摘要：随着信息技术的不断发展，人脸识别技术在各行各业得到了普遍的应用，从普通的门禁技术到金融业的各种移动支付技术，当前人脸识别技术几乎无处不在，由此也导致了人脸信息领域出现了各种各样的违法案例。基于此，本文对人脸识别信息数据的认定、民法保护相关问题及依法保护人脸信息数据三个方面，展开了深入分析并提出了保护建议。

　　关键词：人脸识别；人脸数据；信息安全；法律保护

　　随着互联网技术的飞速发展，人脸识别技术在我们的日常生活中得到了越来越普遍的应用，几乎是触手可及，从最普通的小区门禁到“智慧城市”，小到手机安全开机，大到各类金融业的移动支付，人脸识别技术几乎无处不在。人脸识别技术因操作简单方便，也成为金融系统或者信息安全领域的身份识别，提供了最新的信息技术手段。但是，由于解密信息必须具有高度的可信性和绝对的可靠性，而人脸识别技术由于还处于初步阶段，与更可靠的瞳孔识别技术还有一段距离，从网络安全角度考虑是否为可靠的安全验证方式还存在争议，随着人脸识别技术的广泛推行，与人脸识别技术相关的违法违规等犯罪行为层出不穷，有些违法分子违规收集人脸信息或者利用人脸信息从事犯罪活动也如春笋般涌现，甚至有些知名企业如某马公司等，在未经过被采集者同意下私自收集人脸信息的事件时有曝光。可见，针对越来越盛行的人脸识别信息服务制定相关的法律规制迫在眉睫。

　　一、人脸信息数据的法律认定

　　《2020年人脸识别行业研究报告》指出：人脸识别是一种基于人的面部特征信息进行身份识别的生物特征设备技术。顾名思义，人脸识别技术是通过计算机网络依靠光学硬件等技术对人的面部特征进行数字化采集、分析、储存以及比对，借此来界定和识别对象的身份。通常由两个环节组成，一是依靠硬件设备采集和传输识别对象脸部的原始图像，进行数字化的储存，简单来说就是拍几张或者数张脸部各个角度的数码照片；二是依靠特定的人脸信息数据算法将采集的人脸图像进行信息技术处理，也就是依靠一定的生成程序将数码照片信息转换成具有个性特征的数字信息。毫无疑问，人脸信息是个体的敏感信息，是受法律保护的信息。《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）也明确了人脸信息可以识别自然人的身份［1］。相反，若是将人脸信息进行遮挡、模糊等处理，就不可识别身份，不会成为可识别信息。目前普遍认为，人脸识别技术是在大数据、人工智能等现代信息和光学处理技术基础上获取的与自然人脸部生理特征契合，并且可以借此确认自然人个体数据或者身份的手段，也被称为“数字人权”，具有鲜明的个人身份特征，是唯一和排他的。正因为人脸识别技术在金融领域特别是移动支付中广泛得到应用，因此倘若人脸信息相关数据管理不善，一旦被泄露或者盗用的情况下，就可能会危害个体的财产和金融安全。但是按照《中华人民共和国民法典》（以下简称《民法典》）有关人格权、隐私权的相关规定，目前还是没有明确将人脸识别信息归类于私密信息，这是因为私密信息通常在客观上具有典型的私密性，而每一个个体并不是戴着面具生活，脸部是公开或者裸露在大庭广众之下，所以人脸信息并不具备主观上不愿意被他人看到或者知晓的条件。为此，我国《民法典》及《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（以下简称《规定》）从侵权和人格权益方面，对于人脸识别技术处理人脸信息行为的性质和责任进行了明确，其中最为主要的一条是将人脸设备信息进行非法使用是属于明显的侵权行为，进一步强调了人脸信息数据归属于个人合法的私密信息。

　　二、人脸识别信息的民事法律保护问题

　　（一）非法采集人脸信息问题

　　我国《个人信息保护法》明确规定，非法处理个人信息的各类责任主体，根据情节的严重程度，可以采取没收违法所得罚款、暂停相关业务或整顿吊销相关业务、吊销营业执照等处罚，还可以直接以数倍的罚款处罚主管人员和其他责任人员。同时《民法典》又指出，采集个人信息必须要以真实意愿上的同意为准许，或者严格遵循知情同意原则。在采集个人人脸识别信息时，必须要充分告知被采集主体有关人脸识别信息采集使用的相关情况，并且非常明确地得到被采集个人的同意。但在实际生活中，采集主体与被采集者的地位往往是并不平等的，由于采集方或者是平台方往往以提供便利或者是免费的形式提供服务，被采集者显然是享受服务者，因此往往在地位上差别明显，一个处于优势地位，一个处于劣势地位，因此被采集者就很有可能出于享受便利的考量，并非出于完全的自愿态度接受人脸信息采集，这也等同于或者相当于被采集者的同意权和知情权全部或者部分丧失，这显然是违背了法律上单独同意的规则、公开透明原则和禁止强迫原则。

　　当前，我国《个人信息保护法》《民法典》和《规定》都对人脸识别信息采集的公开透明原则进行了表述和强调，明确了人脸识别的目的、方式、行为和范围，并且也赋予被采集者更大的自主权，如要求采集方详细说明人脸信息处理的规则。但从目前流行应用端的程序运行来看，还是不尽如人意的，信息的采集者往往是以字体较小的文字或者并不醒目的方式，或者是以特定例外的形式来说明人脸信息的处理规则。被采集者往往要阅读多达上万字的告知，而且内容的描述非常专业，其法律的术语生涩难懂，涉及被采集者的权益描述和人脸信息处理规则也难以理解或者复杂不明晰。据有关部门对当前热门的手机应用APP进行调查发现，现有人脸识别功能的应用程序中至少有一半没有对人脸识别的隐私条款作出通俗易懂的明示。为此，《个人信息保护法》指出，采集者必须在明确说明采集程序及其处理信息的相关规则的基础上，获得被采集人明确的同意［2］。同时，在《规定》中又指出，采集者在未经被采集人知晓并在同意的情况下，采集或者处理人脸信息是属于典型的侵害自然人人格权益的行为。信息采集者不可以将采集告知以一揽子展示的方式，将人脸识别信息与其他个人信息一并地告知被采集者，必须针对性、差别化地告知被采集者。人脸信息采集的相关同意事项，应该以突出醒目的展示的方式，让被采集者能够一目了然地明白采集信息的相关情况，文字要简单扼要，表达要通俗易懂，要切合普通大众的心理和理解水平，绝不许以批量同意或默认打钩同意的方式，诱导被采集者进行勾选；也不能将被采集者单独同意的选项设定为统一默选。虽然相关部门作出了明确的规定，但在实践中很多应用端仍存有故意规避法律上的单独同意规则的嫌疑。虽然《个人信息保护法》第四条和《规定》第十三条以及《网络交易监督管理办法》第十三条，要求人脸信息采集者不能变相强迫或者强迫个人同意处理人脸数据信息，不能以停止安装、使用程序或者是捆绑授权安装等方式，变相强迫其同意。但纵观当前各类流行的应用程序不难发现，还有很多的采集协议中都有“霸王条款”，若是被采集者不同意就不能使用相应的应用程序，结果还是强迫被采集者接受采集人脸信息。

　　（二）民事损害救济问题

　　随着人脸识别应用的大量普及，相关人脸信息采集的民事损害的案例也层出不穷。如天津“人脸识别第一案”，“你不准刷我的脸——顾某诉讼天津某基经贸中心”案件，之后，《杭州市物业管理条例（修订草案）》（修改稿），明确规定了“不得强制业主通过指纹、人脸识别等生物信息方式进入物业管理区域、公共通行区域或者使用共用设施设备”。由于当前的法律对于人脸信息的保护还是起步摸索之中，作为一个新兴事物，相对其他领域的案例，人脸信息领域案例积累还不够，为此，最高人民法院于2021年6月颁布《规定》，要求物业公司不得将人脸识别作为唯一的通信验证方式。

　　《中华人民共和国民事诉讼法》（以下简称《民事诉讼法》）作为当前人脸信息采集使用过程中被损害利益的当事人最为可靠的救济方式之一［3］，其中的规制效果还有待商榷，特别在处理人脸信息相关的案例方面，这是因为按照《民事诉讼法》的规定，侵权责任首先要有其明确的构成要件，人脸信息损害案例中当事人要获得救济，其必须要有存在损害的事实为前提，由于侵犯人脸信息通常不会带来实体上的人身损害，也就是通常意义上非实害说的观点。而《中华人民共和国刑法》（以下简称《刑法》）也将人脸信息的侵权和侵犯个人信息罪定性为情节犯罪，其侵权最为直接的表现是人脸信息可能被泄露的风险，或者是自然人担心自身人脸识别信息被泄露的忧虑，在上述的天津市“人脸识别第一案”中，顾某将物业公司起诉到法院，要求物业在公共区域提供其他能接受的通行验证方式，并要求彻底清除此前物业所采集的人脸信息，此案获得了天津市中院的胜诉判决。可见，即使人脸识别信息可能被侵权的风险甚至给当事人带来实际的损害，也难以对人脸信息处理者或者平台方进行十分明确的责任界定，这就导致私益诉讼成本大幅增加。同时，信息采集者利用互联网平台及信息处理技术对被采集人的人脸进行数字化信息处理的能力越来越强，这就导致平台企业与个体地位越发不平等，民事责任的救济难以有效发挥。加上人脸识别技术具有网络化、数字化、专业化特征，被采集的主体由于地位弱小，难以提取到采集者在采集或者使用人脸识别数据中存在的侵权行为，哪怕是用责任推定原则，作为普通的被采集人，往往因不具备相关的专业知识，根本谈不上对采集者的信息处理机制进行调查，而对于采集者所伸张的已经遵守合理注意的责任，被采集者也难以对此做出有力的反证。

　　三、依法加强人脸信息保护

　　（一）完善法律法规

　　目前国外立法者还是将人脸识别技术视为不成熟的技术，有的地区将之列入高风险应用，在美国波士顿等众多城市明确禁止使用。随着我国的人脸识别技术普及应用，也制定了《个人信息保护法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》等相关法规，对人脸识别信息采集处理应用等方面违法情节的认定标准日趋明确，但是技术更迭日新月异，随着数字化、信息化技术手段的不断发展，相应的违法情节的认定手段也要与时俱进。例如涉及民事法律保护问题，针对以上论述的因地位不平等等原因导致的变相强迫，或者是诱惑同意采集人脸信息问题，以及被采集者往往处于弱势对于人脸识别技术难以举证的这一困境，其核心是被采集者人的私益诉讼能力偏弱。那么，可以重点考虑推动民事公益诉讼的发展，督促相关公务机关或司法组织以及检察机关，提升人脸识别被采集者的民事诉讼能力，提高其地位，使得法律规定的同意原则真正得到体现和落实，明示不同意采集人脸信息也可作为提供便捷免费服务的要件。同时，被采集者应该提高自己的法律意识，明白个人的信息包括人脸信息在内不是享受免费服务的交换砝码，必须做到自身意愿上的同意后享受服务。此外，在解决民事损害难以认定的问题方面，首先要在法律上对于人脸信息采集受到侵犯的各种情形进行非常明确的界定，针对当前人脸信息被侵犯案例中涉及实际损害远远小于权益损害的事实，对于侵犯人脸信息造成的实际的损害，包括名誉财产的损失或是侵犯被采集人涵盖其他的权益在内的各种损害行为进行明确规定。同时，建议对于个人敏感信息包括人脸信息之类给予更有力的保护，并且在《刑法》上将侵犯个人信息犯罪中的非结果犯调整为情节犯，由于《刑法》对结果犯并没有进行十分明确的规定，所以，在民事法律上就不需要采纳实际损害这一说法为要件，但在《刑法》上可以考虑将侵犯人脸信息的犯罪标准降低，以增强对违规使用人脸识别技术、侵害人脸识别信息的行为的威慑力。

　　（二）建设配套制度和增加救济渠道

　　随着信息技术的进一步发展，包括人脸识别信息在内的个人信息逐渐数字化、规模化、系统化。由于人脸识别信息基于人类人脸信息算法处理机制存在，只有依靠这个机制，才能为人脸信息处理提供全流程的服务。一旦这算法出现差错，就必然会导致人脸信息相关数据的损害，国家互联网信息办公室、中央宣传部等九部委也印发了《关于加强互联网信息服务算法综合治理的指导意见》，对于包括人脸信息在内的个人信息规范及治理进行了描述［1］，要求对于人脸信息采集的相应算法进行风险评估和备案，从而在源头上进行风险控制。同时，针对人脸信息损害的救济渠道不够多的问题，采集方若是违法使用人脸识别技术或者是人脸信息可能会损害到第三方利益甚至是公众利益，由于被侵权人缺乏举证能力，私益诉讼维权难，拓展公益诉讼渠道势在必行。公益诉讼制度往往是以公共利益为其诉讼对象，最高人民检察院2020年9月印发的《关于积极拓展稳妥拓展公益诉讼案件范围的指导意见》也强调，将公益诉讼案件的范围加以拓展，因此，可以将公益诉讼范围扩大到包括个人信息涵盖人脸识别信息在内的个人信息保护，以达到对人脸识别信息提供更有力、更全面的法律保护和救济。

参考文献

　　［1］沈磊，邢恩铭．人脸识别技术引发的个人信息保护问题研究［J］．牡丹江大学学报，2023，32（1）：37-41，59.

　　［2］涂萌，谭诗悦．论人脸识别技术应用的隐私安全风险与法律规制［J］．重庆理工大学学报（社会科学），2022，36（7）：148-155.

　　［3］张涛．人脸识别技术在政府治理中的应用风险及其法律控制［J］．河南社会科学，2021，29（10）：44-55.

　　［4］荣予畅．人格权视角下人脸识别信息保护研究［D］．北京：中国人民公安大学，2022.