人臉識別數據保護困境及其法律應對

劉軍平 楊芷晴

摘? ? 要：當前人臉識別技術商業化應用領域不斷擴張發展，公民個人人臉識別數據被商業公司廣泛收集和使用。人臉識別數據既涵蓋了“人臉”的人格利益，又體現了“數據”的財產價值，是一種特殊的個人敏感數據，亟須法律的特殊保護。因此，應當針對人臉識別數據處理過程中所存在的隱私泄露、責任不明、數據濫用等現實問題，從個人權利、企業責任、政府監管等三個角度來完善法律保護體系，以保障人臉識別數據的安全與合理利用。

關鍵詞：人臉識別數據;法律屬性;數據安全;法律保護

中圖分類號：D 912? 文獻標志碼：A? ? ? 文章編號：2096?9783（2021）06?0018?11

引? 言

近年來，人臉識別數據的不當泄露和非法買賣事件頻發，公民的個人信息和財產安全正面臨著嚴峻的風險，然而人臉識別技術所帶來的數據安全風險卻并未得到社會足夠的重視。目前我國對人臉識別尚無專門的法律規定，大多學者通過研究人臉識別技術的數據收集和處理規則來規制技術濫用1，其研究重點在技術層面;但圍繞人臉識別數據本身及其相關法律保護問題展開的研究則較為少見。人臉識別數據作為人臉識別技術的應用產物，已然突破了傳統法律保護界限，應當對其進行實質性認識和特殊性保護。本文擬通過分析人臉識別數據的概念及其特殊屬性，針對人臉識別數據保護的現實困境，探討人臉識別數據保護和利用相平衡的法律應對措施。

一、人臉識別數據的概念及特性

我國目前部分法律規范文件如《中華人民共和國民法典》（以下簡稱《民法典》） 《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）等都已經確認公民對其個人信息所享有的民事權益以及相關保護規則2。但是人臉識別數據是一種特殊的個人數據，對這一數據的概念以及特性等內容在現行立法和學術研究中仍未達成共識。

（一）人臉識別數據的概念

目前學術界對于人臉識別數據的概念及其范圍尚未達成定論，亦有學者稱其為“人臉信息”[1]“人臉識別信息”[2]等。我國《信息安全技術個人信息安全規范》中對于個人生物識別信息做了明確界定3，規定面部識別特征信息屬于生物識別信息的一種類型，屬于個人敏感信息。我國《信息安全技術人臉識別數據安全要求》（征求意見稿）中將“人臉識別數據”界定為：“人臉圖像及其處理得到的，可單獨或與其他信息結合識別特定自然人或特定自然人身份的數據。”4本文采用“人臉識別數據”而非“面部識別特征信息”這一名詞，主要基于如下兩點理由：首先，雖然目前“數據”和“信息”兩種概念常被混同指代，但實際上二者具體內涵仍有所不同，“數據”側重于信息的載體或媒介本身，而“信息”則指所要傳達的內容訊息。若采用“信息”的概念，則還可以囊括其他非電子媒介所呈現的面部信息，如紙質照片、海報等[3]。而人臉識別技術是通過計算機提取人臉的特征，并根據這些特征進行身份驗證的一種識別技術 [4]，人臉識別技術應用離不開相關算法和電子設備的加持和運行，這一過程中所產生、處理的個人面部特征信息都是電子格式的數據。其次，隨著人臉識別技術應用的縱深發展和多場景拓展，技術目的不再僅局限于記錄和識別個人的面部生理特征圖像，還能夠將人的面部圖像作為個人身份的識別密鑰，進而與其他關聯實體或數據庫進行交叉對比，與所在位置、個人偏好、行為軌跡等其他個人數據相關聯，逐漸形成公民個人的“數據畫像”。正是因為“數據”能夠被機器直接可讀和復制的特性，記錄“面部信息”的人臉識別數據才會具有可識別身份和可關聯數據的作用。因此，本文認為采用“人臉識別數據”這一名詞更為妥當。

在不同的人臉圖像獲取模式中，人臉識別數據的存儲格式也有所不同。第一種方法是指二維人臉圖像獲取方法，僅適用于較為簡單的應用場合。企業一般使用照相機、攝像機等設備拍攝用戶的臉部信息，其所收集的人臉數據往往是二維的靜態圖像數據。第二種方法是三維人臉圖像獲取方法。企業想要收集人臉識別數據，需要使用特定的生物特征識別傳感器設備以采集用戶的三維人臉面部數據，往往還需要用戶配合作出特定肢體動作[4]。所獲取的三維人臉數據可以形成特定人臉模型，這種三維動態數據常用于金融、安防等領域，發揮“直接可識別”個人身份的作用，亦可作為關聯用戶其他個人數據的紐帶。

綜上所述，本文將人臉識別數據的概念界定為：以電子方式記錄的、能夠描述個人人臉特征信息，可以識別特定個人身份信息和關聯其他個人數據的數據集合。由于近年來隨著計算機視覺技術的發展，三維人臉圖像獲取已經逐漸成為人臉識別最為常用和重要的獲取方法，因此本文所討論的人臉識別數據主要指三維動態的人臉識別數據。

（二）人臉識別數據的強人格利益

人臉是否具有人格利益這一問題頗有爭議。有學者認為，在《民法典》人格權獨立成編的背景下，人臉特征的絕對專屬性和直觀性體現了人臉識別信息的可識別利益，也就是《民法典》所確認的信息空間人格權益[5]。也有學者認為人臉圖像作為個人暴露在公眾面前的外表化生物特征，本身就是公民個人主動默認對公眾公開、為公眾所知悉的個人信息，不屬于隱私權對于主體私人信息的保護范疇之內5。實際上，在人臉識別技術的運用背景下，人臉識別數據具有個人面部特征的身份識別能力，荷載著傳統的個人肖像、名譽以及人格尊嚴等權益。并且人臉識別數據本身就屬于公民個人的隱私，還能夠作為關聯其他個人隱私的“人臉密碼”，與隱私權息息相關，較之一般個人數據具有更強的人格利益。

首先，人臉識別數據能夠體現數據主體的人格尊嚴。第一，基于人臉的易采集性和身份表征性，相比于其他個人生物特征數據，人臉識別數據所記載的個人人臉圖像與肖像權更為密切相關，容易引發肖像權侵害問題。肖像權是指自然人所享有的對其自身肖像上所體現的人格利益為內容的一種標表型人格權。我國《民法典》進一步擴張了肖像權的保護范圍，規定了以丑化、污損的形式或者利用信息技術手段偽造他人肖像等行為都侵害了他人的肖像權6。第二，應該注意的是，這種未經肖像權人同意，不當利用他人面部圖像數據的行為既構成了對肖像權的侵害，也有可能進一步構成對公民個人名譽權的侵犯。例如，一項名為“Deepfake”的面部偽造技術可以通過人工智能算法的深度學習以實現AI換臉的效果7。若非法利用這項技術和非公開的人臉識別數據集，惡意偽造虛擬視頻或編造虛假事實，將會對個人的名譽權造成嚴重不良的影響。由此可見，人臉圖像能夠直觀體現個人的人格利益與精神價值，人臉識別數據帶有較強的人格權益屬性。第三，數據收集主體（即相關企業）對數據主體的個人碎片化數據進行整合，就能逐漸形成用戶個人的“數據畫像”。受到所收集數據的傾向性、準確性、時效性等因素的影響，數據一旦“失準”就會引發“算法歧視”問題。而公民個人由于有限的認知能力，往往無法參與人臉識別的運行和決策過程，亦無法及時知悉自己何時何地何因遭遇了算法歧視的問題。正如馬斯洛所言：“人格標識的完整性與真實性是主體受到他人尊重的基本條件”[6]。“數據畫像”作為個人主體的數據化人格形象，這種“算法歧視”不僅會導致用戶不能享受正常的服務和商品價格，更有可能會使用戶遭受到性別、種族等方面的個體歧視，其人格尊嚴也因此受到侵犯。

其次，人臉識別數據與數據主體的隱私權息息相關。隱私權是指公民所享有的私人信息與私生活安寧不被外界公開和干擾的權利 [7]。一方面，雖然人臉作為人表露在外的身體特征，但人臉識別數據仍具有私人性和非公開性的特征，屬于公民個人的隱私。人臉識別數據的私人性和非公開性體現在其所具有的主體唯一性。只有得到用戶的知情同意授權，以及用戶作出相應配合動作，企業才能采集和使用用戶個人人臉識別數據。所采集的人臉數據僅能指向單個公民，與其他人同種類的人臉識別數據并不相同，并不會影響他人利益和公共利益。因此，公民的個人人臉識別數據本身就是與公共利益無關的私人信息。另一方面，人臉識別數據的泄露會導致其他個人隱私信息被泄露，引發個人隱私權被侵犯的問題。在部分人臉識別應用場景中，由于人臉識別數據的主體唯一性，一個數據主體只能生成唯一的特定人臉圖像，部分企業或單位會將公民的“人臉”作為識別公民身份的“生物密碼”，從而與其他個人敏感數據相關聯。若不法分子獲取了公民個人的人臉識別數據，往往就能得到相關聯的非公開的其他個人敏感數據。而基于人臉識別數據的生物特征不可再生性，“人臉密碼”是無法更改的。一旦人臉識別數據被惡意泄露，個人的隱私權難以得到保障，不法分子甚至可以利用人臉識別數據這一“密碼”進行相關的財產或人身犯罪，侵害數據主體的財產權或人身權。

人臉識別數據不同于一般的個人數據，承載了復雜的多重人格權益。人臉圖像既能夠直觀體現個人的人格尊嚴與精神價值，其本身既是屬于公民的隱私，又能與公民其他隱私信息關聯。因此，人臉識別數據帶有較強的人格權益屬性。

（三）人臉識別數據的弱財產價值

隨著智能技術的深度發展，個人數據商業化使用成為了一種新趨勢。這使得個人數據逐漸呈現出其自身的商業價值，數據成為了一種新型生產要素。誠然，隨著主流營銷模式向定向營銷、數據庫營銷的轉變，人臉識別數據的關聯功能可以幫助經營者更精準地掌握和利用消費者信息，這使得人臉識別數據逐漸呈現與其他個人數據同等的使用價值。但由于人臉識別數據并不能作為商品進入市場交換流通，因此其所蘊含的財產價值弱于一般個人數據。

國內外的數據交易實踐都證明了數據具有財產性[8]。從經濟學角度分析，某一事物財產權益的核心構成包括其使用價值和交換價值[9]。經濟學家斯密認為：“特定物品的效用，可叫做使用價值”[10]。起初，“人臉”的經濟價值體現于名人肖像的商業化利用活動中，在既往司法實踐活動，能夠就“人臉”主張財產權益的權利主體一般只限于名人，而并未承認普通人“人臉”的財產價值。然而，在人臉識別技術廣泛應用背景下，人臉識別數據被商業化利用，其所蘊涵的使用價值得以挖掘。在身份識別場景下，人臉識別數據可以用來準確地識別“我是誰”，提高身份識別的準確性和識別效率;同時在身份驗證場景下，也可以用來比對“我是否是我”，滿足政府部門交通安防的需求;甚至，在標簽畫像場景下，結合大數據和相關算法，從所獲取的人臉識別數據進而獲知、預測“我是一個什么樣的人”，形成“用戶畫像”，實現精準營銷的廣告效果[11]。可見，普通公民個人的人臉識別數據具有一定的商業使用價值。

斯密認為：“占有某物而取得的對他種貨物的購買力，可叫做交換價值。”換而言之，某物的交換價值取決于人與人之間的交換關系。在我國政府推動數據共享開放，加快培育數據要素市場的政策導向下，數據交易市場的繁榮現象也表明了數據可以進行交易，具有明顯的商品屬性。但是，對于人臉識別數據能否作為一種商品進入數據交易市場這一問題仍存在爭議。目前我國各個數據交易平臺的主要交易對象都是非個人數據和經過清洗后的數據，即衍生數據。此外，我國大部分數據交易平臺行業規范都明確指出可直接識別個人身份的敏感數據不可用于交易8。這是因為經過匿名化算法處理的人臉識別數據可能會失去其本身的數據可用性[12]，人臉識別數據無法形成衍生數據。而原始的人臉識別數據往往直接與個體的主體性和人格尊嚴相關聯。若企業未經個人用戶許可，就對其個人的原始敏感數據商業化使用或交易流通，會侵害數據主體的人格利益和財產權益。比如近年來在“數據黑市”中時有發生的非法買賣人臉數據事件9，不法分子直接將數據主體的人臉圖像數據及其相應的身份數據進行非法交易10。若數據買方將這些數據用于虛假注冊、冒名刷臉支付、電信網絡詐騙等違法犯罪活動11，這些行為會對公民個人的人格尊嚴和財產安全造成嚴重的侵害。可見，由于人臉識別數據與個人人格尊嚴有直接關系，其商業價值具有一定的私人屬性，不能隨意交易流通[13]。對于商業機構和社會而言，人臉識別數據的交換價值弱于其他一般個人數據。

人臉識別數據具有一定的商業使用價值，能夠為經營者帶來經濟效益。不過人臉識別數據無法成為一種可流通的數據產品，具有較弱的交換價值。因此，較之于一般個人數據而言，人臉識別數據具有更強的人格利益以及較弱的財產價值。為了尊重公民的個人隱私和保護個人數據安全，在人臉識別數據的收集、處理、存儲過程中應當更為注重保護該數據中所蘊含的公民人格利益。

二、人臉識別數據保護的困境

人臉識別技術及其數據為數字經濟的發展帶來了顯著的社會經濟效益。但與此同時，鑒于人臉識別數據具有易采集性、唯一性等特性[14]，若僅將人臉識別數據等同于一般個人數據，且人臉識別數據無法完全脫敏處理，則難以針對人臉識別數據的特性形成更高等級的妥善保護。正如《數據安全法》第三條規定：“數據安全，是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。”人臉識別數據應當處于有效保護和合法利用的狀態下。然而，當前部分企業過度收集使用、推諉數據保護責任、隨意泄露共享公民個人人臉識別數據的亂象愈發嚴重，導致了人臉識別數據保護陷入了個人隱私泄露、數據責任主體不明和數據濫用行為的現實困境。

（一）用戶個人隱私泄露

與一般個人數據相比，人臉識別數據泄露事件容易造成更為嚴重的損害后果。由于人臉識別數據能夠與其他個人敏感數據相關聯，人臉識別數據一旦被泄露，往往也會導致其他個人數據的泄露。在2020年1月初發生的中國學生人臉識別數據泄露事件中12，數千學生的人臉數據遭到泄露，由于監控系統與數據庫相連接，學生姓名、所在地、父母姓名等個人數據也被一并泄露，任何人都可以通過互聯網直接訪問這些數據。可見，一旦個人的人臉識別數據遭到泄露，該數據庫里存儲的其他個人數據也可能被不法關聯和運用，對用戶的隱私和財產造成極大的影響。此外，基于人臉的生物特征不可更改性和主體唯一性，當人臉識別數據受到系統入侵、數據泄露等網絡安全威脅時，并不能如同其他類型的密碼一樣通過修改、重置等方式防止該關聯賬戶被不法登錄。近年來，一些不法分子批量倒賣某些人臉數據庫所泄露的人臉識別數據以及相關身份信息，出售“照片活化”工具和教程，通過這些不法行為甚至能夠破解微信、支付寶等軟件平臺的驗證信息，登錄用戶的私人賬號，侵害用戶的債權、物權等財產權利，直至冒充用戶身份信息從事犯罪活動，對用戶的名譽權、隱私權、肖像權等人格權都造成嚴重的損害。人臉識別數據一旦泄露，將會給社會公眾的人身財產安全帶來長期的、難以估量的危害。

人臉識別數據之所以會被不當泄露，是因為很多收集數據的企業并不具備相應的數據安全保障能力。因此用戶在同意企業收集其人臉識別數據前應當充分知悉數據收集者的收集資質和數據保障能力。而在實踐中用戶往往并不了解數據收集主體企業的相關信息、安全資質，也未能完全知悉數據的收集目的、處理方式和保管方式等內容。這導致了在數據被收集前，用戶的知情同意權并未得到真正落實，用戶難以自主控制數據的收集、處理和存儲行為以及后續流向全過程。因此，當用戶個人人臉識別數據被泄露導致用戶的人格權受到侵害時，用戶無法追溯到數據泄露的源頭，也難以知悉造成數據泄露的責任主體，更無法尋求有效的權利救濟路徑。

（二）保護責任主體不明

隨著人臉識別技術在我國逐漸被大范圍、多領域應用，人臉識別技術不再僅局限于智能安防和金融領域，而且被更廣泛應用于娛樂、計數、考勤門禁等領域。人臉識別儀器的研發與使用不再僅掌握在少數大型公司手中，其他公司也可以通過購買人臉識別設備及其相關服務以應用該技術。人臉識別技術應用門檻逐漸降低，數據收集主體種類也隨之逐漸多樣化。但是部分小型技術企業或設備提供方企業并未具備管理個人敏感數據的技術手段，也沒有相應的成本投入，甚至沒有相應的數據安全意識和數據安全保障能力以防范可能存在的數據泄露風險。加之數據安全保護責任并未明確規定和落實到某一數據收集主體，這可能會導致數據被隨意共享和非法交易的嚴重后果。

人臉識別數據的收集和使用可分為線上和線下兩個路徑。首先，從線上路徑分析，互聯網平臺企業會向用戶提供一份“人臉認證”服務協議，只有用戶同意該服務協議，企業才會收集用戶的人臉識別數據，人臉數據也會直接傳輸到企業的云端服務器。在這種情況下，網絡服務的提供主體、數據收集主體和實際控制主體往往是同一個企業，用戶也得以知悉數據收集主體的身份信息。但服務協議往往并未明確約定企業對于人臉識別數據的利用方式、利用周期、保護措施等問題，也并未約定企業的數據安全保障責任具體內容。其次，從線下收集路徑分析，人臉識別設備控制者和數據處理者往往并非同一單位、企業，難以界定數據安全責任主體。例如在杭州市小區安裝人臉識別門禁的事例中，小區的相關物業、街道辦采購技術公司所研發的人臉識別技術設備，要求社區居民錄入人臉數據，并將這些數據存儲在物業的局域網或者街道的辦事處、公安系統的后臺服務器等其他第三方主體13。在人臉識別的應用過程中，數據的收集和處理過程涉及小區物業、技術公司、街道辦、公安局等多個主體。若居民所錄入的人臉識別數據被泄露，居民難以知曉數據泄露的真正源頭。這可能會導致出現各主體因利益驅使而相互推卸安全保障責任的情形，使得人臉識別數據難以得到有效和統一的管理和存儲。

（三）數據濫用問題嚴峻

數據濫用是指某些個人信息被超出授權合理界限的使用14。個人敏感數據的濫用可能會對數據主體的權益帶來重大風險。當前部分企業對其所收集的人臉識別數據濫用的問題相當嚴峻。

一方面，部分企業超出應用場景目的的合理必要范圍來使用人臉識別數據。根據歐盟《通用數據保護條例》所確定的數據最小化原則15，處理的個人數據應該是充分的、相關的，而不能過于全面地收集、處理數據。企業對于人臉識別數據等生物特征數據的收集和使用更應持謹慎態度，收集的范圍應當符合相應適用場景的目的，并以合理與必要為原則。換言之，在特定場景使用目的下收集的人臉識別數據并不能將其運用到其他場景之下。比如說，某高校運用人臉識別技術完成新生報到工作，在此場景下，人臉識別數據的收集和使用行為以身份識別驗證為目的。但是此后，該高校又將上述場景下收集到的人臉識別數據來監控該學生的課堂學習情況16。這一行為超出了數據使用的合理必要范圍。

另一方面，部分企業超出用戶知情同意范圍而使用人臉識別數據。在人臉識別商業化使用過程中，用戶在同意授權時難以知悉企業處理人臉識別數據的具體操作和流程，并未達到完全真實知情的程度。根據《網絡安全法》第四十一條規定，網絡運營者收集、使用個人信息，應明示收集、使用信息的目的、方式和范圍，并經被收集者同意。當前，一些企業正在推行“刷臉支付+精準廣告”的營銷模式，這種營銷模式實際上就是將用戶的人臉識別數據與其他數據庫交叉對比并關聯形成該用戶的“數據畫像”。這種行為已經超出了用戶對其人臉識別數據用于身份驗證的知情范圍和預期認知，并未獲得用戶的授權同意。這種未經許可和非常規目的的數據濫用行為，不僅侵犯了個體用戶的隱私權利，也擾亂了數據管理的正當秩序，進一步擴大了人臉識別數據的安全風險。

三、人臉識別數據保護的法律應對

如前所述，人臉識別數據在其使用過程中存在不少亟須解決的問題，應當在既有基礎上對其法律保護不斷加以完善。唯有合理配置用戶對于人臉識別數據的數據控制權利以及企業的數據保護責任，細化人臉識別數據的合理使用規則，才能有效地解決人臉識別數據保護的現實問題，實現人臉識別數據利用和保護的雙贏局面。

（一）構建用戶的數據自主控制機制

當前我國部分條例規范對生物特征識別數據提供了一定的法律保護依據。如2020年發布的《信息安全技術個人信息安全規范》新增了“企業收集生物識別信息時取得明示同意和進行處理后存儲，不得公開披露”的規范性要求。目前人臉識別數據的主導權仍掌握在企業手中，個人數據主體往往在不知情時便被企業收集人臉識別數據，更遑論對企業后續處理行為的監管。應當在現有立法規定基礎上從技術層面進一步落實保障用戶的知情同意權，明確用戶的數據控制權，設置用戶對于人臉識別數據的自主控制機制。

第一，應當針對人臉識別數據建立更為嚴格的知情同意原則。雖然目前我國相關法律規定了企業收集用戶的個人數據必須明確告知用戶相關信息并取得用戶同意。如《中華人民共和國民法典》（以下簡稱《民法典》）明確了個人對其個人信息的知情同意權17，《個人信息保護法》進一步細化了個人知情同意權的具體內容18。《信息安全技術人臉識別數據安全要求》（征求意見稿）細化規定了數據控制者在收集人臉識別數據時應向數據主體充分告知收集規則，并征得數據主體的書面同意19。但基于人臉識別數據的敏感性，對于收集人臉識別數據所適用的知情同意原則應當在現有基礎上更為嚴格于目前立法所規定的“知情同意權”。因此在收集人臉識別數據時，若要全面保障用戶的知情同意權，就必須要求企業的信息告知達到充分透明程度，用戶的知情同意達到自由明確程度。如《信息安全技術人臉識別數據安全要求》（征求意見稿）細化規定了數據控制者在收集人臉識別數據時應向數據主體充分告知收集規則，并征得數據主體的書面同意20。在采集用戶的人臉數據之前，數據控制者應當以書面形式明確翔實地告知用戶所采集的人臉識別數據的具體類型、采集目的、處理方式、保存時間及方式、用戶所享有的權利義務以及用戶可能遇到的侵權風險問題。用戶應當有權就相關告知內容向企業提問并要求企業作出相應回復，最終用戶也需要出具書面形式的同意授權書。在雙方達成合意后，書面的告知書和同意書都為一式兩份，分別交由企業和用戶以作保管備份之用。

第二，采集和使用人臉識別數據的企業應當為用戶設置對于其人臉識別數據的自主控制機制，以便用戶對其人臉識別數據行使自主控制的權利。首先，由企業構建用戶的人臉識別數據自主控制機制有一定的可行性和必要性。實際上，在人臉識別技術應用實踐中，已有企業為用戶提供便捷的人臉信息刪除方式。如QQ安全中心、釘釘等軟件內都有為用戶設置刪除人臉識別數據的選項，用戶可以通過登錄自己的賬號，重設或刪除自己的人臉識別數據。但是根據南都個人信息保護研究中心發布的《移動端人臉識別應用合規報告》可知，所測試的應用軟件中有七成軟件都存在著難以注銷或刪除人臉信息的問題21。可見，大部分人臉識別技術應用軟件都未為用戶提供刪除人臉識別數據的選項，用戶的數據控制權亟須得到進一步的保障。因此，有關監管部門應當督促各人臉識別技術應用企業為用戶設置人臉識別數據自主控制機制，以保障用戶的數據控制權。數據自主控制機制是指企業通過應用軟件采集用戶的人臉識別數據并將其存儲在特定硬件模塊，并為用戶提供連接該模塊的應用接口。用戶僅需要通過自己設定的賬號密碼登錄相應軟件，就可以通過該軟件所設置的接口訪問特定節點，查詢或刪除自己的人臉數據22。在這種自主控制機制運行背景下，用戶可以有效便捷地行使其對個人數據的查詢權和刪除權，隨時查詢自己的人臉識別數據，并且可以在企業使用數據實現相應的功能和服務后，即時刪除人臉識別數據以避免泄露風險。其次，企業對記載數據的區塊鏈設置檔案記錄功能之后，用戶應能夠通過查看關于該區塊鏈的訪問記錄、使用記錄以知悉企業對其數據的訪問使用情況。當出現數據泄露問題時，可以通過檔案記錄追溯數據泄露源頭和數據流向，有利于解決數據泄露、數據濫用的問題。再次，這種自主控制機制能夠為用戶提供撤回授權同意的有效便捷方法。當出現用戶認為企業不積極履行數據安全管理義務、企業不具備數據安全保障能力或者數據存在安全風險等情形時，用戶可以及時刪除個人數據，預先防范其人臉識別數據及個人隱私被企業不當泄露等嚴重問題的出現。在數據收集的前期工作中，這種機制能夠倒逼企業為了獲得用戶的授權，以更淺顯易懂的方式告知用戶充分必要的相關信息，促進企業積極主動履行充分告知的義務，以求達到用戶的完全知情程度。在使用數據的后期工作中，這種機制有利于用戶跟蹤和監督企業對其人臉識別數據的使用情況，督促企業在合理范圍內使用和處理用戶個人敏感數據。在數據面臨泄露風險時，這也得以保障用戶的數據控制權得以即時實現和有效行使，保障用戶的人臉識別數據安全。

構建用戶的數據自主控制機制，有利于充分保障用戶對于企業收集、使用、存儲其人臉識別數據整個處理周期的知情同意權，也有助于督促企業更為謹慎妥當地處理用戶人臉識別數據，降低人臉識別數據不當泄露的風險。

（二）強化企業的數據安全保護責任

除了保障用戶對人臉識別數據的數據控制權，還應當強化企業對人臉識別數據的安全保護責任。當前我國《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）規定了個人信息的保護義務主要由網絡運營者承擔23，《個人信息保護法》中也明確要求個人信息處理者對其個人信息處理活動負責24。但由于當前人臉識別技術應用泛濫，各種各樣的企業和組織都能夠隨意收集民眾的人臉識別數據。在人臉識別技術應用過程中，由于人臉識別技術應用過程中存在多個主體，用戶個人難以知悉數據收集、處理、使用的經營者，無法行使數據權利和尋求救濟。因此，在立法上要進一步明確數據保護責任主體以及具體的保護責任內容。

第一，在責任分配方面，應當進一步明確人臉識別應用中的主要保護責任承擔主體以及責任分配原則。首先，根據最小防范成本原則，誰能夠以最小的成本防范風險，就由誰來承擔相應的防范責任[15]。對于人臉識別所帶來的數據安全風險，若由用戶個人承擔防范風險的責任，由于個人認知能力和技術水平的局限性，用戶需要付出大量的時間和精力去監管和保障數據安全，所付出的成本與所獲得的數據安全效益并不匹配。企業相較于用戶能夠以更低的成本達到更優的防范效果，因此應當由企業承擔數據安全的主要保護責任。其次，在人臉識別技術應用過程中涉及多個提供相關技術產品服務的企業，根據現有法律規定難以在委托者與處理者、收集者與處理者等主體之間準確正當地分配法律責任[16]。因此，應當進一步厘清人臉識別應用中各個數據流轉環節的權利和義務，并依據數據流轉狀態來設定各個環節的法律責任主體。可以借鑒歐盟《通用數據保護條例》相關規定25，將數據處理主體區分為數據控制者和數據處理者兩種主體，并規定二者的不同法律責任內容。正如前文所述，在線上平臺人臉識別應用場景下，數據的收集主體、處理主體和實際控制主體為同一企業，該企業應當對用戶的人臉識別數據承擔完全的安全保障責任。但在線下人臉識別應用場景中，單位主體決定收集和使用用戶的人臉識別數據，通過購買技術公司所提供的人臉識別設備和服務實現人臉識別應用。單位主體即實際決定數據使用目的和方式的數據控制者，而技術公司則為受控制者委托的數據處理者。筆者認為，應當確立以數據控制者為主的責任分配規則。由于數據控制者就個人人臉識別數據處理的用途和方式掌握主導的決策權，因此其應當承擔主要責任。同時，由于數據處理者往往是具備更高的數據保障能力的專業企業，數據處理者有義務在控制者所設定的任務范圍內承擔相應的數據保護責任，與控制者共同對數據主體承擔連帶責任;當處理者超出任務范圍處理個人數據時，則處理者應當就該超出范圍的數據處理行為承擔主要的數據保護責任。

第二，在責任內容方面，我國應當出臺相關法律法規、行業規則以明確數據收集企業的數據保護義務。企業對于人臉識別數據享有一定的使用權，可以獲得數據使用所帶來的經濟價值，但企業也必須承擔使用數據所帶來的數據安全風險。相關監管部門要制定落實嚴格的數據處理行為規范和行業標準，督促企業內部制定嚴格的數據安全保護措施和數據管理人員規范等相關規章。《信息安全技術人臉識別數據安全要求》中就對數據控制者提出“應采取安全措施確保數據主體權利”“應具備與其所處理人臉識別數據的數量規模、處理方式等相適應的數據安全防護和個人信息保護能力”等安全保護要求。筆者認為，企業應當對人臉識別數據的采集、處理、存儲等數據流動全環節過程自覺承擔起數據安全保障責任。在采集環節，數據控制者應當在委托處理之前展開對于處理者的數據處理資質和數據安全能力的合格審查和風險評估，數據處理者應當具備所收集的人臉識別數據規模數量相應的數據保障能力。在處理和存儲環節，數據處理者應當根據人臉識別數據的敏感程度設定標識，并與其他一般個人數據劃分處理，制定對這類敏感性數據操作使用的特殊規范。如華為公司在處理包括人臉識別數據在內的生物特征數據時，就采取了“生物特征數據不上云”方案：將生物特征數據的處理和存儲過程放在終端側以及單獨的“安全隔離區”，對其采取更高等級的嚴格保護措施26。在數據流動環節，企業應當定期開展自身數據保護影響評估，研發更高保障力度的算法技術以降低人臉識別數據泄露風險。當企業違反法律法規規定導致數據泄露，侵害了用戶的個人信息權時，應當由造成數據泄露的企業承擔侵權賠償責任。若數據泄露無法溯源時，數據控制者企業應當主動承擔賠償責任，及時采取措施彌補用戶損失。

確立以數據控制者企業為主的數據保護責任分配規則以及明確企業的數據保護責任內容，既有利于督促企業自覺承擔更高的數據保護責任，也有助于企業能夠根據明文規定以及實際情況需要，采取更為符合規范更為有效的數據保護措施，確保用戶的人臉識別數據安全。

（三）細化人臉識別數據合理使用規則

在合理配置用戶和企業對于人臉識別數據的權利和義務的基礎上，主管部門也應當針對人臉識別數據的使用行為制定落實具體的法律規則。當前我國立法僅規定了使用個人信息的相關規定，并未針對人臉識別數據制定具體的合理使用規定。“技術先行，法律滯后，帶來了監管的灰色地帶”27，這說明人臉識別數據被濫用的現實情況不容忽視，必須加快制定具體的數據合理使用規則，加強相關部門對人臉識別數據的事中監管力度。針對人臉識別數據，一方面要明確企業對于人臉識別數據的使用范圍，另一方面要制定數據交易和共享的紅線標準。

第一，以“合法、正當、必要”原則作為企業收集使用人臉識別數據的原則性標準。首先，相關立法應當進一步細化明確關于人臉識別數據收集的禁止性規定。除了應當遵循《個人信息安全規范》中關于收集個人信息的禁止性規范條文，還應當針對人臉識別數據收集行為的方式、場所以及例外情形作出明確規定。其次，數據收集行為應當符合目的正當性以及主體正當性標準。相關監管部門應當制定人臉識別數據收集主體的“白名單”，也就是企業人臉識別技術應用資格準入規定以及資格審查制度。應當對收集、處理、存儲人臉識別數據的企業的數據管理能力和數據安全防范能力，諸如數據收集技術水平、數據安全保護措施、數據管理人員的專業資格等內容，提出更高等級的資質要求。這些企業需要經過相關部門的資格審查才能得到收集和處理人臉識別數據的資格授權。最為重要的是，應當審查收集人臉識別數據行為的必要性。電信終端產業協會2020年11月26日所公布的《App收集使用個人信息最小必要評估規范總則》提出了“最小必要”原則28。所謂“最小必要”，是指“處理個人信息應當具有明確、合理的目的，并應當限于實現處理目的的最小范圍”。我國《個人信息保護法》也提出了相類似的規定：“只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息。”根據現有的立法傾向和行業規定，人臉識別數據的收集和使用更應遵循“最小必要”原則。相關監管部門應當針對人臉識別技術的不同應用場景進行考量，以“最小必要”原則以確定人臉識別數據收集的必要性和使用的合理范圍，設置準入場景的“黑名單”和“白名單”，以遏制人臉識別數據被泛濫收集的問題。

第二，以“原則禁止，法定例外”作為人臉識別數據共享和流通的紅線標準。在數據交易市場上存在著對于人臉識別數據的購買和交換需求，但人臉識別數據是否能夠進入數據交易市場流通仍存在爭議。筆者認為，一方面，企業將用戶的人臉識別數據流通或共享，實際上是對人臉識別數據的二次使用行為，是為了獲得人臉識別數據所蘊藏的市場商業價值，已經超出了企業為實現某種服務功能而收集用戶的原始目的，違背了“最小必要”的個人人臉識別數據收集使用原則性標準。另一方面，目前的技術水平難以對個人的人臉識別數據進行有效的匿名化處理，一旦用戶的人臉識別數據進入流通市場，就相當于將用戶的個人敏感數據完全暴露在公眾視野下，易對用戶個人隱私造成侵犯。因此，應當原則上禁止共享和流通人臉識別數據行為。相關監管部門也應當嚴厲打擊惡意泄露、流通用戶人臉識別數據的違法行為，追究相關企業、個人等主體的法律責任。但與此同時，也應當堅持以用戶授權為人臉識別數據共享和流通的例外情形。如美國《2020年國家生物識別信息隱私法案》中雖然明確規定禁止企業出售交易用戶的人臉識別數據，但也設定了用戶授權的例外情形29。我國《信息安全技術人臉識別數據安全要求》（征求意見稿）中第6.4節第1款也明確了“數據控制者不應公開披露人臉識別數據，原則上不應共享、轉讓人臉識別數據”的禁止原則以及“因業務需要，確需共享、轉讓的應按照GB/T CCCCC《個人信息安全影響評估指南》開展安全評估，并單獨告知數據主體共享或轉讓的目的、接收方身份、接收方數據安全能力、數據類別、可能產生的影響等相關信息，并征得數據主體的書面授權”的例外情形。可見，若數據主體可以接受人臉識別數據進入共享流通可能帶來的泄露風險，數據主體也可以作出書面同意授權企業共享和流通其個人的人臉識別數據。正如數據主體有權拒絕“刷臉”，數據主體也應當有權“出售”自己的人臉識別數據，法律規則的設置應當是容忍和尊重不同風險偏好的人[2] 。當然，數據主體授權企業共享和轉讓自己的人臉識別數據，并不等同于數據主體就放棄了其人臉識別數據所涵蓋的隱私和財產權利。換言之，即使企業已經獲得了用戶關于共享和轉讓其人臉識別數據的書面授權，如果在流通過程中發生了數據泄露或數據濫用的問題，數據主體仍然可以通過相關的權利救濟途徑來追究企業的數據保護責任，維護自己的合法權益。

堅持“合法、正當、必要”的人臉識別數據收集原則以及“原則禁止，法定例外”的人臉識別數據流通原則，分別從數據源頭和數據流向規制企業對于用戶的人臉識別數據使用行為，既能促使企業合理使用人臉識別數據以獲得經濟效益的同時，也有利于遏制買賣人臉識別數據的不法行為，保障人臉識別數據的數據安全。

結? ?語

與其他個人數據相比，人臉識別數據擁有更為敏感的特性。這使得現有的法律規范不足以提供充分的救濟和保護，由此所帶來的人臉識別數據安全問題亦應當受到重視。一方面，應當界定人臉識別數據的具體概念，并結合“人臉”和“數據”的特點，認識人臉識別數據所蘊含的人格利益和財產價值。另一方面，在具體分析目前所存在的個人隱私泄露、數據責任主體不明、數據濫用等現實問題的基礎上，結合現有的個人數據保護相關的法律規定，提出構建用戶的數據自主控制機制、落實企業的安全保障責任以及細化人臉識別數據的合理使用規則等相應法律保護措施。對人臉識別數據設計特殊法律保護規范的根本目的在于通過尋求更合理的數據利用方式，以求達到個人隱私保護和數據合理利用二者的平衡。最終在數據保護和數據利用相輔相成的基礎上促進技術更新與社會變革。

參考文獻：

[1] 林凌，賀小石.人臉識別的法律規制路徑[J].法學雜志，2020，41（7）：68?75.

[2] 邢會強.人臉識別的法律規制[J].比較法研究，2020（5）：51?63.

[3] 勞東燕.個人數據的刑法保護模式[J].比較法研究，2020（5）：35?50.

[4] 王映輝.人臉識別：原理、方法與技術[M]. 北京：科學出版社，2010：62?145.

[5] 趙精武.《民法典》視野下人臉識別信息的權益歸屬與保護路徑[J].北京航空航天大學學報（社會科學版），2020，33（5）：21?29.

[6] [美]馬斯洛.動機與人格[M].許金聲，程朝翔，譯.北京：華夏出版社，1987：31?32.

[7] 王利明.人格權法[M].北京：中國人民大學出版社，2009：107.

[8] 王玉林，高富平.大數據的財產屬性研究[J].圖書與情報，2016（1）：29?43.

[9] 劉雙陽，李川.衍生數據的財產屬性及其刑法保護路徑[J].學術論壇，2020，43（3）：39?47.

[10] [英]加文·肯尼迪.亞當·斯密[M].北京：華夏出版社，，2009：150.

[11] 寧宣鳳，吳涵，李沅珊，等.人臉識別信息的內涵與合規難題[C]//上海市法學會.《上海法學研究》集刊：金杜律師事務所、金杜研究院文集.上海：上海法學會，2020：85?91.

[12] 郭思雨. 基于匿名化技術的人臉圖像隱私保護方法研究[D].北京：北京交通大學，2018.

[13] 劉金瑞.個人信息與權利配置：個人信息自決權的反思和出路[M].北京：法律出版社，2017：177.

[14] 潘林青.面部特征信息法律保護的技術誘因、理論基礎及其規范構造[J].西北民族大學學報（哲學社會科學版），2020（6）：75?85.

[15] 熊秉元.最小防范成本原則[J].讀書，2015（9）：145?153.

[16] 李慶峰.人臉識別技術的法律規制：價值、主體與抓手[J].人民論壇，2020（11）：108?109.

Face Recognition Data Protection Dilemma and Its Legal Response

Liu Junping? Yang Zhiqing

（School of Law， Xiangtan University， Xiangtan， Hunan 411105， China）

Abstract： At present， the commercial application areas of face recognition technology continues to expand and develop， and the face recognition data of citizens are widely collected and exploited by commercial companies. Face recognition data not only covers the personality interests of "face"， but also reflects the property value of "data". It is a kind of special personal sensitive data， which needs special protection of law. Therefore， we should focus on privacy leakage， unclear responsibility， data abuse and other practical problems， and improve the legal protection system from the perspective of personal rights， corporate responsibility and government supervision in order to ensure the safety and rational use of face recognition data.

Key words： face recognition data; legal attribute; data security; legal protection