人臉識別信息保護的場景化分析

摘　要

人臉識別技術在數字化時代被廣泛運用。由于人臉識別信息包含可識別的工具屬性和權利上的個人、公共雙重屬性，人臉識別信息存在被泄露、不當使用的潛在風險。這不但對個人權益造成嚴重威脅，而且將破壞社會秩序。通過分析發現，人臉識別信息的運用涉及不同場景、多元主體利益，存在不同強度的風險，而運用場景化分析框架能夠對相關風險進行針對性預防和規制。因此，有必要以信息處理目的、主體、方式、場合 4 要素確定價值位階標準，并從利益平衡角度進行場景分類探討，分為優先保障重大公共利益、實現一般公共利益與群體利益的動態平衡、充分保護個人利益 3 個場景，進而為保護人臉識別信息提供有益思考。

在數字技術廣泛運用的當下，人臉信息的識別、應用及傳播均依托于計算機和網絡技術，而在技術變革面前，風險社會的影響與日俱增，個人控制風險的能力減弱，容易對個人造成威脅。人臉識別技術廣泛運用，一方面，可以幫助全方位、整體性地提高個體的生活質量、社會運行效率；另一方面，易產生技術專斷和過度滲透的風險，從而威脅或過度拘束個體、危害公共秩序。倘若不對具體場景中的人臉識別信息處理行為進行針對性規制，當人臉識別信息遭遇泄露或不當處理時，人臉識別信息與散見于各平臺的個人信息組合，其識別的個人信息范圍擴大，更容易標識特定個體，對隱私帶來風險，其結果不但威脅個人，而且影響個人對信息處理者的信任、對技術應用的信心，不利于今后個人信息的合理分配、數據的自由流通，既損害個人利益，又不利于公共利益的實現。我國“人臉識別第一案”——郭兵訴杭州野生動物世界服務合同糾紛一案的判決，促使我們對人臉信息處理問題進行進一步探索，即如何在不同場景以利益衡量思維，滿足信息主體與信息處理者各自的合理期待，促進對人臉識別信息的合理利用。

對于人臉識別信息保護，美國學者海倫·尼森鮑姆創立的場景理論正逐步成為學界主流觀點，國內學者對此也有不少討論。邢會強基于人臉識別應用場景多元化，提出以場景理論與預防風險理論對人臉識別加以規制；胡凌 針對刷臉在身份認證與識別場景中的原理，對其構建不同的場景標準并應對；楊復衛等人指出，人臉識別技術因不同場景而有不同屬性，應對其采取場景化的治理模式，形成完善可信賴的人臉識別技術；葉濤 針對公共場所人臉識別技術應用的規制，以利益衡量場景化要素開展分析，構造 3 類場景明確技術應用邊界。個人信息的場景化保護是針對技術造成風險的一種調節方法，從而在具體場景中實現個人信息權益保護、風險有效規避、信息合理利用的三者平衡 。

從 現 有 研 究 可 見， 場 景 理 論 為 學 界 研 究人臉信息保護路徑提供了理論基礎，然而，現有成果側重于對人臉識別技術應用的規制，涉及人臉識別信息保護路徑的成果較少，對于如何闡釋與運用場景理論也缺乏具體、充足的文獻。本文構建場景化分析框架，對不同場景中人臉識別信息面臨的風險進行具體治理，衡量信息主體與信息處理者的利益，滿足各自需求，以期建構數字化時代下良好的個人信息治理模式。

１

人臉識別信息的屬性

1.1　人臉識別信息的工具屬性：可識別性

明晰人臉識別信息的工具屬性有利于其合理保護與分配。2020 年《民法典》、2021 年《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》和《個人信息保護法》（以下簡稱《個保法》）等規定對“個人信息”進行一致的定義，即以電子或其他方式記錄的與已識別的或者可識別的自然人有關的各種信息（不包括匿名化后處理的信息 )。為《個保法》立法所借鑒的歐盟《一般數據保護條例》，其中第四條也將可識別的信息作為認定個人的標識 。可見，我國和歐洲的個人信息保護立法將“可識別”作為個人信息的屬性。我國亦有學者提出，用于標識自我、識別他人的個人信息，構成社會交往的基礎。

人臉識別信息指的是根據自然人面部在生理上的獨特性、專屬性，能對個人身份進行對應、鑒別、關聯的信息，其“識別性”相比其他個人信息更加顯著。刷臉支付、刷臉通行、刷臉打卡等應用場景就充分利用了人臉識別信息的工具屬性，即通過人臉識別信息匹配個體身份，為社會提供準確的個體關聯信息，給予個體高效、便捷的體驗。但同時，其具有高度敏感性，一旦遭受泄露或者被不當利用于以上應用場景，則會產生巨大的潛在風險。因此，應當認識到人臉識別信息的工具屬性具有雙刃性，不但享受“可識別性”帶來的社會紅利，而且要根據其在不同場景的性質與價值，施以不同的保護手段。

1.2　人臉識別信息的權利屬性：個人屬性和公

共屬性探明人臉識別信息的權利屬性有助于合理建構其保護模式。個人信息的權利屬性，大致上可以區分為“雙重屬性說”和“個人屬性說”兩種，兩種學說分別對應著兩類不同的保護模式。

贊成“雙重屬性說”的學者認為，個人信息連接著個體與社會，包含著公民個人利益和社會公共利益，二者不可偏廢，在此基礎上考量并解決個人信息方面的相關問題。例如，郭春鎮主張在多元主體之間合理分配個人信息，促進數據治理；鄭曉劍 基于個人信息的個人與公共屬性，提出對其給予行為規制保護模式。持“個人屬性說”的學者認為，依托該技術而興起的企業相對于個人具有優勢，應當把個人信息作為一項絕對權利來保護，為個體賦權。例如，葉名怡提出將個人信息作為一項人格權加以保護；呂炳斌 參照知識產權，并分析個人權利化的必要性，對個人信息權利化進行證成。

對比而言，“雙重屬性說”及其對應的人臉識別信息的保護模式更具合理性，體現在人是社會關系的總和，個人信息的公共屬性來源于個人信息在社會生活中流轉的需要，即個人進行社會交往的必要，公共屬性是個人屬性的延伸。因此，為了信息的流通共享，在人臉識別技術廣泛運用的背景下，人臉識別信息不宜被“私權化”保護 。當個人將其人臉識別信息提供給社會使用，由信息處理者進行處理時，人臉識別信息則作為一種“社會資源”，具有公共屬性，因此，被置于公共領域的人臉識別信息面臨不確定的風險，應當在具體場景中平衡好人臉識別信息的個人屬性和公共屬性，在不侵害個人權益的前提下，有利于公共利益。

２

人臉識別信息保護場景化分析的必要性

在保護個人信息權益的同時，推動個人信息在多元主體間被合理利用和分配，促進信息共享、數據流通，是國家治理水平和治理能力現代化的重要體現。鑒于人臉識別信息在數字化時代蘊含的風險，已有學者主張以場景化規制人臉識別技術，然而對于既已流通的人臉識別信息也同樣應當將其置于特定場景中，衡量與配置各方利益，從而使信息在具體場景中符合各方的合理期待。

2.1　人臉識別信息運用場景具有復雜性

人臉識別信息能夠在多場景中發揮其識別屬性，不同場景涉及多元主體間的利益分配需求，需要在不同場景中調整信息主體和信息處理者之間的利益天平，保障各方主體的核心利益，配置其非核心利益 。

用于出入私人空間的人臉識別信息只涉及本人對其信息進行使用和處理，一般不涉及其他主體，如刷臉入戶、手機解鎖。用于網絡空間，由本人經過“告知—同意”而主動提供的人臉識別信息通常能夠為隱私條款所保護，但也存在信息泄露等潛在風險。隨著計算機技術的興起，數據存儲具有方式便利、存儲容量大的特點，可能造成平臺壟斷，甚至數據庫所存儲的高敏感人臉信息，一旦因安全保障措施或者操作不當導致泄露或遭攻擊，將引發公眾恐慌。基于此，因個人使用某一服務而需要提供人臉識別信息的，網絡運營商則應當以遵守隱私規則、加強信息保護措施作為其獲取人臉識別信息的代價，以此保證雙方利益天平的穩定。運用于公共場所的人臉識別信息，涉及個人、國家機關、其他組織，涉及公共管理服務、場所安全保障、雇主監視、消費者服務等領域，不能采用“一刀切”式的規制方法。例如，《民政部辦公廳關于全面應用人臉識別技術提升流浪乞討人員救助管理服務能力的通知》規定，在全國救助管理機構全面應用人臉識別技術。因此，在國家機關為治理跑站騙票行為、甄別在逃嫌疑人而使用相關技術處理人臉識別信息的場景中，信息主體應當讓渡其人臉識別信息處理權；又如，根據《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》第十條第一款：“物業服務企業或者其他建筑物管理人以人臉識別作為業主或者物業使用人出入物業服務區域的唯一驗證方式，不同意的業主或者物業使用人請求其提供其他合理驗證方式的，人民法院依法予以支持。”在出入物業管理區域的場景中，信息主體有權要求物業提供多種出入方式，不以人臉識別作為唯一的驗證方式，此種情況下應充分保障信息主體的個人信息權益。多元主體并存、多重關系交織、多種利益共生，容易產生價值沖突，以及技術和信息運用上合法性、正當性、必要性的爭議。據此引入“場景理論”，在具體場景中平衡、均衡公私法益 ，防止對人臉識別信息采取無差別保護，忽視對其中具體風險的防控。

2.2　不同場景下的個人信息具有聚合性

信息處理者收集人臉識別信息的同時，還會獲取其他私密信息、非私密信息或二者的集合，而不同信息類別以及不同信息類別的組合均承載著復雜的利益，存在著不同的風險。

售樓處、商場等公共場所運營者通過安裝人臉識別系統，識別用戶人臉信息后，會基于用戶的表情、動作、衣著等進行用戶畫像，不但收集人臉識別信息，還收集用戶習慣、意愿等其他信息。學校、公司門禁較多設置人臉識別系統以識別學生或員工身份，當學校、公司用于儲存人臉識別信息的計算機系統被不當操作或遭遇攻擊時，學生、員工的人臉信息，以及其他個人檔案信息都會泄露，而在此情境下，未成年學生的信息敏感程度高于成年人的信息。據此，在具體場景下，針對人臉識別信息主體，應當有具體的信息處理標準。如若不對具體人臉識別信息應用場景進行針對性規制，任由信息處理者對所收集的信息采用統一的處理標準，就容易導致因信息不當使用、外泄并與其他信息相結合而導致的風險擴大，嚴重威脅個人隱私安全、破壞社會秩序。因此，對人臉識別信息的保護應當分類分場景予以分析，規范信息分配與處理方式。

2.3　不同場景下侵害信息權益方式不同

不同場景存在的對人臉識別信息的侵害方式和程度并不相同，人臉識別信息所面臨的風險也隨著具體場景而變化，若缺乏相對應的規制措施，容易發生難以控制的侵權風險。

例如，在線上支付場景中，若服務商未經用戶同意開啟刷臉支付功能，則損害了用戶對其人臉信息處理的知情權和決定權；在線下銀行刷臉取款、轉賬場景中，盡管對預防詐騙有積極意義，但若收單機構、商戶等中間環節違背由中國支付清算協會發布的關于印發《人臉識別線下支付行業自律公約（試行）的通知》的第六條規定，截取并收集原始人臉信息，則侵犯了個人隱私，侵害了信息主體的信息處理權；在刷臉取快遞場景中，若信息處理者未對設備采取活體檢測技術，他人使用打印照片或電子照片就可能取走任何人的快遞，不但人臉識別技術未發揮其便利作用，而且信息主體的信息權益、財產安全都會受到侵害。在數據存儲環節，無論信息處理者是國家機關，抑或營利、非營利組織，若未采取加密等保障手段使數據庫遭遇病毒入侵、黑客攻擊，信息同樣會存在泄露風險，具有高度可識別性的人臉識別信息極易被不當利用。鑒于此，需以動態的眼光在具體場景下對人臉識別信息的安全保障需求、利益分配需求等進行分析，對安全、秩序、自由、正義等價值予以保障。這有助于靈活、有針對性地保護人臉識別信息、規制侵權行為，對于保證多元主體在特定場景內的合法有效參與，實現“場景正義”具有重要意義。

３

人臉識別信息保護場景化分析的要素

人臉識別信息存在高識別性，當被運用于各個場景中時，將產生不同的人臉識別信息侵害模式。基于人臉識別信息運用涉及個人與公共利益的平衡，有必要以信息處理的目的、主體、方式、場合 4 個要素予以利益衡量，構建場景化分析的宏觀標準，進而確定價值位階順序。

3.1　信息處理目的

根據《個保法》第六條，處理該人臉識別信息必須是基于合理、明確的目的需要，即處理目的的范圍“最小”原則。例如，平臺軟件經授權采集的人臉信息，只能在相關條款規定范圍內處理，不得出售或非法向他人提供。同時，必須具備以下條件：一是將采取嚴格的保護措施，作為信息處理者處理人臉識別信息的“準入資格”；二是不得過度侵害個體的信息權益，更好地促進人臉識別信息的合法有效流通；三是不得用于不正當競爭，不得違反道德倫理及公序良俗，以免造成人臉識別信息的不對稱運用。

3.2　信息處理主體

《個保法》第七十三條指出：“個人信息處理者是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。”除個人對其本人的人臉識別信息進行處理外，其他信息處理者包括國家機關、非營利組織、營利性組織，其中非營利組織、營利性組織，可能涉及經法律授權的人臉識別信息委托處理方。一般而言，國家機關對于信息處理有較嚴格的程序，對信息保護有較高的防范措施；而其他主體，范圍廣、數量多，大型組織處理的數據多、風險較高；中小營利組織盡管處理的數據有限，但在措施保障方面的表現更弱，對人臉識別信息安全產生的風險高。由此，對于“其他主體”的個人信息處理活動應當有更嚴格的約束與監管，例如嚴格準入資格、嚴格審核力度。

《個保法》在第四十四條至第五十條規定了個人在個人信息處理活動中的權利，包括知情權、決定權，請求查閱、復制、更正、補充、刪除、進行解釋說明等“個人信息權利束”，保障信息主體在確有利益保護需求時，其能夠發揮對信息的控制力，以及對信息處理的干預程度。因此，所有信息處理者應保障“權利束”，讓信息實踐體現公平正義。

3.3　信息處理方式

在信息處理方式上，應當遵循《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》（以下簡稱“人臉識別解釋”）第四條規定。此外，根據《個保法》第五條、第六條、第七條、第十四條，運用人臉識別信息在手段上應當符合比例原則和誠信原則，采取對個人權益影響最小的方式；同時遵循公開、透明的原則按程序處理，把控好對信息主體的入侵程度。第十四條規定的“告知－知情－同意”規則 [19]，則表明處理人臉信息應當加強程序性告知，保障信息主體的知情權，尊重其選擇。因此，可以根據是否經過該規則，將信息處理方式加以區分。

對于信息主體主動提供人臉識別信息的情況：一是信息主體已經知情且同意。例如，當用戶使用需要人臉識別的網絡服務時，信息主體根據隱私條款對信息處理方式已知情同意，在此情況下，處理人臉識別信息時對信息安全產生的風險較弱，對信息主體的入侵強度低。二是已經告知信息主體，而信息主體不知曉潛在風險從而做出同意。例如，公共場所的門禁識別系統，信息主體已知曉需要并且主動披露人臉信息，但并不確定其人臉信息的去向及處理方式，此時，處理人臉識別信息的風險較高，對信息主體的入侵強度較高。

對于信息主體本身不知情、人臉識別信息被獲取的情形，尤其在商場等公共場所，門店告知消費者“攝像中，請保持微笑”，消費者誤以為店內設有監控設備，但實際上該設備是人臉識別系統，用于識別個體，深度分析消費者群體特征及消費意向等。這種情形下，信息處理者未經告知即處理人臉識別信息，違反了信息處理的比例原則和誠信原則，對人臉識別信息安全產生的風險高、對信息主體的入侵強度高，應當予以最嚴格的規制。

此外，信息處理者在進行人臉識別信息的收集、存儲、傳輸、使用、加工、提供、公開、刪除等處理過程中，應采取足夠的安全措施。收集時，以支付寶和微信刷臉支付為例，采取3D 人臉識別技術，以軟硬件結合的方法開展監測，多維校檢，確保收集的人臉為本體、活體；存儲時，采取加密措施、遺忘措施，防止因泄露被不當利用；傳輸時，以人臉識別線下支付為例，確保端對端的人臉識別信息保護，防止中間階段截取留存信息。

3.4　信息處理場所

不同場所的相關主體應被賦予不同的信息處理要求，非必要不適用或使用可替代的身份驗證方式，使用適應特定場景的身份驗證方式。在半公開場所中，例如對特定多數人開放的大中院校、工廠等，信息處理者擁有的人臉識別信息的數量較小，關系到的利益范圍較小，一旦發生個人信息權益受侵害的糾紛，解決起來相對容易。在公開場所中，例如對不特定多數人開放的大型商場、地鐵站、機場，人員密集，流動與交互頻繁，信息處理者掌握著大規模的人臉識別信息，涉及不特定多數人的權益，公共利益重要程度大，一旦發生人臉識別信息被泄露或不當運用的情形，其產生的不良影響更為嚴重，具有社會性，對個人信息權益的救濟較困難。因此，應對公開場所的人臉識別信息處理予以嚴格規范。

４

人臉識別信息保護場景化分析的類型

人臉識別技術嵌入多場景，以工具賦能的時代加大了信息主體的風險。為滿足各方對人臉識別信息的需求與期待，需要在各方利益間尋求價值平衡，防止價值間沖突，確立人臉識別信息保護的邊界，合理確定價值位階標準，并于特定場景中進行個案平衡。具體而言，可以分為 3 個場景進行討論。

4.1　優先保障重大公共利益的場景

在重大公共利益有需求的場景下，盡管個人不明確其人臉識別信息的處理情況，具有一定風險，但為了重大公共利益需要，如為應對重大公共衛生事件、社會治安突發事件、偵查懲治重大違法犯罪活動等狀況，信息處理者有信息處理需求時，個人應當讓渡其個人信息處理權，充分發揮人臉識別信息的可識別性優勢，凸顯其公共屬性。

例如疫情防控期間，相關信息處理者不需取得個人同意即可收集人臉識別信息的情景，對應《個保法》第十三條第四項：為應對突發公共衛生事件所必需。對此類場景的場景化要素分析如下：首先，信息處理目的必須是以為實現特定重大公共利益需要為限；其次，信息的處理主體應當限定為國家機關或者經法律授權的組織，其中，個人信息處理者委托方和受托方應遵循《個保法》第二十一條的規定；最后，信息處理方式為無須取得個人同意，但仍然要遵循法定程序，以損害最小為目標，不得擴大處理范圍，防止濫用與隨意處理。以此確定該場景下人臉識別信息處理的標準，既保障重大公共利益的實現，又防止以公共利益為由濫用人臉識別信息。

4.2　實現一般公共利益與群體利益需要的動態平衡場景

為防止以公共利益之名侵害個人利益，應當對公共利益進行程度劃分，區分為重大公共利益和一般公共利益，實現一般公共利益與群體利益之間的平衡，同時為保護個人利益留足空間。

例如在社區這一場景，物業管理方為了鑒別出入者身份，維護社區范圍內的公共安全，會在社區門禁安裝人臉識別系統，以提升社區的管理效益。社區安全是一般公共利益，社區管理便利則涉及物業管理層的群體利益，應當在社區安全保障和社區管理便利之中尋找平衡點，不可因其中一者需要而過度處理人臉信息，侵害個人權益，同時要有嚴格的保護措施。即非為公共安全保障之必須，應當經過明確告知和知情同意才能安裝人臉識別系統。而在門禁安裝人臉識別系統并不是保障社區安全的唯一方式，為此應分類別討論：未明示告知不得使用；知情同意者，可以刷臉通行；知情不同意者則采用刷卡等其他方式通行。同類場景還包括需要刷臉查驗身份的場所，如大型體育賽事場館、地鐵、大型演唱會等人員聚集場所，以及需要刷臉認證身份的 App，如網上銀行等。另外，《個保法》第十三條規定的第五項、第六項等也包括在此類場景中，但無須取得個人同意。

依據《個保法》第二十六條，在公共場所使用人臉識別設備的，應當明示或告知，且所收集的信息只能用于維護公共安全；《個保法》第十七條規定，信息處理者在處理個人信息前，應當以清晰易懂的語言向個人進行事項告知。在此類場景下，信息處理者處理人臉識別信息的前提是履行“告知—知情—同意”規則，一旦收集信息，應對掌握的人臉信息采取嚴格的保護措施，一方面實現技術賦能社會治理，另一方面保障信息主體權益，平衡各方利益，促進人臉識別信息安全有效流通。

4.3　充分保護個人利益的場景

即便有個人信息的“告知—知情—同意”規則進行約束調整，在某些場景中仍然存在相關行業信息處理者無視或輕視規則，侵害人臉識別信息，影響個人利益和公共利益的現象。2021 年“3·15 晚會”曝光科勒衛浴在其所有門店安裝人臉識別攝像頭事件引起嘩然。這些攝像頭能夠自動抓取顧客人臉，標識其個人信息，方便進行價格歧視。在門店安裝人臉識別系統，進行用戶畫像，以便精準營銷，從而達成自身利益的商戶并不在少數，寶馬汽車 4S 門店、MaxMara 商店也存在同樣的現象。而為商戶安裝人臉識別系統的蘇州萬店掌網絡科技有限公司，其平臺已經掌握了海量的人臉數據，多達上億。2022 年 7 月 21 日，滴滴公司因從2015 年 6 月至今長期過度收集的乘客人臉識別信息累計 1.07 億條，被國家互聯網信息辦公室“雙罰”。

從上述典型的、具有社會影響力的案件中可見，在日常生活中，非基于公共利益，未經個人知情同意而非法獲取、利用人臉識別信息，識別個人身份的現象較為普遍。即使非經披露，個人的人臉識別信息仍然面臨無感知被獲取、不當處理的風險。在課堂、商場等場所，相關單位、組織為了自身便利會在其支配空間內使用人臉識別系統。實際上，無論是為滿足其作為管理者的“雇主監視”需要，抑或為商業判斷與決策需要 ，都難以判斷其收集的人臉數據是否用于特定合法目的、是否在合理范圍內使用、處理方式是否正確。相關組織容易涉嫌泄露或非法獲取、過度收集或不當利用人臉識別信息，而這在手段和侵權效果上看具有隱蔽性。此外，不在合同履行、條款規定的必要范圍內，強制綁定授權等處理人臉識別信息存在違反法律、法規、行業規定，及違反道德倫理的情形也被當然禁止。

在這類場景中，信息處理目的同樣應當以公開告知的、合法的特定目的為限；信息處理方式上，必須經過清晰明確的“告知—知情—同意”或單獨同意（但在被當然禁止的運用場景中，即使經過上述規則，也應被認定為無效），并適時使用嚴密的信息處理系統，如軟硬件結合識別、設備綁定、加密措施、值守場景、終端安全等。處理此類場景應當站在作為弱勢群體的個人角度，以保護個人利益為基點，充分保障信息主體的信息安全，對相關信息處理者予以準入制度、定期事后審查監督機制。當出現違法違規情況，及時給予相應處罰，防范電信詐騙等下游犯罪，讓違法違規者無處遁形。

５

結　語

人臉識別信息具有極高的可識別性，倘若將個人的人臉識別信息置于公共領域，可能給個人和社會帶來相關風險。人臉信息含有個人屬性和公共屬性，如何在各種具體的信息處理場景中實現對信息權益的充分保護，同時促進信息的合理利用，不僅是《個保法》立法的題中之義，也是對立法、執法者判斷個案事實情節與利益衡量的考驗。通過人臉識別信息保護的場景化分析，能夠構建數字化時代下良好的個人信息治理模式。

在以場景化方法對風險與利益開展分析之余，還應加強人臉識別信息的公私法協同保護，發揮公私法不同治理機制的作用，強化專門法與一般法、立法與執法、實體與程序的法法銜接，軟法與硬法協同發力。未來，還需對部門協調聯動保護個人信息的理論體系開展進一步分析與研究，推動全方位保護個人信息，有效促進數字治理，推進國家治理體系和治理能力現代化。