訴訟權(quán)利和訴訟請求的需要，亦應(yīng)當(dāng)允許當(dāng)事人共同主張；第三，基于充分保護(hù)個(gè)人信息的要求，允許當(dāng)事人共同主張，有利于隱私權(quán)與個(gè)人信息的權(quán)利（權(quán)益）內(nèi)容和救濟(jì)途徑形成互補(bǔ)，從而全方位保護(hù)當(dāng)事人的合法權(quán)益；其四，可以避免當(dāng)事人因同一事件分別起訴，增加訴訟成本，浪費(fèi)司法資源。

商業(yè)場景下的人臉識別主要服務(wù)于商業(yè)活動(dòng)，通過采集人臉識別信息產(chǎn)生的信息優(yōu)勢，用以提升商主體的經(jīng)營能力，將信息優(yōu)勢轉(zhuǎn)化成交易收入。相較于日常生活中的人臉識別，其帶來的法律風(fēng)險(xiǎn)更大：其一，商主體為收集信息安裝的大多是無感設(shè)備，難以保證消費(fèi)者的被告知權(quán)益，“明確同意原則”被架空；其二，出售人臉識別設(shè)備的網(wǎng)絡(luò)（電子）科技公司將在采集到的信息記錄在后臺存儲(chǔ)器中，通過總賬號隨意進(jìn)入瀏覽并調(diào)用，個(gè)別公司甚至將采集到的信息加工后傳輸給商家供他人觀看，嚴(yán)重違反了“合理期待原則”；其三，人臉識別信息侵權(quán)行為隱蔽，受害者舉證困難且維權(quán)成本高，難以通過民事訴訟手段進(jìn)行救濟(jì)，這無疑降低了商主體侵犯自然人的隱私和個(gè)人信息的成本。

我們可以在日常生活中被他人認(rèn)出，但是這并不意味著我們愿意被人隨時(shí)隨地從照片中識別出來。在科勒衛(wèi)浴事件中，進(jìn)入線下門店的顧客也許會(huì)將個(gè)人信息透露給朋友，但是這不意味著他愿意將這些信息交給商主體任其分享并加工。人臉信息屬于個(gè)人敏感信息，涉及到顧客的人格尊嚴(yán)、人格自由等重大的人格權(quán)益，一旦被非法獲取并非法加工，勢必會(huì)給顧客造成重大損害或不良影響。因此，科勒公司在通過設(shè)備獲取自然人的人臉信息時(shí)必須明確告知并征得其同意，法律亦應(yīng)對人臉識別信息予以合理保護(hù)。

當(dāng)然，單純依靠隱私權(quán)來對個(gè)人信息提供全面保護(hù)具有現(xiàn)實(shí)的局限性，同樣，單純依靠個(gè)人信息權(quán)益來保護(hù)自然人的人臉信息也具有現(xiàn)實(shí)局限性?？上驳氖牵睹穹ǖ洹贰秱€(gè)人信息保護(hù)法》的先后出臺為人臉識別信息隱私權(quán)和個(gè)人信息的雙重保護(hù)提供了法律依據(jù)。人臉信息是個(gè)人核心隱私，也是個(gè)人敏感信息。從法理和學(xué)理來看，人臉識別信息在個(gè)人信息與隱私權(quán)之間存在交叉關(guān)系。在法理上，《民法典》通過個(gè)人格權(quán)而非肖像權(quán)對人臉信息予以保護(hù)，肯定了人臉信息的生物信息屬性；在學(xué)理上，人臉識別信息不僅包括人臉信息，亦包括基于人臉信息采集的諸如個(gè)人標(biāo)識型信息以及住址、電話號碼等其他信息，將人臉識別信息認(rèn)定為個(gè)人敏感信息乃至隱私，有利于降低自然人人格尊嚴(yán)被侵害的風(fēng)險(xiǎn)。事實(shí)上，《民法典》在第一千零三十四條第三款中已經(jīng)承認(rèn)了隱私權(quán)與個(gè)人信息的交叉關(guān)系的存在，接納了學(xué)理上將個(gè)人信息劃為“私密信息”和“非私密信息”的分類方式，認(rèn)可了隱私中的私密信息屬于個(gè)人信息，并試圖通過“私密信息”這一概念明晰隱私權(quán)保護(hù)與個(gè)人信息保護(hù)之間的范圍和關(guān)系?！睹穹ǖ洹房紤]到了個(gè)人信息與隱私的區(qū)別，但并未像規(guī)定個(gè)人信息一樣對隱私的采集、處理等各個(gè)環(huán)節(jié)進(jìn)行具體規(guī)定，故其更側(cè)重于事后救濟(jì)，在事前預(yù)防和事中限制中效力不強(qiáng)。當(dāng)隱私權(quán)沒有規(guī)定或無法有效救濟(jì)受害人時(shí)，《個(gè)人信息保護(hù)法》可以彌補(bǔ)《民法典》之不足，比如查閱復(fù)制權(quán)、異議更正權(quán)、刪除權(quán)，這些權(quán)利既可利用亦可防御。

四、商業(yè)人臉識別中隱私權(quán)和個(gè)人信息雙重保護(hù)的規(guī)范進(jìn)路

商業(yè)人臉識別中隱私權(quán)和個(gè)人信息的雙重保護(hù)可在我國憲法及多部成文法中找到依據(jù)。如《中華人民共和國憲法》（以下簡稱《憲法》）第三十八條規(guī)定“中華人民共和國公民的人格尊嚴(yán)不受侵犯”；《中華人民共和國治安管理處罰法》第四十二條規(guī)定“偷窺、偷拍、竊聽、散布他人隱私的”，“處五日以下拘留或者五百元以下罰款；情節(jié)較重的，處五日以上十日以下拘留，可以并處五百元以下罰款”；《中華人民共和國消費(fèi)者權(quán)益保護(hù)法》第二十九條規(guī)定“經(jīng)營者收集、使用消費(fèi)者個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)消費(fèi)者同意”，“經(jīng)營者收集、使用消費(fèi)者個(gè)人信息，應(yīng)當(dāng)公開其收集、使用規(guī)則”，“經(jīng)營者及其工作人員對收集的消費(fèi)者個(gè)人信息必須嚴(yán)格保密，不得泄露、出售或者非法向他人提供”，“經(jīng)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保信息安全，防止消費(fèi)者個(gè)人信息泄露、丟失”，“經(jīng)營者未經(jīng)消費(fèi)者同意或者請求，或者消費(fèi)者明確表示拒絕的，不得向其發(fā)送商業(yè)性信息”?！睹穹ǖ洹泛汀秱€(gè)人信息保護(hù)法》的先后出臺，更是為商業(yè)人臉識別中隱私權(quán)和個(gè)人信息的雙重保護(hù)提供了更加系統(tǒng)、明確的規(guī)范基礎(chǔ)。

（一）基于《民法典》的隱私權(quán)保護(hù)

綜上，商業(yè)人臉識別信息屬于私密信息，應(yīng)建立以隱私為前提，權(quán)利為基礎(chǔ)，知情、同意與監(jiān)督為核心，隱私責(zé)任為保障的隱私權(quán)保護(hù)體系予以保護(hù)。

（二）基于《民法典》和《個(gè)人信息保護(hù)法》的個(gè)人信息保護(hù)

在民事責(zé)任承擔(dān)上，《民法典》第一千零三十六條規(guī)定：“處理個(gè)人信息，有下列情形之一的，行為人不承擔(dān)民事責(zé)任：（一）在該自然人或者其監(jiān)護(hù)人同意的范圍內(nèi)合理實(shí)施的行為；（二）合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外；（三）為維護(hù)公共利益或者該自然人合法權(quán)益，合理實(shí)施的其他行為。”合理使用制度是為了平衡個(gè)人信息與公共利益之間的關(guān)系，然而在商業(yè)場景下的人臉識別中，商主體安裝設(shè)備的目的既非維護(hù)公共利益亦非維護(hù)他人的合法權(quán)益，并無適用合理使用制度的空間。《民法典》第一千一百六十五條規(guī)定：“行為人因過錯(cuò)侵害他人民事權(quán)益造成損害的，應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。依照法律規(guī)定推定行為人有過錯(cuò)，其不能證明自己沒有過錯(cuò)的，應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任?！薄秱€(gè)人信息保護(hù)法》第六十九條規(guī)定：“處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害，個(gè)人信息處理者不能證明自己沒有過錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。前款規(guī)定的損害賠償責(zé)任按照個(gè)人因此受到的損失或者個(gè)人信息處理者因此獲得的利益確定；個(gè)人因此受到的損失和個(gè)人信息處理者因此獲得的利益難以確定的，根據(jù)實(shí)際情況確定賠償數(shù)額。”在筆者看來，《民法典》和《個(gè)人信息保護(hù)法》還可再進(jìn)一步，商業(yè)場景下的人臉識別糾紛不管是隱私權(quán)責(zé)任還是個(gè)人信息責(zé)任都應(yīng)適用無過錯(cuò)責(zé)任，以此增加商主體通過人臉識別設(shè)備侵害自然人權(quán)益的違法成本。除民事賠償外，《個(gè)人信息保護(hù)法》還規(guī)定了行政處罰、行政處分、信用檔案、治安處罰和刑事責(zé)任等法律責(zé)任，特別是其第七十條所規(guī)定的“公益訴訟制度”或可成為破解商業(yè)人臉識別中個(gè)人信息保護(hù)難題之匙。

（三）商業(yè)人臉識別中隱私權(quán)和個(gè)人信息雙重保護(hù)的配套制度

其一，建立專職個(gè)人信息保護(hù)機(jī)構(gòu)，確保個(gè)人信息保護(hù)公益訴訟制度落地生根。應(yīng)賦予專職個(gè)人信息保護(hù)機(jī)構(gòu)組織調(diào)解的職責(zé)職能，允許自然人和商主體等申請調(diào)節(jié)，且當(dāng)提出調(diào)節(jié)的是自然人時(shí)商主體不得拒絕；自然人向法院提起民事訴訟時(shí)，專職個(gè)人信息保護(hù)機(jī)構(gòu)應(yīng)當(dāng)支持其維權(quán)。

其二，建立并完善個(gè)人信息訴訟的集體訴訟制度。當(dāng)自然人人數(shù)眾多時(shí)，受到相同侵害的自然人可依法推選代表人進(jìn)行訴訟；除被代表人未經(jīng)授權(quán)的重大實(shí)體性權(quán)利外，代表人的訴訟行為對所有代表人直接發(fā)生效力；專職個(gè)人信息保護(hù)機(jī)構(gòu)可作為代表人參加訴訟；自然人明示加入集體訴訟之中，默示退出；當(dāng)專職個(gè)人信息保護(hù)機(jī)構(gòu)作為代表人時(shí)，自然人明示退出，默示加入。

其三，提升自然人的維權(quán)意識。應(yīng)通過各種傳播媒介讓自然人意識到自身信息的重要性，維護(hù)隱私和個(gè)人信息從自我做起。

其四，履行個(gè)人信息保護(hù)職責(zé)的部門和個(gè)人信息處理者應(yīng)根據(jù)《個(gè)人信息保護(hù)法》“內(nèi)外監(jiān)管治理并重”的原則妥善履行相關(guān)義務(wù)，如任命DPO或代表、制定規(guī)章制度、DPIA、定期合規(guī)審計(jì)以及采取加密、去標(biāo)識化等技術(shù)措施等。