我國人臉識別侵權責任制度的解釋論

張華韜

（西南政法大學 民商法學院，重慶 401120）

由于目前人臉識別技術的廣泛使用，大量服務者隨意收集使用消費者的人臉識別信息，已經構成了事實上的濫用，引起了全社會廣泛關注，也使得有關侵權責任的承擔成為廣泛討論的熱點話題[1]。針對現有情況，《中華人民共和國民法典》（以下簡稱《民法典》）對于個人信息保護提綱挈領地進行了規定，而從2021年8月1日起開始施行的《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》（法釋〔2021〕15號，以下簡稱《使用人臉識別技術的適用規定》）則專門針對人臉識別技術濫用進行了具體規范。總體來看，目前關于人臉識別系統的規范均側重于人格權益保護，對于兼具產品與服務性質的人臉識別系統侵權則規制不足，亟須厘清解釋。

針對人臉識別技術運用中存在的侵權問題，學界已進行積極探討并提出了系列對策。例如，由于生物識別信息損害后果具有嚴重性和不可逆轉性，應當作為特殊的個人信息予以保護[2]；應當結合已有案例與《民法典》相關規定實現對個人信息的有效法律保護[3]；應當對于利用人臉識別侵害個人生物識別信息的行為采取預防優先的態度，調整侵權責任構成標準，減少信息權人的證明責任，降低受害者的受償難度[4]。但是，現有研究嚴重局限于個人信息保護領域，缺乏對人臉識別侵權責任整體的研究，在研究理論上側重于人格權益保護，輕視侵權責任承擔的解釋分析；在研究實施中側重于具體政策的建議，缺乏對于人臉識別侵權理論的總體構建。

因此，本文基于現有研究成果，全方位分析人臉識別侵權責任風險，從而界定侵權責任主體，明確侵權責任類型，對人臉識別侵權責任適用前提、構成要件與承擔方式等方面提出可行性建議，達到促進先進科技發展與保障受害者權益的平衡。

一、我國人臉識別法律規制的現狀與侵權責任風險

（一）我國人臉識別技術發展的現狀

人臉識別技術是指給定某一靜止或動態圖像，利用已有的人臉數據庫來比對確認圖像中一個或多個人的技術[5]。目前最廣泛使用的人臉識別技術系統由人臉檢測、人臉特征點估計、人臉編碼、人臉匹配四步組成[6]。

通過對目前通行的人臉識別技術進行分析，可以發現人臉識別技術具有以下特征：一是簡易性，目前的人臉識別技術關注技術的可行性與易實現性，人臉識別擁有識別手段簡易與實現方式簡易的特征，對設備性能的要求較低；二是間接性，人臉識別技術實際比較的是依據人臉識別信息產生的如梯度直方圖、特征點分布等數據[7]；三是自學習性，人臉識別系統的運用得益于通過大數據進行自學習系統的構建，直到機器自學習階段完成，人臉識別技術才真正得以實現[8]；四是可訓練性，大量使用大數據自學習的人工智能技術通過訓練培訓出符合運營者要求的人臉識別系統。

人臉識別既帶來了人臉識別系統有別于其他身份鑒定方式的優勢，又帶來了相應的風險，需要合理利用其優勢，同時規避防范其風險。

（二）我國人臉識別法律規制的現狀

《民法典》第1034條第1款明確規定“自然人的個人信息受法律保護”，第2款則明確規定“生物識別信息”屬于個人信息的范圍。根據《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）第76條第5款的規定，“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息”，包括“個人生物識別信息”。《民法典》與《網絡安全法》已經將生物識別信息納入個人信息保護范疇，提供了生物信息保護的原則，但是缺乏對于生物信息數據區別于其他數據保護的特別規定，對于人臉識別技術涉及的特殊風險防范，更沒有與之配套的法律法規。現有關于人臉識別技術運用的規制主要依靠技術規范、標準與要求。在防止個人信息濫用領域，2021年7月28日，最高人民法院發布《使用人臉識別技術的適用規定》，進一步明確規定人臉識別信息屬于《民法典》所規定的“生物識別信息”，同時規定了屬于侵害自然人人格權益的人臉識別技術運用情形。在信息安全領域，2020年由國家市場監督管理總局、國家標準化管理委員會發布的《信息安全技術個人信息安全規范》正式實施，確定了面部識別特征屬于個人生物識別信息類別，并對收集、儲存、使用、委托、安全事件處置、安全管理要求等方面作出了規范。在金融領域，2020年由中國人民銀行頒布的《個人金融信息保護技術規范》則將“用于用戶鑒別的個人生物識別信息”列為最為敏感的個人金融信息。2020年11月，國家市場監督管理總局與國家標準化委員會頒布的《信息安全技術遠程人臉識別系統技術要求》正式施行，是全國首個使用人臉識別技術進行身份認證的國家安全標準，在人臉識別技術法律規制方面具有開創性的意義。

但是，相應規制主要存在以下四個問題：第一，由于數據處理具有普遍性、技術性、復雜性與即時性的特征，數據治理存在軟法規制的空間[9]，但作為技術規范、技術要求等“軟法”缺乏強制力，亦缺乏處罰條款，難以嚴格約束侵害信息安全的行為。第二，相應的技術規范、技術要求主要是針對人臉識別技術運用的特定領域，對于已經廣泛使用的個人生物信息識別技術缺乏宏觀規范與限制。第三，有關技術規范、技術要求主要是針對生物識別信息這一總體概念設定，或者聚焦在人臉識別的技術規范層面，沒有特別針對人臉識別技術的特征及由此產生的風險進行規制。第四，《使用人臉識別技術的適用規定》主要針對自然人人格權益進行保護，涉及的侵權責任也局限于自然人人格權益及其衍生的財產權益，對于人臉識別系統這種兼具產品與服務雙重性質的智能系統的侵權責任法律制度構建，缺乏有針對性的規定。由于人臉識別的技術特征以及由此產生的有別于其他生物數據識別信息的巨大收益和相應風險，僅憑現有規范難以有效確保行業穩定有序發展，難以確實保護使用者的權益。

（三）我國人臉識別的侵權責任風險

人臉識別技術擁有簡易性、間接性、自學習性與可訓練性的特點，使其擁有低成本、快速便捷、精確的優勢，為人臉識別系統廣泛使用提供了良好的基礎。但人臉識別技術的上述特點在給其帶來巨大優勢的同時，在實際運用中也面臨著相應的技術缺陷挑戰，新興產業的勃興必然會伴隨著較舊有產業更多的風險[10]。由于人臉識別系統本質上是基于人工智能系統構建的識別程序，其固有的技術缺陷仍然會帶來額外的侵權責任法律風險，對此必須予以防范注意。將人臉識別的侵權責任納入法律規制中，對于我國身份識別市場整體的發展有巨大的作用。

第一，人臉識別系統本身的侵權風險。人臉識別程序作為一種算法，其本身就面臨著先天設定不足的風險。一是人臉識別作為一種識別途徑本身固有缺陷，人類面部較指紋、虹膜等生物特征少，變化的復雜程度不足，會影響其精度。二是系統本身先天設置缺陷導致系統無法正常運作的風險，目前廣泛運用的人臉識別技術還停留在靜態二維照片識別的范圍內，而人臉是三維的動態，與二維圖片有本質上的區別。三是后天學習能力有限導致無法及時響應的風險，人臉會隨著年齡增長而呈現十分明顯的變化，如果不能及時更新算法升級系統，就會出現無法及時響應面部特征變化的風險。此外，人臉識別系統還面臨著遭到黑客攻擊或網絡故障導致的中斷癱瘓等網絡安全風險問題。

第二，人臉識別系統運行中的侵權風險。到目前為止，最為突出的風險是運營商與識別者濫用人臉識別技術的風險。由于人臉識別特有的快捷性、廣泛性特征，不需要專業設備即可利用；由于目前對于人臉識別系統的使用缺乏規制，大量服務者隨意收集使用消費者的人臉識別信息，已經構成了事實上的濫用，不能夠簡單地使用個人信息的“自主處理權”進行解釋。同時，由于人臉識別技術的濫用，數據收集環境與信息采集終端的安全性難以得到保障。此外，也有操作人員因為操作不當導致系統運行錯誤而產生的風險。

第三，侵害接受者隱私的侵權風險。為了人臉識別系統的運作，必須對接受者面部識別信息進行精確構建，其產生的數據為接受者獨有的生物識別信息數據。生物識別信息數據與一般個人信息有所不同，一般個人信息可以依要求進行修改，而生物識別信息難以修改，且導致其泄露與濫用的后果尤其嚴重。同時，人臉識別數據的分類并不明確，《信息安全技術個人信息安全規范》的定義為面部識別特征。由于人臉識別技術間接性的性質，人臉識別所使用的梯度直方圖、人臉特征點分布、人臉編碼測量值陣列等方法，均為經過系統處理過的數據，與直接輸入識別信息的指紋識別不同。此外，如果運營商人臉識別系統的保密性出現問題，也有數據泄露的風險。

人臉識別系統作為一個新興產業，有針對性的法律規制欠缺，接受者不僅面臨著運營商利用優勢地位濫用人臉識別技術的風險，還有對自身合法權益的侵害，超出了協議保護的范圍，急需有針對性的法律保護。因此，本文將從人臉識別的基本法律關系出發，深入研究人臉識別的侵權責任。

二、我國人臉識別侵權責任主體的特殊性

由于人臉識別采用了大量的人工智能技術，對于其主體性的討論也是必要的，必須在明確人工智能是否有主體地位的基礎上進一步明確人臉識別侵權責任的主體。同時，要研究我國人臉識別的侵權責任承擔問題，在主體明確之后必須找出人臉識別的主要相關方，從而明晰我國人臉識別商業模式中存在的法律關系，為侵權責任的承擔與分配提供依據。

（一）我國人臉信息處理中的特殊法律關系

目前人臉識別商業模式呈現系統開發、系統運營與實際使用分離的情況，主要包括提供人臉識別產品與提供人臉識別產品服務兩大部分，并由此派生出對應的法律關系。

第一，提供人臉識別產品產生的法律關系。依照國務院《計算機軟件保護條例》第11條的規定，接受委托開發的軟件系統著作權歸屬問題，有約定的從約定，無約定的屬于受托人，該規定厘清了人臉識別系統的知識產權歸屬。開發軟件系統者接受委托開發相應軟件系統用于人臉識別的商業運作屬于委托關系，標的物是人臉識別系統產品，屬于《計算機軟件保護條例》第3條規定的計算機程序。開發軟件系統者不僅應當承擔合同義務，還應當承擔一部分后合同義務，包括人員培訓、系統調試、技術指導、系統維護等。同時，我國人臉識別系統在實際運營中也存在人臉識別系統開發者將所開發的人臉識別系統自用以提供人臉識別服務的情況，這就需要提供人臉識別服務的人臉識別系統開發者對顧客承擔相應的責任。

第二，提供人臉識別產品服務產生的法律關系。由于我國人臉識別終端呈現出分散化的特征，提供人臉識別產品服務流程通常分為兩段——自系統運營者至識別終端，以及識別終端至被識別者。購買人臉識別服務的識別終端在購買服務之前必須同意一個或數個服務協議以明確產品操作流程、雙方權利義務、糾紛解決機制等事項，服務協議的標的是明確的人臉識別服務，服務協議的內容包括運營商應識別終端要求提供人臉識別服務，符合委托合同的法律定義，從性質上而言，應當納入委托合同的范疇。對于接受人臉識別終端提供人臉識別服務的被識別者而言，其與人臉識別終端仍然是委托關系，大眾委托人臉識別終端對其面部識別信息進行識別與收集，再使用其結果用于人臉識別服務。但是與人臉識別系統開發商不同的是，識別者與接受者之間的委托關系使用的是服務而非產品。同樣，我國人臉識別系統也存在系統運營者兼營人臉識別終端的情況，需要兼顧人臉識別終端角色的運營商對顧客承擔相應的責任。

（二）我國人臉識別服務的侵權主體界定

通過對提供人臉識別產品產生的法律關系進行分析，可以界定出開發人臉識別產品的委托者與受托者，對應到人臉識別服務商業體系中，委托者為人臉識別系統運營商（以下簡稱“運營商”），受托者為人臉識別系統開發商（以下簡稱“開發商”）。通過對提供人臉識別產品服務產生的法律關系的分析，可以界定出提供人臉識別產品服務的委托者與受托者，委托者為人臉識別系統使用者，受托者為人臉識別系統運營商。同時在使用人臉識別系統的過程中，又產生了對應的委托關系，被識別者委托人臉識別終端提供人臉識別服務，委托者為使用系統進行人臉識別者（以下簡稱“識別者”），受托者為接受系統進行人臉識別者（以下簡稱“接受者”）。

侵權行為的法律結構邏輯，必須以行為為起點，以責任為歸屬，責任為侵權行為的法律結果[11]。從邏輯上分析，因為受托者提供的產品與服務出現瑕疵導致的侵權責任應當由受托者承擔；在產品責任中為生產者與銷售者，在服務導致的侵權責任中，應當為服務提供者。因此，對于提供人臉識別產品產生的侵權責任，侵權主體應當為開發商；對于提供人臉識別產品服務產生的侵權責任而言，侵權主體應當為運營商。在使用人臉識別系統的過程中產生的侵權責任，侵權主體應當為識別者。

需要注意的是，關于人工智能產品侵權民事主體的法律地位，可以參考《民法典》第2條的規定：“民法調整平等主體的自然人、法人和非法人組織之間的人身關系和財產關系。”目前普遍認為，人工智能還處于高級函數階段，僅僅是一種為運營商使用的算法工具，是運營商意志的延伸，因此不具備侵權的主動意志，也不具有承擔侵權責任的能力[12]。所以人工智能侵權仍然僅僅是侵權行為的表象，實際上是具有安全注意義務的民事主體因為故意或過失未履行義務而導致的侵權危險。

三、我國人臉識別侵權責任的類型

要分析我國人臉識別的侵權責任，必須從我國人臉識別系統的法律關系出發。系統開發商與運營商的法律關系應當歸結于人臉識別系統自身的質量問題，由于設計失誤而導致人臉識別系統無法達到預定的目標，從而侵害使用者的合法權益。運營商與識別者間的法律關系應當歸結于人臉識別系統的運營問題，即侵權責任不是人臉識別系統本身的質量問題導致的，而是運營商在使用該系統為識別者提供服務時，因過失或故意產生的侵害消費者合法權益的行為。識別者與接受者之間的法律關系也應當歸為人臉識別系統的運營問題，由于人臉識別數據的現場采集、儲存實際上是人臉識別實現的一環，人臉識別數據的現場采集、儲存當然是人臉識別系統服務的一部分。因此，本文將從人臉識別的特殊法律關系出發，將侵權責任分為人臉識別系統本身導致的侵權責任與人臉識別系統運營導致的侵權責任。

（一）人臉識別系統本身導致的侵權責任

分析人臉識別系統本身的侵權責任，必須落腳在人臉識別系統本身上，對于運營商而言，人臉識別系統是一種由開發商提供的產品，因此，人臉識別系統本身的侵權責任應適用人工智能產品的侵權責任承擔原則。同時，由于人工智能產品的侵權主體仍然是有安全注意義務的民事主體，研究人工智能產品侵權責任必須從產品的侵權責任出發，在《民法典》侵權責任編、《中華人民共和國產品質量法》（以下簡稱《產品質量法》）與《中華人民共和國消費者權益保護法》（以下簡稱《消費者權益保護法》）中均有明文規定。

《民法典》侵權責任編對“產品責任”有十分明確完備的規定。同時，《產品質量法》第3章“生產者、銷售者的產品質量責任和義務”以及第4章“損害賠償”均為關于產品責任的規定；《消費者權益保護法》第3章“經營者的義務”、第6章“爭議的解決”、第7章“法律責任”等也部分涉及產品責任。此外，最高人民法院有關司法解釋以及對某些產品責任案件適用法律的意見，也構成我國產品責任法律制度的重要組成部分。產品侵權責任是一種特殊侵權責任，其特殊性主要表現在歸責原則的適用方面。普通侵權責任適用過錯責任原則，而作為特殊侵權責任的產品責任，大多適用無過錯責任原則，受害人無須證明加害人有無過錯，而只需要證明產品的缺陷、損害、因果關系。采取無過錯責任原則，不論該行為人是否具有過錯，如不存在法定免責事由，都應當承擔侵權責任。

《民法典》第1203條明確規定，對于缺陷產品，生產者、銷售者承擔的是無過錯責任。因此人工智能產品責任以無過錯責任原則作為歸責原則，是因為缺陷產品本身具有致人損害的危險性，當損害發生時，實際上是損害發生危險性的現實化，缺陷產品的生產者和銷售者有義務對這種危險承擔侵權責任。更進一步，由于人工智能產品本身的高度智能化，通常不需要使用者一直控制操作，因此人工智能產品的安全性要求不僅不比普通產品低，甚至要比普通產品更高。

總結而言，為了能夠促使人工智能產品的制造者對人工智能產品的安全性負有高度注意義務，在人工智能產品有關的侵權責任方面，以無過錯責任原則作為歸責原則是比較妥當的。但與此同時，由于人工智能技術的先進性與新穎性，可以適用《產品質量法》第29條規定的生產者三類免責事由：一是未將產品投入流通；二是產品投入流通時，引起損害的缺陷尚不存在；三是將產品投入流通時的科學技術水平尚不能發現缺陷的存在。由于人臉識別系統使用的人工智能技術是新興技術，會出現大量以目前的科技水平難以預料的意外情況，為了促進人工智能技術的發展，應當靈活適用三類免責條款，作為承擔產品侵權責任的重要補充。

（二）人臉識別系統運營導致的侵權責任

在明確了歸責于人臉識別系統本身的侵權責任后，對于人臉識別系統運營導致的侵權責任，必須回歸到身份識別的本質即服務上。服務是一種廣義的“特殊產品”，根據第六版《辭海》的定義，服務是“一方向另一方提供的非實物生產的經濟活動”，主要包括服務行業提供的各種服務，也包括與實體產品相配合的服務。服務侵權責任則是由提供服務缺陷導致的損害責任，通常界定為：“服務的提供者因服務質量存在缺陷，致使他人人身或財產遭受損害而應承擔的損害賠償責任”[13]。服務侵權責任與產品侵權責任十分相似，本質均為特殊的民事侵權責任，但是服務侵權責任同時又有其獨特性。

雖然服務是一種廣義的產品，但是同時也與實體產品有區別：第一，服務是由消費者直接參與生產，生產與消費同時進行的經濟活動。服務的生產與消費在實踐與空間上都高度統一，其過程無法儲存。因此，服務的提供必須有消費者的直接參與，如常見的休閑活動、餐飲服務、金融服務、文娛體驗等，都必須由消費者直接參與。第二，服務生產的是無形產品。與一般制造業生產的產品不同，服務生產的結果是無形的無實體產品，表現形式為信息傳遞、體驗、移動、學習、醫療、金融保險等。在服務結束后消費者離去，不會帶走有形產品。第三，服務業與制造業有區別。服務的提供者主要是從事運輸、商務、金融、旅游、醫療、餐飲、住宿等服務的商事主體，其經營方式與經營內容與制造業企業有本質區別。

針對使用者的人臉識別服務屬于服務領域而非有形產品，與此相對應，人臉識別系統則是有形產品。第一，人臉識別的生產與消費同時進行。人臉識別系統直接通過人臉圖片提取特征點給出是否通過身份驗證的結論，之前沒有預備生產的過程，之后也沒有繼續生產的過程，身份驗證結論的提出與顧客的消費是同時進行的。第二，人臉識別提供的是“無形產品”。人臉識別是針對生物數據的身份驗證行為，并非看得見摸得著實實在在存在的物品。第三，人臉識別經營模式運用的身份識別領域是第三產業，亦即服務業的范疇，從大范圍來看，人臉識別屬于服務。由此可知，對于使用者而言，人臉識別屬于服務領域。

服務侵權責任與產品侵權責任存在十分明顯的競合性，這是由服務業本身的特點決定的。因為服務的提供與接受在時空上存在同一性，服務合同通過履行實現，合同履行后，合同目標得以實現，服務侵權與服務合同的履行高度重合，從而使違約責任和侵權責任互相融合。因此，服務侵權不能適用與產品質量侵權完全相同的規則，我國《產品質量法》所稱的“產品”并不滿足“服務”的定義，服務侵權的被侵權人不能依據《產品質量法》尋求救濟，只能依據《消費者權益保護法》保障自身合法權益。

有研究認為，應當采取與產品侵權相當的無過錯責任原則，同時在每一個服務行業均制定相應的行業性法律，根據自身的發展和特殊需要，確定各服務行業的發展目標和侵權責任承擔制度，最大限度地實現保護與發展相結合[14]。也有研究指出，應當參照已經存在的涉及服務的立法或者司法解釋，如最高人民法院在2001年12月21日公布的《關于民事訴訟證據的若干規定》規定，對醫療行為所產生的侵權訴訟，由醫療機構就醫療行為與損害之間不存在因果關系及不存在醫療過錯承擔舉證責任。1996年3月1日起施行的《中華人民共和國民用航空法》第127條也采用了該項原則。本文認為，借鑒已有的服務侵權責任專法，采用過錯責任原則推定其有過錯是較為合適的。

由于服務與產品存在明顯差異，適用產品侵權責任并不合適。對于人臉識別系統運營導致的侵權責任，應當借鑒已有服務侵權責任立法，服務質量侵權責任應實行過錯責任原則推定其有過錯。

四、我國人臉識別侵權責任制度適用的厘清

人臉識別作為一種新興的服務形態，兼具人工智能產品與服務的特點，其侵權責任界定應當更加有別于普通的身份識別服務。由于人臉識別是人工智能技術這一新領域中產生的一個新區塊，其服務的特征也與一般人工智能產品存在相當大的區別。與已經引起廣泛關注的人工智能產品侵權責任研究相比，國內關于人臉識別相關法律規制的關注相對滯后，針對人臉識別系統的侵權責任的相關研究更是十分粗糙。因人臉識別操作系統的應用而造成他人損害時，侵權責任該如何承擔，目前學界對此并沒有統一認識，我國也沒有相關的法律規定，急需加以厘清。結合人工智能產品侵權責任分析的相關研究，人臉識別的侵權責任應當在考慮服務侵權責任的基礎上加入人工智能產品的特點。所以，人臉識別侵權責任應當實行過錯責任原則推定其有過錯，同時考慮到針對新技術運用的免責條款。

（一）人臉識別侵權責任的適用前提

第一，明確侵權責任承擔者。關于人臉識別的侵權主體，應當從已有研究出發，結合人臉識別的相關特點進行認定。之前的研究已經證明了人工智能不能成為民事主體，也不能成為侵權責任的責任主體，使用人工智能技術的人臉識別操作系統也無法成為責任主體。要確定人臉識別的侵權主體，必須明確人臉識別的主要相關方是人臉識別系統運營商、人臉識別系統開發商、人臉識別系統使用者，使用者又分為識別者與接受者。同時，關注人臉識別系統侵權責任的最重要目的是保護使用者的合法權益，人臉識別系統的接受者是受到保護的對象，在現實中也沒有對應的利用接受人臉識別服務而侵害他人權益的情形，應當排除在侵權責任承擔者之外。因此，將人臉識別系統侵權責任承擔者選取為人臉識別系統開發商、人臉識別系統運營商與人臉識別系統使用者中的識別者，是科學合理的，也符合通常的法律認知邏輯。

第二，在侵權主體明確之后，對于侵權責任承擔邏輯的構建，有兩個原則需要厘清。首先是要明確侵權責任的歸責邏輯。如前文所述，人臉識別系統致人損害的原因，要么是人臉識別系統本身在設計、構建環節上存在質量問題，要么是人臉識別系統在使用和管理中存在問題，兩種情形有不同的歸責邏輯，人臉識別侵權責任的承擔必須遵照這兩種歸責邏輯。其次是要明確侵權責任發生的情形。由于在人臉識別系統的構建與運營中，運營商是開發商提供的產品與服務的接受者，識別者是運營商提供的產品與服務的接受者，兩者在一些情形下又是被侵權人。在侵權主體同時兼有侵權人與被侵權人兩個屬性的情況下，如果單從主體出發進行討論，會有混淆的情況出現。要明確人臉識別侵權責任的承擔方式，需要從運營商與開發商之間的法律關系、運營商與識別者之間的法律關系、識別者與接受者之間的法律關系出發，分別考察人臉識別侵權責任發生的情形——人臉識別系統硬件問題、人臉識別服務問題、識別者服務問題。

第三，人臉識別侵權責任的構成要件。首先，必須造成了損害。由于人臉識別服務的身份識別服務屬性，作為人臉識別侵權責任構成要件的傷害，可以兼具財產與人身傷害，但必須是直接和人臉識別系統相關的傷害，影響范圍和行為的目的、方式、后果必須具有同質性[15]。需要說明的是，針對濫用人臉識別技術侵害自然人人格權益的問題，人臉識別信息處理者濫用技術未經被識別者同意處理人臉信息的行為本身，即是對個人信息的惡意竊取與違規使用，構成了對被識別者人格權益的損害[16]。因為人臉識別系統中同時存在多個委托行為，重點在于明確受到損害的對象。其次，存在因果關系。基于我國的侵權責任因果關系理論，因果關系必須具有聯系性、客觀性、時間順序性、必然性與多樣性[17]。損害應當是由于人臉識別系統的應用引起的，由于人臉識別系統自身問題或者操作不當帶來了對應的風險，該風險現實化引發了對被侵權人合法權益的客觀侵害，且在時間與空間上均具有連續性。對于一因多果與一果多因的情況，應當區分主次要原因以決定行為人的責任承擔份額。最后，不滿足相關免責條款。人臉識別操作系統侵權責任應該發生在該產品已經實際投入使用，進入到服務領域的情形；若尚未進入廣泛的流通領域時發生損害，則應當適用免責條款，不承擔侵權責任。

（二）人臉識別的侵權責任歸責

目前通行的侵權責任歸責理論主要有過錯責任、公平責任與無過錯責任三種，對于過錯責任則又以舉證責任的歸屬可以推定侵權責任主體有過錯[18]。本文根據人臉識別系統硬件問題、人臉識別服務問題、識別者服務問題三種情形從三個方面進行分析：

1．由人臉識別系統硬件問題導致的歸責

若人臉識別操作系統發生侵權的原因可以確定是因為系統的設計、構建、調試等存在的風險，即人臉識別操作系統本身存在缺陷，則應當參照歸責于人臉識別系統本身問題的侵權責任歸責邏輯。侵權人為系統開發商與系統運營商，同時應當以無過錯責任原則作為歸責原則，只要是產品缺陷引發的侵權責任，都應當由侵權人承擔責任。同時，還需要適用《產品質量法》規定的三類免責條款。

由于存在多個侵權人，應當依照《民法典》第1203條的規定，分配侵權責任，即被侵權人可以向人臉識別系統的開發商與運營商請求賠償；如果是系統開發商過錯導致系統缺陷，負賠償責任的系統運營商有權向系統開發商追償。反之，則負賠償責任的系統開發商可以向運營商追償。結合人臉識別系統現實運用的特點，目前存在開發商與運營商緊密結合，甚至是同一企業的同一部門的情況，則系統運營商應當承擔全部賠償責任。

2．由人臉識別服務問題導致的歸責

如果是因為人臉識別系統的管理、運營存在缺陷而引發風險，導致侵權責任的發生，即人臉識別服務問題導致的侵權責任，則應當參照歸責于人臉識別系統運營問題導致的侵權責任歸責邏輯。侵權人為運營商，以過錯責任原則推定其有過錯，如果運營商無法證明自己在管理運營人臉識別系統中不存在過錯，就應當承擔相應責任。

由于我國缺乏專門針對服務的侵權責任分配立法，對于人臉識別服務問題所導致的侵權責任的歸責，應當參照《民法典》第1165條與第1166條的規定，厘清由人臉識別服務問題導致侵權責任的侵權主體。此種情況只有運營商一個侵權人，侵權責任由運營商獨自承擔。

3．由識別者服務問題導致的歸責

如果侵權責任的發生是由于識別者的服務存在缺陷所致，由于不管是人臉識別服務還是為接受者提供身份驗證的服務都屬于服務的范疇，同樣應當參照人臉識別系統運營問題導致的侵權責任歸責邏輯。侵權人為人臉識別系統運營商與識別者，以過錯責任原則推定其有過錯，在人臉識別運營商與識別者無法證明為接受者提供身份驗證的服務過程沒有過錯時，則應當承擔責任。

同樣，在存在多個侵權人的情況下，應當有具體的分配依據。由于我國目前沒有關于服務侵權責任分配的相關立法，應當依照《民法典》第1171條與第1172條的規定，由人臉識別系統運營商與識別者承擔連帶責任，并依照過錯大小各自承擔或平均承擔。

五、結語

人臉識別擁有低成本、快捷、便利、準確的優勢，在社會管控等領域有廣大的發展前景。與人臉識別產業迅速發展相對照的，是針對人臉識別領域的法律規制出現了大量空白，不利于保護使用者合法權益，也不利于人臉識別產業的蓬勃發展。本文通過詳細分析人臉識別的商業模式和法律關系，以人臉識別系統運營商、開發商、識別者與接受者之間的法律關系為切入點，深入分析人臉識別運用中侵權責任主體，從屬性、構成要件與侵權責任承擔方式等方面厘清我國人臉識別侵權責任制度的適用，為保護使用者在新技術運用環境下的合法權益提供了充分的參考意見，為人臉識別技術的廣泛運用與產業發展提供了法律保障建議。更進一步，將人臉識別從簡單的人工智能產品的范疇中區別出來，為針對人工智能服務的侵權責任研究，乃至建立相應的法律規制路徑提供了較好的基礎與參照。