人脸识别技术应用中公共利益的法律规制

童 心

（安徽大学 法学院,安徽 合肥 230031）

人脸识别技术是现代人工智能应用的新兴产物，是通过捕捉自然人的面部特征信息进行身份验证的生物识别技术。大数据时代人脸识别技术的应用场景更加多元。在刑事案件侦查中，人脸识别系统能够迅速、精准识别犯罪嫌疑人。在新冠肺炎疫情防控中，人脸识别技术在预防疾病传染，维护公众安全中作用显著。商业化场景中“刷脸支付”，日常管理中“刷脸打卡”，人脸识别以技术创新带动产业升级，给企业和个人带来巨大收益。然而，大规模运用人脸识别将带来个人隐私泄露与人格贬损风险，严重侵害个人隐私权益，威胁个人财产安全。

2021年，最高人民法院公布了《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》[1]，该司法解释规定了信息处理者基于公共利益需要处理人脸信息的可免于承担民事责任。目前，使用人脸识别的场景越来越多，人脸识别渐呈泛滥之势，有些使用目的已超出公共利益范畴却缺乏有效监管。生活中公共利益范围划定较为宽泛，“保障公众生命安全、维护公共秩序稳定”都是其应有之义。基于商业动机或以营利为目的，一般被排除在公共利益范畴之外。在杭州市民郭某诉杭州野生动物世界有限公司一案中，被告作为营利性的私人企业，其收集用户人脸信息的理由难以被扩大解释为“公共利益”。源于对公共利益的敬畏，实践中以公共利益为目的使用人脸识别的情形遭受的质疑很少，但公共利益不应成为无节制使用人脸识别的理由。公共利益应用存在虚弱化、宽泛化的主要缘由在于其概念的抽象性以及内涵的开放性。从维护个人信息安全、平衡公共利益与个人利益的角度出发，准确界定公共利益范围，设定适当限度，对公共利益加以规制是当务之需[2]。

1 基于公共利益使用人脸识别的法理基础

基于公共利益限制个人信息权有其理论合理性，然而，客观上造成了两者的潜在冲突，有效缓解矛盾的方法在于承认公共利益具有相对优先性。

1.1 个人信息控制权被削弱

个人信息权是一项积极性的人格权，但不是绝对的、无边界的、不受控制的权利。权利和义务是对立统一的，公民可以自由支配、控制其个人信息，不受他人侵害，同时也背负一定的义务，需要适当接受其他主体对个人信息进行利用，当然这种利用不得以侵害信息主体的合法利益为前提。换言之，侵害个人信息权是不合法的，但个人信息权损害社会公德、妨害集体利益时被规制是合理的。个人信息流动、传播、共享的态势无法人为、有计划地加以抑制。数字经济的活跃增强了个人信息的公共产品属性，包容性凸显，排他性降低，自然人对其信息权益的控制与支配进一步弱化[3]。

1.2 个人利益与公共利益的平衡

1.2.1 公共利益和个人信息权保护具有根本一致性

个人信息所涵盖的利益类型丰富多样，集信息主体个人利益、公共利益、信息处理者商业利益于一体[4]。公共利益相较于个人利益，无强烈排他性与独自专享性。公共利益和个人信息权不一定互斥，公共利益在一定条件下可能包含个人信息保护目的，成为个人信息权实现的有力保障。基于公共利益使用公民人脸信息，尽管事先没有征得个人同意，公民在多数情况下并无反对与不满，不认为个人信息权遭受严重侵犯。从理论上解释，公共利益由个人利益发展而来并蕴涵在个人利益之中，公共利益体现了最大化、综合性的个人利益，两者目的具有本源性，可以相互转化、相互促进，所产生的冲突只是表象。

1.2.2 公共利益相对优先于个人利益

在利益价值位阶中，经过排序，位置在先的价值优于在后的价值，公共利益优先于个人利益[5]。相较于个人利益只满足单个自然人的自身需要，公共利益满足了人类更高级别与层次的本质需求。信息化时代，大面积的数据交易与合作增强了个人信息的社会经济效用，个人私益让渡于公共利益是大势所趋[6]。以疫情防控为例，进入超市、火车站等公共场所需要进行人脸识别，这里的公共利益直接指向就是公共安全。众多人民群众的生命安全集合形成了公共安全。公众的生命权是最重要的法益，应尽可能维护多数人的生命健康，公共利益优于个人信息权益。维护公共利益最终会造福于个人，在公共安全得以落实的背景下，公民才有可能自由行使个人信息权。单纯追求个人信息私益实现而违背公共利益价值导向的行为缺乏正当性。个人信息权行使边界在于同等尊重他人的合法利益[7]。以损害他人利益、公共利益为代价的个人信息权并非法律保护的客体。

2 目的限制原则与“公共利益”的滥用

出于公共利益的现实需要，限制个人信息权利有其合理性。这里的公共利益需要进行限缩解释，只能是基于“正当的公共利益”需要。这是目的限制原则应用于公共利益的规范表达。倘若个人信息处理目的表述得十分抽象与模糊，信息处理活动将会缺乏正确引导。与此同时，个人将无法形成合理的信息预期，深陷“信息焦灼”困境。生活中不少企业采用指向不明确的词汇表达信息采集目的，比如“改善用户消费服务体验、提高产品质量、促进公共利益”等，其根本目的在于扩大信息收集使用范围，规避法律风险。过多宽泛的目的表述滋生了架空目的限制原则的风险。

目的限制原则一方面要求信息收集目的应当“具体、明确、合法”，多提供细节支撑；另一方面禁止采取“与初始收集目的背离”的手段进一步处理个人信息，即为特定目的收集的个人信息在日后的管理使用中，不可脱离最初目的进行转化性利用，应与原始目的相融通。但是，目的限制原则在人脸识别技术应用中并没有发挥实际效用，因为，该原则亦十分抽象，对该原则的细化解释并不足以准确指导实践。比如人脸识别用于学校的场景，目前在中国许多学校使用人脸识别系统进行管理，提高学生的入校效率，预防无关人员入校，“刷脸进校”受到的质问很少。然而，西欧和美国却严格限制人脸识别的使用[8]。2019年瑞典数据保护局对当地一所高中开出罚单，因为该校使用人脸识别系统统计学生的出勤率。尽管学校董事会辩称使用人脸识别系统的目的在于方便学生，促进学生学习，保障安全，有关部门已审查批准通过，完全遵守目的规范要求，此外也无关联证据证实所收集的个人信息超出兼容性使用的必要目的。但数据保护局认为“人脸识别进入校园”风险性和侵入性过高，不符合比例原则所要求的造成损害最低，学生这个有限群体的利益不能简单归入公共利益范畴，对于该目的的概括解释不足以构成基于公共利益使用人脸识别的正当理由。

单纯依靠目的限制原则无法划清人脸识别中公共利益边界。信息化时代人机交往频繁且密切，各式各样的人脸识别使用目的最终都可以通过扩大解释演变成“维护公共利益需要”。总而言之，需要将目的限制原则与比例原则、必要原则等其他理论衔接[9]，科学划清人脸识别中公共利益范围。

3 人脸识别中“公共利益”规则适用困境

3.1 公共利益代表主体杂乱

谁有权代表、主张公共利益，事关公共利益的精准实现。行政机关和人民群众联系最为密切，天然被认定为公共利益的代表者。然而，行政机关在实现公共利益过程中可能会“变异”，追求自身利益最大化[10]，常见的有部门利益和地方利益。在行政机关利用人脸识别技术收集人脸信息的过程中，会显现出一种形似公共利益但又与公共利益截然不同的利益形态——政府利益，两者独立存在、互不隶属且相冲突，一味追求政府利益会阻碍公共利益实现[11]。行政机关的权力如果不加约束、监管，必然会滋生腐败。具体到个人信息保护领域，公共利益范围不清，加剧了公权力的无序扩张，导致政府部门、社会组织乃至民营企业争先恐后充当公共利益代表者，借维护公共利益名义恣意收集使用人脸信息。信息收集主体多且杂，人民群众难以辨别真伪。

在实践中，我国个人信息保护工作有市场监督管理总局、公安部、工业和信息化部、互联网信息办公室等多个政府部门参与其中。《个人信息保护法》在中央层面上并未将国家网信部门认定为独立的数据保护机构，其仅发挥统筹协调和监管执法的作用，国务院有关部门在各自职责范围内也同样拥有执法权[12]。

3.2 公共利益范围模糊不清

公共利益的内涵犹如普罗透斯的面孔让人看不真切。从文义解释的角度出发，公共利益由“公共”和“利益”两部分组成。然而，学术界不仅对“公共”的认识争议不小，对什么是“利益”也众说纷纭。我国法律明文规定了为实现公共利益限制私权利的具体情形，但对公共利益内涵缺乏充分的说明。立法部门给出的理由是：公共利益在不同领域、不同时代背景下存在细微差异，内容复杂，对各种公共利益作出统一规定无法保证概念科学性[13]。可是，界定公共利益是必要的且意义重大。民法之所以强调合理划定公共利益范围，是因为其理论根基在于最大限度地保护公民个人利益，防止公权力不当入侵私人领域。法律放弃界定公共利益范围，无异于纵容公权力借助规则漏洞损害个人利益。

3.3 公共利益识别的程序性标准缺失

公共利益的认定体现了民主决策的过程，决策结果的实质正义需要决策过程渗透科学与民主，而这需要借助程序规则加以保障。从现实情况看，行政机关使用人脸识别技术采集公民人脸信息时，往往没有事先告知公众，也无意寻求公众的认可与同意。《个人信息保护法》规定了基于公共利益需要收集个人信息无须获得公众同意，然而，是否需要告知公众并未明确；还规定在公共场所安装人脸识别系统，需要设置显著的提示标识，不过，设立显著的提示标识的法律效果不等同于“告知”。公众对行政机关采集以及后续使用人脸信息的目的、方式、途径等一概不知，这里的公共利益既可能是现实存在的，也可能是披着公共利益外衣的商业利益或者政府利益。公众的知情权没有实质性实现。

法律对人脸识别技术运用到行政管理中没有公告和听取意见的规定。事实上，行政机关出于维护公共利益目的使用人脸识别技术只是一个形式化的先申请后审批的过程，是只要提出申请就能被批准实行的程序性规定，并没有对收集目的是否真正符合公共利益需要进行实质性审查的过程。

4 人脸识别中“公共利益”规则完善建议

因公共利益需要克减个人信息权益的正当性毋庸赘述。但是，目的正当性和手段任意性绝非一脉相通的。相反，应该通过限定主体、厘清范围、完善程序等措施保障公益性使用人脸信息合法合理。

4.1 明确个人信息领域公共利益的代表主体

行政机关在现代国家组织架构中地位突出，实践中公共利益的具体划定和落实都需要行政机关负责到底。对政府而言，需要尽快确定公共利益的代表主体，构建保护个人信息权益的主体制度和行政执法机制。针对目前个人信息保护领域多头分散执法、权责错位等问题，亟须建立独立且结构分离的个人信息监管机构[14]，明确问责机制，纠正政府失灵，树立监管权威性。

行政机关还要保障公民参与权的实现以及监督权的行使。设立独立的个人信息保护机构可为公民提供权利救济渠道，当公民个人信息权益遭受损害时能够向该机构表达诉求，要求其规范处理并给出妥善解决方案。同时赋予个人信息保护机构一定的规则制定权，经过国家有关立法授权，发布一些实用的有关个人信息保护的文件、方案等，例如针对信息处理中的“公共利益”作出正当的令人信服的限缩解释。

4.2 合理限定公共利益范围

社会意识形态、政治生态、道德与文化会影响公共利益的立法表达，公共利益概念理解的差异化折射出多元价值取向。公共利益本质上是行政管理者平衡利益冲突，进行利益取舍的工具，选择最优利益才是终极目标。从公共利益特征出发能够准确把握其核心。其一，公共利益是相对于个人利益、局部利益而言的，是经过权衡比较的优胜利益。其二，公共利益是关乎人类长远发展的理性、综合性利益。个体利益在数量上相加减不等同于公共利益，公共利益的价值衡量远在孤立的个体利益之上，它不是短视的、封闭的利益，而是一定范围内人民普遍赞同，服务于个体价值实现的利益。其三，公共利益是抽象与具体的结合，既是利益衡量所追求的未来目标也是现实结果[15]。

4.2.1 公共利益范围类型化

立法中采取逐条列举的方式界定公共利益范围的实践性最强。《公益事业捐赠法》第三条和《土地管理法》第四十五条都采用举例的方法分别对公益事业和公共利益范围进行了规定，两者关于公共利益内容的表述有相同成分。宏观层面上，国家安全与利益、公共管理与秩序、公众安全等都属于公共利益的范畴；微观层面上，科教文卫体事业、环境能源保护、基础设施建设等也是维护公共利益的体现。个人信息保护工作中的公共利益具体化表达还应该包括：信息网络安全、未成年人个人信息的特殊保护、跨境信息提供等。

公共利益类型化为实践中判定公共利益提供了方向指引，有助于正确识别公共利益。不过公共利益的范围界定工作并非一劳永逸，公共利益法律化处在一个兼容并蓄、吐故纳新、不断完备的发展进程中，而且它并非抽象到不可窥探全貌的程度，实践中需要对公共利益进行具体的法律解释和价值判断。

4.2.2 否定式列举排除公共利益的假冒情形

立法上正面罗列的方式存在一些弊端，无法穷尽列举，极大地增加了公权力机关的判定成本。经济实用的方法是从公共利益的反面着手，剔除假冒形态，划清公共利益边界。首先，共同利益与公共利益互不相容。某个区域共同体的利益不一定指向不特定多数人的公共利益，对于特定范围内的部分人的共同利益，不排除其具有公共性质但其也具有私益本性。历史证实形式上简单的多数人利益会引发多数人的暴政。其次，政府利益不是公共利益。中央和地方政府职能部门都客观存在着权力核心集团，权力寻租现象不可避免。最后，含有公益性质的商业利益也不属于公共利益范畴。公共利益不追求营利结果的实现，而商业利益的动机在于赚取利润，可能部分商业利益的实现过程会带来良好的社会效益，提供就业岗位和增加财政税收，潜在地增进了公共利益。然而，追本溯源商业利益仍然是经营主体的私人目的[16]。

4.3 完善公共利益识别的程序性标准

公共利益识别应当融入正当程序规则。通过程序公正推动权力行使规范化。公共利益实质上具有社会共享性，在对私人利益进行限制时，需要给予每一个私人利益主体充分表达自身利益诉求的通道，确保公共利益真正得到贯彻。实现公共利益的各阶段全过程都应该直面大众，充分铺陈[17]，公开以保证透明。在使用人脸识别技术采集公民人脸信息时，政府应当自觉履行信息公开职责，事先向民众详细阐述人脸信息收集使用所涉及的公共利益缘由和内容，以此增强公共利益目的妥当性，提高可接受度。“无需个人同意”的内涵并非否决个人信息知情权，公权力机关有责任以一种简洁明了的方法向民众公开信息采集处理的法律依据和正当理由，并向信息主体阐明关联的信息控制主体、存储路径、利用范围等，广泛接受人民群众监督。

当认定公共利益范围存在较大分歧时，可以建立一个以实现公共利益为价值导向的听证机制，广泛听取利害关系人的意见。对于识别公共利益的听证，具体做法可以规定为：在行政机关或者一些私人主体主张基于公共利益需要，利用人脸识别技术收集公民人脸信息前，政府应当举行听证会，邀请各界代表参与，就人脸信息收集使用目的是否符合“公共利益”说明理由，允许质证和辩驳。此外，举办听证会的时间地点、讨论内容等各项事务需要行政机关事先安排妥当。听证不能形式化，需要明确听证效力，把听证落到实处。公共利益决策的最终形成离不开听证笔录，应高度重视听证笔录记载的民众诉求与磋商意见。

5 结语

人脸识别技术的更新升级给予人脸信息更多的意义，人脸信息作为敏感个人信息需要受到更严格更全面的保护，但是，社会生活中以公共利益为借口滥用人脸识别的问题突出。我们需要正确对待人脸识别技术带来的价值和风险，遵循个人信息保护路径对公共利益进行科学合理的规制。在个人信息保护中不断探索有效的公共利益界定模式，明确个人信息领域公共利益的代表主体，进一步明确公共利益的概念和特征，此外，在程序上需要充分吸纳人民群众参与公共利益的认定过程，保持一定的透明度，保障信息主体的知情权。