人脸识别信息保护的规范建构_杨华.pdf

1、华东政法大学学报2023 年第 2 期68人脸识别信息保护的规范建构杨华*目次一、人脸识别信息保护法律规制的现状及存在的问题二、人脸识别信息保护立法的理念三、完善人脸识别信息保护的实体法律规范四、优化人脸识别信息保护的程序性规范五、结语摘要人脸识别是人工智能的重要应用。运用人脸识别技术应加强人脸信息保护。我国人脸识别信息保护缺乏专门的法律规范，个人信息保护法 第 62 条特别强调对“人脸识别”制定专门的保护规范。我国应在系统总结现有立法、执法和司法经验的基础上，树立尊重数字人权、适当限制公权、注重利益平衡的理念，构建人脸识别信息保护的实体性规范、优化人脸识别信息保护的程序性设计，以 个人信息保

2、护法 等法律法规为依据，由国家网信部门统筹协调有关部门，围绕人脸识别的收集、存储、使用、加工、传输、提供、公开、删除等行为制定 人脸识别信息保护规范。关键词人脸识别人脸识别信息信息保护规范构建人脸识别关系到每个自然人的个人信息安全，尤其是敏感信息的安全。国家高度重视人脸识别等人工智能技术的应用。习近平总书记指出：“要坚持网络安全为人民、网络安全靠人民，保障个人信息安全，维护公民在网络空间的合法权益。”1“要加强人工智能发展的潜在风险研判和防范，维护人民利益和国家安全，确保人工智能安全、可靠、可控。要整合多学科力量，加强人工智能相关法律、伦理、社会问题研究，建立健全保障人工智能健康发展的法律法规

3、、制度体系、伦理道德。”2因此，构建*杨华，上海政法学院人工智能法学院教授，法学博士。本文系国家社会科学基金重大专项“全球海上公共卫生安全治理体系完善研究”（项目号 20VHQ013）的阶段性研究成果。1 习近平：迈出建设网络强国的坚实步伐习近平总书记关于网络安全和信息化工作重要论述综述，载 人民日报2019 年 10 月 19 日，第 1 版。2 习近平：加强领导做好规划明确任务夯实基础 推动我国新一代人工智能健康发展，载 人民日报 2018 年 11 月 1 日，第 1 版。杨华人脸识别信息保护的规范建构69人脸识别信息保护规范，符合人民群众的所急所盼。2021年1月1日施行的 中华人民共

4、和国民法典规定了公民肖像权、隐私权的保护，2021 年 8 月 1 日施行的 最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定（法释 2021 15 号，以下简称“人脸识别司法解释”）为审理人脸识别侵权的民事案件提供了司法依据，2021 年 11 月 1 日施行的 中华人民共和国个人信息保护法 较为全面地规定了个人信息保护的规范。我国宪法、法律、行政法规有关公民权利、信息安全、权利损害救济的规定，也为自然人的权利保护提供了依据。由于人脸识别信息作为敏感信息保护的问题复杂性、人脸识别技术与法律的融合性、人脸识别技术应用的具体标准尚未完备，我国当前的这些立法和司法

5、解释，对人脸识别技术普及应用所带来的人脸信息识别规范性问题、自然人人脸识别信息的保护问题，并没有给出明确的解答。如人脸识别技术应用的边界在哪里？如何避免人脸识别技术滥用？人脸识别信息受到侵害后如何救济等问题，亟待通过专门立法予以明确。美国联邦层面出台了 商业人脸识别隐私法案 人脸识别技术授权法案道德使用人脸识别法案，很多州层面也出台了人脸识别技术应用的法案。我国 个人信息保护法第 62 条特别强调对“人脸识别”制定专门的保护规范。鉴于全社会对人脸识别问题的广泛关注，制定人脸识别的专门法律规范宜尽快提上日程。一、人脸识别信息保护法律规制的现状及存在的问题我国人脸识别的法律规范散见于现有法律、法规

6、、部门规章和司法解释之中，没有形成系统的规范。人脸识别在没有征得被识别对象同意情况下的使用以及非法使用较为普遍，产生了诸多涉及个人信息权益保护的案件。（一）对“人脸识别信息”缺乏明确的法律界定个人信息保护法 强调了制定人脸识别法律规范的重要性，该法第 62 条规定：“针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用，制定专门的个人信息保护规则、标准。”该规定特别强调了制定专门的“人脸识别”保护规范，说明人脸识别的法律规范处于较为重要的地位。其中，关于个人信息中的人脸信息、人脸识别信息、生物识别信息的界定以及三者之间的明确关系，是首先要明确的内容。根据人脸识别司法解

7、释第 1 条第 3 款“本规定所称人脸信息属于民法典第一千零三十四条规定的生物识别信息”，2021 年 12 月全国信息安全标准化技术委员会制定的 网络安全标准实践指南网络数据分类分级指引 第 5.2.2（c）条“个人生物识别信息是指个人生物特征识别原始信息和比对信息，如人脸、指纹、步态、声纹、基因、虹膜等生物识别信息”，可以得出人脸信息属于生物识别信息。但对于什么是“人脸识别信息”，目前法律并没有统一规定。从语义上来看，人脸识别信息属于人脸信息的子类概念。个人信息保护法 第 51 条规定个人信息处理者应“采取相应的加密、去标识化等安全技术措施”，第 73 条则对“去标识化”进行了立法界定。3

8、同时，第 4 条规定个人信息“不包括匿名化处理后的信息”，该法似乎默认“匿名化”处理之后的信息不会对自然人信息造成侵害。但从计算机和网络技术上讲，对多来源、多类型数据集进行关联分析和深度挖掘，匿名化的信息也是可以3 个人信息保护法 第 73 条规定“去标识化”是指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。华东政法大学学报2023 年第 2 期70复原的。4尽管如此，仍无法明确“人脸识别信息”的具体概念。欧盟 通用数据保护条例 规定，人脸识别信息是指通过抓取人的面部特征等进行一定技术处理后形成的能识别到特定自然人的信息。5可以得出人脸识别信息是经过“抓取”“技术处理

9、”之后形成的特定自然人的所有“过程性”信息。这里的“抓取”“技术处理”与我国 个人信息保护法 所规定的“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等”“过程性”信息是相同的。因此，“人脸识别信息”可以界定为在处理人脸信息过程中形成的可识别信息。（二）缺乏人脸识别信息保护的专门规定与人脸识别信息保护密切相关的法律有 个人信息保护法 数据安全法 网络安全法，三部法律通过对个人信息或数据保护的法律规范，对人脸识别信息保护起到了间接规范作用，但也缺乏明确的人脸识别信息保护法律规范。例如，个人信息保护法 中规定了个人信息保护，但对“个人信息”与“人脸识别信息”的关系并不明

10、确。该法多处提及的“身份识别”“生物识别”是否包含“人脸识别”，似乎需要通过具体的实施细则或法律解释予以明确。数据安全法 中规定的数据，是指任何以电子或者其他方式对信息的记录，但是否包含“人脸识别”数据，同样没有相应的立法或司法解释。网络安全法 规定个人信息保护包括“生物识别”信息，但“生物识别”与“人脸信息”的关系似乎也需要明确。此外，宪法 第 33 条规定的“国家尊重和保障人权”、第 38 条规定的“人格尊严不受侵犯”，民法典 第 111 条规定的个人信息权、第 1019 条规定不得利用信息技术手段侵害他人的肖像权、第1033 条规定的隐私权，以及 刑法 第 253 条、第 280 条、第

11、 285 条，电子商务法 第 23 条，消费者权益保护法 第 29 条和 全国人民代表大会常务委员会关于加强网络信息保护的决定 关键信息基础设施安全保护条例 电信条例 征信业管理条例 等法律法规，是否可以适用于人脸识别信息保护的纠纷处理，也只能从“间接适用”的夹缝中寻求解释。这无疑为人脸识别信息保护问题的法律适用带来诸多障碍。总体来看，我国人脸识别信息保护的法律规范呈现出如下三点不足。一是我国没有明确的人脸识别信息保护法律规定。表面上看，有关个人信息、数据和网络安全的立法已经存在，但具体运用到人脸识别信息保护纠纷解决时，法律依据往往都是间接的、分散的，找不到专门的人脸识别信息保护立法。二是法律

12、法规或技术规范操作性不强。例如，收集、使用个人信息应当遵循合法、正当、必要原则，但如何认定“合法、正当、必要”缺乏必要的标准；又如，收集个人信息需要征得个人同意，但如何落实“同意”？相反，几乎人人都在被动地、无奈地接受人脸识别。三是法律救济机制不足，在人脸信息遭到泄露、伪造、歧视等情况下，尚缺乏有效的法律救济方式和救济途径。因此，制定专门的人脸识别信息保护的法律规范，防范人脸识别带来的风险，有效保护自然人人脸识别信息权利确有必要！（三）司法解释无法替代人脸识别信息保护的立法和执法问题2017 年 6 月至 2021 年 6 月，全国法院新收侵犯公民个人信息刑事案件 10059 件，2016 年

13、 1 月至2020 年 12 月，隐私权纠纷案件共 1678 件。6在这些案件中，与人脸识别信息保护直接相关的案例较多，但由于缺乏相应的专门立法依据，法院在审理相关案件时依据其他法律法规予以审理，“郭兵诉4 参见王靖夫：构建“大安全”格局 拥抱数字化转型，载 计算机与网络 2021 年第 19 期，第 52-53 页。5 参见李爱君、苏桂梅：国际数据保护规则要览，法律出版社 2018 年版，第 344 页。6 参见 最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定 新闻发布会，来源：http:/ 年 5 月 31 日访问。杨华人脸识别信息保护的规范建构71杭州

14、野生动物世界滥用人脸识别案”（以下简称“郭兵案”）就是其中的典型代表案例。“郭兵案”是因人脸识别信息保护纠纷引发的国内“人脸识别第一案”。7社会公众对本案关注的焦点是“人脸识别合不合法”的问题，也期待法院作出“人脸识别合不合法”的判决。一、二审法院则以“服务合同纠纷”的案由审理本案，并没有回应社会关切，引发了广泛的讨论。本案推动了“人脸识别司法解释”的出台。然而，司法解释解决不了人脸识别信息保护的立法与执法问题。一方面，司法解释解决不了立法问题。司法解释正是在立法缺失的情况下，在审判领域确立人脸识别信息保护纠纷解决依据的被动之举。实现人脸识别信息保护，必须在相关立法保障的前提下，人脸识别技术和

15、设备的应用方依法做好人脸识别的收集、存储、使用、加工、传输、提供、公开、删除工作，人脸识别信息的受保护者可依法享有知情权、选择权、修改权、删除权等权利。立法应将权利和自由从抽象化的应然状态转化为具体化的实然状态的制度设计。宪法和法律中已规定的权利也要顺应时代变迁和具体实施环境的变化而制定相应的法律制度予以落实。人脸识别信息保护的规范构建就是适应人工智能时代的个人信息安全保障、隐私权保护的实际需求而作出的应对举措。司法解释只是在司法实务中，对某些立法不够明确、不够具体时提供的审判指导、审理依据和标准，不能代替人脸识别信息保护的相关立法。另一方面，司法解释在司法领域的作用无法解决执法领域存在的问题

16、。由于人脸识别技术的普及应用，人脸识别信息保护的执法工作量急剧增长，缺少人脸识别信息保护的立法，必然会给执法工作带来极大的不便，也造成行政执法依据和行政处罚数额方面的巨大差异。通过检索市场监管部门在违规使用“人脸识别”技术方面的执法案例可以得出较为明显的结论。2021 年 5 月，浙江省宁波市海曙区市场监督管理局对宁波浙坤置业有限公司因违规使用人脸识别技术，依据 消费者权益保护法 处以 14 万元罚款。82021 年 6 月，浙江省兰溪市市场监督管理局对兰溪中梁龙置业有限公司违法安装使用人脸识别监控系统，依据 消费者权益保护法 处以警告处罚。9浙江省温岭市市场监督管理局开展房地产领域人脸识别专

17、项整治行动，对某楼盘擅用人脸识别技术导致侵权案件，依据 消费者权益保护法 处以 25 万元罚款。10 2021 年 7 月，上海市静安区市场监督管理局对中央电视台“315 晚会”曝光的科勒卫浴，依据 消费者权益保护法 处以 50 万元罚款。这些案例表明，市场监管部门行政执法的主要依据是 消费者权益保护法，但也有 民法典 和国家标准、司法解释等依据；在处罚数额上，从“0”（警告）到“50 万元”不等，可能还会出现更高数额的处罚。之所以造成这样的局面，其根本原因在于缺乏人脸识别信息保护的专门立法，造成执法依据和处罚数额方面的“高弹性化”。（四）地方法规没有实质性推动人脸识别立法由于人脸识别技术应用

18、的普及，很多地方政府或人大制定了人脸识别的立法规定。例如，上海市数据条例 第 22 条规定“处理自然人生物识别信息的，应当具有特定的目的和充分的必要性，并采取严格的保护措施。处理生物识别信息应当取得个人的单独同意；法律、行政法规另有规定的，从其规定。”广东省社会信用条例 第 22 条规定“采集市场信用信息，禁止采集自然人的宗教信仰、血型信息，疾病、病史信息，基因、指纹等生物识别信息”，并在第 56 条规定违法单位将被“处五万元以上7 参见杭州市富阳区人民法院（2019）浙 0111 民初 6971 号民事判决书，杭州市中级人民法院（2020）浙 01 民终 10940 号民事判决书。8 浙江省

19、宁波市海曙区市场监督管理局甬海市监处 2021 257 号行政处罚决定书。9 浙江省兰溪市市场监督管理局兰市监罚字 2021 351 号行政处罚决定书。10 浙江省温岭市市场监督管理局温市监处 2021 1262 号行政处罚决定书。华东政法大学学报2023 年第 2 期72五十万元以下的罚款”。天津市社会信用条例 第 16 条规定市场信用信息提供单位不得采集自然人的生物识别等信息，并在第 63 条规定了相应的处罚。深圳经济特区数据条例 第 19 条规定：“处理生物识别数据的，应当在征得该自然人明示同意基于特定目的处理生物识别数据的，未经自然人明示同意，不得将该生物识别数据用于其他目的。”这些关

20、于人脸识别的地方立法，体现了人脸识别在全国很多地方正在走向法治化道路。但这些地方立法大都是参照现有国家立法所做的简单重复，而且条文较少，对人脸识别技术应用的过程规范性、对自然人人脸识别信息的保护及其受到侵害后的损害救济，均缺乏相应的规定。二、人脸识别信息保护立法的理念现实生活中，侵犯自然人人脸识别信息合法权益的事件依然频频发生。有调研报告显示，64.39%的受访者认为人脸识别有滥用趋势，三成受访者表示已因人脸信息泄露或被滥用而遭受隐私权或财产权的损失。11在人脸识别全社会普及的情况下，人脸识别行为只有在法治的轨道上运行才能造福社会，而人脸识别信息保护的规范构建应当树立尊重数字人权、适当限制政府

21、等公共机构的权力以及利益平衡的理念。（一）人脸识别技术应用应尊重数字人权数字人权是指在整个社会的数字化转型过程中，综合考虑到人的尊严、平等和不可剥夺的数字权利是自由、正义与公平的基础，为倡导人权必须受到法治保护并以数字算法表达，通过数字协作推动人的权利和自由的普遍尊重、遵守和实现等人权实质因素而提出的。12为推动人脸识别技术应用在法治的轨道上发展，造福人类，我们首先要树立数字人权理念、以人为本。一是在公权力和私权利的分配中贯彻数字人权理念。数字人权是传统人权的丰富和拓展，在人脸识别过程中，要注重评估技术应用给各方造成的影响，注重保护公众的数字人权，13减少公众在人脸识别信息保护问题上受到的不利

22、影响。例如，在警务执法中，要注意数字人权的保护，找到大数据应用的“社会可容许性的最大公约数”。14 二是人脸识别技术发展要贯彻数字人权理念。推进人脸识别技术的算法公平、非歧视、便利化应用等，以体现数字人权理念。倡导人脸识别发展的技术中立原则，反对通过技术或算法从事违反数字人权的行为。算法要为人脸识别的技术正当性、程序的正当性奠定基础，避免算法偏见、算法霸权，15促进算法友好向善。三是人脸识别过程中应当贯彻数字人权理念。在使用人脸识别技术或设备时，应当树立数字人权、数字正义、数字法治的理念，16征得被采集者的同意，做到合法收集、最小化利用、妥善保管、及时删除，时刻警惕和防范人脸识别技术被滥用，避

23、免成为违法犯罪分子的工具。11 参见崔亚东、杨华等：人脸识别与隐私权保护法律问题研究，载 世界人工智能法治蓝皮书（2020），上海人民出版社2020 年版，第 235-245 页。12 参见张文显：构建智能社会的法律秩序，载 东方法学 2020 年第 5 期，第 4-19 页。13 参见马长山：智慧社会背景下的“第四代人权”及其保障，载 中国法学 2019 年第 5 期，第 5-24 页。14 日 星周一郎：大数据警务与信息技术侦查，李立丰、宋婷译，载 上海政法学院学报（法治论丛）2022 年第 6 期，第158 页。15 参见马长山：司法人工智能的重塑效应及其限度，载 法学研究 2020 年

24、第 4 期，第 33 页。16 参见马长山：数字法学的理论表达，载 中国法学 2022 年第 3 期，第 134 页。杨华人脸识别信息保护的规范建构73因此，国家和社会在使用人脸识别等数字科技治理社会或实施管理的过程中，要有尊重和保障数字人权的意识，遵从法律规范和程序规定，注重接受者的数字人权保护。（二）人脸识别技术应用应适当限制公权公权力应受到制约，这是一个亘古不变的法理。习近平总书记指出：“要强化权力制约，合理分解权力，科学配置权力”，17“一个国家民主不民主要看权力运行规则和程序是否民主，更要看权力是否真正受到人民监督和制约。”18建立权力制约和监督机制是法治中国建设的关键。19因此，对

25、权力的限制应当成为人脸识别技术应用的基本理念。人脸识别技术可以帮助执法机构保护民众的安全。但是，人脸识别技术的供应商和使用者负有共同的责任，即确保人脸识别的执法机构不存在歧视、不存在滥用。而人脸识别的主要主体之一即为行使国家公共管理职能的国家机构和提供公共管理服务的企事业单位，其行使的就是公权力。我们必须注意到数据理性对行政执法的多维度渗入。20美国在联邦和各州层面都有限制或禁止人脸识别技术运用的立法规定。如美国联邦 道德使用人脸识别法案 主要针对的是政府等执法机构，规定在国家颁布人脸识别技术使用指南之前，禁止安装人脸识别设备、禁止通过人脸识别技术获取个人信息，旨在保护消费者的隐私免遭“迅速发

26、展的人脸识别技术和数据收集活动带来的过度监视和过度监管”的风险。美国联邦 人脸识别技术授权法案迫使执法部门在使用人脸识别技术进行监视前，应当根据涉嫌犯罪的内容获取逮捕证，特殊情况可以考虑豁免。21美国很多州在政府权力和公众权益维护的利益平衡方面均采取了限制公权、保护私权的做法，如马萨诸塞州、加利福尼亚州、得克萨斯州、俄勒冈州、缅因州等。（三）人脸识别技术应用应注重利益平衡法律是利益调整的工具，是社会不同利益群体之间的平衡器。在利益平衡理念指引下的法律规则，能够充分考虑法律调整对象之间的利益均衡。利益平衡理念的落实，可以有效避免或减少某一利益主体盲目追求自身利益、无限扩大自身利益的现象，并在适当

27、的情况下合理照顾弱势群体的利益。人脸识别过程中，有多方利益需要平衡。一是国家因对人脸信息数据的归集、整理和分析，实现了数字经济、技术经济的快速发展；二是行使国家管理权的机构或部门可以提高效率、节省人力、强化权威；三是行使公共管理职能的企事业单位、基层自治组织既完成了国家授权的职能，也实现了自身利益需求；四是私营企业可以精准排查客户、节省运营成本、提高运营效率，还可以对信息数据进行加工、整理形成独具特色的商业模式；五是公众可以享受人脸支付、人脸乘车、人脸住宿等系列便利。在五个方面的受益主体中，谁将享受到最大的利益？谁应当享受最大的利益？利益主体间是否存在此消彼长的关系？怎么保障各利益平衡？这是人

28、脸识别法律规范制定过程中要考虑的问题。一是要在利益平衡的理念下，促进主体各方利益的实质平等。在人脸识别过程中，应用方和接受方虽然在法律地位上是对等的，但其权利和义务的分配是不对等的。作为接受方的公众，实际上属于17 肖培：强化对权力运行的制约和监督，载 人民日报 2019 年 12 月 16 日，第 9 版。18 习近平在中央人大工作会议上发表重要讲话，来源：http:/ 年10 月 17 日访问。19 参见王晨光：建立权力制约和监督机制是法治中国建设的关键，载 环球法律评论 2014 年第 1 期，第 34-36 页。20 参见关保英：论大数据时代的行政法精神，载 上海政法学院学报（法治论丛

29、）2023 年第 1 期，第 81-100 页。21 Congress.Gov,“Facial Recognition Technology Warrant Act of 2019”,https:/www.congress.gov/bill/116th-congress/senate-bill/2878/text,accessed June 29,2021.华东政法大学学报2023 年第 2 期74弱势群体或处于处境不利地位。因此，人脸识别的法律规制，应当给予技术应用方更多的合理规制、给予公众更多的保护，从而实现真正的利益平衡。二是要在利益平衡的理念下，实现整体利益最大化。公权、私权的配置，或

30、者权利和义务的分配，必然会涉及各利益主体之间的特殊性和复杂性，涉及各主体之间此消彼长的利益分享。在这种情况下，要发挥法律能够实现调整最大多数人利益的目标和任务。在人脸识别过程中，人民大众是最大多数人，也是技术应用的对象。因此，侧重保护公众隐私权的法律规制，是实现利益平衡的合理路径。三是要在利益平衡的理念下，建立更加合理的利益实现途径。只有可以实现的利益才是真正的利益。实现利益的途径也需要在利益平衡理念下设计。比如，通过立法确立利益各方的权利和义务范围、通过举证责任分配实现利益获取的合理机制、通过特殊保护措施达到公权和私权的平衡等，都是人脸识别过程中各方利益实现的路径。因此，在上述人脸识别信息保

31、护立法的理念指引下，制定人脸识别信息保护规范的总体思路如下。一是确立规范目的。人脸识别信息保护规范是为规范人脸识别行为，保障人脸识别信息安全，推动人脸信息数据更好融入国家数字经济发展规划，预防人脸识别的系统和设备可能给人脸信息带来的侵害，根据 个人信息保护法 等法律、行政法规而制定的。二是明确规范事项。关于人脸信息保护规范的具体规定，应当围绕使用人脸识别的行为过程展开，即人脸识别的收集、存储、使用、加工、传输、提供、公开、删除等行为。三是实体性规范与程序性规范相结合。人脸识别信息保护规范的制定，既要明确规范人脸识别的范围、人脸信息保护的对象、自然人人脸信息权利保护的原则和内容，也要规定人脸识别

32、信息保护的实现途径，除了普通诉讼等权利救济途径之外，还要规定人脸识别侵权行为的举证责任分配、涉及众多受害人的集团诉讼制度以及有关人脸识别技术滥用情况下的公益诉讼制度等。三、完善人脸识别信息保护的实体法律规范根据 个人信息保护法 第 62 条的规定，制定人脸识别信息保护的实体性规范，应当就建立人脸识别信息保护的基本原则、厘清人脸识别信息保护的范围、明确人脸识别技术商业应用规则、规范公权力机构人脸识别技术应用、确定人脸识别信息权益的范围等内容作出规定。（一）厘清人脸识别信息权益的保护范围由于个人信息权利的形成和发展，因人脸识别而侵犯公众个人信息权利的情形，已经超出了传统权利保护的范围，人脸信息侵权

33、与传统的侵权在侵权模式、侵权范围、侵权介质、侵权救济等方面均有不同，而人脸信息侵权的情况又无所不在。因此，有必要扩大传统私权保护的范围。第一，民法典 中规定的权利。一是与人脸识别信息相关的人格权，第 111 条规定的个人信息受保护的人格权益；二是人脸识别信息产生的财产权，第 127 条规定的数据、网络虚拟财产方面的财产权益；三是与人脸识别信息相关的肖像权，第 1019 条规定任何人不得利用信息技术手段伪造等方式侵害他人的肖像权；四是与人脸识别信息相关的隐私权，民法典 第 1032 规定自然人享有隐私权；五是个人信息权益，第 1033 条至第 1039 条规定了个人信息权益，即任何组织或者个人不

34、得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权，自然人可以查阅、复制、修改、删除其个人信息等。第二，个人信息保护法 中规定的权利。个人信息保护法 中规定的与人脸识别信息保护有关的权利主要是该法第 44 条至第 50 条规定的“个人在个人信息处理活动中的权利”。主要包括：一是人格尊严、人身财产安全以及通信自由和通信秘密等利益（不包括财产利益），但因其在保护方式上的“非主导性”或者“非直接性”，决定了它会被界定为权益而不是权利；二是实现个人信息权益保护的杨华人脸识别信息保护的规范建构75同意权、知情权、查阅权、复制权、转移权、更正权、补充权、删除权、请求解释说明权等权利。22上述这些权利，构成了

35、人脸识别信息保护的权利体系，23这些权利应当在人脸识别信息保护规范中予以明确。（二）明确人脸识别技术商业应用规则人脸识别的商业化应用主体大多是私营企业和个人，因其逐利化使用特性，必须施加一定强度的外部责任和义务，促使其规范使用人脸识别技术和相关数据。我国有必要为私营企业设定人脸识别的“告知同意限制使用及时删除损害赔偿”规则。具体内容如下。关于告知。私人实体只有在需要向个人提供服务或有其他有效的商业理由，并经政府部门审批许可后，方可使用人脸识别技术收集人脸识别信息。告知的方式可以由口头告知、书面告知或设置明显告知标识。如“您已进入人脸识别区”“本商场已安装人脸识别设施”等。关于同意。个人信息保护

36、法 第 13 条仅规定个人信息处理者在取得个人同意后方可处理个人信息。实际上，在收集、披露个人信息之前，也必须征得个人同意。在个人接受人脸识别信息被识别、收集之前，应当做出口头、书面或默认的同意。同意必须可以构成单独的环节，不得与就业协议等内容中的同意相结合。个人亦有权撤回其明示或默示的同意。关于限制使用。使用人脸识别信息，包括披露、分析、转让个人的人脸信息，必须有加密措施，不得泄露。在披露、分析、转让个人的人脸信息之前要获得书面许可，许可的内容包括披露、分析、转让的具体数据、原因、数据接收者以及谨慎的使用、保存和处理标准。其中，对于转让数据的行为，还应当与数据的原始持有人分享转让的经济效益。

37、关于及时删除。个人信息保护法 第 21 条仅规定个人信息处理的受托人应当将信息返还给委托人或者予以删除，不得保留。第 47 条规定了个人信息处理者应当主动删除个人信息的五种情形。其实，对于人脸识别信息，法律应当规定及时删除的期限。由于对信息收集的必要或非必要时常难以界定，24因此，对于私营企业收集的人脸信息，必须规定明确的删除或销毁期限。例如，法律可以规定企业必须在最迟不超过 1 年的合理时间内删除个人信息。关于损害赔偿。法律应该规定最低的损害赔偿标准，对于违反法律规定的私营企业，受害人有权追诉其所受到的损害，可以在最低损害赔偿标准额和实际受到的损失之间做出追诉选择。（三）规范公权力机构人脸识

38、别技术应用政府机构、政府授权机构或具有一定公共职能的机构，带有公权力的色彩，具有“命令控制型”的特征。这些机构在应对突发公共卫生事件、维护公共安全、公共利益所需等情形下，可以依法使用或处理人脸信息。25当然，法律需要明确这些机构使用或处理人脸信息的范围，以防止公权力越权使用甚至滥用。前文所述的美国马萨诸塞州、加利福尼亚州、得克萨斯州、俄勒冈州、缅因州等地的做法就是严格限制公权使用人脸识别技术应用的体现。而 个人信息保护法 并未对公权力机构使用人22 参见张新宝：论个人信息权益的构造，载 中外法学 2021 年第 5 期，第 1147-1148、1153 页。23 参见姚佳：个人信息主体的权利体

39、系基于数字时代个体权利的多维观察，载 华东政法大学学报 2022 年第 2 期，第 87-89 页。24 如对于“性别”的识别是否有必要，曾引发争论。德国自 2018 年起，身份证同样不标注持有人性别。荷兰自 2018 年开始承认第三性别，出生证明上可写“性别未定”，从“2024 年至 2025 年”开始，荷兰公民身份证将不再注明性别，因为性别属于“非必要信息”。25 参见 民法典 第 1035 条、第 1036 条；最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定 第 5 条。华东政法大学学报2023 年第 2 期76脸识别技术作出规定。为了防止公权力的滥用

40、，要适当规范政府或公共机构安装使用人脸识别技术或设备的行为。首先，要减少政府或公共机构安装、使用人脸识别设备的随意性。政府安装或使用人脸识别设备要制定详细的规划、经过充分的论证，并征求公众的意见。其次，政府部门获取、保存、访问、使用人脸识别技术获取的信息，要经过严格的许可程序，不可随意而为之。再次，人脸信息的主体有权向政府部门申请查看自己的人脸信息，并有权要求政府部门或公共机构删除自己的人脸信息。最后，行使公共职能的机构要严格履行政府的授权或审批程序后方可使用人脸识别技术或设备。（四）明确人脸识别信息保护的违法责任首先，界定人脸识别信息保护违法责任主体及法律责任。禁止使用者通过人脸识别技术对自

41、然人进行技术辨认和跟踪，禁止通过人脸识别技术对自然人进行区别对待。对违反法律规定的私营企业，若是因过失造成的，应当承担一定数额的法定损害赔偿金；若是故意造成的，应当承担一定数额的惩罚性赔偿金。如果实际损害更高，则以实际损害为准。当然，除了受害者的赔偿请求，政府部门还可以对违法使用者采取行政处罚措施。非法使用人脸识别、未履行人脸信息保护义务的单位或个人，由国家有关部门责令改正，给予警告，没收违法所得，暂停或终止违法处理人脸信息的应用程序；拒不改正或造成损失的，对单位处一定数额的罚款，对直接责任人员科以一定的责任。情节严重的，可责令停业整顿直至吊销营业执照，对直接责任人员加重处罚、限制或禁止其担任

42、企业高级管理人员或信息保管员。构成刑事犯罪的，移送司法机关处理。对国家机关及其工作人员不履行人脸信息保护义务的，由上级部门责任改正，并对直接责任人员给予处分。国家机关工作人员玩忽职守、滥用职权、徇私舞弊，给国家、社会或公民造成重大损失的，依法追究刑事责任。侵犯人脸信息权益的单位或个人，应当承担损害赔偿等侵权责任。其次，严厉打击利用人脸识别技术的相关犯罪行为。由于违法犯罪分子使用数据的目的和手段不符合合理需求，应当施加严格的责任。例如通过刑法中的侵犯公民个人信息罪、使用虚假身份证件、盗用身份证件罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪等对非法使用数据的单位或个人实施制裁。利用人脸

43、识别技术实施破解他人支付账号、盗刷他人银行卡、盗窃财物等行为的，可按盗窃罪、诈骗罪等方式追究责任。严厉打击人脸识别技术领域的黑色产业链，如通过制作模拟3D人脸模型、“深度伪造”人脸等方式骗过人脸识别平台实施犯罪的行为。2017年6月至2021年6月，全国法院就侵犯公民个人信息罪，追究 21726 人的刑事责任，对 3803 人判处三年以上有期徒刑。26当前我国社会老龄化情形加重，由于老年人对信息的鉴别能力弱，其正在成为人脸识别技术非法利用的特殊受害群体。27我们必须对此做出应有的行动，加快制定人脸识别信息保护规范。此外，制定人脸识别信息保护规范时，应当根据 民法典 个人信息保护法 数据安全法

44、等规范，确立人脸识别信息保护的基本原则。人脸识别信息保护的基本原则是在保护人脸识别信息过程中必须遵循的根本准则，是 个人信息保护法 的基本原则在人脸识别信息保护中的具体体现。由于属于敏感个人信息的人脸识别信息相较于一般个人信息而言，受到侵害时的后果更为严重，应受法26 最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定 新闻发布会，来源：http:/ 年 5 月 31 日访问。27 例如，齐星等人通过向老百姓发放福利（面或油）为由，向民众非法获取个人信息，在民众不知情的情况下使用民众个人信息办理开通实名认证移动通讯卡后实施犯罪行为。参见吉林省农安县人民法院（20

45、19）吉 0122 刑初 403 号刑事判决书。杨华人脸识别信息保护的规范建构77律的特殊保护。我国在制定人脸识别信息保护规范时应当确立如下六项原则。一是使用人脸识别的合法、正当和必要原则。二是处理人脸识别信息应当遵循诚实信用、公开透明原则。三是保障自然人的知情同意权和选择权原则。四是严格人脸识别商业性技术应用标准原则。五是明确人脸识别信息的最小化收集、利用和事后删除规则。六是确立鼓励技术创新原则。四、优化人脸识别信息保护的程序性规范对人脸信息受侵权人的救济，除了通过实体规则确立其相应权利之外，还要通过程序法的规定确立或优化其权利的实现路径。优化人脸识别信息保护的程序规则，可以通过确立人脸信息

46、侵权行为的举证责任倒置规则、建立人脸信息侵权行为的集团诉讼机制和完善司法救济机制等方式实现自然人人脸识别信息权益保护。（一）人脸识别信息保护侵权纠纷的举证责任倒置传统的侵权责任认定，需要对侵权行为、损害事实、因果关系、主观过错等要件进行认定，而人脸信息的侵权呈现出如下特点：一是侵权行为的强技术性；二是侵害发生的环节多样；三是侵权发生的时空增大；四是侵权的客体包括精神性人格权和财产性人格权。由于人脸信息侵权行为的上述特征，受侵权人作为人脸识别技术应用的被动接受方，其所有的信息都受制于人脸识别技术使用方，受侵权人的举证责任能力严重不足，导致权利保护严重缺失。例如，花季少女徐某不堪“人肉搜索”而自杀

47、身亡，28大学生徐玉玉因其个人信息被转卖后遭到电信诈骗不堪承受自杀身亡。29这些案例表明，如果按照普通侵权责任认定方式，受害人显然无法获得有效救济。我国学者曾提出针对个人信息的侵权行为采取过错推定原则。30最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定 第 6 条规定，信息处理者主张其行为符合“合法、正当、必要原则”的，应当就此承担举证责任；信息处理者主张其不承担民事责任的，应当就其行为的免责情形承担举证责任。31这可以被认为是通过司法解释的方式明确了人脸信息侵权行为责任的过错推定与举证责任倒置原则。个人信息保护法 第 69 条更是明确规定了个人信息处理者的

48、举证责任及其赔偿的依据，该规定应当在人脸识别信息保护规范中予以明确和细化。总之，由于侵权行为的过错责任原则无法有效适用于人脸识别侵权所产生的损害救济，人脸识别信息权益诉讼程序采取举证责任倒置原则，有利于震慑人脸识别使用方，避免或减少人脸识别信息侵权行为发生。当然，人脸识别技术应用方具备法定免责事由的，则可以不承担相应的民事责任。32（二）人脸识别信息保护侵权案件的集团诉讼利用人脸识别实施的侵权行为，一般会涉及庞大群体，如 Google、Facebook 的侵权行为所涉及的人达数百万乃至数亿。对于此类性质相同、人员众多的侵权行为，适合通过集团诉讼制度解决，即在一个起诉的情况下，其他众多受侵害人不

49、需要起诉就能自动获取原告诉讼主体资格，一旦胜诉后，所有人都可以获得相应的赔偿或补偿。受害公众中的“一人起诉，人人原告”的集团诉讼，对侵权人来28 参见黄立靖：“广东人肉搜索第一案”终审宣判，载 人民法院报 2014 年 9 月 7 日，第 1 版。29 参见山东省临沂市中级人民法院（2017）鲁 13 刑初 26 号刑事判决书。30 参见叶名怡：个人信息的侵权法保护，载 法学研究 2018 年第 4 期，第 83-102 页。31 最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定 第 6 条第 3、4 款。32 最高人民法院关于审理使用人脸识别技术处理个人信息

50、相关民事案件适用法律若干问题的规定 第 5 条。华东政法大学学报2023 年第 2 期78说无疑是巨大威慑，可以迫使人脸识别使用方遵守法律规范。我国 民事诉讼法 第 53 条、第 54 条规定了人数不确定的代表人诉讼制度，但这一代表人诉讼，必须是参诉人员先有明确的意思表示并成为原告之后，由参加诉讼的成员推选代表人，再由代表人完成诉讼。也就是说，所有参诉人员的原告主体资格不是自动获得的。然而人脸识别侵权纠纷的集团诉讼应当采取的是自动获得原告主体资格的制度，即“只要不明确退出，就视为加入”，与代表人诉讼制度中的“只要不明确加入，就视为放弃”的诉讼效果明显不同。在人脸识别技术飞速发展并可能造成大规模