人臉信息商業處理的行政法規制探討

本文是一篇法律論文，筆者認為人臉信息是特殊的個人信息，屬于敏感個人信息的范疇，具有不可更改性和唯一性等特點。人臉信息商業處理過程中，商業主體擁有“信息權力”，這種權力表現為影響信息主體的選擇、制定雙方協議規則、全面控制人臉信息。
第2章人臉信息商業處理行為的界定
2.1人臉信息的涵義與法律屬性
臉是人體最重要的生物特征之一，在中國文化中，臉不僅是身體的組成部分，更代表著個人的人格和尊嚴，[14]充滿象征意義和社會意義。人臉客觀存在于人體，主體的人同時也作為“臉”的客體被動地存在。“臉”本身不能反應個人的主體信息，只有脫離主體的控制才能傳遞信息。[15]目前為止的學理討論、法律規定和司法實踐對人臉信息均沒有明確的定義，最高人民法院《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》（以下簡稱《人臉識別司法解釋》）使用了“人臉信息”這一概念，明確認定人臉信息屬于生物識別信息，納入敏感個人信息保護范圍，但并未定義人臉信息本身?！缎畔踩夹g網絡數據處理安全規范》（征求意見稿）規定利用人臉識別信息進行身份驗證后，原則上不可留存原始人臉圖像。歐盟《通用數據保護條例》（以下簡稱GDPR）規定人臉數據是基于特別技術處理臉部圖像得出的個人數據。據此，筆者認為，人臉信息是已識別或可識別的，反映面部特征的人臉圖像。人臉信息屬于敏感個人信息中的生物識別信息，屬于個人信息的下位概念，包括通過人臉識別技術抓取的人臉特征，還包括原始人臉圖像。人臉信息是生物識別信息中社交屬性最強、最易采集的個人信息。

法律論文怎么寫

要厘清人臉信息的法律屬性，首先應明確其上位概念——個人信息的法律屬性。個人信息法律屬性的討論在國內學界可謂眾說紛紜，其中“所有權客體說”“隱私權客體說”“基本人權客體說”“人格權客體說”成為較有影響力的四種觀點。所有權客體說主張個人信息是財產權益，所有權人享有對個人資料的占有、收益、使用、處分等權利，并認為個人資料的所有權歸屬不能與個人資料的獲取方式和了解程度相關聯。[16]所有權客體說將人格利益、財產權益、信息主體和信息處理者的權利相混淆。在該屬性的定位下不能體現個人信息自身的特性，極易在價值取向上忽視人格尊嚴。隱私權客體說認為個人信息屬于隱私中的私人信息，對個人信息的保護應當沿用隱私權保護模式。[17]由此可得，侵害個人信息就構成對隱私權的侵犯。但個人信息與個人隱私僅在內容和范圍上有相同之處，并非完全重合。公開的個人信息不能視為個人隱私，私密空間的私人活動也不能看作是個人信息，如個人姓名、性別、職業等個人信息并不能歸為隱私范疇?；救藱嗫腕w說是從憲法的角度看待個人信息屬性，認為個人信息是關于個人基本權利與自由的綜合權利，這種主張多在國際組織的立法中體現。[18]人格權客體說將個人信息看作一種具有財產性因素的新型人格權客體，與隱私權、肖像權、名譽權、姓名權等具體人格權并列，當前的個人信息立法即采取人格利益保護方式，個人信息作為人格權客體兼具人格和財產的雙重價值。
..............................
2.2人臉信息商業處理的涵義
人臉信息處理行為包括對人臉信息的收集、儲存、使用、加工、刪除等。人臉信息處理方式包括人臉識別和人臉分析兩種類型。人臉識別是指以人面部特征作為識別個體身份的一種生物特征識別方法。[19]從應用方式不同分類，人臉識別可以分為人臉驗證和人臉辨識。人臉驗證主要是指真實身份的認證，特征為1：1靜態對比，主要應用于身份驗證場景，例如貨幣支付、手機解鎖。人臉辨識是指在收集范圍內進行人臉比對，特征為1:N匹配，主要應用于無需知曉人臉主體身份的場景，例如門禁系統、客戶識別等。人臉分析是指以人臉信息為工具，對人臉信息主體的標簽與屬性、性格與行為、權利與義務等特征進行分析，[20]例如年齡、性別、膚色、是否化妝、是否有胡子等。人臉分析在商業場景中較為常見，對人臉信息進行分析歸類，進而對人臉信息主體提供精準的商業服務，以期大幅提升用戶體驗，幫助商業主體達到營利的目的。
人臉信息商業處理，即商業主體以營利為目的對人臉信息進行收集、加工、提供、出售、公開、刪除等。人臉信息商業處理行為的特征有三方面：第一，處理人臉信息的主體是商事主體。即履行一定法律程序獲得營業資格，并在法律規定的經營范圍內從事經營活動，對外獨立享受權利并承擔義務的主體。具有社會管理職能的行政主體委托商業主體，以社會管理為目的使用人臉信息的行為不屬于本文討論的范圍。但如果前述具有社會管理職能的主體以盈利為目的，對人臉信息進行商業處理也應當視為商業主體，如國家電網，既提供公共服務又具有商事主體的身份，此時需要分析具體情況下的其他因素判斷該主體是否屬于人臉信息商業處理的主體。第二，處理行為的對象為人臉信息。在實踐中，有些信息使用者并不直接收集人臉信息，而是通過購買人臉信息數據庫的方式來達到商業目的，此時出售方的出售行為和購買方的購買行為都應當屬于人臉信息商業處理行為。第三，使用人臉信息的行為具有商業性，是指對人臉信息的處理是以營利為目的，包括與營利直接相關的使用行為，也包含間接相關的使用行為。部分信息使用者表面上不以營利為目的處理人臉信息，但間接地或加工后用于商業活動，也應當認定該信息收集者構成人臉信息的商業處理，如小區物業公司為方便管理收集業主的人臉信息，企業收集員工的人臉信息用于日常管理等。
........................
第3章人臉信息商業處理行政法規制的必要性論證
3.1人臉信息商業處理的法律調整現狀
我國對人臉信息的保護始于民法領域對個人信息的關注，《民法典》對個人信息保護進行一般性的規定，涉及個人信息的概念界定、信息處理規則、免責事由等問題，在法律上明確明確了個人信息屬于人格權益?！度四樧R別司法解釋》明確人臉信息屬于生物識別信息，對侵害人格權益的行為進行列舉，并規定認定信息處理者承擔民事責任時，應當考慮受害者年齡、告知同意情況和必要程度等因素?！缎谭ā吩O立侵犯公民個人信息罪，對違法個人信息處理行為進行定罪量刑上的規定?！蹲罡呷嗣穹ㄔ?、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》對侵犯公民個人信息犯罪作出進一步解釋，主要包含公民個人信息的定義和范圍、定罪量刑的具體標準、刑事責任主體等內容?！秱€人信息保護法》對敏感個人信息處理提出特殊要求，將包含人臉信息在內的生物識別信息進行更為嚴格的保護。明確規定公共場所采集的人臉信息只能用于維護公共安全，明確敏感個人信息的必要條件和同意規則并予以細化?！吨腥A人民共和國網絡安全法》《中華人民共和國消費者權益保護法》等單行法中也有與個人信息相關的規定。與人臉信息相關的法律規定還散見于其他法律規范中，《信息安全技術個人信息安全規范》把敏感個人信息在個人信息大類中區分開，以列舉的方式規定生物識別信息屬于敏感個人信息。地方性法規也對人臉識別技術運用作出回應，如《天津市社會信用條例》規定市場信用信息提供單位不得采集人臉信息，[33]《杭州市物業管理條例》限制物業公司使用人臉識別技術進出小區。[34]此外，國家還出臺了對人臉識別技術予以規制的國家標準，如《安全防范視頻監控人臉識別系統技術要求》《信息安全技術人臉識別數據安全要求》中的規定為人臉識別系統提供了技術和信息標準。
.........................
3.2刑事和民商事法律保護上存在局限性
人臉信息保護法律規定零零散散地分布在對個人信息大類的相關規定之中，以刑事法律和民商事法律保護為主。當前，法律對人臉信息的重視程度有所加強，但仍存在一定的局限性。
3.2.1刑法保護存在不足
《刑法修正案（九）》規定了“侵犯公民個人信息罪”，對社會的新變化予以刑事法律上的回應。但遺憾的是，立法者僅以“個人信息”進行籠統地規定，并未在構成要件和量刑標準上對人臉信息進行特殊考量。在張羽、唐杰等侵犯公民個人信息罪一案[35]中，張羽通過向唐杰購買破解支付寶人臉識別認證的服務，盜竊唐某支付寶賬戶內的人民幣2.4萬元，另外還發現張羽從2013年開始收集的大量包含姓名、身份證號碼、銀行卡號等的公民個人信息2000余萬條。此案僅對張羽的行為定性為侵害公民個人信息罪，且行為入罪的關鍵為唐某的財產損失，損害結果發生才能發現行為已經侵害公民個人信息。且需要注意的是，法院對唐杰制作3D人臉動態圖破解支付寶人臉識別認證的行為定性為非法獲取計算機新信息系統數據罪，而非侵犯公民個人信息罪?？梢?，本案中與唐某財產損失直接相關的人臉信息并未在定罪量刑時進行單獨評價。
刑法出于穩重的特征，其滯后性等弊端比其他部門法律更為突出。刑法所需要的穩定性使其對新出現的社會關系難以迅速做出回應。同時刑法具有謙抑性，要求盡可能縮小刑罰的范圍，盡可能少用或不用刑罰。侵害法益和存在危險并不必然犯罪化，用民法、行政法等法律規范或道德保護不能帶來效果或效果不充分時，才應使用可能剝奪生命和自由的“最后手段”。同時，刑法和行政法的銜接上還存在問題，根據《個人信息保護法》第71條的規定，個人信息處理行為構成犯罪的，依法追究刑事責任。換句話說，當一違法處理人臉信息的行為既違反行政法，又構成侵犯公民信息罪，則同時應當追究行政責任和刑事責任。違法行為判斷標準的確定、行政責任和刑事責任的界限等問題出現在人臉信息保護工作的過程中，存在“以罰代刑”“重行輕刑”的現象。
.................................
第3章人臉信息商業處理行政法規制的必要性論證.......................12
3.1人臉信息商業處理的法律調整現狀................................12
3.2刑事和民商事法律保護上存在局限性................................13
第4章人臉信息商業處理行政法規制面臨的困境.......................17
4.1專門保護立法不足...................................17
4.2監管主體職責不明................................20
第5章人臉信息商業處理行政法規制路徑..........................25
5.1制定人臉信息專門保護的行政法律規范.....................25
5.2明確人臉信息監管主體.............................26
第5章人臉信息商業處理行政法規制路徑
5.1制定人臉信息專門保護的行政法律規范
人臉信息是具有自身特性的特殊個人信息，對人臉信息的保護應當嚴于一般個人信息保護。對人臉信息專門保護有兩種方式：一是在《個人信息保護法》中專章規定個人信息商業處理規則，章節名稱為“個人信息的商業處理規則”，將人臉信息的商業處理規則單獨設立小節，內容涉及人臉信息處理的原則、信息主體的同意規則、信息處理主體的特殊規定等問題。二是進行人臉信息單獨立法，將人臉信息處理的基本原則、信息全周期環節處理的具體規則、商業主體違法處理人臉信息的法律責任等內容囊括其中。從立法的必要性和可行性看，將人臉信息商業處理規則單獨成節難以實現，相對可行的是通過出臺相應行政規范和指南對不同場景下的人臉信息處理進行特殊規定，例如在移動軟件應用和人臉識別技術系統的開發中對人臉信息的相關內容進行專門規定，以突出其專門保護的特殊地位。我國對個人信息保護采取統一立法模式，《個人信息保護法》第62條第2款[60]規定有關部門針對信息處理者、敏感個人信息和人臉識別技術制定專門的個人信息保護規則和標準，為人臉信息專門保護立法提供了上位法依據。筆者認為，國家互聯網信息辦公室是國務院下設的直屬機構，可以作為制定專門人臉信息保護行政規范的主體。其他如工信部、市場監管總局等行政部門也可以在各自監管領域制定相關的人臉信息保護規范。

法律論文參考

我國當前對敏感個人信息處理規則的規定采取比一般個人信息更嚴格的態度，還需要更進一步將人臉信息的特殊屬性以及其容易收集、難以挽回的特性考慮在規則制定之中。譬如，細化人臉信息全周期各環節的具體處理規則。在人臉信息收集階段，可參考歐盟GDPR的規定，要求信息處理者嚴格遵守取得個人單獨同意或書面同意的規定。在人臉信息儲存階段，設置最大儲存期限，期限屆滿或者使用目的實現后，所收集的人臉信息將被自動刪除。同時還應當賦予信息主體“刪除權”，可根據個人意愿刪除信息主體的人臉信息。專門規定還應當彌補當前人臉信息保護法律框架中商業處理人臉信息法律規范的空白。
................................
結語
人臉信息的應用場景已覆蓋至社會日常生活的方方面面，根據具體場景應用的目的可以分為行政應用場景和商業應用場景。人臉信息巨大商業價值伴隨著極高的安全風險，商業逐利與人臉信息安全存在沖突。人臉信息是特殊的個人信息，屬于敏感個人信息的范疇，具有不可更改性和唯一性等特點。人臉信息商業處理過程中，商業主體擁有“信息權力”，這種權力表現為影響信息主體的選擇、制定雙方協議規則、全面控制人臉信息。這種持續存在的極不平等的強弱關系，使現行刑事和民商事法律保護的局限性凸顯，彰顯出行政監管的優勢。
當前人臉信息商業處理行政法規制存在專門保護立法不足、監管主體職責不明、有效配套監管措施不足和協同監管機制尚未形成。因此，不能僅從平等主體間的法律關系出發保護人臉信息，還應從立法入手，充分發揮行政監管的作用，同時還需要多方合作，構建一個全方位、多層次、立體化且行之有效的規制體系，從而使法律規定的人臉信息處理義務真正能夠得到遵守。應在行政法律規范體系中凸顯人臉信息的特殊性，明確各監管部門的職責，并通過建立事前準入和評估機制、完善事中行政監管機制和細化事后行政處罰標準以實現行政法規制的有效運行。最后，構建以行政主體為核心的多方協同機制，從單一的行政主體監管轉向商業主體自我規制和公民個人參與?，F實中人臉信息商業處理的形式多樣，法律規制研究固然需要考慮諸多方面。由于本人學術水平有限，對人臉信息行政法規制的分析和建議仍存在不足，希望能通過本文為日后人臉信息的研究貢獻綿薄之力，以期未來可以無需擔心人臉信息安全，安心地擁抱新技術。
參考文獻（略）