公共管理領域應用人臉識別的法律規制與路徑完善

摘要：現行法律規范體系已初步構建了人臉信息應用于公共監管的法律框架，基于維護公共利益，合法基礎通過目的限制原則來識別信息處理的合法正當性，在此基礎上，信息處理行為可以豁免取得同意的義務，告知義務也可能因執法便利的需要而被適度免除或縮減。然而，過于寬松的信息處理規則，在技術應用的實踐中面臨信息處理行為合法性基礎判斷存疑、公眾知情權無法保障、過度收集信息等法律風險，為確保信息的合規利用并防范侵害個人信息權益，應完善具體場景下的政策指導，強化信息主體的告知與參與機制，引入比例原則和強化監管與問責機制。

關鍵詞：人臉識別；公共管理；公共安全；個人信息權益

中圖分類號：D923;D922.16文獻標識碼：A文章編號：2095-6916（2025）06-0092-05

Legal Regulation and Improvement Pathway for the Application of Facial Recognition in Public Management

Lin Qiaoqiao

（Law School， Hainan University， Haikou 570100）

Abstract： The current legal regulations system has preliminarily established a legal framework for the application of facial information in public supervision. For the sake of public interest， the legitimacy of information processing is identified through the principle of purpose limitation. On this basis， the obligation to obtain consent for information processing can be exempted， and the obligation to inform may also be moderately waived or reduced for the sake of law enforcement convenience. However， the overly relaxed rules for information processing face legal risks in the practical application of technology， such as questionable judgment of the legality basis of information processing behavior， the inability to guarantee the public’s right to information， and excessive collection of information. In order to ensure the compliant use of information and prevent infringement of personal information rights and interests， it is necessary to improve policy guidance for specific scenarios， strengthen the notification and participation mechanisms for information subjects， introduce the principle of proportionality， and strengthen supervision and accountability mechanisms.

Keywords： facial recognition; public management; public safety; personal information rights and interests

人臉識別是指通過對個體面部特征的采集與比對，達到身份識別或驗證的一種技術手段［1］，因其具有精準性和便利性上的顯著優勢，被廣泛應用于公共管理與公共服務領域。然而，技術與法律的交匯，催生了合法性的考量，人臉識別信息屬于《個人信息保護法》（以下簡稱《個保法》）界定的敏感個人信息范疇，理應受到更嚴格保護。在法律規范層面，我國《網絡安全法》《民法典》《個保法》等法律法規，以及《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》（以下簡稱《人臉識別司法解釋》），共同構建了公共管理領域中人臉識別信息處理的基本法律框架，然而過于寬松的信息處理規則，隨著技術應用的深入無法確保信息的合規利用并發生侵害個人信息權益、違規信息處理的法律風險，有必要優化公共管理領域人臉識別信息的合規應用路徑。

一、公共管理領域應用人臉識別的法律規范分析

《民法典》第一千零三十四條第二款與《網絡安全法》第七十六條第五項明確規定個人信息涵蓋生物識別信息，人臉識別信息作為生物識別信息的一種類型，能夠依據這兩部法律關于個人信息保護的一般性規定得到保障。《個保法》與《人臉識別司法解釋》對于敏感個人信息的保護和信息處理者義務都作出了專門規定，為公共管理領域應用人臉識別信息確立了基本的法律框架。

（一）維護公共利益是人臉識別應用于公共管理領域的合法性基礎

凡信息處理行為均需合法性基礎，《個保法》第十三條明確了七項信息處理的合法性基礎，選擇恰當的合法性基礎對數據處理行為至關重要，不同合法性基礎對應的信息處理適用條件、規則和權利義務都有所不同［2］。在行政管理與公共安全維護實踐中，公安部門在城市公共區域部署人臉識別系統，以強化社會治安的維護；交通管理部門在關鍵道路設置人臉識別裝置，精準識別違反交通規則的行人，從而促進交通秩序的規范；海關部門裝備了具備人臉識別功能的智能視頻監控系統，有效識別進出人員的身份，確保國門安全。這些信息處理行為在預防、制止和懲治犯罪活動、執行行政管理職能、保護國家和人民的生命財產安全方面發揮了重要作用。因此，它們的合法性屬于《個保法》第十三條第三至第七項所列舉的合法性基礎，這些合法性基礎設置的考量均為維護公共利益與公共安全，為執法部門在特定情況下使用人臉識別技術提供了法律依據。

（二）目的限制原則是識別信息處理行為合法性基礎的手段

《個保法》第六條第一款規定了目的限制原則：“處理個人信息應當具有明確、合理的目的。”目的限制原則是個人信息保護法律體系中的基石之一，是判斷人臉識別信息處理行為的合法性基礎是否屬于維護公共利益的主要手段。它劃定了公共監管部門在采集、利用、分析人臉信息時必須嚴格遵循最初收集信息的目的，不得超出維護公共利益范圍進行處理［3］。具體表現為《個保法》第二十六條規定，為了維護公共安全，可以在公共場所安裝圖像采集、個人身份識別設備；《人臉識別司法解釋》第五條規定，為應對公共衛生事件、維護公共安全、公共利益可以處理人臉信息。《人臉識別技術應用安全管理規定（試行）（征求意見稿）》第十條、第十一條強調為維護國家安全、公共安全或者緊急情況下，可以使用人臉識別技術識別分析敏感個人信息。人臉識別技術在公共管理領域的應用，其合法性基礎并不依賴于傳統的知情同意原則，而是更側重于技術應用是否滿足“維護公共利益、公共安全”的目的，目的限制原則是衡量人臉識別技術在公共監管領域的合法應用的基礎。

（三）人臉識別技術應用于公共管理無需取得單獨同意

《個保法》第二十九條明確規定，處理敏感個人信息時，應當取得個人的單獨同意，這一規定旨在保護個人對其生物信息的自主控制權，避免未經同意的信息收集和使用對個人權益造成侵害。在商業應用領域，這一原則的實施尤為嚴格。例如，一些房地產公司在未取得消費者同意的情況下，通過攝像頭收集到訪消費者的面部信息，屬于嚴重侵犯個人信息的違法行為，執法部門可處以高額罰款達25萬元，以此作為對違法信息處理行為的嚴懲［4］。然而，當視角轉向公共安全領域，尤其是國家機關在執行法定職責和履行義務時，如果每一次都需要取得個人同意，將極大地削弱國家的執法能力。一方面，犯罪分子將有足夠的時間和機會隱藏或銷毀關鍵信息和證據，使執法工作陷入被動；另一方面，如果行為人拒絕同意，執法部門將不得不尋找其他途徑實現監管目的，這不僅會增加執法成本，還可能導致在數據時代下，國家的公共安全和犯罪預防工作無法有效開展，嚴重損害公共利益和社會穩定。鑒于此，《個保法》中關于“為履行法定職責或法定義務所必需”的規定，豁免了公職履行中取得同意的義務。

（四）告知義務相應的克減

《個保法》第十三條列舉的法定豁免情形免除了信息處理者需要征得信息主體同意的義務，但這并不意味著告知義務同樣被豁免。《個保法》第三十五條特別強調了國家機關履行法定職責處理個人信息的過程中亦需履行告知義務。告知義務本質是對個人信息自決權的尊重，履行告知義務并不會像取得同意一樣阻礙執法過程［5］。然而，法律規范同時也列舉了多種告知義務可以免除或縮減的情況，《個保法》第二十九條、《網絡安全法》第四十一條、《反恐怖主義法》《稅收征收管理法》都規定了為維護公共安全、國家安全，如若告知阻礙國家機關履行法定職責，告知義務可以適當減輕或免除。更進一步而言，實踐當中出于公共利益的維護和執法效率的考量允許告知義務相應免除或縮減，城市監控系統在公共區域部署監控攝像頭、交通管理中運用人臉識別技術識別交通違規行為、機場安檢利用人臉識別技術對乘客進行身份驗證、在反恐行動中使用人臉識別技術對特定區域或人群進行監控，這些人臉識別設備雖然通常都會配備標識，告知公眾該區域正在進行人臉信息采集，但具體的面部數據處理流程、數據使用細節、存儲期限等信息不會詳細公開，以免影響執法效率。

二、公共管理領域應用人臉識別面臨的法律風險

正如前文所述，現行法律規范體系已初步構建了人臉信息應用于公共監管的法律框架，然而，人臉信息屬于個人生物信息，其保護問題具有高度的復雜性，過于寬松的信息處理規則，增加了技術應用的合規風險。

（一）人臉識別信息處理行為的合法性基礎判斷存疑

評估人臉識別技術應用于公共領域的合法性基礎是否屬于“維護公共利益”的情形，是一項極具挑戰性的法律分析任務。首先，立法文本往往不會直接或間接授權使用人臉識別技術進行信息處理，條文規定存在解釋空間與模糊性，通過“目的限制原則”對立法文本規范性文件進行分析也難以達到十分明確的指引［6］。例如，《反恐怖主義法》第二十條、第二十一條要求鐵路、公路運輸、住宿等運營商和服務提供商實施安全查驗制度，對不能確認身份或者拒絕身份查驗的顧客，可拒絕提供服務。但此類規定通常未明確授權采用人臉識別技術作為實現身份核驗的手段。另外，結合《人臉識別司法解釋》第二條，未經法律、行政法規的授權，在經營場所、公共場所使用人臉識別技術進行驗證或分析的行為視為侵害自然人人格權益的規定。可以解釋出在經營場所、公共場所身份查驗的原則上不應使用人臉識別技術，可以通過人工核驗、身份證查驗等其他方式進行。綜上，從法律文本中直接推斷出使用人臉識別技術的合法性存在顯著障礙。其次，私營主體的介入使得技術應用合法性判斷更加困難。在公共監管領域，諸如賓館、免稅商店、鐵路企業等私營實體承擔著法定的身份信息核驗責任。當這些私營主體使用人臉識別技術時，往往缺乏明確的法律指引，在應用人臉識別技術時，可能沒有遵循一套系統化的、保護個人隱私和數據安全的程序框架，難以準確判斷信息處理行為是否完全符合法律規范。

（二）公眾知情權無法保障

在公共管理領域，信息處理者的告知義務通常被弱化，公眾的知情權無法保障。《居民身份證法》第十五條規定了執法人員在身份核查中需出示執法證件明確表明身份和意圖。而人臉識別技術對不特定人群進行實時、大規模“刷臉”，身份信息查驗的過程缺乏類似的告知程序，使得信息主體在不知情的情況下被動接收個人信息被采集和處理［7］。在實踐中，應用人臉識別技術進行監管的過程也未充分公開數據處理的詳細流程，包括數據的收集、存儲、使用和銷毀等關鍵環節。一些地方政府在推動智慧城市建設中大量采用人臉識別技術，但在官方渠道，關于數據具體處理方式、存儲期限、采取的數據安全措施等信息卻鮮有詳細說明［8］。此外，根據《個保法》，數據主體享有了解個人信息處理方式、請求更正或刪除個人信息，以及拒絕某些類型數據處理的權利。而公共管理領域，通常缺乏明確渠道讓公眾能夠了解并行使這些權利，沒有設置專門的咨詢窗口或在線平臺，供公眾查詢或反饋相關意見。更深層次地，公眾參與和反饋機制的缺失也是一個關鍵問題。在引入人臉識別技術的決策過程中，公眾的意見和反饋往往未能得到充分考慮。一些地方政府在決定技術的應用范圍和方式時，可能沒有進行信息披露，收集和評估公眾意見，而是直接作出決策，限制了公眾參與決策的機會，加劇了公眾知情權的缺失。

（三）過度收集信息的傾向

公權機關在信息收集過程中存在過度收集信息的天然傾向，單一目的限制原則，可能會導致信息處理過程中忽略手段與目的之間的比例，從而對個人自由和隱私造成不合理侵犯。2017年，城市交通路口運用人臉識別技術查處違規行為，以及酒店入住登記中“強制刷臉”核驗的行為，均引發了公眾對于技術應用邊界與個人隱私保護之間關系的深刻反思。這些實例表明，即便信息處理行為在目的上看似正當，其手段若缺乏必要性與比例性，亦可能導致對人臉信息的過度采集，進而侵犯個體權益。人臉識別技術應用合法性考量不應僅局限于目的限制原則，合法、正當比例原則的引入至關重要，合法正當原則要求確保信息處理行為不僅目標明確、正當，而且手段合理、必要，不超出達成目標所必需的范疇。比例原則進一步要求，信息處理手段必須與所追求的公共利益目標相稱，避免對個人權利造成過度或不必要的侵害。這些原則的綜合應用，形成了一個旨在平衡公共安全與個人隱私保護的規范體系，確保信息控制與信息流動在公法領域內的合理調控。

三、公共管理領域合規應用人臉識別信息的完善路徑

（一）完善具體場景下的政策指導

正如前文所述，我國法律規范體系已初步構建了人臉信息應用于公共監管的法律框架，并提供了基礎性的保護措施。然而，隨著人臉識別技術的廣泛應用，監管焦點已從個人信息保護層面轉向技術應用實踐的合法性監管，現行法律規范在為特定公共監管領域提供詳盡指導方面仍顯不足。在這一背景下，法律規范亟須進一步細化，在人臉識別技術常用的公安、海關、交通、稅收、金融、旅館等領域，應明確人臉識別技術應用的具體條件、范圍與限制，以減少法律解釋的不確定性，并為介入監管的私營部門提供清晰的合規指導。例如，上海市出入境管理局發布的《關于發布旅客住宿有效身份證件和住宿登記問詢流程的通知》，為旅館業治安管理信息系統提供了具體的應用場景指引。該通知不僅認可了人臉識別技術作為旅客身份核驗的合法手段，還制定了詳細的核驗流程，明確規定在旅客已出示有效身份證件的情況下，有權拒絕人臉信息的采集［9］。這種結合實際場景的規范，不僅清晰界定了人臉識別技術的使用邊界，還為其他公共領域技術的合規應用提供了有益參考。

（二）強化信息主體的告知與參與機制

正當程序是保障公眾知情權與制約執法部門過度處理信息最有效的規制工具，要求執法主體及相關私營主體在采集、利用人臉信息前必須遵守相應的告知程序。首先，應當保證公開與告知的信息不屬于《個保法》第十八條“法律、行政法規規定應當保密或者不需要告知的”情形。其次，在此基礎上，明確告知義務的主體、對象、時間與方式，確保公眾充分了解人臉識別技術的應用范圍、數據處理流程、個人權利和行使途徑。告知的內容原則上應當充分且全面，但若在特定情形下冗長的告知并不能提示信息主體，此時，告知內容可適當凝練縮減。一個典型例子就是在視頻監控和身份識別場景：當信息主體進入到身份識別設施覆蓋范圍之內，這些設備就能立即捕捉畫面進行身份驗證，簡潔醒目的通知才能夠及時提醒當事人，過長的信息告知反而缺乏實用性。在此類情景下可以選擇信息披露的方式進行告知。例如，《道路交通安全違法行為處理程序規定》第十六條第二款就規定交通技術監控設施的安裝位置應當預先向社會公布。除此之外，要建立周期性透明度報告制度，鼓勵公眾參與決策過程，通過公開聽證會、意見征詢等方式廣泛收集公眾意見，確保決策過程的透明度與公眾參與度。

（三）引入比例原則

在公權力機構采用人臉識別技術進行公共監管的語境下，單純以抽象的公共利益為由，無法合理化其所有數據收集行為，單一目的限制原則無法限制公權力機構不當收集與利用個人信息，從而可能侵犯個人的隱私和信息自主權。為解決這一問題，引入公法領域中的比例原則，克服“公共利益”內涵的抽象性，確保個人信息保護的合理性與平衡性。比例原則具體體現為《個保法》第六條的必要性原則，限制公共管理領域應用人臉識別技術的適用范圍具體可概括為兩個關鍵方面。首先，遵循“非必要不處理”原則，公權力機構僅應在實現公益目標必要且必需，一旦缺少就將導致無法正常進行履職的情形下采集人臉信息。此項規定旨在抑制公權機構作為數據掌控方過度收集信息的天然傾向，進而避免過度收集所導致的數據監控和操縱。其次，對于人臉信息的后續處理必須嚴格限定在既定目標的范圍之內，并優選對個人權益干擾最小的處理模式。這一要求的前半部分反映了“目的限制”理念，后一部分則向公權部門施加了一項衡量任務，即需要細致比對各自信息處理方案對個人權益的影響，并選擇同樣實施效果下最緩和的方式［10］。

（四）強化監管與問責機制

歐盟《通用數據保護條例》（英文簡稱“GDPR”）確立了多項個人信息監管與問責機制的具體措施。GDPR第六章要求設立獨立的監管機構對信息處理行為進行監督，第三十二條明確數據處理者對數據安全保護的責任，包括個人數據的匿名化機制與技術測試評估等。第三十五條規定了應用新技術進行數據處理前需要進行個人數據保護影響評估。當發生數據泄露安全事件時，必須依據第三十三條向監管機構報告［11］。

我國《個保法》第六章參考了GDPR，規定國務院下轄部門和地方政府部門的個人信息保護手段，包括技術訪談、現場檢查和系統測試，評估數據存儲與傳輸的安全性，以及對個人隱私的潛在威脅。《信息安全技術人臉識別數據安全要求》作為國家推薦性標準，可供構建強化監管與問責機制提供借鑒。處理人臉識別數據前，應評估技術應用合法性、目的必要性、技術準度與精度，采用加密、匿名化等手段，減少對敏感個人信息的依賴。引入具備技術審查能力的監管機構，定期審查人臉識別技術的應用，對違反個人信息保護法的行為，實施嚴格的法律責任追究，包括行政罰款、暫停或撤銷技術應用許可，并公開披露審查結果。

四、結束語

現行法律規范體系為公共監管處理人臉信息提供了依據，但過于寬松的信息處理規則導致在技術應用的實踐中可能面臨違規信息處理的法律風險。因此，應細化場景指導，保障公眾參與，引入比例原則，強化監管及問責機制，以平衡公共領域信息利用與個人信息權益保障的關系，確保人臉識別的合規應用。

參考文獻：

［1］張新寶，葛鑫.人臉識別法律規制的利益衡量與制度構建［J］.湖湘法學評論，2021（1）：36-51.

［2］程嘯.個人信息保護法理解與適用［M］.北京：中國法制出版社，2021：115-117.

［3］王苑.目的限制原則的反思及其解釋論構造：以《個人信息保護法》第6條第1款為中心［J］.華東政法大學學報，2024（4）：44-53.

［4］楊華.人臉識別信息保護的規范建構［J］.華東政法大學學報，2023（2）：68-79.

［5］趙宏.告知同意在政府履職行為中的適用與限制［J］.環球法律評論，2022（2）：36-51.

［6］葉濤.公共場所人臉識別技術應用的利益衡量與類型構造［J］.浙江社會科學，2022（7）：41-49，157.

［7］胡凌.刷臉：身份制度、個人信息與法律規制［J］.法學家，2021（2）：41-55，192.

［8］深圳市市場監督管理局.深圳市市場監督管理局推出全國領先人臉識別自助發照服務［EB/OL］.（2019-03-05）［2024-09-21］.

https：//amr.sz.gov.cn/xxgk/qt/ztlm/yzym/rlsb/content/post_1998109.html.

［9］上海市公安局出入境管理局.關于發布旅客住宿有效身份證件和住宿登記問詢流程的通知［EB/OL］.（2024-04-07）［2024-09-20］.

https：//zalyxt.gaj.sh.gov.cn/inn-manager-web/html/notice/details.html？notice=39235774320535759016.

［10］江必新，郭鋒.《中華人民共和國個人信息保護法》條文理解與適用［M］北京：人民法院出版社，2021：61-63.

［11］General Data Protection Regulation Art. 33 GDPR［EB/OL］（2018-05-25）［2024-09-11］.

https：//gdpr-info.ew/art-33-gdpr/.

基金項目：本文系2023年度海南省研究生創新課題“自貿港離島免稅人臉識別監管措施的個人信息保護與利用路徑”（編號：QHYS2023-170）的研究成果

作者簡介：林巧巧（2000—），女，漢族，海南臨高人，單位為海南大學法學院，研究方向為民商法、個人信息保護法。

（責任編輯：張震）