論人臉信息的收集規則

摘要：人臉信息屬于生物識別類敏感個人信息，與個人隱私密切相關。進入數字時代后，人臉信息的數據化讓人臉信息的保護迫在眉睫。除法律規定外，作為敏感個人信息的一種，人臉信息的收集應當征得信息主體的同意，應當滿足特定的目的、充分的必要性和嚴格保護措施三個前提條件。告知知情同意規則是個體自主價值在數字社會的一種時代表達，只有人臉信息收集者充分告知，信息主體才會對相關內容知情。人臉信息收集者對信息主體充分知情承擔舉證責任，知情可基于有效告知而推定產生的規則可以倒逼人臉信息收集者充分履行告知義務。同意的作出應當是單獨、自愿、明確且能夠撤回的，書面同意是單獨同意的形式要求，強迫同意應當認定為不同意。同時，同意應當由信息主體書面聲明或做出肯定性動作，沉默、預選均非明確的同意。同意是人臉信息收集的合法依據，是一種非典型的意思表示。一個同意僅限于當前特定的信息主體、僅基于特定目的而作出；目的改變的，應當重新征得同意。

關鍵詞：人臉識別；人臉信息收集；敏感個人信息；生物識別信息；知情同意

中圖分類號：D913文獻標識碼：A文章編號：1673-8268（2025）01-0080-11

近年來，在浙江、安徽、江蘇等地，多名盜取個人信息的犯罪嫌疑人被公安部門抓獲。其作案流程極為相似：先是非法獲取他人照片或有償收購他人聲音等“物料”，然后利用人工智能技術將照片“活化”，合成動態視頻，直接騙過社交平臺、支付寶賬戶的人臉核驗機制，進而非法獲利。在技術加持下，盜刷人臉不再是難事。傳統的手勢密碼、數字密碼泄露之后還可更改，但自然人人臉信息在18歲后基本定型，一旦泄露，造成的風險則不可逆。人臉信息收集的現狀可總結為信息侵害的源頭在于信息的采集和保管，而現有立法并未從源頭解決信息保護問題?，F代社會的個人信息處理行為呈現出大規模、系統化、持續性等特點，而目前人臉信息的收集沒有準入規則。當我們走進一家超市，門口的攝像頭就可以立刻抓拍你的人臉信息，并對你的表情、年齡等信息進行分析推測，甚至還會對你標記上“槍手”的標簽。信息收集者過度收集人臉信息的問題突出，收集后保管不力，內部管理不嚴格，擅自披露、共享造成信息泄露，甚至不乏非法買賣人臉信息的現象，而用戶與平臺地位不平等導致現行知情同意原則形同虛設。算法作為人臉信息處理者收集和處理數據、推送信息、調配資源的核心力量，一旦失范將會損害國家利益、社會公共利益和公民合法權益。傳統民法的救濟屬事后被動救濟，故而個人信息保護源頭治理局面未形成。面對具有規模性和事前可規范性的人臉信息處理活動，相較于行政執法的事后性與隨機性，事前規制在保護人臉信息方面顯然具有高效率。因此，需明確人臉信息的收集規則，闡明信息收集過程中告知和知情同意規則的具體運用。

一、人臉信息收集的基本原則

根據《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）第28條規定的敏感個人信息的含義及其處理條件，人臉信息屬于敏感個人信息中的生物識別信息，收集人臉信息應當滿足特定的目的、充分的必要性和嚴格保護措施三個前提條件。這三個前提條件是對目的限制原則、最小必要原則和安全保護原則的具體化。

（一）目的限制原則

人臉信息的收集必須具有特定的目的，并與收集手段互相匹配。面向公眾人臉信息的收集，由于對象不特定和群體數量巨大，要求收集者獲得同意授權在實踐中很難實現，故應當限定在特定的目的范圍內，即只能為維護公共利益而收集人臉信息。具體而言，目的限制原則包括三項內容。

第一，收集人臉信息應當具有明確、合理的目的。在數字時代，通過數字技術收集個人信息往往具有隱蔽性，個人信息主體難以感知。與收集指紋相比，人臉信息可通過遠程無接觸式收集，故主體往往不知何時被收集。為保障個人信息主體應有的知情權，在收集人臉信息前，應設定清晰明確、科學合理的處理目的，且該目的應當在不遲于收集人臉信息時被確定下來，以避免收集行為的隨意性和模糊性。明確、合理的目的讓人臉信息主體能夠準確預見信息被收集后的具體作用，包括可以識別出個人身份、記錄個人行為等。后續處理不得超出其合理預期，以確保其合法權益得到有效保護［1］，也不得僅通過模糊性的、寬泛的提升服務質量與用戶體驗、研發新產品等目的強制要求信息主體同意人臉信息的收集［2］，禁止為滿足商業營利目的而通過收集公開的人臉圖像或者視頻的方式間接獲取人臉信息?！禔pp收集使用個人信息最小必要評估規范 人臉信息》（T/TAF 077.72020）在“1范圍”中規定本標準也適用于對移動互聯網應用程序收集圖片信息行為進行監督、管理和評估。進入大數據時代后，人們表達和傳遞的方式變得更加開放和多樣化，會在互聯網等社交媒體上自主公開含有人臉圖像的照片或者視頻，對此，應禁止收集者通過收集已經公開的人臉圖像或者視頻間接獲取人臉信息。雖然《民法典》第1036條第2項規定，可基于合理的理由處理自然人自行公開的圖像，但是信息主體明確拒絕或者處理該信息侵害其重大利益的除外。人臉信息屬于敏感個人信息，即使自然人將其自行公開，也不能當然認為任何人均可以使用人臉識別技術對其進行收集。

第二，人臉信息的收集應有助于處理目的的實現且與提供服務具有相關性、特定性、明確性和合法性［2］。為避免擴大化的收集人臉信息給個人信息權益帶來不必要風險，應禁止信息處理者利用人臉信息進行人臉分析、用戶畫像來對信息主體實施精準營銷。“信息時代的危險不再是隱私的泄露，而是被預知的可能性”［3］。據2021年“3·15”晚會披露，科勒衛浴在客戶不知情的情況下，海量采集進店客戶人臉信息，并識別顧客性別、年齡甚至心情，通過添加分類標簽來進行精準營銷，并實現全國范圍內的數據共享，這是典型的違反目的限制原則的“濫用人臉信息”的行為。

第三，收集人臉信息，應采取對個人權益影響最小的方式。由于個人信息處理活動對個人信息合法權益存在潛在損害的危險，人臉信息收集者應充分考量其在收集活動中對個人權益可能造成的侵害，采取切實有效的處理手段與處理方式，在收集環節將可能對個人造成的損害限制在最小范圍之內［4］。出于對未成年人人臉信息的保護，原則上不應使用人臉識別方式對不滿十四周歲的未成年人進行身份識別，禁止收集其人臉信息。目前許多手機應用（如短視頻、游戲及直播類）的目標用戶為未成年人，其會在身份認證環節要求進行人臉識別。但是，由于未成年人身心發育特點及社會經驗的缺乏，他們對人臉識別的潛在風險缺少必要的認知和警惕，可能基于好奇向平臺提供人臉信息，一旦這些信息被擅自分析、泄露或者利用，可能會對未成年人未來的成長產生不利影響，甚至有可能使其成為一些犯罪行為（如綁架拐騙）的侵害對象。因此，全世界的普遍做法是對未成年人的個人信息特別是敏感信息給予特別保護［5］。就我國立法而言，受害人是否為未成年人，是認定信息處理者承擔侵害自然人人格權益民事責任的重要考量因素。因此，原則上應禁止對不滿十四周歲的未成年人進行人臉識別。如基于公共安全等原因確需對未成年人進行人臉識別，應征得未成年人的父母或者其他監護人的明確同意，經公安部門及履行個人信息保護職責的主管部門批準，并應采取嚴格的信息安全保護措施［6］。

（二）最小必要原則

人臉信息的收集必須具有充分的必要性。最小必要原則強調個人信息收集范圍不應過廣，所收集的個人信息應與其所提供的產品和服務有著直接的或者容易理解的聯系，禁止過度收集人臉信息，否則會導致個人信息處理者攫取不合理利潤，增加信息處理不必要的成本和信息泄露風險。歐洲委員會（The Council of Europe）發布基于《個人數據自動化處理中的個人保護公約》（Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data，以下簡稱《第108號公約》）第5.3條c項認為，必要原則必須具備充足、相關、不過量三個特征，要求必須在上訴目的的最低必要限度之內，否則不能稱為必要。最小必要原則的實現應考慮以下四點。

1.權衡技術風險與收益

人臉信息是一種高度敏感的信息，涉及到個人的身份識別、生物特征識別、網絡安全、社交網絡和移動通信等多個領域，具有唯一性和不可更改性，導致其收集使用具有極高的風險［7］。如何將人臉識別技術運用中的不確定性風險限制在最小而將其收益實現最大化，最好的方法就是將其運用限定在一定范圍之內，將人臉信息的收集限定在必不可少的情形［8］。例如，只允許在特定的人群或者特定的區域中使用，并且這種技術只能被用于身份驗證、安全檢查等方面。若收集客戶人臉信息用于對公司內部分銷顧客有效性的鑒別，此時信息收集帶來的風險大于收益，不滿足最小必要原則。但在實施數據隱私保護措施和在涉及到社會安全或公共安全時，則必須要收集到完整的人臉信息，否則無法進行有效的身份驗證和提供安全的保障［9］。

2.考慮手段和目的之間的成本收益

必要性原則的核心是在處理個人信息時，要以最小的損害為前提，盡可能地采取最有效、收益最大化的方式來處理個人信息。人臉識別技術功能強大，對執法機構和商業實體都能帶來便利，且成本低廉。例如，用公共視頻監控采集人臉信息時，需要在許多能夠維護公共安全的方式中權衡不同方法可能造成的侵權和管理利益。只有在與維護公共安全的其他方法相比、通過圖像采集來識別自然人是明顯必要或必要的情況下，才可收集人臉信息［10］。在不會影響個人重大利益或社會公共利益的情形下，不優先考慮使用人臉識別技術進行個人身份準確性核驗并由此來收集人臉信息［11］。

3.采集范圍排除場景信息

人臉信息的采集范圍應當只包含自然人的面部信息，不應包括攝像頭所覆蓋的場景信息，如人臉周圍的圖像、所處的環境或者正在從事的行為等信息。采集范圍的不當擴大，可能會暴露人臉信息主體不愿公開的隱私，違反最小必要原則。另外，超出人臉信息范圍收集攝像頭所覆蓋的場景信息，不僅會侵犯公民的人格權利，也會嚴重影響到人臉信息主體的知情權，使得他們無法及時獲得有關個人信息被采集和處理的實際情況。

4.收集的人臉信息具備直接關聯性

如果相關的產品或者服務在沒有人臉信息的情況下同樣能夠實現其功能，那人臉信息的收集就與業務功能沒有直接關聯。例如，谷歌開發的Automatic Alt Text（AAT）自動生成圖片或視頻的文本描述技術，可使用人臉識別技術為盲人或具有視覺障礙的人自動生成圖像描述，但如果不收集人臉信息，則無法進行相應的圖像描述。若是為了收集人臉信息進行優化產品和服務，則應當將圖像信息轉化為具體數據或者只提取人臉某一部分的圖片，并且對人臉信息進行脫敏處理，而不是收集和使用直接的人臉圖片信息。反面例子如滴滴公司違反最小必要原則過度收集1.07億條乘客的人臉信息［12］。就網約車平臺而言，收集用戶的電話號碼和位置信息是實現服務目的所必須，否則其基本功能將受限而無法提供相應的服務［13］，而收集人臉信息與實現網約車服務無直接關聯，違反最小必要原則。

（三）安全保護原則

在行為主體收集人臉信息之前，應當對其安全保護能力進行評測；在經過評測并頒布相關證書之后，才賦予其收集人臉信息的資格。根據《信息安全技術 生物特征識別信息保護基本要求》（GB/T 406602021）中的生物特征識別系統信息安全保護要求，生物特征識別系統應滿足保密性、完整性、可更新性和可撤銷性等條件。在綜合考慮當前的技術水平、實施成本、人臉信息收集的性質、范圍、情境和目的以及對信息主體的權利和自由造成損害的可能性和嚴重性的基礎上，人臉信息收集者應該采取合適的技術和組織手段，保證其在收集人臉信息時可以獲得與風險相適應的安全水平［14］，并對信息主體的權利和自由進行全面的保護。

安全保護原則具體體現在人臉信息收集之后的存儲環節。儲存人臉信息時，不應存儲原始人臉圖片，應僅存儲人臉的信息摘要；應使用移動終端設備存儲人臉信息，對人臉信息存儲和傳輸采取加密措施，設置適當的訪問權限和操作權限。將人臉信息與個人身份信息（如個人身份證號碼）分開存儲，可以大幅度降低人臉信息泄露造成的風險。還應進行個人信息保護影響評估（PIA），形成書面的評估報告并保存三年以上。還要對工作人員進行個人信息的培訓，加入第三方的評測機構；只有對人臉識別系統進行評測以證明相關產品的安全防護能力之后，才能賦予其收集人臉信息的資格。

二、人臉信息收集的告知規則

告知是告知知情同意規則實現的第一步，其行為主體為信息處理者，具體要求為：在收集人臉信息時，應當將人臉信息將會被收集、處理和利用的情況以顯著的方式、易懂的語言充分告知信息主體，并征得信息主體明確同意［15］。告知規則是實現公開透明原則的具體方法，目的是全面披露個人信息處理活動中的重要事項，以促進人臉信息主體對此的理解與知情。歐盟《通用數據保護條例》（General Data Protection Regulation，GDPR）規定，信息處理者在收集個人信息前應告知用戶并取得其同意［16］。告知是信息主體“知情同意”的必備前提，無告知，就無知情同意。告知知情同意規則源于人的信息自決權［17］，告知中最重要的是將信息處理目的充分表述；就算是無須獲得信息主體同意的例外情形，也無法豁免告知義務。

（一）告知有效性的過程性條件

告知應當由人臉信息收集者作出，其過程性條件應當滿足三個要求。

1.告知內容完整

人臉信息收集主體在收集之前應當將信息采集行為的主體、采集類別和使用目的、采集后的處理行為和信息流向的第三方、信息安全保障措施等內容具體、完整地告知信息主體。具體而言，告知的內容應當包括七個方面。（1）采集行為的主體。信息主體若不知采集行為的主體，則無法憑借外部信息（比如業內評價和第三方標準評估）對采集者的信息安全能力做出判斷。對于參與到信息采集中的主體，均應當告知信息主體，并標明其在采集過程中承擔的不同角色，以幫助信息主體對采集主體形成正確的認知。（2）采集信息的類別和目的。信息收集者應明確告知采集的人臉信息的范圍；在通過攝像頭采集人臉信息時，應告知其采集技術，不應當采集攝像頭所覆蓋的場景信息。采集目的包括身份驗證、人臉分析以及人臉驗證等。人臉信息的收集必須滿足特定目的，在告知環節應當將此特定目的詳細表述出來，包括通用目的和特殊目的，并盡可能保證信息主體、信息處理者及其他利用個人信息的第三方都可以對該目的有統一理解。（3）特殊用途的專門披露。人臉具有豐富的表情，可以反映具體自然人內心的喜怒哀樂、性別、年齡、膚色等信息?；跀祿嬒?，平臺可提供個性化、有針對性的廣告推薦。這些額外的數據使用，帶來方便與舒適的同時，也會帶來風險，如隱私侵犯、價格歧視、廣告騷擾等。因此，企業平臺基于人臉信息進行自動化決策或者個性化推薦時，應對其特殊用途進行專門披露，告知用戶其收集人臉信息的事實、原因、基本算法邏輯、預期分析后果與可能產生的風險［18］，但應當禁止企業通過對人臉信息進行用戶畫像以實現精準營銷的目的。（4）告知存儲的期限、存儲的對象為人臉原始信息還是人臉數字特征信息。（5）共享、轉讓人臉信息前必須披露數據接收方情況。對于人臉信息等敏感的個人信息，信息處理者在共享或轉讓前，除需要告知個人信息主體數據接收者的身份和數據安全能力外，還需獲得信息主體的明確同意。（6）告知人臉信息收集涉及的功能是否屬于擴展功能；若屬于，在個人信息主體拒絕收集時應不影響基礎功能的使用。（7）告知提供的撤回授權同意的途徑或方式。告知同意規則意味著信息主體有“獲得告知（知情）”和“決定同意或不同意”的權利，同意的撤回應當和表達同意一樣簡單。

2.告知方式顯著

根據收集的場景不同，告知的方式也有所不同。但收集人臉信息的告知應當以顯著的方式進行。（1）由個人配合適用的收集，應當采取單獨告知形式。許多企業將告知文檔當作免責協議，其相關隱私政策、協議連篇累牘，體系結構混亂，將告知的重要信息混藏于海量無關信息中［18］?！皢为毟嬷币髮⑷四樞畔⑻幚淼哪康?、方式和范圍應該在個人信息收集和使用規則、隱私政策等文本中單獨列出，不能混同在其他個人信息處理條款中企圖實現一攬子捆綁授權。在收集信息前，應以彈窗、勾選、視頻、提示音等強化明示的方式進行告知。告知的信息也應集中于一個文件當中，不應當分散地存在多個文件中，以利于簡便地獲取到全部的相關信息。（2）對公眾使用的配合式收集可采取雙層告知結構。在公共場所，針對不特定多數人，如何獲得“同意”是一個難題。《個人信息保護法》第26條規定，在公共場所使用人臉識別技術需要設置顯著的提示標識，如在顯著位置設立“本場所有監控設備”之類的提示語，但這樣的提示語并不足以保障公民的知情權。對于針對公眾使用的配合式收集，可以采取雙層告知結構。第一層告知要求信息處理者在公眾場合設置顯著提示語或標志，使公眾可以清晰看到；之后應當提供如何訪問更多信息的方法以進行第二層告知，如設置二維碼，以便通過掃描可以獲取更詳細的告知同意知情書［19］。

3.告知語言清晰易懂

根據GDPR的要求，對于數據處理的說明信息，應當結合數據處理的具體步驟或階段，通過清晰易懂的方式作出；使用平實直白、不容易產生歧義的語言進行表達，避免使用專業術語，要讓不具有專業素養的信息主體理解有關內容。

（二）告知有效性的效果性條件

一般理性人對告知的內容充分知情，是告知要達到的效果。具體而言，告知可以使一般理性人充分認識到人臉信息的收集和后續基礎服務之間的關系，以及其作出同意或不同意產生的相應法律后果與潛在風險。風險的告知不能避重就輕，如果進行了充分告知就可以推知信息主體知情。只有在有效告知的前提下，進一步審查信息主體的同意是否有效才有意義。

1.完整性告知輔以“告知摘要”

為解決告知閱讀率極低問題，人臉信息收集者可采取“告知摘要”的形式，以彈窗形式添加一個突出、簡短、清晰且易于理解的提示進行告知，使用戶可在極短時間內對相關核心內容做出判斷［20］；“告知摘要”以百字左右的篇幅為宜，也可采用表格化的方式，以便用戶需要進一步閱讀時可以點擊以獲取完整告知。這類似于雙層告知結構，若信息主體連極簡的“告知摘要”也不閱讀，則不會妨礙告知產生效力，即可推定信息主體對相關告知內容知情。

2.有效告知的反面情形

當出現如下告知情形時，可認定告知后所取得的同意無效。第一，反復告知。當用戶已經拒絕同意時，反復告知和頻繁請求許可會讓用戶為了避免被繼續打擾而點擊同意，從而影響同意的自由形成。第二，捆綁告知。人臉信息收集的同意與其他信息的同意捆綁在一起，可能會導致用戶忽視或根本沒有察覺到人臉信息收集內容，而在無意識條件下作出的同意不是有效的同意，例如將同意“AR試妝”與同意收集人臉信息捆綁告知。第三，無法拒絕的告知，即應給信息主體提供表示拒絕的選項而沒有提供。處理者的告知方式若會導致信息主體無法拒絕，同意意思的形成便不自由。例如，人臉信息處理者違反《個人信息保護法》第24條與《互聯網信息服務算法推薦管理規定》，采用自動化決策卻未提供不針對個人特征的選項和便捷的拒絕方式，提供算法推薦服務卻未提供選擇或刪除用戶標簽的功能等。《個人信息保護法》第44條規定信息主體有權限制或拒絕他人對其個人信息進行處理，人臉信息收集者在告知時應當同時提供事前拒絕、事中撤回、事后可刪除的選項內容。第四，拒絕交易的告知。人臉信息收集者不得因信息主體不同意收集就拒絕提供相關基礎服務。第五，在不平等關系下進行告知，即告知以處理者和個人信息主體之間存在不平等關系為基礎，如行政機關與信息主體、用人單位與勞動者之間的關系。行政機關若違反《個人信息保護法》第34條的規定，超出法定職責范圍要求收集人臉信息，則信息主體會出于對權威機構的信任或壓力，作出同意收集的表示。用人單位在實施人力資源管理之外要求收集勞動者的人臉信息的，實踐中常見的是收集勞動者人臉信息用于考勤記錄，筆者認為此情形不屬于人力資源管理所必需，勞動者可以拒絕同意對其人臉信息的收集，同時用人單位應當提供磁片打卡等其他可替代的考勤方式?；诓黄降汝P系下的告知所作出的同意可能存在受到不適當壓力的情形，從而欠缺真實性。第六，可能產生不當影響的其他因素。

（三）告知義務的豁免與遲延

《個人信息保護法》第18條、第30條、第35條規定了不需要提前告知的情況，具體有以下三種情況。

第一，對于法律、行政法規規定的應當保密或者不需要告知的情形的，在實施相應行為前可以不履行告知義務。例如，根據《人民警察法》第16條和《反恐怖主義法》第45條的規定實施技術偵察措施，以及根據《反洗錢法》第8條規定利用人臉識別技術調查可疑交易活動時，均無需告知信息主體［8］。技術偵查措施與調查反洗錢相關的可疑交易活動相同，都需要秘密進行；若提前進行告知，則會驚擾秘密偵查對象，妨礙國家機關履行法定職責。

第二，對于因突發事件而不能立即履行告知義務的，可以延遲告知，但必須在突發事件解除之后及時告知當事人，以切實維護自然人的生命健康與財產安全。如醫療機構為搶救不知名患者，可通過人臉識別技術盡快找到其相關身份信息，處理其病歷資料。

第三，國家機關在履行法定職責過程中，需要處理個人信息的，應當依照法律規定的程序和規定，履行告知義務，確保公民個人信息的安全與保密，但告知將妨礙國家機關履行法定職責的除外。此為國家機關處理個人信息的特別規定。

三、人臉信息收集的知情規則

根據《個人信息保護法》第14條的規定，有效的同意必須建立在充分知情的基礎上，并由個人在充分了解相關情況后自愿、明確地作出。反之，告知的無效會導致同意的有效性受到影響，因而只有充分了解相關情況才能達成有效同意。

（一）人臉信息的收集應當采用擇入機制

依據信息主體在信息采集過程中的選擇與參與度劃分，同意的機制可以分為擇入機制和擇出機制。擇入機制指信息主體肯定性地表示即作出積極行為表示明確同意后，才能采集其人臉信息。如信息主體無明確同意或者拒絕采集的，則采集行為欠缺合法性基礎，其后續處理行為也將處于違法狀態。擇出機制中，信息主體被推定為“默示同意”，以適應數字經濟時代大量個人信息收集的需求，信息主體是在被采集后才能表示“不同意”，核心是一種拒絕的權利。擇入機制偏重保護信息主體對信息的掌控與自決，非經知情同意，不得處理個人信息；擇出機制偏重保護信息的商業化利用效率，實現采集便利化。對于以知情同意為基礎的人臉信息收集應按照擇入機制來保護信息主體的權益，即“先同意、后采集”，這是對知情同意原則的根本貫徹［18］。

（二）應以實質性的參與、選擇來判斷信息主體是否知情

人臉信息主體是否知情？知情程度如何？這實乃主觀性問題。不同的人面對相同的告知事項，其知情的程度各異。如何判斷知情，當事人的主觀狀態并不好探知。但是，如果在可自由選擇的選項中，人臉信息主體選擇了使用人臉識別技術，同意收集其人臉信息，并主動配合采集，就可推定其系知情。知情應當是告知之后可以達到的效果，告知內容的詳細程度與告知方式會影響對知情的判斷。知情是作出同意表示的必然邏輯前提，欠缺知情的同意無疑將存有瑕疵。只有讓人臉信息主體實質性地參與到選擇的過程中［21］，只有向數據主體提供了控制權，他們才有機會做出真正的選擇，使同意成為后續處理行為的合法依據。在接受或拒絕所提供的條款時，他們也需要有足夠的自主空間，以避免其利益受到損害。

（三）知情可基于有效告知而推定產生

人臉信息收集者有責任證明信息主體是在充分知情的情況下作出的同意，但上文已述，知情的判斷實乃主觀性問題，無法予以直接證明，只能通過客觀事實間接證明［20］。信息主體的知情建立在有效告知的基礎之上，知情可基于有效告知而推定產生。在美國加利福尼亞州司法部公布的絲芙蘭“AR試妝”侵犯隱私案中［22］，絲芙蘭方在收集人臉信息的時候無任何告知，僅顯示同意進行“AR試妝”的按鈕，但消費者使用小程序進行“AR試妝”的目的僅在于消費過程中測試相關產品是否符合自身需求，而不能代表其同意絲芙蘭方收集人臉信息。若在開啟試妝前進行充分告知，消費者可以進行相關選擇，基于有效的告知，則可以推定信息主體是知情的。收集人臉信息的告知應當單獨告知，不應與“AR試妝”相關內容混在一起。絲芙蘭方也不能因為信息主體選擇不同意人臉信息被收集而拒絕信息主體使用“AR試妝小程序”，此為前述拒絕交易的告知，應屬無效告知。

由此可見，在人臉信息收集過程中，重點應當規制的是告知階段。后續的知情同意都是建立在人臉信息收集者充分告知的基礎之上。告知是知情的前提條件，若無告知，信息主體就無從得知其人臉信息被用于何種目的、數據如何儲存及去往何平臺等一系列與自身利益相關的信息。個人信息在其本人不知情的情況下被收集處理，這不僅侵犯了其知情權，也剝奪了其善意行為的自由［23］。知情可基于有效告知而推定產生，也可倒逼人臉信息收集者充分履行告知義務。

四、人臉信息收集的同意規則

根據GDPR的規定，數據處理應當具有合法性，其中，合法性應當包括信息主體的“有效”同意。個人信息屬于人格權益，不得轉讓、繼承，也不得放棄，故作出同意的主體必須是人臉信息主體本人或其監護人，在充分知情、自愿、明確的情況下做出同意。例如，在天津人臉識別案中，物業公司不能以小區業主大會或業主委員會決定的方式來決定業主個人信息權益的行使。同時，也不能強迫或者變相強迫信息主體同意，如不同意就無法使用相關的基礎服務等。

（一）同意行為的表示方式

收集人臉信息的同意應當是區別于其他個人信息收集的單獨同意，應當是人臉信息主體在明確知情的情況下自愿作出的同意。

1.單獨同意

由于人臉信息與自然人人格尊嚴以及人身、財產安全緊密相關，因此，根據《個人信息保護法》第29條，收集人臉信息應當滿足取得信息主體單獨同意、書面同意的更高要求［24］。將需要單獨同意的人臉信息與不需要取得單獨同意的個人信息混在一起，概括地一攬子取得個人同意的做法不可行［25］。單獨同意也與前文人臉信息收集的單獨告知相呼應，書面同意是單獨同意的形式要求。

在“人臉識別第一案”中，爭議焦點之一即郭某與妻子到“年卡中心”拍照的行為是否構成對野生動物世界收集人臉信息的同意。該案中，兩審法院均認為，拍照行為不構成收集人臉信息的同意。從同意內容來看，拍照行為并未明確指向采集人臉信息，照片與人臉信息存在差異，同意拍照并不意味著同意將照片用于其他處理目的，而且以拍照作為表達同意的方式本身也不足以明確指向采集人臉信息，因此野生動物世界在該案件中并未獲得有效的單獨同意。

2.明確同意

明確同意要求給予同意的行為應注意信息主體的獨立表達，強調信息主體通過書面聲明或作出肯定性行為，對收集和處理其個人信息的請求作出同意。目前網站或手機APP征求同意的通行做法為雙擊鼠標左鍵或以手指輕摁的方式點擊同意按鈕，但這樣的點擊行為顯然不夠慎重，無法成為承載用戶明確同意的表現形式。對于人臉信息的收集，電子簽名更適宜作為明確同意的外在表現形式［18］。電子簽名行為有締約的潛在內涵，使信息主體更能切實感受到同意決定與自我之間的聯系，以傳達內心真實意思。電子簽名重在強調身份識別與表明簽名人認可其中內容，形式上并非限定于數字簽名。其多樣化的形式也能兼顧不同的采集情形，具體流程可以細化為：信息主體通過電子或紙質形式主動作出聲明、主動勾選、點擊“同意”“下一步”，開啟攝像頭權限，主動配合人臉信息錄入指令等一系列肯定性動作［26］。針對人臉信息，相關的應用應當設定隱私默認選項，賦予信息主體以選擇權，預先的選擇應排除在同意的范圍之外［27］。

3.強迫同意應當被認定為不同意

自愿原則是《民法典》的基本原則之一，同意必須基于自愿而作出，特別是對于人臉信息的收集，不能帶有任何強迫的因素。對于信息處理者采取與其他授權捆綁、不點擊同意就不提供服務等方式強迫或者變相強迫自然人同意收集其人臉信息，信息處理者據此認為已取得相應同意的，人民法院不予支持?！秱€人信息保護法》第14條應當被解釋為效力性強制性規定：欠缺充分知情、自愿、明確中的任一條件，同意應歸于無效，而非可撤銷［20］。撤銷權的行使會對相對人利益產生重大影響，因此法律對撤銷權的適用施加了諸多限制。比如，信息主體主張撤銷的方式為提起訴訟或者申請仲裁；將欠缺合法要件的同意歸于無效而非可撤銷，以免除信息主體的維權成本，更好保護其個人信息權益。

（二）同意的適用范圍

信息主體在收集階段的同意無法輻射到整個信息處理流程，同意收集并不意味著信息收集者可在此之后隨意處理信息。同意的作出應當僅針對當前特定的信息主體基于特定的目的，不應當要求該“同意”對人臉信息主體具有終極性約束效力［13］。信息主體有權對個人信息向公眾公開的程度進行控制，這表明個人信息自決權已經從對隱私權的保護中走了出來，轉變為一種控制型、管理型的個人信息保護機制，由被動轉變為主動，可以有效控制信息傳播范圍和程度，更好保護個人信息權益。根據《個人信息保護法》第2223條的規定，在人臉信息后續處理過程中，如果要改變其之前的處理目的和方式，信息處理者應重新就相關變更內容進行告知，并再次征得同意后，方能繼續處理人臉信息。一個同意只能針對一個目的，若后續目的有變更或者增加，應當重新獲得信息主體的同意。此處同意可以分為現在的同意和將來的同意。信息處理者獲得再次檢索和共享的授權是否包含在一次同意之內？如果在存儲期限內基于同一目的再次檢索的，不需要重新獲得同意。而人臉信息的共享應當重新獲得信息主體的同意，并明確告知共享第三方的相關信息。根據“一方不能把自己不享有的權利轉給第三方”的法理，共享應當遵從授權遞減原則，即共享第三方處理信息的權限不得超出人臉信息收集時告知的處理范疇——包括數量、目的及時間范圍等。信息主體向信息收集者表明撤回同意的意愿后，人臉信息收集者及第三方均應當停止收集及處理信息主體的人臉信息。信息處理下游的處理活動受到人臉信息收集主體與信息主體之間約定的限制，以確保信息主體對處理目的和處理行為的可預期性，不應當超出收集人臉信息時告知的目的范圍處理人臉信息，否則第三方應承擔連帶責任［13］。

（三）同意的后果

1.同意是一種非典型的意思表示

有學者認為同意行為是一種準法律行為，而非法律行為［16］。同意行為雖然具備意思表示要件，但同意的作出并不能使權利發生變動，而只是為權利變動作準備，因此不是法律行為，因為法律行為生效后將直接導致權利變動，產生“超越時間的拘束性”［28］。準法律行為的特點在于“表示行為+效果法定”，存在意思與表示行為，核心在于表示，其法律效果之實現由法律直接規定，并不取決于行為人的意思。這種行為具有一定的強制性，一旦實施就會產生相應的后果，它可以明確當事人之間的權利義務關系［2］。當同意包含法律規定的正當內容時，我們可以認為其法律效果取決于法律直接的規定。但是同意包含的內容也并不局限于法律規定，此時引起的意思自治效果是法律所認可的，內容卻不是法律規定的，法律效果取決于意思。因此，同意行為也不能被認定為準法律行為，而應是一種非典型的意思表示。首先，同意的法律效果產生的依據在于行為人的意思，而非法律規定，其具有典型意思表示的特點；其次，其非典型性體現在數字時代對個人信息保護提出了多種要求的背景下，依據《個人信息保護法》之規定，其在同意能力與傳統的民事行為能力、同意有效條件的認定和同意的撤回等方面，具有與典型意思表示不一致的地方［20］。

2.同意是人臉信息收集的合法依據

信息主體的同意為后續處理行為提供了合法依據，它不僅排除了該行為的非法性，而且使得處理行為具有合法基礎，使其獲得法律的認可和保護。根據《民法典》第1036條第1項的規定，在自然人及其監護人同意的范圍內合理處理個人信息的，信息處理者無需承擔民事責任。但應注意，此處的知情同意只有在滿足人臉信息收集的三個前提性要件的基礎上作出，才能構成免責事由。若未滿足前提性要件，則不能以已征得自然人或其監護人同意為由進行抗辯［25］。

人臉信息的收集行為是否合法，必須結合法律具體規定進行判斷。告知同意不能直接導致信息收集行為合法。“逾越特定目的之必要范圍或其他法律另有限制不得僅依當事人書面同意搜集、處理或利用”，敏感個人信息處理更被認為是告知同意有效性限度的突出體現［29］。在人臉信息的收集過程中，告知同意機制往往會失靈。人臉識別技術的應用場景中信息主體常常是處于劣勢地位的一方，很難確保其作出同意是“充分知情、自愿、明確”的［30］?！疤囟ǖ哪康呐c充分的必要性”是合法收集人臉信息的前提條件。另外，對信息主體同意的判斷也不能只根據是否采用書面形式進行，還應考慮個人的年齡、智力、生活習慣等。

人臉信息的收集應當受到目的限制原則的約束，不能以人臉信息主體“知情且同意為由”，在沒有達到充分必要性前提之時收集人臉信息。所以，對于人臉信息的收集，即便信息主體事先已經完全知曉和自愿地表示了同意，行為主體也不能將此作為其行為的正當性依據，不能僅以其已獲得信息主體的知情同意為由為其不正當收集行為進行抗辯。

五、結語

人臉識別技術的進步增加了我們的生活便利程度，但挖掘信息價值也對人類的隱私發起了挑戰。如果人臉信息收集主體隱瞞他們收集和使用的人臉信息，并無視信息主體保護自己隱私的請求，那么這些進步都將毫無意義。告知知情同意規則雖受到學界和實務界的批評和質疑，但其人格尊嚴的價值內核決定了這是維護人臉信息安全以及后續使用、處理全過程保護的關鍵機制。人臉信息收集主體充分的告知加上信息主體實質性參與、自主選擇同意或不同意，是信息時代人格尊嚴實現的方式之一，也是網絡治理層面“共建共治共享”社會治理格局的具體表現。而對人臉信息收集規則的探討也只是人臉信息保護的開始，收集之后的存儲、利用、共享、同意的撤回和人臉信息的刪除等各階段之具體規則有待后續研究，以求實現人臉信息全生命周期的保護。只有依法依規收集和處理人臉信息，才能維護人臉信息主體的人格權益與隱私尊嚴。

參考文獻：

［1］張建文，趙梓羽.個人生物識別信息保護的立法模式與制度構建［J］.重慶郵電大學學報（社會科學版），2022（1）：37-47.

［2］張新寶.個人信息收集：告知同意原則適用的限制［J］.比較法研究，2019（6）：1-20.

［3］維克托·邁爾-舍恩伯格，肯尼思·庫克耶.大數據時代：生活、工作與思維的大變革［M］.盛楊燕，周濤，譯.杭州：浙江人民出版社，2013：22.

［4］周漢華，周輝.《個人信息保護法》條文精解與適用指引［M］.北京：法律出版社，2022：63-64.

［5］李媛.大數據時代個人信息保護研究［D］.重慶：西南政法大學，2016：147.

［6］石佳友.人臉識別治理的國際經驗與中國模式［J］.人民論壇，2022（4）：48-53.

［7］石超，張蓓潔.人臉識別個人信息的傾斜保護［J］.中國科技論壇，2022（4）：146-156.

［8］韓旭至.敏感個人信息處理的告知同意［J］.地方立法研究，2022（3）：67-82.

［9］程嘯.個人信息保護法理解與適用［M］.北京：中國法制出版社，2021：276.

［10］石佳友.公共視頻設備應用中的個人信息保護［J］.江蘇社會科學，2022（3）：90-101.

［11］樊華，何延哲，陳萍.App收集使用人臉信息現狀研究［J］.中國信息安全，2021（4）：70-72.

［12］陸涵之.滴滴被罰80.26億元［N］．第一財經日報，2022-07-22（A04）.

［13］萬方.個人信息處理中的“同意”與“同意撤回”［J］.中國法學，2021（1）：167-188.

［14］丁曉東.什么是數據權利？——從歐洲《一般數據保護條例》看數據隱私的保護［J］.華東政法大學學報，2018（4）：39-53.

［15］齊愛民.信息法原論——信息法的產生與體系化［M］.武漢：武漢大學出版社，2010：76.

［16］衣俊霖.論個人信息保護中知情同意的邊界——以規則與原則的區分為切入點［J］.東方法學，2022（3）：55-71.

［17］萬方.隱私政策中的告知同意原則及其異化［J］.法律科學（西北政法大學學報），2019（2）：61-68.

［18］鄭佳寧.知情同意原則在信息采集中的適用與規則構建［J］.東方法學，2020（2）：198-208.

［19］蔡苗.人臉信息收集中知情同意規則的構建［J］.網絡安全技術與應用，2022（2）：139-140.

［20］于海防.個人信息處理同意的性質與有效條件［J］.法學，2022（8）：99-112.

［21］馮健鵬.個人信息保護制度中告知同意原則的法理闡釋與規范建構［J］.法治研究，2022（3）：31-42.

［22］Attorney General Bonta Announces Aettlement with Sephora as Part of Ongoing Enforcement of California Consumer Privacy Act［EB/OL］．（2022-08-24）［2023-09-16］．https：//oag.ca.gov/news/press-releases/attorney-general-bonta-announces-settlement-sephora-part-ongoing-enforcement.

［23］彭誠信.數字社會的思維轉型與法治根基——以個人信息保護為中心［J］.探索與爭鳴，2022（5）：116-125.

［24］孟醒，曾祥銘.數字經濟視閾下APP過度收集個人信息的治理對策——基于102份民事判決書的研究［J/OL］.重慶郵電大學學報（社會科學版），1-16［2024-07-08］.http：//kns.cnki.net/kcms/detail/50.1180.C.20240705.1055.002.html.

［25］程嘯.論個人信息處理中的個人同意［J］.環球法律評論，2021（6）：40-55.

［26］洪延青.網絡運營者隱私條款的多角色平衡和創新［J］.中國信息安全，2017（9）：46-49.

［27］彭誠信，史曉宇.個人信息財產價值外化路徑新解——基于公開權路徑的批判與超越［J］.華東政法大學學報，2022（4）：41-57.

［28］卡爾·拉倫茨.法律行為解釋之方法——兼論意思表示理論［M］.范雪飛，吳訓祥，譯.北京：法律出版社，2018：45.

［29］武騰.最小必要原則在平臺處理個人信息實踐中的適用［J］.法學研究，2021（6）：71-89.

［30］韓旭至.刷臉的法律治理：由身份識別到識別分析［J］.東方法學，2021（5）：69-79.

On the rules for collecting facial information

ZHANG Long， ZHOU Yuting

（School of Law， Yantai University， Yantai 264005， China）

Abstract：Facial information， classified as sensitive biometric personal information， is closely related to individual privacy. In the digital era， the datafication of facial information has made its protection an urgent necessity. As sensitive personal information， the collection of facial data must adhere to legal provisions and be contingent upon obtaining the consent of the data subject. This process must meet three prerequisites： specific purpose， sufficient necessity， and stringent protective measures. The rule of informed consent represents an expression of individual autonomy in the digital age. Facial information collectors must adequately inform data subjects， enabling them to understand the implications of data collection. Collectors bear the burden of proof for ensuring the data subject is fully informed. A presumption of informed consent based on effective notification creates a mechanism to compel collectors to fulfill their obligations. Consent must be separate， voluntary， explicit， and revocable. Written consent constitutes a formal requirement for separate consent， and coerced consent should be deemed invalid. Further， consent must be a written declaration or an affirmative act by the data subject; silence or pre-selection does not constitute explicit consent. Consent is a legal basis for collecting facial information and represents a non-standard form of intent. It is limited to the specific data subject and the particular purpose at the time it is given. Any change in purpose necessitates obtaining renewed consent.

Keywords：facial recognition; facial information collection; sensitive personal information; biometric information; informed consent

（編輯：刁勝先）