人脸识别信息收集与使用过程中知情同意原则的修正

洪丹娜，林李童欣

(华南理工大学 法学院，广东 广州 510006)

一、问题的提出

21世纪以来，互联网技术的快速扩张使社会关系产生了难以预先判断的变革性内容。之前线下社会中那些本不具备私人属性的个人信息成为亟须法律保护的客体。例如，作为个人信息的“性别”在原本没有被互联网覆盖的空间中是由其自然外观显露出来的，本身不可隐藏也不必纳入隐私信息的类别当中。然而，在网络空间中，“性别”是属于可被用于识别用户的间接信息，被纳入人格权保护的客体当中。因此，对于某些在传统法律中根本不具备权利属性的信息应当采取全新的规制思路，随着人脸识别技术的发展而产生的人脸信息保护缺位更应当得到重视。2021 年央视 3·15 晚会惊曝多家知名商店安装人脸识别摄像头，海量人脸信息被收集，但没有一个商家明确告知消费者，征得同意更是无从谈起。人脸识别技术是基于人的脸部特征信息进行身份识别的一种生物识别技术，其基本流程是用摄像机或摄像头采集含有人脸的图像或视频流，并自动在图像中检测和跟踪人脸，进而对检测到的人脸进行脸部识别的一系列相关技术，通常也叫做人像识别、面部识别。在纯粹的不与互联网相连接的物理空间内，人脸无须采取任何保密、遮挡措施出现；但当其作为一项最基本的识别特征运用于人脸识别技术中，由人脸进而识别关联到自然人其他个人信息的隐私风险和人脸数据泄露的安全风险将会大大加剧。刷脸不再限于“把人认出来”的身份识别过程，而是重在于人脸验证/人脸辨析基础上所进行的人脸分析或其他关联分析，已从纯粹的身份识别机制转换为识别分析机制。正是人脸识别技术从身份识别机制转向对个体关联信息的分析机制，使得人脸识别技术的运用中隐藏着人格尊严、隐私、个人信息等被侵犯的风险。

与此同时，在具体、社会化的人脸识别技术应用场景中，现有的规制知情同意的规范条文和合同条款过于关注形式上的告知和同意，往往在外观上落实了知情同意，但有意无意地忽略其制度目的，甚至刻意以形式取代目的。一方面，技术启用方往往以格式条款的大范围、大面积签订或“一键打钩”式的一揽子协议来规避对用户承担的敏感信息保护责任，甚至在启用人脸识别技术替代传统的生物识别系统时默认用户已经同意使用该技术进行身份识别，直接跳过启用前协商的阶段。另一方面，启用方很少向用户披露技术开发者及技术本身的运作流程、数据抓取的原理、安全措施以及数据泄露的救济手段等内容。因此，在司法场域中，无论是对相关法条运用释义学技术或是在法律允许的框架内灵活适用法律原则，都体现出了社会现实对法律修正的迫切需求。2021年4月9日，被称为“人脸识别第一案”的郭某诉杭州野生动物世界一案二审宣判结束，浙江省杭州市中级人民法院大部分支持了一审的判决内容，即判决杭州野生动物世界赔偿郭某合同利益损失及交通费，删除其提交的面部特征信息，并增加了一项“杭州野生动物世界有限公司删除郭某办理指纹年卡时提交的指纹识别信息”。在该案中，无论是一审杭州市富阳区人民法院以被告方违反合同为判决基础，还是二审杭州市中级人民法院维持一审合同违反的法理判决，都从侧面体现出当前我国还未建立人脸信息保护权利体系，具备身份可识别性的信息作为一项新兴的权利客体还未被恰当地纳入法律体系中。虽然《中华人民共和国民法典》(以下简称《民法典》)合同编与侵权责任编的部分规范能对数据财产利益加以保护，但随着数据人格利益呈现出与财产利益并重的趋势，合同编与侵权责任编相关理论已不能支持法院在个案中判决人脸识别启用方数据收集合同无效。

当前我国主要构建了以知情同意原则为基础的对人脸识别信息收集与使用的规制，但此原则的适用在人脸识别技术大规模应用中呈现出明显的窘境。若能通过对现行法体系内知情同意原则的修正，在不违反法稳定性、秩序性的前提下，弥合法的统一与技术发展的矛盾，则能更好地立足于大数据发展的风口，以人脸识别领域的实际问题为导向，回应新技术背景下公民保护个人敏感信息的需求。

二、知情同意原则的提出与发展

尽管知情同意原则在实践中往往出现以“形式”同意取代“实质”同意的窘境，在人脸识别技术大规模应用时更是呈现出捉襟见肘的适用困境，但不可否认其作为个人信息保护原则的重要性地位。基于此，有必要对知情同意原则进行追根溯源，并梳理其发展脉络，进而理解其正当性基础，为坚守和修正知情同意原则提供理论根基。知情同意原则的产生与信息时代的兴起有着深刻的逻辑连接，在大数据背景下的万物互联社会中具备价值层面上的正当性，从而以其自身的自足性回应其他信息保护理论的质疑。

(一)知情同意原则的提出

知情同意原则最初是作为一项伦理原则在医学领域确立的，该原则的出现不仅是为了解决医疗领域侵权的问题，而且是出于对患者人身权的尊重以及对自由主义、个人自主观念的推崇。随着时代的发展，知情同意原则在相关信息保护法律中逐渐建立起核心地位。该原则自医学领域向法学领域的转移离不开个人信息自决权理论脉络的延伸，换言之，知情同意原则实乃个人信息自决权在信息流通领域中关于权利客体、效力等事项的具体和细化。

在个人信息自决权理论的拥簇者看来，个人信息自决权存在于个人信息处理的各个步骤，也存在于所有的个人信息之上。为了应对日益增多的个人信息收集、处理和利用行为，法律上也应当赋予当事人一个足以与之抗衡的地位，即在具体规则的设计上应当降低信息处理者的地位，增强当事人对于自己的信息的控制能力。因此，由个人信息自决权所导出的具体规则大体可被归结为：个人信息的收集、传播或者利用原则上受到禁止，除非获得信息主体的同意；个人信息处理者基于法定事由或者对于信息处理本身具有正当的利益方可处理个人信息；个人信息的收集目的必须明确，个人信息收集者日后的信息处理行为受到该目的的拘束，任何超出收集目的的信息处理行为将被视为对信息自决权的侵害；当事人对信息处理者享有一系列的积极请求权，包括查询权、制作副本的权利、删除权、更正权等。上述规则基本被国外主流的个人信息保护法案所接受。如欧洲委员会1980年《个人数据自动化处理中的个人保护公约》、2008年美国伊利诺伊州《生物信息隐私法案》以及2018年欧盟的《一般数据保护条例》(GDPR)等。

(二)知情同意原则的正当性基础

对个人自主的丧失和关注在现今独特的信息环境背景下有现象级的社会意义。人工智能、互联网等新型信息技术的集合为各层次的非个人主体提供了控制和监视的手段，有学者认为这种趋势是“数字化国家主义”的兴起。“数字化国家主义”的概念生成于侵犯隐私和大规模监视商业化的行为日益普遍的时期，在这样的一种背景下，个体自主性逐渐被当成是“针对自己被非法征服、数字监控和数据收集的补救办法”，人的自主性被打入泥潭，人将屈从于本能与管理，人将只会是服从的动物和集合体的奴仆，因此，知情同意原则为人自主、理性的决策提供了前端的行为基础，抑制了数字利维坦的生成。

对应强势的“数字化国家主义”，既有的人权形态也在发生深刻的变革与重塑，数字人权需要全新的内涵、形式与结构，以对抗隐私侵犯、算法歧视、信息垄断等新型问题。但无论人权发展进化到何种格局，其基本的道德基础和价值内核始终都在于法对个人自主和尊严的关注，而知情同意原则赋予个人信息自决权，无疑是抬高个体自主与自由、削弱国家数字霸权的最好途径。

(三)知情同意原则适用的质疑与回应

基于知情同意原则在现实中发生的适用错位，高富平主张“知情同意原则不是信息收集的正当性基础”，认为个人信息的社会化属性和社会化利用应当取代知情同意原则，由社会为治理主体进行个人数据的监控和保护。而任龙龙主张对知情同意原则进行路径重构，认为基于场景与风险导向的新理念，应取消信息处理前的静态合规遵循，采用责任归责和事后判断的保护方式等。但即使是在个人信息公共属性大大强化、知情同意原则实施成本不再低廉的趋势下，知情同意原则依旧有其坚实的理论基础。

数据主体对个人信息理所当然地享有某种控制权利——数据或信息是个人在计算机世界中的虚拟身份，经算法处理后的数据画像和基于画像结果的定向广告推送与主体的人格自由有密不可分的联系，不管各国立法是将此种控制权纳入隐私权、一般人格权的保护框架内，抑或视为个人信息自决权的延伸，主体都是数据或信息流转的初始源头。个人信息的社会属性一说虽然对个人信息控制权造成了不小的冲击，但并不能动摇主体的知情同意作为个人信息采集时应遵守的一项原则的根本性地位。

有学者认为知情同意原则的正当性根植于契约自治，契合了当下数据治理合同路径，不同的互联网企业与用户之间存在内容近似的合同关系。此种类比较隐私权理论、个人信息自决权理论拓宽了解释上的可适用空间。以合同理论的视角来看，主体允许采集者采集信息是以其所提供的诸多产品或服务为对价的。一方面，主体基于对个性化、针对化的产品或服务的需求让渡信息所有权和使用权；另一方面，由于所采集的信息能够带来可观的收益，各数据采集者趋利而动，纷纷以产品和服务进一步拓宽用户群，搜集数据。数据主体当然享有缔约自由，即对个人信息的自治权，可以通过订立契约来允许信息采集的行为，但法律对此种自治的介入在于保障私人自治过程中有关主体在经济、社会等多方面条件地位平等、力量均衡。契约自由、契约自治等私人自治领域的帝王原则并不等同于公权力完全不得介入该领域实行适度干预，在信息协议中出现的无名合同、格式化合同等复杂的权利义务条款，利益保护的不公平倾斜现象使得法律必然要对其施加必要的关注。而隐私权和个人信息自决权理论既无法解决个人信息主体性和社会性之间的矛盾，也无法在两种相互矛盾的特性中取得适当的平衡。

也有学者认为由于目前个人通过知情同意机制履行对个人信息的私力救济的实践困境，应当由法律设立第三方机构实施中立的保护、监督、管理职能。但是，第三方中立机构在对个人信息保护领域的注意程度远远小于信息主体本人。在当前的技术背景下，信息主体对保护自身信息不力并不是因为主体对自身利益的疏于关注，而是因为双方主体在专业知识量上的差异以及因保护与救济缺位导致信息维护成本远高于不合理的流转成本。不能因为个人对自身信息的保护不力就理所当然地剥夺个体对信息的自治权和自决权，立法和司法应当积极改善知情同意原则与时代逻辑矛盾的处境，赋予私人主体更多权利来应对技术对社会的倾轧和异化。况且，从外部来判断自决结果是否对本人有利，本身就与自决的精神不相符合。法律支持数据主体对个人信息享有自决权和控制权并不仅仅是因为个人是自身利益的最好维护者，而且是因为只有个人才有权最终决定其个人信息是否以及在多大程度上与谁共享的问题，即使第三方拥有超越其上的专业知识和深度理解，也不能否定自决精神背后法律对个人自主信念的珍视和维护。

三、人脸识别信息收集与使用中知情同意原则的适用

(一)现行法律规定中知情同意原则的适用框架

我国尚未对人脸识别信息乃至其上位概念(生物识别信息)作专门规定，现行法律大多以个人信息为一般客体建构法律规制体系。我国在处理个人信息保护层面的法律技术时，也相应借鉴了国际上主流的信息保护立法，搭建起以知情同意原则为基本架构的私权体系。通过归结相关法律法规的内容，知情同意原则在我国法律框架内主要表现为以下几点的适用规则：

第一，形式同意的规范，即收集用户信息必须得到信息主体的事前同意；未经信息主体的授权同意，数据收集者及使用者对用户个人信息的收集和处理被视为没有相应的合法性基础，应承担相应的法律责任。《民法典》 第一千零三十四条和第一千零三十五条集中规定了关于自然人信息保护方面的权利。首先，第一千零三十四条明确了对自然人个人信息的法律保护，接着对个人信息的概念和范围予以界定，其中就包括人脸识别信息所属的生物识别信息。其次，通过准用性规则的设定来指导权利保护所适用的法律，第一千零三十五条明确了个人信息处理应遵循合法、正当、必要原则以及处理的必要条件，其中就明示了自然人的同意是信息处理的合法要件。《中华人民共和国网络安全法》(以下简称《网络安全法》)第二十二条第三款规定网络产品及服务的提供者必须取得用户的明示同意才可收集其信息，提高了收集者同意在信息处理中的地位，同时对脱敏信息(即不可识别特定个人且不得复原的信息)与一般个人信息提出了不同的同意要求，为推进个人信息处理的实质同意奠定了一定的基础。

第二，详细规范知情同意的适用细则，促使实质同意，防范形式同意而实质损害数据主体的个人信息的行为。《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第十四条规定“同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意”，从而防止同意流于形式化。第十六条针对此前出现的“强制同意”要求个人信息处理者不得以个人不同意处理其个人信息或撤回同意为由拒绝提供产品或服务；第十七条则细化了信息处理前的告知方式和告知内容。各项规范文件均指出以捆绑授权、强制同意、消极同意等方式作出的同意无效，回应了在实践中频繁出现的App强制索权、过度索权、超范围收集信息等问题。

第三，对知情同意原则适用的例外情形进行明确规定，防范未经同意而收集和使用个人信息。除法律另有规定外，个人信息收集均遵循知情同意原则。法律对可以不获取信息收集者同意而进行处理的情形作出了明确的规定，任何单位和个人不得在法律规定的范围之外滥用知情同意豁免权。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》的第十二条中列举了有关合法使用的若干情形，除自然人书面同意的条款之外，还包括为促进社会公共利益在必要范围内使用、学校和科研机构为学术研究或社会统计的目的使用不具备识别性的已经个人同意授权的信息、以其他合法渠道获取的信息等合法使用的情形。《个人信息保护法》中对个人信息处理规则作出了更加详细的界定，包括与知情同意原则相并列的合法处理信息的情形，如为履行合同所必需、应对突发公共卫生事件、紧急情况下保护自然人生命健康和财产安全所必需等。《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《规定》)专门针对人脸信息处理的合法使用情形作出了较为完善的规定，包括基于应对突发公共卫生事件或其他紧急情形的需要、维护公共安全、保障公共利益、个人同意以及符合法律、行政法规规定的其他情形。

第四，不同类型的信息处理体现出同意的分层。《个人信息保护法》区分了一般同意与单独同意，第二十三条、二十五条、二十六条、二十九条分别规定在向第三方提供、公开处理、公共场所安装图像采集与个人身份识别设备、处理个人敏感信息的情形下须取得个人单独同意。此外，2020年国家市场监督管理总局出台《信息安全技术个人信息安全规范》中也区分了一般授权同意与明示同意，个人信息收集需“告知+授权同意”，个人敏感信息收集需“明示同意+完全、自主、清晰的知情”，个人生物识别信息需“单独告知+明示同意”，收集未成年人个人信息应取得其监护人或年满14周岁本人的明示同意。

第五，通过为数据主体赋权和提供救济渠道来反向倒逼数据收集者、使用者实质履行知情同意原则的基本要求。为实质保障用户行使其对个人信息的控制权和同意权，法律赋予自然人删除权、损害赔偿请求权、侵害行为禁止令请求权，并强制网络服务提供者提供与同意同等便捷的撤回条件，不得以用户不同意拒绝提供业务，赋予用户更大的业务选择权。

(二)人脸识别信息收集与使用中知情同意原则适用的困境

法律制度并不必然总是完全契合社会发展的，随着社会跳跃式前进，成文法极大可能存在断层和滞后。个人信息保护的知情同意原则恰恰就处于前数据时代与大数据时代的背景落差之中，正是此种现实的落差造成了《个人信息保护法》无法完美地回应现实司法需求，也同样是知情同意原则困境的源头。在前数据时代，信息的交换以少量的信息处理与交换、与信息处理者的个性化交流为前提，信息主体得以在充分的知情下作出具体而明确的有效同意；而当社会进入大数据时代，数据量的倍数增长、数据交换主体的隐名化与抽象化、数据交流的频繁程度远非前数据时代可比，有效的知情基础被更加复杂的技术更新和社会情势破坏几尽。随着人脸识别技术运用的普及，作为生物信息的人脸信息的保护需求与当前知情同意原则适用框架的矛盾将会尤为突出。具体而言，其适用将面临如下几方面的考验。

1.目的拘束原则与数据二次利用

目的拘束原则即数据利用不得超越数据收集时设定的范围，在人脸信息的收集、储存、处理、使用等各环节应设置边界，并以明确固定在规范性文件中的收集方式方法为基准，一旦目的达成，就应当及时删除销毁存储的人脸信息。但在现今的信息或数据价值链之中，即使是收集者也无法在首次采集数据时完全预知与穷尽所有的数据利用方式，这就给收集者的告知义务的全面履行带来了事实上的障碍。如果收集和利用者本身也无法对数据后续利用的目的作出清晰而明确地陈述，那法律设定保障数据主体知情权的强制告知规范将趋向事实上的“不能”，进而导致法律上的“不能”。在信息流动中，个体几乎居于风险的主要位置，即要承载由不确定风险所带来的所有后果；但是从信息获得、披露与结果承受等角度而言，个体几乎陷于一种消极、被动的地位，而在很大程度上能够掌控相应风险或获得更为对称信息的却是掌握个人信息的平台或企业一方。

在大数据时代，知情同意原则的相对化和适用区分化源于其运行的理论逻辑与现实经济逻辑的不相符。随着人工智能技术进一步发展，科技的进步使思维方式产生深刻的变革：在数据分析之前没有根本性的目的，通过分析产生事物间的相关性，摆脱前见预设的束缚，进而获得创新的灵感，此种新兴的方法区别于以往搜索和研究前需要提出一个前提假设，通过实验证成或证伪的旧式方法。收集者为应付立法僵硬的目的告知义务，往往在双方协议中对信息收集的目的作概括性的说明，而用户就必须作出概括性的同意。在采集前的告知中，被采集主体面临大量数据信息的堆积接收，告知协议中专业性内容占比大，存在大量缺乏专业知识背景则难以消化的条款，个人面临超出其能力范围的信息提取成本负担。在采集后，由于被采集主体作出了不利的概括性同意，数据收集者得以利用不平等的协议条款随意处理个人信息，而不履行采集授权后的告知义务，信息过载与信息不足同时存在，被采集主体的知情权大打折扣。相较于有明确采集目的及应用用途的数据收集者来说，以科研和技术更新为目的的数据收集者往往受目的拘束原则的桎梏更为深重。人脸识别算法准确性的提高往往依赖于机器以大量人脸数据为基础的数据库的反复学习，而这些数据在国内很少有途径获取，这就使得这一部分的科研需求走入了未经用户同意而向上一级用户收集者批量获取人脸数据的方向。

2.数据收集者与数据主体的信息不对称、地位不平等

即使数据收集者依照法律规定忠实履行了告知义务，但数据主体依旧处于信息产业链中潜在受害者的地位。这是因为在实践中，在用户首次注册或登录个人账号时皆会推送相应的“隐私免责声明”或“隐私政策”，如果用户不勾选同意，则会被直接禁止使用相关产品或服务，用户在没有被提供更为安全的替代选项的情况下，被迫在缺少对自身信息泄漏危险的知情下交出数据控制权。除此之外，网站还自主为用户完成了不利用用户数据安全的默认设置，这些安全设置步骤多、操作复杂，一般的互联网用户都不会自行进行调整，网络设备、服务的普及化以及平台和应用的密集化使得用户频繁作出授权同意，知情同意沦为现实负担而非利益保护机制。

3.风险责任主体与数据受益主体的分离趋势

传统的对数据滥用的责任伦理为过失责任追究原则，行为人无过错则无责任，该原则的有效性在于实现对责任后果主体的相对性伦理绑定。我国对侵犯个人信息的法律责任追究也体现了这一过失责任机制，而这一机械式责任伦理面对高度智能化、数据化的人脸识别技术显得格格不入，现有的过错责任原则无法有效地对人脸识别技术带来的责任规则进行划分。人脸识别等新型人工智能技术的发展使数据收集、分析、储存范式都发生了根本性的革新，数据红利不再单纯表现为一般信息的集合，而更多是指以数据分类为基础的算法运用，进而得出与数据主体相关的分析结果。在人脸数据收集伊始，人脸数据、面部特征信息就与数据主体分离，收集者及二次利用者成为数据的唯一受益者，而人脸数据泄露、滥用的风险却需要最初的数据主体背书，此种分离趋势显然有悖于公正理念和责任归责原则。现实权益结构的失衡以及技术应用产生的效益与代价之间不对称折射出大数据时代知情同意原则适用的苍白。

4.技术应用的非对称性掏空同意内核

采集方可以在用户主体无意识的状态下获取人脸图像，采集的非接触性、便利性导致技术应用上的不对称性，人脸识别技术在物理上实现了跳跃被采集主体允诺和配合的阶段，但物理上的阻隔和悬置不等同于规范上的豁免，不等同于获得了主体的正当性同意，技术侵入和破坏了个人合理的隐私空间。与人脸的高曝光率相呼应的是人脸与人格主体的高度关联性，一旦人脸信息以某种形式固定下来被传输和分析，在高度关联性下层层推进，采集而成的信息范围往往大大超出被采集主体合理期待的范围，被采集主体会产生隐私被窥探、权利被侵犯的愤怒感，相关保护缺位或孱弱又会大大加剧矛盾。“隐私”概念本身意味着一种社会、文化以及学科定义上的开放性，以往人的隐私是基于个人私密的、不愿意也不适宜宣之于众的选择，除极少数文化背景下，一般社会环境下的人脸都是公开示人的，本不属于隐私范畴，但人脸识别技术使得原本公开的信息成为隐私信息，也就是信息隐私化使得传统隐私的边界得以扩展。

四、人脸识别信息收集与使用中知情同意原则适用的修正建议

目的拘束原则与信息二次利用之间的张力过大，收集者与被收集者在信息处理中地位失衡，责任主体与受益主体的分离趋势增大以及技术应用悬置了同意要件等种种情形，无不警示着知情同意原则在人脸识别技术中适用的现实阻碍。因此，有必要对该原则现行的法律适用框架作出一定的修正，从知情和同意两方面着手，以程序公正推进实体公正的实现，同时应重视被采集者与采集者权利分配格局的实质公正。

(一)保障知情基础

知情是被采集主体作出有效同意的充分条件，要提高同意的真实性就必须保障被采集者的知情基础，那么立法必须对采集者的告知义务作出相应强制性规定。首先，应制定采集者告知内容和告知方式的统一标准。采集告知的形式应当清晰、显著且适应一般被采集者的阅读和理解能力。载有告知内容的隐私政策、隐私协议、信息共享协议等文件应当能为普通主体即不具备计算机专业素养的主体所阅知，避免使用大量专业术语；告知界面应当简洁、显著，将采集信息的主体、种类、用途、采集方式、信息采集后的后续处理过程和潜在风险等要点信息简明显示在告知页面上，不得通过大量无效信息的堆叠对主体行使知情权设置障碍。行业协会或工信部门可以制定具有反复适用功能的信息采集指引，供企业履行告知义务时进行选择，信息指引中应当明确采集的主体、内容、信息采集的目的、处理方式、后续流向、潜在风险等模块的强制告知义务，信息指引的形式应当清晰、明确、易于理解、透明度高。其次，还可以通过转变知情权实现的形式来保障相关数据主体的权益，换言之，避免事前一次性的含义模糊的告知，而转变为信息处理过程中动态的、持续的、清晰的告知实现，从强调信息处理的事前目的拘束转变为以信息处理实时进程中的手段、方式的工具拘束为立足点，将更容易实现对数据主体知情权的保护。

(二)建立标准化的司法风险评估

Nissenbaum提出的“情境诚信理论”认为，个人信息保护应当根据不同的情境或领域而有不同的期待。谁收集信息，谁在分析，谁在传播并且传播给了谁，个人信息的性质，各方之间的关系以及各方机构、社会情况等多因素都可能影响特定领域内规范内容的确定。个人信息使用的合规边界是主观的、动态的，超出了规范事前所能预设的范围，后续信息收集与处理应当尊重原始收集时的具体语境，利用隐私风险评估具体评估信息处理行为。场景理论以场景的区分为出发点，核心在于风险的控制，意在跳出传统知情同意结构“全有或全无”的思维定式，转而进行程度化的标准式评估，避免立法的僵化。

我国立法并非没有对信息处理风险进行场景化处理。《个人信息保护法》对敏感个人信息的定义体现了一定程度的风险评估，但最高人民法院出台的规定中没有对司法风险评估给予一定标准化的指导，究竟在何种情形下以何种方法泄露或非法使用信息将达到侵害自然人人格尊严、人身或财产安全的程度仍是没有具体的定义，司法弹性空间过大。场景理论并不意味着赋予司法者完全的自由裁量权，现行的规范结构过于疏漏，制度的柔性使得处于弱势地位的被收集者维权难度大大增加，信息泄露风险几何级增长，司法必须弥补不同情境下规范的抽象性。因此，立法应重视可技术化、工具化应用的同意要件的设立。

(三)允许但严格限制人脸信息的社会控制

个人信息的社会控制理论主张个人信息具有社会属性，个人信息权并非绝对、排他的控制和支配权，个人信息的合理使用应当建立在对所涉各方综合的利益衡量之上。社会控制理论的基础是个人信息的社会性、公共性、共享性，侧重信息成为公共资源流通中所带来的社会红利，认为隐私是社会保护的产物。该理论相比知情同意规则更加契合大数据时代的运行逻辑，理论实施的难度和成本也大大低于知情同意规则。但是，在人脸信息社会控制论上仍需采取严格的限制立场，原因在于，人脸信息相较于一般个人信息更具特殊性。一般性地禁止人脸信息的社会控制，赋予个人对人脸信息收集、存储、使用、加工、传输、提供、公开等过程的支配和控制权并不会妨碍社会的正常运行。英国信息委员会办公室在2021年《公共场所使用人脸识别技术》报告中指出，面对不特定主体自动化运行的刷脸应用难以依靠同意而获得合法性。荷兰的数据保护机构对一家采用人脸识别技术的超市发出正式警告，认为防止失窃并不能成为启用人脸识别技术的合法性理由。国外数据保护机构的谨慎做法恰恰是出于人脸信息严格保护要求的考虑，警惕人脸识别技术大规模应用可能造成的监视场景。自然人的面部特征具有唯一性和不可更改性，法律仅仅限制利用科技手段不当处理和保存人脸信息进而损害自然人权利与自由的情形，而在判断是否启用人脸识别手段以及启用后是否造成不必要的侵害等事项上，自然人的自主权和自决权顺序优于社会控制。

(四)增加人脸信息的特殊删除请求权

《规定》第七条第二款：“信息处理者利用网络服务处理人脸信息侵害自然人人格权益的，适用民法典第一千一百九十五条、第一千一百九十六条、第一千一百九十七条等规定。”《民法典》第一千一百九十五条至一千一百九十七条规定了网络用户、网络服务提供者以及权利人在信息网络侵权时各自的权利义务，权利人享有通知—删除权，网络服务提供者有及时采取必要措施、屏蔽、断开侵权信息链接、通知转送义务等。但在人脸信息侵权中，普通网络用户(即与被侵权人处于同一地位的网络用户)难以获取甚至处理他人的人脸信息，往往是因为网络服务提供者的行为或错误才导致人脸信息的不当泄露或使用，因此，该类“去中心化”的侵权一般不适用普通信息网络的三方模型进行侵权救济，应当赋予权利人审查期限更短、反应更为迅速的信息删除权，将侵权审查的权利移交给第三方机构并设置严格的审查期限。

(五)公益诉讼事后救济制度的补充

在大数据时代，数据的集合表现为数量和结构上的双重复杂性，一旦遭到泄露或引发关联其他信息的风险，其造成的危害规模和程度、广度也使民事普通诉讼程序难以填平。扩展公益诉讼的制度内容和制度框架，使得现有的可诉内容在原本的环境生态、消费者权益的基础上增加数据安全一项，公诉机关依法对侵害公民信息安全的行为提起公诉，允许受侵害的利益相关人员附加提起诉讼，一方面有利于更全面地维护数据主体的合法权益，填平其造成的损害；另一方面有利于节省司法资源，避免单一主体分散提起不同诉讼，造成司法资源在同一时空的重复和浪费。

实践中，个人信息泄露现象多发，然而极少耳闻对信息泄露者提起的诉讼，一方面是因为诉讼成本远远高于受损利益；另一方面在于个人没有取证的手段、渠道和能力，当今网络环境的维护大部分倚赖工信部门的职权式查处也根源于此。除了要改善个体在信息网络环境中的被动地位之外，以工信部门和检察系统为联合，实现在网络信息环境方面的公益维权，不失为对个人取证能力缺陷的一种合理弥补。

五、结 语

如今，人脸识别技术在公共领域已经得到一定程度的推广。例如，在人流庞大的交通枢纽处设置的闯红灯曝光台；对潜逃多年尚未落网的重大犯罪嫌疑人的追捕；寻找失散多年的被拐卖的妇女儿童；地铁和高铁安检入口以人脸识别代替人工核验等。但是，我们对诸如此类的技术应用是否是维护公共安全与秩序、促进社会和谐与稳定所必需仍存留疑问。大规模地启用人脸识别技术，以其非接触性、高效性、便捷性换取公权力对社会的高强度督查，全体公民的人脸数据处于高度风险的不确定性、开放性成为潜在代价，未必是所有人都愿意作出的对价给付。因此，如何实现知情同意原则在程序上、实体上的双重制度修正与变更，进一步缓解大数据社会背景下数据主体各方的获得感与付出成本之间的落差，平衡多方在数据红利的趋向之中利益需要的可能性与期待性成为现代法学的一大课题。

人脸信息不同于一般的个人信息，在规范与司法的应用下，应当更为关注人脸信息的特殊性，而非盲目套用一般个人信息的侵权救济模板以保护自然人的同意权。法在进行现实的利益衡量的过程之外，更需要牢记法本身的价值导向，它始终为维持人类尊严与地位留有余地。