論人臉識別技術應用的隱私安全風險與法律規(guī)制

涂 萌，譚詩悅

(重慶理工大學 重慶知識產(chǎn)權學院， 重慶 400054)

一、引言

2019年10月,郭兵與杭州野生動物世界有限公司服務合同糾紛一案引起了社會各界的高度關注，被稱為中國“人臉識別第一案”。一審法院經(jīng)審理后認定杭州野生動物園將合同履行期間的指紋入園方式更改為人臉識別系單方變更合同內(nèi)容的違約行為，判決其刪除包括原告照片在內(nèi)的面部特征信息并賠償郭某合同利益損失及交通費。由該案引發(fā)的人臉識別技術的隱私安全與法律規(guī)制問題成為社會討論的熱點話題。人臉識別技術是現(xiàn)階段應用最為廣泛的人工智能技術之一，但從隱私安全角度而言，人臉識別機制的基本技術屬性引發(fā)的法律風險將是該領域內(nèi)不可忽視的重大挑戰(zhàn)。

二、人臉識別技術的應用場景與隱私安全風險分析

人臉識別技術是基于人臉中的生物特征進行模式識別，在信息系統(tǒng)中將提取的面部特征信息與儲存的人臉數(shù)據(jù)集進行識別和匹配，進行個人身份核驗的技術，主要涉及模式識別與信息安全兩個部分[1]。其流程為：首先，對輸入的人臉圖像進行圖像預處理操作，消除光照、背景、姿態(tài)等干擾因素的影響；其次，在圖像預處理的基礎上進行人臉檢測，系統(tǒng)返回檢測的人臉矩形邊界的多個坐標值；然后，確定根據(jù)眼睛、耳朵、鼻子等器官以及嘴唇和面部輪廓構成的人臉特征點，并根據(jù)特征點提取個人面部的幾何特征；最后，將待識別的人臉圖像與已知的人臉數(shù)據(jù)庫進行對比，從而確定個人真實身份[2]。

綜上所述，人臉識別技術安全主要關注應用系統(tǒng)的安全；模式識別則主要根據(jù)人臉圖片信息提取的特征使用識別算法進行比對，其中涉及人臉數(shù)據(jù)集的使用。本文則主要對以上兩個部分中涉及隱私的個人信息安全風險進行分析。

(一)模式識別中的隱私安全

模式識別過程主要涉及人臉圖片信息收集(提取)、使用(比對)兩個階段。其易引發(fā)的隱私安全風險主要涉及面部信息的非法收集與面部信息的非法使用。

面部信息的非法收集是指未經(jīng)信息主體同意，通過擅自收集、交換、非法竊取等方式獲取他人面部識別信息。2020年4月，江蘇省宿遷市某健身中心被發(fā)現(xiàn)共收集和存儲了2萬多名會員用戶的個人信息，包含人臉信息和指紋等敏感個人信息[3]。該健身中心在未取得會員同意的情況下，收集人臉信息和指紋等敏感個人信息，亦未明確信息收集的目的、用途和處理方式，涉嫌侵犯用戶的隱私。人臉信息的非法使用是指未經(jīng)過信息主體同意，將人臉信息用于實施盜竊、詐騙等犯罪行為。例如，周某利用互聯(lián)網(wǎng)搜集桑某的電話號碼，并查詢桑某的支付寶賬戶信息。隨后，周某利用某視頻APP收集桑某的動態(tài)人臉圖像，多次使用人臉識別技術盜取桑某支付寶賬戶資金[4]。隨著人臉識別技術的持續(xù)發(fā)展以及應用場景的不斷擴張，人臉信息的非法使用案件頻發(fā)，如利用人臉照片盜竊豐巢快遞柜貨件、利用人臉照片制作3D圖像繞過支付寶人臉識別活體驗證等等。

(二)人臉識別技術應用引發(fā)的隱私安全風險

基于深度學習的人臉識別算法精準率已達到97%，已經(jīng)能夠解決光影、遮擋等影響因素問題。對此算法在最新的Labeled Faces in the Wild(標準人臉數(shù)據(jù)集)上的使用結果測試，顯示其能夠超過人類識別水平。基于深度學習的人臉識別算法不斷提高的準確性和易用性，它已經(jīng)能夠滿足身份認證、監(jiān)控、調(diào)查取證等不同應用場景的需要。對社會管理而言，人臉識別技術被廣泛應用于出入境檢查、刑事偵查、政府服務、人口管理，尤其是治安管理和交通運輸場所安檢等社會管理領域，在增強行政執(zhí)法能力、強化社區(qū)安全以及便捷公民生活等方面發(fā)揮重要作用。如，公安機關通過整合人臉識別技術與城市監(jiān)控系統(tǒng)，將目標人臉圖像與人臉數(shù)據(jù)庫進行比對，能迅速并準確識別目標人物進而將其抓捕。此外，人臉識別技術在商業(yè)經(jīng)營場所中的應用范圍也迅速拓展。商業(yè)主體通?；谔岣咝实哪繕耸褂萌四樧R別技術[5]，應用場景包含電子支付、物業(yè)安保、智能快遞以及交互軟件等。如，人臉支付以其便捷性、無接觸性被廣泛應用于無人超市，消費者只需要通過人臉識別和身份信息驗證即可完成支付。

人臉識別應用系統(tǒng)本質(zhì)上是一個信息系統(tǒng)，極易遭受惡意的攻擊。一方面，人臉圖像本身具有隱私性，可以被直接用來識別自然人身份。另一方面，通過算法分析，可以從人臉圖像中分析出年齡、性別、健康狀況等其他多種個人隱私。攻擊各種人臉識別應用系統(tǒng)的主要的目的是將面部信息用于實施非法經(jīng)營行為，并從中獲利。據(jù)相關媒體報道，有商家在淘寶、咸魚等電商交易平臺上，公開兜售人臉信息，比如手持身份證的人臉圖片僅需0.5元一張[6]。除售賣人臉數(shù)據(jù)外，一些商家還出售“照片活化”工具。商家只需輸入一張人臉圖片，即可將其修改為執(zhí)行“眨眼、張嘴、點頭”等操作的人臉驗證視頻。這些人臉信息如果被不法分子購買，并單獨或者與其他非法獲取的個人信息結合使用，將對信息主體的人身權以及財產(chǎn)權造成嚴重侵害。

三、我國人臉識別技術法律規(guī)制的現(xiàn)狀與問題剖析

(一)我國人臉識別技術應用法律規(guī)制現(xiàn)狀

1.我國人臉識別技術應用立法現(xiàn)狀考察

我國尚未對人臉識別技術進行立法規(guī)制，對個人信息保護的規(guī)定也散見于相關法律文件中。主要體現(xiàn)于：《民法典(人格權編)》《民法典(侵權責任編)》《刑法》《網(wǎng)絡安全法》等法律文件；《互聯(lián)網(wǎng)個人信息安全指南》《APP違法違規(guī)收集使用個人信息行為認定方法》等行業(yè)規(guī)范性文件；《個人信息安全規(guī)范》(以下簡稱《規(guī)范》)等推薦性國家標準。如《網(wǎng)絡安全法》第41條規(guī)定了網(wǎng)絡運營者使用個人信息的合法、正當、必要的基本原則?！睹穹ǖ洹返?034條從私法層面明確了對個人信息保護的規(guī)則，并在第990條第2款規(guī)定，自然人享有基于個人自由和人格尊嚴的其他個人權益。因此，基于個人自由和尊嚴，自然人的個人信息權可以歸屬于自然人的其他個人權利和利益[7]。《刑法》第253條之一的侵犯公民個人信息罪，對個人信息予以嚴格的公法保護。但是，只有《規(guī)范》對生物識別信息作出較為全面的規(guī)定?！兑?guī)范》根據(jù)敏感程度將個人信息分為一般個人信息和敏感個人信息，并詳細規(guī)定了敏感個人信息在收集過程中的同意原則、使用和共享過程中的最小夠用原則，以及授權原則，并制定了安全事故的處置程序，但尚未專門規(guī)定收集、存儲、使用及共享人臉信息等環(huán)節(jié)的條款，且僅為推薦性國家標準，沒有強制效力。

除此之外，我國另有針對生物特征識別信息的專門規(guī)范文件，包括《人類遺傳資源管理條例》《人類遺傳資源管理暫行辦法》《涉及人的生物醫(yī)學研究倫理審查辦法》等?！度祟愡z傳資源管理條例》第12條第1款規(guī)定：“采集我國人類遺傳資源，應當事先告知人類遺傳資源提供者采集目的、采集用途、對健康可能產(chǎn)生的影響、個人隱私保護措施及其享有的自愿參與和隨時無條件退出的權利，征得人類遺傳資源提供者的書面同意。”雖然該規(guī)定符合個人信息收集的一般法律的要求，但是并未針對公民個人生物識別信息的敏感度和隱私性進行特殊的保護[8]。

(二)中國人臉識別技術法律規(guī)制存在的問題剖析

1.未明確界定人臉信息的法律屬性

人臉信息相比一般個人信息具有更突出的人格利益特征。我國實施的《民法典》并未就人臉信息等生物識別信息的法律保護作出專門規(guī)定，僅在第1034條規(guī)定“個人信息中的私密信息，同時適用于隱私權保護的相關規(guī)定”。由此可見，我國可能將人臉信息納入隱私權的保護范圍。然而，人臉信息體現(xiàn)公民的人格尊嚴和自由價值，隱私權強調(diào)私人生活不受他人干預，兩者展現(xiàn)不同的價值取向，難以在同一平面進行比較和規(guī)制[9]。此外，《規(guī)范》基于信息類型化保護個人信息，但其劃分標準存在沖突?！兑?guī)范》將人臉信息歸類于敏感個人信息，同時又將其納入個人信息的范疇。而后，在信息應用的環(huán)節(jié)均采用敏感性作為劃分標準，容易引發(fā)標準適用的爭議[10]。

2.對人臉識別技術應用場景未加以合理限制

在人臉識別技術發(fā)展的同時，未對其應用場景加以合理限制，導致人臉識別技術存在被濫用的風險。2019年8月，瑞典Anderstrops的高校應用人臉識別技術統(tǒng)計學生課堂出勤率，被瑞典數(shù)據(jù)監(jiān)管機構(DPA)認定違反GDPR的規(guī)定，罰款20萬瑞典克朗(約人民幣14.8萬元)。瑞典數(shù)據(jù)監(jiān)管機構認為：首先，人臉識別技術嚴重侵擾了學生的隱私權，學?？梢允褂们趾π愿〉姆绞娇记冢黄浯?，鑒于學校和學生之間的不平等關系，信息主體“同意”并不能等同于法律原則上的“自愿”，因此學校與家長之間達成的協(xié)議不能有效支撐學校使用人臉識別技術[11]。此案引發(fā)對人臉識別技術應用場景過度擴張的深入思考，學校、醫(yī)院這類機構是否有必要應用人臉識別技術值得進一步深思。

3.缺乏對人臉識別技術濫用行為法律責任的規(guī)定

在舉證責任層面，我國民事訴訟通常適用“誰主張誰舉證”的原則，即由信息主體承擔信息處理者的侵權行為以及實質(zhì)損害結果的舉證責任。然而，信息主體一般對人臉信息侵權并不知情，即便知情也難以充分證明因信息處理者的違法處理行為而導致實質(zhì)損害后果[12]。同時，信息主體一般只能獲知侵權損害結果，難以證明人臉信息泄漏的源頭和傳播的途徑，亦難以確認侵權主體的身份[12]。以2016年谷歌遭遇的集體訴訟案件為例，法官最終以原告無法證明谷歌公司的行為對其造成“具體損害”，而駁回原告的起訴。由此可見，信息主體舉證難度大，舉證責任分配規(guī)則有待完善。

在公法層面，《刑法》第253條之一的侵犯公民個人信息罪對侵犯公民個人信息的行為規(guī)定了相應的刑事責任，但該條僅針對非法盜竊、提供以及出售個人信息等行為進行刑事處罰，并未涉及非法獲取個人信息行為。同時，最高人民法院與最高人民檢察院制定的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》亦未明確生物識別信息的分類和入罪條件。如果將生物識別信息納入其他信息的范圍中，那么就需要達到5 000條及以上才能構成犯罪，因而難以進行有效保護。人臉信息等生物識別信息是否應當納入個人信息當中的健康生理信息，應當給予進一步明確。

四、我國人臉識別技術應用法律規(guī)制的完善建議

(一)完善人臉識別技術應用法律規(guī)制相關立法

1.賦予個人信息權利并界定敏感個人信息

基于不同的社會背景和立法考量，歐美立法模式呈現(xiàn)各自的特點。美國沒有從聯(lián)邦層面對人臉識別進行統(tǒng)一的立法規(guī)制，而是采取各州專項立法保護模式，制定與人臉識別相關的法案。伊利諾伊州于2008年率先頒布《生物特征信息隱私法》(Illinois Biometric Information Privacy Act，簡稱BIPA)，是美國生物識別信息專門立法模式的典型代表。然而，美國使用隱私權對人臉信息進行保護，面臨的主要困境是人臉信息侵權和隱私侵權的巨大差異。基于人臉信息侵權結果通常不是十分顯性，以及信息主體面臨諸多取證難題，民事權利訴訟救濟的實現(xiàn)可能性并不十分充分[13]。然而，歐盟的綜合立法較為成熟，區(qū)分了隱私權與個人數(shù)據(jù)權利，并通過憲法文件對個人數(shù)據(jù)權利進行獨立確權。在Michael Schwarz v.Stadt Bochum案件的司法審判過程中，歐盟法院(CJEU)認為生物識別信息應當視為公民憲法上的權利，需得到法律的特別保護(1)參見 European Court of Justice, Michael Schwarz v Stadt Bochum (Case C-291/12).2013.。因此，我國可以借鑒歐盟立法經(jīng)驗，明確個人信息具有獨立的法律地位。在民法上，將個人數(shù)據(jù)權定義為新型權利有助于厘清人臉信息的法律屬性，構建侵權損害的認定標準[9]，從而得到更加全面的保護。

其次，歐美國家早已根據(jù)敏感程度對個人信息進行分級保護。其中，敏感個人信息往往承載了更高的人格屬性，需要法律的特別保護[14]。我國《規(guī)范》雖然詳細規(guī)定了生物識別信息屬于敏感個人信息，但其分類標準存在缺陷，而且不具有強制效力。有鑒于此，我國個人信息保護立法應當明確個人信息的分類分級制度，將人臉信息等生物識別信息納入敏感個人信息規(guī)制范圍，并予以特殊的法律保護。

2.明確信息主體的權利和數(shù)據(jù)處理者的義務與責任

在權利內(nèi)容設定方面，人臉信息主體應當享有一般性權利和特殊性權利。數(shù)據(jù)主體的一般性權利包括知情權、訪問權、被遺忘權、更正權等。此外，人臉信息作為敏感類個人信息，其數(shù)據(jù)主體還應該享有“書面授權同意”“合理拒絕權”“選擇使用權”等特殊性權利[8]。在責任方面，歐盟GDPR以禁止處理個人數(shù)據(jù)為原則，將“禁止處理”“明示同意”“法定必需”作為人臉信息等敏感類個人信息保護的特定原則,需要限制數(shù)據(jù)處理者的資格，對國家機關和非國家機關的個人信息收集加以規(guī)范[15]。此外，為保障人臉數(shù)據(jù)安全以及數(shù)據(jù)主體利益最大化，應當明確數(shù)據(jù)處理者必須合法合規(guī)處理收集的人臉數(shù)據(jù)，接受法定監(jiān)管機構的監(jiān)督和檢查，并采取適當?shù)陌踩Ｕ洗胧?/p>

3.明確限定人臉識別技術的應用場景

任何技術的發(fā)展和應用都應有一定邊界。我國《民法典》第1035條第1款規(guī)定“收集、處理自然人個人信息的，應當遵循合法、正當、必要原則”。因此，我國對人臉信息應用場景可以從合法、正當、必要三個層面進行限制[16]。首先，滿足合法性。在社會公共管理應用場景下，公權力機關必須合法合理使用人臉識別技術，充分發(fā)揮其在刑事偵查、政務管理以及維護社會秩序中的重要作用，并不得逾越法律規(guī)定的適用范圍。在商業(yè)經(jīng)營應用場景下，任何私營主體不得違反法律法規(guī)，并充分考量人臉識別應用帶來的價值和效益能否抵消人臉信息泄漏或者濫用造成的損失和代價[17]。其次，滿足必要原則。必要原則能夠促使信息處理者使用侵害性更小的方式處理個人信息，有效保障信息主體權利不被過度侵犯。最后，需要滿足正當原則。人臉識別技術不能被盲目和無限制地使用，如果人臉識別技術的應用可能導致公民權利被非法侵害，則應當被嚴格禁止使用。

(二)優(yōu)化人臉識別技術應用的司法救濟

1.民事法律保護救濟途徑

民事法律保護制度可以從舉證責任、確定損害賠償?shù)倪m用條件以及完善集體訴訟3個層面對人臉識別技術進行規(guī)制。

第一，確定侵權的過錯推定和舉證責任倒置規(guī)則[12]。通常情況下，由于證據(jù)距離的原因以及技術性強的特點，信息主體對加害人的主觀過錯以及損害后果與侵權人的加害行為之間的因果關系往往難以證明，這對權利主體提起民事?lián)p害賠償之訴造成極大阻礙。有鑒于此，我國可以考慮適用“過錯推定”和“舉證責任倒置”原則，即信息處理者必須在證明自己無過錯的情況下，才免除責任。

第二，確定損害賠償?shù)倪m用條件。傳統(tǒng)損害賠償責任的認定需要以受害人的直接或間接損失為前提。而在Rosenbach v.Six Flags Entertainment Corp一案中，伊利諾伊州最高法院推翻上訴法院的裁決，認為只要在本案中被告的行為侵犯原告根據(jù)BIPA規(guī)定所享有的公民權利，即使沒有對原告造成不利影響或者實質(zhì)侵害后果，原告也可以根據(jù)該法案的規(guī)定向被告尋求損害賠償和禁令救濟(2)參見 Rosenbach v. Six Flags Entertainment Corp. 2017 IL App(2d)170317,No. 2-17-0317.。因此，即使信息主體在遭受侵害但沒有造成實質(zhì)損害的情況下，仍舊可以通過提起民事?lián)p害賠償之訴并主張精神損害賠償?shù)姆绞絹肀Ｕ献约旱臋嗬?/p>

第三，完善集體訴訟制度。美國BIPA和歐盟GDPR均規(guī)定被侵權信息主體可以提起私人訴訟并獲得損害賠償?shù)臋嗬?，表明法律對個體權利保障的重視。然而，人臉信息通常呈集體性泄漏或者被濫用[18]，信息處理者可能同時侵害多個信息主體的權益。因此，在司法實踐中，除了受害人可以提起集體訴訟之外，公益團體以及人民檢察院應當有權代表受害人提起公益訴訟，這有助于對人臉識別技術的使用行為形成有效約束。

2.刑事法律保護救濟途徑

刑事法律保護機制是對日益泛濫的侵犯人臉信息行為必不可少的法律預防和制裁措施。我國《刑法修正案(九)》第253條之一的侵犯公民個人信息罪規(guī)定禁止非法出售、盜取或者提供公民個人信息，并規(guī)定情節(jié)嚴重的處以3年以下有期徒刑，情節(jié)特別嚴重的處以3年以上7年以下有期徒刑。最高人民法院、最高人民檢察院司法解釋文件《關于辦理個人信息刑事案件適用法律若干問題的解釋》規(guī)定行蹤和財產(chǎn)類信息、通信和健康生理類信息以及其他信息的入罪條件分別是50條、500條和5 000條及以上。但是《刑法》和司法解釋均未明確人臉信息的性質(zhì)以及侵犯人臉信息行為的入罪條件。如果將人臉信息確定為其他類信息，即入罪條件在5 000條及以上，難以體現(xiàn)人臉信息對公民個人的重要性，亦難以明確其法律地位。因此，可以將生物識別信息納入健康生理信息范疇，明確人臉信息等生物識別信息的入罪條件為500條及以上，從公法上加以嚴格保護。

(三)強化人臉識別技術應用的行政監(jiān)管

1.建立統(tǒng)一監(jiān)管主體

我國對個人信息的保護尚未設置統(tǒng)一的監(jiān)管機構來管理，針對不同的信息處理問題是由不同的執(zhí)法機關管理的，比如，網(wǎng)信息辦監(jiān)管網(wǎng)上信息泄漏問題，公安機關監(jiān)管非法盜竊信息問題[2]。目前，網(wǎng)信辦和國家信息中心負責統(tǒng)籌網(wǎng)絡安全和信息化建設工作以及監(jiān)督管理互聯(lián)網(wǎng)信息內(nèi)容等，但在法律層面上，不具有專門數(shù)據(jù)監(jiān)管機構的地位、性質(zhì)、職能和權限。歐盟GDPR和美國各州的生物識別信息隱私保護法案，普遍規(guī)定設置數(shù)據(jù)監(jiān)管機構，并明確其名稱、職能、權限和責任。借鑒歐美立法經(jīng)驗，我國行政立法層面應當設置國家數(shù)據(jù)監(jiān)管機構并設置地方專門行政部門，保障人臉識別技術的合法合規(guī)應用與持續(xù)發(fā)展。

2.明確監(jiān)管職責和權限

數(shù)據(jù)監(jiān)管機構應當規(guī)定各類信息處理者在使用人臉識別技術時，要將合法、公平、透明、目的限制、必需以及侵入性最小等原則作為基本要求，審查并評估信息處理者應用人臉識別技術的客觀要件以及必要性，從而保障信息處理者合法合規(guī)使用人臉識別技術。此外，數(shù)據(jù)監(jiān)管機構一般對信息處理者的各類數(shù)據(jù)處理行為具有法定的審查權、許可權、調(diào)查權、通知權、指示權和命令權等；接受信息主體向數(shù)據(jù)監(jiān)管機構提出的行政控訴；接受信息主體對信息處理者的投訴并處理投訴等法定義務。

3.加大行政處罰力度

加強對人臉識別技術的行政監(jiān)管力度，有利于技術的持續(xù)發(fā)展。域外立法對企業(yè)實施較為嚴重的行政處罰，相比之下，我國采取行政約談和整改的方式規(guī)制人臉識別技術的應用，缺乏實質(zhì)性的行政監(jiān)管處罰。例如，伊利諾伊州BIPA明確闡述私營主體在疏忽違法的情況下，需要承擔不低于1 000美元或者賠償實際損失的法律責任；歐盟GDPR設置嚴格的行政處罰，對違反GDRP非法處理個人信息的企業(yè)采取的懲罰性賠償為1 000萬歐元或者企業(yè)年度全球營業(yè)額的2%的罰款(以數(shù)額較大者為準)；針對情節(jié)嚴重的可以處以2 000萬歐元或者企業(yè)年度全球營業(yè)額的4%的罰款。歐盟加大企業(yè)數(shù)據(jù)合規(guī)監(jiān)管力度，促使企業(yè)合法合理應用人臉識別技術。因此，我國可以借鑒歐盟的立法經(jīng)驗，立足自身國情，在保障人臉識別技術健康發(fā)展的前提下，進一步增強對人臉識別技術應用的行政監(jiān)管。

(四)提升人臉識別技術應用的行業(yè)自律

1.強化企業(yè)數(shù)據(jù)保護責任

企業(yè)在收集和存儲人臉信息時，應當確保用戶信息安全。首先，企業(yè)應當構建安全問責機制。具體而言，企業(yè)需要建立健全審計機制，定期對人臉信息進行審計以及培訓數(shù)據(jù)處理人員，并聘請專業(yè)隱私機構對企業(yè)人臉數(shù)據(jù)的存儲和應用進行審查和評估。其次，數(shù)字化產(chǎn)業(yè)中的企業(yè)，收集的用戶個人信息可能同時包含一般個人信息和敏感個人信息。在多級個人信息保護場景中，應當符合法律對最高級別信息收集、處理與應用的要求[9]。比如手持身份證的面部拍照，鑒于對人臉信息的保護要求，企業(yè)應當采取敏感個人信息保護的相關規(guī)定對此類信息進行收集和處理。

2.明確企業(yè)使用數(shù)據(jù)規(guī)則

企業(yè)在使用和共享人臉信息時，應當著重加強人臉信息應用過程的規(guī)范管理。企業(yè)應用人臉識別技術首先應當滿足合法、正當、必要等法律原則。其次，在多元義務主體對人臉信息的應用中，普遍存在第三方經(jīng)營者參與數(shù)據(jù)處理的情形，從而增加了人臉信息被非法傳播與利用的風險。為降低個人敏感信息被濫用的風險，我國應當將第三方經(jīng)營者納入風險評估機制中，防止其逃脫責任[19]。此外，數(shù)據(jù)控制者必須保證第三方機構達到國家信息安全認證標準并具有一定的安全保障能力，能夠及時維護人臉信息的安全存儲和處理，如此才可以向第三方機構共享和轉(zhuǎn)讓人臉信息[15]。如果數(shù)據(jù)控制者明知或者應知第三方機構存在數(shù)據(jù)安全風險仍向該機構共享人臉信息的，將承擔連帶法律責任。