人脸信息保护的制度基础、现实难题与法律因应.pdf

1、2023年第3期（总第96期）新疆财经大学学报Journal of Xinjiang University of Finance and EconomicsNo.3.2023General No.96人脸信息保护的制度基础、现实难题与法律因应王东，李辉慧（新疆财经大学，新疆 乌鲁木齐 830012）摘要：人脸识别技术当前已被广泛应用于社会综合治理和数字经济等领域，极大地提升了服务和管理效率，但与此同时，人脸识别技术的不当使用也给人脸信息保护带来了一定的现实风险。目前，我国关于规制人脸信息违法处理行为的法律体系尚存在抽象原则多于具体规则、模糊规定多于明确规定、概括性条文多于精确性条款等不足。法律

2、适用问题在人脸信息保护实践中产生了“告知-同意”规则适用形式化、行政监管效力虚化、司法救济困难化等现实难题。今后，可以从优化“告知-同意”规则的分场景强度适用机制、完善行政监管的效用性监管和专业化监管，以及构建更为灵活、多元的权利救济渠道等方面，更好地提升人脸信息保护实效。关键词：人脸信息；告知-同意规则；行政监管；司法救济中图分类号：D912.1文献标识码：A文章编号：1671-9840（2023）03-0060-12DOI：10.16713/ki.65-1269/c.2023.03.006Legal Foundation,Practical Difficulties and Legal R

3、esponse ofFacial Information ProtectionWANG Dong,LI Huihui(Xinjiang University of Finance and Economics,Urumqi 830012,China)Absrtact:At present,facial recognition technology is widely used in the field of comprehensive social governance and digital economy,greatly improving the efficiency of public

4、and private services and management,but improper use of facial information protection also brings real risks.The current legal system of regulating illegal acts of facial information processing in Chinais facial with the shortage of abstract principles more than specific rules,vague provisions more

5、than detailed provisions,and general provisions more than precise provisions.The application of law in facial information protection practice has produced threepractical problems:the formalization of the application of the informed consent rule,the nullification of the effectiveness of administrativ

6、e supervision,and the difficulty of judicial relief.The legal response measures to improve the effectiveness of the facial information protection system include optimizing the application mechanism of the informed consent rule,improving the effectiveness of administrative supervision and professiona

7、l supervision mode,and building flexible and diversified right reliefchannels.Key words:facial information;informed consent rule;administrative supervision;judicial remedy收稿日期：2022-12-13基金项目：国家社会科学基金一般规划项目“中国政府购买养老服务法律政策的效果评价与优化路径研究”（18BFX190）作者简介：王东（1976），男，经济学博士，新疆财经大学法学院副教授，研究方向为经济法学、公司法学；李辉慧（199

8、7），女，新疆财经大学法学院硕士研究生，研究方向为经济法学。60人脸信息保护的制度基础、现实难题与法律因应一、问题的提出人脸识别是在数字经济发展中出现的一种全新技术，在信息社会，被广泛应用于交通出行、智慧社区、网上银行、天网追逃犯罪嫌疑人等领域，为开展社会治理和便利居民生活带来了极大的技术化效能。例如，在2022年北京冬奥会上，基于人脸识别技术的智慧闸机将技术与防疫标准紧密结合，既能提高识别运动员身份信息的准确度，又能有效减少交叉感染风险。为提升疫情防控的精准性，上海市公惠医院安装了人脸识别测温闸机，通过人脸识别技术系统自动筛查进入院区病患家属的健康码，同时完成测温，两者均合格后方可入院，极大

9、地提高了入院效率，并可在必要时方便管理人员进行后期追踪。综合来看，人脸识别利用技术优势广泛应用于社会综合治理和突发事件应对，极大地提高了服务和管理效率，实现了真正意义上的智慧化、数字化服务和管理。但不可忽略的是，人脸识别技术的不当使用也会对个人信息保护带来严峻挑战，造成个人信息保护的现实风险。对人脸识别技术的规制以及对人脸信息保护的研究是当前法学领域的研究热点，研究主要集中在以下几个方面：一是对人脸识别技术应用特点的研究。学者们对于人脸识别技术实践应用特点的归纳，并无较大分歧，大都认为人脸识别技术是以人脸信息特征作为身份识别和验证的一种技术，具有无接触性、易采集性、可识别性、唯一性等特点。邢会

10、强1认为人脸的独特性、易采集性、不可匿名性和不可更改性决定了人脸识别技术的复杂性；杨复卫2认为人脸识别技术是以面部特征、数字信息为基础的一种生物识别技术，具有自然性、非接触性。二是对人脸识别技术应用风险的研究。此类研究主要集中于人脸识别技术对现有社会价值和法律秩序的冲击，涉及对个人隐私权、肖像权、财产安全、公共安全等方面的威胁。文铭3认为人脸识别技术具有非接触性特点，便于远程采集公民信息，进而引发个人数据泄露甚至隐私遭受侵犯的风险；王鑫媛4认为人脸识别技术在推广使用中易陷入唯数据论的困境，产生技术伦理风险和社会信任危机；孙道锐5认为一旦人脸识别技术被滥用，其异化的结果将使个人、社会、国家遭受不

11、同程度的侵害；郭春镇6认为不规范使用人脸识别技术可能贬损人的主体性和尊严。三是对人脸识别技术的规制建议研究。邢会强1运用法经济学原理对治理人脸识别风险进行了成本收益预判，认为应具体问题具体分析，避免“一刀切”；周光权7统筹民法典和个人信息保护法的立场，认为应严格依照犯罪构成要件判断信息违法行为是否构成犯罪；王利明8认为对于人脸识别生物信息，除主要按照法定规范进行判别外，还有必要根据不同场景遵循特殊的规则。通过文献分析可以发现：一方面，关于人脸识别技术及其滥用带来的风险已然成为学界关注的焦点，学者们分析了人脸识别技术的本质、技术滥用而导致的公共安全问题，以及个人权益及财产安全如何保障等问题，为进

12、一步探索人脸识别技术中信息保护的法治化路径奠定了基础。另一方面，当前研究主要从理论层面讨论对人脸识别技术的规制方式，实践中相关法律法规落地实施后未充分发挥“重预防、兼惩治”的关键作用，故滥用人脸识别技术的侵权事件仍频繁发生。因此，我们需要进一步思考，相关法律法规颁布实施后，人脸识别技术引发的侵权事件依然频发的内在原因是什么，以及应该如何拓展平衡技术发展与人脸信息（个人信息）权利保护之间关系的法治化路径。基于以上考虑，本文从梳理我国现有人脸信息保护的法律制度出发，分析人脸信息保护法律适用层面的不足，通过分析技术缺陷和滥用行为对人脸信息保护带来的风险，归纳总结出当前人脸信息法律保护中存在的现实难题

13、，以期能够提出更有针对性的法律制度优化思路。参见 人脸识别+测温 从赛场黑科技看天翼云AI技术，https：/ 探天下人脸识别测温闸机为上海市公惠医院加固防疫关卡，保障人员安全，https：/ 中华人民共和国宪法、中华人民共和国民法典、中华人民共和国个人信息保护法、中华人民共和国刑法、中华人民共和国数据安全法、中华人民共和国网络安全法 等法律法规中。截至目前，仅有最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定（以下简称 人脸识别技术适法规定）可被视为我国现时唯一的专门针对人脸识别技术进行规制的法律文件。在未有专门法的情况下，以上法律共同构成了当前我国规范人脸

14、识别技术与人脸信息处理的主要法律框架，因而有必要梳理相关立法条文，厘清人脸信息保护的法理基础。（一）中华人民共和国宪法 将人脸信息与人格尊严紧密联系在一起宪法作为规范公权力和保障私权利的基石，从“人权”、“人格尊严”条款引申出对人脸信息保护法律制度的价值基础和基本原则，从而明确对人脸信息保护的宪法基础。“个人信息受保护权的根本目标，其所保护的并非信息主体对个人信息占有、使用、收益、处分，而是个人在信息处理过程中的主体尊严”9。在当前人脸识别技术广泛被运用的“刷脸”时代，公民的人格尊严面临着前所未有的被侵害风险。在许多公共场所，如居民小区、机场、火车站、酒店等，以保障个人安全或场所公共安全为由利

15、用人脸识别技术任意获取个人人脸信息的现象并不少见，公民只要具有进入该公共场所的现实需求就不得不录入人脸信息并接受识别，以此获得进出通行的许可。从某种意义上说，这种基于人脸识别后才被授予通行权利，其行为隐藏的是认为公民的人脸信息并不属于公民基本人格尊严范畴的逻辑（因此随意采集、使用并不造成对人格尊严的损害）。基于这种逻辑的人脸识别技术在现实中的推广，一方面使得公民对人脸识别的要求不得不配合，另一方面或将使公民对“不刷脸便不得进入”这一行为逻辑的潜在意思产生进一步的疑问，即为了公共安全的需要而要求对进入特定领域的公民强制进行人脸信息识别是不是隐含着公共安全的保卫者把每个公民都当成潜在的违法嫌疑人对

16、待的意思呢？一旦公民拒绝刷脸便会被限制权利（如拒绝录入人脸信息而导致无法刷脸通过小区门禁或无法入住酒店等），这种限制权利的做法必然会使其感到人格尊严受到“冒犯”。人脸识别技术在公共场所的广泛使用可在一定程度上反映出国家对于公共安全的强烈责任感。从保障公民基本权利的底线逻辑出发，可以清晰地看出，中华人民共和国宪法 第三十三条、第三十八条所确立的“国家尊重和保障人权”、“公民的人格尊严不受侵犯”的基本原则应被认定为对人脸信息进行保护的宪法基础。“人格尊严”蕴含在人权保障体系并体现了其基础性价值，从外延范围来看，中华人民共和国宪法 第三十八条“人格尊严”的概念外延不仅包括诸如名称、肖像等具体权利，还

17、包括公民所能感知的所有关乎个人尊严的权利。从规范他者行为的角度而言，宪法上的“人格尊严”是一种“公民作为具有独立意志的主体享有的得到尊重的权利，包括但不限于不受侮辱、诽谤和诬告陷害的人格权”10，其可归属为宪法上的一般人格权，因此也可将人脸信息受保护视为一般人格权内容的个人自我决定权之产物。人的尊严是个人信息保护的最终价值依归，一般人格权是其具体权利基础。作为个人生物性信息具体代表的人脸信息，承载着公民的人格利益，与公民人格尊严密不可分。（二）中华人民共和国民法典 明确了人脸信息法律保护的一般性原则除了关乎人格尊严，人脸信息还是公民在现代信息社会享有的一项重要人身权利。人脸信息在 中华人民共和

18、国民法典 中被置于“个人信息权利束”进行保护，“从权利性质看，个人信息权利束是国家履行积极保护义务、通过制度性保障对个人进行赋权的结果，本质是国家在 保护 中华人民共和国宪法 第三十三条规定“国家尊重和保障人权”，第三十八条规定“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害”。62人脸信息保护的制度基础、现实难题与法律因应法 理念下赋予个人的保护手段和工具”11。中华人民共和国民法典 第一百一十一条将人脸信息纳入个人信息项进行保护，规定“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工

19、、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”，对自然人的个人信息受法律保护和其他民事主体对自然人个人信息保护的义务作出了明确规定。第一千零三十四条至一千零三十九条则在第一百一十一条这一原则性规定的基础上对人脸信息保护的一般原则作出规定，从而为中华人民共和国个人信息保护法 的相关规定提供了基本法依据，确立了人脸信息保护的基本规则框架。中华人民共和国民法典 给予人脸信息明确的法律保护，禁止滥用人脸信息，保障公民人格尊严，使公民免受非法侵害，对维持良善和诚信的社会秩序具有重要的现实意义。（三）中华人民共和国个人信息保护法 明确了对人脸信息法律保护的一般性规则2021年11月1日起施行

20、的 中华人民共和国个人信息保护法 是信息时代与公民个人信息保护联系最为紧密的一部法律，标志着我国在个人信息保护领域进入了新的历史发展阶段。中华人民共和国个人信息保护法 是除 中华人民共和国宪法 和 中华人民共和国民法典 之外，最为重要和最具系统性的人脸信息保护法律渊源，是人脸信息保护的核心法律基础。人脸信息属于生物识别信息，中华人民共和国个人信息保护法 第二十八条明确将生物识别信息纳入首要的敏感个人信息类别，给予专门性保护，从中足以看出人脸信息的法律地位。人脸信息作为生物识别信息的一个类别，具有综合性权益，与公民隐私权、名誉权、财产权等权益息息相关，滥用人脸信息将对个人、社会甚至国家造成难以弥

21、补的损害。因此，中华人民共和国个人信息保护法 严格规定了人脸信息收集和处理必须遵从合法、正当、必要、透明、公开的原则，履行告知义务，禁止滥用人脸识别技术，并对在公共场所采集人脸信息作出专门规定。（四）相关文件为人脸信息司法保护提供了具体思路人脸识别技术适法规定 作为对人脸信息权益进行司法保护的指导性文件，从具体审判层面对涉及人脸信息的法律属性界定、采集储存使用、侵权行为性质等予以明确，将人脸识别技术所涉及的信息处理活动均纳入司法保护适用范围，对公民人脸信息以专门性保护。人脸识别技术适法规定 从审判实务角度出发，在保护公民人脸信息合法权益的同时，将促进数字经济社会稳步发展作为目标，其内容主要聚焦

22、如何认定和处理那些对人脸识别技术生成的人脸信息进行非法处理的行为，以及人脸信息主体与信息处理者对人脸信息在约定使用过程中产生的权益纠纷。人脸识别技术适法规定 对人脸信息的专门性保护主要通过明确信息处理者的举证责任、侵权案件的赔偿范围与方式、人脸信息保护公益诉讼启动与规则，以及详细列举信息处理者处理人脸信息的免责事由，并通过明确适用法不溯及既往原则以平衡技术发展和社会伦理之间的关系12。总体而言，对于滥用识别技术所引发的人脸信息如何进行法律保护，中华人民共和国宪法、中华人民共和国民法典、中华人民共和国个人信息保护法 和 人脸识别技术适法规定等法律虽然对此进行了回答，但在具体司法实践中的适用仍存在

23、抽象原则多于具体规则、模糊规定多于明确规定、概括性条文多于精确性条款等问题。此外，因人脸信息采集的无接触性、被采集者的无意识性、人脸信息的身份可识别性、信息获取成本低等特点，使得人脸信息在数字经济时代具有巨大的商业价值，价值潜力背后的利益 中华人民共和国个人信息保护法 第二十八条规定，“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”人脸识别技术适法规定 明确了制定本法的目的是“为正确审理使用人脸识别技术处理个人信息相关民事案件，

24、保护当事人合法权益，促进数字经济健康发展”。63新疆财经大学学报2023年第3期追逐造成滥用人脸识别技术现象的屡禁不止，对现有社会秩序的冲击、个人信息保护的失衡以及个人权益的损害催生了社会公众对人脸识别技术的信任危机以及保护风险难题。三、人脸信息面临的现实风险和法律保护难题（一）人脸信息保护面临的风险目前，在多场景下利用人脸识别技术进行数字化管理和服务已与公民日常生活紧密相连，关于滥用识别技术而引发的人脸信息安全问题受到了社会普遍关注，引起了人们对隐私、财产安全的担忧。人脸识别技术“作为一项依赖于信息存储和数据分析的新型智能技术，无边界的应用将使个人信息面临被无限暴露、过度检索和滥用的风险”1

25、3。从人脸识别技术引发的风险来源来看，主要包括技术和不当使用两个方面。就技术方面而言，人脸识别技术系统的“数据有限”缺陷可能带来人脸信息非法搜集的安全风险。从本质上说，人脸识别技术是一种由算法程序驱动的图像对比模式，其原理是通过采集人脸图像后与数据库内的人脸信息数据进行相似性对比，从而完成是否同一（相似度）的识别工作。因此，技术识别的精准度与数据库内样本图像的数量和质量紧密相关。受人脸识别技术使用的商业利益动机驱使，为提高识别精准度，人脸识别技术使用主体有时会采用机器记忆技术将每次识别到的人脸图像自动储存于信息数据库以扩充数据量，这种未提前告知的信息获取行为将会产生数据因非法采集而给信息主体带

26、来的信息安全风险。若数据库被非法泄露，将会导致信息主体身份信息泄露后人格和财产利益权受到损害。就人脸信息不当使用方面而言，当前最为突出的风险是人脸信息被滥用的风险。由于人脸识别技术使用成本较低且具有较大的商业价值，同时因缺乏有针对性的法律规制，使得为追求商业利益而滥用该技术的违法成本较低。央视曝光的低配儿童智能手表事件便是实践中滥用人脸识别技术的典型案例。经营者将装有识别技术程序的安装二维码伪装成儿童喜欢的抽奖游戏，只要孩子扫码，身在别处的工程师便可直接掌握其一举一动，采集人脸图像、活动轨迹等信息，严重侵害未成年人人脸信息等人格权益，甚至财产安全也受到一定威胁。此外，因为人脸识别技术在数字经济

27、领域被广泛使用，技术使用者虽非直接故意但明显属于放任地让人脸信息在公共场所中展现（如大型商场入口的人脸信息识别、银行进行交易时的人脸信息识别等），属于公众熟视无睹型不当使用，如果不对其设置一定的隐私保护机制，则容易导致人脸信息公开泄露的风险。非法摄录而获得人脸信息数据的行为人通过人脸信息识别假冒信息主体进行网络系统登录，导致人脸信息主体的隐私权遭受侵害或者财产遭受损失。更有甚者，某些人脸识别技术滥用行为已经构成了刑事犯罪。例如在刑事司法实践中，犯罪行为人利用人脸信息的唯一性，有针对性地伪造目标用户的人脸信息，进行虚假“刷脸”识别验证以通过平台系统的身份认证，进而实施窃取账户内财物、盗取快递、转

28、移资金等行为，造成严重的社会公共安全风险。（二）人脸信息法律保护的现实难题1.“告知-同意”规则适用形式化使得法律规制无法充分发挥效用。“告知-同意”规则作为收集人脸信息的基础规则被社会公众认可和接受，甚至被视为规制人脸信息收集者和使用者不当行为的“万能法则”14。中华人民共和国民法典第一千零三十五条明确规定了处理个人信息的，应当遵循“合法、正当、必要原则”，并需“征得该自然人或者其监护人同意”，即正式确立了信息处理行为需遵循“告知-同意”规则。中华人民参见 低配儿童智能手表成行走的偷窥器，http：/ 第一千零三十五条规定，“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合

29、下列条件：（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；（二）公开处理信息的规则；（三）明示处理信息的目的、方式和范围；（四）不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”此外，依据该法第二款关于信息处理行为的内容，如果没有特别指明，下文将人脸信息的收集、存储、使用、加工、传输、提供、公开等行为的实施者统称为“信息处理者”。64人脸信息保护的制度基础、现实难题与法律因应共和国网络安全法 第四十一条蕴含着将“告知-同意”作为信息处理者收集和使用个人信息应当遵循的首要原则的要求。中华人民共和国个人信息保护法

30、 第二十九条规定了更为严格的“告知-同意”规则。虽然以上法条确立了人脸信息处理的基本原则，但在实践中，“告知-同意”规则却出现了适用形式化困境。实践中，看似“告知-同意”规则赋予信息主体对自己人脸信息支配使用的自决权，但是现实制度环境能够保障自决权真正实现吗？现实给出的答案是否定的。数据企业在收集和处理人脸信息时突破“告知-同意”规则的现象比比皆是，如何判断信息处理者已经做到“合法告知”以及如何判断人脸信息主体已经“有效同意”，这是实践中适用“告知-同意”规则面临的两大难题。如果不能圆满解决，则“告知-同意”规则在实践中将失去其本身蕴含的权利保障价值。“告知-同意”规则的适用形式化困境主要有三

31、种表现。一是表现为信息采集主体利用规则漏洞而设计格式条款，有意突破人脸信息“告知-同意”规则。若严格遵守适用“告知-同意”规则，则信息处理者将不得不在被采集人明确同意的情形下并获得授权时方能进行人脸信息采集和使用，这将竖立起以保护为目的的人脸信息采集安全“栅栏”。但在现实中，信息处理者常常在巨大数据流所带来的商业利益驱使下，突破“告知-同意”规则，而以“告示”、“公示”等格式条款突破人脸信息保护“栅栏”。例如，在徐红婷诉苏州平泰置业有限公司个人信息保护纠纷案中，被告平泰置业公司在售楼处以放置展示板的方式“公示”售楼处现场安装了人脸信息识别系统并进行信息采集这一事实行为，其中隐藏的逻辑是，消费者

32、只要进入售楼处即推定其同意被人脸识别并采集信息，以单方默认方式推定消费者同意个人信息权利让渡，这种“公示”显然无法被认作合法有效的“告知”行为，也无法被认作信息主体有效的“同意”表示。售楼处每天来往客人不在少数，大量前来看房的客人人脸信息被悄悄收集后用于经营用途（主要是用于识别是否为常客，以及与代销机构结算佣金时判别客户来源），其人脸信息无意间就被侵害。此外，除常见的格式条款外，还存在在人脸识别同意协议中隐晦采用“包括但不止于”类条款，无限扩大人脸信息使用范围和目的，使得信息主体陷入信息使用“无底洞”，自己的人脸信息被信息处理者无限制使用。二是表现为对需个人授权同意的人脸信息使用范围通过“模糊

33、化”解释而进行扩大化处理。如信息处理者基于经济利益采集客户人脸信息时，通常需通过协议方式履行单独告知义务，时间成本较高且不一定能获得人脸信息主体（用户）授权。因此，信息处理者往往会采取迂回方式，如通过将人脸信息的适用范围扩展到以公共利益为使用目的来进行人脸信息采集，则可强制征得用户同意。例如，小区入口安装人脸识别通行设备，原本目的主要是便于物业管理，但其对外宣传的目的却是保障小区公共安全。也就是说，无论是否征得用户有效同意，物业企业获取居民人脸信息均可从形式上找到正当理由。另外，用户作为有限理性人，因人脸识别技术的复杂性和现实紧迫性（若拒绝人脸信息采集则可能不得进入场所），其很难准确判断未经授

34、权就采集人脸信息是否侵害自己的合法权益。如在顾城起诉城关物业天津分公司隐私权纠纷案中，原告认为物业公司要求刷脸进入小区侵犯了个人信息权而起诉，一审法院认为鉴于小区居住人员众多，使用人脸信息确为疫情防控需要，故驳回了原告的诉讼请求。二审法院则认为物业公司关于使用人脸识别验证方式是按疫情防控相关 中华人民共和国网络安全法 第四十一条规定，“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、

35、行政法规的规定和与用户的约定，处理其保存的个人信息。”中华人民共和国个人信息保护法 第二十九条规定，“处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。”参见江苏省苏州市姑苏区人民法院（2022）苏0508民初5316号民事判决书。65新疆财经大学学报2023年第3期规定和要求的主张，并没有证据证实该主张具有保障公共安全的现实目的，遂撤销一审判决。三是表现为对于“人脸信息识别同意后果”必须告知的内容，故意设置为冗长复杂且字体微小的格式，使得信息主体在“不耐烦”的心理驱使下作出“虽同意，实随意”的意思表示。信息处理者预先设置好人脸信息录入并能

36、被识别通过就视为信息主体同意的意思表示规则，在具体使用场景则会引发因意思理解不同而产生的争议。例如，在赵振春诉合众人寿保险股份有限公司营口中心支公司合同纠纷案中，双方争议的焦点是，原告通过保险公司App微信端的人脸识别方式变更涉案保险合同中被保险人电话信息的行为，是否可认定为其对该合同的知情和同意。原告认为，通过人脸识别的行为仅仅是同意变更电话号码，并非是对投保以死亡为标的的保险合同的认定。而法院判决认为，在微信端通过人脸识别方式变更涉案保险合同的被保险人电话号码，可认定为被保险人知情且同意投保人为其投保。信息主体基于现实的短期利益，更关心是否可以即时获得顺畅的信息服务，而忽略了对此所需支付对

37、价的风险。现实中，人们总是对冗长复杂的“同意授权”流程缺乏足够耐心，甚少有人仔细揣摩条款内容是否存在风险，有时信息收集方式也会被有意设计成“系统默认勾选同意”项，引导信息主体快速一键通过。总体而言，“告知-同意”规则在实践中并未充分发挥正面规制效用，其适用形式化反而为信息处理者随意破坏人脸信息保护规则的行为披上“合法外衣”，导致对于人脸信息的法律保护呈现立法严格但实践宽松的相悖状态。2.监管缺口及监管措施单一造成行政监管效力虚化。信息化时代，只有公私部门通力协作才能对人脸信息进行全方位保护，其中行政监管发挥着至关重要的作用15。中华人民共和国个人信息保护法 第六十条规定了行政监管的职责分工，采

38、用“网信部门统筹协调+有关部门分散监管”的模式16。从实践中看，分散监管模式虽然有利于满足各部门行业性和专业化的要求，但是在实践中却产生了因监管权责不明确而出现监管缺口，以及具体监管措施单一等问题。一是监管职责分散导致出现监管缺口。当前我国对于个人信息安全的行政监管涉及网信、公安、工信等多个部门，并没有设立权责一致的监管机关，容易出现在处理或解决某一具体问题时各部门职责交叉、竞相监管，或互相推诿、无人监管的现象，导致监管部门虽多但未能发挥实效。例如，互联网金融领域和互联网旅游领域大多采用人脸识别技术作为消费者身份认证的主要技术手段，中华人民共和国商业银行法和中华人民共和国旅游法分别确立了信息处

39、理者应当对个人信息予以保护的义务，但并未明确规定对违法处理消费者个人信息行为的监管主体、监管措施和具体法律责任形式。依据 中华人民共和国个人信息保护法 第六十条确立的行业监管原则，多数情况下并没有相应的行业监管机构主动履行对信息处理者侵犯消费者人脸信息行为的监管职责。又如，对于消费者和网络个人信息保护的监管主体确定较为模糊，对于法条中规定的“有关行政部门”和“其他有关机关”参见 “刷脸之争”如何加强个人信息保护？，https:/ 第六十条规定，“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管

40、理工作。县级以上地方人民政府有关部门的个人信息保护和监督管理职责，按照国家有关规定确定。前两款规定的部门统称为履行个人信息保护职责的部门。”中华人民共和国商业银行法 第六条规定，“商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯。”中华人民共和国旅游法 第五十二条规定，“旅游经营者对其在经营活动中知悉的旅游者个人信息，应当予以保密。”中华人民共和国消费者权益保护法 第三十二条规定，“各级人民政府工商行政管理部门和其他有关行政部门应当依照法律、法规的规定，在各自的职责范围内，采取措施，保护消费者的合法权益。有关行政部门应当听取消费者和消费者协会等组织对经营者交易行为、商品和服务质量问题的

41、意见，及时调查处理。”中华人民共和国网络安全法 第八条规定，“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。”66人脸信息保护的制度基础、现实难题与法律因应并不能明确指向是哪一个具体的行政部门或机关，这就使得现实中当人脸信息主体权益受到实际侵害需要有权机关履行监管职责时，可能出现负有监管义务的机关相互推诿、逃避责任的情形。这就容易出现虽有法律规定但没有具体监管机构履责的监管缺口。二是行政监管方式和处理措施较为单一。一方面，行政监管机构对信息处理者违法和违规处理

42、人脸信息的行为主要以行政约谈方式来要求涉案企业加强行为约束。行政约谈属于事前监管措施，其主要功能在于警示、告诫或指导，缺乏足够的强制力。“置于规制谱系来看，行政约谈应当以遵从理论为基础，以促成守法为目标，并以惩罚性方式作为后盾”17，其对已经发生的违法行为实则难以真正起到预防和制止作用。而本应发挥直接约束效用的罚款和没收违法所得这两类行政处罚措施，也存在缺乏明确、具体的客观标准和考量因素的问题，因而在实践中对涉案主体个人信息违法行为的处罚力度偏低，难以发挥威慑和遏制作用18。另一方面，由于尚未建立统一的人脸识别信息采集和使用监管制度，以及缺乏联动执法效能，因而实践中对人脸信息数据库建设和使用的

43、行政许可、人脸信息监管技术和标准认证、相关企业合规整改建议等相对“柔性”监管措施的使用频率不高。分散化监管模式使得各部门很难建立标准统一且行之有效的监管体系，在常态化监管中很难联合采用多元化监管措施去发现并解决问题。3.司法救济困难化导致人脸信息主体维权较为困难。在我国，从理论上说，司法救济包括刑事、行政和民事三方面，但从实践来看，对于迅速发展的人脸识别技术，需要审慎使用刑事处分，以免过于严厉的惩处手段阻碍技术发展。而从本就较少使用的行政救济手段来说，其对人脸信息保护的救济更是微乎其微。那么，对于与公民日常生活息息相关的民事司法救济是不是就畅通无阻呢？概括来讲，目前我国对于人脸信息侵害的民事诉

44、讼救济存在难以确定被告、司法救济成本高、难以认定损害结果等问题。一是难以确定被告。目前，人脸信息收集往往采用线上形式，如线上信息主体通过同意手机App相关协议，在信息主体的操作下将人脸信息转移给信息收集者。正如前文所说，“告知-同意”规则的形式化，往往让信息主体在不知不觉中被收集信息，可能直到信息主体发现隐私泄露或者财产损失时才会知晓，那么此时人脸信息权利主体是否可以直接提起诉讼呢？依据 中华人民共和国民事诉讼法 第一百二十二条规定，有明确的被告才能予以起诉，这在人脸信息遭受侵害的案件中难以实现。比如在现实生活中，微信已成为公民手机必备软件，为方便使用，公民通常会把个人信息（包括人脸信息）与微

45、信等信息交流平台相关联，而微信又与多个App形成网络交互关系，在二次甚至是其后多次授权过程中，出现的提示信息只是平台或相关 App授权与否的选项，面对多如牛毛的授权信息，当人脸信息被泄露时，作为普通公民的信息主体又怎会知道或认定谁是被告呢？若无法确定被告，诉讼就无法提起，寻求司法救济就非常困难。二是司法救济成本较高。通过检索中国裁判文书网关于人脸信息侵权案件的裁判文书数量可以发现，司法裁判的人脸识别案例数量较少。通过对人脸信息侵权案件具体裁判文书中的原告身份的分析发现，原告普遍缺乏法律专业知识和维护自身权益的能力。在人脸信息侵权案例中，数据企业并非仅仅使用特定用户的人脸信息，而是需要对大量的不

46、确定的用户的人脸信息进行处理分析以扩大数据库信息规模，因而一旦发生侵权事件往往出现的都是规模性信息安全事件。但对于通过司法救济手段来抵制非法收集、滥用人脸识别技术的行为，被侵权人总是因维权意识不强、诉讼成本高、诉讼结果不确定等望而却步。从法律经济学视角来看，司法救济的本质是被侵权人花钱购买司法机关的司法服务来维护自己受损害的权利，由此必然涉及费用成本与维护利益的比较。就人脸信息诉讼主体来说，个人面对因律师费、财产保全和较长诉讼周期等形成的高昂诉讼成本总是犹豫不决。即使 人脸识别技术适法规定 第八条明确规定了自然人为制止侵权行为所支付的合理开支由侵67新疆财经大学学报2023年第3期权人承担，但

47、由于诉讼结果的不确定性，难免会让被侵权人犹豫不决，加之缺乏其他救济途径，导致大量被侵权人产生“算了，也没产生什么实际后果”的想法而放弃维护自身权益。三是难以认定损害结果。我国民法中关于侵权损害结果的认定规则在人脸信息被侵权后如何认定损害结果方面面临困境，主要困难在于人脸信息被滥用后或者被泄露后可能并没有发生实际损害结果。一方面，由于人脸信息被侵权的实际损害往往具有结果的无形性、结果显现的潜伏性以及受损利益评估复杂等特点，因而在人脸信息主体遭受相关利益侵害后，尚未显现出的可能被侵害的风险很可能会被理解成信息主体对损害的预测，是否满足适用“损害结果具有确定性才能进行赔偿”的规则难免会引起司法机关的

48、疑问。例如，在顾城诉城关物业天津分公司隐私权纠纷案中，虽然法院最终支持了原告关于删除其人脸信息的诉讼请求，但在损害结果认定上只支持要求赔付原告合理支出的律师费，对于被告实际造成的其他损害结果并未认定。另一方面，司法实践中对于损害个人信息的赔偿主要采用精神损害赔偿方式，所以未来对于人脸信息损害的赔付难点，也主要是如何认定人脸信息主体是否受到精神损害以及受到何种程度的精神损害。基于防止滥用精神损害赔偿，故实践中往往以精神损害结果达到“严重”程度作为适用的先决条件，由此，人脸信息主体必然面临着审判者以不能证明存在精神损害或者精神损害未达到严重程度为由而否决精神损害赔偿请求的困境。四、提升人脸信息保护

49、制度实效的法律因应如前所述，人脸信息保护在现实中受到极大冲击，“告知-同意”规则、行政监管、司法救济方面尚存在亟待解决的问题，应在现有法律基础上进行合理解释和完善，通过优化“告知-同意”规则、建立多元化的行政监管模式和构建可操作性强的多途径维权制度，有效解决人脸信息主体遭受损害的现实问题。（一）优化“告知-同意”规则的分场景强度适用机制人脸信息采集的无感性使得信息主体在未被告知且未明确同意的情况下也可以进行抓取，“告知-同意”规则常处于失效状态，因此，完善“告知-同意”优化机制迫在眉睫。首先，应明确规范适用“告知-同意”规则的客观判断标准。人脸信息保护及相关技术规制不应一成不变，而要根据人脸信

50、息采集的不同方式和使用目的进行灵活调整，不断规范完善“告知-同意”规则适用的客观判断方式。必须严格按照法律规定根据目的、用途等明确信息处理者采集人脸识别的范围和限制，避免任何主体都可以基于公共利益而怠于履行告知义务。此外，在实践中，公共场所“告知-同意”规则被破坏的现象较为常见，即使 中华人民共和国个人信息保护法 第二十六条明确规定了为维护公共安全在公共场所采集人脸信息时要设立显著的提示标识，但何为“显著的提示标识”？对其理解显然属于主观看法，不同的利益主体对此会有不同的理解，在现实中容易使信息处理者借机突破“告知-同意”规则。因此，为减少因判断信息处理者是否合法履行告知义务的主观性标准而带来