搜索

China Behavioral Law Society Development Network

中国行为法学会事业发展网
  • 中国行为法学会第六届四次理事会在京召开
  • 沉痛悼念马宝善同志
  • 中国行为法学会医疗健康法治研究专业委员会战略合作研讨会在京召开
  • 学会动态 | 第二届“澜沧江—湄公河次区域”国际法治论坛在云南警官学院举行
  • [完整版|图文]《中国法治实施报告(2022)》隆重发布
  • 《企业商事刑事风险防范指引丛书》 启动交流会在京召开
  • 中国行为法学会侦查学专业委员会第十四届全国侦查学术研讨会暨第七届现代侦查技战法论坛在浙江绍兴召开
  • 《民营经济促进法(草案)》征求意见座谈会在长沙举行
  • 为人民抒怀、为时代放歌 《人民就是江山》——大型公益原创歌曲交响 音乐会在京举办
中国行为法学会事业发展部 >> 法治研究 >> 丁晓东:制度与场景:重构人脸识别与人脸图像信息保护

   时政要闻

丁晓东:制度与场景:重构人脸识别与人脸图像信息保护

来源:《行政法学研究》2026年第1期 | 作者:管理员 | 发布时间 :2025-12-29 13:41:09 | 663 次浏览: | 分享到:



制度与场景:重构人脸识别与人脸图像信息保护



丁晓东

(中国人民大学法学院教授)


[摘  要]

已有法律制度对通过技术识别的人脸识别信息适用个人信息保护,将其视为生物识别信息或敏感个人信息;对可以自然识别的人脸图像信息适用隐私权保护,将其视为公开个人信息与非私密信息。此类基于信息区分的二分保护具有一定合理性,但也存在困境。法律应转向基于制度区分的保护,在侵权隐私、信息隐私、执法隐私的制度模块下保护不同场景下的人脸信息。侵权隐私制度具有横向性特征,主要针对违反社会关系的人脸信息获取场景;信息隐私制度具有倾斜性特征,主要针对信息能力不平等主体之间的人脸信息处理场景;执法隐私制度具有纵向性特征,主要针对人脸信息的公共执法场景。人脸信息保护的关键是实现制度与场景的对齐。应将不同制度模块适用于与其相匹配的典型场景;对于与制度模块不匹配的非典型场景,则应对制度模块进行改造与转型升级。

[关键词]

侵权隐私;信息隐私;执法隐私;人脸识别;人脸图像 


一、问题的提出:人脸识别与人脸图像信息二分

人脸信息保护是一个老生常谈的社会与法律热点问题,每隔一段时间,新闻媒体就会报道我国和域外有关人脸信息的立法与相关案例。例如,在杭州的“人脸识别第一案”中,杭州野生动物园仅允许游客使用人脸识别的方式入园,游客据此向法院提起诉讼,引发全社会关注。又比如,在山东济南的一个楼盘售楼处,部分看房人为躲避售楼处的面部识别监控技术,头戴摩托车头盔前去看房,引发媒体广泛报道。而随着人工智能技术的兴起,利用网络技术在互联网空间爬取人脸图片、创建人脸识别信息库并用于人工智能训练,也引发了法律风险与争议。这一做法目前在美国被认定为合法活动,但却被欧盟多个国家的数据保护机构认定为违法。此外,涉及人脸信息拍摄、监控的案件也层出不穷。例如有人从事街拍活动,将拍到的人像图片和视频上传至网络,引发了被拍摄者的不满;有的居民在自家门口安装监控视频,拍到其邻居的人脸信息,引起邻居的投诉与不满;一些网民的人脸被他人用AI技术移花接木到淫秽色情图片与视频上,并遭遇敲诈勒索。

为了合理保护人脸信息,我国、域外国家和地区均出台了相关法律法规或指南。例如,我国最高人民法院于2021年出台了《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,国务院于2024年发布了《公共安全视频图像信息系统管理条例》,对采集与处理包括人脸信息在内的个人信息进行规范。同年,我国国家互联网信息办公室、公安部联合发布了《人脸识别技术应用安全管理办法》,对利用人脸识别技术处理人脸信息进行规范。域外国家和地区也发布了相应指南。美国于2025年通过了《删除法案》,其中相关条款规定,平台需要采取技术措施删除利用AI技术进行换脸的私密或裸露图像。欧盟早在2019年就发布了《关于通过视频设备处理个人数据的准则》的指南,对通过视频监控方式处理人脸信息的行为进行规范。欧洲理事会《关于个人数据自动化处理中的个人保护公约》(第108号公约)咨询委员会发布《人脸识别指南》的报告,就人脸识别对立法与政策制定者、制造商、使用者和个人给出了全方位的建议。欧盟于2024年通过的《人工智能法案》也对人脸识别进行了规定,将从互联网或监控视频中“爬取人脸图像来创建或扩展人脸识别数据库”列入禁止性人工智能实践。

对于人脸信息保护,学界已经从不同角度进行了深入分析,但仍有一些关于人脸信息保护的核心问题尚未得到分析与探讨。首先,人脸信息保护应当适用何种制度?是否可以说,经过技术识别的人脸识别信息适用《个人信息保护法》,而未经技术识别的人脸图像信息则不适用?如果人脸信息保护适用《个人信息保护法》的框架,则个人可以行使《个人信息保护法》中的一系列权利,例如,个体知情决定权、查阅复制权、携带转移权、更正补充权、删除权、解释说明权等权利;信息处理者则要遵守一系列义务,例如,安全保护措施、合规审计、影响性评估、个人信息泄露等情形中的补救措施。相反,则上述《个人信息保护法》的一般制度将不适用。当人脸图像信息不适用个人信息保护时,法律又应当采取其他何种保护制度?例如,在摄影街拍、监控录像的场景下,法律是否以及如何保护人脸图像信息?

其次,如何看待人脸信息的敏感性、公开性与私密性等属性与特征?敏感个人信息与公开个人信息的概念为各国的个人信息保护法所规定。对于敏感个人信息,各国都采取强化保护措施。对于处理公开个人信息,各国则对其进行弱化保护。而私密信息则与传统隐私权密切相关,《中华人民共和国民法典》(以下简称《民法典》)规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”是否可以说,经过技术识别的人脸信息都是生物识别个人信息,因此属于敏感个人信息、非公开个人信息、私密信息,而未经技术识别的人脸信息则是非敏感个人信息、公开个人信息、非私密信息?但在人脸图像信息和人脸识别信息相互转换的背景下,又应当如何看待人脸信息的属性及其法律适用?

上述问题环环相扣,密不可分。例如人脸信息适用何种制度,将决定或影响法律对敏感个人信息、公开个人信息与私密信息概念的讨论。反之,人脸信息是否具有敏感性、公开性与私密性特征,又会影响法律采取何种制度保护人脸信息。此外,人脸信息的敏感性、公开性与私密性也会相互影响。本文对上述问题进行讨论,指出人脸识别信息与人脸图像信息二分保护面临着重大挑战与困境。为应对这些挑战与困境,本文引入域外法学界最近二十多年来广受关注的制度模块理论(modularity theory),指出这些挑战与困境的根源在于制度模块与场景的不匹配。法律需要区分不同制度与场景,将不同功能的制度模块适用于与其相匹配的典型场景;而对于与制度模块不匹配的非典型场景,则需要对制度模块进行拆分、重组、改造或转型升级,使得新制度能够适应非典型场景或新场景。本文提出信息隐私、侵权隐私与执法隐私这三种不同制度模块,对这三种制度模块的制度设计、功能与基本原理进行分析,在此基础上对人脸信息保护的制度进行重构。

在行文方面,本文第二部分对人脸信息保护的制度适用与信息属性展开分析;第三部分阐述信息隐私、侵权隐私与执法隐私的不同制度模块,借此分析与重构人脸信息保护的基本原理;第四部分对人脸信息保护的具体制度进行重构;结语部分对制度与场景的对应问题进行法理学反思。在术语使用方面,为了简便起见,本文将把经过技术识别的人脸信息称为人脸识别信息,把暂时未经技术识别的人脸信息称为人脸图像信息,把人脸识别信息和人脸图像信息统称为人脸信息。同时,本文所称的信息隐私制度与个人信息保护制度是同一制度,但在不同语境中采用不同表达。


二、人脸信息二分保护的困境与争议

人脸信息收集与利用的场景多元,既包括人脸识别信息,也包括人脸图像信息。前者又包括一对一的个体验证、多对一的个体识别、多对多的身份归类。后者则包括摄影拍照、录像监控、网络爬取等多种不同场景。对人脸信息进行分析,可以发现其适用的制度与人脸信息的特殊性都存在争议。

(一)人脸信息二分保护的制度困境

对于人脸识别信息,一对一的人脸识别主要用于身份验证,例如,有的大学和小区门口设置刷脸设备,对进入其中的学生、老师和访客进行验证;酒店在旅客入住、银行在顾客开户时通过公安机关身份信息数据库进行比对。在此类场景中,人脸识别技术的使用者与个人具有显著的信息处理关系,而且利用个人信息保护制度可以有效规制此类信息处理关系。一方面,赋予个人信息主体相关权利可以有效维护个人权益,例如,个人信息更正权可以有效防止个体人脸识别出现差错。另一方面,对信息处理者施加相关责任则可以有效维护用户的信息安全、金融账户安全、公共安全等各类权益。

但在多选一、多选多的人脸识别场景下,法律是否应当对其适用个人信息保护法存在疑问。多选一的个人人脸识别主要用于从人群中识别个人,例如,公安机关可能利用此类识别技术进行打拐,寻找走失儿童,在侦查过程可能调取摄像头,从摄像头中比对识别犯罪嫌疑人。也有的商家可能利用人脸识别技术对顾客进行精准识别,对其进行持续追踪与精准营销。多选多的人脸群体归类主要指群体特征识别,即通过人脸识别技术将某人归纳为某一群体,例如,执法部门或娱乐场所、烟酒企业商家利用人脸识别技术,筛查其所交易的对象是否为未成年人。还有的商家和经营实体利用人脸识别技术,识别进入其商店的顾客有多少人是女性,有多少人是老年人。本文开篇提到的售楼处利用人脸技术识别顾客,就属于此类情形。但无论是多选一还是多选多,对其完全适用个人信息保护制度都存在问题。一方面,人脸技术的应用者和个人都缺乏直接交互的界面与持续性的信息关系。因此,人脸技术应用者很难保障个人的知情同意权、查阅复制权、携带转移权、更正补充权、删除权、解释说明权等权利。人脸技术应用者最多只能在某些场景下对个体进行提示,例如,竖立警示标识,但无法保障每个个人都能对其进行充分告知,更难以获取其同意。另一方面,在筛查犯罪嫌疑人、娱乐场所未成年等执法场景下,法律则更加不可能赋予个体以知情同意权,对个体进行事前告知将使得执法失去意义。

人脸图像信息所涉及的场景也非常复杂。有的人脸图像信息收集利用明显不具有信息处理关系的特征,把这些场景排除在个人信息保护制度之外,具有合理性。例如,当个体在街拍时拍到他人人脸,或者利用AI技术对他人照片视频进行换脸,那么法律应当对此类行为适用传统隐私权与侵权法进行保护。除非个人是专业性的街拍人员,其拍摄的人脸信息已经具备处理特征,则此时法律可以适用个人信息保护制度。但在其他很多涉及人脸图像信息的场景中,个人信息保护制度是否适用存在争议。以餐厅、宾馆、咖啡馆等场所的视频监控为例,很多监控视频不会直接被用于人脸生物性识别,但也可能在未来被用于一对一、多选一、多选多的人脸生物性识别。而且,即使是排除人脸生物性识别的监控视频,个人信息保护中的很多制度也未必能够完全适用。对于视频监控,个人应当有一定的知情权,也可以要求信息处理者确保此类视频的安全,防止数据泄露,但个人却未必可以主张决定权、查询复制权、删除权、携带权等权利。因为监控视频缺乏交互场景,个人无法行使同意。而且此类视频往往包含了其他个体的信息,在查询、复制、删除或转移此类视频时,很可能会威胁他人的信息安全。

(二)人脸信息二分保护的属性争议

首先,人脸识别信息与人脸图像信息的敏感性二分存在争议。法律一般将人脸识别信息视为生物识别类的敏感个人信息。例如我国最高人民法院2021年出台《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》指出,人脸识别信息属于《民法典》第1034条规定的“生物识别信息”。美国伊利诺伊州的《生物识别信息隐私法案》(Biometric Information Privacy Act)规定:“脸部印记(包括从照片中提取的任何脸部印记)”属于“生物识别标示(biometric identifier)”。对于生物识别类个人信息,各国也对其适用特殊保护制度。例如,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)将生物识别数据与种族、民族、宗教信仰、医疗健康、金融账户、个人行踪等信息并列,归入“个人敏感信息”的范畴,并对其制定了特殊的处理规则。欧盟则将生物识别数据归入“特殊类型个人数据”的范畴,规定除了一些例外情况,原则上禁止对其进行处理。美国伊利诺伊州《生物识别信息隐私法案》要求,任何私人实体收集生物识别信息,必须向个人提供书面告知,并且获取个人同意。相反,如果个人或企业拍摄他人照片或安装摄像头进行监控,但并不使用技术手段为个人设置唯一的人脸标识,则此类人脸图像信息仍然属于普通个人信息。《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》明确指出,“使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息”,是该司法解释适用前提。《一般数据保护条例》也有较为清晰的认定,“重述”指出,“照片的处理不应系统地被视为特殊类别个人数据的处理,因为只有通过允许对自然人进行唯一识别或认证的特定技术手段进行处理时,生物特征数据的定义才涵盖这些数据”。

但人脸信息敏感性的上述二分保护面临争议。法律对非技术识别的人脸图像信息进行一般保护,对技术识别的人脸识别信息进行特殊保护,其理由是人脸识别信息具有唯一性和敏感性。但无论是识别的唯一性还是信息的敏感性,此类区分都并非绝对。就识别性而言,人脸技术识别信息固然具有相对唯一性,可以通过此类信息识别到个人,但此类识别是针对机器而言。对于自然人的肉眼而言,技术与机器处理后的信息,例如,鼻子与嘴唇的距离,其实反而不具有识别性。自然人所能一眼识别的人脸信息,恰巧是未经技术处理的人脸照片或人脸视频。因此,在有的情形下,人脸图片或视频信息反而受到比人脸识别信息更多的保护。例如,1998年的美国《儿童在线隐私保护法》(Children's Online Privacy Protection Act, COPPA)将儿童的“照片、视频或音频文件”视为儿童个人信息,但并未将未成年人的生物特征数据明确纳入其保护范围。

就不同国家的文化背景与个人感受而言,人脸技术识别信息也很难说就比人脸照片与视频更敏感。欧盟将生物性识别数据纳入“特殊类型个人数据”,与种族或民族背景、政治观念、宗教或哲学信仰等类型的数据并列,这与欧盟的历史和种族问题有密切联系,反映了欧盟对于借助生物性识别信息进行种族歧视和种族排斥的高度警惕。但这一历史与文化背景并不一定适用于其他国家,尤其未必适用于中国等非西方国家。对于普通中国人而言,可能某些场景下的人脸照片或视频更为敏感,此类信息的收集与储存可能会让很多人感到更为焦虑和紧张。相反,经过机器识别与处理的人脸信息则由于其技术性,只能为机器以及很少部分技术人员所识别,人们可能并不担心其为机器所识别,而更担忧这类信息泄露后被用于身份伪造等非法行为。

其次,人脸识别信息与人脸图像信息的公开性二分也存在争议。法律一般将人脸图像信息视为公开个人信息,将人脸识别信息排除在公开个人信息之外。因为在社会交往中,人脸图像信息经常以公开为原则,以不公开为例外。例如,在关于蒙面的宪法争论中,很多国家和地区的宪法判决认为,对脸部信息的遮挡违背了人格尊严,阻碍了社会交往与个人的公共责任。而人脸识别信息由于需要进一步识别,具有较强的私密性,因此不少国家的法律都明确将其排除在公开个人信息范围之外。例如美国《加州隐私权利法案》(California Privacy Rights Act, CPRA)规定,“‘公开可用’并不意味着企业有权在消费者不知情的情况下收集有关消费者的生物特征信息”。对于公开个人信息,各国法律也对其进行弱化保护甚至是豁免保护。例如,我国《民法典》规定,合理处理“自然人自行公开的或者其他已经合法公开的信息”,信息处理者并不承担责任,除非“自然人明确拒绝或者处理该信息侵害其重大利益”。我国《个人信息保护法》也规定,“在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”可以被视为处理个人信息的合法性基础。并且对处理公开信息进行了单独规定。

人脸信息公开性的二分保护框架也存在问题。《个人信息保护法》对公开个人信息弱化保护,其基本预设是公开个人信息已经经过个人信息主体或其他合法途径公开,因此对其进行处理对个人权益和社会利益造成的影响较小。但无论是在公开性层面还是在风险层面,人脸图像信息处理的风险都未必会比人脸识别信息的风险更小。就公开性而言,人脸图像信息的公开性主要针对其线下交往或活动范围,除非是公众人物,其人脸图像信息并非对全社会完全公开。而人脸识别信息也已经越来越容易获取,其公开属性也越来越强。人脸识别技术于2000年前后仍然主要处于实验层面,但随着过去二十年来卷积神经网络(CNN)等算法技术的突破,人脸识别技术被快速商业化运用。今天,人们只要用很低的费用就可以购买具有人脸识别功能的各类技术应用。尤其对于包含人脸的照片、视频,人们可以很轻松地将此类人脸图像信息转换为人脸识别信息。就风险而言,人脸识别信息虽然在技术层面更为精确,但这种精确识别主要用于手机解锁、移动支付、银行开户、小区进出、机场安检等少量场景,而这些场景中的人脸识别信息往往受到较高层级的安全保护,其信息处理的风险未必很高。相较之下,人脸图像信息虽然难以直接被技术所精准识别,但其可以被用于不特定的具体场景。例如,人脸可能被不法分子用于各类移花接木的PS、AI换脸,其所产生的风险可能远大于人脸识别信息。

最后,就个人信息的私密性而言,人脸图像信息与人脸识别信息的二分保护也存在类似问题。个人信息的私密性常常被用于判断其是否受隐私权保护的依据。从直觉上看,人脸图像信息具有公开性,应当属于非私密信息,仅受个人信息或公开个人信息的法律保护;而人脸识别信息则较为隐蔽,可以归入私密信息范畴,受到隐私权保护。但正如上文所言,人脸图像信息并非完全公开,人脸识别信息也越来越容易公开获取。从原理层面看,个人信息的私密性与公开性并非非黑即白,而是一个连续性光谱,取决于具体场景。例如,互联网公共论坛上的个人信息可能公开性很强,微信朋友圈的个人信息具有半公开性;而线下公共场所、商业街的个人信息公开性较强,各种餐厅、咖啡馆、街角的个人信息公开性则相对较弱。当某人出现在某些私密场所,其人脸信息就具有私密性。相反,一些获取人脸识别信息的行为,在某些国家和地区也被认为并不侵犯个人的隐私权。例如,美国Clearview AI公司从Facebook、YouTube、Venmo和其他网站“抓取”了海量人脸图像,创建了一个30多亿张人脸识别数据库供人工智能企业训练之用,这一行为也被认为符合美国法律规定。

(三)粤港澳区际行政协议的性质证立

规则类协议与规划类协议在多个方面具有显著差异,对于二者的性质显然不能一概而论,应当依照两类协议各自的特征分别认定其性质。

1.规则类协议属于行政契约

契约最初只适用于私法领域,随着法国最先开创行政契约法理,行政契约逐渐得到广泛应用。行政契约的实质是在行政法领域形成的发生行政法律效力的双方合意,这种合意不仅存在于行政主体与行政相对人之间,也存在于行政主体之间。如何判断行政主体之间达成的协议是否属于行政契约,各国采取了不同的做法。德国依据契约标的进行判断,认为以行政法律关系为客体,设立、变更或者消灭行政法权利义务的协议属于行政契约。法国通过行政法院的判例提出了识别行政契约的标准:一是当事人中有一方是行政主体,二是契约用以直接执行公务或者契约中包含超越私法的规则。我国学者则兼采德、法之学说,提出了各自的主张,代表性观点认为行政契约应具备如下特征:一是行政契约的当事人必有一方是行政主体,二是行政契约的目的是直接执行公务,三是行政契约的内容是行政法上的权利义务,四是行政契约的适用规则超越了私法范畴。

可以发现,无论何种标准,无外乎是从契约的主体、目的、内容、适用规则几个方面进行判断,如果行政主体之间签订的协议满足这几方面的特征,那么就可以认定为行政契约。首先,规则类协议的缔约主体是粤港澳政府及其职能部门,虽然这些主体在法律地位、行政级别等方面有所差异,但均属于行政机关,满足行政契约的主体特征;其次,规则类协议签订的目的在于事先约定各方在行政合作中共同遵守的规则,协议直接服务于当下粤港澳行政合作事务的开展,满足行政契约的目的特征;再次,规则类协议规定了各方在具体行政合作事项中的职权与责任,创设了行政法上的权利义务,满足行政契约的内容特征;最后,虽然规则类协议需要适用粤港澳三地不同法系的法律规则,但因其涉及行政职权的行使,必然要适用行政法律规范,其适用规则超越了私法范畴,满足行政契约的规则特征。综上分析,规则类协议作为粤港澳行政机关间达成的协议,其性质属于行政契约。

而规划类协议本质上不属于契约,没有进一步探讨其是否属于行政契约的必要。根据契约理论,标的是权利义务指向的对象,契约没有标的就会失去目的和意义,缺少标的或标的不明确的契约无法成立,双方合意之结果亦难以称为契约。规划类协议虽然作为行政主体间的合意结果,拥有契约的外观形式,但其并未就具体合作事务达成具有给付内容的明确约定,一方难以依据协议请求对方为一定行为,更无法围绕标的产生行政法上的权利义务。概言之,规划类协议缺乏明确的契约标的,只有契约之形而无契约之实,不具备契约成立的必要条件,本质上不构成契约,更遑论行政契约了。

2.规划类协议属于政策性文件

政策在国家治理中扮演着重要角色,“政策”作为一个跨学科概念也在学术研究中备受关注,政治学上一般将法律视作政策的一种形式,而法学上通常将政策与法律作为两种不同的社会规范看待。我国存在繁多且复杂的各式政策,法学研究中对于政策的内涵、政策与法律的关系等问题存在多种认识。主流观点认为政策是国家、政党为实现一定历史时期的政治、经济、文化等任务和目标而确立的行动准则、措施和方针,政策作为一种理念和原则,在法律当中表现为法律之上的政策、法律之中的政策和法律之下的政策。

政策性文件是政策的书面载体,本文所称的政策性文件不是泛指所有包含政策的规范文件,而是特指在形式意义上与法律相对的党和国家的非法律文件。政策性文件具有如下显著特征:一是在表现形态方面,政策性文件以纲领、规划、声明、宣言、指示等形式作出,其内容具有原则性、抽象性和指导性,不像法律一样含有明确告知人们应该做什么或不做什么的规范性语句;二是在实行机制方面,政策性文件主要发挥说服、倡议、号召作用,不具有强制执行力,不像法律一样以国家强制力保障实施;三是在制定程序方面,政策性文件没有严格、统一的制定程序,随意性较强,不像法律一样需要遵循复杂且严格的立法程序;四是在对外公开方面,政策性文件可以是公开的,也可以是仅限内部知悉的,不像法律一样必须向全社会公开。

政策性文件包括党的政策性文件和国家的立法、司法、行政政策性文件,其中行政机关制定的政策性文件是区别于行政法规、规章、行政规范性文件,构成独立类型的行政文件。这些文件通常以意见、通知等形式作出,其内容具有抽象性和原则性,不以规范、特别是规则为内容,仅表明政府立场和政策导向,具有指导作用而不具备强制执行力。规划类协议的内容多是关于未来粤港澳行政合作的大致安排和总体规划,意在表明态度和指引方向,未设定各方权利义务,也未规定可供直接执行的规则和违约责任条款,符合政策性文件内容宣言化、执行非强制化的特征。虽然相较于通常理解的政策性文件,规划类协议在创制程序和表现形式上具有“多方合意”这一特别之处,但这种合意在多部门联合出台政策性文件的情形中同样存在。因此,规划类协议虽然外在形式上与一般政策性文件略有区别,但在内容和效力等实质性方面别无二致,可以视作一种特殊的政策性文件。


三、迈向人脸信息的制度模块保护

人脸信息之所以在法律制度和个人信息属性问题上存在争议,与隐私和个人信息保护的不同制度模块设计有关。隐私和个人信息保护采取了侵权隐私、信息隐私与执法隐私三种不同的制度模块,而每种制度模块对应不同的典型场景,人脸信息的保护场景有的和典型场景一致,有的则并不一致,这导致了人脸信息保护很难在法律制度和个人信息属性上给出没有争议的答案。本部分阐述这三种制度模块及其对应场景,并分析人脸信息保护的场景与其对应和不对应之处。

(一)侵权隐私制度模块

法律保护隐私与个人信息的第一种制度模块是具有横向关系特征的侵权隐私。这种制度模块的发展历史与基本制度已经为学界所熟知。19世纪末,随着摄影技术的发展,一些记者开始用相机拍摄可以识别个人人脸的照片,并将此类照片和留言八卦刊登在媒体小报上。1890年,沃伦(Samuel Warren)与布兰代斯(Louis Brandeis)发表《隐私权》一文,首先在论文中提出隐私权的概念,主张法律保护“个人独处的权利”,保证个人的“思想、情绪和感受”这些构成人格的要素不受侵害。其后,隐私权的概念在美国、德国等国家被认可,我国也将其纳入人格权的保护范畴,并利用侵权法进行保护。

在适用侵权隐私制度模块时,侵权隐私所要保护的隐私权是一种合理的社会关系,而非某一个体的固定空间。沃伦与布兰代斯虽然在《隐私权》一文中提出了作为独处的隐私,但他们也同时强调在社会关系中理解隐私,认为隐私的边界必须结合“每个具体案例的多种情境”来进行考虑。沃伦与布兰代斯指出,之所以要确立个人的隐私权,是因为新闻媒体已经“在各个方面都脱离了规矩(propriety)和体面(decency)”,流言蜚语已经成为一种“厚颜无耻的工业化生产”。因此正如波斯特教授在评论沃伦与布兰代斯时指出,隐私权并不意味着秘密、匿名和独处,而是意味着我们作为社会群体中的个体应当给予彼此的空间。侵犯隐私意味着打破了社会精神上的宁静。当法院将某些行为认定为隐私侵权,法院在此类认定过程中其实并非认定某个人固有的权利边界,而是界定一个社会共识性的交往规则,即一个社会的“社会规范(social norms)”或“文明规则(rules of civility)”。

(二)信息隐私制度模块

法律保护隐私与个人信息的第二种制度模块是具有倾斜性关系特征的信息隐私或个人信息保护制度,主要针对“信息处理者”与个人之间的关系。在适用前提与调整关系方面,这一制度模块的适用前提是存在倾斜性的“信息处理关系”,即信息处理者利用信息技术处理个人信息。例如,欧盟《一般数据保护条例》将“处理”(processing)界定为“自动化”“半自动化”,或者对“存档系统”进行“结构化”的手动处理。美国各州的立法也将其法律适用范围界定在专业化或商业化的个人信息处理场景。我国《个人信息保护法》并未对“处理”概念进行明确界定,但也将纯粹私人性质的个人信息处理排除在外,表明我国也采取了与欧美类似的法律制度。在制度设计方面,这一制度也具有倾斜性保护特征,法律一方面对个人信息主体进行赋权,另一方面对信息处理者施加责任,以合作治理的方式对信息处理关系中的信息主体进行保护。

需要指出和强调的是,个人信息保护制度模块所针对的典型信息处理关系不仅具有倾斜性保护特征,而且具有大规模微型权益保护与持续性信息关系的特征。大规模微型权益保护的原因不难理解,如果信息处理关系是一对一、具有明确损害的侵权关系,则法律完全可以利用侵权隐私的框架进行保护。而在大规模微型权益保护中,个体利用侵权法进行救济的动力和能力非常有限,社会又需要对此类大规模微型侵权进行治理。在侵权隐私制度无法适应此类侵权的背景下,信息隐私或个人信息保护法的制度才得以诞生。同时,如果信息处理关系不具有持续性和交互性,而是一次性、侵入性的,则《个人信息保护法》中的若干制度也无法发挥作用。在缺乏信息关系与交互界面的情形下,个体将无法向信息处理者行使知情决定权、查阅复制权、携带转移权、更正补充权、删除权、解释说明权等权利。只有当信息处理者和个人建立持续性和交互性的关系,《个人信息保护法》中的主要制度才能发挥其功能。

(三)执法隐私制度模块

法律保护隐私与个人信息的第三种制度模块则是纵向性的执法隐私制度。在中文学界的隐私或个人信息保护领域,这一制度模块受到的关注主要限于宪法研究与刑事诉讼研究。最初,执法隐私所针对主要是国家执法机构,例如,国家执法机构针对个人进行侦查、监控所引发的个人隐私保护问题。在我国,《中华人民共和国刑事诉讼法》(以下简称《刑事诉讼法》)等法律法规对其进行了规定。在美国,这一问题则主要被放置在美国《宪法第四修正案》和《监控法》(surveillance law)的框架下进行规范。不过需要指出,美国的《监控法》仅针对有限的窃听等问题进行规范;而美国宪法的框架又过于简单和僵化,很难适应信息与数字时代的执法隐私问题。在美国《宪法第四修正案》的“第三人理论”(third party doctrine)框架下,当事人对于自己对外披露的信息均不具有合理隐私期待(reasonable expectation of privacy),执法机构可以任意获取公共信息或这类当事人向第三人披露的信息。这使得美国执法部门可以广泛获取大量私人企业等主体所保存的个人信息和其他具有隐私属性的个人信息。在执法隐私的学术研究中,美国的制度设计受到了学者们的广泛批判。执法隐私制度需要超越美国《宪法第四修正案》的制度,对执法部门处理所有个人信息进行规范。

此外,执法隐私制度模块还应当针对私人主体执法。很多私人主体不仅获取并拥有大量的个人信息,而且直接承担了政府所要求的部分执法职能,例如上文提到的娱乐场所利用人脸识别机构筛查未成年人。这类关系由于其执法属性,私人主体与个人或公众之间也形成纵向性关系,也应当利用执法隐私的制度加以规范。本文开篇提到的我国《公共安全视频图像信息系统管理条例》,除了对国家执法机构和公共场所管理组织应用公共安全视频进行规范,也同时对旅馆、饭店、宾馆、招待所、民宿等私人主体应用公共安全视频做出规定。我国的相关立法更为符合执法隐私的基本原理与制度设计。

执法隐私也有若干特殊性需要指出和进行强调。首先,执法隐私的主体是公共机构或代表公共利益进行执法的私人机构,而公共执法本身就具有正当性,法律常常需要平衡执法信息与个人隐私保护,寻求与侵权隐私和信息隐私不同的理论基础。从目前的法学理论与法律实践看,学者提出了多种不同的论证。例如,保罗·葛维宝(Paul Gewirtz)教授认为,隐私保护有利于人民自治。如果人民“害怕被人偷听,害怕被公众曝光,害怕自己的言辞成为流言蜚语的话题,害怕自己的亲密关系被公开审查,害怕自己所说的话被认可或不被认可时”,那么人民就不会参与公共讨论,人民意志就难以形成。内尔·理查德(Neil Richard)教授认为,执法中的隐私保护有利于公民个体的自主性,特别是个人的智性发展不受干扰。此外,还可以看到国家对私人信息的过度获取反而会造成执法部门的信息过载,削弱国家的执法能力。国家执法能力的传统研究主要针对传统社会或工业化社会,其主要聚焦点是国家信息汲取能力的不足与国家能力建设的必要性。但在信息与数据化时代,对国家执法能力的研究尤其需要关注信息过载所造成的国家能力下降问题。

从典型场景来看,典型执法隐私制度模块所针对的场景具有一次性或持续性的侵入型特征,区别于个人信息保护典型场景中的信息处理关系。一次性侵入的执法隐私典型是刑事案件中的个案侦查,而持续性侵入的执法隐私典型是公共安全监控。但无论是具有一次性还是持续性特征的执法隐私,执法者与个人之间都具有侵入性或对抗性,二者主要是侦查、预防等关系。而在典型的个人信息保护所针对的信息处理关系中,信息处理者与个人之间形成了兼具互惠与侵害的关系。执法隐私中的侵入性与对抗性特征,使得执法隐私也难以适用《个人信息保护法》中的很多制度。例如,在刑事侦查中,赋予个体知情决定权、查阅复制权等权利,将会严重干扰或彻底破坏执法机构的执法努力。整体而言,执法隐私主要通过对执法者进行规范而非赋予个体信息权利来保障个人隐私。

(四)小结:从信息区分到制度区分

从个人信息保护的三种制度模块出发,就能理解为何人脸识别信息与人脸图像信息的二分保护框架存在问题。这种二分保护框架从人脸信息本身的特征分析相关问题,忽略了人脸信息保护应当首先分析不同制度所适用的场景与制度功能。从人脸信息区分转向制度区分,上述问题则会迎刃而解。

就制度适用而言,无论是人脸识别信息还是人脸图像信息,其制度适用取决于其信息处理的场景是否与某一制度相对应。如果某一场景与侵权隐私、信息隐私与执法隐私中的某一制度高度对应,则该场景就应完全适用其中的某一制度。而在场景与制度不对应的情形中,则应进一步分析某一制度的具体功能,并对该制度进行拆分、重组、改造或转型升级,以更好地应对无法与制度完全匹配的场景。

就人脸信息的属性而言,无论是人脸信息的敏感性、公开性还是私密性,都首先是特定制度工具的一部分,都必须结合具体制度及其制度功能来进行判断。其中,敏感性与公开性是个人信息保护制度的组成部分,某一信息是否敏感与公开,取决于将这类信息纳入敏感个人信息与公开个人信息,是否可以有效对这类信息进行治理。而私密个人信息则是侵权隐私制度中的相关制度,人脸信息是否属于侵权隐私中的私密信息,取决于隐私侵权中的个人处于何种场景,获取人脸信息的主体与个人之间的关系如何,其获取的人脸信息在多大范围公开、被用于何种目的等因素。


四、制度模块视野下的人脸信息保护

在原理反思的基础上,本部分进一步对人脸信息保护进行制度建构。具体而言,本部分将按照上一部分所提出的侵权隐私、信息隐私与执法隐私制度对涉及人脸信息的场景进行分类建构。正如上一部分所述,有的场景与制度高度契合,有的场景则与制度存在错位,法律需要对制度整体进行重构。

(一)人脸信息的侵权隐私保护

首先,侵权隐私可以适用于拍照录像、个人视频监控等各类与该制度相对应的典型场景。在这些场景下,判断相关人脸信息处理是否构成隐私侵权,取决于相关行为是否违反社会规范或一个社会中理性个体的合理预期。以拍照录像为例,利用手机进行拍照录像,拍到他人人脸;在公共广场、商业街道、旅游景区拍摄包含一般人脸图像的视频并上传至社交网络,都不应被视为侵权。在这类场景中,每个个体都应当能够预期自己的人脸信息有可能被他人拍摄与分享。但是,如果此类拍照录像是对特定个体进行跟踪拍摄,或者是针对未成年人进行未经允许的人脸特写拍照并将其广泛分享,则相关行为可能构成隐私侵权。再以个人视频监控为例,当普通个体在其房屋外或家门口安装视频监控,如果这类视频监控的区域属于社会理性个体所能预期的范围,则其视频监控到的人脸信息应不属于侵权。但是如果此类监控可以拍摄到他人房屋内的活动,或者此类监控可能构成对邻居等特定个体的行踪轨迹的监控,则此类视频监控就属于侵犯他人隐私。

侵权隐私中的人脸信息保护也常常需要考虑其他合法权益。例如,在涉及媒体报道、公共人物与公共事件的情形中,法律需要平衡隐私权与舆论监督、公共讨论的需求。而且即使是个人从事此类行为,其侵权行为的边界也应当有所变化。例如2019年,有父母将一名6岁的小女孩绑在树上进行教育,一位路人担忧小女孩情况,对这一情形进行了录像,并将视频私信给新浪微博大V进行传播,此案最终引发了相关诉讼。在本文看来,此案对未成年人的人脸信息进行法律保护具有合理性。但此案与一般拍摄未成年人的行为不同之处在于,此案中的路人是因为担忧未成年人的安全而进行的拍摄和传播,具有见义勇为和社会监督的性质。虽然事后证明该案中的父母并没有伤害其孩子的意图,但在当时的情形下,该名路人的拍摄与传播行为不应受到法律的否定。

其次,在非典型场景下,侵权隐私也可以适用于信息隐私或执法隐私对应的场景。尽管侵权隐私是一种横向保护的制度,但当事人仍然可以将信息处理者或执法者视为侵权法上的侵权者。当然正如上文所述,在信息隐私或执法隐私的人脸保护场景中,适用侵权隐私可能面临制度失效的困境。例如,信息处理者违规处理大量人脸信息、执法者违规对个人人脸信息进行识别。在这些场景中,个体很难对自身权益进行有效救济,在绝大多数情形下,个体既难发现其权益受到侵害,也难对造成的损害进行举证。而且即使极少数个体能够对自身权益进行救济,其他被违规处理的海量个体权益也无法得到保护。

面对非典型场景下制度与场景的错位,一种方案是直接诉诸信息隐私或执法隐私保护制度,寻求与场景更相对应的制度工具。而另外一种方案则是对侵权隐私制度进行改造与升级,使得侵权隐私制度仍然能够发挥其作用。例如,在综合性个人信息保护制度仍然缺位的美国,很多学者就主张降低隐私侵权中“损害”的认定标准,允许更多的隐私侵权被法院接受与认可,以重新发挥侵权法对于大规模侵权的治理作用。不过,这种制度的改造也是双刃剑,降低隐私侵权中“损害”的认定标准,可能导致法院的案件大量增加、监管过度等“私人执法”问题。

(二)人脸信息的信息隐私保护

首先,正如上文所述,信息隐私高度对应一对一人脸识别验证这一场景。在一对一的人脸识别场景下,处理者与个人之间不但具有不平等的信息处理关系,而且人脸识别信息又具有很强的个体属性。人脸识别信息的这种特征使得这类信息具有类似早期档案类个人信息的属性。个人信息保护法的早期制度,即公平信息实践制度,起源于对个人税收记录等个人档案类信息的保护。对于此类较为重要和处理频次较低的信息,个体具有较强的自我保护动力,赋予个人信息权利和强化个体的信息自我控制,不会陷入“隐私悖论”(privacy paradox)或隐私自我管理的困境。就一对一的人脸识别本身而言,这一制度适用信息隐私制度应无疑议。

其次,对于一些与信息隐私保护不完全匹配的非典型场景,信息隐私制度模块应当进行改造和适用。以上文提到的商业化多对一或多对多的人脸识别场景为例,当商场对顾客进行人脸识别并进行商品推荐、顾客服务,此类场景中的商场与个人之间仅具有有限的交互性,而且其交互性是针对进入商场的所有顾客,而非针对特定个人。针对其场景的特殊性,法律应当赋予个体以个人信息权利中的知情权,但不应要求商场保证个体的决定权等其他权利。商场如果选择使用人脸识别技术,就需要在入口等显著位置对顾客进行提示,告知其使用了人脸技术,但商场不太可能无法获得顾客的事前明示同意,对于已经进行人脸信息识别的顾客。而且由于商场是与整体顾客进行有限交互,商场也很难保证某个个体用户的人脸信息可以被查阅复制、携带转移、更正补充或删除。当然,由于顾客对于人脸图像或人脸识别信息处理往往较为敏感,商场应当遵守信息处理者责任中的相关制度,特别是严格遵守“目的限定”“数据最小化”等要求。一旦商场的人脸识别突破“目的限定”与“数据最小化”要求,将其应用于跨商场追踪,个人的隐私合理期待就会受到严重挑战。

再以目前争议较大的人工智能人脸识别训练为例,人工智能人脸训练所依赖的人脸识别数据早期主要依赖个体授权,但随着人工智能对于数据量的需求暴增,目前的人工智能人脸识别训练数据主要源于对互联网上可公开获取的人脸图片进行爬取、识别与标注。在本文看来,信息隐私的制度模块应避免对此类场景适用个人信息权利部分,但应当适用信息处理者责任部分。就个人信息权利而言,人工智能企业与个人之间完全没有交互场景,而且其对人脸信息的训练型利用也不会对个体直接产生侵害,此时个人信息权利中的知情决定权等权利都无法有效行使。就个人信息处理原则而言,人工智能人脸识别训练的目的也往往和其人脸信息在互联网上公开的初始目的并不一致。在个人信息权利与个人信息处理原则方面对个人信息保护制度进行调整,允许人工智能企业对互联网公开途径获取的人脸图像与人脸识别信息进行训练,既符合我国《个人信息保护法》的相关规定,也有利于大规模数据的聚合与人工智能的发展。当然,人工智能企业处理此类人脸信息也会带来社会风险,例如,大规模泄露人脸数据可能造成安全风险、人脸数据训练不当可能对特定人群造成歧视。基于这些考虑,法律应对人工智能企业适用人脸信息安全保护、合规审计、影响性评估、信息泄露补救措施等法律责任。

(三)人脸信息的执法隐私保护

执法隐私制度涉及的人脸保护典型场景包括个案侦查与公共监控。二者的共同之处在于均基于公共利益需求,且执法者与个体均构成纵向执法关系。从二者的共同性出发,执法隐私制度在这两种场景中都应当注重对执法者收集、传输、显示、存储、使用人脸信息进行全流程规范,而非通过信息隐私制度中的个人信息权利而保护人脸信息。正如上文所述,执法隐私中的执法者与个人之间具有纵向侵入性与对抗性关系,这种关系不同于典型信息隐私场景下兼具互惠性与侵入性的信息处理关系。

当然,个案侦查与公共监控中的人脸信息保护也有不同之处。个案侦查涉及刑事案件,往往需要对具有私密性或秘密性的人脸信息进行侵入性侦查。这决定了个案侦查中的人脸信息保护需要法律对执法者进行更为特定具体的授权,对执法者进行更为严格的程序性规范。我国《刑事诉讼法》规定,采取“技术侦查措施”需要“根据侦查犯罪的需要,经过严格的批准手续”“必须严格按照批准的措施种类、适用对象和期限执行”。美国宪法也规定法院发出的搜查令(warrants)必须“有合理根据(probable cause),以宣誓或代誓宣言保证,并具体说明搜查地点和扣押的人或物”,一般性的搜查令(general warrants)与美国宪法相抵触。中美等国家和地区的此类规定,都反映了法律需要对人脸信息的侦查进行严格规范。而且正如上文所述,此类规范需要突破美国法仅关注非公开场所的制度模块,将人脸信息侦查的全流程纳入法律规范框架。

相较而言,公共监控中的人脸信息具有事前一般预防的特征。就人脸视频监控对象而言,公共监控所收集的人脸信息涉及公共空间的所有个人,而非仅仅刑事个案所涉及的人脸信息。因此就制度而言,人脸视频监控并不需要获得一般性授权,整体坚持“统筹规划、合理适度、标准引领、安全可控”的原则。不过也正是因为其权限较广,其部署应当仅限于公共空间,排除“安装图像采集设备后能够拍摄、窥视、窃听他人隐私”的区域、部位。就监控目的而言,人脸公共视频监控包含了维护公共安全、信息追溯、威慑犯罪与侵权等目的。因此人脸公共视频监控虽然无法获得个体或公众授权,但应该在显著位置设置显著标识,告知公众存在监控视频。公共监控的显著标识除了可以有效威慑犯罪与侵权,对于获取公众信任也有重要意义。如果公共监控视频没有相关提示,甚至在公共空间秘密部署,则公共监控视频就可能变为一般性技术侦查措施,公众可能反而会因为此类秘密监控而感到不安全。

对于执法隐私制度涉及的非典型人脸保护场景,执法隐私制度也应进行改造性适用。例如,在企业等私主体的执法场景中,很多企业不仅进行人脸公共视频监控和维护其内部营业安全,而且对此类监控视频进行人脸识别与违法人员筛查。例如,上文提到的娱乐场所利用人脸识别技术筛查未成年人,网约车利用人脸识别技术筛查可疑犯罪分子。此类情形构成私人执法或委托执法(delegated enforcement)。在本文看来,对于私人执法是否应当被允许,私人执法应当遵守何种程序,需要考虑多种因素。就执法权限而言,人脸识别所涉及的违法行为的严重性程度越严重,私人执法者越难找到人脸识别之外替代性的执法方法,人脸识别执法造成的执法错误或附带侵害越小,私人利用人脸技术进行执法就越应当被允许。就执法规范而言,法律需要对私人执法进行严格规范,以避免私人执法对公众权益造成侵害。《公共安全视频图像信息系统管理条例》对此已经做出若干规范,例如,“建立系统监看、管理等重要岗位人员的入职审查、保密教育、岗位培训等管理制度”“采取授权管理、访问控制等技术措施,严格规范内部人员对视频图像信息的查阅、处理”“建立信息调用登记制度,如实记录查阅、调取视频图像信息的事由、内容及调用人员的单位、姓名等信息”。当私人主体进一步利用此类视频图像进行人脸识别,法律应当在私人主体遵守这些规定的同时,进一步制定其人脸识别执法的程序与制度。


五、结语:制度与场景如何对齐

本文对人脸信息保护进行整体图景分析,指出将人脸信息区分为技术性识别的人脸识别信息和自然识别的人脸图像信息,并对其进行二分保护,会带来很多问题。有的人脸识别场景并不适合适用信息隐私或个人信息保护制度,有的人脸图像信息也可以部分适用信息隐私或个人信息保护制度。人脸图像并不必然具有公开性、非私密性,而人脸识别信息也未必因为其生物性特征而变得具有敏感性、非公开性、私密性特征。这些现象产生的根源在于,人脸信息和其他所有个人信息保护一样,其保护取决于人脸信息流通与利用的场景。如果对人脸信息本身进行保护与属性认定,其结果就会导致制度适用悖论,很多制度将无法发挥作用或带来负面效果。

为了超越人脸信息保护的悖论,本文区分了隐私与个人信息保护的三种典型制度模块:侵权隐私、信息隐私与执法隐私。其中侵权隐私是一种横向性制度,这一制度主要维护横向社会主体之间的关系;信息隐私是一种倾斜性制度,这一制度主要维护信息能力不平等主体之间的关系;执法隐私则是一种纵向的制度关系,这一制度主要维护执法者与个体或公众之间的关系。无论是侵权隐私、信息隐私还是执法隐私,法律都需要通过对人脸图像信息或人脸识别信息的保护而实现合理的信息关系,促进横向性、倾斜性与纵向性关系中不同主体的信任。本文将人脸信息保护放置在这三种不同的制度模块下进行分析。其中有的场景完全对应某一制度模块的典型场景,因此其制度与场景高度对应。但更多的场景则并非完全对应某一制度,对于这些场景,应当对制度模块进行拆分、重组、改造或转型升级,并将改造后的制度适用于这些非典型场景。

人脸信息保护看似是一个小问题,但揭示了具体场景与法律制度对齐的一般原理。在法学研究与法律制度设计中,人们常常会根据直觉对法律适用对象进行分类。例如,在本文的例子中,人们的第一直觉往往区分人脸信息属于人脸识别信息还是属于人脸图像,同时对其进行二分保护。但正如本文研究所表明的,直觉性的分类可能反而带来更多问题。究其原因,直觉性的分类是人们根据日常经验所形成的第一反应,是人们理解与应对现实世界的表象性认识,而法律制度所要处理的问题往往具有复杂性,需要超越此类直觉性或表象性认识。法律需要既全面深入了解相关场景,又对制度的分类与功能进行更为准确地把握。如此,法律才可以在匹配的场景中适用相关制度,在不匹配的场景中改造与升级相关制度,场景与制度才能真正对齐。



文章来源:《行政法学研究》2026年第1期


   通知公告

  • 暂无相关记录!
【编辑:杨昊一