[摘 要]信息時代，生物識別技術(shù)及其應(yīng)用得到了快速發(fā)展，從指紋識別到人臉識別，不斷推進。提高生活便捷性的同時也對市場經(jīng)濟發(fā)展有著巨大的推動作用。隨著人臉識別技術(shù)廣泛應(yīng)用于商業(yè)活動中，人臉信息蘊含的商業(yè)價值與信息安全之間的沖突越來越激烈，商事主體作為人臉識別技術(shù)的掌控者在追求商業(yè)利益的同時往往沒有處理好人臉信息泄露的危機。目前，我國對于商業(yè)領(lǐng)域人臉信息處理的規(guī)制機制分散于民法、刑法和部分行政法中對個人信息的規(guī)定。由于人臉信息的特殊性，以及人臉識別技術(shù)作為一種新興技術(shù)，傳統(tǒng)的個人信息保護體系在保護人臉信息存在著一定的局限性和滯后性，因此當前迫切需要充分發(fā)揮行政法的規(guī)制作用。

[關(guān)鍵詞]商業(yè)領(lǐng)域；人臉信息；行政法規(guī)制

隨著生物識別技術(shù)的不斷迭代更新，人臉識別技術(shù)愈加成熟，不僅覆蓋了民眾的大量日常生活活動，在商業(yè)活動中也得到廣泛應(yīng)用。人臉識別技術(shù)以其特殊的計算機算法，可以讀取并保存人臉信息。人臉信息作為一種能夠單獨識別身份的個人信息，在商事主體收集處理人臉信息的過程中，必然會存在著信息安全風險。在實踐中，人臉信息侵權(quán)案件頻繁發(fā)生。在充分發(fā)揮人臉識別技術(shù)在客觀上對市場商業(yè)發(fā)展的促進作用的同時，必須密切關(guān)注背后的信息安全風險，要更全面地保障人臉信息主體的合法權(quán)益，也要規(guī)制商事主體對人臉信息的處理行為。

一、商業(yè)領(lǐng)域人臉信息處理行為的界定

（一）人臉信息的法律屬性

在實踐中，隨著人臉識別相關(guān)案件頻發(fā)，“人臉信息”一詞進入了大眾的視野。最高人民法院《關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》中明確了人臉信息屬于生物識別信息，將人臉信息納入敏感個人信息的保護范圍。人臉信息是個人信息的一種新型表現(xiàn)形式。從生物學角度，每一個人的人臉信息都具有獨有的特征——唯一性，通過技術(shù)手段對人臉信息數(shù)據(jù)進行對比，可以對個人身份進行識別。人臉信息與個人隱私、財產(chǎn)、人格利益的保護息息相關(guān)。人臉信息具有易采性，可以在不知不覺中偷偷采集[1]。與傳統(tǒng)的個人信息、身份信息相比更容易被獲取和收集，更容易造成人臉信息泄露風險。

（二）商業(yè)領(lǐng)域人臉信息處理的含義

商業(yè)領(lǐng)域人臉信息處理是指商事主體在商業(yè)活動過程中對人臉信息進行采集、供給、加工、買賣、刪除等活動。該行為特征必須滿足以下三個方面：首先，主體特定，行為主體必須是商事主體，即經(jīng)過國家登記機關(guān)依法登記、以營利為目的從事經(jīng)營活動的自然人、企業(yè)法定代表人及其他經(jīng)濟組織；其次，行為對象特定，處理對象是人臉信息，主要是運用采集、供給、加工、買賣、刪除、修改等方式對人臉信息進行處理來達到商業(yè)目的的行為都屬于商業(yè)領(lǐng)域人臉信息處理行為，而不需同時滿足所有方式；最后，處理人臉信息的行為須以商業(yè)活動為目的，活動本身需要具有以營利為目的。在實踐中，大多信息收集者收集信息并非直接用于商業(yè)活動，而是加工處理后提供給信息使用者間接用于商業(yè)活動，也應(yīng)當認定為商業(yè)領(lǐng)域人臉信息處理。

（三）商業(yè)領(lǐng)域人臉信息處理過程中商事主體具有信息處理權(quán)的優(yōu)勢地位

在實踐中，商事主體基于其服務(wù)提供者的地位，在運用人臉識別技術(shù)進行的商業(yè)活動中對信息處理權(quán)上往往具有優(yōu)勢地位。其優(yōu)勢地位往往表現(xiàn)為以下兩個方面：一是單方制定規(guī)則的優(yōu)勢，商事主體在制定人臉識別技術(shù)使用權(quán)條款時，往往是單方制定格式條款，對于冗長的格式條款，人臉信息主體往往會忽略其中商事主體對人臉信息處理的條款，或者商事主體利用“不同意”信息收集就無法使用人臉識別的手段對用戶進行強制收集人臉信息；二是商事主體往往是擁有技術(shù)霸權(quán)的信息掌控者，對人臉信息收集識別后再通過其他手段獲得其他個人信息進行重合識別形成信息鏈條，擴大商業(yè)利益。

二、行政法規(guī)制的必要性論證

（一）刑法和民商法對商業(yè)領(lǐng)域人臉信息保護上存在一定的局限性

目前，我國法律對人臉信息保護的規(guī)定在刑法和民商法中都有體現(xiàn)，但在實踐運用過程中存在著一定的局限性。

我國刑法中規(guī)定了“侵犯公民個人信息罪”，此罪名雖然對處理個人信息的部分行為做出了禁止性規(guī)定，對人臉信息案件雖具有一定的指引作用，但并沒有在量刑和構(gòu)成要件上對人臉信息進行特殊的考量。人臉信息屬于特殊的個人信息，在案件的審理過程中，應(yīng)對人臉信息進行單獨評價。同時，由于刑法的必要性原則，在商事活動中商事主體通過人臉識別技術(shù)對人臉信息的處理行為大部分通過民商法或者行政法調(diào)整更具有合理性，刑法往往是不能通過其他手段來規(guī)制時才進行的最后手段，因此，通過刑法來調(diào)整商業(yè)領(lǐng)域人臉信息處理行為具有一定的局限性。

當前，我國規(guī)定人臉信息最為全面的法律是民法。我國民法在保護個人信息領(lǐng)域主要是通過“知情同意”原則來權(quán)衡信息主體與信息處理者雙方的權(quán)利義務(wù)，但是在實踐中存在著一定的局限性以及救濟困難的情況。在實踐中，商事主體與人臉信息主體雖然存在著基于人臉信息主體知情且同意的協(xié)議，但由于商事主體的優(yōu)勢地位，人臉信息主體往往存在著未充分知情協(xié)議、被迫同意協(xié)議或者無意同意協(xié)議的情形。一方面，人臉信息主體對商事主體運用人臉識別技術(shù)的相關(guān)協(xié)議的知情權(quán)未得到充分保障。在實踐中，知情同意協(xié)議作為商事主體提供的格式條款往往不夠清晰簡潔甚至過于冗長復雜。人臉信息主體在簽訂協(xié)議過程中往往難以逐一閱讀，導致信息主體往往無法判斷知情同意協(xié)議中是否會包含對自身人臉信息權(quán)益造成損害的行為。另一方面，人臉信息主體的自愿同意權(quán)往往無法得到充分保障。商事主體作為技術(shù)提供者，知情同意協(xié)議往往會存在著不同意協(xié)議，就無法使用服務(wù)的霸王條款，此種協(xié)議變相地強迫人臉信息主體提供其人臉信息。其次，在侵權(quán)責任救濟機制方面也存在救濟難點。民事侵權(quán)責任救濟屬于事后救濟，即當損害結(jié)果實際發(fā)生后才能追究其民事侵權(quán)責任。在信息侵權(quán)案件中，侵權(quán)者實施的損害手段往往具有隱蔽性和多樣性的特點，且人臉信息主體與商事主體之間的信息不對稱是常態(tài)的情形下，被侵權(quán)方在舉證方面會存在很大的困難。

（二）行政法規(guī)制具有更大的優(yōu)勢

我國憲法明確規(guī)定了公民享有人權(quán)、人格尊嚴的規(guī)定，對實踐中人臉信息保護具有指引作用。我國憲法并沒有實現(xiàn)司法化，作為公法的行政法部門具有保護公民合法權(quán)益的職能，應(yīng)充分發(fā)揮其至關(guān)重要的作用。相對于民法的事后救濟，行政法的事前規(guī)制作用對商業(yè)領(lǐng)域人臉信息處理的規(guī)制更具有優(yōu)勢。行政法事前規(guī)制在時間線上提前規(guī)制商事主體的違法行為，從源頭解決問題，對于人臉信息主體的權(quán)益保護更為有效，也更為全面。首先，行政監(jiān)管能全面覆蓋人臉信息處理的全過程，實現(xiàn)事前、事中和事后的有效管理。其次，行政監(jiān)管可以有效處理涉及大量個體權(quán)益的人臉信息案件，避免司法程序的煩瑣和低效，充分保障人臉信息主體的權(quán)益。最后行政監(jiān)管可以靈活地運用多種手段，根據(jù)不同的情況和對象采取適當?shù)拇胧谏虡I(yè)領(lǐng)域人臉信息處理中具有巨大的規(guī)制優(yōu)勢。故行政法是人臉信息保護的重要法律保障，應(yīng)得到充分的重視和發(fā)揮。

三、行政法規(guī)制路徑

（一）完善人臉信息專門保護的行政法律規(guī)范

從立法角度制定與人臉信息相關(guān)的行政法律規(guī)范，保障有法可依，可以從根本上保障人臉信息主體的合法權(quán)益。相較于一般個人信息，人臉信息的保護應(yīng)當更為嚴格，從立法角度看有兩種完善建議：一是在《個人信息保護法》中單獨設(shè)定一章為“商業(yè)領(lǐng)域人臉信息處理規(guī)制”，二是將人臉信息保護專門單獨立法。但從實踐角度來看前者難以實現(xiàn)，后者的可行性更強。由于我國針對個人信息保護采取的是統(tǒng)一立法模式，同時《個人信息保護法》第62條第2款也規(guī)定了相應(yīng)部門對人臉信息制定相關(guān)保護措施的規(guī)制和標準。因此，可以根據(jù)此條的規(guī)定建議國家互聯(lián)網(wǎng)信息辦公室等相關(guān)部門制定針對人臉信息保護的行政法規(guī)、條例，彌補當前法律框架中的空白，指導執(zhí)法和法律適用。

（二）設(shè)立人臉信息專門監(jiān)管主體

人臉信息的保護往往涉及跨部門的監(jiān)管，這直接導致了監(jiān)管權(quán)的分散。各個部門制定的監(jiān)管標準不統(tǒng)一，出現(xiàn)監(jiān)管標準差異化會導致市場亂象。歐盟等發(fā)達地區(qū)和國家對此采取設(shè)定統(tǒng)一的機構(gòu)監(jiān)管個人信息。鑒于我國目前對個人信息的保護以網(wǎng)信部門為主要監(jiān)管主體，其他相關(guān)部門在其職責范圍內(nèi)行使監(jiān)管權(quán)。筆者認為，可以在網(wǎng)信部門中專門設(shè)立人臉信息治理機構(gòu)，以此解決監(jiān)管分散的問題。專門監(jiān)管機構(gòu)須保障公民的知情權(quán)和監(jiān)督權(quán)，及時公開監(jiān)管中發(fā)現(xiàn)的違法商事主體。

（三）配套人臉信息保護的相關(guān)措施

1.建立事前準入和評估機制

人臉信息屬于特殊的個人信息，作為敏感個人信息，確實需要進行特殊保護?！秱€人信息保護法》和最高人民法院的司法解釋為人臉信息處理提供了法律依據(jù)和指導，要求商事主體在處理人臉信息時遵守相關(guān)的行政許可或其他限制，還應(yīng)進行事前影響評估。為了控制人臉信息的濫用和安全風險，有必要建立人臉信息處理的準入和評估機制。首先，設(shè)定商業(yè)人臉識別技術(shù)運用的相關(guān)資質(zhì)標準，規(guī)定任何商事主體將人臉識別技術(shù)運用于商業(yè)活動，以及處理人臉信息前必須向國家網(wǎng)信部門申請，被申請部門根據(jù)商事主體的資質(zhì)和相關(guān)產(chǎn)業(yè)的特殊性綜合評估決定是否許可。此外，完善人臉信息處理的風險評估制度，不僅需要明確評估標準和后續(xù)監(jiān)督管理的內(nèi)容，還應(yīng)引入第三方機構(gòu)評估的概念。商事主體須通過第三方評估機構(gòu)對其信息處理行為進行風險評估。機構(gòu)根據(jù)理性設(shè)計的審查標準和步驟，對技術(shù)準確性、算法非歧視性設(shè)置、安全加密設(shè)置和主體權(quán)利保障路徑等進行評估[2]。杜絕“自己評估，自己處理”的情形。

2.建立事中常態(tài)化行政監(jiān)管機制

由于目前人臉識別技術(shù)趨于商業(yè)常態(tài)化使用，人臉信息侵權(quán)、信息泄露案件頻發(fā)，筆者認為，應(yīng)當建立對商業(yè)領(lǐng)域人臉信息處理的常態(tài)化監(jiān)管機制，以此加強事中行政監(jiān)管。對于信息泄露事件，往往會造成難以挽回的損害結(jié)果，常態(tài)化監(jiān)管機制可以有效地避免被動監(jiān)管導致的無法挽回信息泄露案件的損害后果的發(fā)生。同時，行政部門應(yīng)當設(shè)定定期檢查、重點檢查、專項檢查等工作制度，并且根據(jù)人臉信息的特點創(chuàng)新檢查

方式。

3.細化事后行政處罰標準

《個人信息保護法》通過提高對違法處理個人信息行為的處罰力度，來增加商事主體違規(guī)處理個人信息的成本，但是并沒有明確區(qū)分人臉信息與普通個人信息，且處罰跨度較大，對于行政執(zhí)法者而言擁有較大的自由裁量權(quán)，而商事主體在處理人臉信息時會有更大的法律合規(guī)漏洞。因此，作為敏感個人信息的人臉信息，需要在法律中得到明確區(qū)分，讓法律規(guī)定更為準確，杜絕商事主體利用法律模糊概念“鉆空子”。處罰也應(yīng)當細化，一方面，行政處罰方式要嚴格符合比例原則，處罰手段與目的相當[3]。處罰的目的不僅需要具有懲罰性，也需要通過處罰增加商事主體違法處理人臉信息活動的成本，以此保護人臉信息主體的合法權(quán)益。在不同的違法場景使用不同的處罰方式，杜絕監(jiān)管部門出現(xiàn)以罰代管的情形。另一方面，罰款幅度也要嚴格符合比例原則，罰款幅度應(yīng)當與事后造成后果的嚴重性相適應(yīng)，還應(yīng)當充分考量商事主體是否采取補救措施、進行違法行為時的主觀心態(tài)等因素。

四、強化救濟措施

在規(guī)制商業(yè)領(lǐng)域人臉信息處理行為的過程中，強化公民的救濟措施是必須重視的內(nèi)容。筆者認為應(yīng)從以下三個方面進行：首先，在實踐中，人臉識別技術(shù)應(yīng)用于商業(yè)攝像頭之中，普通民眾往往會在毫不知情的情況下，其人臉信息就被商業(yè)主體獲取，此種情況下發(fā)生信息泄露時，人臉信息主體往往并不知情侵權(quán)人，就此增加了被侵權(quán)人的維權(quán)難度。法律應(yīng)當授予被侵權(quán)者可以向信息傳播者或信息收集者承擔責任的權(quán)利。其次，通過制定懲罰性賠償制度，促使商家合法合規(guī)處理信息[4]。民眾可以根據(jù)具體情況向相關(guān)部門舉報商事主體獲得賠償。最后，應(yīng)當優(yōu)化人臉信息侵權(quán)案件的舉證責任分配。由于信息收集者的優(yōu)勢地位，人臉信息也是由人臉信息收集者進行存儲使用，發(fā)生侵權(quán)后，信息主體往往難以舉證，那么對于舉證責任的分配應(yīng)當改為信息收集者、處理者承擔更為合理[5]。

結(jié)束語

人臉識別技術(shù)在商業(yè)領(lǐng)域中運用廣泛，在商業(yè)運作過程中獲得的人臉信息作為一種可以單獨識別人身份的敏感信息，所蘊含的商業(yè)價值更是無法估量，如果發(fā)生信息安全問題，造成的損害后果也是巨大的。在實踐中，商事主體作為人臉信息處理者與人臉信息主體在地位上存在著較大的強弱差距，行政法規(guī)制可以打破目前刑法與民法在調(diào)整此類事件上的僵局。從行政法規(guī)制角度出發(fā)，制定商業(yè)領(lǐng)域人臉信息處理的專門保護法規(guī)、設(shè)立人臉信息保護的專門監(jiān)管主體、完善事前準入、事中監(jiān)管、事后處罰機制。形成強化“全流程、全鏈條、全主體”監(jiān)管，以此構(gòu)建商業(yè)領(lǐng)域人臉信息處理的全方位規(guī)制體系，最后強化公民救濟措施，以此充分保護人臉信息主體的合法權(quán)益。

參考文獻

[1]邢會強.人臉識別的法律規(guī)制[J].比較法研究，2020（5）：51-63.

[2]張溪瑨，王曉麗.人臉識別技術(shù)與應(yīng)用的風險及治理研究[J].科學研究，2023，41（3）：385-393.

[3]劉權(quán).目的正當性與比例原則的重構(gòu)[J].中國法學，2014（4）：133-150.

[4]劉培.商業(yè)場景中人臉識別技術(shù)應(yīng)用的法律規(guī)制[J].互聯(lián)網(wǎng)天地，2022（8）：37-42.

[5]程瑩.人臉識別技術(shù)風險法律規(guī)制問題研究[J].中國信息安全，2021（10）：62-65.

作者簡介：黃政（1996— ），男，漢族，四川內(nèi)江人，青海民族大學法學院，在讀碩士。

研究方向：行政法。

基金項目：本研究受青海民族大學研究生科研基金項目資助，項目名稱“青海民族大學研究生創(chuàng)新項目”（項目編號：04M2023112）。