［摘要］“人脸识别第一案”的两审判决，特别是司法实务机关对生物识别信息处理的认识，为我国敏感个人信息保护制度的研究提供了司法实践的样本。人脸识别信息具有高度敏感性，属于敏感个人信息。人脸识别信息的生物特性决定了其遭受的损害后果可能伴随终生，人脸识别技术的应用又加大了信息主体隐私、个人信息、财产安全甚至人权受损害的频率和程度。严格规范人脸识别信息处理行为，对人脸识别信息进行特殊保护已成为国际共识。人脸识别信息保护规则的构建，应秉承“原则禁止、例外允许”的处理原则和严格的告知同意规则，将允许例外处理中“特定、充分、严格”的标准具体化，并要求信息主体针对人脸识别处理行为作出明确、单独的专项同意，实现对人脸识别信息更高强度的保护。

　　［关键词］人脸识别信息；敏感个人信息；禁止处理；告知同意

　　一、问题的提出：由“人脸识别第一案”引发的思考

　　自2019年10月郭某向杭州市富阳区人民法院提起“人脸识别第一案”始，该案持续引发社会关注。2021年4月9日，杭州市中级人民法院针对该案作出终审判决，被告杭州野生动物世界被判删除原告郭某办理指纹年卡时提交的包括照片在内的人脸识别信息和指纹识别信息，并于判决生效之日起十日内履行完毕。该案虽为服务合同纠纷，但争议的核心在于被告作为经营者处理消费者个人信息，特别是面部特征信息和指纹识别信息行为的评价和规范问题［1］。

　　“人脸识别第一案”作为标志性的个案判决，其“尺寸之功”［2］不仅在于提醒所有公民积极保护个人信息，更为我国敏感个人信息保护制度的研究提供了司法实践样本。在该案中，一、二审两审法院对人脸识别信息处理规则和保护程度的认识存在差别。一审法院虽将指纹和人脸信息认定为生物识别信息，但未对生物识别信息作特殊保护，而是根据《中华人民共和国消费者权益保护法》的相关规定，认为杭州野生动物世界收集郭某人脸识别信息的行为超出必要原则，应予删除。二审法院明确将包括人脸识别信息在内的生物识别信息认定为敏感个人信息，并要求处理方谨慎处理和严格保护；同时，认为杭州野生动物世界收集郭某人脸识别信息后扩大了该信息的处理范围、超出事前收集的目的，应当删除。“人脸识别第一案”中两审法院的裁判差异，揭示我国在《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）出台前对人脸识别信息保护的立法空白，导致司法实务机关在个案中发挥能动性塑造人脸识别信息的保护规则。理论界对人脸识别信息保护的学理研究并非如司法裁判机关般注重人脸识别信息的处理，而是主要讨论人脸识别技术的规制，意图通过规制人脸识别技术的应用来达到保护人脸识别信息的目的。例如，构建多层次、等级化和体系化的法律法规体系［3］；确定个人自决原则［4］；明晰公权力机关和商业组织使用人脸识别技术的边界［5］；强化行政监管，加重行政惩戒，完善司法救济［6］；促进行业自律［7］；等等。规制人脸识别技术是保护人脸识别信息的路径之一。此种研究进路的确可以起到防范人脸识别信息被滥用、保护信息主体权益的作用，但存在以下几个问题。第一，不使用人脸识别技术也可以违法处理人脸识别信息，仅规制人脸识别技术无法进一步保护人脸识别信息。第二，个人自决原则是较为概括性的个人信息保护原则，在人脸识别信息保护中落实此原则需要配置具体的处理行为规范。第三，与其完善人脸识别信息被侵害后的司法救济，不如提前规制人脸识别信息的使用，而且在人脸识别信息蕴含的巨大经济利益诱惑面前，罚款等行政处罚的实际威慑力存疑。

　　个人信息处理规则是《个人信息保护法》的立法重点。人脸识别信息自被收集起，信息主体便逐渐丧失对其个人信息的控制权。由于人脸识别信息被侵害的后果具有不可逆转性，即便事后弥补也无法减轻已造成的损害，更无法消除已产生的负面影响［8］，因此，“需从源头设计个人信息保护，才能真正防范信息安全风险”［9］。笔者认为，人脸识别技术具有中立性，人脸识别信息遭受侵害的根本原因在于信息处理者对人脸识别信息的处理行为，构建完备的人脸识别信息处理规则才能从根本上保护人脸识别信息。但现阶段关于人脸识别信息处理规则的研究大多只对此问题进行略论［10］，或者仅讨论处理人脸识别信息时的知情同意规则［11］。2021年，《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（以下简称《人脸识别技术规定》）和《个人信息保护法》相继出台，对以人脸识别信息为代表的敏感个人信息处理行为进行严格规制。正确理解、适用《个人信息保护法》关于个人信息处理规则是解决人脸识别信息保护问题的关键所在。本文通过明晰人脸识别信息的内涵，揭示人脸识别信息高度敏感的法律属性，从欧盟、美国关于人脸识别信息等敏感个人信息的处理规则中借鉴思路，结合《个人信息保护法》中敏感个人信息的处理规则，构建我国人脸识别信息的处理规范，助力我国对人脸识别信息的保护。

　　二、人脸识别信息及人脸识别技术

　　（一）人脸识别信息的敏感性

　　参照欧盟《通用数据保护条例》（GDPR）对生物识别信息的规定，人脸识别信息是经由人脸识别技术处理，来源于自然人面部，能够识别特定自然人的个人信息。《中华人民共和国民法典》通过列举式明确包括人脸识别信息在内的生物识别信息属于私法所保护的个人信息，是人脸识别信息作为个人信息受到法律保护的基本法依据［12］。但在个人信息保护法的框架内，个人信息的种类繁多且其价值和敏感程度各有不同［13］。欧盟、俄罗斯和我国港澳台地区将个人资料分为一般个人资料和特种个人资料。之所以作区分，是由于部分个人信息的性质较为特殊或具有敏感性，应得到更为充分的保护。《韦氏大词典》将敏感一词解释为：易受损害，特别是精神上的损害；对他人态度和感受的变化感触敏锐。若随意收集、处理或利用敏感个人信息，会造成社会不安或对信息主体造成难以弥补的伤害［14］。

　　我国最早区分一般个人信息和敏感个人信息保护的规范性文件为《征信业管理条例》，该行政法规虽没有采用敏感个人信息的称谓，但对个人信息的采集作区分性的要求暗含了立法者对敏感个人信息的特别保护：采集一般个人信息须经信息主体同意，原则上禁止采集第十四条所规定的特殊个人信息。除此之外，2017年发布、2020年修改的《信息安全技术个人信息安全规范》（GB/T35273—2020）采用“对个人名誉、身心健康受到损害或歧视性伤害”的实质性标准定义敏感个人信息，将基因、指纹、声纹、面部识别特征等生物识别信息判定为敏感个人信息。此份国家标准的效力层级较低且无强制效力，但在敏感个人信息特殊保护层面跨出了一大步。《个人信息保护法》作为我国个人信息法律保护的里程碑，严格保护敏感个人信息，并设专节规定敏感个人信息的处理规则，将人脸识别信息等生物识别信息认定为一旦泄露或非法使用极易导致个人人格尊严受损害或人身财产安全受危害的敏感个人信息。

　　生物识别信息、宗教信仰信息、医疗健康信息、金融账户信息等都是《个人信息保护法》所列举的敏感个人信息，但诸类个人信息存在敏感度差异。个人信息的敏感度是个人信息被非法处理后对信息主体可能造成伤害的程度［15］，个人信息的敏感度越高，被非法处理后对信息主体造成的伤害越大。

　　个人信息敏感程度的判断可从该信息被非法处理对信息主体的危害程度、给信息主体带来伤害的概率、社会大多数人对某类信息敏感度认识这三个方面进行综合考量［16］。人脸识别信息与其他个人信息相比具有直接识别性、独特性、唯一性，除非信息主体面部经历大幅度整容，否则极难变更或被他人替代。所以，非法处理人脸识别信息对信息主体造成的影响可能伴随终生，造成的后果严重且难以挽回。

　　（二）人脸识别技术的风险性

　　人脸识别技术是将自然人探测图像（通常为视频、照片形式）转换为面部数字模型或模板的技术，具有检测、验证和识别三个基本功能：识别图像中存在的面部信息，验证确认面部信息相关的身份，将未知面部的图像与已知的自然人匹配。相较于指纹采集、静脉识别等其他生物识别技术而言，人脸识别技术具有无接触性、强交互性、不易被盗取性和高效性等优势［17］。但现阶段，人脸识别技术并非一项完美的技术，存在应用水平参差不齐、AI算法技术漏洞等问题。

　　人脸识别技术广泛应用于公共管理、身份验证、安全监控、医疗保健、精准营销等领域，但国家目前对人脸识别技术的管制不完备，科技法律失灵［18］，其所带来的“人造风险”可能超越自然风险而成为现阶段风险社会的主要内容［19］。人脸识别信息泄露导致财产损失、人身损害的事件屡见不鲜，人们对人脸识别技术的恐惧呈指数增长。App专项治理工作组发布的《人脸识别应用公众调研报告》显示，超过三分之一的受访者表示因人脸识别信息泄露导致个人财产损失。人脸识别技术的无序使用除对个人财产保护提出挑战外，对隐私权甚至人权保护也带来巨大挑战。

　　除在极少数文化语境下，人脸都是公开示人的，并不属于一般社会普遍认可的隐私保护范畴。人脸识别技术开发应用不断向纵深发展，令信息隐私化，扩展了传统隐私保护的边界［20］。AR技术可以预测被识别者的其他敏感信息，并将被识别者的面部信息与其他个人信息连接［21］，在此过程中不断积累、分析碎片化个人信息，低成本地获取他人隐私［22］。隐私权之所以成为人格权体系中独立、重要的权利得益于其实现个人自主、自我决定、自我隐藏的功能。对人脸识别信息的收集、处理令个人时刻处于被监视、无处可藏的境地，且信息主体难以得知其人脸信息是否被收集。人脸识别技术的无接触性可以通过远距离、强隐蔽、无感知、无须信息主体配合的方式实现对自然人面部特征信息的收集。有学者指出，人脸数据从收集到数据库关联比对的信息处理全周期均存在以信息安全风险为核心的法律风险［23］，所谓“知情同意”规则和信息处理者安全保障义务的履行在人脸识别技术应用的场景下似乎也成为具文。

　　大数据时代是“数字人权”［24］彰显的新时代，人脸识别信息作为重要的个人信息关涉数字人权的实现与保障。在中国文化中，脸具有特殊的意涵，不仅是身体的组成部分，更以或显或隐的方式表征着个人人格［25］，关涉个人尊严与自由。因此，法律应严格规范人脸识别信息的处理行为，并采取比一般个人信息更为严格的安全保护措施［26］。

　　三、人脸识别信息处理规则的域外法经验

　　《个人信息保护法》《人脸识别技术规定》的出台在一定程度上缓解了我国人脸信息法律规范供给不足的局面。但无论在立法还是学理研究上，我国对个人信息尤其是敏感个人信息的保护起步较晚，应对相关域外法治实践进行考察，为我国人脸识别信息处理规则的构建提供借鉴思路。

　　（一）欧盟：对人脸识别信息处理规则的统一立法

　　欧盟对人脸识别信息的处理规则总体上较为严格。20世纪80年代，欧洲理事会颁布的《有关个人数据自动化处理的个人保护公约》（“108公约”）第6条单独规定了特殊类型数据的自动化处理规则，成为首个明确界定特种个人资料的国际公约。2018年，欧洲委员会修改“108公约”后颁布的《欧洲委员会关于个人数据处理中的个人保护公约》，完成了“108公约”的现代化（也称“108公约＋”）。其中，第6条的标题由“数据的特殊类型”修改为“敏感数据的处理”。“108公约＋”原则上禁止处理敏感个人信息，只有在法律明确规定且存在与公约互补的适当保障措施时，“独特的、识别个人的生物特征数据”才会被允许处理。该公约同时规定，处理人脸识别等生物特征信息极易侵犯信息主体的权利和自由，故为防止以上不利影响的出现，即便为合法目的处理人脸识别信息也需要附带适当的保障措施。《关于〈欧洲委员会关于个人数据处理中的个人保护公约〉说明报告》中对适当的保障措施进行了列举，如单独或累积地处理人脸识别信息时需要信息主体的明确同意，对信息处理风险分析后的所作必要措施，提供诸如数据加密的安全技术措施等。

　　史上最严格的个人信息保护法《通用数据保护条例》(GDPR)第9条与“108公约＋”相同，均规定原则上禁止处理特殊类型个人数据（个人敏感信息）。第9条对特种个人资料的禁止处理分为三个层级：对种族民族起源、政治观点、宗教哲学信仰等类型的个人信息，GDPR仅规定在信息处理时禁止泄露此类数据；对基因、生物特征类型的个人信息，禁止识别到特定自然人的处理行为；有关健康、性取向、性生活等类型的个人信息，GDPR禁止对此类数据做任何处理。以上三类“禁止”形成了从相对宽松到绝对严格的序列。敏感度越高的个人信息，对数据控制者处理时的要求与限制就越多［27］。但需要注意的是，GDPR第9条第1款所规定的禁止处理并非绝对禁止，而是相对禁止；其第2款规定了允许处理个人敏感信息的10种例外情形，如信息主体的明示同意、必要性代替信息主体同意、法律规定与合同约定、信息已被明确公开等。欧盟对人脸识别信息的处理规范可以理解为，在相对的“禁止处理”人脸识别信息的前提下，处理人脸识别信息必须得到信息主体明示同意且该处理行为是法定必要的。

　　（二）美国：对人脸识别信息处理规则的分散立法

　　美国联邦层面规制人脸识别数据处理的立法较少，普遍由各州独立立法进行规制。2008年通过的利诺伊州《生物信息隐私法案》（BIPA）是美国第一部旨在规范“生物标识符和信息的收集、使用、保护、处理、存储、保留和销毁”的法律。扫描脸部所得的面部特征数据属于生物识别符（biometricidentifier）的范畴。与生物标识符相关的术语为生物信息，是指通过用以识别特定自然人的生物标识符所获取的信息。BIPA明确规定得到信息主体的书面同意方可处理人脸识别信息，以此确保信息主体主动而非被动地作出对敏感个人信息的决定，加强对人脸识别信息的控制。在人脸识别信息处理方式上，BIPA要求包括企业、协会在内的各类组织应采取与保护“机密和敏感信息”方式相同或者更为严格的方式来收集、存储和传输所有生物识别信息。

　　2019年，美国参议院提交的《商业性人脸识别隐私法案》（CFRPA）主要规制商业组织对人脸识别技术的应用和对人脸识别信息的处理、消灭歧视以及保护消费者隐私。该法案以“知情同意”为基本规则，不仅要求人脸识别信息的控制者在处理人脸识别信息全过程中均取得信息主体的明确同意，还要求控制者向终端用户发送翔实易懂的通知，充分保障信息主体的知情权和选择权［28］。在此基础上，商业组织才可限制性地处理人脸识别信息。具体限制如下：处理行为不得造成歧视，人脸识别信息不得用于约定目的之外，不得在未经信息主体同意情况下与非关联第三方共享人脸识别信息，不得在信息主体拒绝人脸识别信息被收集时终止或拒绝其使用服务，人脸识别技术所在的自动化决策对冒犯到信息主体或给信息主体造成合理可预见的实质性伤害时需要进行人工审查［29］。CFRPA也规定了使用人脸识别技术的例外情形，包括为消费者个人文件管理、存储，识别对象为媒体或版权材料中的公众人物，可能造成严重人身伤害或死亡等紧急情况。

　　四、我国人脸识别信息处理规则的适用解释

　　《个人信息保护法》通过规定个人信息处理规则、信息主体权利、信息处理者义务、信息保护部门以及相应的法律责任构建了个人信息保护的规则体系。主要包括以下规范：第一，信息处理者仅在目的特定、充分必要且采取严格保护措施时可以进行处理；第二，扩大告知同意规则中告知内容的范围，要求信息处理者除向信息主体告知人脸识别信息的处理目的、方式、种类和保存期限等内容外，还应告知处理人脸识别信息的必要性以及对个人权益的影响；第三，要求处理敏感个人信息时必须获得信息主体的单独同意，若法律、行政法规有特殊规定时还须取得信息主体的书面同意；第四，为维护公共安全，在公共场所安装图像采集、个人身份识别设备所收集的个人信息只能在为公共安全的目的范围内使用。

　　成文法具有模糊性、滞后性等局限［30］，《个人信息保护法》规定的敏感个人信息处理规则在司法实践中可能存在适用上的问题。例如，敏感个人信息处理是原则上允许还是例外允许？如何认定处理敏感个人信息的目的是“特定、充分”的？第二十九条中单独同意的意涵为何？现实社会生活较之理想法律所预设的行为规范更为复杂［31］，法律必须经由解释才能适用，要想得到妥当的法适用，必须有妥当的法律解释［32］。是故，对《个人信息保护法》中敏感个人信息处理规则的法律解释尤为重要。

　　（一）原则上禁止处理人脸识别信息

　　《个人信息保护法》第二十八条第二款是对敏感个人信息处理原则的规定。虽然该条在文本上并未采取“禁止处理”的表达，但此款的言中之意为在目的特定、充分必要且采取严格保护措施时的处理属于例外规定，原则上禁止处理敏感个人信息。《人脸识别技术规定》要求物业服务企业和建筑物管理人不得将人脸识别作为出入物业服务区域的唯一验证方式的规定，既是最高人民法院对“人脸识别第一案”所反映社会问题的积极回应，也是对《个人信息保护法》原则上禁止处理敏感个人信息的司法映照。从欧盟和美国人脸识别信息或敏感个人信息立法的经验来看，“禁止处理＋特殊例外允许”的人脸识别信息处理原则已成为国际趋势。我国《个人信息保护法》对例外允许处理人脸识别信息的措辞过于宽泛，没有为“特定目的”“充分必要”“严格保护措施”划定标准，如基于何种特定的目的可以处理人脸识别信息，如何判断处理人脸识别信息具有充分的必要性，信息处理者采取的保护措施达到什么程度才可以被认定为严格等。这些问题不解决，《个人信息保护法》就难以充分发挥对处理人脸识别信息等敏感个人信息行为的规范作用。为防止人脸识别信息处理原则从“原则上禁止”异化为“原则上允许”，防止《个人信息保护法》第二十八条第二款在司法实践中成为“正确但无用”的条款，笔者认为，可以参考欧盟GDPR和美国CFRPA，将例外允许处理的情况具体化。例如，在劳动保护、未成年人保护等社会保护领域，可在信息处理者或信息主体行使权利、履行义务所必需时处理人脸识别信息；当信息主体因身体或法律上的原因丧失作出同意的行为能力，但为保护信息主体的重大利益必需时处理人脸识别信息；处理人脸识别信息是为我国重大公共利益所必需；在工会等非营利性团体内进行的、仅针对团体内部成员人脸识别信息的处理；司法实务机关为实现司法职能目的而处理人脸识别信息。同时，以上例外的可处理人脸识别信息情形除符合特定目的、充分必要原则之外，还须受合法正当原则、目的性原则、最小化原则、透明度原则、质量原则和责任安全原则的约束。将严格保护措施中严格程度根据场景应用具体化的方案，可能对法官的自由裁量权限制过高，但可以为其设置一个判断方法——通过个人信息保护影响预估制度，检验所采取的保护措施是否合法、有效且与此处理行为对信息主体权益的影响相匹配。

　　（二）严格限缩的告知同意规则

　　告知同意规则又称知情同意规则，作为个人信息处理的合法性基础同样须受个人信息处理原则的约束［33］。人脸识别收集、处理技术采集人脸信息主要以摄像头自动抓拍为手段，无须与被采集者接触、无须被采集者配合。人脸识别技术的强隐蔽性也意味着该项技术在没有得到被识别者充分知情和明确同意的情况下亦能够使用，极大程度上破坏了个人信息处理的告知同意规则，导致告知同意规则失灵。

　　“同意”蕴含着对被告知事项的知情、理解。即便有信息处理者在处理人脸识别信息时遵循了知情同意规则，也难以实现信息主体达到真正的“知情且同意”。第一，形式上的告知与实质上的知情间存在一定的距离。人脸识别信息的处理者向信息主体通知收集使用信息的目的、方式、范围、存储时间等事项，属于履行其告知义务。信息主体可能受外部环境的影响，对相同事物产生不同的理解，加之人脸识别技术的专业性，信息主体难以真正理解此项技术对其产生的不利影响，未达到实质知情所作出的同意效力自然被削弱。第二，“同意”也具有不同的类型，包括明示、主动的同意和默示、不反对的默认。况且，信息主体置身于人脸识别技术应用场景也可能毫无知觉，更无法明确表示同意或拒绝。第三，即便信息主体基于实质知情作出了明确的同意，形式上符合个人信息处理规则的要求，却可能未必真正体现其自由意志［34］。当事人可能受制种类多样的强制，譬如公司制度要求上下班刷脸打卡，员工受就业、生计的压力不得不接受，被迫同意。此类情形下的同意与知情同意规则的立法意图背道而驰。

　　一般性的同意可能减损信息主体对信息掌控和自决的效果［35］，无法满足人脸识别信息主体权益保护的需求。《个人信息保护法》第二十九条在一般知情同意规则的基础上要求人脸识别信息主体作出单独同意。信息处理者取得信息主体概括同意或推定同意时处理人脸识别信息的行为因不符合告知同意规则而侵害人脸识别信息。具体而言，信息处理者需要单独向人脸识别信息主体告知处理人脸识别信息的目的、方式、范围、存储时间等内容，以提高信息主体对人脸识别信息处理行为可能产生危害的认识，尽可能令信息主体针对人脸识别信息处理行为实质知情后作出独立且明确的专项同意。在同意形式上，将信息主体所做的书面同意限缩在“法律、行政法规的规定”范围内。

　　人脸识别技术的无接触性使信息处理者在未取得信息主体同意的情况下即可处理人脸识别信息。尤其是在公共场所，该技术的强隐蔽性对个人信息知情同意规则的破坏表现得更为突出，更遑论信息处理者取得人脸信息主体单独、书面的同意。为维护公共安全在公共场所安装图像采集、人脸识别等身份识别设备时，即便信息处理者按照《个人信息保护法》第二十六条的要求设置了显著的提示标识，但也可能违反处理人脸识别信息的最小必要性原则和告知同意规则。因此，在公共场所收集人脸识别信息时，可设置规范的信息主体主动配合识别机制，只有当信息主体直视人脸识别设备并作出特定姿势、表情，或者通过有人脸识别标注的专用收集通道时，人脸识别信息才会被收集。（作者：高仲劭 西南政法大学民商法学院）

　　［参考文献］

　　［1］杭州市富阳区人民法院(2019)浙0111民初6971号民事判决书［EB/OL］.https://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=0d5660e6ee794498bbf8ac7d00a8dddb.

　　［2］“人脸识别第一案”终审判决意义非凡［EB/OL］.https://baijiahao.baidu.com/s?id=1696617426313505831&wfr=spider&for=pc.

　　［3］张勇.个人生物信息安全的法律保护：以人脸识别为例［J］.江西社会科学,2021(5):157~168.

　　［4］林凌，贺小石.人脸识别的法律规制路径［J］.法学杂志,2020(7):68~75.

　　［5］邢会强.人脸识别的法律规制［J］.比较法研究,2020(5):51~63.

　　［6］周坤琳，李悦.回应型理论下人脸数据运用法律规制研究［J］.西南金融,2019(12):78~87.

　　［7］洪延青.人脸识别技术的法律规制研究初探［J］.中国信息安全,2019(8):85~87.

　　［8］高仲劭.“多层次”法律规范保护人脸识别信息［N］.检察日报，2021-09-08.

　　［9］IraS.Rubinstein.RegulatingPrivacybyDesign［J］.BerkeleyTechnologyLawJournal，2011(26):1410~1456.

　　［10］［12］潘林青.面部特征信息法律保护的技术诱因、理论基础及其规范构造［J］.西北民族大学学报（哲学社会科学版），2020(6):75~85.

　　［11］［35］石佳友，刘思齐.人脸识别技术中的个人信息保护：兼论动态同意模式的建构［J］.财经法学，2021(2):60~78.

　　［13］林鸿文.个人资料保护法［M］.台北：书泉出版社，2008:87.

　　［14］林洲富.个人资料保护法之理论与实务［M］.台北：元照出版公司，2019:62.

　　［15］刘雅琦.基于敏感度分级的个人信息开发利用保障体系研究［M］.武汉：武汉大学出版社，2015:17.

　　［16］胡文涛.我国个人敏感信息界定之构想［J］.中国法学，2018(5):235~254.

　　［17］［34］郭春镇.数字人权时代人脸识别技术应用的治理［J］.现代法学，2020(4):19~36.

　　［18］刘益东.科技重大风险与人类安全危机：前所未有的双重挑战及其治理对策［J］.工程研究—跨学科视野中的工程，2020(4):321~336.

　　［19］范如国.“全球风险社会”治理：复杂性范式与中国参与［J］.中国社会科学，2017(2):65~83.

　　［20］王俊秀.数字社会中的隐私重塑：以“人脸识别”为例［J］.探索与争鸣，2020(2):86~90.

　　［21］朱巍.人脸识别的法律性质认定［N］.检察日报，2009-11-06.

　　［22］张红.民法典之隐私权立法论［J］.社会科学家，2019(1):7~21.

　　［23］赵精武.《民法典》视野下人脸识别信息的权益归属与保护路径［J］.北京航空航天大学学报（社会科学版），2020(5):21~29.

　　［24］马长山.智慧社会背景下的“第四代人权”及其保障［J］.中国法学，2019(5):5~24.

　　［25］徐艳东.“脸”的道德形而上学：阿甘本哲学中的“脸、人、物”思想研究.［J］.哲学动态，2015(2):15~20.

　　［26］高富平.个人数据保护和利用国际规则：源流与趋势［M］.北京：法律出版社，2016:65.

　　［27］姬蕾蕾.大数据时代个人敏感信息的法律保护［J］.图书馆，2021(1):99~106.

　　［28］冉克平.论个人生物识别信息及其法律保护［J］.社会科学辑刊，2020(6):111~120.

　　［29］闫晓丽.美国对人脸识别技术的法律规制及启示［J］.信息安全与通信保密，2020(11):94~101.

　　［30］董玉庭，董进宇.成文法的局限及其法律价值选择［J］.北方论丛，2007(6):139~144.

　　［31］姚辉.当理想照进现实：从立法论迈向解释论［J］.清华法学，2020(3):46~62.

　　［32］梁慧星.民法解释学［M］.北京：法律出版社，2009:196.

　　［33］张新宝.个人信息收集：告知同意原则适用的限制［J］.比较法研究，2019(6):1~20.