人脸识别数据保护困境及其法律应对

刘军平 杨芷晴

摘    要：当前人脸识别技术商业化应用领域不断扩张发展，公民个人人脸识别数据被商业公司广泛收集和使用。人脸识别数据既涵盖了“人脸”的人格利益，又体现了“数据”的财产价值，是一种特殊的个人敏感数据，亟须法律的特殊保护。因此，应当针对人脸识别数据处理过程中所存在的隐私泄露、责任不明、数据滥用等现实问题，从个人权利、企业责任、政府监管等三个角度来完善法律保护体系，以保障人脸识别数据的安全与合理利用。

关键词：人脸识别数据;法律属性;数据安全;法律保护

中图分类号：D 912  文献标志码：A      文章编号：2096⁃9783（2021）06⁃0018⁃11

引  言

近年来，人脸识别数据的不当泄露和非法买卖事件频发，公民的个人信息和财产安全正面临着严峻的风险，然而人脸识别技术所带来的数据安全风险却并未得到社会足够的重视。目前我国对人脸识别尚无专门的法律规定，大多学者通过研究人脸识别技术的数据收集和处理规则来规制技术滥用1，其研究重点在技术层面;但围绕人脸识别数据本身及其相关法律保护问题展开的研究则较为少见。人脸识别数据作为人脸识别技术的应用产物，已然突破了传统法律保护界限，应当对其进行实质性认识和特殊性保护。本文拟通过分析人脸识别数据的概念及其特殊属性，针对人脸识别数据保护的现实困境，探讨人脸识别数据保护和利用相平衡的法律应对措施。

一、人脸识别数据的概念及特性

我国目前部分法律规范文件如《中华人民共和国民法典》（以下简称《民法典》） 《中华人民共和国网络安全法》（以下简称《网络安全法》）等都已经确认公民对其个人信息所享有的民事权益以及相关保护规则2。但是人脸识别数据是一种特殊的个人数据，对这一数据的概念以及特性等内容在现行立法和学术研究中仍未达成共识。

（一）人脸识别数据的概念

目前学术界对于人脸识别数据的概念及其范围尚未达成定论，亦有学者称其为“人脸信息”[1]“人脸识别信息”[2]等。我国《信息安全技术个人信息安全规范》中对于个人生物识别信息做了明确界定3，规定面部识别特征信息属于生物识别信息的一种类型，属于个人敏感信息。我国《信息安全技术人脸识别数据安全要求》（征求意见稿）中将“人脸识别数据”界定为：“人脸图像及其处理得到的，可单独或与其他信息结合识别特定自然人或特定自然人身份的数据。”4本文采用“人脸识别数据”而非“面部识别特征信息”这一名词，主要基于如下两点理由：首先，虽然目前“数据”和“信息”两种概念常被混同指代，但实际上二者具体内涵仍有所不同，“数据”侧重于信息的载体或媒介本身，而“信息”则指所要传达的内容讯息。若采用“信息”的概念，则还可以囊括其他非电子媒介所呈现的面部信息，如纸质照片、海报等[3]。而人臉识别技术是通过计算机提取人脸的特征，并根据这些特征进行身份验证的一种识别技术 [4]，人脸识别技术应用离不开相关算法和电子设备的加持和运行，这一过程中所产生、处理的个人面部特征信息都是电子格式的数据。其次，随着人脸识别技术应用的纵深发展和多场景拓展，技术目的不再仅局限于记录和识别个人的面部生理特征图像，还能够将人的面部图像作为个人身份的识别密钥，进而与其他关联实体或数据库进行交叉对比，与所在位置、个人偏好、行为轨迹等其他个人数据相关联，逐渐形成公民个人的“数据画像”。正是因为“数据”能够被机器直接可读和复制的特性，记录“面部信息”的人脸识别数据才会具有可识别身份和可关联数据的作用。因此，本文认为采用“人脸识别数据”这一名词更为妥当。

在不同的人脸图像获取模式中，人脸识别数据的存储格式也有所不同。第一种方法是指二维人脸图像获取方法，仅适用于较为简单的应用场合。企业一般使用照相机、摄像机等设备拍摄用户的脸部信息，其所收集的人脸数据往往是二维的静态图像数据。第二种方法是三维人脸图像获取方法。企业想要收集人脸识别数据，需要使用特定的生物特征识别传感器设备以采集用户的三维人脸面部数据，往往还需要用户配合作出特定肢体动作[4]。所获取的三维人脸数据可以形成特定人脸模型，这种三维动态数据常用于金融、安防等领域，发挥“直接可识别”个人身份的作用，亦可作为关联用户其他个人数据的纽带。

综上所述，本文将人脸识别数据的概念界定为：以电子方式记录的、能够描述个人人脸特征信息，可以识别特定个人身份信息和关联其他个人数据的数据集合。由于近年来随着计算机视觉技术的发展，三维人脸图像获取已经逐渐成为人脸识别最为常用和重要的获取方法，因此本文所讨论的人脸识别数据主要指三维动态的人脸识别数据。

（二）人脸识别数据的强人格利益

人脸是否具有人格利益这一问题颇有争议。有学者认为，在《民法典》人格权独立成编的背景下，人脸特征的绝对专属性和直观性体现了人脸识别信息的可识别利益，也就是《民法典》所确认的信息空间人格权益[5]。也有学者认为人脸图像作为个人暴露在公众面前的外表化生物特征，本身就是公民个人主动默认对公众公开、为公众所知悉的个人信息，不属于隐私权对于主体私人信息的保护范畴之内5。实际上，在人脸识别技术的运用背景下，人脸识别数据具有个人面部特征的身份识别能力，荷载着传统的个人肖像、名誉以及人格尊严等权益。并且人脸识别数据本身就属于公民个人的隐私，还能够作为关联其他个人隐私的“人脸密码”，与隐私权息息相关，较之一般个人数据具有更强的人格利益。

首先，人脸识别数据能够体现数据主体的人格尊严。第一，基于人脸的易采集性和身份表征性，相比于其他个人生物特征数据，人脸识别数据所记载的个人人脸图像与肖像权更为密切相关，容易引发肖像权侵害问题。肖像权是指自然人所享有的对其自身肖像上所体现的人格利益为内容的一种标表型人格权。我国《民法典》进一步扩张了肖像权的保护范围，规定了以丑化、污损的形式或者利用信息技术手段伪造他人肖像等行为都侵害了他人的肖像权6。第二，应该注意的是，这种未经肖像权人同意，不当利用他人面部图像数据的行为既构成了对肖像权的侵害，也有可能进一步构成对公民个人名誉权的侵犯。例如，一项名为“Deepfake”的面部伪造技术可以通过人工智能算法的深度学习以实现AI换脸的效果7。若非法利用这项技术和非公开的人脸识别数据集，恶意伪造虚拟视频或编造虚假事实，将会对个人的名誉权造成严重不良的影响。由此可见，人脸图像能够直观体现个人的人格利益与精神价值，人脸识别数据带有较强的人格权益属性。第三，数据收集主体（即相关企业）对数据主体的个人碎片化数据进行整合，就能逐渐形成用户个人的“数据画像”。受到所收集数据的倾向性、准确性、时效性等因素的影响，数据一旦“失准”就会引发“算法歧视”问题。而公民个人由于有限的认知能力，往往无法参与人脸识别的运行和决策过程，亦无法及时知悉自己何时何地何因遭遇了算法歧视的问题。正如马斯洛所言：“人格标识的完整性与真实性是主体受到他人尊重的基本条件”[6]。“数据画像”作为个人主体的数据化人格形象，这种“算法歧视”不仅会导致用户不能享受正常的服务和商品价格，更有可能会使用户遭受到性别、种族等方面的个体歧视，其人格尊严也因此受到侵犯。

其次，人脸识别数据与数据主体的隐私权息息相关。隐私权是指公民所享有的私人信息与私生活安宁不被外界公开和干扰的权利 [7]。一方面，虽然人脸作为人表露在外的身体特征，但人脸识别数据仍具有私人性和非公开性的特征，属于公民个人的隐私。人脸识别数据的私人性和非公开性体现在其所具有的主体唯一性。只有得到用户的知情同意授权，以及用户作出相应配合动作，企业才能采集和使用用户个人人脸识别数据。所采集的人脸数据仅能指向单个公民，与其他人同种类的人脸识别数据并不相同，并不会影响他人利益和公共利益。因此，公民的个人人脸识别数据本身就是与公共利益无关的私人信息。另一方面，人脸识别数据的泄露会导致其他个人隐私信息被泄露，引发个人隐私权被侵犯的问题。在部分人脸识别应用场景中，由于人脸识别数据的主体唯一性，一个数据主体只能生成唯一的特定人脸图像，部分企业或单位会将公民的“人脸”作为识别公民身份的“生物密码”，从而与其他个人敏感数据相关联。若不法分子获取了公民个人的人脸识别数据，往往就能得到相关联的非公开的其他个人敏感数据。而基于人脸识别数据的生物特征不可再生性，“人脸密码”是无法更改的。一旦人脸识别数据被恶意泄露，个人的隐私权难以得到保障，不法分子甚至可以利用人脸识别数据这一“密码”进行相关的财产或人身犯罪，侵害数据主体的财产权或人身权。

人脸识别数据不同于一般的个人数据，承载了复杂的多重人格权益。人脸图像既能够直观体现个人的人格尊严与精神价值，其本身既是属于公民的隐私，又能与公民其他隐私信息关联。因此，人脸识别数据带有较强的人格权益属性。

（三）人脸识别数据的弱财产价值

随着智能技术的深度发展，个人数据商业化使用成为了一种新趋势。这使得个人数据逐渐呈现出其自身的商业价值，数据成为了一种新型生产要素。诚然，随着主流营销模式向定向营销、数据库营销的转变，人脸识别数据的关联功能可以帮助经营者更精准地掌握和利用消费者信息，这使得人脸识别数据逐渐呈现与其他个人数据同等的使用价值。但由于人脸识别数据并不能作为商品进入市场交换流通，因此其所蕴含的财产价值弱于一般个人数据。

国内外的数据交易实践都证明了数据具有财产性[8]。从经济学角度分析，某一事物财产权益的核心构成包括其使用价值和交换价值[9]。经济学家斯密认为：“特定物品的效用，可叫做使用价值”[10]。起初，“人脸”的经济价值体现于名人肖像的商业化利用活动中，在既往司法实践活动，能够就“人脸”主张财产权益的权利主体一般只限于名人，而并未承认普通人“人脸”的财产价值。然而，在人脸识别技术广泛应用背景下，人脸识别数据被商业化利用，其所蕴涵的使用价值得以挖掘。在身份识别场景下，人脸识别数据可以用来准确地识别“我是谁”，提高身份识别的准确性和识别效率;同时在身份验证场景下，也可以用来比对“我是否是我”，满足政府部門交通安防的需求;甚至，在标签画像场景下，结合大数据和相关算法，从所获取的人脸识别数据进而获知、预测“我是一个什么样的人”，形成“用户画像”，实现精准营销的广告效果[11]。可见，普通公民个人的人脸识别数据具有一定的商业使用价值。

斯密认为：“占有某物而取得的对他种货物的购买力，可叫做交换价值。”换而言之，某物的交换价值取决于人与人之间的交换关系。在我国政府推动数据共享开放，加快培育数据要素市场的政策导向下，数据交易市场的繁荣现象也表明了数据可以进行交易，具有明显的商品属性。但是，对于人脸识别数据能否作为一种商品进入数据交易市场这一问题仍存在争议。目前我国各个数据交易平台的主要交易对象都是非个人数据和经过清洗后的数据，即衍生数据。此外，我国大部分数据交易平台行业规范都明确指出可直接识别个人身份的敏感数据不可用于交易8。这是因为经过匿名化算法处理的人脸识别数据可能会失去其本身的数据可用性[12]，人脸识别数据无法形成衍生数据。而原始的人脸识别数据往往直接与个体的主体性和人格尊严相关联。若企业未经个人用户许可，就对其个人的原始敏感数据商业化使用或交易流通，会侵害数据主体的人格利益和财产权益。比如近年来在“数据黑市”中时有发生的非法买卖人脸数据事件9，不法分子直接将数据主体的人脸图像数据及其相应的身份数据进行非法交易10。若数据买方将这些数据用于虚假注册、冒名刷脸支付、电信网络诈骗等违法犯罪活动11，这些行为会对公民个人的人格尊严和财产安全造成严重的侵害。可见，由于人脸识别数据与个人人格尊严有直接关系，其商业价值具有一定的私人属性，不能随意交易流通[13]。对于商业机构和社会而言，人脸识别数据的交换价值弱于其他一般个人数据。

人脸识别数据具有一定的商业使用价值，能够为经营者带来经济效益。不过人脸识别数据无法成为一种可流通的数据产品，具有较弱的交换价值。因此，较之于一般个人数据而言，人脸识别数据具有更强的人格利益以及较弱的财产价值。为了尊重公民的个人隐私和保护个人数据安全，在人脸识别数据的收集、处理、存储过程中应当更为注重保护该数据中所蕴含的公民人格利益。

二、人脸识别数据保护的困境

人脸识别技术及其数据为数字经济的发展带来了显著的社会经济效益。但与此同时，鉴于人脸识别数据具有易采集性、唯一性等特性[14]，若仅将人脸识别数据等同于一般个人数据，且人脸识别数据无法完全脱敏处理，则难以针对人脸识别数据的特性形成更高等级的妥善保护。正如《数据安全法》第三条规定：“数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。”人脸识别数据应当处于有效保护和合法利用的状态下。然而，当前部分企业过度收集使用、推诿数据保护责任、随意泄露共享公民个人人脸识别数据的乱象愈发严重，导致了人脸识别数据保护陷入了个人隐私泄露、数据责任主体不明和数据滥用行为的现实困境。

（一）用户个人隐私泄露

与一般个人数据相比，人脸识别数据泄露事件容易造成更为严重的损害后果。由于人脸识别数据能够与其他个人敏感数据相关联，人脸识别数据一旦被泄露，往往也会导致其他个人数据的泄露。在2020年1月初发生的中国学生人脸识别数据泄露事件中12，数千学生的人脸数据遭到泄露，由于监控系统与数据库相连接，学生姓名、所在地、父母姓名等个人数据也被一并泄露，任何人都可以通过互联网直接访问这些数据。可见，一旦个人的人脸识别数据遭到泄露，该数据库里存储的其他个人数据也可能被不法关联和运用，对用户的隐私和财产造成极大的影响。此外，基于人脸的生物特征不可更改性和主体唯一性，当人脸识别数据受到系统入侵、数据泄露等网络安全威胁时，并不能如同其他类型的密码一样通过修改、重置等方式防止该关联账户被不法登录。近年来，一些不法分子批量倒卖某些人脸数据库所泄露的人脸识别数据以及相关身份信息，出售“照片活化”工具和教程，通过这些不法行为甚至能够破解微信、支付宝等软件平台的验证信息，登录用户的私人账号，侵害用户的债权、物权等财产权利，直至冒充用户身份信息从事犯罪活动，对用户的名誉权、隐私权、肖像权等人格权都造成严重的损害。人脸识别数据一旦泄露，将会给社会公众的人身财产安全带来长期的、难以估量的危害。

人脸识别数据之所以会被不当泄露，是因为很多收集数据的企业并不具备相应的数据安全保障能力。因此用户在同意企业收集其人脸识别数据前应当充分知悉数据收集者的收集资质和数据保障能力。而在实践中用户往往并不了解数据收集主体企业的相关信息、安全资质，也未能完全知悉数据的收集目的、处理方式和保管方式等内容。这导致了在数据被收集前，用户的知情同意权并未得到真正落实，用户难以自主控制数据的收集、处理和存储行为以及后续流向全过程。因此，当用户个人人脸识别数据被泄露导致用户的人格权受到侵害时，用户无法追溯到数据泄露的源头，也难以知悉造成数据泄露的责任主体，更无法寻求有效的权利救济路径。

（二）保护责任主体不明

随着人脸识别技术在我国逐渐被大范围、多领域应用，人脸识别技术不再仅局限于智能安防和金融领域，而且被更广泛应用于娱乐、计数、考勤门禁等领域。人脸识别仪器的研发与使用不再仅掌握在少数大型公司手中，其他公司也可以通过购买人脸识别设备及其相关服务以应用该技术。人脸识别技术应用门槛逐渐降低，数据收集主体种类也随之逐渐多样化。但是部分小型技术企业或设备提供方企业并未具备管理个人敏感数据的技术手段，也没有相应的成本投入，甚至没有相应的数据安全意识和数据安全保障能力以防范可能存在的数据泄露风险。加之数据安全保护责任并未明确规定和落实到某一数据收集主体，这可能会导致数据被随意共享和非法交易的严重后果。

人脸识别数据的收集和使用可分为线上和线下两个路径。首先，从线上路径分析，互联网平台企业会向用户提供一份“人脸认证”服务协议，只有用户同意该服务协议，企业才会收集用户的人脸识别数据，人脸数据也会直接传输到企业的云端服务器。在这种情况下，网络服务的提供主体、数据收集主体和实际控制主体往往是同一个企业，用户也得以知悉数据收集主体的身份信息。但服务协议往往并未明确约定企业对于人脸识别数据的利用方式、利用周期、保护措施等问题，也并未约定企业的数据安全保障责任具体内容。其次，从线下收集路径分析，人脸识别设备控制者和数据处理者往往并非同一单位、企业，难以界定数据安全责任主体。例如在杭州市小区安装人脸识别门禁的事例中，小区的相关物业、街道办采购技术公司所研发的人脸识别技术设备，要求社区居民录入人脸数据，并将这些数据存储在物业的局域网或者街道的办事处、公安系统的后台服务器等其他第三方主体13。在人脸识别的应用过程中，数据的收集和处理过程涉及小区物业、技术公司、街道办、公安局等多个主体。若居民所录入的人脸识别数据被泄露，居民难以知晓数据泄露的真正源头。这可能会导致出现各主体因利益驱使而相互推卸安全保障责任的情形，使得人脸识别数据难以得到有效和统一的管理和存储。

（三）数据滥用问题严峻

数据滥用是指某些个人信息被超出授权合理界限的使用14。个人敏感数据的滥用可能会对数据主体的权益带来重大风险。当前部分企业对其所收集的人脸识别数据滥用的问题相当严峻。

一方面，部分企业超出应用场景目的的合理必要范围来使用人脸识别数据。根据欧盟《通用数据保护条例》所确定的数据最小化原则15，处理的个人数据应该是充分的、相关的，而不能过于全面地收集、处理数据。企业对于人脸识别数据等生物特征数据的收集和使用更应持谨慎态度，收集的范围应当符合相应适用场景的目的，并以合理与必要为原则。换言之，在特定场景使用目的下收集的人脸识别数据并不能将其运用到其他场景之下。比如说，某高校运用人脸识别技术完成新生报到工作，在此场景下，人脸识别数据的收集和使用行为以身份识别验证为目的。但是此后，该高校又将上述场景下收集到的人脸识别数据来监控该学生的课堂学习情况16。这一行为超出了数据使用的合理必要范围。

另一方面，部分企业超出用户知情同意范围而使用人脸识别数据。在人脸识别商业化使用过程中，用户在同意授权时难以知悉企业处理人脸识别数据的具体操作和流程，并未达到完全真实知情的程度。根据《网络安全法》第四十一条规定，网络运营者收集、使用个人信息，应明示收集、使用信息的目的、方式和范围，并经被收集者同意。当前，一些企业正在推行“刷脸支付+精准广告”的营销模式，这种营销模式实际上就是将用户的人脸识别数据与其他数据库交叉对比并关联形成该用户的“数据画像”。这种行为已经超出了用户对其人脸识别数据用于身份验证的知情范围和预期认知，并未获得用户的授权同意。这种未经许可和非常规目的的数据滥用行为，不仅侵犯了个体用户的隐私权利，也扰乱了数据管理的正当秩序，进一步扩大了人脸识别数据的安全风险。

三、人脸识别数据保护的法律应对

如前所述，人脸识别数据在其使用过程中存在不少亟须解决的问题，应当在既有基础上对其法律保护不断加以完善。唯有合理配置用户对于人脸识别数据的数据控制权利以及企业的数据保护责任，细化人脸识别数据的合理使用规则，才能有效地解决人脸识别数据保护的现实问题，实现人脸识别数据利用和保护的双赢局面。

（一）构建用户的数据自主控制机制

当前我国部分条例规范对生物特征识别数据提供了一定的法律保护依据。如2020年发布的《信息安全技术个人信息安全规范》新增了“企业收集生物识别信息时取得明示同意和进行处理后存储，不得公开披露”的规范性要求。目前人脸识别数据的主导权仍掌握在企业手中，个人数据主体往往在不知情时便被企業收集人脸识别数据，更遑论对企业后续处理行为的监管。应当在现有立法规定基础上从技术层面进一步落实保障用户的知情同意权，明确用户的数据控制权，设置用户对于人脸识别数据的自主控制机制。

第一，应当针对人脸识别数据建立更为严格的知情同意原则。虽然目前我国相关法律规定了企业收集用户的个人数据必须明确告知用户相关信息并取得用户同意。如《中华人民共和国民法典》（以下简称《民法典》）明确了个人对其个人信息的知情同意权17，《个人信息保护法》进一步细化了个人知情同意权的具体内容18。《信息安全技术人脸识别数据安全要求》（征求意见稿）细化规定了数据控制者在收集人脸识别数据时应向数据主体充分告知收集规则，并征得数据主体的书面同意19。但基于人脸识别数据的敏感性，对于收集人脸识别数据所适用的知情同意原则应当在现有基础上更为严格于目前立法所规定的“知情同意权”。因此在收集人脸识别数据时，若要全面保障用户的知情同意权，就必须要求企业的信息告知达到充分透明程度，用户的知情同意达到自由明确程度。如《信息安全技术人脸识别数据安全要求》（征求意见稿）细化规定了数据控制者在收集人脸识别数据时应向数据主体充分告知收集规则，并征得数据主体的书面同意20。在采集用户的人脸数据之前，数据控制者应当以书面形式明确翔实地告知用户所采集的人脸识别数据的具体类型、采集目的、处理方式、保存时间及方式、用户所享有的权利义务以及用户可能遇到的侵权风险问题。用户应当有权就相关告知内容向企业提问并要求企业作出相应回复，最终用户也需要出具书面形式的同意授权书。在双方达成合意后，书面的告知书和同意书都为一式两份，分别交由企业和用户以作保管备份之用。

第二，采集和使用人脸识别数据的企业应当为用户设置对于其人脸识别数据的自主控制机制，以便用户对其人脸识别数据行使自主控制的权利。首先，由企业构建用户的人脸识别数据自主控制机制有一定的可行性和必要性。实际上，在人脸识别技术应用实践中，已有企业为用户提供便捷的人脸信息删除方式。如QQ安全中心、钉钉等软件内都有为用户设置删除人脸识别数据的选项，用户可以通过登录自己的账号，重设或删除自己的人脸识别数据。但是根据南都个人信息保护研究中心发布的《移动端人脸识别应用合规报告》可知，所测试的应用软件中有七成软件都存在着难以注销或删除人脸信息的问题21。可见，大部分人脸识别技术应用软件都未为用户提供删除人脸识别数据的选项，用户的数据控制权亟须得到进一步的保障。因此，有关监管部门应当督促各人脸识别技术应用企业为用户设置人脸识別数据自主控制机制，以保障用户的数据控制权。数据自主控制机制是指企业通过应用软件采集用户的人脸识别数据并将其存储在特定硬件模块，并为用户提供连接该模块的应用接口。用户仅需要通过自己设定的账号密码登录相应软件，就可以通过该软件所设置的接口访问特定节点，查询或删除自己的人脸数据22。在这种自主控制机制运行背景下，用户可以有效便捷地行使其对个人数据的查询权和删除权，随时查询自己的人脸识别数据，并且可以在企业使用数据实现相应的功能和服务后，即时删除人脸识别数据以避免泄露风险。其次，企业对记载数据的区块链设置档案记录功能之后，用户应能够通过查看关于该区块链的访问记录、使用记录以知悉企业对其数据的访问使用情况。当出现数据泄露问题时，可以通过档案记录追溯数据泄露源头和数据流向，有利于解决数据泄露、数据滥用的问题。再次，这种自主控制机制能够为用户提供撤回授权同意的有效便捷方法。当出现用户认为企业不积极履行数据安全管理义务、企业不具备数据安全保障能力或者数据存在安全风险等情形时，用户可以及时删除个人数据，预先防范其人脸识别数据及个人隐私被企业不当泄露等严重问题的出现。在数据收集的前期工作中，这种机制能够倒逼企业为了获得用户的授权，以更浅显易懂的方式告知用户充分必要的相关信息，促进企业积极主动履行充分告知的义务，以求达到用户的完全知情程度。在使用数据的后期工作中，这种机制有利于用户跟踪和监督企业对其人脸识别数据的使用情况，督促企业在合理范围内使用和处理用户个人敏感数据。在数据面临泄露风险时，这也得以保障用户的数据控制权得以即时实现和有效行使，保障用户的人脸识别数据安全。

构建用户的数据自主控制机制，有利于充分保障用户对于企业收集、使用、存储其人脸识别数据整个处理周期的知情同意权，也有助于督促企业更为谨慎妥当地处理用户人脸识别数据，降低人脸识别数据不当泄露的风险。

（二）强化企业的数据安全保护责任

除了保障用户对人脸识别数据的数据控制权，还应当强化企业对人脸识别数据的安全保护责任。当前我国《中华人民共和国网络安全法》（以下简称《网络安全法》）规定了个人信息的保护义务主要由网络运营者承担23，《个人信息保护法》中也明确要求个人信息处理者对其个人信息处理活动负责24。但由于当前人脸识别技术应用泛滥，各种各样的企业和组织都能够随意收集民众的人脸识别数据。在人脸识别技术应用过程中，由于人脸识别技术应用过程中存在多个主体，用户个人难以知悉数据收集、处理、使用的经营者，无法行使数据权利和寻求救济。因此，在立法上要进一步明确数据保护责任主体以及具体的保护责任内容。

第一，在责任分配方面，应当进一步明确人脸识别应用中的主要保护责任承担主体以及责任分配原则。首先，根据最小防范成本原则，谁能够以最小的成本防范风险，就由谁来承担相应的防范责任[15]。对于人脸识别所带来的数据安全风险，若由用户个人承担防范风险的责任，由于个人认知能力和技术水平的局限性，用户需要付出大量的时间和精力去监管和保障数据安全，所付出的成本与所获得的数据安全效益并不匹配。企业相较于用户能够以更低的成本达到更优的防范效果，因此应当由企业承担数据安全的主要保护责任。其次，在人脸识别技术应用过程中涉及多个提供相关技术产品服务的企业，根据现有法律规定难以在委托者与处理者、收集者与处理者等主体之间准确正当地分配法律责任[16]。因此，应当进一步厘清人脸识别应用中各个数据流转环节的权利和义务，并依据数据流转状态来设定各个环节的法律责任主体。可以借鉴欧盟《通用数据保护条例》相关规定25，将数据处理主体区分为数据控制者和数据处理者两种主体，并规定二者的不同法律责任内容。正如前文所述，在线上平台人脸识别应用场景下，数据的收集主体、处理主体和实际控制主体为同一企业，该企业应当对用户的人脸识别数据承担完全的安全保障责任。但在线下人脸识别应用场景中，单位主体决定收集和使用用户的人脸识别数据，通过购买技术公司所提供的人脸识别设备和服务实现人脸识别应用。单位主体即实际决定数据使用目的和方式的数据控制者，而技术公司则为受控制者委托的数据处理者。笔者认为，应当确立以数据控制者为主的责任分配规则。由于数据控制者就个人人脸识别数据处理的用途和方式掌握主导的决策权，因此其应当承担主要责任。同时，由于数据处理者往往是具备更高的数据保障能力的专业企业，数据处理者有义务在控制者所设定的任务范围内承担相应的数据保护责任，与控制者共同对数据主体承担连带责任;当处理者超出任务范围处理个人数据时，则处理者应当就该超出范围的数据处理行为承担主要的数据保护责任。

第二，在责任内容方面，我国应当出台相关法律法规、行业规则以明确数据收集企业的数据保护义务。企业对于人脸识别数据享有一定的使用权，可以获得数据使用所带来的经济价值，但企业也必须承担使用数据所带来的数据安全风险。相关监管部门要制定落实严格的数据处理行为规范和行业标准，督促企业内部制定严格的数据安全保护措施和数据管理人员规范等相关规章。《信息安全技术人脸识别数据安全要求》中就对数据控制者提出“应采取安全措施确保数据主体权利”“应具备与其所处理人脸识别数据的数量规模、处理方式等相适应的数据安全防护和个人信息保护能力”等安全保护要求。笔者认为，企业应当对人脸识别数据的采集、处理、存储等数据流动全环节过程自觉承担起数据安全保障责任。在采集环节，数据控制者应当在委托处理之前展开对于处理者的数据处理资质和数据安全能力的合格审查和风险评估，数据处理者应当具备所收集的人脸识别数据规模数量相应的数据保障能力。在处理和存储环节，数据处理者应当根据人脸识别数据的敏感程度设定标识，并与其他一般个人数据划分处理，制定对这类敏感性数据操作使用的特殊规范。如华为公司在处理包括人脸识别数据在内的生物特征数据时，就采取了“生物特征数据不上云”方案：将生物特征数据的处理和存储过程放在终端侧以及单独的“安全隔离区”，对其采取更高等级的严格保护措施26。在数据流动环节，企业应当定期开展自身数据保护影响评估，研发更高保障力度的算法技术以降低人脸识别数据泄露风险。当企业违反法律法规规定导致数据泄露，侵害了用户的个人信息权时，应当由造成数据泄露的企业承担侵权赔偿责任。若数据泄露无法溯源时，数据控制者企业应当主动承担赔偿责任，及时采取措施弥补用户损失。

确立以数据控制者企业为主的数据保护责任分配规则以及明确企业的数据保护责任内容，既有利于督促企业自觉承担更高的数据保护责任，也有助于企业能够根据明文规定以及实际情况需要，采取更为符合规范更为有效的数据保护措施，确保用户的人脸识别数据安全。

（三）细化人脸识别数据合理使用规则

在合理配置用户和企业对于人脸识别数据的权利和义务的基础上，主管部门也应当针对人脸识别数据的使用行为制定落实具体的法律规则。当前我国立法仅规定了使用个人信息的相关规定，并未针对人脸识别数据制定具体的合理使用规定。“技术先行，法律滞后，带来了监管的灰色地带”27，这说明人脸识别数据被滥用的现实情况不容忽视，必须加快制定具体的数据合理使用规则，加强相关部门对人脸识别数据的事中监管力度。针对人脸识别数据，一方面要明确企业对于人脸识别数据的使用范围，另一方面要制定数据交易和共享的红线标准。

第一，以“合法、正当、必要”原则作为企业收集使用人脸识别数据的原则性标准。首先，相关立法应当进一步细化明确关于人脸识别数据收集的禁止性规定。除了应当遵循《个人信息安全规范》中关于收集个人信息的禁止性规范条文，还应当针对人脸识别数据收集行为的方式、场所以及例外情形作出明确规定。其次，数据收集行为应当符合目的正当性以及主体正当性标准。相关监管部门应当制定人脸识别数据收集主体的“白名单”，也就是企业人脸识别技术应用资格准入规定以及资格审查制度。应当对收集、处理、存储人脸识别数据的企业的数据管理能力和数据安全防范能力，诸如数据收集技术水平、数据安全保护措施、数据管理人员的专业资格等内容，提出更高等级的资质要求。这些企业需要经过相关部门的资格审查才能得到收集和处理人脸识别数据的资格授权。最为重要的是，应当审查收集人脸识别数据行为的必要性。电信终端产业协会2020年11月26日所公布的《App收集使用个人信息最小必要评估规范总则》提出了“最小必要”原则28。所谓“最小必要”，是指“处理个人信息应当具有明确、合理的目的，并应当限于实现处理目的的最小范围”。我国《个人信息保护法》也提出了相类似的规定：“只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。”根据现有的立法倾向和行业规定，人脸识别数据的收集和使用更应遵循“最小必要”原则。相关监管部门应当针对人脸识别技术的不同应用场景进行考量，以“最小必要”原则以确定人脸识别数据收集的必要性和使用的合理范围，设置准入场景的“黑名单”和“白名单”，以遏制人脸识别数据被泛滥收集的问题。

第二，以“原则禁止，法定例外”作为人脸识别数据共享和流通的红线标准。在数据交易市场上存在着对于人脸识别数据的购买和交换需求，但人脸识别数据是否能够进入数据交易市场流通仍存在争议。笔者认为，一方面，企业将用户的人脸识别数据流通或共享，实际上是对人脸识别数据的二次使用行为，是为了获得人脸识别数据所蕴藏的市场商业价值，已经超出了企业为实现某种服务功能而收集用户的原始目的，违背了“最小必要”的个人人脸识别数据收集使用原则性标准。另一方面，目前的技术水平难以对个人的人脸识别数据进行有效的匿名化处理，一旦用户的人脸识别数据进入流通市场，就相当于将用户的个人敏感数据完全暴露在公众视野下，易对用户个人隐私造成侵犯。因此，应当原则上禁止共享和流通人脸识别数据行为。相关监管部门也应当严厉打击恶意泄露、流通用户人脸识别数据的违法行为，追究相关企业、个人等主体的法律责任。但与此同时，也应当坚持以用户授权为人脸识别数据共享和流通的例外情形。如美国《2020年国家生物识别信息隐私法案》中虽然明确规定禁止企业出售交易用户的人脸识别数据，但也设定了用户授权的例外情形29。我国《信息安全技术人脸识别数据安全要求》（征求意见稿）中第6.4节第1款也明确了“数据控制者不应公开披露人脸识别数据，原则上不应共享、转让人脸识别数据”的禁止原则以及“因业务需要，确需共享、转让的应按照GB/T CCCCC《个人信息安全影响评估指南》开展安全评估，并单独告知数据主体共享或转让的目的、接收方身份、接收方数据安全能力、数据类别、可能产生的影响等相关信息，并征得数据主体的书面授权”的例外情形。可见，若数据主体可以接受人脸识别数据进入共享流通可能带来的泄露风险，数据主体也可以作出书面同意授权企业共享和流通其个人的人脸识别数据。正如数据主体有权拒绝“刷脸”，数据主体也应当有权“出售”自己的人脸识别数据，法律规则的设置应当是容忍和尊重不同风险偏好的人[2] 。当然，数据主体授权企业共享和转让自己的人脸识别数据，并不等同于数据主体就放弃了其人脸识别数据所涵盖的隐私和财产权利。换言之，即使企业已经获得了用户关于共享和转让其人脸识别数据的书面授权，如果在流通过程中发生了数据泄露或数据滥用的问题，数据主体仍然可以通过相关的权利救济途径来追究企业的数据保护责任，维护自己的合法权益。

坚持“合法、正当、必要”的人脸识别数据收集原则以及“原则禁止，法定例外”的人脸识别数据流通原则，分别从数据源头和数据流向规制企业对于用户的人脸识别数据使用行为，既能促使企业合理使用人脸识别数据以获得经济效益的同时，也有利于遏制买卖人脸识别数据的不法行为，保障人脸识别数据的数据安全。

结   语

与其他个人数据相比，人脸识别数据拥有更为敏感的特性。这使得现有的法律规范不足以提供充分的救济和保护，由此所带来的人脸识别数据安全问题亦应当受到重视。一方面，应当界定人脸识别数据的具体概念，并结合“人脸”和“数据”的特点，认识人脸识别数据所蕴含的人格利益和财产价值。另一方面，在具体分析目前所存在的个人隐私泄露、数据责任主体不明、数据滥用等现实问题的基础上，结合现有的个人数据保护相关的法律规定，提出构建用户的数据自主控制机制、落实企业的安全保障责任以及细化人脸识别数據的合理使用规则等相应法律保护措施。对人脸识别数据设计特殊法律保护规范的根本目的在于通过寻求更合理的数据利用方式，以求达到个人隐私保护和数据合理利用二者的平衡。最终在数据保护和数据利用相辅相成的基础上促进技术更新与社会变革。

參考文献：

[1] 林凌，贺小石.人脸识别的法律规制路径[J].法学杂志，2020，41（7）：68⁃75.

[2] 邢会强.人脸识别的法律规制[J].比较法研究，2020（5）：51⁃63.

[3] 劳东燕.个人数据的刑法保护模式[J].比较法研究，2020（5）：35⁃50.

[4] 王映辉.人脸识别：原理、方法与技术[M]. 北京：科学出版社，2010：62⁃145.

[5] 赵精武.《民法典》视野下人脸识别信息的权益归属与保护路径[J].北京航空航天大学学报（社会科学版），2020，33（5）：21⁃29.

[6] [美]马斯洛.动机与人格[M].许金声，程朝翔，译.北京：华夏出版社，1987：31⁃32.

[7] 王利明.人格权法[M].北京：中国人民大学出版社，2009：107.

[8] 王玉林，高富平.大数据的财产属性研究[J].图书与情报，2016（1）：29⁃43.

[9] 刘双阳，李川.衍生数据的财产属性及其刑法保护路径[J].学术论坛，2020，43（3）：39⁃47.

[10] [英]加文·肯尼迪.亚当·斯密[M].北京：华夏出版社，，2009：150.

[11] 宁宣凤，吴涵，李沅珊，等.人脸识别信息的内涵与合规难题[C]//上海市法学会.《上海法学研究》集刊：金杜律师事务所、金杜研究院文集.上海：上海法学会，2020：85⁃91.

[12] 郭思雨. 基于匿名化技术的人脸图像隐私保护方法研究[D].北京：北京交通大学，2018.

[13] 刘金瑞.个人信息与权利配置：个人信息自决权的反思和出路[M].北京：法律出版社，2017：177.

[14] 潘林青.面部特征信息法律保护的技术诱因、理论基础及其规范构造[J].西北民族大学学报（哲学社会科学版），2020（6）：75⁃85.

[15] 熊秉元.最小防范成本原则[J].读书，2015（9）：145⁃153.

[16] 李庆峰.人脸识别技术的法律规制：价值、主体与抓手[J].人民论坛，2020（11）：108⁃109.

Face Recognition Data Protection Dilemma and Its Legal Response

Liu Junping  Yang Zhiqing

（School of Law， Xiangtan University， Xiangtan， Hunan 411105， China）

Abstract： At present， the commercial application areas of face recognition technology continues to expand and develop， and the face recognition data of citizens are widely collected and exploited by commercial companies. Face recognition data not only covers the personality interests of "face"， but also reflects the property value of "data". It is a kind of special personal sensitive data， which needs special protection of law. Therefore， we should focus on privacy leakage， unclear responsibility， data abuse and other practical problems， and improve the legal protection system from the perspective of personal rights， corporate responsibility and government supervision in order to ensure the safety and rational use of face recognition data.

Key words： face recognition data; legal attribute; data security; legal protection