1. 引言

人脸识别是一项生物识别技术，它可以通过对人脸信息的自动化处理，实现验证个人身份、辨识特定自然人或者预测分析个人特征等目的。随着大数据和云计算等领域的不断突破，人脸识别高速发展并进入大规模应用阶段。人脸识别技术被广泛应用于商场监控、门禁系统、刑事侦查、网络支付等领域，为推动国民经济增长作出了显著贡献。人脸识别技术带来的便捷高效服务，大量减少了人力和时间的投入，给人们创造了一种更加便捷的生活方式。

与此同时，技术应用暴露出的问题也逐渐凸显出来。违法采集、过度使用、非法买卖人脸信息等人脸识别技术滥用引发的个人信息保护危机是大数据时代社会关注的重点。2019年10月，浙江理工大学特聘教授郭兵因不同意接受野生动物世界人脸识别的入园方式向法院提起诉讼，该案凸显出个人信息保护特别是生物识别信息保护的困境，以及人脸识别技术在实践中出现的利益失衡等问题，被称为“人脸识别第一案”。¹《人脸识别应用公众调研报告》²指出，两万多名被调查者中，绝大多数都使用过人脸识别技术，近65%认为存在滥用人脸识别技术的倾向，30%表明曾因人脸信息泄露、滥用等遭受损失，或隐私权受到侵害。

由此可见人脸识别侵权责任的认定存在人脸识别侵权对象不明、侵权责任主体难以确定、侵权行为识别难、损害事实认定标准高以及归责原则适用存在困境等疑难问题，本文的研究有利于为司法实践提供参考，促进法律的统一正确理解和适用，解决司法实践中的难点，正确确定各方的责任，保障诉讼各方合法权益，提高司法公信力。同时有助于促进人脸识别的稳定、有序发展。人脸识别作为一门新技术，对传统的社会和法律都提出了新的挑战，对人脸识别侵权责任认定的研究可以在一定程度上缓和技术带来的效益和风险之间的冲突，避免过于严格的规制阻碍技术的发展和进步。

2. 人脸识别技术的内涵及特征

2.1. 人脸识别技术的内涵

人脸识别技术是以人脸为研究对象，通过分析人脸的性格特征，判断人脸的存在与否，获取人脸的位置、尺寸、部位等信息，进而提取人脸的相关属性，并与现有的人脸信息进行比对，实现人脸的识别。从广义上来看，人脸识别是指通过图像获取、预处理、特征提取、匹配与识别等一系列技术，将人的脸和自然人的身份对应起来的技术。也就是说，广义上的人脸识别其实包含了一系列与构建人脸识别系统有关的技术[1]。而狭义上的人脸识别则是指通过人脸识别来实现的识别技术。

为了更好的保护人的面部识别信息，首先必须厘清人脸识别信息的法律性质。关于人的面部识别信息的法律性质，有学者提出了不同的观点，比如隐私权和声音权等。支持“隐私权”的学者则认为，生物识别信息是一种敏感的个人信息，应当受到法律的保护，以免非法收集和公开披露。杨立新教授认为，其中的声音人格利益具有独特性，应该设立单独的“声音权”等等。本文认为，“隐私权”的观点并没有为生物鉴别信息的使用提供利用价值，而“声音权”的观点并不包括所有形式的生物鉴别信息，相反，只有“个人信息权”适用于生物鉴别信息的特征。一方面，信息拥有者享有广泛的权利要素，如“信息的获取、信息的决策、信息的获取、信息的更正权和保障的权利”，与生物识别信息联系更加紧密，另一方面，除了侵犯生物识别信息之外，信息权持有人还有权要求人格权请求权和侵权责任请求权，从而确保他们通过保护其精神和物质利益，保障权利人得到充分的补救。

2.2. 人脸识别技术的特征

1) 人脸识别具有高度人身关联性

目前，生物辨识技术已经有了很大的发展，除了最先进的指纹辨识技术之外，人脸辨识、声音辨识、虹膜辨识等也都有了很大的进展。生物特征识别技术都是通过收集和鉴定个人的生物特征来实现个人身份的，所以它们各有不同的特征。

具体而言，不同的生物鉴识别技术与人之间的密切联系有所不同。人们使用面部识别技术来识别身份，将人的面部识别信息区分开来，利用人脸信息识别个体的方法，直接通过人脸数据的比较来识别使用相同的生物特征，中国信息通信安全研究院认为，用生物特征识别人类个体的方法是“自然”的体现，是人脸识别技术的优点之一。

另外，一个人的脸部辨识技术，不仅与自然人的肖像权有关，还与该自然人的精神与物质利益有关，而且，它与诸如声音辨识、躯体辨识等其它具有“自然性”特征的生物辨识技术相比，更易于引出、使用，也更易于引发侵权问题。

2) 人脸识别过程具有隐蔽性

人脸识别这种新的解锁方式的出现使人们可以很容易地认出人的面孔，完成解锁。与用触摸传感器识别和辨认指纹的技术不同的是，面部识别技术并不要求用户直接触摸手机，而只需要将前摄相机对准脸部，这样就可以在不需要大量手动参与的情况下打开“面部识别”电话。在人脸识别技术被广泛用于手机解锁的同时，它也在不断地主动地对各种软件进行识别，这些软件中有很多都是根据用户的姓名来登记帐号，并且没有“跳过”的功能，即未经允许，不允许开启相机来获得对方的脸部资料，就不能成为这个软件的使用者。

然而，一些手机程序甚至没有提供相关的提示，个人在不知情的情况下被“刷脸”，而且由于面部识别技术的非接触性质，人们的面部识别信息基本都是秘密收集的。在许多公共场所，例如机场、高铁、车站和医院，面部识别系统更是如此，这些系统用于安全检查目的，其独立的面部识别程序往往是在未经公众知情和事先同意的情况下收集的，从而使得对个人信息的侵权风险也具有隐蔽性[2]。

3) 侵害后果具有不可逆性

如上所述，面部识别技术提供的关于人的面部识别信息具有人身联系性，与自然人的肖像直接相关。此外，人的面部识别信息是唯一的生物信息，也就是说，关于人的面部识别信息只是用来检查只有一张面孔的自然人的身份。如果有人的脸部特征被泄露，那么这个人就只能拥有一张脸。一旦面部信息被泄露，就不能再被修改了。

3. 人脸识别技术侵权法律救济的困境 

3.1. 立法规范不足，且各法律规范适用的协调性差

首先，在我国现行法律规范体系中，有关人脸识别的法律规定十分零散，但整体置于个人信息保护规范的框架之下，没有单行的部门法，在法律规范层面人脸识别存在供给不足的问题，无法满足实践对人脸识别相关保护的需求。从个人信息保护层面看，个保法仅原则性规定了个人信息和敏感个人信息的处理规则，生物识别信息、敏感个人信息的相关规定都寥寥可数，相关立法规范不足。个保法第62条规定国家网信部门负责统筹协调制定人脸识别的专门保护规则，但目前仍没有再制定专门的部门规章等规范，人脸识别相关立法规范缺位。从人脸识别法律规范层级上看，位阶越高的规范，对人脸识别的规制越笼统，位阶越低的规范对人脸识别越关注。但这些低位阶的规范效力有限，无法完全发挥对人脸识别的规制作用。例如，《安全规范》虽然相对地更详尽规定了人脸信息与处理规则，但它仅仅是指导性文件，不属于正式的法律法规文件，没有强制力；《征求意见稿》对人脸识别的相关规定为国家非强制标准，其法律位阶低且尚未正式公布实施，约束力有限；一些地方性法规如《天津市社会信用条例》中人脸识别的规定作用范围有限。因此，人脸识别相关的立法规范中以位阶较低、效力有限的“软法”居多，而法律位阶较高、效力等级较高的“硬法”规范不足。从人脸识别法律规范内容上看，我国以人脸信息法律规范为主，缺乏相关算法方面与应用方面的规范。人脸识别技术以数据(主要对应人脸信息)和算法为支撑。我国现行法律对人脸信息规范较多，缺乏对人脸识别算法层面的规制，算法自身安全风险和算法歧视风险无法得到有效规避。综合上述三方面，人脸识别法律规制存在立法不足的问题。

其次，人脸识别相关法律规范之间衔接不足，法律规范适用的协调性差。一方面，涉及人脸识别规制的各项规定之间存在冲突，如个保法与《网络安全法》对某些与人脸信息相关的性质相同的法律行为的责任规定存在一定差异；另一方面，刑法只打击严重侵犯人脸信息的行为，人脸信息的民事救济较薄弱，行政法与刑法也无法有效衔接，给司法实践带来困难，如《人脸识别解释》只用几则条文概括性规定了信息处理者的民事责任，《网络安全法》第6章与个保法第7章所规定的行政监管与处罚可以视为人脸识别行政法规制的补位，这些规定仍不够具体，采用率低，但仅靠刑法的单薄之力又难以全面覆盖对人脸识别的保护。

3.2. 监管主体不明确，监管措施混乱

信息主体的维权成本高、困难大，表明对人脸识别技术应用的规制仅靠立法规定和司法救济不够，需要行政部门介入进行监管。当前对人脸识别技术应用缺乏统一的行政监管机构和具体的监管措施。个保法第60条以“国家网信部门”与“有关部门”等词语规定了履行人脸信息保护和监管职责主体，无论是对监管机构还是监管职责的规定，该条款都过于笼统，存在许多不确定性。事实上，对人脸识别技术应用形成了多头监管的局面，网信部、工信部、工商行政管理局、市场监督管理局、公安机关等都对人脸识别技术应用负有一定监管职责。例如，网络安全问题依靠网信部门监管，违法处理人脸信息的行为主要由市场监督管理局处罚，涉及窃取数据信息的又会牵扯到公安机关的监管。由于多方机构对人脸识别负有监管职责但职责重叠或界限模糊，在监管过程中存在或多头执法，或各监管机构“踢皮球”互相推诿扯皮不作为的问题。同时，不同领域、不同部门对人脸信息保护的规定可能存在差异，不利于法律的统一实施。总体而言，我国人脸识别监管存在监管主体不明确，监管机构之间协调性较差，监管措施混乱的问题[3]。

从监管过程来看，对人脸识别技术应用的监管分为事前、事中、事后三个阶段的监管。目前我国的监管机制更侧重于以事后处罚的形式对人脸识别进行监管，法律法规条文缺少事前预防和事中监管的相关规定，没有涉及到人脸识别技术应用的全过程，监管机制难以覆盖人脸识别的层层面面，综合监管能力弱。从事前预防角度看，实践中无论是公用还是商用，人脸识别技术应用的准入门槛低，对人脸识别技术投入使用前的安全认证与监管薄弱，人脸识别系统本身存在的问题无法规避，人脸识别系统的滥用也与人脸信息的过度收集与使用等问题存在关联。从事中监管角度看，监管机制还应包括有关人脸识别技术应用中的风险考评机制等，以定期对信息处理者进行固定或随机的安全检查和风险考评。综上两方面，当前我国对人脸识别的监管机制对事前预防和事中评估与监督环节的规定较薄弱没有覆盖到人脸识别技术应用的全过程，监管过程不到位。

3.3. 举证责任证明困难

在人脸识别技术的应用过程中，收集到的人脸信息的主体是多元化的[4]，它所牵扯到的法律关系也是多种多样的，具体而言，它主要包括了两类在线应用场景。在互联网的应用场景中，人脸识别技术的实际开发者、运营商和用户，将会有很多关键的参与者，比如：人脸识别系统的开发者、移动互联网应用、社交网络平台、网络用户，甚至是手机厂商。在线下场景中，还会有许多关键参与者，如人脸识别技术设备开发商，人脸识别技术运营商，人脸识别技术用户和监管机构等。不管是在线下，还是在线上，人脸识别技术的使用都是一个动态的过程，在人脸信息采集完毕之后，将会被存储到互联网平台上，在人脸信息的产生、收集、存储、开发、传输和处理的各个环节，都有可能出现人脸信息泄漏的情况。

特别是在信息泄露的情况下，侵权主体不涉及技术开发者，信息控制者，存储信息的平台，还涉及第三方侵权，大数据的广泛使用，信息处理主体的多样性，信息处理过程的复杂性，自动化决策，处理者主观错误与违规之间的因果关系，结果一般公众是很难知道的。在司法实践中，由于自然人和信息控制者的实力存在较大差距，自然人缺乏专业背景和收集相应证据的能力；当受害者知道自己在信息泄露中受到侵犯时，也难以找到信息泄露的来源；此外，网络空间中大量的人脸信息被侵犯，网络的虚拟特征使受害者难以追回原始侵权主体。另一方面，在证据获取和证据识别上，当事人之间呈现出明显的不对称性。在实践中，由于当事人对自己举证能力的评估、对侵权主体或证明信息泄露与侵权之间因果关系的认知以及对证据的收集和使用的技巧等因素，使得当事人在举证中难以准确地区分自己与对方当事人，从而更多地表现出自我错误识别[5]。

因此，自然人通常很难证明行为人的主观过错和因果关系，自然也就不可能认定信息处理者的侵权，经常会面临着败诉的结局[6]。

4. 人脸识别技术侵权法律救济制度的改善

4.1. 完善人脸识别技术信息保护的立法规制

1) 加快立法，制定相关法律规范

首先，明确规定人脸识别与人脸信息。我国目前除《人脸识别解释》对人脸信息做了简单规定外，没有专门的立法规定人脸信息的概念及处理规则，只是将其列举至相关上位概念中加以保护。应当明确区分一般个人信息与其下位概念敏感个人信息、人脸信息。实际上，法律概念不是一成不变，其内涵外延可能随着时代发展有所变动，发生一定的限缩或扩张。因此，应以人脸信息的本质特征为基础，综合其他特点与相关概念，以法律规范的形式对人脸信息的概念加以界定。另外，人脸信息与隐私存在交叉，在一定场合对二者的判断可能会发生遗漏，如遗漏隐私范围之外的属于人脸信息的部分，对信息主体的保护可能难以落实。因此，应将二者加以区分，不可互相替代。其次，应针对生物识别信息或人脸识别进项专项立法，如制定人脸识别行政法规，解决目前高位阶规范缺位的问题。目前的人脸识别行业技术标准等规范性文件的效力与权威性不足，虽具有参考性但无法成为人脸信息保护的法律依据。因此，应加快制定位阶高、效力高的人脸识别相关法律规范。最后，制定人脸识别算法层面的规范。人脸识别应用离不开算法的大数据分析。单一的人脸信息规范无法规避技术漏洞等引发的安全风险和算法歧视风险。算法是一种具有可规制性的人机交互决策，可以从算法公开层面、个人数据赋权层面与反算法歧视层面构建完善的算法制度[7]。

2) 增强法律规范的互动与协调性

法律规范较笼统或各规范之间的规定存在差异，都可能破坏法律体系的整体效力。应确立统一标准，重视低位阶法律规范的特殊性、细节化规定，增强上下级法律规范之间的互动性，处理好上位法与下位法之间的关系以及一般法与特殊法之间的关系。同时，应加强部门之间联合立法，增强各部门法的协调性，人脸识别规范的适用实现刑法、民法、行政法的有效衔接，以及各部门、机构之间可以职责明确、各司其职，增强法律规范的协调性，实现法令畅通。

4.2. 健全人脸识别技术信息保护的行政执法监管机制

1) 明确相关监管机构主体以及权责范围

我国虽有网信办、市场监管局、国家信息中心等机构组成监管网，但是这些机构或者执法单位都不是人脸识别信息或者生物识别信息层面专业化、专门化的监管主体。对于人脸识别信息相关的行政监管往往需要多重机构协同进行，但对于监管主体的权力大小、主次之别并没有明确规定或者司法指导。考虑到我国以科技发展为重心，人脸识别在当前及今后阶段势必会广泛运用与创新，互联网与线下的高速融合使得人脸识别信息不仅仅在局限于现实生活或者网络安全的某一固定领域，现有的市场监督管理局或者网信办都不足以涵盖信息主体可能被侵权的领域机构工作的过度超载化也会让信息安全防护大打折扣。因此，专门化、专业化的监管必不可少，且人脸识别信息独特特征使得建立国内协调统一的个人信息保护专门化机构迫在眉睫。

个人信息保护专门化机构主要负责人脸识别信息控制者的审查、公开与查询。即根据公私主体以及行业领域的不同实行事前登记与事后救济相结合制度。对于人脸识别信息控制者按照商业目的与行业分类登记录入，信息可供信息主体查询以便在侵权时方便确定被告身份，其次，对于人脸识别信息控制者的商业目的与用途进行初步审查，明确其是否符合必要原则，对于三年内接受2次因侵犯个人信息的行政处罚时，可将该踩在“高压线”上的私主体列入黑名单，禁止其对信息的控制权。其次，个人信息保护专门化机构可对于登记的信息控制主体进行定期的审查评估，确认私主体在对控制信息过程中是否达到安全要求。对于蒙混过关，偷工减料的私主体予以警告、罚款、限制信息收集资格等方式给予警示，对于屡教不改的私主体列入黑名单禁止其收集相关个人信息。

2) 建立事前审查和事后救济相结合制度

根据我国目前使用人脸识别技术的情况而言，至少在近年内国内不会叫停或者全面禁止政府部门使用人脸识别技术，那么在这段时间对于人脸识别技术的应用有必要加以规制。事前审查和事后救济制度的运用有利于具体落实《个人信息保护法》中的必要性原则规定。通过事前审查制度核实人脸识别信息采集的正当必要性，事后救济制度的跟进有助于对信息主体权利的弥补。但针对主体的不同，制度运用的侧重点也应当有所不同，对于公主体应当侧重于事前审查制度，对于私主体侧重于事中事后制度。

4.3. 加强人脸识别技术的司法规制保护

1) 被侵权人举证责任倒置

如果只能通过上文所提出的其专门的行政管理机构的监督和提出申诉，当在个人信息受到侵犯时，信息拥有者很难获得全面的补救。为此，在立法机关设立行政投诉通道的同时，也要保障信息持有者的合法权益。然而，在使用人脸识别技术造成信息主体的隐私受到侵犯时，很少有人会选择通过法律途径来解决。

之所以会出现这种情况，具有两个原因，一方面，由于公众对保护个人信息缺乏认识，或者由于公众不知道有关人脸识别信息是私自收集或使用的，或者不知道这种收集或使用是非法的；另一方面，虽然一些对保护个人信息有强烈认识的信息持有人希望诉诸司法，但在提供证据方面遇到困难，最终不得不放弃维护自己的权利。

在我国，证据责任是一种以“谁提出，谁提供证据”为基础的证明责任制度。在我国法律未明文规定“证明责任倒置”时，应当适用“证明责任原则”。根据“谁主张，谁举证”的举证原则，原告信息主体需要证明被告主观上存在过错、存在侵害行为、发生了侵害结果，并且侵害行为与侵害结果之间存在因果关系[8]。

然而，在具体应用人脸识别技术时，无论是在经济上还是在技术上，信息主体人根本比不上人脸信息的收集者，以及对收集和使用人的面部信息的程序也不清楚，人的面部识别程序是独立的，对人的面部信息的处理是保密的，信息主体往往面临重大的举证证据困难。因此，基于公平、正义和方便证明的经济性考量，证明责任均应合理划分，而针对人脸识别相关侵权救济的证明责任也应倒置。

2) 区分赔偿适用标准

根据我国《个人信息保护法》第69条第2款规定，对于个人信息侵权损害由个体所受损失金额或者信息控制者获得的利益确定，难以确定数额根据实际情况确定，由此可知我国对于人脸识别信息的侵权标准是造成实质性的损害。那么这就导致在收集、处理人脸识别信息时，若信息控制者侵犯信息主体的知情权、同意权等程序性事项中的权利时会因损害结果无法计算而不能获得赔偿，也会造成知情一同意原则失灵，不能真正发挥应有效用。因此我国亟需完善赔偿标准，具体包括在未告知信息主体或者未征得信息主体同意的情况下收集、储存、处理生物识别信息单位未造成实质性损害结果时，被侵权主体以此提起诉讼，赔偿标准视其侵权的信息数量而定，当出现实质性损害时，依照现有《个人信息保护法》和《规定》的有关条款确定赔偿标准。

5. 结语

技术的应用与发展应该以人为本，要始终以满足人类需要为根本，把服务人类作为最终目的。大数据时代，人工智能和大数据算法的迅速创新，催生了一大批新技术的诞生，其中就包括人脸识别技术。它与传统的密码和指纹识别相比，具有不可比拟的优势。这一点在最近几年来，人脸识别技术的发展和应用也可以预测，未来人脸识别技术在识别身份方面会有无限的广泛潜力。然而，在我国，人脸识别技术在应用方面普遍发生侵权行为，对个人信息保护构成了重大威胁。

为切实保护个人信息免遭侵犯，保证个人信息得到有效保护，国内必须齐心协力，完善相关法律和条例，加速我国在人脸识别信息等隐私信息方面的立法，强化相关政府部门的专门机构，设立专门的信息监管部门，保障人们诉诸司法的权利，提升行业的自我组织水平等，同时，相关部门也要加强引导，让人脸识别技术的应用真正走上良性发展的轨道，既要维护好以人脸识别信息为主的个人隐私权利，又要维护好国家安全利益、社会经济发展中的公共利益。

NOTES

¹参见浙江省杭州市富阳区人民法院(2019)浙0111民初6971号。

²参见南都个人信息保护研究中心资深研究员冯群星发布《人脸识别应用公众调研报告》。

参考文献