趙精武：“刷臉”應用場景下個人信息保護影響評估的適用路徑

原創 趙精武 行政法學研究編輯部

“刷臉”應用場景下個人信息保護影響評估的適用路徑

行政法學研究編輯部

趙精武（北京航空航天大學法學院副教授）

??

|目次

一、問題的提出

二、人臉識別技術治理的核心目標：技術可信

三、個人信息保護影響評估的理論基礎與制度溯源

四、個人信息保護影響評估機制在“刷臉”應用場景中的適用方式

五、結語

|摘要

《個人信息保護法》《人臉識別技術應用安全管理辦法》等法律法規詳細規定了人臉識別技術服務提供者的法定義務，但濫用、誤用“刷臉”技術的現象仍時有發生。“刷臉”技術治理的重心正在從“制定專門立法”逐漸轉向“準確實施配套制度”。其中，個人信息保護影響評估作為此類技術治理的重要基礎制度之一，在評估方式、評估結果公開、與其他風險評估機制關系等方面存在實施標準不明確等問題。基于技術信任論的考量，個人信息保護影響評估的內在邏輯應當是通過事前的信息安全風險評估和權益影響程度評估，將現行立法中敏感個人信息保護規則轉化為評估標準和評估事項，督促法定義務的充分履行。該項制度的核心目的并不是強制義務主體開展一般意義上的風險評估，而是通過靈活的評估流程向社會公眾呈現技術應用的風險狀況和權益影響方式，進而推動社會公眾對技術應用的安全可靠性形成合理確信，實現促進技術應用和保障技術安全的雙重治理目標。

|關鍵詞

人臉識別；個人信息保護影響評估；風險評估

??

|正文

一、問題的提出

人臉識別技術應用的安全性和必要性持續受到質疑，尤其在2021年“3·15晚會”上曝光“科勒衛浴等一眾企業擅自安裝抓取人臉識別設備”事件之后，人臉信息安全成為公眾普遍關注的社會問題。2021年7月，最高人民法院發布了《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》（以下簡稱《人臉識別司法解釋》）。2025年3月，國家互聯網信息辦公室發布《人臉識別技術應用安全管理辦法》（以下簡稱《刷臉安全辦法》）。這些立法活動均是圍繞人臉信息的安全保護問題展開，《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）更是規定了一系列風險評估機制，如第55、56條規定的個人信息保護影響評估機制，其適用條件便是“處理敏感個人信息”。

但是，個人信息保護影響評估機制并未能發揮預期的風險預防作用。現行立法未能針對評估結果是否公開、評估是否應當采用全面模式、評估流程是否應當標準化等內容作出明確規定。在實踐中，鮮有物業、企業、寫字樓管理者等個人信息處理者采取“適宜的形式對外公開”。例如，在2025年9月，上海某科技有限公司在運營自動售貨機時因未建立個人信息保護影響評估制度等原因而被屬地網信辦予以警告處罰；[1]某主營業務為對外提供人工智能模型訓練基礎數據的科技有限公司因在處理人臉等生物識別類敏感個人信息前，未按《個人信息保護法》有關規定進行個人信息保護影響評估而被責令整改。[2]該類制度的虛置化問題，不能簡單歸咎于法律實施不到位等原因，其根源在于制度的理論基礎與適用方式未能得到清晰界定。該制度往往被視為一種流程性的安全風險評估機制，部分義務主體怠于或敷衍履行此類義務。個人信息“因其負載人格利益而明顯包含私人性成分”[3]，因此，有必要闡明個人信息保護影響評估的制度演進、理論基礎和功能定位，進而明確該類評估在人臉識別技術治理領域的適用方式，確保相應的評估活動能夠有效預防和控制人臉信息安全風險。

二、人臉識別技術治理的核心目標：技術可信

在探討人臉識別技術治理中個人信息保護影響評估的理論基礎、功能定位以及具體的實施方式之前，首先需要理清的是人臉識別技術治理的目標和需求。因為倘若只是籠統地解釋為“人臉識別技術治理需要確保技術應用不會侵害自然人的個人權益”，個人信息保護影響評估機制的制度功能就會被泛化為個體權益的事前保護，進而弱化個人信息保護影響評估與其他安全風險評估機制之間的差異性。

（一）人臉識別技術治理的研究分歧

國內有關人臉識別技術治理的研究已經較為充分，核心的研究主張主要包括“個人信息保護論”“新興技術風險治理論”“新舊風險融合治理論”三類。“個人信息保護論”主張人臉識別技術治理的核心事項依然是個人信息保護，[4]因為所有的技術使用爭議本質上都是圍繞人臉信息的收集和處理活動展開。“新興技術風險治理論”則主張人臉識別技術安全風險屬于一種復雜交叉的新興風險，技術濫用所產生的損害后果不僅僅是個體權益的減損，還有可能導致科技倫理顛覆、危害國家安全等問題。此外，技術應用場景的多元化也使得人臉識別技術應用風險呈現“風險形式的非預期性、風險影響的系統性和風險演化的動態性”等特點，[5]這也是需要單獨規制人臉識別技術的核心原因。“新舊風險融合治理論”則融合了前兩種觀點，主張人臉識別技術安全風險是由已有風險和新興風險共同構成的，如部分學者認為主要風險是由技術缺陷引發的風險和信息處理合法性風險構成。[6]相應的治理模式更應當表現為一種綜合性的治理機制，既囊括個人信息保護規則，也涵蓋面向識別誤差、數據算法歧視等風險的特別治理規則。[7]然而，這三種研究主張也存在各自的局限性：“個人信息保護論”在未能闡明個人信息保護特殊性的情況下，容易將治理結果引導至“個人信息保護規則在特殊場景下的法律適用”，弱化人臉識別專門立法的必要性。“新興技術風險治理論”所提及的“新興風險”無法解釋人臉識別技術風險與其他已知技術安全風險究竟存在何種本質差異。至于“新舊風險融合治理論”，本質上還是對兩種主張所對應的技術安全風險分別設置相應的治理機制。

國外的學理研究與司法實踐則更加側重人臉識別技術應用是否存在濫用公權力、侵犯公民個人隱私權等問題。如在英國的“愛德華·布里奇斯訴南威爾士警察案 (Ed Bridges v.CCSWP) ”一案中，就警察局在公共場所使用自動面部識別技術這一事實，上訴法院將其定性為侵犯了《歐洲人權公約》第8條規定的隱私權。值得注意的是，上訴法院還認為，警察局依據英國《2018年數據保護法》第64條所提供的數據保護影響評估文件未能正確評估自動面部識別技術給數據主體權利、自由帶來的實際風險。[8]該案法院關注的重心實際上是身份信息與行為信息之間的關聯匹配事實，這會使得個別警察權力過大，乃至直接影響被識別個體的其他權益。國外學者普遍認為， “所謂的利用人臉識別技術精準打擊犯罪活動”不過是打著增強社會公共安全的幌子暗中“監視”數據主體，基于人臉識別技術應用的監控系統一旦在社會中普及、蔓延，被用于社會管控，這不僅將導致人臉被用于生成可貨幣化的數據，隱私的社會價值也會被剝奪。[9]國內外研究重心的差異性實際上是各自研究語境所導致的：國內研究同樣有提及“過度監控”“隱私權侵害”等技術安全風險，《刷臉安全辦法》側重從個人信息處理活動應當遵從最小必要原則予以表述，近期發布的《公共安全視頻圖像信息系統管理條例》則是從公共安全視頻系統規范安裝和管理的角度預防“過度監控”等問題。

然而，國內外現有研究始終對“人臉識別技術治理的特殊性”這一根本問題存有分歧。國外研究是以“過度監控”作為研究起點，所以研究結論并不會傾向于專門立法，而是在憲法、行政法層面強調約束和限制公共機構使用人臉識別技術。國內的三種研究主張大多未能正面闡明人臉識別技術單獨治理的必要性和特殊性。一方面，新興風險、融合風險等風險類型論斷或是混淆了人臉識別技術風險與其他關聯應用風險，又或是將人臉識別技術應用所存在的數據安全風險、網絡安全風險與技術應用安全風險混同，[10]未能闡明技術應用風險治理的獨特性；另一方面，個人信息風險的相關論斷又未能進一步解釋人臉識別技術治理規則與《個人信息保護法》的內在邏輯關系，使得“專門立法”這一結論與《人臉識別司法解釋》存在重疊——二者都適用于解釋《個人信息保護法》如何在人臉識別技術中治理實踐。針對“人臉識別技術治理的特殊性”這一問題，還是需要置于技術應用實踐場景中予以探討：其一，過度監控風險并不完全屬于人臉識別技術的“專有風險”，在公共場所安裝攝像頭同樣存在類似的風險；其二，隱私泄露、窺視個人行蹤、技術應用不透明等風險則屬于典型的個人信息安全風險；其三，技術缺陷風險、識別錯誤風險等風險類型屬于產品責任的風險問題。綜合來看，人臉識別技術應用的核心風險依然是個人信息保護風險，[11]其治理的特殊性在于，絕大部分的技術風險屬于人臉信息安全風險的新型表現形態或者延伸產生的次生性風險。

（二）人臉識別技術治理目標的實現路徑：個人信息保護影響評估

客觀而言，《個人信息保護法》《人臉識別司法解釋》《公共安全視頻圖像信息系統管理條例》等法律法規已經較為充分地規定了人臉信息的安全保護要求，與其將“人臉識別安全監管專門立法”論證為“全新的特別立法”，倒不如論證為“現行立法的配套實施制度”。這也能夠合理解釋《刷臉安全辦法》與《個人信息保護法》“內容類似，但相對獨立”的邏輯關系。具體而言，這種督促機制應當實現“充分履行義務”和“高效履行義務”兩類督促效果。

一方面，督促義務主體從形式化履行義務轉變為充分履行義務，進而確保技術安全。《個人信息保護法》所規定的個人信息保護義務并不是“單一化要求”，而是允許義務主體結合自身業務合規能力和經濟能力等因素,在合理范圍內選擇最大化保護個人信息的義務履行方式。但是，義務履行標準的動態性與義務簡化有所區別，對于僅以人臉識別技術作為身份核驗的個人信息處理者而言，其義務履行方式不能以“告知自然人收集人臉信息是為了身份核驗”或者“信息轟炸式的列舉相關信息由自然人自行查閱”等為限，仍然需要滿足“充分履行”之要求。“充分履行”意味著“刷臉”應用的信息處理過程和應用基本情況應當充分告知自然人，滿足“過程公開”與“結果公開”的治理目標。同時，這種“充分履行”也意味著義務主體需要對技術應用的必要性進行評估和判斷，不僅要確保技術應用方式屬于“合理應用”，還需要貼合個體安全風險，充分采取針對性保障措施預防安全風險，亦即達成“區分性治理”效果。

另一方面，督促義務主體結合個案情況落實“高效履行義務”，進而促進技術應用。“當今數字經濟時代消費者普遍存在‘隱私悖論’心理，既希望通過分享個人信息獲得個性化便利，又厭惡信息分享和泄露帶來的風險。”[12]規范人臉識別技術應用是為了更好地促進該項技術普及應用，故而督促機制的實際效果不應當是“加重義務”，而應當是“合理地精簡義務”。在實踐中，隨著應用場景的普及化，義務主體范圍也會有所擴張，這也導致義務履行能力的差異化。法律終究不能強人所難，故而需要通過督促機制指引業務合規重心，精簡和優化目的重復的義務履行環節。例如，商場、健身房、小區物業等義務主體的業務合規能力顯然要弱于常見的互聯網巨頭，故而督促機制應當引導這些義務主體明確自身面臨的主要安全風險，尤其是在采購第三方人臉識別信息服務時，個人信息保護義務的履行方式主要是以合同條款、第三方資質的審查為限。這種“高效履行義務”也是為了避免將“過程公開”和“結果公開”的治理目標泛化為漫無目的的信息公開和披露，額外增加義務負擔。并且，“高效履行義務”亦是“區分性治理”這一治理目標的直觀體現，即基于對各類法律主體義務履行能力的區分，合理調整義務履行的具體要求。

遍覽《個人信息保護法》的各類具體制度，僅有個人信息保護影響評估機制能夠滿足這種督促機制的建構要求。個人信息保護影響評估不僅能夠通過詳細的評估事項和評估要求督促義務主體在評估過程中充分確保個人信息安全，還能夠通過評估事項的靈活調整，使各類義務主體結合個體情況落實“高效履行義務”。

（三）個人信息保護影響評估機制的適用困境

《個人信息保護法》第55、56條規定了個人信息保護影響評估的適用情形和具體評估事項，《刷臉安全辦法》第9條則列明了涉及人臉識別技術的具體評估事項，并明確一旦人臉信息的處理目的、處理方式發生變化，或者發生重大安全事件，則需要重新進行個人信息保護影響評估。如此看來，現行立法在文本層面似乎已對人臉識別技術應用場景中個人信息保護影響評估機制的適用作出了較為明確的規定，然而在具體實施過程中，該機制仍面臨適用標準模糊等問題。

其一，評估事項具體范圍不明確。現行立法雖然明確了“處理目的、處理方式等是否合法、正當、必要”等事項應當列入強制評估范疇，但這些事項的表述較為籠統。例如，針對“保護措施是否合法、有效并與風險程度相適應”這一評估事項，存在“有效性”認定標準模糊、“相適應”程度不明確等問題。鑒于任何保護措施都不可能徹底消除潛在的個人信息安全風險，義務主體究竟應當如何確保保護措施符合法定的“有效性”標準，目前尚未明確；同時，風險程度處于動態變化狀態，這里的“保護措施與風險程度相適應”是應當達到“同步發展”還是“保護措施能夠應對絕大多數常見風險”亦需明確。倘若以“同步發展”為要求，那么對于中小微企業而言，在自身技術能力有限的情況下，這類評估事項的評估結果有可能難以滿足法定要求，從而限制中小微企業對人臉識別技術的應用。更重要的是，倘若僅以《個人信息保護法》和《刷臉安全辦法》所列舉的評估事項為限，允許義務主體不評估其他非強制性事項，又會導致該評估機制與一般意義上的個人信息保護業務合規活動并無實質性差別。因為《刷臉安全辦法》第9條第（一）（三）（四）類事項與《個人信息保護法》第5條、第9條、第28條、第30條等個人信息保護規則基本一致，無法凸顯個人信息保護影響評估機制自身的獨立性與特殊性，進而還會產生另一個問題，即評估事項的范圍選擇應當是以全面評估人臉識別技術應用各類事項為主，還是以重點評估核心事項為主。

其二，評估結果的披露方式不明確。現行立法并未明確提及評估結果是否應當予以公開，倘若不必公開，那么個人信息保護影響評估機制將轉變為一項內部安全管理制度，社會公眾無從得知義務主體是否能夠有效確保人臉識別技術應用的安全可靠，監管機構也難以通過外部行為判斷義務主體是否充分履行了現行立法有關個人信息保護影響評估的法定義務。倘若應當公開，那么從實踐情況來看，鮮有義務主體主動向社會公眾公開相應的評估事項和評估結果。更為棘手的是，如果認定應當公開評估結果，公開的具體范圍和方式亦無法確定。過于詳細的評估結果公開不僅增加了企業實際的業務合規成本，而且使社會公眾難以在繁雜的公開信息中找尋自己關注且能夠理解的核心內容；過于簡略的評估結果公開（如僅公布是否評估、評估結果是否良好等）又無法保障企業充分評估了人臉信息處理活動存在的各類風險并采取了相應的保護措施。

其三，評估標準的模式選擇不明確。任何形式的評估機制都應當設置一個較為明確的評估標準，但現行法顯然囿于法律文本簡潔性等固有要求從而無法對此予以回應。一般而言，個人信息保護影響評估作為一項法定義務，各類法律主體的義務履行標準理應一致。然而，企業的規模大小、技術能力、資金狀況以及業務合規能力等要素均會影響實際的評估活動。完全一致的評估標準對于中小微企業或者非互聯網行業的企業而言，無疑會導致過重的義務負擔，這也意味著該項機制在適用過程中需要解決“不同的評估標準實現相同的制度目標”這一實踐難題。

需要特別說明的是，國家標準《信息安全技術 個人信息安全影響評估指南》（GB-T 39335-2020）確實規定了評估實施的具體流程，例如，“5.5.2個人權益影響分析過程”將評估活動拆分成對個人信息敏感程度、個人信息處理活動特點分析、個人信息處理活動問題分析以及影響程度分析四個階段；“5.9制定報告發布策略”明確企業可以在已有評估報告基礎上予以簡化，但內容至少需要包括“合規性分析的概況”等在內的八類事項。但問題在于，該標準指向的是“個人信息安全影響評估”，與《個人信息保護法》規定的“個人信息保護影響評估”究竟是否同屬一個機制尚且存疑。并且，該標準對“個人信息安全影響評估”的定義更側重“判斷其對個人信息主體合法權益造成損害的各種風險”和“評估用于保護個人信息主體的各項措施有效性”，這與“個人信息保護影響評估機制”的制度內涵也存在一定差別。為此，解決這些適用困境需要重新厘清個人信息保護影響評估的功能定位和理論基礎，進而推導出在特定的理論框架下如何明確個人信息保護影響評估機制在人臉識別技術應用場景中的適用方式。

三、個人信息保護影響評估的理論基礎與制度溯源

在明確個人信息保護影響評估與人臉識別技術治理目標的邏輯關系后，則需要進一步明確個人信息保護影響評估的理論基礎，這關系到該項制度在一般情形下對“刷臉”這一特定情形的具體制度內容設置，同時也關系到在法律適用中如何解釋個人信息保護影響評估機制與其他安全風險評估機制的邏輯關系。

（一）個人信息保護影響評估的理論基礎：技術信任論

制度溯源的目的是準確理解制度設置的最初目的和發展方向，個人信息保護影響評估機制是經由“信息系統安全風險評估”“網絡安全等級保護”等制度發展而來，其正當性基礎必然也是以風險預防和管控為核心。當然，倘若僅僅停留于籠統層面的風險治理、風險評估，并不能實際解決個人信息保護影響評估具體內容的建構問題，故而還需要進一步闡明個人信息保護影響評估建構所依據的具體理論，避免將制度問題束縛于脫離實踐層面的“風險概念”論證。現有研究多是從風險治理的角度論證個人信息保護影響評估的理論基礎，最常見的觀點便是認為個人信息保護遵循的是“基于風險的方法”，其理論價值在于“根據風險水平差異化調整個人信息保護強度”，而這種調整則“有賴于科學合理的影響評估”。[13]個人信息保護影響評估作為典型的風險評估認定機制，制度優化路徑應當更加側重對權益實際影響的考察。也有學者試圖從其他視角論證相應個人信息保護影響評估的理論基礎，如主張該項制度與元治理理論在“國家主導”“社會力量調配”兩個方面相互契合，理應按照元治理的治理邏輯實現“內外監督機制”“評估透明度”和“周期性評估”等方面的制度優化。[14]

無論是“基于風險的方法”，還是元治理理論等其他理論學說，本質上都承認個人信息保護影響評估屬于一種特殊的風險評估機制，只不過對于風險評估的內在邏輯存有分歧。“基于風險的方法”實質上是將個人信息保護影響評估視為一般信息安全風險評估在個人信息領域的“特殊適用”，元治理理論等學說則是將個人信息保護影響評估視為新型獨立的風險評估機制。從《個人信息保護法》第55、56條的內容來看，個人信息保護影響評估的適用情形、評估事項具有其特殊性，并且該項制度所需要實現的督促義務履行功能也決定了該項技術有別于“個人信息安全風險評估”：一方面，個人信息保護影響評估是一種“權益影響評估”，評估事項除了有關個人信息處理活動的合法性判斷外，還包括“對個人權益的影響及安全風險”。如果僅將該項制度視為安全風險評估的一種類型，則會無法解釋“安全風險”與“權益影響”之間的關系。倘若將“權益影響”視為安全的表現形式，那么按照此種邏輯，又會推導出個人信息保護合規審計等具體制度均屬于個人信息安全風險評估的不同形式，《個人信息保護法》也成了“個人信息安全風險評估法”。另一方面，個人信息保護影響評估是一種“重點保護事項的評估”。為了避免義務主體陷入“頻繁評估”“重復評估”的困局，《個人信息保護法》第55條也將適用個人信息保護影響評估的情形限定為特殊情形，其目的是督促義務主體重點審查“對個人權益有重大影響”的個人信息處理活動是否符合現行立法規定。

由此可見，個人信息保護影響評估機制的本質是針對“特定安全風險”進行事前評估，既不同于傳統意義上的純粹風險評估，側重具體的風險類型識別，[15]也不同于常見的合規審計、合規審查等，偏向合規檢驗，[16]而是根據“特定安全風險”的敏感程度和重要程度進行針對性的事前評估和核查。結合該項制度的督促目標來看，其理論基礎并不僅僅是一種特殊的風險評估機制，更是一種技術信任增強機制，核心是增強技術應用的透明度。也有學者將該治理理論表述為“社會建構論”，強調人臉識別技術治理應當將消除社會公眾與技術之間的信任危機作為一般立場。[17]國外學者針對當下數據自由流動的產業發展趨勢，提出了“隱私即信任”的理論，即“基于信任的隱私是一種社會結構，它建立在社會共享者之間、個人與互聯網之間、在線和離線互動的人群信任之間”[18]。這種理論的功能價值在于解釋了隱私保護和信息流動之間的邏輯關系，因為社會主體之間只有存在信任，才能形成對各類主體行為模式的事前確信，進而出于合理期待愿意進行信息共享和開放。尤其是涉及數據收集環節時，在“隱私即信任”的理論框架下，網站對其用戶承擔更多的義務，因為其具備“信息受托人”的角色，需要考慮信息被委托人的最大利益。[19]“隱私的核心不是保守秘密，而是保持控制”[20]，人臉信息的核心則是確保自然人能夠合理相信自己的人臉信息處于安全可控狀態。在此種技術信任論的導向下，個人信息保護影響評估機制的內在治理邏輯也表現為：通過針對“特定安全風險”采取強制的評估流程，既確保信息處理者能夠確信技術應用足夠安全，也能確保自然人足以信賴技術應用不會損害個人信息權益，這種雙向的“信任”促使相應的個人信息處理活動能夠合法且合理地進行。

（二）刷臉應用治理語境下技術信任論的理論工具價值

在人臉識別技術治理語境下，技術信任論是將個人信息保護影響評估機制轉變為建立信息處理者與自然人之間“信任”關系的保障機制。需要說明的是，這種“信任”狀態的達成是通過“發現風險”“評估風險”“降低或緩解風險”和“權益安全保障”四個環節實現的。從實踐角度來看，社會公眾對于人臉識別技術產生恐慌、質疑的根本原因還是對整個信息處理過程和技術應用概況不甚了解，但是這種“不知情”的狀況又不可能簡單通過信息公示披露或平臺規則閱讀等方式化解。因為對于絕大多數社會公眾而言，其自身并不可能很好地了解人臉識別技術應用的基本原理，而且在部分情況下，社會公眾即便“知情”，也可能為使用相關信息服務而無奈選擇接受。國外學者在公共執法領域亦提出了類似的觀點，即人臉識別技術并不總是讓人信服，故而需要以準確披露識別結果和識別置信度等重要事項為基礎，強調以公平的方式消解權益被影響者對技術應用的不知情狀態。[21]所以，更為合理的治理策略應當是由個人信息處理者消解這種“不知情”或“知情但無實際決定能力”的問題，即在事前階段，對人臉識別技術應用采取合理措施，確保自然人能夠相信自己的人臉信息不會被濫用、相關聯的技術應用并不會減損自己的實際權益。

倘若僅是一般意義上的風險評估，《個人信息保護法》顯然沒有專門規定個人信息保護影響評估的必要性，故而個人信息保護影響評估的治理邏輯需要從“風險評估”予以延伸：第一，個人信息保護影響評估應當能夠實現“發現和識別風險”。因為無論是風險治理機制還是影響評估機制，最基礎的制度目標必然是確認存在何種程度、何種類型的風險，并且，個人信息保護影響評估的適用前提是存在嚴重影響個體權益的可能或顯著的個人信息安全風險，所以，這種“發現和識別”功能暗含“判斷是否存在重大風險”和“識別重大風險來源、類型和程度”兩層內涵。第二，個人信息保護影響評估應當能夠實現“評估風險”。在此語境下，風險評估的內涵則不僅僅限于網絡安全風險、數據安全風險，否則只會導致個人信息保護影響評估與網絡安全風險評估的功能混同。所以，這里的“風險評估”主要是為了判斷個人信息安全風險、權益影響風險究竟是否在可控、可接受范圍內。現有研究對于“風險”的范圍界定實際上屬于廣義范疇，意欲實現風險可控，[22]既包括可預測風險，也包括未來是否發生的不確定性風險。但后一種風險更多屬于一種猜想式風險，難以納入個人信息保護影響評估范疇之內；前一種風險則屬于能夠在相應范圍內確定發生的實踐風險，風險評估的目的在于判斷這種風險是否屬于社會可接受范圍。此種風險認知邏輯在人工智能治理領域同樣存在，如常見的論爭風險包括自動駕駛安全風險、致命性自主武器風險、司法系統處理個人數據的算法使用風險、通用人工智能攻擊創造者風險等。但在部分學者看來，僅有最后一類風險是需要引入“預防原則”的，因為該風險的性質及其可能性存在真正的不確定性，[23]至于其他類型風險則可以通過針對性的治理措施予以有效控制。第三，個人信息保護影響評估應用應當能夠實現“降低或緩解風險”。該類機制的核心目標是實現個人信息安全風險和權益影響風險的有效降低或緩解，故而評估報告及其解決方案不能被定位為評估機制的程序性事項，更需要作為義務是否充分履行的實質性判斷標準。第四，個人信息保護影響評估應當能夠促使義務主體主動采取“權益安全保障措施”。風險緩解措施的本質是降低風險發生的概率和減小權益損害的實際范圍，但安全事件的發生不可避免，故而還需要義務主體采取合理措施確保事后的救濟措施能夠達成與“恢復原狀”相持平的權益救濟效果。

2017年發布的《信息安全技術 個人信息安全規范》（GB/T 35273—2017）和之后修訂的《信息安全技術 個人信息安全規范》（GB/T 35273—2020）均提出“個人信息安全影響評估”，均強調“主要評估處理活動遵循個人信息安全原則的情況”和“個人信息處理活動對個人信息主體合法權益的影響”。《信息安全技術 個人信息安全影響評估指南》（GB-T 39335-2020）延續了這一概念邏輯，其所涉及的“個人信息安全影響評估”雖然也涉及“對個人信息主體合法權益的影響”，但從評估實效來看，其本質上更加側重“判斷風險”而非“權益評估”。更重要的是，《信息安全技術 個人信息安全規范》（GB/T 35273—2020）在“11.4開展個人信息安全影響評估”中強調“在法律法規有新的要求時，或在業務模式、信息系統、運行環境發生重大變更時，或發生重大個人信息安全事件時，應進行個人信息安全評估”。這種適用情形顯然與《個人信息保護法》第55、56條并不完全一致，故而無法直接將“個人信息保護影響評估”與“個人信息安全影響評估”等同視之。

四、個人信息保護影響評估機制在“刷臉”應用場景中的適用方式

在明確個人信息保護影響評估機制是以增強技術可信任度為導向、以督促義務充分履行為目標后，接下來需要予以明確的是該項機制在刷臉應用場景中如何適用的問題。誠然，《刷臉安全辦法》已經明確提及了相應的評估內容和評估標準，但是由于立法技術所固有的簡潔性和清晰性，《刷臉安全辦法》并沒有明確提及評估模式、評估流程以及評估結果等具體事項，這也是當下法律適用過程中需要解決的現實問題。

（一）評估標準的場景化導向

個人信息保護影響評估的目的是增強社會公眾對人臉識別技術應用的信任，進而促進該類技術的創新應用。因此，《個人信息保護法》和《刷臉安全辦法》并沒有嚴格限定評估流程和評估事項，僅是對評估標準作出一般性規定。一方面，為了降低業務合規成本，強化個人信息保護影響評估的可操作性，有必要對具體的評估環節進行明確規定；另一方面，個人信息保護影響評估也需要更為靈活的評估框架，以適應不同應用場景下人臉識別技術應用的評估需求，故而需要對評估標準予以限定。這兩種評估機制建構路徑看似矛盾且沖突，但從治理實踐的角度考量，針對常見的技術應用場景，通過規范指引、實踐案例等方式規范評估義務的履行，能夠有效避免敷衍履行義務、形式化履行義務的現象出現。同時，在這些常見應用場景之外，預留足夠的法律解釋空間，更能確保個人信息保護影響評估成為一項衡量自然人權益影響程度的判斷工具，而不是一種形式化評估的“機械”工具。這類制度建構方式在早些年APP個人信息治理實踐中已經有所體現，如《常見類型移動互聯網應用程序必要個人信息范圍規定》便是以“類型化指引+非類型化靈活調整”的治理邏輯明確個人信息收集必要性的判斷標準。

兼顧“標準化履行”和“靈活動態調整”的制度建構方式同時也是個人信息保護影響評估特殊性的必然結果。無論是內部安全風險評估，還是一般情形下的個人信息安全風險評估，其評估活動本質上均屬于風險管理活動。相應地，標準化、模塊化的評估流程和評估事項更有利于進行定期評估、高頻次評估。然而，個人信息保護影響評估的核心是個人權益影響評估，個人信息安全風險屬于個人權益影響的一個主要環節。鑒于權益影響類型的復雜性、個人信息處理活動的牽連性等現實因素，標準化、模塊化的評估流程和評估事項在實施過程中可能會產生各類超出立法者預期的實踐需求，進而導致該類評估機制難以全面實施。例如，在動物園、景區等場所，游客“刷臉”進出和園區內部采用人臉識別的目的具有差異性，前者是為了核驗游客身份，后者則是為了進行公共安全管理。此時，面向景區、園區等場所的一般評估事項可能就無法兼顧兩種應用場景的權益影響差異性。更重要的是，園區內部設置人臉識別設備和設置公共安全視頻設備又屬于兩個不同問題，前者較后者具有更強的監控屬性，能夠實時跟蹤特定個人的行為軌跡，存在單獨評估權益影響風險的必要性，這也是分別制定《公共安全視頻圖像信息系統管理條例》和《刷臉安全辦法》的原因所在。

此外，“靈活動態調整”評估流程和評估事項也是為了適應信息技術的發展趨勢，《個人信息保護法》和《刷臉安全辦法》所提及的評估內容更是需要預留足夠的延展空間。如果僅以當下常見的人臉識別技術應用為限，“采取的保護措施是否合法有效并與風險程度相適應”“可能對個人權益帶來的損害和影響”等評估內容足以解決大部分的人臉識別技術應用場景中的個人信息保護影響評估適用問題。但是，人臉搜索、情緒識別等人臉識別技術的延伸性應用存在更為嚴峻的權益影響風險。人臉搜索主要是指在特定區域內人群內快速識別和確認特定自然人的身份信息，因為該類技術應用涉及對個人行蹤軌跡等敏感個人信息的收集和處理，而且多以遠距離、無感式識別為主，故而相應的個人影響評估事項應當以內部工作人員的安全保密管理機制、信息系統訪問權限的嚴格限制、人臉信息盡可能本地化存儲等為主。情緒識別則是人臉識別的“再延伸”，通過對人臉信息的采集和分析判斷自然人的情緒狀態。這類技術應用方式不僅會采集更多的人臉信息，而且其權益影響范疇已經從個人信息權益、隱私權等擴展至一般人格尊嚴，評估事項的重心則需要調整至技術應用的必要性、情緒狀態是否與其他業務存在關聯等。如歐盟在“《面部情緒識別》新技術評估快報”（TechDispatch#1/2021 - Facial Emotion Recognition）中將該類技術解釋為人臉檢索、面部表情檢測和表情歸類至情緒狀態三個環節，并指出核心風險除了以往的必要性、合比例性等之外，還包括“通過了解個人情緒更容易操縱個人精神”“通過面部表情推斷個人政治立場”等敏感性風險。[24]

（二）評估事項的范圍確認

基于上位法與下位法的關系，《刷臉安全辦法》所列舉的主要評估事項本質上還是以《個人信息保護法》第56條的內容為基礎，增加了“是否合乎科技倫理、強制性國家標準”“是否限于實現目的所必需的準度、精度及距離要求”“人臉信息安全事件發生的實際風險水平及其危害結果”等。但是，人臉識別技術使用者的業務合規能力并不完全相同，仍然有必要在規范指引或實施細則等層面進一步細化這些評估事項。歐盟《通用數據保護條例》（GDPR）第35條等條款同樣列舉了數據保護影響評估的具體事項，但歐盟成員國會再將其細化。例如，羅馬尼亞的個人數據處理監管機構（ANSPDCP）在2018年10月以實例清單的形式細化需要進行數據保護影響評估的7類情形，其中除了前三個實例與《通用數據保護條例》第35（3）條重復外，還包括“通過自動化手段大規模處理弱勢群體數據”“通過應用創新性技術大規模處理個人數據（如人臉識別技術等）”“大規模處理基于互聯網或其他方式傳輸傳感器設備產生的個人數據（如智能網聯汽車等）”“大規模處理自然人交通或位置數據”四類。[25]再如，英國脫歐之后，數據保護影響評估的實施環節被細化為“確定實施數據保護影響評估的必要性”“描述個人數據處理活動”“考慮咨詢監管機構”“評估必要性、相稱性”“識別和評估風險”“確定減輕風險的措施”“簽署并記錄結果”，并強調義務主體可以根據個體情況靈活設計評估流程。[26]

從國外制度實踐情況來看，評估時限、評估情形等法律條款的確立僅僅是數據保護影響評估機制的實施起點，更關鍵的環節在于如何進行評估。如歐盟在《通用數據保護條例》的基礎上發布了《關于數據保護影響評估指南（DPIA）和為GDPR目的確定處理活動是否“可能導致高風險”的指南》（Guidelines on Data Protection Impact Assessment, （DPIA） and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679）（以下簡稱“評估指南”），其目的也是進一步指導各類義務主體如何具體開展數據保護影響評估，并列舉了9類需要進行評估的數據處理活動，包括“以評分為導向的用戶畫像生成”“特定區域的監控”“大規模的數據處理活動”“超出數據主體合理預防方式進行多個數據集匹配、組合等操作”等。[27]在此之后，歐盟先后發布《人臉識別技術：執法中的基本權利考慮》（Facial recognition technology: fundamental rights considerations in the context of law enforcement）和《執法領域的人臉識別技術指南》（Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement-version 2.0），這些規范性文件均強調要求評估人臉識別技術應用對歐洲公民基本權利的實際影響，并結合“評估指南”明確大部分人臉識別視頻監控場景都應當進行數據保護影響評估。倘若評估表明，盡管控制者計劃采取安全措施，但處理過程仍然會產生“高風險”，那么處理人臉信息等個人數據之前還需要征求監管機構的意見。[28]

與國外制度演進過程相比，我國的個人信息保護影響評估也面臨著相同的問題，即如何配置更為明確的評估實施細則。在技術信任論的導向下，個人信息保護影響評估在法律適用過程中還存在評估模式的爭議，即全面評估和重點評估兩種模式究竟如何選擇。全面評估的內在邏輯是，因人臉識別技術應用涉及重大風險，且這些重大風險導致的損害結果難以在事后救濟，故而需要通過全面評估確保形成對風險情況的全面認知，盡可能在事前階段預防風險發生。重點評估的內在邏輯則是，因人臉識別技術應用風險有其特殊性，故而相應的評估應當圍繞社會關注的重點風險事項展開，同時還能兼顧各類法律主體的實際義務履行能力。結合前述歐盟的制度實踐來看，歐盟并未強調評估事項、評估流程以及評估范圍的完全相同，僅強調評估標準的一致性，這是因為GDPR框架下的數據保護影響評估表現為“管理數據主權權利風險的工具”，具體評估機制的設置需要從數據主體的立場出發，故而需要更為靈活的框架性工具。我國的個人信息保護影響評估在權益影響層面具有相似性，雖然面向重大風險、特殊風險采用全面評估能夠最大化識別、預防風險，但是，該項評估機制本質上還是以自然人權益保障程度為導向，其他風險評估事項完全可交由以內部風險管理活動為導向的一般風險評估機制涵蓋。針對公共場合人臉識別應用，部分學者主張結合“絕對應用場景”“相對應用場景”和“禁止應用場景”三類模式，有重點地從應用手段、應用目的、技術侵入程度等要素進行利益衡量。[29]因此，我國個人信息保護影響評估所采用的模式應當是重點評估模式，重點從權利主體的立場評估人臉識別技術應用是否可能對權利造成重大影響。在實踐中，不少健身房經營者通過“刷臉”門禁提供“24小時自助式服務”，那么這類經營者在使用“刷臉”門禁前應當就消費者關注的人臉信息的泄露風險、健身房采取的安全保障措施、人臉信息的實際處理者等事項進行重點評估。

（三）評估結果的靈活披露

在實踐中，個人信息保護影響評估的另一適用難題便是評估結果究竟是否應當對外公開，以及應當以何種方式對外公開。按照技術信任論的導向，社會公眾對人臉識別技術應用的信任是以人臉信息處理活動和關聯業務活動的公開透明為基礎。倘若評估結果不公開，那這種“內部評估”難以促成技術信任的產生；但倘若評估結果公開，義務主體又擔心會泄露其部分商業秘密，影響正常經營活動。而且，《個人信息保護法》和《刷臉安全辦法》均提及了評估報告留存時間和大規模處理人臉信息的強制備案義務，使得評估結果是否需要公開似乎也失去了討論的必要性。

首先，備案與公開雖均具有“信息對外披露”之內涵，但兩者所面向的治理效果存在顯著差異：《刷臉安全辦法》第15條所規定的備案內容是以“評估報告”為限，結合“人臉信息保護負責人的基本情況”“處理目的、方式和安全保護措施”等其他備案事項來看，其直接目的是以強制備案方式督促義務主體嚴格履行人臉信息保護義務。此外，備案的適用情形是以“公共場所使用”和“存儲特定數量的人臉信息”為限，備案的另一目的則是在損害事件發生后結合備案信息判斷義務主體是否存在嚴重過錯。相對地，評估結果的公開對象是社會公眾，直接目的也是讓社會公眾能夠知曉人臉識別技術應用是否具有應有的安全性和可靠性。相應地，也有學者指出，評估結果的公開不僅能夠提升技術應用實際情況的透明度，而且還能夠推進技術服務提供者、使用者與社會公眾之間的風險交流，避免個人信息保護影響評估機制最終流于形式。[30]

其次，個人信息保護影響評估機制是以技術信任論為基礎，評估結果的公開是為了確保社會公眾能夠合理相信人臉識別技術應用不存在損害其實際權益的風險。在法律實施過程中，評估報告應當詳細記錄評估流程、評估主體、評估標準和評估結果等內容，而評估結果僅僅是有關人臉識別技術應用是否存在重大風險以及能否有效預防和控制的事實描述，故而評估結果并不會包含評估報告可能涉及的內部管理制度、日常經營活動等重要信息，評估結果的公開當然也不會對義務主體實際權益產生負面影響。更何況不對外公開結果的內部評估機制沒有必要在立法中專門規定，僅由個人信息處理者根據自身情況自行決定評估頻率、評估流程等事項即可。此外，評估結果的公開與個人信息處理者的商業聲譽等利益受損之間并沒有直接關系，更確切地說，只有公開評估結果才不會讓社會公眾產生“竊取人臉信息”“非法監控行動軌跡”等負面印象，進而商業聲譽才會得到維護。而且，個人信息保護影響評估通常是在部署技術應用之前進行，如若評估結果顯示“高風險、不可控”，也就意味著該類技術應用屬于被法律禁止的范疇，此時不涉及評估結果的公開問題。

最后，個人信息保護影響評估的結果公開本質上屬于個人信息處理者履行合同義務的應有之義。在人臉識別信息服務合同法律關系中，自然人與信息服務提供者之間的“合意”表現為雙方對人臉識別信息服務安全可靠的共同認可。而在實踐中，自然人和信息服務提供者之間并不會明確約定相應的風險范疇，此時，業已公開的評估結果則可以作為判斷雙方合意內容的具體依據。換言之，評估結果的公開方式至少應當表明信息服務提供者經過初步評估后，能夠確保相應的信息服務符合法律法規，技術應用方式符合科技倫理，并且能夠排除顯著存在的重大安全風險。同時，這種最低標準的公開形式也不會給線下場所增加額外的業務合規負擔，僅需在進行人臉驗證時，明確告知自然人已經進行個人信息保護影響評估并能夠確保技術應用符合法律法規、國家強制性技術標準等要求。例如，對于采用刷臉進出的KTV、健身房等場所，要求這類主體事無巨細地向消費者解釋評估過程、評估標準等事項未免強人所難，但要求其“承諾”其采用的“刷臉”應用合法合規且可靠，告知消費者“刷臉”應用已經過評估流程不會有異常風險，這更符合自然人和信息服務提供者的實際需求。

（四）適用示例：個人信息保護影響評估機制的具體適用

具體而言，針對“刷臉”應用的常見應用場景，則可以確立行業化、標準化的個人信息保護影響評估模式。例如，針對小區、寫字樓等進出入身份核驗等場景，鑒于相關“刷臉”應用的信息安全環境、處理目的、處理方式在一定周期內具有穩定性，且“刷臉”應用多為第三方提供，物業管理者在進行個人信息保護影響評估時可以采用模塊化、標準化的評估方式，評估事項主要包括“刷臉應用是否安全可靠”“第三方能否提供刷臉應用的風險評估報告和技術標準驗證報告等材料”“人臉信息的內部訪問權限是否嚴格落實到位”“人臉信息是否存在挪作他用風險”等事項。評估結果則應當以簡化版的評估報告形式向業主公布，至少應當列明“第三方提供刷臉應用的安全認證材料”“人臉信息是否存在挪作他用可能性”“刷臉應用是否合法”等具體的評估指標，以此確保自然人能夠確信“刷臉”應用具備法定的安全水平。

針對公共場所、APP、小程序等“刷臉”應用場景，則需要根據應用場景和應用主體確定相應的個人信息保護影響評估模式。例如，針對公園、健身場館等場景，刷臉應用的核心目的是核驗身份，對個人權益影響相對較小，故而可以采用重點評估模式，評估事項除了強制性評估事項之外，還需要重點評估這些場所的經營者、管理者是否在出入口或者官方網站上事前說明“刷臉”應用的相關基本情況。同時，《刷臉安全辦法》第13條對公共場所的人臉信息采集范圍有所限定，故而“刷臉應用的采集區域是否合理合法”和“刷臉應用是否設置了足以讓社會公眾清晰可見的顯著提示標識”也應當納入重點評估范疇。

至于APP、小程序采用“刷臉”驗證等場景，考慮到信息服務提供者本身的技術能力、人臉信息的實際安全風險、涉及用戶其他權利的行使等要素，更適宜采用全面評估模式，即APP、小程序運營者需要整體性評估“刷臉”應用對用戶合法權益的影響范疇、應對措施及其應對效果。例如，涉及人體健康指征監測的APP運營者在進行“刷臉”應用個人信息保護影響評估時，未能全面評估人臉信息是否會被超范圍使用或者是否會與其他人臉信息處理者進行傳輸、共享，即便評估APP、小程序不存在重大異常安全風險，也不應當被視為完成個人信息保護影響評估。再比如，對于涉及面部表情檢測的APP，運營者的評估事項應當囊括所有人臉信息處理環節，表情、情緒的監測已然觸及用戶的隱私權，個人信息保護影響評估的最終目的應當是確保人臉識別技術應用方式及其保護措施對用戶合法權益影響程度降至最低。APP、小程序運營者在公開評估結果時，為了避免用戶對評估結果的“過度解讀”，評估結果無需面面俱到，但至少應當說明人臉信息處理活動不會對個人合法權益造成超出用戶基于平臺規則、現行立法而產生的合理預期范疇，并且應當滿足用戶查閱評估結果時的便捷化要求，例如，需要跳轉多個頁面才能查閱評估結果的情形屬于不合理的評估結果公開方式。

五、結語

在人臉識別技術治理體系趨于完善的當下，更需要關注具體治理規則在實踐中的適用邏輯和適用方式，以此推動人臉識別技術的安全應用和高效應用。個人信息保護影響評估機制有別于一般的個人信息安全評估機制，其特殊性在于強調對個人信息處理活動、個人信息安全風險以及個體權益影響程度的重點專項評估。借由評估這一活動引入合理的督促機制，確保能夠在事前階段有效預防和控制重大風險或重大權益影響。目前，人臉識別技術備受社會熱議的一個原因是社會公眾無法對該類技術應用產生信任，層出不窮的人臉信息“竊取”事件阻礙了技術的廣泛應用。而個人信息保護影響評估作為銜接人臉信息保護和技術應用安全保障的督促機制，得益于重點評估、公開評估結果以及靈活評估等制度特點，能夠讓社會公眾充分了解人臉識別技術應用的實際情況，既督促了義務主體通過評估活動確認法定義務業已充分履行、重大風險業已得到控制，也促成了社會公眾確信這類技術應用不會產生超出預期的安全風險。在未來的人臉識別技術治理活動中，還需要在《個人信息保護法》《人臉識別司法解釋》《刷臉安全辦法》等法律法規的基礎上，進一步明確個人信息保護影響評估在該領域的實施細則，避免出現形式化評估、敷衍評估等現象。

本文注釋從略。版權歸原作者及原出處所有，內容為作者觀點，不代表本公眾號贊同其觀點和對其真實性負責。如涉及版權問題，請與我們聯系。

??

Serving national strategies, focusing on university research and the transformation of scientific and technological achievements