人脸识别技术的法律规制

杨永兴

〔北京邮电大学 互联网治理与法律研究中心，北京 100876〕

在人脸识别技术应用的具体场景中，人脸识别技术所带来的数据安全风险正逐渐引发人们的担忧。当下，世界范围内接连爆出人脸识别应用侵害公民个体权利、危害社会公共安全、扰乱社会秩序的事件。[1]如2020年，Clearview公司因30亿人脸数据被泄露而被美国多州提起诉讼，同年11月3日万豪因泄露3亿客人信息被罚1.6亿的新闻刷爆各大搜索引擎。[2]2021年，全国政协委员皮剑龙提出加速建构人脸识别技术数据监管体系的提案，[3]可见当下已确有必要从立法上回应人脸识别技术在应用中所产生的社会风险。因此，本文通过分析人脸识别技术应用带来的风险，基于比较法的视角考察借鉴域外人脸识别法律规制经验，提出完善我国人脸识别法律规制的对策建议，以期推动人脸识别技术在法治框架下良性运行。

一、人脸识别技术考

我国现行立法并未对“人脸识别技术”做出明确的定义，通说认为人脸识别技术属于生物识别技术，是通过面部识别算法比对不同用户的面部特征进而达到识别个体身份的目的。[4]有学者将人脸识别技术的应用模式总结为“1∶1”“1∶N”和“M∶N”三种模式。[5]“1∶1”模式主要应用于云闪付、微信、支付宝支付程序与智能门禁认证程序，此种场景下的人脸识别技术是通过比对被识别人的面部信息与预先采集的面部信息，进而判断二者是否为同一人。[6]而“1∶N”和“M∶N”模式则广泛应用于边境、海关、交通保障等场景，即人脸识别技术通过判断被识别的面部信息与预存数据库中的多个采样面部信息是否一致进而来识别身份。相较于其他生物识别技术如掌纹识别、静脉识别，人脸识别技术具有无接触性、交互性强、符合人类识别习惯、高效的优势，[7]因而被广泛应用于政府场景和商业场景中。

通过对人脸识别系统的运行过程研究发现(如图1所示)，[5]10人脸识别技术的应用不仅涉及人脸识别信息，更与人脸信息紧密相关。人脸信息表现为人类可读的肖像信息，主要存在于人脸识别的初始阶段；而人脸识别信息表现为机器可读而人类不易理解的面部特征数据，主要存在于人脸比对和分类识别的算法阶段。[5]9通说认为，面部识别信息落入敏感个人信息保护的范围，而人脸信息属于《中华人民共和国民法典》(以下简称《民法典》)肖像权的保护客体。

图1 人脸识别过程

二、人脸识别技术应用的风险

1.侵害公民个体权益

人脸识别技术的滥用可能侵犯公民隐私权。技术本身并没有社会评价层面的好坏之分，但人脸识别技术随着开发与应用的纵向深入，俨然背离识别被识别者面部特征之初始目的，[8]渐渐将人的脸部信息与个人财产、位置、健康、基因等信息相链接，进而识别更精准的个人信息。面部特征信息被收集处理所欲实现的目标与公民对隐私的期待和保护背道而驰。[9]数字背景下，人脸识别技术的应用范围不断得到拓展，不仅能用来识别公民身份，还能用来进一步追踪公民的日常生活轨迹。人脸识别技术的应用者通过对公民身份、生活轨迹等数据的整合，对个体进行精准画像，构建完整的个人行为档案，进而可以精准地知悉并掌控人们的行为，从而对公民隐私权产生极大的冲击。[10]

根据《民法典》《中华人民共和国网络安全法》(以下简称《网安法》)、《中华人民共和国个人信息保护法》(以下简称《个保法》)等法律法规以及司法解释对个人信息及敏感个人信息下的定义，人脸识别信息属于敏感个人信息，此类信息一旦泄露或者非法使用，将会侵害公民个人人格尊严，并对公民的人身、财产造成难以估量的损害。据报道，在网络平台“转转”上，5000多张人脸照片只需花费10元就可轻而易举获取。[11]一些不法分子将购来的人脸照片与人脸识别技术的衍生品“换脸视频”相结合，制作出与影视明星等公众人物本身不符的低俗换脸视频。[12]更有甚者，一些不法分子将公众人物的形象用于换脸色情图片、视频的制作并通过地下交易以谋取巨额非法利益。此种恶劣行径不仅对被换脸的受害者精神上造成严重的伤害，更对其人身、财产造成巨大的伤害。

2.消弭社会共同体信任

马俊峰认为信任是人在社会交往过程中出于对自己的安全考虑，基于自身行为结果的预期所形成的一种心理态度。[13]如果人们能够获知所接触的一切信息，并且能够对未来做出判断，那么便不需要信任，因为在此种情况下，人们因为知悉既定事实，所以无论在时间上还是空间上根据客观事实行动的结果是确定的。[14]现实是，人是能动的，而信息是不对称的。

在熟人社会时代，人们聚集而居，通过群策群力完全满足对生活资料的获取，因此人们基本与外界相隔离，在此背景之下的社会合作主要存在于部落之间，情感是彼此之间信任的根基。[15]但随着第一、第二、第三、第四次工业革命时代的到来，交通的便利使得地缘关系逐渐被陌生人社会所取代，建立在亲缘关系基础之上的传统信任根基渐渐崩塌，社会交往结构从人格化向非人格化变迁。[16]现代社会已非过往的亲缘社会，每个人都具有经济人属性，契约是彼此之间交流的凭证。从身份到契约的转变即熟人社会到陌生人社会的变迁过程中，契约重构了社会的信任根基。而人脸识别技术的应用加剧了社会被监控的风险，并动摇了“契约”这一纽带在陌生人社会中链接彼此的作用。因为许多场景下，人们并不知晓人脸识别技术设备的存在，即便知晓，凭借与人脸识别技术设备部署者之间的契约，人们对人脸识别技术仅能被用来实现识别个体身份之初始目的的信任也正逐渐消融。因为换脸色情图片、色情视频的制作，为不法分子对被换脸对象实施财产犯罪和人身犯罪缔造了契机；而涉及政界人物的换脸音像，还可能对国防安全、社会秩序等造成破坏。前述种种现象表明，人脸识别技术的滥用正逐渐消弭社会共同体的信任。[17]

3.人脸识别技术被破解

人脸识别技术自身还面临着被破解的风险。传统的密码被秘密保存，而人脸处于曝光状态，因而很容易被获取用来破解人脸识别技术。有学者称人脸识别技术经历了从2D人脸识别到3D人脸识别的进化，但无论是2D人脸识别还是3D人脸识别均面临被破解的风险。面对2D人脸识别系统，不法分子通过展示真实的人脸照片从而骗过面部识别系统以实现解锁；而在面对3D人脸识别系统时，虽然使用真实照片以期实现对面部识别系统的破解几乎不可能，但是随着3D打印技术的发展，不法分子使用比真实图片相比具有更高逼真性的3D面具则可以轻而易举地实现对识别系统的规避，借由实施违法犯罪行为。[18]例如2019年，美国一家杂志报道Kneron公司使用高质量3D面具成功欺骗主流支付软件的人脸识别技术，完成了购物支付。[19]

4.知情同意规则被破坏

知情同意规则对于实现公民个人信息自决权来说至关重要。《民法典》第1035条作出处理个人信息应当遵循知情同意规则的一般规定，《个保法》第13至17条进一步细化了知情同意规则。通说认为，人脸识别信息不仅属于敏感个人信息而且还是个人信息的下位概念。因此处理人脸识别信息不仅应当符合《民法典》《个保法》对知情同意规则的一般规定，更应当符合《个保法》对于处理敏感个人信息应当遵循的征得个体单独同意的特别规则。

但是，人脸识别技术在线下的具体应用场景中很难遵循上述要求，知情同意规则受到了较大的破坏。首先，商业实践中获取面部信息数据库的方式主要是采集和下载开源的人脸数据库，虽然有些人脸信息已在网上公开，但是公开不等同于默许，[5]10然绝大多数信息处理者并未征得相关个体同意搜集处理其人脸信息。其次，不同于以往的掌纹识别、静脉识别等接触性生物识别技术，人脸识别的无接触性使得人们能否知晓室内外存在人脸识别技术设备，更多依赖于信息处理者的自觉。最后，即使公民个人知晓经营场所等公共场景中安装有人脸识别技术装置，但是迫于诸如降薪、停职，乃至暴力威胁的不利后果而不得不接受该项技术，[7]27换言之当事人并没有选择的余地，也没有做出不同意后可替代的选项。传统隐私权理论所主张的公共场所无隐私并不能成为公共场所安装人脸识别技术设备的正当性依据，因为被记录定格的个体活动不同于瞬息万变的观察。人脸识别技术的应用超出了个人自担风险的范畴，在一些情况下人们只是别无选择而不得不踏入公共场所，所以不能以公民选择进入公共场所为由视为其对人脸识别的同意。

三、域外人脸识别技术的法律规制现状

1.美国：区分规制政府机构和商业机构

美国关于人脸识别技术的法律规制呈现出区分规制趋势，禁止政府机构使用为原则，使用为例外；商业机构附条件使用人脸识别技术。

2019年5月，旧金山颁布《停止秘密监控条例》全面禁止人脸识别技术在政府机构中的应用，且规定法案颁布之前已经使用该项技术的政府应当重新取得监委会的批准。随后，2019年6月萨默维尔市出台的《禁止人脸识别技术监控条例》规定，禁止未获授权的政府机关使用人脸识别技术获取人脸信息。同年7月，奥克兰新修正的《奥克兰市政法典》亦明确禁止政府部门安装、使用人脸识别设备。不久马萨诸塞州的波士顿、剑桥等城市也纷纷出台法律禁止人脸识别技术在政府机构中的应用。2020年9月波特兰市出台更为严格的人脸识别禁令，即政府机构和商业机构均被禁用人脸识别技术，仅仅允许用户基于身份验证的目的使用该项技术。[17]41在联邦层面，美国国会议员曾提出的《人脸识别道德使用法案》亦对政府机构使用人脸识别技术秉持否定态度。

美国并未采取一刀切方式禁止商业机构使用人脸识别技术，而是通过颁布专门法案规定较为严格的人脸识别技术使用条件，以规范该项技术在商业场景中的使用，呈现出商业机构限制性使用的立法趋势。2008年伊利诺伊州的《生物识别信息隐私法案》对商业机构使用面部识别技术做出详细规定，其中商业机构必须征得公民个人的书面同意才能使用该项技术收集、处理公民面部信息，并且禁止企业向第三方出售该类数据。除此之外该法案的一大亮点在于赋予公民个人诉权，即只要企业违反该法使用人脸识别技术，凡是受到损害的公民均有权向法院提出损害赔偿之诉，并可以根据企业是故意实施违法行为抑或过失实施违法行为分别获得5000美金或1000美金的损害赔偿，或者按照受害者自身实际受到的损害来确定具体的损害赔偿金额(以最高额为准)。[20]

2.加拿大：分别监管商业机构和政府机构

加拿大亦采取区分规制的手段以应对人脸识别技术在政府机构和商业机构中的使用。目前，加拿大主要运用《个人信息保护和电子文件法》《隐私法》以规范人脸识别技术在公私机构中的使用。根据《隐私法》的相关规定，联邦政府机构基于特定目的使用人脸识别技术所收集的面部信息，不能脱离该目的范围而被使用，除极少数例外情况，任何脱离该目的的使用都必须征得数据主体的同意。而根据《个人信息保护和电子文件法》的规定，商业机构必须确保数据主体充分了解人脸识别技术所搜集的面部信息的用途以及使用方式，方能使用该项技术，并且规定商业机构必须对使用该项技术搜集的面部信息采取安全系数更高的保护措施。[21]加拿大曾与美国针对边境地区使用人脸识别技术进行合作，从一定意义而言，加拿大针对人脸识别技术的立法在很大程度上参考借鉴了美国的做法。

3.欧盟：严格监管统一模式

与美国、加拿大采取分散式立法不同，欧盟较早就颁布了适用于公共机构和商业机构的《通用数据保护条例》(General Data Protection Regulation，以下简称GDPR)，根据GDPR的规定，公共机构与商业机构在使用人脸识别技术时应当遵守相同的规范。GDPR第4条对“生物数据”(biometric data)进行了明晰的定义，根据该定义，使用人脸识别技术所收集处理的“面部图像”(facial images)落入到该条的保护范围。GDPR第9条规定了特殊种类的个人数据处理规则，对于生物数据的处理要遵循“原则禁止，特殊例外”的规定，即便是在特殊场景下处理个人生物数据，也必须征得数据主体明确、具体的同意，[22]除此之外任何有瑕疵的同意都不能成为处理个人生物数据的正当性理由。

2019年11月，欧盟基本权利署(FRA)发布《人脸识别技术：执法中的基本权利考虑》报告，通过分析人脸识别技术的使用对公民基本权利带来的挑战，从而建议执法机构要密切关注并评估人脸识别技术的应用对公民基本权利的影响。2021年2月，欧盟发布《人脸识别指南》，明确禁止私营主体在非受控环境下(如个人可自由通行的体育馆、大型商超、学校等)使用人脸识别技术，并规定私营主体仅可在受控的环境下(如微信支付等)并征得数据主体的同意方可使用人脸识别技术。此外，规定公共机构和商业机构都应采取诸如发布人脸识别应用的透明度报告、成立审查委员会审查人脸数据的处理情况等措施以保持可事后对人脸识别技术问责。[23]由此可见，欧盟对商业机构与政府机构使用人脸识别技术持相同的谨慎态度，无论是商业机构还是政府机构在使用人脸识别技术时都会受到严格的限制。

4.域外人脸识别规制启示

综上所述，美国、加拿大、欧盟分别基于自身特殊的背景形成了极具特色的人脸识别法律规制体系。我国与其基本国情不一致，但其中也不乏诸多值得我国借鉴的立法经验。首先，因为人脸识别技术在不同场景中的使用主体不同，使用方法不同，进而产生的问题也不同，因此很难用相同的规则以达到相同的规制效果，但美国、加拿大根据场景理论区分规制人脸识别技术在政府机构与商业机构中使用的做法值得借鉴。其次，人工智能时代，社会俨然沦为风险社会，美国、加拿大、欧盟所采取的运用风险预防理论进行立法规制人脸识别的做法值得学习。但毕竟各方国情不同，我国应当在借鉴域外经验做法的同时，立基于我国基本国情，形成具有中国特色的人脸识别技术法律规制体系。

四、健全我国人脸识别法律规制的对策建议

1.我国人脸识别法律规制现状

目前我国尚未针对人脸识别技术的应用进行专门立法规制，有关人脸识别技术应用的规范散见于法律、法规等规范性文件中。民事领域中，2014年新修订的《消费者权益保护法》规定经营者收集个人信息时应当遵循合法、正当、必要原则。2016年颁布的《网安法》与2017年颁布的《民法总则》(现已失效)从法律层面对个人信息保护作出规定，遗憾的是并未涉及人脸识别信息的专门规定。2021年1月1日生效的《民法典》第1034条明确将包括人脸识别信息在内的生物识别信息纳入个人信息保护的范围。除此之外，在《个保法》生效之前，最高人民法院发布的《关于审理使用人脸识别技术处理个人信息相关案件适用法律若干问题的规定》明确人脸识别信息属于生物识别信息，处理该类信息应当遵循合法、正当、必要原则以及需要征得信息主体的同意。2021年11月1日生效的《个保法》针对人脸识别信息等敏感个人信息的处理规则做出专章规定，细化了敏感个人信息的保护方式，进一步提升了个人信息的保护力度。

在刑事领域，《刑法修正案(七)》《刑法修正案(九)》对侵犯公民个人信息的犯罪行为作出规定，增加非法获取计算机信息系统数据罪，出售、非法提供公民个人信息罪。2017年最高检、最高院发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》进一步细化了侵犯公民个人信息犯罪的认定规则。[24]

在软法领域，2020年修订的国家标准《信息安全技术 个人信息安全规范》对面部识别特征、指纹等个人生物识别信息的保护作出较为详细的规定。该规范明确个人生物识别信息属于敏感个人信息，收集、处理个人生物识别信息应单独告知并取得相关个体的明示同意；此外在传输和存储此类敏感个人信息时还应当采取加密措施。[25]2020年发布的《个人金融信息保护技术规范》将生物识别信息列为敏感性为最高的C3类信息，禁止金融机构委托或授权不具有金融业相关资质的机构收集该类信息。[26]

2.人脸识别法律规制存在的问题

首先，人脸识别技术是集人工智能、数据、算法、建模等为一体的系统，当下有关人脸识别信息的法律规范对照的乃数据维度，目前有关人脸识别的法律规范对人脸识别算法的监管尚有缺位；其次，对照数据层面的知情同意规则如前所述已渐显失灵之势，有难为真切保护公民权益之虞；再者，软法领域的规范虽能起到指引作用，但毕竟属于国家层面的推荐性标准，并不具备法律强制力，因此有必要从硬法领域明确各方主体责任；最后，现行立法并未根据人脸识别技术应用的不同场景而确立对应的不同规则，以《个保法》第二十六条为例，该条规定在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需。但是该条在排除违法人脸识别行为的同时也限制了正常的商业行为，因为诸如无人商店的智能监控对商品和人物的分析和扫描都是属于图像采集行为，显然商家安装图像采集、身份识别设备并不是基于维护公共安全，但此举又是其维护自身财产安全所必须采取的行动，有人会说此种情况只需要商家遵循一般的知情同意规则即可，但诚如前所述知情同意规则已渐显失灵之势。故现行立法有必要根据人脸识别技术应用的场景制定符合不同场景中的各方主体利益期待的规则。

3.人脸识别法律规制基本理论

(1)场景理论。学界通说认为“场景理论”是由美国学者海伦·尼森鲍姆在有关隐私保护的论述中提出的理论模式。尼森鲍姆在面对大数据时代对隐私保护的冲击中提出了隐私场景公正理论，该理论认为在教育、政治、劳动、社交、消费等场景中均会产生不同的信息，不同场景中的信息处理活动应当受到不同的约束。其核心思想为信息处理活动应当做到具体问题具体分析，信息处理活动在不同场景中应当受到不同规范的羁束，基本逻辑在于信息处理活动是由信息控制主体、传输主体、受众主体等多方主体共同完成的活动，不同主体在信息处理中定位不同，掌控信息能力不同，合理期待不同，遵守的行为规范不同，因此应当根据现实差异情况为各方主体确立不同规则以分配他们在信息流动中可能获得的利益与可能承担的风险。[27]换言之，信息流动与信息保护在不同的场景中应分别符合对应各方主体的合理期待。

(2)风险预防理论。主流观点认为风险预防理论源于环境法领域，在国际上，《里约宣言》对风险预防理论的表述取得国际社会的普遍认可，该宣言第15条规定各国应当根据本国实际能力因地制宜地制定本国的环境保护措施，即使环境恶化的风险发生与否尚不能确定，也不能因缺乏确定环境恶化的科学证据而延缓采取预防环境恶化的措施。[28]随着人工智能技术的飞速发展，社会沦为风险社会，风险预防理论不再局限于环境法领域，越来越多的领域逐渐开始采取风险预防理论应对不同的社会风险。风险预防理论有强弱之分，强风险预防理论认为一项行动只有在能够确定不存在任何危害风险时，才能进行。[29]如前所述的美国旧金山市的《停止秘密监控条例》、萨默维尔市的《禁止人脸识别技术监控条例》、奥克兰市的《奥克兰市政法典》关于政府机构使用人脸识别技术的立场体现了强风险预防理论。弱风险预防理论认为尽管公民面临的风险不确定，立法者亦应授权政府采取行动保护公民。[30]美国伊利诺伊州的《生物识别信息隐私法案》针对商业机构有条件的严格限制使用人脸识别技术的做法即体现了弱风险预防理论。

4.人脸识别法律规制的具体对策

结合场景理论与风险预防理论并立基于我国基本国情，完善我国人脸识别法律规制应从以下几个方面入手。

(1)区分监管政府机构和商业机构。人脸识别技术在不同场景中的应用代表了不同的政策目标，反映了不同场景下法律关系的侧重，因此应当区分规制人脸识别技术在政府机构与商业机构中的使用，美国禁止政府机构使用人脸识别技术的一刀切范式能否移植我国有待商榷。当下，虽然政府机构以维护公共安全为由在公共场所使用人脸识别技术，但是这并不意味着其不受任何限制。从长远来看，公共利益与个人利益在本质上是一致的，因为公众的永久利益是和个人权利是相辅相成的。[31]故笔者认为，由于公权力机构与私权利主体之间的地位不对等，基于风险预防考虑，政府机构若想部署人脸识别技术装置，必须经过上级行政机关或者国家授权的有权机关严格审批，没有经过审批而投入使用的人脸识别技术装置应当依法拆除并将所收集的面部信息依法予以销毁，同时对相关行政机关负责人进行问责。对于商业机构使用人脸识别技术而言，鉴于平衡公民个体权益保护与推动科学技术进步的考量，商业机构使用人脸识别技术时应出具完整清晰的技术安全保护报告并向有关主管行政机关进行备案即可。

(2)扩充知情同意规则。在现行立法框架之下，人脸识别信息属于个人信息的子概念，当然需要遵循包括知情同意在内的个人信息保护的一般规则。但诚如前所述，人脸识别技术的应用使得知情同意规则渐渐失灵，甚至沦落为纸面上的保护规则。为此基于场景理论和风险预防理论，应扩充知情同意规则，具体而言：区分商业机构是在公共场景还是非公共场景中使用人脸识别技术收集处理公民面部信息，公共场景中商业机构应当采取双层告知结构：第一层为在使用人脸识别技术收集处理个人信息的公共场所以显著的形式贴警示语；第二层为采取派驻专员或提供资料的形式向公众充分解释其使用人脸识别技术所欲达到的目的、处理面部信息的规则等相关情况，[32]而在非公共场景中，任何商业机构在使用人脸识别技术收集处理公民人脸信息时都必须征得公民个人的单独书面同意。美国伊利诺伊州《生物识别信息隐私法案》第15条规定的企业应当以书面形式告知用户并取得用户的书面同意，才能收集、处理生物识别特征信息即采取了这样的做法。[33]而对政府机构而言，原则上其在使用人脸识别技术收集处理人脸信息时亦应征得公民同意，除非在紧急情况下出于维护公共安全的需要或者无法与相关公民取得联系时，才能获得知情同意规则的豁免，但是鉴于面部信息的敏感性和高风险性，政府机构在收集处理面部信息时应当严格遵守比例原则，一旦达到收集处理的初始目的则应当立即销毁所收集的人脸信息。

(3)建构人脸识别算法审查制度。除了从数据维度规制人脸识别，从算法层面上探讨人脸识别的法律规制亦有必要。构建完善的人脸识别算法审查制度应包括以下几层含义：一为人脸识别技术开发者的自我审查。从该角度而言，自我审查主要对人脸识别算法进行安全评估，评估该算法具不具备防范人脸识别技术被破解的功能，并注重评估该算法应用后对公共安全、公民人格尊严、公民个人信息权益、社会秩序可能造成的不良影响。二为行业协会的自律审查。人脸识别技术相关的行业协会应当承担起对社会应尽的责任，加强对行业协会会员人脸识别算法的审查，发现算法漏洞时，应当积极主动上报网信、市场监管、公安等部门进行处理。三为行政机关的监督审查。应当由行政人员、人脸识别算法技术人员、法律工作者、民众代表等共同组成人脸识别算法审查委员会，不定时地对市场运行地算法进行审查，一经发现违法违规现象立即责令整改，整改之前禁止相关主体继续使用人脸识别技术。

(4)落实各方主体责任。在对人脸识别技术进行事前规制的同时，更要重视事后追责。因人脸识别技术的使用所导致的个人信息权益受损或者其他法益受伤害时，需要依法追究相关主体的民事责任、行政责任甚至刑事责任。人脸识别技术的使用涉及技术的开发者、使用者以及公民个人三方主体，因人脸识别技术使用导致的侵权可能存在两种情形：一为人脸识别技术本身存有技术漏洞所导致的侵权，那么在此种场景下技术的开发者为真正的责任主体，但为了保护受害人的合法权益，不妨借鉴《产品质量法》中规定的产品生产者与销售者因产品缺陷致人损害而承担的不真正连带责任，受害者可以直接向任何一方进行索赔。至于技术使用者与开发者之间的责任分配则按照双方之间的合同约定进行处理即可。二为人脸信息的泄露或者违法使用该项技术即技术使用者自身的原因所导致的侵权，此等场景下，直接向技术使用者进行问责即可。情节严重的，依法追究相关主体的刑事责任。

除此之外，我国《个保法》《互联网信息服务算法推荐管理规定》等法律法规规定，国家网信部门应当会同电信、公安等部门在各自职权范围内落实个人信息保护的监督管理工作。因此，如果相关行政主体未能尽到监督管理义务，应当依法追究相关行政主体负责人的行政责任。

五、结语

“法学的使命不是赞赏科技发展带来辉煌的成就，而是要审视科技可能带来非理性的后果，以及如何通过法治降低科技发展可能带来的风险与非理性。”[34]人脸识别技术的应用加速了传统社会向智能社会的变迁进程，极大地便利了人类生活。但我们应该始终保持清醒的头脑，审视人脸识别技术应用带来的社会风险，通过建构人脸识别算法审查制度、扩充知情同意规则、落实各方主体责任等法治手段以降低其所带来非理性的后果，使该项技术更好地服务于人类社会。