如何对人脸识别进行法律规制

我国目前对包括人脸信息在内的生物识别信息的特别保护呈现出软法先行的特点。2020年2月，全国金融标准化技术委员会审查通过的《个人金融信息保护技术规范》（JR/T 0171-2020）（以下简称《规范》）将生物识别信息列为敏感性最高的C3类信息，并要求金融机构不应委托或授权无金融业相关资质的机构收集C3类信息，金融机构及其受托人收集、通过公共网络传输、存储C3类信息时，应使用加密措施。2020年3月新修订的我国国家标准GB/T 35273-2020《信息安全技术个人信息安全规范》明确规定个人生物识别信息属于个人敏感信息，并对个人敏感信息进行了特殊保护。2020年11月27日，工信部组织发布了电信终端产业协会团体标准《APP收集使用个人信息最小必要评估规范 人脸信息》，规定了移动应用软件对人脸信息的收集、使用、存储、销毁等活动中的最小必要规范和评估方法，并通过个人信息处理活动中的典型应用场景来说明如何落实最小必要原则。

数据治理的普遍性、技术性、复杂性、应时性等特点决定了数据治理具有一定的软法空间，但软法欠缺强制力的特点决定了对包括人脸信息在内的个人生物识别信息的特别保护离不开硬法的托底。因此，有必要从硬法的角度系统思考对包括人脸信息在内的个人生物识别信息的特别法律保护、对人脸识别的特别法律规制问题。