重在前端治理：人臉數據保護立法展望

劉為軍

近年來，中國將以人臉識別技術為代表的高新技術應用于社會治理，取得了顯著成效，但技術進步及由此帶來的人的行為變化，也引發與既有法律政策體系的一系列碰撞。

人臉信息是以電子形式記錄的，與已識別或者可識別的自然人有關的信息，屬于個人信息保護法規定的個人信息。個人信息保護法關于個人信息處理原則、規則、權利與義務的規定同樣適用于人臉信息的保護。

不僅如此，人臉數據是人臉信息載體，特殊主體的人臉數據或者達到一定規模的人臉數據的篡改、破壞、泄露或者非法獲取、非法利用，完全有可能對國家安全、公共利益或者個人、組織合法權益造成危害，有可能被解釋為重要數據，得到數據安全法的特殊保護。

總體而言，中國近期立法及政策導向，以及學者們對人臉識別規制的研究，新興技術規制問題引發的實踐與理論的雙重關注，已經就多元規制思路達成共識，并且在法律規制、行政監管、行業自律等層面形成了較為全面的治理體系。

但是，無論是個人信息保護法、數據安全法，還是其他法律，在人臉信息和人臉數據的保護領域主要扮演的是基礎性法律角色，普遍存在可操作性不強的窘境。

當前數據治理走向復雜、多元、動態的復雜科學管理范式，無論從國家安全、公共安全還是公民權利視角，都應根據對人臉識別技術應用治理現狀及風險的深刻觀察，在業已出臺的重要法律基礎上開展更細致的立法工作，科學設計并堅定執行符合產業發展和安全管理雙重需求的人臉識別技術應用立法規制路徑。

人臉識別應用治理：前端治理為要

人臉識別技術的應用，涉及包括人臉信息和人臉數據的采集、使用、存儲、傳輸、提供、刪除等在內的整個數據生命周期，因而對人臉識別技術濫用以及由此引發的安全風險的治理，需要在各個環節發力，縱向上通盤考慮整個應用鏈條進行全面治理，橫向上采取包括立法、執法、司法、行業、社會力量參與、宣傳教育等在內的立體化應對措施。

不過，就當前人臉識別技術應用的法律政策規制而言，包括刑法、民法典、網絡安全法、數據安全法、個人信息保護法、消費者權益保護法等在內法律政策規定多屬原則性規定，本質上屬于事后救濟模式，在人臉識別技術應用的縱向治理鏈條中處于末端，通常在發生涉人臉識別的民事、刑事、行政案件后才能啟動相關程序開展治理，雖有一定特殊預防和一般預防效果，但易造成執法司法資源的大量消耗，也很難消除海量人臉數據泄露和發生衍生風險的隱患。

側重對現實及潛在風險的前端治理，是網絡時代風險治理的發展趨勢。

例如，犯罪是最嚴重的社會風險之一，但現發案件和隱案數量龐大，犯罪發展的智能化以及網絡犯罪的跨區、跨國特征，都使有限執法資源難以追隨新型犯罪加速的步伐。最合理的應對，必然是要將犯罪治理前置到犯罪前端，采取綜合的技術與制度性預防策略，推動社會秩序的良性運轉，減輕執法壓力，減少犯罪損失，減少犯罪的發生，避免已發生犯罪的產業鏈條繼續延展，從重“打擊”轉向重“治理”，構建“以防為主、兼重打擊、生態治理”的應對體系。

同理，對人臉信息和人臉數據的保護亦應從人臉識別技術應用的源頭開始，從以民事賠償、行政處罰和刑事處罰為主導的事后救濟模式，轉向監管部門主動作為、積極介入的前端控制，并以立法或標準形式將個人信息保護法等法律規定的原則轉化為具有可操作性的規范，為監管部門提供介入的明確依據，提供符合一線執法特點的規范“產品”，實現人臉識別技術應用的有效源頭治理，從而阻斷針對該源頭獲取人臉信息和人臉數據的非法使用及泄露問題。

在責任分配層面，公安機關等政府職能部門對于公共秩序、公共場所視頻圖像信息系統、數據安全、網絡安全與網絡秩序等負有重要監管和保護職責，自然應擔負人臉識別技術應用前端治理的義務。

人臉識別專門立法：以增強可操作性為目標

網絡安全法、數據安全法和個人信息保護法已經就數據、個人信息的保護提供較為全面的原則和規則指引，民法典為相應民事侵權行為及救濟作出了較為完備的規定。

但是，人臉信息作為一種外露的生物特征，除了具有生物特征信息的普遍性特征，還具有其自身的特殊性，特別是其收集過程無需數據主體的配合即可完成，立法需要對由于人臉識別技術特殊性所帶來的現有法律框架難以妥善解決的問題進行回應。

例如：針對公共場所人臉信息的無感收集問題，如何確保個體的明知，并給予其是否接受人臉識別的選擇權？因為無感采集，個體往往難以知曉被侵權事實且維權成本極高，監管部門如何補位？針對信息集中帶來的風險問題，在加密存儲人臉數據的基礎上，是否應當通過物理或邏輯隔離的方式對人臉數據與其他數據包（包括其他個人信息）進行分別存儲？當前過于粗疏的立法顯然難以清晰回答這些問題。

因此，為便于公安機關等職能部門的提前介入，避免執法標準不一破壞法制統一性，仍有必要通過有更清晰明確指向的立法（特別是行政法規、部門規章和其他規范性文件），確保職能部門在執法過程中能夠充分利用其自身的優勢執法力量，開展技術應用可行性評估、安全評估等工作，對人臉信息、人臉數據的使用應用場景、影響效果等開展日常監測工作，感知技術應用帶來的網絡傳播趨勢、市場規則變化、網民行為等信息，預警技術應用可能產生的不規范、不公平、不公正等隱患。甚至在人臉識別技術應用設計及部署環節就積極介入，發現算法應用安全問題，研判算法應用產生的意識形態、社會公平、道德倫理等安全風險，并提出針對性應對措施。

民警指導居民“刷臉”認證個人身份。圖/新華

從操作層面來看，需要在上位法框架下，以行政法規或部門規章形式，就人臉識別技術應用有效治理作出規定，著力化解安全風險。對于人臉識別技術應用擔負較重職責的政府部門，也有必要在《個人信息保護法》等法律法規框架下，專門針對本部門出于履行法定職責需要而開展人臉識別技術應用設定實體和程序規則。

首先，要明確規定禁止開展人臉識別的場景。

應區分商業應用、行政執法和刑事執法等不同需求，分別設定禁用場景，包括建立應用場景的白名單和黑名單制度。需要注意的是，禁用場景往往是目的與程序相結合的綜合判定。例如，任何應用主體非為醫療目的并經識別對象同意，不得利用人臉識別技術分析其健康狀態;無合法依據不得在人臉識別同時利用人臉信息開展情緒、心理活動、宗教信仰等分析活動。即便可以給予最寬松規制環境的刑事執法，至少也要受到廣義刑事訴訟法有關偵查取證規定的制約，仍然存在絕對不可應用和不經法定程序不可應用人臉識別技術的領域。

其次，建立人臉識別技術應用備案和年度評估制度。

應當明確要求人臉識別技術應用者根據其業務內容向對應主管部門進行備案。如，在公共場所安裝攝像頭的人臉識別技術應用，應在本地公安機關備案。為了實現更好地監管，具備一定規模（以人臉數據處理量或營收規模等為基準）的人臉識別技術應用主體應接受定期安全評估，以應用主體向對應主管部門提交評估報告為基礎，主管部門視情決定是否開展現場檢查。

再次，設定主要應用場景的安全要求。

應當在數據安全法和個人信息保護法的強制性規定之下，以數據安全為核心，對人臉信息和人臉數據的處理作出明確規定，將這兩部法律的數據安全要求和個人信息保護要求落到實處。

例如，可以要求人臉數據的處理原則上應在本地（終端）完成，除非為了更大法益，不得通過公共網絡傳輸。在個人終端即可實現人臉識別目的的，人臉數據不得傳出該設備;人臉數據留存最小化，以滿足業務需求為上限，且需嚴格禁止人臉數據用于法律法規規定或經個人授權同意之外的其他目的;除非為履行法定職責開展進一步調查或者履行法定存證義務等目的，已采集或產生的人臉數據應在完成人臉識別功能后立即刪除;采用人臉識別技術的服務停止、數據存儲期限屆滿、個人撤回同意授權（包括積極撤回和消極撤回）時，應當及時刪除人臉數據;不能將人臉圖片的公開視為理所當然的人臉識別授權，使用這類人臉數據仍需遵循人臉識別技術應用的一般規則;人臉識別技術應用者原則上不能委托第三方處理人臉數據，確需委托的，必須事先采取安全措施，確認受托方的數據安全保障能力不低于委托方，并簽署相應協議和配套嚴格監管措施。

第四，加強對特殊主體的人臉信息保護。

針對未成年人，應給予嚴格保護，非為執法目的，不得對其應用人臉識別技術。針對黨和國家領導人，其人臉數據也應予以特殊保護，但由于其在新聞報道中的高曝光度，禁止單一的身份識別并無意義，保護目的主要在于防止人臉仿冒和利用人臉識別技術進行軌跡追蹤等。

第五，實行對人臉識別技術和人臉數據的國家保護。

在中國境內采集和產生的人臉數據，非經有權部門安全評估和同意，不能出境;人臉識別形成的算法模型，不僅因凝聚了個人信息和開發者、訓練者智慧而關聯知識產權，而且有可能成為敵對國家覬覦的關鍵技術，應當納入管制范疇，非經安全評估和主管部門批準，不得向境外輸出。

第六，鼓勵滿足一定數據采集條件的人臉識別技術研發。

人臉識別技術發展迅猛，但技術追求永無止境。技術是把雙刃劍，關鍵看誰在用、如何用和用于誰。對人臉識別技術應用的治理，不代表著不支持人臉識別技術的研發。對于出于研究目的的人臉數據和人臉信息應用，立法上應給予一定包容。

第七，明確監管措施。

為確保人臉數據安全，除了日常性檢查和評估外，給予約談、責令限期整改等權力外，還應賦予主管部門在發現人臉識別技術應用存在緊迫性重大風險時的應急處理權限。

公共場所視頻監控立法：不可低估的源頭規制路徑

前端采集設備和視頻圖像信息系統是人臉識別技術應用的最前端，以公共場所攝像頭和智能手機App為主的人臉信息和人臉數據采集，既包括人臉識別技術應用者的主動采集，也包括用戶上傳的被動采集（如用戶在社交網絡平臺分享的人臉圖像被平臺或第三方用于人臉識別）。做好前端準入和安全性評估，是有效解決人臉識別技術濫用和人臉數據泄露的重要舉措。有關手機App，工信部等部門曾發布專門規范進行治理，在該領域也制定了一些國家標準和行業標準，治理工作不斷取得進展。但是，有關公共場所視頻監控卻一直缺乏可提供明確指引的高位階立法。

公共場所視頻圖像信息系統（含硬件設備和軟件系統）一般而言屬于公共安全領域，且主要歸口公安機關管理。公安部于2016年發布過《公共安全視頻圖像信息系統管理條例（征求意見稿）》，但基于種種原因，該條例至今未獲頒行。公安機關對于自建公共安全視頻圖像信息系統有著較為嚴格的內部管理程序，但是對于其他部門、企業、小區甚至居民自建的監控設備缺乏事前監管手段。可以想見，如果該條例早獲通過，公共場所視頻監控及相應技術應用得以規范，有關地鐵人臉識別安檢分流、居民住宅樓電梯安裝人臉識別設備等爭議性問題或許不會成為輿論焦點。

相比于2016年，目前立法環境發生變化，對數據安全和個人信息保護的重視程度前所未有，針對網絡和數據領域的立法技術日趨成熟，人們對公共場所視頻監控的認識更為理性，宜盡快修改完善并完成立法程序，及早為公共場所采集視頻圖像信息及其處理提供明確執法依據。

專門針對公共場所視頻監控問題進行立法，應當清晰厘定公安機關對于全社會公共場所視頻圖像信息系統全流程運轉的管理職權，將公安機關及其他主體的公共場所視頻監控行為均納入規制范疇。明確規定可以和不可以安裝視頻圖像信息系統（包括人臉識別模塊）的具體場所;明確視頻圖像信息處理的基本原則、具體規則、流程和安全保障義務;確定相應罰則以此發揮公安機關執法資源優勢，提升公安機關服務能力，及時開展公共場所視頻圖像信息系統（包括人臉識別模塊）安裝、使用的可行性和安全性評估;實現執法靠前，確保公共場所視頻監控僅用于公共安全目的，最大限度避免公共場所視頻圖像信息系統非法處理人臉數據。

總之，人臉識別技術仍在飛速發展，算法精度不斷提升，產品和服務功能迭代迅速，安全風險也將呈現新樣態。盡管目前已經構建起了網絡安全、數據安全和個人信息保護的基本法律體系，但仍需要采取新的規制措施。

國家數據戰略資源安全與公民信息安全都要求，科技必須秉承“善意”的發展理念，只要監管部門積極作為，保持密切關注，緊跟技術發展的步伐，積極探索技術治理和法律政策治理的新路徑，就一定能夠實現對規制方式的及時和動態的調適，極大壓縮隱患轉化為現實風險的空間。

編輯：朱弢