张姝方程

（中国科学技术大学 公共事务学院，安徽 合肥 230000）

引言

随着科技时代的高速发展，大数据应用与民众生活产生了不可分离的联系，而人脸识别技术则是较为典型的代表。但由于无节制使用人脸识别技术而导致个人信息保护出现危机已成为当前社会最为关注的科技问题之一。在面对个人信息被以人脸识别技术非法获取和使用的情况时，从侵权法角度入手，对相关责任人科以侵权责任不失为一条合理的解决路径。但人脸识别作为新兴技术自然有其复杂性和特殊性，例如被侵害的法益对象不明、损害行为难以辨别，以及损害确定无法衡量等问题，都会使侵权法在这一问题的适用上面临重重难关。现行《中华人民共和国民法典》（以下简称《民法典》）以立法确定了个人信息保护规则；2021年6月，最高人民法院也相应颁布了应对人脸识别技术问题的司法解释《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》；2021年8月，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）也随之颁布。再结合更早的刑法修正案、网络空间安全保护法，可看出这些法律法规都是较为笼统地涉及个人信息侵权保护方面，一旦触碰人脸识别这一具体领域，侵权法就显得有些力不从心，因此在侵权责任的认定上应进行更加深入的解释分析。

一、问题的提出

得益于人脸识别技术的日趋完善和成熟，人们在生活的方方面面基本实现了利用人脸特征进行身份鉴别。尤其在高新技术的大力推动下，面对不断复杂化的社会场景、多元市场的扩大需求，人脸识别不仅满足了上述情况，还为各行各业的创新发展注入了无限活力，成为数字时代的领航者。①郭春镇：《数字人权时代人脸识别技术应用的治理》，《现代法学》2020年第4期。科学技术是一柄双刃剑，人们在享受人脸识别带来的便利时，危机也悄然来临。由于人脸识别应用规模的不断扩大，个人利益也面临着巨大威胁，人脸识别也使得个人信息保护遭遇重重阻碍。2021年央视的“3·15”晚会就曝出科勒卫浴公司因非法利用人脸识别摄像头获取个人信息来达到商业推广目的进而侵犯大规模群体利益的事件。②于帅卿：《央视“3·15”晚会点名科勒卫浴——家居建材门店安装人脸识别系统已构成违法》，《中国房地产报》2021年3月20日。无独有偶，天津“人脸案”引发社会新的关注，天津市第一中级人民法院经过二审认定本案为个人信息纠纷而非一审法院认为的隐私权纠纷，并且法院判决小区物业不得将人脸识别作为进入小区的唯一途径，必须给业主或者其他有权进出的人提供人脸识别以外的其他合理验证方式。③张谷：《寻找“人脸识别第一案”中的阿基米德支点》，《人民法院报》2021年4月10日。假使本案以侵权行为的视角进行分析，那么该案或产生新的发现甚至于出现超出二审法院裁判思路的新颖之处。放眼全球，人脸识别问题同样困惑着其他国家和地区，国际上为了更好对人脸识别应用进行规制，已将侵权责任作为处理此类案件的首要手段。早在2016年，美国Facebook公司未经用户同意私自将其上传的个人照片进行人脸识别，用户和Facebook公司就因此产生了无休无止的诉讼纠纷，终于在2021年1月双方达成和解，但作为和解条件Facebook公司需要向用户支付高达6.5亿美元的赔偿金。④苏珊珊：《6.5亿美元赔偿！Facebook这起集体诉讼案终于达成和解协议》。

经过对人脸识别技术的深入分析不难得出其具有便携、唯一确定、可识别身份等特性。作为一种生物识别信息手段，人脸识别的背后拥有巨大商机，但危险与机遇并存，在面对人脸识别带来的商业价值的同时也要看到其可能产生的严重侵权风险。第一，由于人脸识别可远程非接触使用，个人的人脸信息会有极大可能在不知情的情况下被非法获取。而且人脸信息采集者和处理者在没有过硬安全技术支持下也难以保证采集到的信息不会被泄露和盗刷。第二，个人财产安全会因人脸识别而大打折扣。现代社会的人脸识别技术被广泛运用，登录网上银行、电子支付都在其使用范围内，一旦人脸信息遭到泄露，那个人的财产也会存在被窃取的隐患。我国已经发生过数起非法利用个人照片进行技术合成来达到盗刷他人支付宝、微信账户钱财的案件，由此可看出这种说法并非空穴来风。⑤见浙江省衢州市中级人民法院（2019）浙08刑终333号刑事裁定书。第三，收集到的人脸信息若被非法深度伪造，则会带来个人精神和财产的双重损害。在国外已有发生利用“换脸”技术嫁接他人照片用于不雅视频中达到报复他人的目的。与此同时人脸信息倘若被明码标价进行商业出售，不仅个人的尊严会受到严重侵害，还有可能会被不法分子要挟用以勒索钱财。

从上述的简要分析不难看出要想对人脸识别应用进行规制，单靠一部法律或一种手段是远远不够的，从侵权法角度入手，对个人信息遭到侵犯进行救济是个人信息保护的一种有力手段。在面对人脸识别这一具体领域时，侵权法不仅要从一般规则入手进行分析，更要抓住人脸识别的特殊性给予有效规制。

二、人脸识别侵犯了谁

确认人脸识别到底侵犯了什么权利，这是想要从侵权法入手规范人脸识别问题的一个前提。一般来说，人脸识别是与人脸信息密不可分的，那么个人信息的保护范围就应将其囊括，但事实远不是这么简单。在民法视域中，尤其是肖像权和隐私权是应对人脸信息保护的两大手段，而这些手段都是从人格权的角度出发对个人信息进行保护，这些权利和个人信息之间纷繁复杂，学者的观点也各不相同，因此厘清这些问题就显得十分必要。

（一）人脸识别侵权的本质

人脸识别，通俗地说就是使用面部来识别或确认个人身份的方法。专业地说就是收集人脸图像后对人脸主要器官位置进行测量从而自动处理包含个人面部的数字图像，以便对这些个人进行识别、认证或分类。人脸识别技术属于生物识别技术一类，其他的还包括语音识别、指纹识别、虹膜识别等。①邢会强：《人脸识别的法律规制》，《比较法研究》2020年第5期。其过程大致为收集人脸图像、测量并提取人脸特征、人脸对比。②杜嘉雯、皮勇：《人工智能时代生物识别信息刑法保护的国际视野与中国立场——从“人脸识别技术”应用下滥用信息问题切入》，《河北法学》2022年第1期。通过测量并提取人脸特征而获得的信息被创建成数据集合，亦称为人脸模板。由此可总结出人脸识别的工作原理：在图像或视频中具有人脸特征的数字信息被解析提取后，将其和其他数字信息进行比对、验证。

通过测量并提取人脸特征而获得的信息被创建成数据集合，人脸模板在立法层面上被确认为生物识别信息。欧盟也把生物识别信息理解为生物特征数据，其发布《通用数据保护条例》将生物特征数据定义为：“自然人的身体、生理或者行为特征经过特定技术处理所产生的能够确认自然人身份的个人数据，例如面部图像的数据或者指纹识别的数据。”③《通用数据保护条例》第4条第14项。印度在《个人数据保护法》中亦对生物特征数据作出规定：“对数据主体的身体、生理、行为特征进行测量所产生的能够唯一地确认自然人身份的面部图像、指纹、虹膜扫描或者其他类似的数据。”④《印度个人数据保护法》第8条。美国的一些州也承认了人脸模板就是生物识别信息，虽然在联邦层面美国还没有相应的立法规定，但伊利诺伊州出台了《生物信息隐私法》，其认为生物识别信息是：“能够识别个人身份的生物特征标识的任何信息。”而生物特征标识是指视网膜或虹膜扫描、指纹、声纹、手部或面部几何结构的扫描，但书写样本、书面签名、照片、用于有效的科学检测或筛选的人类生物样本、人口数据、文身描述或诸如身高、体重、头发颜色或眼睛颜色等物理描述除外。⑤胡凌：《刷脸：身份制度、个人信息与法律规制》，《法学家》2021年第2期。伊利诺伊州方面认为判定生物识别信息的一个基础性问题是明确生物特征标识，如果一些特征不是生物特征标识，则相应的信息就不属于生物识别信息。不难推断“面部几何结构扫描”属于生物特征标识，则衍生于其的人脸信息应为生物识别信息。

再将眼光收回国内，理论界对人脸识别问题的讨论也主要集中在“生物识别信息”，《人脸识别规定》第一条就规定：本规定所称人脸信息属于民法典第一千零三十四条规定的“生物识别信息”。此条规定就足以说明人脸模板是生物识别信息。虽说人脸图像和人脸特征与人脸模板息息相关，但前两者与生物识别信息还是有着诸多不同之处。人脸特征是毋庸置疑的生物特征。生物特征简单来说就是自然人本身的生理特征和行为特征，主要有指纹、掌纹、人脸、虹膜、步态等。①王德政：《针对生物识别信息的刑法保护:现实境遇与完善路径——以四川“人脸识别案”为切入点》，《重庆大学学报（社会科学版）》2021年第2期。生物特征的最大显著之处就在于其是唯一确定的，因此在进行身份鉴别的时候须使用到生物特征。②林凌、贺小石：《人脸识别的法律规制路径》，《法学杂志》2020年第7期。人脸图像则是生物特征样本。生物特征样本是指生物特征离开人体独立存在所需要的样本载体，比如笔迹签名、面部照片、人体器官等。可以这样认为：生物特征样本对应人脸图像、生物特征对应人脸特征、生物识别信息对应人脸模板。这三者的关系是：人脸特征中可提取出人脸模板，人脸特征的样本载体就是人脸图像。

想要提取人脸模板，须保证收集的人脸图像中有固定的人脸特征，但在人脸模板形成的一刹那，人脸图像和人脸特征就与其彻底断离开来。可从以下三个方面理解人脸模板的独立本质特性。第一，没有测量即无法取得人脸模板。要想获得人脸关键位置的特征的数据，就必须要对这些关键位置进行一系列的扫描，比如嘴巴的宽度、颧骨的高度、眼窝的深度等。生物特征与生物识别信息的有效连接就是“测量”，如果没有“测量”，生物识别信息就无从谈起。③孙道锐：《人脸识别技术的社会风险及其法律规制》，《科学学研究》2021年第1期。第二，数据是表达人脸模板的绝对形式。测量后的生物特征经处理会成为一串代码，在日后需要对比身份时，就将其从代码数据库中提出进行参考使用。人脸模板在上述处理的过程中就已经产生了本质改变，和人脸图像、人脸特征亦截然不同，其核心区别就是人脸特征被测量后形成了数据集合，即人脸模板。第三，唯一识别身份是人脸模板的主要用途。同一个数据库中若要做到对个人身份的唯一识别就需要倚靠人脸模板，这离不开精准测量人脸特征的功劳。唯一识别除满足个人在社会活动中对身份进行实时认证外，也会使得身份识别的效率得到极大的提高。人脸模板精准的可识别性使得过去需要用肉眼对人脸图像中的人脸特征进行辨别的这一传统方式被逐渐淘汰。

（二）肖像、隐私和生物识别的关系

上文中已论述生物识别信息才是人脸识别侵权对象，但不可否认的是生物特征和生物特征样本是产生该信息的先决条件，且前两者又与个人肖像密不可分，故人脸识别侵权被误判为肖像侵权也不足为奇。另外，事前未经本人许可，私自用秘密手段进行人脸识别所产生的侵权问题学界还认为其属于隐私侵权。可以肯定的是，学界目前认为人脸识别侵权对象涉及多个方面，因此保护路径也不尽相同，但保护顺序却有优先之分。王利明教授认为，无须以个人信息方式对生物识别信息加以保护，因为诸如肖像等生物识别信息已经受到了肖像权和隐私权的保护。④周頔：《专家热议个人信息司法保护现状及趋势》，《民主与法制时报》2019年12月26日。程啸教授主张，当生物识别信息被以偷拍偷录等侵犯隐私权方式侵害时，按照隐私权保护；若生物识别信息的载体是肖像时，相关权益被损害则按照肖像权保护；不在上述范畴内的就按照个人信息保护的规定进行保护。⑤程啸：《为个人生物识别信息打造法律保护盾》，《人民论坛》2020年第24期。肖像权、隐私权的保护方式优先，这是上述观点在面对损害生物识别信息情况发生时的解决办法的共同之处。不过这种观点的逻辑起点就默认了把肖像侵权或隐私侵权等同于生物识别信息侵权。那么这二者之间真的可以画等号吗？

1.肖像与生物识别信息

肖像是通过艺术手段在物质载体上再现自然人的外部形象。肖像的主要功能就是展现自然人的外部形象，尤其是这个人的面部形象，进而达到清晰识别的目的。正是由于肖像可以清晰识别某个特定自然人，其被纳入人格权的范畴，这种清晰识别的特点根源于生物特征，在一定载体上反映的视觉印象就是生物特征表达出来的可识别性。①王利明：《人格权法研究》，中国人民大学出版社，2018，第419页。那么不难理解，肖像能够反映个人生物特征，是个人生物特征的一种描述手段，不论夸张抑或真实。

令人困惑的是，尽管生物识别信息与肖像都是个人生物特征的反映形式，都能识别个人身份，但二者依旧存在根本差别。（1）个人生物特征能否被精准反映？肖像能够反映个人生物特征，却无法要求其达到十分精准的程度，在识别过程中仅靠视觉感知进行一对一大致鉴别，无法做到精准层面的个人身份识别。生物识别信息则不同，其是数据集合，是个人生物特征经过精准测量才产生的数据，能够做到准确反映出自然人独有的生物特征，个人身份也因此可以在庞大的数据库中被找到并唯一识别。（2）数字化加工是必经程序。个人生物特征在现代科技的加持下被分析解读，生物识别信息就是在此过程中产生的密钥。②周光权：《涉人脸识别犯罪的关键问题》，《比较法研究》2021年第6期。具体而言，生物识别信息根源于对个人生物特征的“测量”，没有数字化处理过程就没有该密钥。（3）数据的表达形式能否体现？肖像是生物特征在一定载体上反映的视觉印象，虽然其需要在物质载体上进行表达，却不能以数据的外观来描述。生物识别信息则不同，它的产生离不开数字技术，它本身就是一种数据集合，通过测量个人生物特征而得到，并且该信息的产生、储存和使用皆依赖数据的表达形式去运作。

不得不说学界正是没有注意到上述区别才误把肖像和生物识别信息画等号，同时，这样的认知也让肖像权与个人信息权益之间产生了混淆。仍有观点主张人脸就是个人信息，人脸应被包含在《民法典》中的个人信息中。③黄薇主编《中华人民共和国民法典人格权编释义》，法律出版社，2020，第133页。实际上人脸既不是生物识别信息亦非肖像，而是一种个人生物特征，都是肖像和生物识别信息的反映对象。（1）人脸不是生物识别信息。前文已阐明生物识别信息是通过测量并提取人脸特征而获得的信息后被创建的数据集合，个人生物特征是产生该信息的先决条件，中间还要进行各类的数字化处理环节。生物识别信息的本质特性就是具有唯一识别的功能，以及数据的表达形式和测量程序。而人脸只是个人生物特征的承载样本，生物识别信息衍生于个人生物特征，这就足以判断人脸和生物识别信息在内容与形式上都无法同一。（2）人脸亦不是肖像。④石佳友、刘思齐：《人脸识别技术中的个人信息保护——兼论动态同意模式的建构》，《财经法学》2021年第2期。肖像是生物特征在一定载体上反映的视觉印象，其功能要做到可载体、可识别、可再现自然人面部形象。人脸原始直观地展现了个人生物特征，个人生物特征需要人脸作为载体才能描述，肖像要表达的内容恰是人脸，因此人脸不是肖像的载体，亦非个人生物特征的再现。

事无绝对，肖像权的侵犯有时会因利用生物识别信息合成他人影像而发生，深度伪造就是一个十分典型的例子，不法分子会使用“换脸”技术假冒合成他人影像并嫁接到一些色情视频或商业广告上。《民法典》第一千零一十九条规定不得利用信息技术手段伪造等方式侵害他人的肖像权，法条中“伪造”一词就是指他人肖像被以信息技术手段编造或捏造，而这一条款的出发点就是立法者想借此规制当下社会深度伪造愈演愈烈的局面。①王禄生：《论“深度伪造”智能技术的一体化规制》，《东方法学》2019年第6期。借此得出深度伪造实际上是利用个人生物特征数据进行加工处理得到他人肖像，并非直接利用他人肖像。通俗讲，这项技术利用一定算法程序将目标人物的原始影像覆盖，得到新的目标人物伪造影像。②蒋洁：《人脸识别技术应用的侵权风险与控制策略》，《图书与情报》2019年第5期。虽说深度伪造是在对个人生物识别信息数据进行处理，但处理后的结果也对个人肖像进行了实际制作和使用。相比较一些艺术手段再现他人形象，深度伪造显得尤为逼真，这得益于其精准再现了个人生物特征。所以，生物识别信息侵权与肖像权侵权重合的情况应当是利用了深度伪造技术，使用肖像权的保护路径也就在利用深度伪造进行人脸识别时才凸显适当。

2.隐私与生物识别信息

民法典意义上的隐私指自然人的私密空间、私密活动、私密信息和私人生活安宁。私密信息则是主观上不愿让他人知晓，客观上处于私密状态的私人信息。③陈甦、谢鸿飞主编《民法典评注 人格权编》，中国法制出版社，2020，第338页。从《民法典》的规定中可探知隐私权能用来保护个人信息中的私密信息，个人信息保护的规定则解决隐私权无法囊括的问题。令人存疑的是，生物识别信息当真就是私密信息吗？隐私权的保护范围能否涵盖生物识别信息的相关权益？

在《个人信息保护法》中，生物识别信息被当作“敏感个人信息”进行保护。敏感个人信息是指自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。④《个人信息保护法》第二十八条。学界一般误认为个人信息等同于私密信息，倘若由此推理，生物识别信息是敏感个人信息，生物识别信息则属于私密信息，显然这样的说法经不起推敲。第一，敏感个人信息要求与个人尊严紧密相关，而私密信息则是客观上处于私密状态，主观上不愿他人知晓的信息。一些信息敏感但不私密，如宗教信仰、健康码、行程码等，所以个人敏感信息和私密信息并不具有同一性。第二，客观性是敏感个人信息的显著特征，个人主观状态和信息敏感程度并无关联，是否敏感取决于社会认知水平。私密信息除要求客观性外，还强调该信息主观上不愿为他人知晓。假使信息已经公开，个人主观上不愿他人知晓也无济于事，反之个人主观上已放弃保持信息隐秘，即便该信息客观上处于私密状态亦不是私密信息。⑤文铭、刘博：《人脸识别技术应用中的法律规制研究》，《科技与法律》2020年第4期。

生物识别信息使得私密信息与敏感个人信息泾渭分明，它敏感却不私密，有的更具有公开性。生物识别信息不能保持隐秘状态的原因在于个人生物特征具有公开性，如人脸，这是天然性的。这种公开性并不晦涩难懂，要想取得生物识别信息仅需拍照即可，简单的获取方式可见一斑。⑥张勇：《敏感个人信息的公私法一体化保护》，《东方法学》2022年第1期。人脸扫描目前已实现远程操作和非接触识别，获取生物识别信息已无难度可言，更没有私密性一说。生活在一个随意拍照即可获得他人生物特征并提取生物识别信息的社会里，人们已不会认为人脸具有私密性。这是因为生物识别信息天然具有公开性，可以公开的信息绝不是隐私，其也不会属于私密信息。⑦张勇：《个人生物信息安全的法律保护——以人脸识别为例》，《江西社会科学》2021年第5期。

从权益角度分析，生物识别信息权益也无法被纳入隐私权范围。信息自主决定权是生物识别信息权益的核心，私人秘密和生活安定是隐私权的核心。个人可以积极利用生物识别信息，实现对自己生物识别信息的自主处分才是生物识别信息权益要保证的根本目的，所以生物识别权益是一种积极的权利，需要个人主动决定、行使和支配。隐私权则不同，它是一种消极的权利，只有个人秘密遭到泄露或正常生活被破坏时，权利人才能就权利遭到侵害提出保护，因为隐私权排斥个人秘密被非法利用，具有防御性。①王利明：《和而不同：隐私权和个人信息的规则界分与适用》，《法学评论》2021年第2期。此外，生物识别信息权益不是单一权利，其唯一可识别的功能和人格尊严密不可分，且巨大的财产价值和商业潜力也让该权益具有综合性。但隐私权更多与伦理道德相关，有情感因素，商业利用不具有适当性，亦不体现出财产价值。隐私权也无法做到整体利用人格利益，仅涉及个体保护，自然不能产生整体利用的财产利益。但生物识别信息可以做到聚集并整合海量信息，利用海量信息整体实现生物识别信息的财产价值。可知，从隐私权的规制思路去保护生物识别信息显得举步维艰。

三、人脸识别是怎样侵权的

人脸识别行为引发人脸识别侵权毋庸置疑，究竟什么样的行为构成人脸识别侵权却仍要细细加以佐证。人脸识别在现有科学技术的支持下已能做到除对人脸直接进行扫描外的照片扫描或视频扫描。对人脸直接进行扫描引发的侵权纠纷争议不大，重点在于在照片扫描或视频扫描的情形下人脸识别是否侵权？特别是一些照片和视频还是在本人自愿的条件下合法公开上传的，那这样的行为是否还具有违法性和有责性？

（一）收集照片行为的性质

收集、使用、公开等环节是处理个人信息必不可少的流程。②《民法典》第一千零三十五条。虽然每个环节都有可能发生侵权行为，但收集行为还是一切侵权的原点。要想切实加强生物识别信息安全保护，就必须对收集行为进行管控和落实知情同意原则，这是源头也是关键所在。人脸识别具有可远程识别和非接触操作等特点，使得它的侵权行为极不容易被发现，落实知情同意原则如同空中楼阁。③李朋、王明达：《“人脸识别”场景下个人面部信息保护问题初探——由“人脸识别第一案”展开》，载《上海法学研究》（2021年第6卷）。更有如此“知情同意”该做何解释：从网上已经有他人自愿公开的照片或视频中提取人脸信息。这样的行为是否侵权？

国外类似的纠纷大多围绕一个焦点展开争论：收集照片是否就是收集人脸信息？2016年Facebook公司与其用户的纠纷中，Facebook公司就是因为提供了一项“标签服务”而被告上法庭。当用户将照片上传到网站时，该服务就会对照片进行人脸识别，姓名、标签等信息会在成功识别后被自动添加。这样的行为使得用户认为Facebook公司是在秘密收集他们的人脸信息且侵犯了他们的知情同意权。Facebook公司随即援引《生物信息隐私法》，认为该法已明文规定照片被排除在生物特征标识范围外。顺理推断，既然照片不是生物特征标识，那么从照片中提取的人脸信息自然就不是生物识别信息，收集照片也就不是在收集生物识别信息。假使对该法中的生物特征标识只做字面解释，那么愈来愈多类似Facebook这样的科技公司将会更加肆无忌惮地收集人脸信息。

Facebook公司的案子对于照片性质的分析在全美引发了剧烈反响，这是解决人脸识别侵权诉讼的一个前提问题。如果照片构成生物识别标识，那就可以把收集生物识别信息和收集照片这两者画等号。纵使Facebook公司和用户诉诸法院，也没有得到一个明确的答复，法院仅是对纸质照片和数字图像作了概念上的区分。法院认为《生物信息隐私法》中的“照片”是纸质印刷品而非线上的数字图像，在该法后续的规定中，不仅将照片排除，也一并将书写样本、书面签名、人类生物样本等排除，原因是它们都要依赖物理载体借以表达，无法储存在电脑中或上传网络。①See In Re Facebook Biometric Information Privacy Litigation,185 F.Supp.3d 1155（N.D.California，2016）.依法院的解释，纸质照片和生物识别信息没有关系，生物识别信息的重要来源是数字图像，因此把纸质照片的保护全盘抹杀是不可取的。在科技产业日趋发达的当下，法院的这种解释其实是填补了《生物信息隐私法》的空缺与滞后，将纸质照片转换为数字图像在现有技术条件下已非难事，甚至说是随时随地，而收集生物识别信息之原点已和收集数字图像出现关联。仅收集数字图像自然算不上收集生物识别信息，纸质照片和数字图像都只是人脸特征的载体样本而已。一旦对数字图像中的人脸特征实施精准测量则实现了生物识别信息的收集，这是十分关键的环节，显而易见Facebook公司的“标签服务”对个人生物特征进行了精准测量。用户们正是主张Facebook公司未经他们的同意对其个人生物特征进行测量并获取了生物识别信息，才是侵权行为的根本所在。

照片只是一种个人生物特征的物质载体，收集照片和收集生物识别信息这二者并不相同，但收集照片有时却会发展成收集生物识别信息。《通用数据保护条例》规定对照片的处理不应笼统地视为对生物特征数据的处理，只有通过特定技术手段对照片进行处理，使其能够识别和认证自然人的独特身份时才应是对生物特征数据的处理。②《通用数据保护条例》前言第五十一条。据此可判定收集人脸信息的行为才是发生人脸识别侵权纠纷中需要把握的核心要素。光厘清存在收集他人照片行为还不够，须在此基础上确认个人生物特征有无被精准测量。如果仅有收集照片行为，特别是自愿合法公开的照片，则不能判断该行为侵权。

（二）在自愿公开的照片中提取人脸信息

现行侵权法的归责体系以过错责任为主，厘清侵权责任的关键就是判断违法性，其蕴含了一些禁止性规定和侵权法要保护的权益内容。③朱岩：《侵权责任法通论·总论（上）》，法律出版社，2011，第251页。随着社会快速发展，相当多的利益还未来得及加以确权，这些利益在当事人往来中不可避免会产生冲突，因此可从法秩序视角入手，违法性要件作为一种价值裁量手段能更好平衡和解决矛盾。个人信息作为一种法益，最大功能在于要妥善协调信息主体利益和数据利用二者的联系。④黄薇主编《中华人民共和国民法典人格权编释义》，法律出版社，2020，第196页。人脸识别侵犯生物识别信息权益势必要考量违法性要件，这涉及行为自由和法益保护的矛盾，因为一旦确认了行为违法性，会对侵权责任的成立有极大意义。不过收集人脸信息行为十分隐匿且不易发现，更有合法形式作为保护伞，想要认定违法性阻碍重重。除外更有一个棘手的问题，就是收集到的人脸信息是从他人自愿公开的照片中获得的，这能否认定为违法？

2019年智能换脸软件“ZAO”火爆全网，网友们利用这款软件轻而易举就可将网络上已合法公开的明星照片实现“换脸”，舆论发酵后有人提出困惑，利用深度伪造技术进行“换脸”的行为是否违法？⑤许静文：《人脸识别技术与安全风险治理问题研究》，《甘肃政法大学学报》2020年第6期。可以笃定的是，明星照片是合法公开的，网友的收集行为自然不被禁止，而且明星自愿公开的话，收集和使用照片就不违背“未经本人同意”这一表述。若按上述推理，网友们“换脸”的行为就显得有理有据。

在判断“换脸”行为的违法性时，一个关键的环节就是区分收集行为获取的是照片还是人脸信息，因为深度伪造技术的核心是对人脸信息加以收集和利用。不论是纸质照片还是数据图像，收集它们和收集人脸信息截然不同，获取人脸信息的前提是收集照片（含数据图像）。个人自愿公开自己的照片是在处分自己的肖像权，他人无权干涉，只不过为他人收集照片提供了合法正当性，并且公开照片也暗示了他人是否可以合理使用该照片。个人在网络上公开自己的照片，那么他人只要进行网络搜索即可获得照片的公开授权，至于授权的内容就看网站的创建者自主设置了，如果个人选择最宽松的随意观看并能保存照片，那么只要能看到该照片的所有人皆有权利收集保存。

收集照片合法与从照片中获取人脸信息是否合法这二者不可一概而论，因为从照片中获取人脸信息的行为已经构成了收集人脸信息，其本质就是对照片中的个人生物特征进行了测量。《民法典》第一千零三十五条已对处理个人信息做了明确要求，《个人信息保护法》则在此基础上有着更为严苛的规定，除了收集生物识别信息时要符合特定目的和充要性外，还必须向个人告知收集个人信息可能会带来的影响。①《个人信息保护法》第二十九至三十一条。这样的规定充分表明生物识别信息的特殊之处，不同于一般信息，它十分敏感，若随意滥用极有可能侵犯人格尊严，也会对人身安全和财产安全带来隐患。至此可以明白，虽然收集的照片是他人自愿公开且收集方式也是合法的，但也不能代表利用从照片中获取的人脸信息进行深度伪造就是合法的。回到换脸软件“ZAO”，实施换脸行为的网友收集他人照片的行为具有合法性，但未经他人同意擅自从收集的照片中利用深度伪造技术解析个人生物特征提取生物识别信息的行为是违法的。

四、人脸识别带来的风险性损害

无损害则无侵权责任，要想准确认定人脸识别侵权，其损害事实不可或缺。人脸识别发生的场景往往在当时无法判断具体损害，多数是未来可能会发生的风险损害，即个人潜在危机，该未来风险能否符合人脸识别侵权责任认定中损害要件的构成，是解决此类问题的最大难点。

若要做到成功认定人脸识别侵权风险属于损害的范畴，首要问题是解决“确定性”标准，即损害非主观推断得出而是有确凿证据论证已经发生或将来确会发生。②焦艳玲：《人脸识别的侵权责任认定》，《中国高校社会科学》2022年第2期。非法处理人脸信息而引发的未来风险是个人在人脸识别侵权纠纷中面临的最大损害，如侵害人格尊严、信息泄露、财产窃取等。如果这些风险已经发生，损害认定毫无争议，问题在于如何证明损害未来将会发生，这就要求在潜在危机还没有成真之前，“确定性”标准如何适用并成立。如同抛硬币一般，人脸信息被收集后遭到滥用的概率是二分之一，亦无法得出高度盖然的结论，那能否说人脸识别侵权的风险损害在“确定性”标准面前站不住脚呢？

人脸识别侵权问题只是个人信息保护领域的冰山一角，在个人信息范围内，对于未来风险的争论也是仁者见仁。来看美国关于就信息泄露主张风险损害赔偿的案例，受害人要想在联邦法院成功起诉的先决条件就是要证明自己是受害人，即证明已发生了实际损害。法院对“实际损害”的判断有三个通用标准：（1）具体事实和特定加害人；（2）已经发生或即刻发生；（3）非主观推断和臆造。①曾雄、梁正、张辉：《人脸识别治理的国际经验与中国策略》，《电子政务》2021年第9期。Clapper v.Amnesty International一案中，政府因颁布了新的法案被告上法庭，原因是新法案的颁布使原告日后有可能会遭到政府的监视，并且监视行为会给原告的个人信息带来泄露危机，原告要求政府赔偿并主张这种泄露危机在未来具有发生的客观可能，而原告为应对这种风险已经花费大量金钱用于预防。②于洋：《论个人生物识别信息应用风险的监管构造》，《行政法学研究》2021年第6期。Spokeo，Inc.v.Robins一案中，被告是一家消费者信用评估机构，案件诉诸法院的理由是原告认为该机构做了不实的评估报告且认为报告会对自己产生不利影响，原告主张该机构依照《公平信用报告法》对他的未来风险损害给予赔偿。③See Galaria v.Nationwide Mut.Ins.Co.,663 F.App'x 384,388（6th Cir.2016）.这两起案件的争议焦点都是“未来风险损害”，那么损害是否实际存在，美国法院的观点也是智者见智，不过联邦最高法院对此持否定性态度，原因是Clapper案中原告主张的损害不符合“确定即将发生”的要求，是原告自身的主观推断；Spokeo案中原告主张的损害过于抽象，只靠被告存在一定过错行为就要求损害赔偿与“具体事实”标准冲突。

美国司法实践因联邦最高法院的否定态度而发生了审判风向转变，但科技水平不断提高，个人信息诉讼纠纷层出不穷，每个案件又有其独特性，对于信息泄露时是否支持未来风险损害赔偿的观点一时之间美国法院界也摇摆不定。Galaria v.Nationwide Mutual Insurance Co.一案中，联邦最高法院第六巡回法庭就认可了预防风险，原因是受害人遭到了身份盗窃，为避免身份盗窃风险增加，原告支付了一系列预防措施费用。在这个案件中，巡回法庭主审法官的思路就与联邦最高法院不同，该法官采纳了损害未来可能会发生的重大风险而非前案的确定或马上发生损害的紧迫性标准。④See Attias v.Carefirst,Inc.,865 F.3d 620,622,629（D.C.Cir.2017）.无独有偶，Attias v.Carefirst，Inc.案的主审法官在面对网络黑客窃取个人敏感信息时，同时比较损害未来可能会发生的重大风险和确定或马上发生损害的紧迫性标准，最终认定前者风险更大，支持了原告的损害主张。⑤张华韬：《我国人脸识别侵权责任制度的解释论》，《社会科学家》2021年第7期。

在具体应对生物识别信息泄露危险问题是否构成损害时，美国司法界的看法正逐渐趋同，不同于其他信息泄露问题的未来风险损害赔偿争议众说纷纭，伊利诺伊州已身先士卒。Rosenbach v.Six Flags Entertainment Corporation案可谓起到了标杆作用，该案原告之子是游乐园常客，某日该子前往游乐园玩耍却发现必须录入指纹才可进入园区，原告这才发现其为儿子购买游乐园季度门票时就已经被秘密收集了指纹。原告依据《生物信息隐私法》向法院提起诉讼并要求赔偿，理由是游乐园在没有通知原告和孩子本人的情况下，未经许可擅自收集指纹信息，事后也无收集指纹的用途、储存、销毁等方式的说明。伊利诺伊州最高法院认为个人生物识别信息受到侵害势必会对个人产生重大影响，指纹的唯一性、不变性、终身性足以说明其一旦被收集则无法修复也不可能再度拥有新的指纹。生物识别信息的高度敏感性使法院认定只要原告能证明被告具有违法行为就能起诉要求损害赔偿。⑥潘林青：《面部特征信息法律保护的技术诱因、理论基础及其规范构造》，《西北民族大学学报（哲学社会科学版）》2020年第6期。伊利诺伊州最高法院的判决使联邦法院认识到损害的新定义即权利受到侵犯就是损害，无须苛责原告进一步论证“确定即将发生”，从而使原告的举证责任大大降低，即证明被告违法即可。2021年，Facebook公司案中用户主张的未经同意擅自进行人脸识别并提取人脸信息建立人脸模板的侵权诉求也最终得到法院支持。①闫晓丽：《美国对人脸识别技术的法律规制及启示》，《信息安全与通信保密》2020年第11期。

未来风险损害从来就不是一个新鲜词语，也不仅仅出现在科技发展带来的法律问题之中。在传统法视角里，如医师不慎进行了错误的诊疗行为或受条件所限，过失导致患者病情恶化进而死亡产生医疗纠纷时，法院一般认为医院须赔偿患者的身体损害、精神损害以及必要的其他费用，因为此种情况患者的“存活机会”遭到医生侵犯，而“存活机会”就是一种未来风险。②See Patel v.Facebook,Inc.,932 F.3d 1264,1274（9th Cir.2019）.在过错责任体系下多要求相当因果关系论、高度盖然性因果论，“存活机会丧失论”则有效减轻了患者的举证责任，同时也大大降低了“确定即将发生”标准，即使医师全力救助患者只有10%的存活机会，那这10%的存活机会也应被当作一种利益加以保护，若受到损害则须赔偿。③刘佳明：《人脸识别技术正当性和必要性的质疑》，《大连理工大学学报（社会科学版）》2021年第6期。由此可见，损害虽不绝对带来风险，但在某些情况下却时有发生，不过这已足以说明不仅是人脸识别侵权损害会带来风险，其他传统法领域类似的问题也会引发未来风险损害，尽管外观各不相同，本质则有共通之处。④田野：《风险作为损害：大数据时代侵权“损害”概念的革新》，《政治与法律》2021年第10期。

科技浪潮接踵而至，数字化应用日渐发达，当下我国审判实务界仍主张以过严的标准来认定损害赔偿，这种看法忽视了风险损害，也使受害者的维权之路困难重重。⑤叶名怡：《个人信息的侵权法保护》，《法学研究》2018年第4期。划分新的损害类型、因信息泄露导致的未来风险赔偿等问题在理论界已被诸多学者关注。⑥解正山：《数据泄露损害问题研究》，《清华法学》2020年第4期。不过承认人脸识别侵权带来的风险损害固然重要，却不能一概而论其均构成损害，需要在具体案例中加以分析判别。我国《人脸识别规定》第二条规定信息处理者未采取应有的技术措施而致使人脸信息泄露、篡改、丢失的，人民法院应认定该行为侵害了自然人的人格权益。该规定引人深思，倘若信息主体未受到黑客侵犯、诈骗窃取等外来损害时，只要信息主体自身没有尽到保护义务的，就可以判断侵权责任成立。或许此条规定已对我国的人脸识别侵权问题认定作出了积极指引，毕竟从某种角度上该规定暗含风险损害。

结语

人脸识别应用的潮流不可逆转，为了更好地保护个人信息，须对违法收集和非法滥用个人信息的行为追究侵权责任。人脸信息虽然与肖像和隐私的关系密不可分，但三者不可一概而论且区别甚大，其本质上的差异表明肖像权和隐私权不是保护人脸信息的最佳选择。对人脸特征进行测量得到的数据形式表现个人身份的生物识别信息才是人脸信息。因此借助个人信息的保护方法是实现人脸识别侵权救济的最大倚靠，同时面临人脸识别中的特殊问题仍要专门解释。在司法实践中，办案人员要严格判定图像收集和人脸信息收集这两种行为的根本不同，进而认定违法性。对损害要件的阐述也要做到具体问题具体分析，在特定情况下亦可认为未来风险成立损害。