“多層次”法律規范保護人臉識別信息

　　因為人臉識別技術不當應用和人臉識別信息被不當處理所引發的個人信息保護話題備受關注。公眾對人臉識別技術的擔憂不斷加深，加強人臉識別信息保護的呼聲日益高漲。在此背景下，最高人民法院出臺了《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》（下稱《規定》），為因處理人臉識別信息引起民事糾紛的案件提供審判指引。其后，全國人大常委會通過了我國第一部專門保護個人信息的個人信息保護法，對人臉識別等問題作出詳細規定。個人信息保護法和《規定》的出臺加強了我國對人臉識別信息的法律保護，也反映出規范人臉識別技術應用、保護人臉識別信息已成為當下亟須解決的重要命題。

　　人臉識別信息的敏感屬性。規制人臉識別技術應用帶來的風險、嚴格保護人臉識別信息的前提是明確人臉識別信息在法律上的屬性。人臉識別信息來源于自然人面部，能準確識別特定自然人，具有直接識別性、獨特性和唯一性，《規定》明確規定人臉識別信息屬于 生物識別信息。

　　個人信息的種類繁多且敏感程度各有不同，以個人信息的敏感程度為標準可分為敏感個人信息和一般個人信息。個人信息的敏感度越高，被非法處理后對信息主體造成傷害的可能性和程度越大。個人信息保護法將敏感個人信息定義為一旦泄露或被不當收集、存儲、使用、加工等處理后極易令信息主體人格尊嚴受到侵害或人身財產安全受到傷害的個人信息。其中，人臉識別信息等生物識別信息是敏感個人信息的典型。

　　人臉識別信息以或顯或隱的方式表征著自然人的人格，一旦被非法收集、使用、存儲、傳輸、披露，對信息主體造成歧視、人格尊嚴貶損和隱私泄露等后果可能伴隨一生。因此，屬于敏感個人信息的人臉識別信息被非法處理的后果較一般個人信息更為嚴重，需要法律的特殊保護。

　　我國人臉識別信息保護的立法現狀。我國暫未出臺專門保護人臉識別信息的法律，保護人臉識別信息主要依據現行法中關于敏感個人信息、一般個人信息和隱私權的規定?！墩餍艠I管理條例》是我國最早對生物識別信息進行嚴格保護的行政法規，原則上禁止征信機構采集個人宗教信仰、生物識別信息等個人信息。但該條例效力層級較低，對人臉識別信息的保護力度不足。民法典以私密度作為分類標準，將個人信息分為私密信息和非私密信息，雖沒有明確人臉識別信息的敏感個人信息屬性，但為人臉識別信息提供了民事基本法的保護依據?！兑幎ā肥俏覈谝徊筷P于解決人臉識別信息民事糾紛的司法解釋，規定了濫用人臉識別技術處理人臉識別信息的行為性質、責任、免責事由以及包括公益訴訟在內的民事訴訟程序，為人臉識別信息被侵害提供了較為完善的司法救濟。個人信息保護法作為我國個人信息法律保護的里程碑，首開敏感個人信息與一般個人信息區分保護之先河，設專節嚴格規范包括人臉識別信息在內的敏感個人信息處理行為，對人臉識別信息提供了綜合、全面的法律保護。

　　個人信息保護法對人臉識別信息的特別保護。個人信息處理規則是個人信息保護法的立法重點。人臉識別信息自被收集起，信息主體便逐漸喪失對該信息的控制。由于人臉識別信息被侵害的后果具有不可逆轉性，即便事后彌補也無法減輕已造成的損害程度，更無法消除已產生的負面影響。不對人臉識別信息處理行為進行嚴格規制，便無法真正地破解信息安全風險，從根本上保護人臉識別信息。個人信息保護法對人臉識別信息的處理行為有以下四點要求：第一，確立“特定目的”和“充分必要”處理原則。為減少收集、存儲、使用、傳輸等處理人臉識別信息行為對信息主體的傷害，要求信息處理者只有在滿足“特定目的”和“充分必要”并采取嚴格保護措施的情況下才可處理人臉識別信息。第二，擴大“知情同意規則”中告知內容的范圍。鑒于人臉識別信息的高度敏感性，信息處理者除向信息主體告知人臉識別信息的處理目的、方式、種類和保存期限等內容外，還應告知處理人臉識別信息的必要性以及對個人權益的影響。第三，明確“知情同意規則”中同意的形式。處理人臉識別信息時必須獲得信息主體單獨的專項同意，在法律、行政法規有特殊規定時還需取得信息主體的書面同意，以滿足信息主體對其人臉識別信息保護的要求。第四，進行事前個人信息保護影響評估。要求信息處理者在處理人臉識別信息時進行事前個人信息保護影響評估，以檢驗處理人臉識別信息的目的、方式是否合法、正當、充分必要，所采取的保護措施是否合法、有效且與此處理行為對信息主體權益的影響相匹配。

　　人臉識別技術的無接觸性令信息處理者在未取得信息主體同意的情況下即可處理人臉信息。尤其在公共場所，該技術的強隱蔽性對個人信息處理規則的破壞表現得更為突出，更遑論信息處理者取得人臉信息主體單獨、書面的同意。因此，個人信息保護法對此作出了特別規定，在公共場所安裝個人身份識別設備時須為保障公共安全所必需，并設置顯著標識進行提示；所收集到的個人畫像和身份特征信息只能用于維護公共安全目的，除非獲得信息主體單獨的同意，原則上禁止向他人提供或公開。

　　個人信息保護法為保護人臉識別信息構建了嚴格的事前信息處理規則，除此之外還為侵害人臉識別信息的行為規定了罰款、吊銷營業執照、損害賠償等行政、民事乃至刑事責任，以增強對違規使用人臉識別技術、侵害人臉識別信息的行為的威懾力。