公共行政中人臉信息處理的立法規制

陳 潘

內容提要： 數字時代以來， 行政機關使用人臉識別技術處理人臉信息以履行其職權， 這在賦能行政履職的同時觸及了公民身體權、 個人信息權， 且可能因不當處理致損其他人身權、 財產權和平等權， 如何對之進行立法規制就尤為重要。 所觸及權利的基本權利性質，要求具有與之匹配的法形式對行政機關的人臉信息處理活動作出規定。 由于法律與行政立法、 地方人大立法在民意基礎和制定程序上存在差異， 宜以狹義法律的形式規范行政機關的人臉信息處理活動。 在法的內容上， 應為行政機關設定全過程的義務， 包括對人臉信息的有限收集、 有限使用以及個人參與的保障。

一、 問題的提出

自進入數字時代以來， 數字技術亦被行政機關廣泛應用于公共行政管理和服務之中， 其中一項技術就是人臉識別技術。 行政機關通過人臉識別技術收集公民人臉信息， 對其進行存儲、 分析、 使用等處理行為。 在識別的精準性和便利性上， 人臉識別無疑具有明顯技術優勢， 因而， 行政機關使用人臉識別技術處理人臉信息已屬常見。 比如， 公安部門將人臉識別系統裝入街頭巷尾的智能視頻監控， 以維護社會治安； 交通管理部門在道路設置人臉識別系統， 以識別違法闖紅燈的行人；①《行人闖紅燈， 將人臉識別抓拍》， 載紹興市公安局網， http: //ga.sx.gov.cn/art/2019/5/29/art_1488084_34384604.html。登記部門使用人臉識別技術進行網上不動產登記， 便利公民完成登記；②《廣州不動產登記預約率先運用 “人臉識別” 技術 僅需2 分鐘》， 載新華網， http: //www.xinhuanet.com/politics/2018-02/12/c_1122405341.htm。海關安裝具有人臉識別功能的智能視頻監控， 對進出人員進行身份識別。③參見海關總署2021年1月7日修訂的 《海關監管作業場所 （場地） 監控攝像頭設置規范》。這些常見的人臉信息處理行為④根據 《個人信息保護法》 第四條， 個人信息處理包括個人信息的收集、 存儲、 使用、 加工、 傳輸、 提供、 公開、 刪除等。并非簡單的事實行為， 而是影響公民重要權益的行政活動。 人臉信息被收集后， 呈現出數字化形式， 可用作任意目的的數據分析， 對公民權益的影響不容忽視。 那么， 應如何規制公共行政中的人臉信息處理行為？

從行政法治的角度看， 行政機關為某些行政行為首先應于法有據。 《中華人民共和國個人信息保護法》 （以下簡稱 《個人信息保護法》） 對此作出一定程度的回應。 該法第三十四條⑤《個人信息保護法》 第三十四條規定： “國家機關為履行法定職責處理個人信息， 應當依照法律、 行政法規規定的權限、 程序進行， 不得超出履行法定職責所必需的范圍和限度?！币幎?， “國家機關為履行法定職責應依照法律、 行政法規規定的權限、 程序處理個人信息”。 這意味著行政機關處理個人信息的法定， 即行政機關處理個人信息要有法上的依據， 并且依據法的規定處理個人信息。 可以看到， 根據《個人信息保護法》， “法” 并非指向一切法規范， 而是法律和行政法規。

就人臉信息而言， 按照《個人信息保護法》 第三十四條規定， 行政機關為履行法定職責也應依照法律、 行政法規規定的權限、 程序處理人臉信息， 即行政機關處理人臉信息的法定 （以下簡稱“人臉信息處理法定”）。 可是， 人臉信息畢竟屬于敏感個人信息， 不同于一般個人信息， 那么人臉信息處理法定的 “法” 是否當然意指法律和行政法規？ 《個人信息保護法》 雖然對國家機關處理個人信息活動作了專門規定， 但只著眼于一般個人信息的處理， 不能為行政機關處理人臉信息提供足夠的規范供給。 此部分規范供給， 是對行政機關處理人臉信息進行規制的關鍵之處， 需要在個人信息保護基本法的基礎上得以滿足。 那么， 應以何種法的形式為行政機關處理人臉信息提供規范供給？ 在法的內容上， 又該為行政機關設置哪些義務？ 只有澄清這些問題， 才能為公共行政中人臉信息處理行為提供合理的行為依據。

對于此問題， 現有研究成果大多從宏觀層面討論人臉識別的規制方向和規則原理，⑥有關文獻可參見文銘、 劉博： 《人臉識別技術應用中的法律規制研究》， 載 《科技與法律》 2020年第4 期， 第77-85 頁； 林凌、 賀小石： 《人臉識別的法律規制路徑》， 載 《法學雜志》 2020年第7 期， 第68-75 頁； 郭春鎮： 《數字人權時代人臉識別技術應用的治理》， 載 《現代法學》 2020年第4 期， 第19-36 頁； 邢會強： 《人臉識別的法律規制》， 載 《比較法研究》 2020年第5 期， 第51-63 頁； 胡凌： 《刷臉： 身份制度、 個人信息與法律規制》， 載 《法學家》 2021年第2 期， 第41-55 頁； 韓旭至： 《刷臉的法律治理： 由身份識別到識別分析》， 載 《東方法學》 2021年第5 期， 第69-79 頁； 盧艷玲、 楊震： 《技術與規則： 人臉識別技術應用的風險研判與法律治理進路》， 載 《北方法學》 2023年第2 期， 第15-26 頁； 姜野： 《人臉識別技術應用的場景化法律規制》， 載 《法制與社會發展》 2023年第1 期， 第208-244 頁； 等等。也有研究成果把人臉信息放入個人生物識別信息中， 討論個人生物識別信息的立法路徑和監管。⑦有關文獻可參見于洋： 《論個人生物識別信息應用風險的監管構造》， 載 《行政法學研究》 2021年第6 期， 第101-114 頁；冉克平： 《論個人生物識別信息及其法律保護》， 載 《社會科學輯刊》 2020年第6 期， 第111-120 頁。雖然已有研究成果提及對政府部門使用人臉識別進行規制的重心、 政府利用個人生物識別信息的限度，⑧刑會強教授提出， 對政府部門使用人臉識別技術應以事前事中規制為主。 參見邢會強： 《人臉識別的法律規制》， 載 《比較法研究》 2020年第5 期， 第51-63 頁。 冉克平教授認為， 政府機關或授權機構在收集個人生物識別信息時必須基于公共利益的要求并遵循法定程序， 符合比例原則的要求， 兼顧收集和使用目標的實現和保護信息主體的權益。 參見前引⑦， 冉克平文， 第111-120 頁。但是未細致論及行政機關對人臉信息進行處理的法定形式。 雖然亦有成果提出了行政機關處理個人信息活動的合法性分析框架，⑨參見王錫鋅： 《行政機關處理個人信息活動的合法性分析框架》， 載 《比較法研究》 2022年第3 期， 第92-108 頁。但是人臉信息屬于特殊類別個人信息， 一般個人信息層面的合法性分析框架尚不能完全適用于人臉信息處理。 此是討論數字行政中人臉信息法律保護時無法繞開的問題，對它的探討， 有助于促進實踐中行政機關處理人臉信息的法治化， 保護公民在技術與權力結合下的有關權益。 為此， 本文將在揭示公共行政中人臉信息處理所觸及公民權益的基礎上， 討論由哪種法規范行政機關處理人臉信息行為， 在明確了法形式后， 討論此種法在內容上應為行政機關設置哪些義務。

二、 公共行政中人臉信息處理影響的公民權益

公共行政中人臉信息處理觸及的公民權益， 是對人臉信息處理行為進行立法規制的必要性之體現， 同時， 也是選擇何種法形式和配置何種法內容的起點。

（一） 權益的內容

正是由于大數據賦能行政， 公共行政中的人臉信息處理行為才成為可能， 不過， 也正是如此，行政機關的人臉信息處理行為亦蘊含著不容忽視的侵益風險。 那么， 行政機關對人臉信息的處理可能影響公民哪些權益？ 總體上， 公共行政中人臉信息處理可能影響的公民權益包括兩類。

第一類是該行為直接影響的公民權益， 這類權益包括身體權和個人信息權。⑩參見孫笑俠： 《身體權的法理——從 〈民法典〉 “身體權” 到新技術進逼下的人權》， 載 《中國法律評論》 2020年第6 期， 第67-82 頁。身體權之所以是受人臉信息處理行為直接干預的權利， 是因為在收集人臉信息時， 人臉識別技術 “搜查” 了自然人的身體。 這里的“身體” 不是作為身體完整和身體行動自由意義上的身體權， 而是作為身體自主意義上的身體權， 體現的是自然人的身體尊嚴。?前引⑩， 孫笑俠文， 第67-82 頁。 身體權是自然人為維護其身體之完整、 自由、 信息、 尊嚴等與身體相關的權益， 支配其身體的生物構成、 身體尊嚴、 身體行動和身體信息的物質性人格權。 其權益包括四方面： 一是身體完整權， 二是身體行動權， 三是身體信息權， 四是身體尊嚴權。人臉識別技術在 “搜查” 自然人身體之后形成自然人的人臉信息， 人臉信息屬于個人信息的范疇， 由此， 個人信息權也是受人臉信息收集行為所直接干預的權益。

第二類是人臉信息不當處理行為所引發的可能受侵害之公民權益， 這類權益包括人身權、 財產權和平等權。 需要說明的是， 此處人身權包括了身體權， 但它與人臉信息處理行為所直接影響的身體權不同。 此不同之處在于兩者所受侵害的來源不同。 后者的侵害來源是人臉信息處理行為本身，且主要是人臉信息收集行為， 而前者的侵害來源是對形成的人臉信息的不當使用行為， 特別是對泄露的人臉信息的不當使用行為。

人身權和財產權之所以可能受行政機關人臉信息處理行為的影響， 是因為人臉信息形成之后，人臉信息處于信息空間之中， 如果未能加以妥善保管， 很容易受到泄露， 進而危及人身權益和財產權益。 政府數據庫并非牢不可破， 反而存在安全漏洞， 這些安全漏洞容易被人用來竊取數據。 這并非危言聳聽。 雖然目前尚未出現政府人臉數據庫數據大規模泄露事件， 但是人臉數據泄露的風險是存在的。 2019年2月， 人臉識別公司 “深網視界” 泄露了256 萬人的個人信息，?《人臉識別公司深網視界被指數據泄露， 含256 萬人的個人信息》， 載環球網， https: //baijiahao.baidu.com/s?id=1625541790459846029＆wfr=spider＆for=pc。2019年8月，Suprema 公司因安全漏洞泄露數百萬用戶的指紋、 人臉信息等數據。 既然公司存在數據泄露問題，那么行政機關也面臨同樣的風險。 人臉信息具有持久的穩定性， 一般不會發生更改， 泄露后若被不法行為人利用， 將會造成個人財產的損失或者人身權益的受損。

平等權也可能成為行政機關人臉信息處理行為所影響的權益。 在技術上， 人臉識別可以與其他個人信息數據庫結合， 經由數據挖掘技術描摹出個人的數字足跡， 并預測個人的其他敏感信息。 這已經通過實驗得到證明。 為了探索人臉識別與其他個人信息的結合是否可以自動化地重新識別個人且推測出更多個人信息， 2010年三位美國學者進行了實驗， 結果表示， 通過數據挖掘技術， 經由人臉信息可以識別個人并且預測個人的其他敏感信息。?See Alessandro Acquisti, Ralph Gross ＆ Fred Stutzman, Face Recognition and Privacy in the Age of Augmented Reality, Journal of Privacy and Confidentiality, Vol.6, Issue 2, 2014, p.10-12.我們知道， 人臉識別的背后是算法， 而算法又是用數學工具打包出來的各種觀點， 內含著價值偏見。?[美] 凱西·奧尼爾： 《算法霸權： 數學殺傷性武器的威脅》， 馬青玲譯， 中信出版集團2018年版， 第6 頁。為了人臉比對而編寫的算法， 嵌入了信息處理者等主體的意志。 如果對人臉信息進行不當使用， 比如以性別、 膚色、 性取向、 基因等作為標準對自然人予以分類， 就容易引發歧視， 危及自然人平等權。

（二） 權益的基本權利性質

上文已述， 行政機關所為的人臉信息處理行為觸及的權益有身體權、 個人信息權， 以及由此延伸的可能受侵害之人身權、 財產權和平等權。 人身權、 財產權和平等權作為公民的基本權利當無疑義。 《中華人民共和國憲法》 （以下簡稱 《憲法》） 第十三條、 第三十三條、 第三十七條對此作了規定。?參見 《憲法》 （2018） 第十三條、 第三十三條、 第三十七條。那么， 剩下的身體權和個人信息權是否是公民的基本權利？

就身體權而言， 孫笑俠教授從身體權具有人權之基本性和憲法規范的角度證明了身體權的基本權利性質；?前引⑩， 孫笑俠文， 第77 頁。劉召成教授認為 《憲法》 第三十七條規定的人身自由權推動了身體權積極性權能的發展，?參見劉召成： 《身體權的現代變革及其法典化設計》， 載 《當代法學》 2020年第2 期， 第15 頁?？隙ㄉ眢w權的基本權利性質。 本文贊成身體權是一項基本權利的觀點。 身體權作為一種物質性的權利， 是人存在的基本前提， 沒有身體權就沒有人的存在。 行政機關的人臉信息處理行為所觸及的身體尊嚴， 作為身體權的一部分， 仍是人之為人的前提之所在。 《憲法》 雖然沒有明確規定“身體權”， 但是， 身體權仍受憲法保護， 不可否認其基本權利的性質。

就個人信息權而言， 公法學者一般主張其為基本權利性質的權利。?民法學者多主張個人信息權是私權利。 其中， 又主要分為人格權說、 隱私權說、 財產權說和獨立的新型民事權利說， 人格權說分為一般人格權說和具體人格權說。 可參見齊愛民主編： 《個人資料保護法原理及其跨國流通法律問題研究》， 武漢大學出版社2004 版， 第1 頁； 王利明： 《論個人信息權的法律保護——以個人信息權與隱私權的界分為中心》， 載 《現代法學》 2013年第4 期， 第62-72 頁； 李偉民： 《“個人信息權” 性質之辨與立法模式研究——以互聯網新型權利為視角》， 載《上海師范大學學報 （哲學社會科學版）》 2018年第3 期， 第66-74 頁。為論證個人信息權的基本權利性質， 公法學者從人格尊嚴、 個人自由、 民主等憲法價值， 我國憲法規范基礎， 域外經驗， 現實需求等角度進行了可行的論證。?參見王秀哲： 《我國隱私權的憲法保護研究》， 法律出版社2011年版， 第38-46 頁； 姚岳絨： 《憲法視野中的個人信息保護》， 法律出版社2012年版， 第117-148 頁； 孫平： 《系統構筑個人信息保護立法的基本權利模式》， 載 《法學》 2016年第4 期， 第68-69 頁。本文亦贊同基本權利觀點。 將個人信息權作為私權利進行法律保護， 不能滿足個人信息權保護的現實需求。 第一， 無法應對行政機關處理人臉信息時行政機關與公民關系下個人信息的保護需求。 在信息作為一項重要資源的信息社會， 處理人臉信息的不僅限于企業， 還有行政機關。 行政機關與公民之間法律關系亦迫切需要公法調整。

第二， 私權利的保護強度弱于基本權利的保護強度。 在對私權利進行限制時， 對權利限制的程度一般依據的是雙方的合意， 不可能都有法上的依據。 另外， 由于雙方實力明顯不均， 其合意很可能是形式上的合意， 不能體現公民的真實意志。 而在公法中， 對公民權利的限制不能隨意為之， 反而有法律保留原則和比例原則的限制。 在雙重原則的限制下， 個人信息權的限制受到更多限制， 保護強度更高。

第三， 私權利保護下的個人信息權救濟困難。 作為私權利的個人信息權如受到侵害， 權利人需要按照侵權救濟規則尋求事后救濟， 需要遵守加害行為、 損害結果、 因果關系、 加害人過錯的侵權行為構成要件。 然而， 權利人由于并不掌握技術主動權， 無法掌控收集后的信息流向， 可能無法知道誰是侵權人， 侵權人實施了什么加害行為。 另外， 損害結果是否必須是實質性的損害、 因果關系的證明難度， 都在加重救濟難度。 在公法下， 作為公法權利的個人信息權， 對人臉信息的處理行為提出了法律依據要求。 公民的個人信息權就轉變為政府的法律義務。 不論違反法律義務的政府行為是否對公民造成實際損害， 都可以認定為違法行為， 于是， 個人信息保護執法機構就可以通過執法來發現和制裁違法行為， 維護法律秩序。?參見周漢華： 《個人信息保護的法律定位》， 載 《法商研究》 2020年第3 期， 第52 頁。同時， 作為公法權利， 國家有義務建立事前事中政府監管和行政執法制度， 通過權利受侵害前的執法發現違法行為并對其予以制裁。 另外， 將個人信息權作為基本權利進行保護， 不排斥民事救濟， 兩者可以共同應對個人信息權的現實保護需求。

三、 以法律的形式規范人臉信息處理

以何種法的形式為行政機關處理人臉信息提供規范供給， 實為應由哪個位階上的法來規定的問題。 根據行政法定原則， 至少存在 “人大保留” “可授權的法律保留” “非授權的法規和規章保留”三個層次。?參見楊登峰： 《行政法定原則及其法定范圍》， 載 《中國法學》 2014年第3 期， 第93 頁?！叭舜蟊Ａ簟?的法的形式是全國人大及其常委會制定的法律， “可授權的法律保留” 的法的形式是全國人大及其常委會授權國務院制定的行政法規， “非授權的法規和規章保留” 的法的形式是國務院根據其職權制定的行政法規、 政府規章以及地方人大制定的地方性法規。 那么， 公共行政中人臉信息處理的保留應位于哪一層次？ 是應該以法律的形式對其予以法定， 還是以授權性行政法規對其予以法定， 抑或以職權性行政法規、 地方性法規、 規章對其予以法定？

要對此進行回答， 可以從兩個維度來討論： 第一個維度是權益維度， 即規范對象、 權益及其所受限制， 也即行政機關對人臉信息的處理行為及其所觸及的權益； 第二個維度是立法維度， 人大立法與行政立法在公民權益保護上存在差異。 下文將使用前文討論的人臉信息處理所觸及權益的結論， 先將“非授權的法規和規章保留” 從行政法定的三個層次中予以排除； 通過討論人大立法與行政立法在權益保護上的差異， 將“可授權的法律保留” 從剩下的兩個層次中予以排除， 從而將公共行政領域的人臉信息處理劃入“人大保留” 之中， 明定公共行政中人臉信息處理的法定形式。

（一） 非授權的法規和規章的排除

非授權的法規和規章， 在行政機關對人臉信息的處理行為觸及的權益和法律本身優勢的雙重作用下被排除出行政法定的“非授權的法規和規章保留” 層次。

前文已述， 公共行政中人臉信息處理所影響的公民權益具有基本權利的性質。 我們知道， 與基本權利的實現與行使有密切關系的行政活動， 是重要的行政活動， 應當留予由人民代表組成的國會立法者以法律規定之。?參見翁岳生編： 《行政法》 （上冊）， 中國法制出版社2009年版， 第196 頁。行政機關對人臉信息的處理行為， 與身體權和個人信息權的實現有密切關系， 因而應當以法律的形式予以保留。 這里的法律是指狹義的法律， 即全國人民代表大會及其常委會制定的法律，?參見王柱國： 《依法行政原則之 “法” 的反思》， 載 《法商研究》 2012年第1 期， 第131-136 頁。最多包括授權性行政法規。?前引?， 楊登峰文， 第94 頁。與基本權利的實現與行使有密切關系的行政活動， 之所以由全國人民代表組成的代議機關以法律的形式來規定， 除了行政活動與基本權利的密切關系，還有法律本身具有的相對于其他立法的特點。 這些特點使得法律具有幫助基本權利實現的優勢， 以達到形式與內容合比例性的要求。

在我國， 相對于行政立法， 法律具有三個比較優勢， 分別是更廣泛的民意基礎、 制定程序的正式謹慎和公開透明。 第一， 相對于行政立法， 法律具有更廣泛的民意基礎。 眾所周知， 我國法律的制定由全國人民代表大會及其常委會負責， 而全國人民代表大會由民主選舉產生。 全國人民代表大會代表全體選民的意志， 制定的法律也具有非常廣泛的民意基礎。 相對地， 行政立法由行政機關負責， 而行政機關是由人民代表大會產生的權力機關， 其所反映的民意基礎較為狹窄。 行政機關制定的法規和規章， 也不是各方代表協商合意的結果， 而是行政機關內部決議的結果。 這從《行政法規制定程序條例》 第二十六條和《規章制定程序條例》 第二十七條即可看出。?《行政法規制定程序條例》 第二十六條規定： “行政法規草案由國務院常務會議審議， 或者由國務院審批?！?《規章制定程序條例》 第二十七條規定： “部門規章應當經部務會議或者委員會會議決定。 地方政府規章應當經政府常務會議或者全體會議決定?！?/p>

第二， 相對于行政立法， 法律制定程序更正式、 謹慎。 根據 《中華人民共和國立法法》 （以下簡稱《立法法》）， 全國人大及其常委會制定法律一般要經過法律案的提出、 審議、 表決和公布四個階段。 每個階段又有其煩瑣的程序。?比如在法律審議階段， 全國人大審議法律案時一般會歷經如下程序： 會議前將法律草案發給代表， 大會全體會議聽取法律草案說明， 各代表團全體審議法律案， 有關的專門委員會審議法律案， 法律委員會統一審議法律案并提出法律草案修改稿；全國人大審議法律案一般經過一次會議審議后就可以交付表決， 而全國人大常委會審議則一般需經過三次會議審議后才可交付表決， 每次審議都有其不同的審議分工。相較之下， 行政立法作為行政機關進行行政管理的一種方式，一般是為了行政管理而存在， 因此， 行政立法程序更為簡便、 靈活， 更注重效率。?參見孫波： 《行政立法研究》， 吉林人民出版社2019年版， 第49 頁。

第三， 相對于行政立法， 法律制定程序的公開透明度更高。 在法律制定過程中， 應公開的文件有立法規劃和年度立法計劃，?參見 《立法法》 第五十六條。以及法律制定、 修改時的法律草案及其起草、 修改的說明；?參見 《立法法》 第四十條。在公開的載體上， 除全國人大常委會公報和在全國范圍內發行的報紙， 還有中國人大網這一網絡平臺， 以便民眾查詢。 不僅如此， 全國人民代表大會會議議程、日程、 會議情況也要公布。 相比較而言， 行政立法的公開透明度則較低。 在行政立法過程中， 相關條例雖然規定了行政法規、 規章制定項目建議的公開征集， 國務院年度立法工作計劃、年度規章制定工作計劃、 行政法規和規章草案及其說明的公布，?參見 《行政法規制定程序條例》 第八條、 第九條、 第十三條、 第二十條、 第二十七條、 第二十八條、 第三十一條； 《規章制定程序條例》 第十條、 第十二條、 第十五條、 第二十一條、 第二十九條、 第三十一條。但是又比較尊重行政系統的決定， 致使行政立法的公開透明度較低。?比如， 在規則制定項目建議的公開征集上， 相關機構 “可以” 公開征集， 那么是否公開征集就取決于相關機構的自我決定；在行政法規的起草階段， 起草部門應當公布草案及其說明， 但是附加了一個例外， 即經國務院決定不公布的除外， 這就帶來對國務院決定是否公布的標準的困惑， 因此， 是否公布也取決于國務院的自我決定。

身體權和個人信息權的實現與行使， 需要與之相匹配的法規范進行保護。 在法律與行政立法的對比中， 可以看到， 越充分的民意基礎和越正式、 透明的程序， 越有利于保護公民的重要權益。 身體權關乎人的身體尊嚴， 個人信息權也關乎人的尊嚴， 均屬公民重要權益， 具有更廣泛民意基礎和制定程序更正式透明的法律當能承擔起保護身體權和個人信息權的任務。

相較于地方性法規的制定， 法律針對的是全國性事務。 全國性事務超越了地方性， 具有全國范圍的普遍性， 這是具有地方性特點的地方人大立法所不能涵蓋的。 概括地說， 地方人大立法主要有三類， 一是為在本行政區域內執行法律、 行政法規而為的實施性立法， 二是針對地方性事務的創制性立法， 三是就尚未制定法律和行政法規的事項先行先試立法。 這三類地方法規， 無一例外地體現了地方性。 毫無疑問， 公共行政領域人臉信息處理活動屬于全國性事務的范圍， 因為它不是某地的特殊事務， 而是各地具有共性的全局性事務。 與它相關的地方人大立法是后兩類， 即創制性立法和先行先試立法。 就創制性立法而言， 創制性立法是針對地方性事務的。 至于何為地方性事務， 地方性事務的范圍為何， 目前尚未確定。?有關地方性事務的研究成果， 可參見孫波： 《論地方性事務——我國中央與地方關系法治化的新進展》， 載 《法制與社會發展》 2008年第5 期， 第50-59 頁； 葉必豐： 《論地方事務》， 載 《行政法學研究》 2018年第1 期， 第16-27 頁； 俞祺： 《 論立法中的 “地方性事務”》， 載 《 法商研究》 2021年第4 期， 第116-129 頁。但至少可以明確的一點是， 地方性事務具有地方性特點。 地方性這一點就可將公共行政領域人臉信息的處理活動排除出地方性事務的范圍。 再看先行先試立法。 先行先試立法， 作為一種試驗立法， 它是為了給全國統一立法積累經驗， 是一種與正式立法相對應的立法路徑。 這里討論的是公共行政領域人臉信息的處理活動應該由法律還是地方性法規進行規范， 與“先試驗立法后正式立法” 的立法進路是兩個問題。 因此， 公共行政領域人臉信息處理活動沒有落入地方人大創制性立法的范圍， 并且， 與先行先試立法這一立法進路處于不同的問題域。由此可得， 行政機關處理人臉信息的活動， 不應由地方性法規進行規定。

既然行政機關對人臉信息的處理行為落入法律保留的范圍， 那么就排除了地方性法規、 地方政府規章、 部門規章和職權性行政法規的保留， 即排除了 “非授權的法規和規章保留”。 在法律保留的層次中， 還有“人大保留” 和“可授權的法律保留” 兩個層次。 那么， 公共行政中人臉信息處理應該適用“人大保留”， 還是“可授權的法律保留”？

（二） 授權性行政法規的排除

國務院在制定授權性行政法規時， 其權限并非來自憲法上的固有權限， 而是來自立法權的授權。 國務院先制定授權性行政法規， 全國人大及其常委會后制定法律， 即“先行政機關立法， 后代議機關立法”， 這種立法進路已經得到我國 《立法法》 的確認。?《立法法》 第十二條規定： “本法第十一條規定的事項尚未制定法律的， 全國人民代表大會及其常務委員會有權作出決定，授權國務院可以根據實際需要， 對其中的部分事項先制定行政法規， 但是有關犯罪和刑罰、 對公民政治權利的剝奪和限制人身自由的強制措施和處罰、 司法制度等事項除外?！钡?， 《立法法》 沒有完全明確在什么情況下國務院應得到全國人大及其常委會的立法授權。?雖然 《立法法》 第十二條規定， “有關犯罪和刑罰、 對公民政治權利的剝奪和限制人身自由的強制措施和處罰、 司法制度等事項除外”， 但是 “等” 字的表述致使授權的事項不甚明確。根據 《立法法》 第十二條， 行政機關對人臉信息的處理活動是否屬于可授權的事項尚不明確。 雖然《立法法》 第十一條和第十二條關于法律保留的規定存在一些不足， 比如防范行政立法越界和保障基本權利免受行政立法侵害的失能，?參見劉連泰： 《評我國 〈立法法〉 第八條、 第九條關于 “法律保留” 制度》， 載 《河南省政法管理干部學院學報》 2003年第3 期， 第105-106 頁； 康敬奎： 《〈立法法〉 法律保留規則的缺失與完善》， 載 《江海學刊》 2012年第2 期， 第136 頁； 羅智敏： 《論行政許可中保證金的設定問題》， 載 《中國法學》 2014年第5 期， 第129-130 頁。但是， 這些不足不應該掩蓋法律保留本身的價值。 行政機關對人臉信息的處理行為， 究竟應歸入法律保留中的 “人大保留” 還是 “可授權的法律保留”， 還是可以回到行政立法和全國人大及其常委會立法的差異這一點上？ 因為行政機關在取得授權之后制定授權性行政法規時， 授權性行政法規在制定主體和制定程序等方面與職權性行政法規并無不同。

由前文可知， 相對于行政立法， 法律制定有更廣泛的民意基礎， 程序更正式、 謹慎， 也更公開透明。 就民意基礎來說， 雖然國務院制定授權性行政法規的權限來自全國人大及其常委會的立法權， 但是， 授權性行政法規的實際制定主體畢竟不是全國人大及其常委會。 國務院在制定行政法規的過程中， 也無法全然排除實際制定主體的意志。 就制定程序而言， 國務院在得到授權后， 制定授權性行政法規的程序與制定職權性行政法規的程序一致， 都適用《行政法規制定程序條例》。 因此，在行政機關處理人臉信息的場景下， 身體權和個人信息權的保障， 還是由法律來承擔更為合適。

相對于法律的制定， 行政立法具有專業性和靈活性的優勢， 因而行政機關的立法事項也應是與此相匹配的事項， 而行政機關處理人臉信息與行政立法的專業性和靈活性并不匹配。 在自由資本主義時期， 并沒有行政立法。 到了19 世紀末20 世紀初， 行政內容日趨專業化、 多樣化， 議會沒有足夠時間和足夠專業能力去制定細微縝密的規范， 而行政機關則可以承擔起這一任務。 因此， 行政立法興起的緣由之一就在于行政立法的專業性和靈活性。 時至今日， 專業性和靈活性仍是行政立法的優勢。 既然行政立法具有專業性和靈活性， 那么行政機關的立法事項也應是與此相匹配的事項。有學者就主張， 應將全國人大及其常委會無法勝任的專業性事務和短期內無法制定而社會又必需的事務， 作為國務院得到全國人大及其常委會授權的事務。?前引?， 劉連泰文， 第107 頁。從行政立法的專業性和靈活性角度來看，行政機關處理人臉信息行為還是宜由法律來規范。

至此， 對于行政機關處理人臉信息的法定形式， 授權性行政法規被排除。 行政機關處理人臉信息， 只能由全國人大及其常委會制定法律作出規定。

四、 以全過程義務限制人臉信息處理

在討論了應以法律的形式規范人臉信息處理之后， 還須討論法律應如何規定才能達到實質合法的要求。 因為法治的實現不僅要求法形式合法， 還要求法作出的規定合法。 具體到人臉信息處理，法律的內容要實質合法， 就須考慮到兩點： 一是人臉信息處理的過程性， 二是此過程中行政機關的強勢地位。 因此， 自行政機關收集人臉信息開始， 就應為行政機關設置義務， 作為其行為依據。 人臉信息處理的過程可大致劃分為收集階段和之后的利用階段。 在收集階段， 法律應側重設置人臉信息收集的條件， 主要是依據有限之目的進行收集； 在利用階段中， 行政機關主要需要保持使用目的與收集目的的一致性， 保障人臉信息安全和保障個人程序性參與。 其中， 人臉信息安全保障義務可適用《個人信息保護法》 第五十一條的已有規定， 所以下文主要討論人臉信息處理全過程中的有限收集義務、 有限使用義務和個人參與保障義務。

（一） 有限收集義務

一般情況下， 法律宜禁止人臉信息收集， 但是為了更重要的公共利益， 可以在特定條件下解禁人臉信息收集。 因此， 行政機關的有限收集義務， 即指面對法律在收集階段設置的有限條件， 行政機關只有在滿足這些條件時方能進行收集， 不得隨意收集。 概括地說， 公共利益是行政機關收集的概括條件。 這在Edward Bridges 訴南威爾士警察局局長與英國內政大臣一案?參見英國高等法院于2019年9月4日的判決R (Bridges) v CCSWP and SSHD， https: //www.judiciary.uk/wp-content/uploads/2019/09/bridges-swp-judgment-Final03-09-19-1.pdf.得到法院的肯認。

然而， 眾所周知， 公共利益是一個模糊性概念， 不要期望給它下一個一勞永逸的定義，?參見[英] 邁克·費恩塔克： 《規制中的公共利益》， 戴昕譯， 中國人民大學出版社2014年版， 第32 頁。因此，人臉信息收集條件就不能止步于此， 而應是明確的、 具體的。 有學者認為， 公共利益的模糊性以及由此產生的廣泛適應性正是被需要的。?參見梁上上： 《公共利益與利益衡量》， 載 《政法論壇》 2016年第6 期， 第4 頁。這在民法上尚且可行， 因為立法不能涵蓋所有可能性， 需要使用公共利益條款以適應現實情況的變化。 但是在公法上， 公共利益的模糊性以及由此產生的廣泛適應性實際上擴大了政府行為的權限。 所有擁有權力的人都有濫用權力的傾向， 這條經驗亙古不變， 有權力的人會使用權力直到遇到有界限的地方才停止。?參見[法] 孟德斯鳩： 《論法的精神》 （上冊）， 張雁深譯， 商務印書館1959年版， 第87 頁。同樣， 行政機關收集人臉信息也可能因公共利益這一模糊授權而擴張至權力可觸及的所有領域。 現實中行政機關應用人臉識別系統收集人臉信息的領域呈現擴大趨勢在一定程度上也說明了此問題。 明確的、 具體的收集條件則會避免模糊目的帶來的收集范圍廣泛問題。 收集條件也是域外個人信息保護立法涉及的內容， 在形式上也是通過立法列舉達到了明確和具體的標準。?德國 《聯邦數據保護法》 就規定了公共機構處理特殊類型個人數據 （包括人臉信息） 的目的。 如為了行使社會保障和社會保護權所產生的權利和履行有關義務， 必須進行處理； 出于公共衛生領域公共利益的考慮， 有必要進行處理； 基于重大公共利益， 迫切需要處理。 類似的還有歐盟 《統一數據保護條例》。

人臉信息收集條件除了形式上的明確和具體， 更為重要的是實質上的標準。 實質上的標準是確定人臉信息具體收集條件的準則， 是人臉信息具體收集條件的內核。 行政機關收集人臉信息， 當然是為了履行其職權， 實現公共利益。 不過， 職權的履行并非都需處理人臉信息才可達成。 實際上，只有符合比例原則， 人臉信息處理才應被允許。 根據比例原則的要求， 處理人臉信息要適于特定職能目標的達成， 與其他適于職權目標達成的手段相比， 處理人臉信息對權益造成的損害要最小， 且處理人臉信息所實現的利益要與其所造成的損害成比例。 因此， 在設置收集條件時， 至少應在滿足比例原則的前提下使收集條件達到相對于公共利益概念的明確具體， 也就是說， 具體行政任務的達成與人臉信息處理之間須完成比例原則的檢驗。

（二） 有限使用義務

在使用階段， 行政機關負有有限使用的義務， 主要是保持使用目的與收集目的的一致。 行政機關在收集人臉信息之后， 使用人臉信息應受到收集目的的拘束， 確保使用目的與收集目的保持一致。 這是目的拘束原則的要求。 目的拘束原則在個人信息保護上具有重要地位， 有學者稱之為個人信息保護法上的帝王原則。?參見李惠宗： 《個人資料保護法上的帝王條款——目的拘束原則》， 載 《法令月刊》 2013年第1 期， 第37 頁。目的拘束原則的基本意義在于， 只有在合法目的下才允許收集及利用與個人有關的資料， 同時， 也只有在合法情形下才能為目的外之利用。?參見洪家殷： 《公務機關資料之收集與個人資料之保護》， 載 《東吳法律學報》 2019年第4 期， 第45 頁。人臉信息屬于個人信息，必須適用個人信息保護法的目的拘束原則， 在使用時要受收集目的拘束， 在收集目的范圍內使用。

一般情況下， 行政機關使用人臉信息之目的應與收集目的保持一致， 但是也存在特殊情況下的例外。 特殊情況下， 在收集目的之外使用人臉信息應被容許， 不過應受到嚴格的限制。 德國《聯邦數據保護法》 允許數據控制者以收集之外的目的利用個人數據， 同時， 也嚴格設置了限定條件。 該法第23 條規定了公共機構為履行職責， 在特定情況下可以收集目的之外的目的處理特殊類別的個人數據， 對特殊類別個人數據的使用目的進行了限制， 以及對處理的必要性作了要求。?德國 《聯邦數據保護法》 第23 條規定了收集目的之外的目的之內容。 比如， 符合數據主體的利益且沒有理由認為數據主體知情另一目的時會拒絕同意； 有理由相信數據主體提供的信息不正確因而有必要核查； 為了防止對公共利益造成重大損害或對公共安全、 國防或國家安全造成威脅， 或為了確保稅收和關稅收入， 有必要進行處理。該法第49條規定， “如果個人數據的另一目的是第45 條所列目的之一， 則允許為收集個人數據的目的以外的其他目的處理個人數據， 數據控制者有權為了此目的處理個人數據， 而且處理是必要的， 并與此目的相稱。 如果法律允許， 應允許為第45 條未列出的其他目的處理個人數據”， 該條款從處理目的、處理的必要性以及與處理目的相稱性對為收集目的之外的目的處理個人數據進行了更嚴格的限定。具體而言， 處理目的必須是第45 條所列目的或者是法律允許的第45 條未列的其他目的。 第45 條所列目的是預防、 調查、 偵查或起訴刑事犯罪或行政違法或者執行刑事或行政處罰任務， 這些目的關涉社會公共安全、 國家安全等公共利益， 也涉及特定個人的基本權利和自由， 屬于重要的目的。這些目的與第23 條所列目的不同， 第23 條所列目的是履行預防、 調查、 偵查或起訴刑事犯罪或行政違法或者執行刑事或行政處罰職責之外的職責。 處理的必要性要求處理個人信息時要對個人權益的侵害最小， 與處理目的的相稱性要求處理個人數據對個人權益造成的侵害要與處理個人數據所實現的目的成比例。 人臉信息是個人信息中的生物特征信息和敏感信息， 為收集目的外之目的進行使用， 應該嚴格限定使用目的， 必須滿足必要性原則， 以及所欲實現的利益應該超過人臉信息使用所帶來的對權益的侵害。

（三） 個人參與保障義務

由于自然人是人臉信息的產生主體， 行政機關應該保證信息主體參與到信息處理過程之中， 保障個人在人臉信息處理過程中享有并實現個人信息權的具體權利樣態。 因為個人信息處理不當會對信息主體造成損害， 為了避免這種損害的發生， 還需要增強個人的自我防御能力， 賦予個人參與處理過程的權利和能力。 個人通過請求行政機關保障其參與， 以維護自己的切身利益。

關于個人信息權的具體權利樣態， 在 《個人信息保護法》 出臺之前， 學者各有觀點；?參見齊愛民： 《中華人民共和國個人信息保護法學者建議稿》， 載 《河北法學》 2019年第1 期， 第36 頁； 張新寶、 葛鑫：《個人信息保護法 （專家建議稿） 及立法理由書》， 中國人民大學出版社2021年版； 周漢華： 《個人信息保護的法律定位》，載 《法商研究》 2020年第3 期， 第53 頁。在其出臺之后， 個人信息權包括了知情權、 決定權、 查閱權、 復制權、 更正補充權、 刪除權。 從數據處理的全過程來看， 信息主體享有的知情權， 是后續參與的前提， 決定權、 查閱權、 更正補充權、 刪除權保障信息主體享有一定的對處理過程的控制能力， 這種控制能力能在一定程度上抑制處理的隨意性。 然而， 人臉信息不同于一般個人信息， 具有獨一無二性和高度敏感性， 對人臉信息的處理是一般禁止的， 只有在滿足法律規定的處理條件下， 行政機關才能為人臉信息的收集、 使用等行為。 那么， 人臉信息處理過程中的個人信息權的具體權利樣態就與在一般個人信息處理過程中呈現的樣態不完全一致。 在人臉信息處理過程中， 個人信息權的具體權利樣態， 就不應包括立基于信息主體自由意志的決定權和刪除權。 由此， 行政機關保證信息主體參與數據處理過程， 具體來說， 就是要履行通知義務， 保障信息主體的查閱權、 更正補充權。

行政機關履行通知義務時， 要注意通知的形式、 內容、 期限。 在通知的形式上， 行政機關應通過清晰易懂的語言， 采用簡潔明了、 易獲得的形式。 通知的內容， 應包括行政機關使用人臉識別的目的， 信息主體如何獲得關于人臉識別的附加信息， 包括但不限于告知適用的在線通知、 條款或政策的網站鏈接， 關于信息主體在何處及如何行使相關權利的信息。 通知的期限是對通知義務履行的時間要求， 也必須加以明確， 防止行政機關怠于履行或不履行通知義務。

行政機關在處理人臉信息的過程中， 個人有權查詢自己的人臉信息被收集、 使用的情況， 行政機關要保障個人查詢權的行使。 行政機關在保障個人查詢權行使時， 要注意查詢的費用、 時間、 地點、 內容、 答復的方式和期限。 公民請求查詢時， 行政機關應免費為公民提供查詢， 除非查詢請求明顯不合理， 或者行政機關通過合理努力無法確定查詢請求是由其本人提出的。 查詢的時間、 地點應以方便公民的目的進行合理確定， 不為公民行使查詢權設置負擔。 就查詢的內容而言， 應該包括人臉信息是否被收集、 處理的目的、 傳輸的第三方的相關情況。 對于公民的查詢請求， 答復方式應是簡潔明了、 清晰易讀的， 方便公民理解所答復的內容。 同時， 答復期限也是必須要予以明確的。

行政機關在處理人臉信息時， 還要保障公民更正補充權的行使。 對于有誤的人臉信息， 行政機關要依照個人的更正請求予以更正。

結語

就行政機關處理人臉信息活動的立法規制而言， 一是探討規范行政機關處理人臉信息的法形式， 二是探討行政機關處理人臉信息的法內容。 關于行政機關處理公民人臉信息的法形式， 本文主要思路是在行政法定的三個層次中依次排除“非授權的法規和規章保留” “可授權的法律保留”， 將行政機關處理人臉信息的法定形式落入“人大保留” 的范圍， 得出宜以法律的形式對行政機關處理人臉信息予以法定化的結論。 在對行政法定的三個層次進行排除時， 先闡明行政機關處理人臉信息觸及的公民權益的基本權利性質， 之后再探討哪種法的形式有助于這些公民權益的實現， 求得法的形式與法所保護的權益相匹配。 明確了適宜以狹義法律形式作出規定之后， 為促進行政機關處理人臉信息活動的合法性控制， 從處理全過程角度， 法律還須為行政機關設定人臉信息的有限收集義務、 有限使用義務以及個人參與保障義務。

對行政機關處理公民人臉信息的立法規制的探討， 是對科技發展背景下數字行政與公民權益保護的初步回應， 更細致的制度尚需進一步研究， 希望公民權益在科技發展的同時受到同步重視和制度因應。