人臉識別技術的法律風險及其場景化治理

楊復衛，白家燁

(西南大學 法學院， 重慶 400715)

一、問題提出：人臉識別技術衍生法律風險

人臉識別技術是以個人面部的某種特征、數字信息為基礎的一項生物特征識別技術[1]。人臉識別技術匯聚了大數據、人工智能等高新數字科學領域的最新成就，被看作全球高新領域中的戰略至高點。比較傳統的生物特征識別技術，人臉識別技術是一項全新的個體生物識別技術，運用特定的靜態圖像或動態視頻，將已儲存的某些人臉數據圖像庫，進行驗證和特征識別具體場景下的若干人的身份[2]。從作用原理角度理解，人臉識別技術基于大量圖像數據研究基礎，通由人臉圖像采集及檢測、人臉圖像預處理、人臉圖像特征提取以及匹配與識別四個步驟組成。伴隨著互聯網與信息技術的高速發展，以大數據技術為基礎的新興生物技術，逐漸在商業競爭及維護社會秩序等方面發揮著越來越重要的作用，數據信息的流動與利用也達到了前所未有的高度。

如今人臉識別技術對社會產生越來越大的影響，成為社會關注的焦點。人臉識別技術自產生以來一路高歌猛進，市場規模不斷擴大，在生物識別市場結構中的占比僅次于指紋識別。出于更高的安全性及便利性考慮，指紋接觸可能帶來的病毒傳播等問題也受到更多詬病?；诖?，人臉識別在生物識別市場的占比將會持續走高。人臉識別在運用上也具有獨特的優勢：第一，自然性，通常是指由人類所具有的自然性的面部特征進行身份辨別。人臉識別可通過自然性識別使我們的生活方式更加便捷，用戶無須攜帶任何證件或進行其他操作，從而在使用中減少負擔。第二，非強制性，是指被識別的人臉圖像信息可以主動獲取而不易被識別個體察覺。在人臉識別過程中，數字圖像處理能夠自動完成，識別過程隱蔽，技術整體高效、安全。第三，非接觸性，是指在圖像處理的過程中，識別者不用與識別機器進行直接接觸，只需其面部特征進入識別區域并抓取成功即可。同時，非接觸性會使用戶在信息采集時減少排斥心理，大大降低采集難度。第四，并發性，是指在應用場景中，人臉識別技術可以在眾多用戶的面部特征中進行及時判斷、快速識別，節約識別時間，緩解場地擁擠。人臉識別技術在應用中優勢明顯，且具有較高的使用價值，能夠廣泛應用到如高鐵安檢、入門打卡、金融密鑰等場景，發揮改變生活方式的科技力量，這也是人臉識別技術應用越來越普遍的原因。

隨著大數據、云計算、人工智能等信息科技的迅速發展，人臉識別技術在提升工作效率、革新生物識別方式的同時，潛在的使用風險也受到更多關注。在人臉識別過程中，可能出現隨意收集人臉信息，引起個人信息泄露的風險。尤其在大數據時代，有關個人信息的收集、利用和共享能力爆炸性增長，人臉識別應用中的個人信息保護問題亟待解決[3]。在面對衍生的某些法律風險時，如若不加以規制，可能會危害社會，甚至反噬社會。我們常常深陷一個誤區，在面對技術風險時通常用技術手段處理，認為法律規范更多用于調整社會關系，不能有針對性地解決技術問題。但從事實角度出發，我們應該明確的是，技術發展的同時也考驗著法律規范的回應，科技的進步也不應該以犧牲公民的權益為代價[4]。因此，人臉識別技術風險防范不僅僅是技術問題，更是法律問題。隨著信息規制的興起，如何通過法律規制來防范人臉識別技術的風險，保護公民個人信息安全，以求更大發揮人臉識別效用，逐漸成為學界研究與實踐應用都關注的焦點。

二、人臉識別技術法律風險的場景化

在人工智能快速發展的時代，用戶的個人信息使用范圍及傳播頻率不斷擴大，傳統的法律規范覆蓋范圍并不全面。因此，本文以人臉識別技術應用中的個人信息保護為出發點，聚焦規范和治理人臉識別技術之潛在法律風險，探究人臉識別技術的健康、有序發展途徑。

(一)人臉識別信息收集規制缺位風險

在法治社會中，風險的存在往往與規制密不可分。不論是理論技術研究，還是實踐應用場景，人臉識別技術所引起的風險與日俱增，日益受到社會重視[5]。要系統性地建構人臉信息收集的規制體系，需要整體性地審視人臉識別應用所引起的風險，重視該風險引發的規制需求。雖然2021年11月1日起施行的《個人信息保護法》將人臉識別明確納入到該法律的調整范圍，但僅規定了由國家網信部門協調有關部門推進制定個人人臉信息的保護規則與標準，尚未細致考量規制人臉信息所面臨的以日為單位變化著的現實。人臉識別信息收集在不同場景下面臨著不同的風險，人臉識別技術的崛起對法律規制提出了挑戰，它考驗著知情權的保障、隱私權與信息自由的平等保護，等等。在人工智能的大數據時代背景下，人臉信息的關聯度很高[6]，其商業價值不容小覷，過度收集人臉信息的情況往往難以避免。尤其是利用人臉識別技術能更便捷、快速地收集個人信息，在商業利益的驅動下，可能會導致一些主體對個人信息的惡意收集與盲目濫用。若個人信息被不法分子獲取，更會產生復雜的信息安全問題。易言之，應該在《個人信息保護法》對人臉信息保護進行統領式規定的前提下，各部門協調發力，對人臉識別技術收集、利用，以及侵犯個人信息的應用方式進行明確規范，即更有針對性地規制人臉識別技術，加強個人信息賦權，從而保護公民個人信息。

伴隨著信息技術飛速發展，互聯網企業使用人臉識別技術收集用戶個人信息也愈加廣泛，如未獲得法律的明確規制，易產生潛在的信息泄露風險。人臉識別技術在商業領域的應用，應在用戶知情同意，且意思表示真實的基礎上，落實數據主體責任[7]。人臉識別信息收集平臺不應基于單方意志，未經用戶同意而收集其人臉識別信息，即使獲得對方同意亦應履行提示說明義務。若平臺提供格式合同卻未盡提示說明義務，或用戶對信息理解有誤產生重大誤解，此時人臉信息收集均可能損害用戶正當權益。從用戶的同意角度出發，《個人信息保護法》第13條明確規定了除特殊情況外，個人信息處理者在處理包括人臉信息在內的個人信息時須以取得個人的同意為前提，而現實中該規定卻常被信息處理者以默認個人同意的格式條款所規避。但根據《民法典》第140條規定，沉默不等同于默示，默示是一種行為，應有一定的舉動；而沉默屬于不作為，但法律明確規定除外[8]。而沉默與默示同意的區別，在實踐中往往被技術使用平臺模糊甚至忽略，格式合同的“已同意”成為人臉識別技術收集個人信息的法律通行證。還應重視“用戶—數據處理者”關系中的公正與公開要求，著重強調對用戶的防御性保護，在規范基礎上關注“用戶—數據處理者”雙方關系中處理活動的公平性[9]。

一方面，格式條款作為用戶使用平臺的基本條款，除規定平臺有權在用戶觸犯法律時將用戶信息提供給有關行政部門外，還應明確平臺為自身利益而使用用戶個人信息的范圍，并完善保密制度以保障用戶各項權利，防止惡意泄露用戶個人信息等情況的發生。然而在實際應用中，濫用格式條款的情況并不少見，本應保護用戶權益的條款卻導致其利益被侵犯。從格式條款之性質出發，合同本身是基于一方當事人提供合同文本，出于效率目的省略雙方當事人協商的過程。傳統的協商方式被單方取代，利益分配自然出現不公平狀態，會更偏向于提供合同文本的一方當事人[10]。因此，格式合同并沒有真正規制平臺收集信息的行為，反而使其規制效果更外表化，未能切實保護被收集者的信息安全。格式條款與個人信息權保護出現的此種沖突，要求平臺在制定格式條款時，更應遵循公平原則，并盡合理的提示說明義務。

另一方面，當前我國個人信息收集均以知情同意為基礎。不論是上文所述的《個人信息保護法》第13條第1款的規定，還是《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》(以下簡稱《規定》)第2條第2款，都確立了以“同意”作為收集個人信息的基準。在現實情況中，大多數人因不知風險或迫于形勢壓力的情形以表同意。該形式上的同意雖然符合法律的規定，但實質上卻沒有真正體現個人信息主體的意志，更是有損人格尊嚴的表現。通過公共網絡收集、利用、存儲用戶的個人信息，理應使用加密保護措施，對收集的用戶信息進行分塊、單獨存儲，不允許公開披露用戶個人信息。但訴諸法律規范時，對用戶的個人信息進行收集、利用、加工處理等環節均無明確的法律規制，導致平臺出現隨意收集用戶信息，甚至存在“不刷臉就不提供服務”的惡性條款。除此之外，保護生物識別信息的法律原則以及權利義務責任的規定也不夠清晰明了，對信息主體的權利救濟也缺乏相應法律保護機制[11]?！毒W絡安全法》第41條規定，如若網絡運營者收集用戶個人信息，應當征得個人“同意”。然而，從語義的角度出發，“同意”在法條的理解上本身就存在多重含義，既有基于明顯答復的“同意”，有來自“默示”行為“同意”；有主動“同意”，也有被動“同意”。“同意”顯然有多重理解，到底何為該法所規定的“同意”，該“同意”是否可以解釋為“默示”行為的“同意”，該法條并未對“同意”作出明確的規定。在此基礎上，可看出人臉識別信息收集行為的法條本身針對性不強，同時會出現人臉識別信息收集行為規制缺位的風險?！巴狻眱H僅是享用技術的門檻，難以成為保護用戶信息安全的壁壘[12]。《個人信息保護法》規定處理人臉識別信息應當取得用戶的單獨同意，禁止一攬子授權行為。數據收集主體對于人臉識別等敏感個人信息的處理，需要逐項取得信息主體的授權[13]。在人臉識別技術發展階段，用戶的個人信息是基于數字圖像處理的識別技術，經歷一系列算法后用于辨別身份信息。綜觀整個流程，人臉信息已經被作為一種工具。人臉識別技術作為一種新型的生物識別技術，將用戶的獨立人格轉換成一系列代碼，將生動的人臉轉化成一行行數據，此時，識別的是人臉，最終得到的是數據，失去的或者被貶低的則是人的主體性及其尊嚴，所以，有必要加強個人信息賦權。

(二)人臉識別信息泄露的監管失序風險

互聯網時代，人們在享受著大數據帶來的便利的同時，個人信息不可避免地被收集、利用。在每一次瀏覽、交易、通信使用時，都會留下信息痕跡。在此基礎上，個人信息被隨意收集、個人信息出現泄漏及濫用等問題日益常態化。相比較日新月異、快速更迭的人工智能、大數據等信息技術，我國的監管制度滯后于技術及應用場景的發展。如今，無論是門禁打卡還是各種APP上都會出現人臉識別的身影。人臉識別技術已經被廣泛地應用到各領域，而監管部門僅著重于加強個人信息的保護，對如何預防信息泄露以及信息合理利用的各個環節都沒有明確規定，受侵犯后處罰力度不夠具體，使信息收集、泄露、濫用仍具有隨意性。所以，有必要對個人信息的收集、利用行為進行規范，各部門及社會組織做到協同監管才能從源頭上抑制信息濫用的情況，規避信息泄露造成的不可逆轉的傷害，維護信息主體的利益。人臉識別技術在數字時代理應得到理論與實踐的雙重重視[14]。

我國對于保護個人信息的法律規定較為分散，且保護效力較低，缺乏體系化監管。專門性的個人信息保護規定尚不明確，在出現信息泄露時，沒有做到事前預防、事中儲存及事后處罰機制。如今，法律規范均立足于用戶個人信息的間接性保護。其一，用戶的個人信息常常以電子形式存在，電子化形式的最大特點是容易存取，但易出現信息泄露[15]?；ヂ摼W公司已掌握用戶的大量信息，一旦黑客利用電子技術入侵，容易造成信息安全隱患，有必要做好事前預防措施。人臉信息具有唯一性，不像其他信息和身份證件在丟失后可以進行掛失、補辦，而人臉信息一旦丟失就等于自己所有的“密碼”全部公之于眾，且任何補救措施都很難彌補[16]。其二，《民法典》第1037條規定有關用戶的一般保護機制，要求侵權者為自己的侵權行為承擔責任，且用戶有權要求改正、刪除信息及其提出異議等。但在此基礎上，仍需進一步提高對收集者行為的要求，對其具體行為進行規制[17]。要以法律形式賦予各類型主體一定的權利，使該主體對信息處理行為享有監督權和一定范圍內的異議權、刪除權。同時加強外部監管，從收集信息主體、處理信息場景等多個層次對信息收集的整個流程進行規制。其三，用戶信息在公共場所被隨意收集，或用戶因接受優惠服務而選擇信息交換的現象也反映出，我國有關信息收集所設置的門檻線較低。任何有關部門、政府機關和企業都能出于公共利益或提供商業服務而收集用戶的個人信息，導致個人信息或多或少的泄露。從當前監管手段來看，相關部門不僅在事后監管力度及處罰手段不到位，甚至還出現了監管失序的風險。此外，當用戶的個人信息出現泄漏時，有關部門有必要提升數據透明度，劃分收集者的合理界限。同時，在個人信息出現風險時，應在事前做好預防、在發生侵害時做到及時止損、事后處罰上加大監管力度，建立一套完整的監管體系，從而最大程度地保護信息主體的合法權益。

(三)人臉識別信息合理運用的邊界模糊風險

近年來，人臉識別技術被廣泛運用于各行各業，比如用于網絡支付、手機解鎖、門禁系統、法律案件(刑事抑或民事)、國家安全等方面。不難看出，政府和非政府主體均開始使用人臉識別技術，且其運用領域還將不斷擴展，但每一種運用場景都應有其合理的邊界。如果沒有明確的邊界，人臉識別信息可能出現信息被過度解讀或過度利用的情形，具體表現為以下幾種形式：第一，基于邊界不清引發的合法行為，超越合同約定該行為使用的類型邊界，如銀行人臉識別信息被用于保險、網絡購物等環節；超越合同約定該行為使用的范圍，如高校門禁系統的人臉信息，被用于教師課堂點名、考試個人信息識別、教務系統等內容。其二，基于邊界不清引發的違法行為，可分為故意和過失，如銀行信息被不當運用導致泄露，從而盜取財物；信息泄露導致被人肉搜索、被詐騙等等。信息的不當運用會造成個人信息泄露，甚至信息販賣或者敲詐，導致財產、隱私等損害風險。當黑客等不法分子掌握用戶的人臉信息和個人隱私數據后，可以利用電子技術遠程竊取用戶信息，從而損害公民人格權。因此，使用該技術時不可暴露他人隱私和侵犯他人合法權益，應合理界定人臉識別信息被合理運用的邊界[18]。當前，《個人信息保護法》在處理、運用“人臉識別信息”的規定時，還缺乏更為細致的規則，第6條雖規定了“采取對個人權益影響最小的方式”，但如何界定仍存在較大裁量空間，“人臉識別信息”運用的限度還無法清晰掌控。并且有關保護個人信息的立法也呈分散狀態，未能構建完整的法律體系，同時可執行性較弱。歷經數十載，人臉識別技術逐漸被我國公共機構運用，尤其是在安防領域。但立法者尚未從人臉信息的角度出發，設定專門規則，也未基于現實需求去深入探究該制度的應有功能，而是將其作為個人信息的一種籠括于《個人信息保護法》之下。雖說《規定》引導了相關制度設計，但主要從民事審判角度出發，并未深入探究背后的立法規范以及立法緣由，具體規定都基本側重于對私權主體的規制，以政府為代表的公權力主體被排除在外。政府與私權利主體在地位上的不對等性，更易導致侵害個人信息的情況，卻沒有規范性文件對其行為加以約束，這也是亟待完善的地方。此外，對于“人臉識別信息”運用應當有場景化規定，不同“人臉識別信息”收集者應當有不同的運用邊界，即合法行為和違法行為的邊界應當有所不同。

另外，收集者運用“人臉識別信息”應當具有一定情形下的豁免權，即法律應當規定涉及國家安全或重大刑事犯罪時，基于法定事由及正當法律程序，應當向國家安全機關和司法機關提供所搜集到的“人臉識別信息”。尤其是在大數據相關行業發展如火如荼的形勢下，應當規定有一定豁免權的情形。然而，目前的立法并未對此進行規定，既導致“人臉識別信息”可能被國家安全機關和司法機關過度使用，也導致權力機關收集信息的行為缺乏法律的明確依據，產生某種行為是否合法的“或然”狀態。如果存在適當且全面的監管框架并嚴格實施，并且對應的框架合乎判決所指明的憲法保護，政府就可使用已收集的信息。由于我國并未對適當和全面作出明確界定，也缺乏具體的可操作的設施，生物驗證信息中的邊界問題仍存在[19]。在大數據時代背景下，包括公民個人信息在內的各種信息要想創造價值，必須能夠自由地流通和交易，而在這一過程中不可避免地會涉及公民個人信息的保護邊界問題。易言之，人臉識別信息應當被合理運用，但目前其合理運用的邊界模糊會產生更大風險。

三、人臉識別技術法律風險治理：場景化模式的嵌入

人臉識別技術法律風險的治理，不僅僅要關注技術本身，更要關注技術的運用，不要將思維止步于結果上，要在場景化模式下，對信息的收集及運用進行約束。針對人臉識別技術法律風險的治理，應把握在風險生成、傳播和爆發的基礎上，從落實法律主體、明確法律責任、完善監管等角度出發，建立系統的治理框架。從人臉識別技術法律風險的基本問題出發，指出人臉識別技術常常因為場景的變化而具有不同的屬性。為此，人臉識別技術應采取場景化的治理模式，根據運用人臉識別技術的不同主體、所針對的不同對象，以及人臉識別技術所涉及的不同領域而構建不同類型的治理模式，從而形成完善和可信賴的人臉識別技術。

(一)場景化模式具有可嵌入性

從風險的可治理角度出發，其治理手段應當建立在場景化思維的基礎上。以分類場景的原則規制人臉識別技術，提出對用戶數據的收集要考慮場景的類型、用戶的身份、數據的用途及存儲等因素，其治理模式也應當結合不同場景設置不同規則。具體而言，人臉識別技術在運用過程中包含三方主體，即數據產生者(數據主體)—數據收集者—數據運用者，不同的權利主體所代表的權利之平衡，會產生不同的法律風險。人臉識別技術不僅是人工智能時代下的產物，也是高技術的核心，既對經濟發展帶來變革性的影響，也隨之帶來一系列的風險問題[20]。因此，人臉識別技術的風險治理不應機械地采取個人信息賦權、信息公開與協同監管框架進行判斷，而要以場景化模式作為治理重點，采取技術控制與法律手段的綜合治理機制。

在場景化治理模式下，不同主體的治理模式、治理手段及其力度均有所不同，且場景化治理的考量因素也有特定區別。人臉識別技術的法律風險可能會因使用主體、針對的對象、所涉及問題的不同而會有較大的差異。一旦場景不同，運用人臉識別技術的性質就會有所不同，對其所采用的治理模式也應當不同。在場景化治理的模式下，需要考量的因素有：使用主體、針對的客體以及應用場景等。考量因素多種多樣，不可機械地采用任何一種治理模式[21]，否則會視為孤立的治理對象，要結合具體場景進行分析。場景化治理的具體手段應當幫助個體或群體作出更為正當合理的決策。場景化治理要求以數據主體的知情同意為核心來構建信息保護制度，將私主體的同意作為與龐大的商業主體或公權力力量抗衡的基礎，以獲得多數人共識為目標。為提升場景化治理的有效性，還應提高信息公開政策的透明度，讓數據主體對信息的收集、存儲及運用有準確的了解，以確保司法適用的統一性與協調性。提升透明度既保障了高效的治理，也確保數據主體平等地了解人臉識別技術中的個人權利[22]。同時，要明確技術控制是風險治理機制的重要切入點，要在實現數據保護的前提下，做到數據產業安全穩定的發展[23]。此外，還應關注個人信息安全問題，重點防范關于信息泄露、濫用等風險，將法律作為風險治理機制的重要手段。應以場景化模式作為治理前提，提高數據采集的透明度，構建人臉識別技術應用的治理體系。

(二)場景化模式的嵌入理念

人臉識別技術應當采取場景化的治理模式，根據不同場景類型對人臉識別技術采取分層、分類的治理方式。就運用人臉識別技術的主體而言，當公權力主體作為人臉識別技術的使用者時，人臉識別技術對公共安全是一種保障。如政府機構將人臉識別系統與國家安全系統相連，人臉識別系統不僅可以加快出入場所的速度，也可以幫助對恐怖分子及其犯罪分子進行大范圍的檢測等等。如果人臉識別技術的使用者是一般企業，則企業成為數據信息的收集者及其保密者，國家機關應當對其加大監管力度，進而保護用戶的個人信息。就人臉識別技術所針對的客體而言，若人臉識別技術針對的是具有高度可辨識性的個體，其數據信息的收集與運用都是以識別特定個體為目標，在此種情形下，人臉識別技術的性質就與個人權利密切相關，從個人信息立法的角度進行治理更為合理。尤其在涉及弱勢群體保護的情形中，人臉識別技術可能演化成為加劇不公的催化劑。此類情形中，應當對人臉識別技術進行更多的干預，使弱勢群體受到合理、公正的對待。但在其他情形中，若數據信息的收集主要是為了分析某種群體或不可直接識別個體的對象從而提供服務，則此類情形中的人臉識別技術和個人信息權利的關系并不密切。此種情形下，加大個體權利的保護力度，可能會影響數據發揮流通性價值與公共性價值。此外，若脫離數據共享，此類個人信息的權利也會影響人臉識別技術本身的有效運行[24]，人臉識別技術和個人信息權利的關系并不密切。此種情形下，加大個體權利的保護力度，可能會影響數據發揮流通性價值與公共性價值。此外，若脫離數據共享，此類個人信息的權利也會影響人臉識別技術本身的有效運行[24]。如若人臉識別技術關聯的是純粹商業化企業，此種情形的人臉識別更類似于數據的統計區分，人臉識別收集信息就更像是一種信息匱乏手段下的信息甄別。

不同的場景模式形成對客觀世界的不同映像，不同映像的組合形成不同的治理體系。就使用主體而言，人臉識別技術的使用主體可分為公權力機構、私權利機構及其兼具公私主體特征的機構。面對私人特性的使用者時，要謹慎為之。同時，場景化治理的嵌入理念，不應該一味地追求以人臉信息主體享有的權利為中心，而是各方利益訴求應符合個人信息的整體運用情況[25]；不僅僅要關注信息主體的自由支配權，更要重視社會整體利益的訴求。場景化治理模式的嵌入理念，考量因素包括兩方面：一是承載著對個人信息保護的使命，倡導合理運用個人信息；二是在保護個人信息的前提下，要追求多元化的價值訴求。此外，在場景化治理的模式下，政府要平衡好權力與責任間的關系，政府在收集利用個人信息時，要把握好應有的尺度。易言之，場景化治理的考量因素多種多樣，不同場景下的考量因素有所相同，要根據具體情況具體分析。

(三)場景化模式的嵌入方略

在場景化治理模式下，針對不同場景類型要做到強化個人信息賦權、增加信息公開的透明性及各部門間做到協同監管。以加強個人信息賦權為治理重點，將法律作為風險治理機制的重要手段；在處理人臉數據時，應公開收集者的權利邊界；在人臉數據信息的存儲及運用環節，各部門及社會組織應協同監管。同時，不僅要賦予用戶進行人臉識別的主要權利，促進以用戶為主體的人臉識別技術發展潛能，也要形成法律規制責任主體的倒逼機制，激發用戶主體弱保護與科技手段強保護之間的維穩狀態。就場景化模式而言，其核心利益是信息保護。人臉信息易被收集，會出現泄露、濫用的情形，如何有效保護個人信息成為關鍵問題。所以，信息公開的初衷在于防止人臉信息被濫用，更好地規制收集者的權利邊界。信息公開可以提高企業及其政府工作的透明度，確保信息可以正確運用。在信息爆炸的時代，大數據將個人信息暴露在無形的網絡之中，而場景化治理則恰好針對個人信息的特定保護[26]，在不同網絡環境中完成隱私權、人格權的恢復。用戶數據收集者、數據使用者、數據處理者以及數據監管者等各方參與主體的權利保障、責任分擔，是發揮數據信息價值、合理規避風險的重要前提。豐富協同監管手段，使社會組織為其監管提供有力保障。同時，也要推進各行政部門間信息共享，為各部門間綜合監管和聯合懲戒提供支撐。

總之，就人臉識別技術風險治理而言，應當建立場景化的思維模式。人臉識別技術并不像一般的有形物或某些無形物，不具有相對穩定的法律屬性，并不適用統一的傳統法律，比如某些動產或不動產，法律一般對其適用統一的物權、合同法或侵權法[27]。人臉識別技術并不是一種標準化的物，而是一種人工智能下的產物。此外，人臉識別技術的法律屬性會因為具體場景的不同而有所不同，人臉識別技術法律風險的治理應建立在場景化的基礎上。對于人臉識別技術與未來法治研究而言，應當準確把握人臉識別技術治理的場景化特征與原理，根據不同場景對人臉識別技術進行不同的規制，從而實現可信賴與多元化的人臉識別技術。

四、場景化治理路徑：一種混合規制模式設計

人臉識別技術是社會經濟發展中技術推動而形成的新型生物識別技術，它有許多優勢，發展不容小覷，然而其缺陷也不可忽視，應當選擇適當的場景化治理模式方可揚長避短，促進其健康有序的發展。近年來，人臉識別技術隨著社會發展不斷更新，公權力主體也一直在盡力尋求有效的治理模式。行政機關針對可能涉及國家、社會安全及經濟安全領域的人臉識別技術運用，設立專門的審查、審判制度，同時在場景化治理模式下，將個人賦權、信息公開與協同監管結合稱為“混合模式”。其實，該“混合模式”并不是一種新的治理模式，它只是越來越多地用來實現治理目標的一種工具。該“混合模式”既可以節約治理成本，又可提高治理效率，也可確保政府面對一些極端問題作出及時有效的反應。

(一)個人賦權的場景化塑造

在場景化治理模式下，為保護人臉信息，應落實數據主體責任，加強個人信息賦權。如果法律更好地保護個人信息的合法權益，必然會調動廣大用戶的積極性，大大提高人臉識別效率。加強個人信息賦權最重要的目標是明確劃分收集者的權利邊界，從用戶—數據的角度出發對人臉識別技術進行法律規制。加強防范人臉信息的濫用，尤其應警惕收集者的處理行為給用戶帶來的損害或負面影響，降低人臉信息損害至用戶可接受的合理程度即為個人信息保護的目標。規范人臉識別技術第一步應是明確收集者在人臉識別技術運用中的邊界，確保人臉識別技術得到正確運用。更為重要的是，在場景化治理模式下，人臉信息保護的邊界并非固定、僵化的，而是主觀的、動態的，并受多種因素影響，人臉信息的合理使用，在不同場合均有所不同。大數據時代，人臉信息的使用場景紛繁復雜，要加強個人賦權，更要提倡以用戶為中心、結果為導向的思路。

為解決用戶個人信息受到損害的問題，我們需要加強個人信息賦權。要以法律保護規則為指導，結合成熟的行業規則，構建完善的個人信息賦權責任體系?！兑幎ā返?條的內容為場景化塑造提供了路徑，包括了違法使用人臉識別技術進行人臉驗證、辨識或者分析，未公開處理人臉信息的規則，未明示處理的目的、方式、范圍等內容。在此場景化視角下解釋立法，落實數據主體的知情權、同意權、更正權及刪除權在內的權利，以強制規范明確其利害關系，通過侵權責任的落實來設計數據主體受到損害后的救濟途徑等內容。為了數據更好地流轉及實現其價值，還應在法條中構建數據使用方的權利保障條款，明確對數據收集者及利用者的安全保障措施。同時，要求其接受政府及社會監督，避免其利用優勢地位對用戶的權益進行侵害，保障用戶應有的權利。根據現有規范的解釋研究，也是另一條可探索的信息保護法律規制的道路。通過新增有關人臉信息的解釋，嚴格收集主體信息公開的義務，落實保障知情權、同意權以及豁免權等，從而達到提高對個人信息的使用效率、落實數據主體責任的目的。無論采用何種方式，均應在加強個人信息賦權的責任中，探尋互利共贏的平衡點。

(二)信息公開的場景化塑造

信息公開有助于促進數據主體作出正確選擇。信息公開要求收集主體在交易前向數據主體公開收集范圍、方式、信息用途等必要內容。信息公開應是一個完整的交易過程，真實、全面地反映人臉信息被收集、運用、存儲的各個環節，從而使數據主體更好地作出知情選擇。同時，要最大限度地保障不同數據主體的核心訴求，使數據主體在被收集時即對交易過程作出較為準確的判斷。但在大多數情形下，尤其在商業領域，數據主體往往必須先做出選擇，才可以接受后續服務。對人臉識別技術針對的用戶及社會公眾而言，最為重要的是用戶知情權的保障，使用戶有機會知曉或同意信息運轉流程、信息收集的利害結果，以及相關影響的處理。收集信息的主體也可以通過不斷的信息反饋建立信任機制，使用戶主體更放心、更安全地完成交易活動。為防止收集主體對個人信息的過度使用，知情是信息處理的正當性基礎。此外，欺詐行為的基礎都來源于信息不對稱，無論是不法企業惡意收集信息，還是政府機構濫用信息，信息公開都會減少信息不對稱的出現，從而極大地保障用戶合法權益。將信息公開不僅會促進數據主體作出更正確的選擇，也是充分保護用戶知情權的最好體現。

保護用戶的知情權是數據主體對數據進行自治的重要手段。人臉信息屬于個人敏感信息，收集、存儲及運用需經過信息主體的明確知情且同意。在對用戶進行人臉信息收集前，要準確告知該信息的使用方向、信息存儲地點以及信息使用后作何處理等關鍵信息。一方面，盡管用戶的知情權是保護個人信息的基礎，但面對復雜和專業性很強的隱私條款時，用戶的“知情”往往會變得很被動。另一方面，由于信息不對稱，數據主體通常很難理解數據收集、存儲及運用的范圍，也更難以預估其潛在的危險。同時要明確，盡管商業主體的主動信息披露是保障用戶知情權的基礎，用戶能否仔細閱讀收集信息主體主動公開的內容，能否及時了解授權的使用范圍，這些問題并不是收集信息主體進行信息公開就可解決的，還需要其他因素共同作用[28]。知情權來源于憲法權益，而這種憲法權益集中體現在《網絡安全法》，強化了用戶權利的具體范圍?！毒W絡安全法》第22條規定，如若網絡服務提供者發現風險，有及時告知用戶的法定義務，且用戶對數據的控制權和其他合法權益都是建立在用戶知情權的基礎上。但《網絡安全法》對用戶知情權的規定仍不夠全面、具體，需要構建用戶知情權的制度體系。當前，用戶知情權最大的困境來源于對用戶知情權的保護與商業主體對人臉信息便捷利用的市場需求間的沖突[29]。政府部門對用戶人臉信息的保護，秉持知情同意的原則，商業主體在收集信息前履行告知義務。在此基礎上，政府僅僅是規定了需要告知的義務，并沒有明確規定必須以怎樣的方式告知、通過什么樣的流程告知。因此，還需要構建用戶知情權制度體系，從而更好地落實信息公開。

(三)協同監管的場景化塑造

為加強個人信息保護的法治環境，協調各方資源，構建以政府監管、行業自律及社會監管為一體的協同監管機制成為了新的話題。從協同監管的制度構建角度出發，其主旨在于保護用戶個人信息，以及幫助商業主體更便捷地獲取個人信息，而非讓個人信息被隨意收集或交易。針對人臉識別技術的法律風險等問題，不應一味采用機械的監管機制，應當著力于建設動態、互動、協作的監管機制，確保規范適用的統一和高效。在監管中要加強政府、行業協會及社會組織間的信息交流與共享，為商業主體提供合規合法的指引，做好事前預防、事后監管的銜接，使商業主體自覺遵守法律法規。網絡輿論也可以為政府監管、行業自律規范提供監管方向，使其執法時更有效率。同時，監管機關要加強監管人員素質培養，定期進行專項訓練，保證執法過程的公平公正。基于人臉識別技術在運用過程中具有多變性，且人臉識別給商業主體帶來的高額利潤等多種因素考量，應該更加嚴格要求其監管機構。總之，要從政府監管、行業自律及社會監管的協同監管模式出發，及時捕捉對個人信息過度收集和濫用的行為，依法嚴厲打擊利用個人信息的違法犯罪行為。

人臉識別技術在應用的過程中會產生較多的未知風險，應當在場景化治理模式下采用協同監管。要構建協同監管模式，合理劃分界限，提高監管效率。在政府監管的過程中，容易出現監管主體不明確、多頭執法導致監管虛化，人臉識別技術的監管領域出現真空地帶。因此，要加強監管、強化責任落實，明確監管主體與監管責任范圍。政府的監管部門應當根據備案登記材料進行合理的風險判斷，對收集主體的收集目的、儲存方式、使用范圍以及事后信息的消除方式等方面進行風險預估。同時，為了節約政府資源，對收集人臉信息最有效的監管是加強行業自律。即使法律規定和政府監管是治理人臉識別技術的有效手段，但數據治理仍考驗著商業主體的能動性。加強自律規范，有利于降低政府監督的成本，節約資源。行業自律規范是約束行業自身行為的內生機制，從運用程度來講，更具針對性、靈活性與便捷性。行業自律規范不同于企業內部的自身約束條款，自律規范針對的是整個行業而設定的統一標準，規定了商業主體收集人臉信息的限度，約束范圍更廣。建立行業自律規范[30]，不僅可以在人臉信息的收集時加以規制，也可以在人臉信息的使用和處理時加以規范；既可針對在不同領域中對人臉識別技術的運用規定不同標準，也可進行宏觀的統一規范。

在協同監管的模式下，也應為數據主體提供社會監督投訴的渠道，對數據主體的建議及時接受和反饋。要與利用人臉識別技術的社會組織進行溝通交流，構建適用于人臉識別技術行業的準用規則和否定機制。加強社會監管是實現對收集人臉信息有效監管的現實基礎。應當加強網絡輿論監督，及時捕捉、判斷有關個人信息的違法活動及非法收集、泄露個人信息的行為，以便消除隱患。同時，對惡意收集個人信息進行舉報的社會群眾，采取獎金機制，支持新聞媒體、社會大眾對個人信息保護進行監督。此外，要以群眾監督為基礎，建立預防思維，自覺樹立個人信息保護和自我防范意識[31]。隨著個人信息的敏感度逐漸提高，公民自身要了解人臉識別技術并對其帶來的風險加強預防意識，并不斷提高自我保護能力。總之，大數據時代構建個人信息場景化治理，應該最大限度地加強社會監管，建立多元化的監管機制。

五、結語

大數據快速發展的時代，人臉識別技術已經逐漸成為社會焦點，以人臉識別技術為代表的新興技術也已經成為政府和商業主體收集信息不可或缺的手段。利用人臉識別技術可以快速地進行身份識別，提高效率與準確率。但是任何事物都具有兩面性，人臉識別技術廣泛運用對我國傳統個人信息保護體系帶來沖擊，面對人臉信息出現泄漏與濫用的情形，應當對人臉識別技術的應用進行場景化治理。因此，構建個人信息保護的相應制度愈發重要。在技術便利與個人信息得到保護的雙重條件下，要完善個人信息保護的法律體系，加強行業自律機制，落實數據主體責任，利用政府、社會監管以及行業自律的協同監管模式，平衡數據利用主體和提供主體二者之間的關系，為經濟貿易往來帶來便利的同時避免風險的發生。