论人脸信息的民事法律保护

方璐馨，李永军

（中国政法大学 民商经济法学院，北京 100088）

引言

人脸信息不同于单纯的隐私和一般个人信息，具有唯一性、易辨识性、不可更改性等特征。侵害人脸信息极易妨害信息主体的个人信息权益行使，使信息主体遭受严重的财产损失和精神损害。《中华人民共和国民法典》（以下简称《民法典》）、《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）、《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（以下简称《人脸识别规定》）在一定程度上对上述人格权妨害行为、侵权行为起到一定的遏制作用，但未从根本上解决问题。

鉴于人脸信息的独特性与重要性，或许有必要对其采取民事法律层面上的“强保护”模式，从而以更全面的方式确保公民的隐私权、财产权与个人信息权益得到实现。构建此种强保护模式，需要回应以下三个问题：其一，人脸信息具有何样的法律属性，是隐私，敏感个人信息抑或两者兼备？人脸信息的此种双重属性是解决以下两个问题的理论前提。其二，如何在归责原则上构建人脸信息保护的“强保护”模式？也就是说，侵害人脸信息侵权责任采用何种归责原则，应当适用《民法典》关于隐私权的过错原则，还是《个人信息保护法》所确立的过错推定原则？其三，如何在事前预防与事后救济两个层面构建此种“强保护”模式？就事前预防而言，关系到如何发挥《民法典》第997 条人格权禁令的功能，打造人脸信息侵权行为的事前预防的法律屏障；就事后救济而言，一是关系到是否可以引入惩罚性赔偿制度，二是关系到是否应当在精神损失的问题上采取一体保护模式或者对相关要件进行“强保护”式的解释。本文将围绕上述三个问题，在厘清法律概念、明确价值判断、梳理法条逻辑的基础上，尝试以人脸信息的“双重法律属性”为线索，探讨如何构建与其相关的民事法律“强保护”模式。

一、人脸信息的双重法律属性

关于人脸信息如何界定，学界尚未进行严密的探讨。因此，在探讨如何构建人脸信息的“强保护”模式前，应当依据人脸信息的独有特性，结合域内外理论与实践展开探讨，合理界定人脸信息的内涵与外延，从而为梳理法条逻辑、给出相关对策提供概念基础。

（一）“人脸信息”的法律界定

作为个人信息，人脸信息是人脸识别技术的应用产物。域外相关立法对此有所涉及，但其内涵有待厘清。2019 年德国《联邦数据保护法》（BDSG）第46 节第1 项规定，“个人数据是指已识别或可识别的自然人有关的所有信息”。2020 年日本《个人信息保护法》第2 条第1 项亦强调个人信息的可识别性。2018 年美国《加州消费者隐私法案》第9 节（CCPA）依然延续以隐私保护个人信息的传统做法，除可识别性外，也强调个人信息的关联性。上述规定皆是对个人信息（数据）的界定，但尚未对人脸信息进行专门阐释。基于人脸信息内涵和外延的不确定性，我国《民法典》《个人信息保护法》《人脸识别规定》等立法及司法解释未能“涉足”该问题。人脸信息作为生物识别信息的一种，是个人信息的重要组成部分，多采用概括加列举的方式呈现。在“天津人脸识别”第一案[1]中，法院认为，物业拒绝提供其他出入验证方式与《人脸识别规定》第10 条第1 款相悖。基于人脸信息的唯一性、直接可识别性，物业采集人脸信息应获得同意。2018 年欧盟《一般数据保护条例》（GDPR）第4条第14 项关于人脸图像或指纹识别数据等自然人的唯一标识属于生物识别数据的规定，肯定了人脸信息的唯一性。[2]同时，在广义层面对人脸信息进行界定——“通过对自然人的物理、生物或行为特征进行特定技术处理后得到的个人数据”。不同于肖像，人脸信息是涵盖一切可以与特定自然人联系起来的数字化面部轮廓，易获取，并用于验证、识别和分析特定自然人。

《中华人民共和国网络安全法》（以下简称《网络安全法》）第76 条第5 项规定，“个人信息……包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。《民法典》第1034 条第2 款在此基础上增加了电子邮箱、健康信息、行踪信息等个人信息类别。其中，“生物识别信息”涵摄人脸信息，当无异议。《人脸识别规定》第1 条第3 款对此进行了确认，学界也表示赞同。[3]2021 年11 月1 日生效的《个人信息保护法》相对于《民法典》是特别法，是对《民法典》第1032条至第1039 条的具体化，在使用上具有优位性。遗憾的是，《个人信息保护法》第28 条第1 款依然延续《网络安全法》《民法典》的做法，仅提及“生物识别信息”，没有界定“生物识别信息”，更未划定人脸信息的内涵和外延，何为人脸信息难以界定的“噩梦”仍在人们耳边萦绕。[4]在“郭兵、杭州野生动物世界有限公司服务合同纠纷案”①参见（2019）浙0111 民初6971 号民事判决书。中，法院认为，人脸信息属于个人生物识别信息，并未诠释何为人脸信息。放眼我国《信息安全技术个人信息安全规范》附录B 表B.1，其对敏感个人信息进行了举例。在第三栏，“个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别等”被纳入个人生物识别信息。[5]与上述相关立法相比，其以列举的方式细化了个人生物识别信息，值得肯定。但仍未深入阐释人脸信息，人脸信息之概念仍有进一步明确的空间。对上述观点进行总结，人脸信息的法律界定大致可表述为：人脸信息是以面部为样本，对自然人的面部特征进行技术处理得到的、能够单独或者与其他信息结合识别特定自然人身份的个人信息。

（二）人脸信息的法律属性定位之争：隐私抑或敏感个人信息

依循《人脸识别规定》第1 条第3 款和《个人信息保护法》第28 条第1 款，人脸信息属于生物识别信息，应纳入敏感个人信息范畴。[6]敏感个人信息与私密信息存在交叉则意味着，部分人脸信息属于私密信息，也属于隐私范畴。依循《个人信息保护法》第28 条第1 款，生物识别信息归属敏感个人信息。但是，由于某些人脸信息重在“隐”，不在于利用与“识别”，[7]自然人不愿意公开。[8]663一旦公开，可能遭受的损害具有不可逆性。这与《民法典》第1032 条第2 款中的“私密信息”具有相同属性，好似可由隐私权进行保护。[9]

1.人脸信息属于隐私

《人脸识别规定》第15 条规定，死者人脸信息被侵害时适用《民法典》第994 条。依据文义解释，死者人脸信息可以解释为《民法典》第994 条中的“隐私”[10]，“人脸信息可以作为私密信息”[9]。依循《民法典》第1032 条第2 款，最有可能包含人脸信息的隐私门类是私密信息，为人脸信息属于隐私的法律属性定位提供了理论依据。在“田彩恒与田小六隐私权纠纷案”①参见（2022）京03 民终375 号民事判决书。、“王宝岐与西宝利隐私权、个人信息保护纠纷案”②参见（2021）京03 民终14566 号民事判决书。和“刘嘉龙与沈榕隐私权纠纷案”③参见（2020）京02 民终1641 号民事判决书。中，法院均认为，以视频方式记录公共区域的出行规律、人员流动等，涉及的人脸信息处理行为侵害隐私权，判定被告拆除摄像头。在R(Bridges) v CCSWP and SSHD 案④参见R（Bridges）v.CCSWP and SSHD，[2019]EWHC 2341。中，法官认为，自动面部识别软件捕捉Edward Bridges 人脸信息的行为侵害了《欧洲人权公约》第8 条赋予原告的隐私权。依照《民法典》第1034 条第3 款、第1165条第1 款，人脸信息属于隐私意味着人脸信息遭受损害引发侵权责任适用的是过错责任原则。“‘谁主张谁举证’……弱化了私密信息的保护”[11]，不利于个人信息权益保护。反观侵害敏感个人信息侵权责任，采用的是过错推定责任原则，“对个人敏感信息课以强化的责任”[12]，信息主体无须对信息处理者的过错进行举证，好似采取的是“强保护”模式。从保护信息主体的人脸信息权看，人脸信息归属敏感个人信息更有利，也契合《个人信息保护法》第28 条第1 款将生物识别信息归入敏感个人信息的现有做法。亦与《人脸识别规定》《最高法发布审理使用人脸识别技术处理个人信息相关民事案件的司法解释》（以下简称《人脸识别解释》）等保持一致。可是，如何回应前已述及的人脸信息的隐私特性、相关学者的观点和司法实践做法值得进一步探讨。

2.人脸信息属于敏感个人信息

前已论及，敏感个人信息与生物识别信息以及敏感个人信息与人脸信息之间是包容关系，故人脸信息属于敏感个人信息。在“郭兵、杭州野生动物世界有限公司服务合同纠纷案”⑤参见（2019）浙0111 民初6971 号民事判决书。中，法院肯定人脸信息属于敏感个人信息，部分学者亦持相同观点。映射具体场景，人脸信息和敏感个人信息紧密相关，人脸信息的采集可能涉及其他个人信息的处理，如行踪轨迹、特定身份等敏感个人信息。所以，厘清人脸信息与敏感个人信息之间的关系是保护人脸信息的关键一环。在“小李诉某物业公司隐私权纠纷案”[13]中，法院认为，人脸信息属于敏感个人信息范畴，物业采集人脸信息应当征得同意。“在信息收集当中，知情同意原则被誉为黄金法则”[14]，这有助于保护人脸信息在内的个人信息。“人脸信息与人格利益关联程度高，且涉及隐私利益的侵害可能性”[15]，相较于其他生物识别信息，人脸信息的不当处理可能对信息主体造成长久的、持续的、难以弥补的损害。据此，人脸信息纳入敏感个人信息实施“强保护”具有合理性。可是，按照《人脸识别规定》第15 条，其通过援引《民法典》第994 条将死者人脸信息纳入“隐私”范畴。且《个人信息保护法》颁布后，许多互联网企业基于回应立法以降低或规避人脸信息处理可能带来商业风险的动机，适当调整了隐私政策，在一定程度上佐证了人脸信息属于隐私的法律属性定位。故此，人脸信息是否属于敏感个人信息，仍有商榷的余地和空间。

（三）人脸信息法律属性的再定位：兼具私密信息与敏感个人信息的双重属性

《人脸识别规定》《个人信息保护法》与《民法典》关于人脸信息的法律属性定位存在差异，故人脸信息是私密信息抑或敏感个人信息有待进一步研究。有学者认为，人脸信息是法定的敏感个人信息。[16]另有学者认为，“包括人脸信息在内的个人信息与隐私权之间存在交叠关系”[17]，人脸信息属于隐私范畴。王利明教授则认为，“人脸信息是核心隐私，也是个人敏感信息”[18]，肯定人脸信息兼具私密信息与敏感个人信息的双重属性。基于《个人信息保护法》第28 条第1 款，人脸信息定位为敏感个人信息似乎已尘埃落地。可信息主体存在不愿意公开、披露其人脸信息的情势，原本界定为敏感个人信息的人脸信息可能贴上私密信息的标签，使其获得敏感个人信息与私密信息的双重属性。如人脸信息与行踪轨迹、特定身份、声音等信息同时处理时，可能属于“不愿为他人知晓”的私密信息。程啸教授认为，“有些个人信息既是私密信息也是敏感个人信息”[19]。在“黄某诉腾讯科技（深圳）有限公司等隐私权、个人信息权益网络侵权责任纠纷案”①参见（2019）京0491 民初16142 号民事判决书。中，法院认为，因信息主体的主观意愿，划入敏感个人信息的人脸信息可能具有私密性，故而，部分人脸信息具有隐私与敏感个人信息的双重属性当无异议。人脸信息属于隐私抑或敏感个人信息，本质上是一个立法价值选择问题，“个人信息对于信息主体的人格尊严和自由价值是个人信息保护立法中首要考虑的因素”[20]。亦即，立法者如何选择人脸信息的保护模式问题。在认可人脸信息双重属性的前提下，有学者建议引入场景理论，理由在于“不同场景的需求对人脸识别技术提出了不同处理请求”[14]。不同场景下信息主体对个人信息的合理预期存在差异，法律保护的客体与权利、义务范围不断变化，此时动态系统理论的引入尤为重要。与隐私不同，个人信息的法律保护目的在于实现信息主体与个人信息处理者利益的最大化。该目标实现的关键在于合理划定信息主体个人信息权益的合理边界，减少个人信息权益保护对个人信息处理活动的不当干涉，保证信息处理活动在法治的轨道下真正实现信息的利用、共享与流通这一公共目标。这关乎信息主体的个人利益与个人信息处理者因个人信息处理活动所呈现或维护的公共利益。僵硬地适用现有立法，采取“一刀切”的方式过度保护信息主体的个人信息权益，不利于上述立法价值的实现，也背离了立法者的立法本意。

在这种情况下，奉行场景理论区分不同情势，结合《民法典》第998 条确立的动态系统论[21]，建立一套灵活的、动态的、适用不同场景的人脸信息“强保护”模式具有重要的理论与实践价值。应“结合受害人的职业、影响范围、过错程度，以及行为的目的、方式、后果等多种因素进行综合考量”[22]，认定侵害个人信息权益的责任以及责任形式、责任范围。在这个过程中，可以考虑信息主体受到侵害的可能性、人脸信息可能或已经遭受的侵害风险等[23]242，根据不同归责原则可能对信息主体产生的有利或不利的举证规则，实时认定人脸信息属于隐私、敏感个人信息或者兼具二者的双重属性。

二、强保护模式之一：

侵害人脸信息权益侵权责任的归责原则

明确了人脸信息可能具有双重法律属性后，有必要首先从其侵权责任的归责原则层面探讨“强保护”模式的第一个层面。具体而言，侵害人脸信息权益构成侵权的，侵权损害赔偿责任的归责原则的适用应根据价值判断视情况而定，不宜一概而论地主张适用过错责任原则、过错推定责任原则或无过错责任原则。

（一）人脸信息侵权责任归责原则的价值判断问题

《个人信息保护法》颁布之前，人脸信息等个人信息遭受侵害构成侵权的，适用《民法典》第1165 条第1 款的过错责任原则，即“谁主张，谁举证”。鉴于个人信息处理者和信息主体的地位、技术等差距，一定程度上加重了信息主体的举证负担，甚至举证不能，所受损害得不到充分救济。据此，依据《个人信息保护法》第69 条第1 款对包括人脸信息在内的个人信息侵权损害赔偿责任适用过错推定责任原则具有充分的比较法基础，值得肯定。过错推定责任原则实行“举证责任倒置”，“有助于化解信息主体维权时的证明难题”[24]。同时“鉴于大数据技术的隐蔽性和复杂性，令信息主体证明数据处理行为有违法性，其难度不亚于要求其证明信息处理者有过错”[25]。场景理论下，通过动态系统论的应用，人脸信息一旦归入敏感个人信息，该类侵权责任理应适用过错推定责任原则。

然而，出于法律适用的价值判断考虑，《个人信息保护法》第69 条第1 款设置的过错推定责任原则，在具体适用的过程中应当保持克制，适当引入价值判断，为人脸信息侵权责任归责原则适用提供可能性[26]，兼顾法律体系的价值位阶以及法律适用的灵活性。人脸信息侵权之归责问题的实质在于，对于同一个案件事实，如何在两种可能的规范架构中进行选择并涵摄。前已述及，人脸信息可能兼具私密信息和敏感个人信息的双重属性，那么，对于同一案件事实的法律性质的确定就需要进行相关论证并做出选择。而这种论证与选择关乎价值判断[27]，诚如拉伦茨所言：“如果没有促使立法者联结特定类型与相应法律效果的主导性价值观念，不管是规范性的现实类型还是法的结构类型都是无法想象的。”[28]285对于具有双重属性的人脸信息，在选择隐私权规范或个人信息权益规范的论证中，或许应当坚持优先选择隐私权规范，原因有如下三点：其一，隐私权是一种独立的人格权，而个人信息在我国的立法实践中并未表述为一种“权利”，而只是一种“权益”。在价值位阶上，权利高于权益，因此，法律应以更大的力度保护权利。[29]其二，具体而言，作为私密信息的人脸信息原则上不能为他人使用，这是因为在隐私权的规范构造中，保护隐私权所体现的公序良俗价值高于信息流通的自由价值与相关利益。但是，对于非私密信息，主体完全可以允许他人使用，只要符合合法、正当、必要原则，这说明在利益、价值衡平方面，个人信息权益较之隐私权更重视自由价值与商业利益；其三，隐私权侧重于防御性质，其关键在于保护私密信息在未经个人同意的前提下“隐而不宣”。个人信息权益则更具主动性质，较之隐私权更多地考虑到信息利用的合法性与合理性。[30]42正是因为如此，在私密信息与敏感信息兼具的情况下，应当根据不同情况应用场景理论、动态系统论构建人脸信息归责原则的“强保护”模式，同时兼顾规范体系的确定性与融贯性：基于价值判断，应当优先考虑适用隐私权的侵权归责原则，如不存在适用隐私权相关规范的条件，再考虑适用个人信息权益的侵权归责原则。此处的不同情况，主要指人脸信息是否被泄露和公开。

如在“何某、南浦海滨花园业主委员会等隐私权纠纷案”①参见（2022）粤01 民终1833 号民事判决书。中，法院认为，自然人的个人生物识别信息属于个人信息中的敏感私密信息，应用场景理论、动态系统论判定被告行为侵害原告的隐私权。具有双重属性的人脸信息遭受侵害而构成侵权的，不应再适用过错推定责任原则，须诉诸过错责任原则。《民法典》第1034 条第3 款表明对于归属私密信息的人脸信息的侵权责任，优先适用《民法典》人格权第六章隐私权和个人信息保护章节中关于隐私权的相关规定。[31]212隐私权作为具体人格权，除遭受妨害委诸《民法典》第995 条不考虑过错和损害外，构成侵权的，损害赔偿请求权的实现须借助《民法典》第1165 条第1 款适用过错责任原则。此外，根据场景理论、动态系统论人脸信息被认定为私密信息的，人脸信息属于隐私。侵害此类人脸信息造成信息主体损害的，可经由《民法典》第1034 条第3 款援引该法第1165 条第1 款适用过错责任原则。

（二）人脸信息侵权责任归责原则适用的类型化标准

具体到类型化标准，人脸信息侵权归责原则选择的价值判断要求首先考虑隐私权归责原则的适用，在不存在相关条件的情况下，再考虑个人信息权益侵权归责原则的适用。人脸信息既属于私密信息，又属于敏感个人信息，即私密信息与敏感个人信息存在交叉的场域下，可以以人脸信息是否被泄露、公开为标准进行类型化处理，协调过错责任原则与过错推定责任原则的具体适用。

一是人脸信息被泄露、公开或个人信息处理者的收集、存储、使用、加工、传输、提供等行为涉及人脸信息的泄露、公开的，且对信息主体造成损害的，适用《民法典》第1165 条第1 款的过错责任原则。因为《民法典》第1032 条第1 款规定，侵害私密信息的方式主要是“泄露”和“公开”。在“赵鹏与杨喜东等隐私权纠纷案”②参见（2018）京0105 民初9840 号民事判决书。和“丁伟、洪雅县云洁干洗店案”③参见（2021）川1423 民初38 号民事判决书。中，被告存在非法泄露、未征得同意公开他人个人信息。《民法典》第1226 条、第1039 条则同时提到隐私与个人信息的泄露情势。这似乎表明在私密信息与敏感个人信息交叉时，以人脸信息是否被泄露、公开为标准来决定法律适用是不可行的。其实不然，依照《民法典》第1034 条第3 款的规定，侵害私密信息造成妨害或损害的，优先适用《民法典》有关隐私权的规定。纵使私密信息与非私密信息都存在泄露、公开情况，但在人脸信息具有私密信息与敏感个人信息双重属性的，仍然可以适用《民法典》第1034 条第3 款。侵害人脸信息造成妨害的，适用《民法典》第995 条，无须考虑过错和损害；侵害人脸信息造成损害的，适用《民法典》第1165 条第1 款过错责任原则。[32]

二是个人信息处理者对个人信息实施非法收集、存储、使用、加工、传输、提供等行为，没有泄露、公开人脸信息，则人脸信息的秘密性和私人性没有突破[33]，不构成对私密信息的侵害，即使造成损害，过错责任原则也不宜适用。个人信息处理者非法实施上述行为造成损害的，属于非法处理敏感个人信息的行为，应适用《个人信息保护法》第69 条第1 款，采用过错推定责任原则。[34]不能僵硬适用《民法典》第1034 条第3 款，跳出凡属于私密信息就优先适用《民法典》的怪圈。《民法典》起草者的初衷是，相对于敏感个人信息，对私密信息实施“强保护”。毕竟隐私侧重点在“隐”，强调“不公开”，“表现为个人不愿意公开的私密性”[29]。个人信息在于“识别”，“人们依靠人脸就可以进行彼此身份的确认”[35]，重在利用、流通与共享。侵害包括人脸信息在内的私密信息造成信息主体损害的，人脸信息一味纳入隐私而适用《民法典》第1034条第3 款，进而援引该法第1165 条的过错责任原则而非过错推定责任原则反而不利于保护信息主体合法权益。[36]因此，人脸信息具有私密信息与敏感个人信息双重属性的，以是否泄漏、公开作为标准判断法律条文的具体适用，进而采用不同的归责原则具有合理性。

三是个人信息处理者在非法处理信息的过程中泄漏、公开了人脸信息造成信息主体损害的，应根据不同的情况设置不同归责原则的协调适用规则。[37]个人信息处理者非法处理及泄露、公开人脸信息皆造成信息主体损害的，视为两个侵权行为，侵权责任适用不同的归责原则：前者适用过错推定责任原则，后者适用过错责任原则，与前述机理相同。个人信息处理者非法处理及泄露、公开人脸信息皆妨害信息主体权利行使的，信息主体可以依据《民法典》第995 条行使人格权请求权，不考虑过错和损害；[38]个人信息处理者非法处理人脸信息造成信息主体个人信息权益损害，同时泄露、公开人脸信息妨害信息主体隐私权的，信息主体可以分别依循《个人信息保护法》第69 条第1 款的过错推定责任原则、《民法典》第995 条（不考虑过错和损害）主张损害赔偿请求权、人格权请求权；个人信息处理者非法处理人脸信息妨害信息主体个人信息权益行使，同时泄露、公开人脸信息侵害信息主体隐私权的，对于前者信息主体可依据《个人信息保护法》第44 条至第50 条行使人格权请求权进行救济。难以获得救济的，可以单独或同时适用《民法典》第995 条，不存在过错的认定和损害的考量问题。对于后者，适用《民法典》第1034 条第3 款，援引该法第1165 条第1 款适用过错责任原则。

三、强保护模式之二：人脸信息侵权行为的事前预防与事后救济路径构造

在通过价值判断与动态协调构建归责层面的“强保护”模式后，为使人脸信息在现行法律框架下得到最大程度的保护，有必要从事前预防与事后救济两个层面完善损害预防与赔偿层面的“强保护”模式。其中损害预防层面的保护举措，主要包括适当放宽信息主体申请人格权禁令的要求；损害赔偿层面的保护举措，主要包括引入惩罚性赔偿制度以及财产损害与精神损害的一体保护模式。

（一）事前预防：适当放宽信息主体申请人格权禁令的具体要求

《民法典》第997 条被学界称为“侵害人格权的禁令制度”[39]107、“人格权侵权行为禁令制度”[40]、“人格权行为禁令”[41]等。为了方便论述，本文统称为“人格权禁令”。信息主体申请人格权禁令应当具备信息主体有证据证明侵害行为、正在实施或即将实施侵害行为、不及时制止信息主体的合法权益将受到难以弥补的损害三个要件。[42]20-21人格权禁令有“停止侵害”之功能，但与该法第995 条中的“停止侵害”存在显著差异。“停止侵害是一种事后救济措施”[43]，无法彰显事前预防的制度功能。作为回应，《民法典》第997 条的人格权禁令应运而生。人格权禁令“是一种具有预防性质的保护指令”[44]，契合设置人格权禁令以预防侵权或制止侵权的制度功能，有助于强化包括人脸信息在内的个人信息保护。《人脸识别规定》第9 条亦予以肯定，进一步明确信息主体可以申请人格权禁令，可见立法者对人脸信息保护的重视程度。《民法典》第997 条针对的是人格权，《人脸识别规定》第9 条针对的是隐私权或其他人格权益。后者主要是个人信息处理者“使用人脸识别技术”实施侵害行为，前者则是一般人格权及个人信息侵权行为。一种可能的启示是，信息主体申请人格权禁令具有一定的特殊性，亦即，可以对侵害人脸信息等特殊个人信息的人格权禁令制度做出不同于一般人格权的制度设计。

前已述及，人脸信息兼具隐私与敏感个人信息的双重属性。从人脸信息归属隐私角度考量，对人脸信息实施的是“强保护”。审视其纳入敏感个人信息的因素，侵害人脸信息造成信息主体损害的，适用的是过错推定责任原则，立法者亦采用的是“强保护”姿态。这在一定程度上为侵害人脸信息案件中信息主体申请人格权禁令提出了低于一般个人信息主体申请人格权禁令的要求。易言之，只有放宽信息主体申请人格权禁令的条件，方可与《民法典》第1034 条第3 款及《个人信息保护法》第69 条第1 款的“强保护”态度保持一致。具体可以对《民法典》第997 条进行如下修正：《民法典》第997 条中“难以弥补”是指“难以通过其他方式予以弥补，事后的恢复已经属于不可能或极为困难”[45]39，为信息主体申请人格权禁令设置了障碍。隐私尤其是某些私密信息、敏感个人信息，如健康信息、性取向等，“一旦被传到网上，基本无法再彻底删除”，契合“不可能或极为困难”[46]65。但是，作为兼具隐私与敏感个人信息双重属性的人脸信息被公开、泄露后，对信息主体的损害是巨大的，可能是“事后的恢复已经属于不可能或极为困难”，也可能是其他情形。前者可以依据《民法典》第997 条申请人格权禁令。后者即使事后被彻底删除，但无法消除由此给信息主体造成的损害，心理影响面积极大。故因人脸信息等特殊个人信息遭受“可以弥补”的损害的，信息主体也应可以申请人格权禁令。这归因于人脸信息等特殊个人信息的特殊属性，如属于私密信息的被他人性侵扰的个人信息等，人脸信息具有隐私与敏感个人信息的双重属性更应如此。职是之故，信息主体申请人格权禁令在符合其他条件的情况下，无须考虑损害是否“难以弥补”，强化对人脸信息的保护。另外，放眼《民法典》第997 条，“难以弥补”是“损害”的定语，似乎存在矛盾。既然侵害人格权造成“损害”，可能导致“事后的恢复已经属于不可能或极为困难”，但肯定可以通过损害赔偿、赔礼道歉等途径获得救济。故此，“难以弥补”和“损害”表述存在冲突，应当进行适当调和。人格权禁令“对于及时制止侵害人格权的行为、有效预防侵害人格权损害后果的发生……具有重要意义”[47]。也就是说，人格权禁令具有预防功能，可以是预防“损害”，也可以是预防“妨害”。“妨碍”在某种程度上也可以严重侵害人格权人的人格权，损害人格尊严，妨害人格自由。为了消解“难以弥补”与“损害”这两个表述之间的冲突，同时放宽信息主体尤其是人脸信息等特殊信息主体申请人格权禁令的条件，可以把“损害”调整为“侵害”。这样，《民法典》第997 条具有事前预防“妨害”“损害”之功能，第995 条、第1165 条则发挥“妨害”“损害”的事后救济之功能。[48]依据体系解释，“妨碍”有事后救济，就应当有事前预防，否则会破坏人格权编的整体性和体系性。因此，为了维护人格权编的整体统一，实现“损害”与“妨害”的同等救济，《民法典》第997 条中的“损害”调整为“侵害”具有合理性。

（二）事后救济：引入惩罚性赔偿制度与改善精神损害赔偿制度

个人信息处理者侵害人脸信息造成损害的，信息主体可以主张侵权损害赔偿请求权。《民法典》第1179 条确认侵权责任承担的主要方式是损害赔偿，损害是受害人主张侵权损害赔偿责任的必备要件，包括财产损失和精神损害两部分①参见（2018）京0105 民初36658 号民事判决书、（2018）京0105 民初9840 号民事判决书、（2019）京0491 民初6694 号民事判决书。，映射到人脸信息侵权案件亦是如此。

1.财产损害：引入惩罚性赔偿制度

根据《民法典》第1182 条、《人脸识别规定》第8 条第1 款和《个人信息保护法》第69 条第2 款规定，财产损害赔偿数额的计算方法大同小异，通常按照信息主体因此受到的损失，或个人信息处理者因此获得的利益计算。损失和获利难以确定的，由法院根据实际情况确定赔偿数额，这是对原《侵权责任法》第20 条和《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第18 条第2 款的继受。此外，《人脸识别规定》第8 条第2 款对《个人信息保护法》第69 条第2 款中的“损失”进行了扩大解释，延伸至信息主体制止侵权行为所支付的合理费用和合理的律师费用。[49]有学者提出，“受害人为防免未来损害支付了本不应支付的费用也应作为财产损失”[50]。2008 年美国伊利诺伊州《生物信息隐私法》（BIPA）第20 条规定，胜诉的受害人可在被告的每次违法行为中获得最高1000 美元。2019年《萨默维尔市禁止人脸技术监控条例》第3 节第c 款有类似规定。如果个人信息处理者“具有恶意或鲁莽”[51]，则为最高5000 美元的法定损害赔偿金或实际损害赔偿金，以较高者为准，即实施惩罚性赔偿。上述规定对人脸信息侵权行为起到较好的预防和威慑作用。反观我国，侵害人脸信息的损害以实际损害为准，恐难有效遏制人脸信息侵权行为。

基于前述，在《个人信息保护法》第69 条第2款规定的基础上，应当建立侵害人脸信息惩罚性赔偿责任承担规则。惩罚性赔偿源于美国，主要适用于故意侵权、被加重的过失（重大过失或鲁莽）和严格责任。[52]我国《民法典》第179 条第2 款规定，“法律规定惩罚性赔偿的，依照其规定”。该规定置于总则编，具有原则性与统领性。为《民法典》第1185 条的知识产权侵权责任、第1207 条的产品责任、第1232 条的污染环境、破坏生态侵权责任中惩罚性赔偿制度的设置提供法律依据。第1185 条和第1232 条使用的是“故意”措辞，第1207 条使用的是“明知”，皆可以归属于故意侵权范畴。[53]《中华人民共和国消费者权益保护法》第55 条和《中华人民共和国食品安全法》第148 条秉持相同立法理念。[29]鉴于人脸信息的双重属性及其唯一性、易辨识性、不可更改性，一旦遭受损害，信息主体的损害可能具有不可逆性，损害不能弥补、难以弥补或难以获得全部填补。因此，填补损害仅能在一定程度上填补信息主体遭受的损害，但欲真正扼制非法人脸信息处理活动，应当发挥法的惩罚功能。[54]美国《侵权法重述纲要》（第三版）第908 节评注a 规定，惩罚性赔偿的目的在于“惩罚实施违法行为者，遏制他及他人将来实施类似行为”[55]。基于《民法典》以“故意”作为实施惩罚性赔偿的理论依据，人脸信息侵权惩罚性赔偿的适用亦应止步于此，以故意为限。美国《侵权法重述纲要》（第三版）第908 节评注b 亦有相关规定。此外，《个人信息保护法》第69 条第2 款本身也暗含了惩罚性赔偿制度的适用，因为个人信息处理者获得的利益可能大于信息主体遭受的财产损失和精神损害，超额部分可以视为惩罚性赔偿。

2.精神损害：一体保护与要件解释

《个人信息保护法》第69 条第2 款和《人脸识别规定》第8 条第1 款均未明确是否适用精神损害赔偿。学界对此主要存在肯定和否定两种观点，肯定者认为，“权利人无需在人格利益侵权之外，再依一般侵权责任另行请求财产权益救济”[56]，应当进行一体化救济。否定者认为，“《个人信息保护法》第69 条规定的只是对侵害个人信息权益造成财产损害的赔偿责任”[57]，即“损害”不包括精神损害，否则该条第2 款中的“损害”与“损失”存在矛盾。《个人信息保护法》第69 条仅可为财产损失提供法律依据，精神损害应诉诸《民法典》第1183 条第1 款。审视人脸信息侵权行为，除财产损失外，信息主体可能遭受精神损害，如持续的痛苦、不安、害怕、恐惧等。在“史巧英、贾辉个人信息保护纠纷案”①参见（2022）豫0611 民初426 号民事判决书。和“庞衍硕、山东三保和建设工程有限公司等个人信息保护纠纷案”②参见（2022）鲁1603 民初404 号民事判决书。中，法院均支持了精神损害赔偿。GDPR 第82 条第1 款规定的非物质性损害通常指向精神损害。2018 年英国《数据保护法案》第168 条第1 款亦有类似规定。故侵害包括人脸信息在内的个人信息引发精神损害的，应允许信息主体主张损害赔偿请求权。

有鉴于人脸信息以及人脸信息侵权引发精神损害的独特性，可以对现有精神损害赔偿规则做出如下调整：一是明确信息主体可以依据《个人信息保护法》第69 条提起精神损害赔偿。《个人信息保护法》第69 条中的“损害”包括精神损害，该条第2 款中的“损害”与“损失”的表述是统一的，“‘损失’涵摄精神损害”[58]，包括财产损失和非财产损失（精神损害）。[59]在这个意义上，“损害”与“损失”具有同一内涵。亦即，“‘个人因此受到的损失’可能是财产损失，也可能是人身伤害”[60]，本文赞成财产损失与精神损害的一体保护。否定观点下的分别保护理论具有一定的合理性，但对于人脸信息这一特殊的个人信息侵权责任应当排除适用。理由在于，若信息主体主张财产损失适用《个人信息保护法》第69 条，则意味着适用的是过错推定责任，有利于人脸信息保护。[11]《民法典》第1183 条第1 款主张精神损害赔偿者，须援引该法第1165 条第1 款适用过错责任原则，不利人脸信息保护。由此引发的法律结果是，对财产损失实施的是“强保护”，对精神损害实施的是“弱保护”。包括人脸信息在内的个人信息的处理是人格权商业化利用的结果，人格属性才是个人信息的主要属性。[61]657所以人脸信息上承载的人格利益应当进行“强保护”，财产利益应当进行“弱保护”。这显然与分别保护理论相矛盾，与一体保护观点相吻合，故建议采用后者的“强保护”模式。二是人脸信息侵权责任的承担不宜以造成“严重”精神损害为标准。张新宝教授认为，“精神损害的严重程度只是确定赔偿数额的考虑因素而不应当作为是否承担责任的决定因素”[62]，石佳友教授甚至建议“民法典草案取消严重性要求”[63]。故，“严重”不应成为受害人主张精神损害赔偿权的必备条件，尤其针对人脸信息等特殊类型的个人信息。作为私密信息与敏感个人信息的复合体，侵害人脸信息即使没有造成严重精神损害，也可能因轻微精神损害给信息主体带来消极的社会影响，如信用度降低、名誉受损、遭受歧视等。[20]以因意外事件导致人脸畸形的信息主体的人脸信息为例，一旦被他人公开、泄露，信息主体可能基于乐观态度并未遭受严重精神损害，但由此引发消极社会影响是巨大的，如遭受歧视、非议等，不允许信息主体主张精神损害赔偿显失公允。[60]“可将‘严重’解释为损害概念中本来具有的损害救济必要性要素，而非额外限制。”[64]剔除“严重”要件表明，对人脸信息采取“强保护”模式，为信息主体主张精神损害赔偿请求权扫除障碍，也与前述保持步调一致。

四、结语

《民法典》《个人信息保护法》《人脸识别规定》等立法关于个人信息保护与利用、流通、交易的规定是对信息社会和网络社会的回应，体现的是法与科技的良性互动关系。人脸信息作为一种标表性人格权的权利客体，其界定具有开放性，且极具争议性。在双重属性的主导下，如何灵活把握过错责任原则、过错推定责任原则的具体适用及相互之间的协调适用规则，是信息主体主张损害赔偿请求权的关键。在此前提下，如信息已经泄露公开，根据价值判断，应当优先适用隐私权侵权相关归责原则；如没有泄露公开，则应适用个人信息权益侵权相关归责原则。如此，人脸信息或许才能在归责原则层面上得到最大保护。就损害的预防和赔偿方面：法的功能之一是预防此类行为的再次发生，起到警示他人和惩治行为人的作用。此时人格权禁令的预防作用便有了用武之地，但为了对人脸信息实施“强保护”，需要对信息主体申请人格权禁令的条件进行变通，如移除“难以弥补”要件；就财产损害层面而言，《个人信息保护法》第69 条的损害赔偿支持存在供给不足，惩罚性赔偿理应成为填补损害规则的“调节阀”；在精神损害能否参照财产损失适用《个人信息保护法》第69条进行救济存在争议的大背景下，明确共同适用过错推定责任原则对财产损失与精神损害进行一体化救济意义重大。如此，切合人脸信息自身特点的、多层次、全方位的“强保护”体系得以建构，这既是科技对法律的“改造”与促进，也是法律对科技的“让步”与支持。