原文刊于《蘭州學刊》2025年第二期（P126-147）。

人臉數據非應然性擴散危機的控源型法律應對

? ??

我國人臉數據廣泛擴散的問題在人工智能革命及數據要素市場高速發展的加持下，已升級為初現端倪的、與市民社會及國家生活皆緊密融合的鏈式社會危機。盡管以聯合國安理會為代表的國際社會及中國早在2023年就已明確了對人工智能及數據風險的積極防控態度，且我國現行法律法規已經建立起了以“公共安全需要”或“數據主體授權同意”為要件的人臉數據采集、利用條件，以“網信部門、國家安全機關、公安機關、各經濟行業行政主管部門”為主體的行政監管與救濟組織框架，以“人員素養、技術手段、面向數據主體的透明度、定期自我風險評估報告、對既有數據庫的管理”為主要內容的內部風險控制要求，以“私益訴訟和公益訴訟”并存的司法救濟手段，以“民事責任、行政責任、刑事責任”為人臉數據侵權行為法律后果的周延責任體系等，但實踐中，各社會活動動輒便要求采集人臉數據的情況仍然比比皆是。曾幾何時，在大眾認知中，人臉識別技術是僅于影視作品中可見的、用于保護國家重要人員的非常規技術，而如今，其在民商事及教育領域應用的頻率和范圍仿佛已經將公眾麻木到認為“生物特征數據被采集是一件司空見慣的小事”。現實中，圍繞人臉數據發生的各類案件在不斷地印證著“調整法律規制途徑、轉換風險防控成本主要承擔者”的必要性和緊迫性。（表1）

表1 人臉數據濫采、濫用的后果實例

從上表可知，人臉數據廣泛擴散所導致的不利后果已經覆蓋了人臉識別技術在民商事及教育領域的應用全域——從用途各異的身份認證、商品服務增值噱頭到經濟行業信用基礎，再到借助強人工智能技術的全網數據比對、公民個人數據庫建設與交易、“聲音+圖形及視頻”的深度融合等。此外，當人臉數據與人工智能技術結合之后，數據對人的“取代”途徑就從欺騙計算機技術擴展到了直接欺騙人類感官的、具備中國傳媒大學媒體融合與傳播國家重點實驗室發布的《中國虛擬數字人影響力指數報告（2022）》中“數字模因”的數字人，這加劇了“數字人的物格”與“自然人的人格”之間的倫理沖突。伴隨著應用范圍的不斷擴大和與人工智能技術的結合，人臉數據擴散的危害對象從公民的特定財產蔓延至人身安全，再到社會生活與工作環境、社會經濟各行業的運轉基礎等，最后直至整個國家運行的身份與信用保障。舉輕以明重：2021年，以大眾出行數據為主的“滴滴出行”App因違規收集和使用用戶信息而被網信部門、國家安全部門、公安部門等七部門聯合叫停、追責，與之相較，我國公民人臉數據廣泛擴散所造成的危害的嚴重性更不言而喻。

現行規范難以有效抑制不斷加重的人臉數據擴散危機的原因包括：立法宏觀框架的缺漏與部分條款的不足，利益法學視角中商業資本在逐利動因下對人臉數據產品的不斷推廣，司法實務對現行法的理解不到位，觀念認知上仍未祛魅“技術中立”理念，社會實踐中內部制度與組織準備的不足，信息技術相關糾紛中被侵權人個人的弱勢地位等。其中，立法宏觀框架的缺漏體現為以下兩個方面。

首先，在人工智能治理端，我國至今沒有頒布《人工智能法》或其草案，立法之路漫長、艱難。現有的《生成式人工智能服務管理暫行辦法》只是宣示了規制人工智能的宏觀態度，其中的“信息生產者責任”和“信息處理者責任”語焉不詳，在精細化程度上達不到指導具體實務操作的標準。而人工智能技術和相關產業不但能夠快速、廣泛、深度地收集、處理各式人臉圖像，更使得普通公民也可以通過開放下載的人工智能軟件實施針對人臉圖像的各類數據行為，此外，已經上市銷售、不斷升級的人工智能芯片及個人電腦還會進一步降低人工智能技術的使用門檻。總之，缺乏對人工智能技術的嚴格規范，無法實現對人臉數據擴散現狀的遏制。

其次，在數據治理端，《中華人民共和國數據安全法》主要表明的是國家應該建立保護數據的分級組織體系，《中華人民共和國網絡安全法》主要針對的是網絡不文明行為，它們皆非直接評價數據的生產、加工、流通等行為，難以適用于對人臉數據危機的司法遏制；《個人信息保護法》《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》《網絡數據安全管理條例》等盡管可以作為打擊濫采、濫用人臉數據行為的制度依據，但除人臉數據的跨國境轉移外，各行政監管機關只是于事后被動地審查人臉數據處理者提交的自我風險評估及備案材料，被動地接受被侵權人的投訴。這使得實務仍處于“各主體可以率先輕易地濫采、濫用人臉數據—人臉數據侵權事件頻發—被侵權人承擔尋求司法或行政救濟的成本—法院或行政機關于事后被動處理侵權個案”的運行鏈條中。同時，由于人臉數據往往是在格式合同、隸屬地位、壟斷環境等不平等狀態下被采集的，此時，數據主體若以一己之力反抗人臉數據的采集，實則是在勢單力薄地反抗由外力安排的生活和工作環境，因此被侵權者通常無法負擔維權成本及后果。鑒于此，法律應當提供新型的、能夠主動嵌入的人臉數據風險治理途徑，避免將控制風險的主要成本轉嫁給被侵權人。

總之，盡管人臉識別技術在人工智能時代的戰略意義及各類研發機構的貢獻不容忽視，但“發展技術”與“規范技術”是一體兩面的共存關系——缺乏對技術的制約就必然出現技術的濫用，且人臉識別技術的“精尖程度”與“應用范圍”是兩個不同的問題。在“規范技術”與“應用范圍”的層面，鑒于我國及國際社會相關現狀，應反思：于民商事及教育領域廣泛采集、利用人臉數據的做法，是否會給我國公民及社會帶來背離技術開發初衷及良性利用結果的、嚴重的安全威脅。下文將從導致現行規范失能的諸多癥結中逐一切入，并相應地提供具有操作性的、控源型人臉數據法律保護路徑的具體構建方案。

法律糾紛的根源是利益沖突，并非空洞的自然法理論下各權利概念間的沖突。而在沖突之中保護哪一方的利益則決定了該法律的立場，也決定了該法律從人民根本利益的角度被評價為“惡”，還是為“善”。在民商事及教育領域，我國廣泛運用人臉識別技術的現狀并非源自解決社會問題的迫切需要，而是經濟行業在營利目的誘導下競爭市場優勢地位的結果。不論是人臉識別技術于1964年在美國的初次公開，還是我國科學院自主研發的人臉識別技術在2008年北京奧運會中的“里程碑”式應用，均未導致該技術在民商事及教育領域的廣泛擴散，也未引發法學界對人臉識別技術伴生風險的關注。直至互聯網企業爭先推出“刷臉支付”業務，一條圍繞人臉識別技術的產業鏈條在商業資本的加注下迅速形成，人臉識別技術相關商品開始被大量推銷、售賣、應用到民商事及教育領域的諸多場景。2013年，芬蘭公司Uniqul于全球首次推出“刷臉支付”業務，其以“快速便捷支付”為宣傳點，聯合PayPal公司及Square公司吸引消費者使用其支付業務；2015年，阿里巴巴集團控股有限公司在德國漢諾威博覽會上首次公開支付寶“刷臉支付”業務的研發雛形，后于2017年聯合肯德基（KFC）餐廳在國內正式試點；2019年，我國銀聯及各銀行、騰訊微信接踵發布各自的“刷臉支付”業務。至此，人臉識別技術行業不但催生出上海商湯智能科技有限公司、云從科技集團股份有限公司、上海依圖網絡科技有限公司等頭部企業（表2），且其再也不是具備高技術壁壘的壟斷性產品，而成為小微科技企業亦能開發的常見技術。不僅如此，相關企業并不滿足于移動支付市場的利潤，不斷向社會生活的其他領域擴張——包括居民小區門禁、學校內部管理、企業內部管理、交通、物流、智能家居、酒店住宿等眾多場景，娛樂換裝、金融、社交、網絡直播與視頻、網上購物等各類軟件，皆在不同環節設置了人臉識別程序。眾多不同性質的組織對我國公民人臉數據的大范圍、高精度、高頻率的采集，就形成了海量人臉數據實際已廣泛擴散的事實，而我們對該事實的認知程度和法律討論，還并不包括黑市和暗網上非法利用人臉數據等更加難以調查且惡劣的情況。

表2 頭部企業早期推廣人臉識別技術產品大事記

在人臉識別技術于商業主導下完成了被廣泛應用的自身發展過程之后，外部主體關注相關法律風險的規范性文件、行業報告及學術研究成果才開始出現。2019年，工業和信息化部通過了《關于促進網絡安全產業發展的指導意見（征求意見稿）》，首次從國家層面追認了人臉識別技術可被商用；2020年，隸屬于中國國家標準化管理委員會、工業和信息化部的全國信息技術標準化技術委員會、生物特征識別分技術委員會，首次發布了《人臉識別行業研究報告》；2021年，南都人工智能倫理課題組公開了嗣后被學界廣泛引用的《人臉識別應用場景合規報告》。此外，據知網數據的量化分析結果，直接以“人臉識別技術法律風險”為對象的研究成果最早于2019年發表，而后該論題才逐步成為學術熱點（圖1）。

圖1 “人臉識別技術法律風險”研究成果發文量

據《人臉識別行業研究報告（2020）》，商業資本對我國人臉識別產品的投入是在2017至2018年間達到峰值，我國人臉識別企業的業務亦早在2018年就占據了全球人臉識別市場近一半的份額。且不論是政府、學界還是公眾等對“人臉識別技術法律風險”這一問題的關注，還是上文提及的“中國人臉識別第一案”“中國人臉識別民事公益訴訟第一案”等，皆產生于2017年商業資本利用人臉數據建立營利產業鏈之后。它們不僅印證了人臉數據已在民商事及教育領域廣泛擴散的事實，亦證明了該狀況是由商業資本主導的結果。

盡管我國人臉識別技術研發水準早已處于世界領先地位——頭部科技公司的人臉識別算法準確率在2014年就達到了98.52%，超過了Fackbook公司；在2016年就刷新了行人識別領域的世界紀錄；在2022年就力克日本東芝、韓國三星等各國科技公司，獲得了全球權威人臉識別算法測試（NIST-FRVT）的冠軍，識別精度達到百萬分之一……但正如前文所述，技術的“精尖程度”與“應用范圍”是兩個不同的問題。在技術的先進程度已經飽和式地滿足了必要用途時，應著重反思的是：在民商事及教育領域，是否應當如此普遍地應用人臉識別技術，放任人臉數據的廣泛擴散？對此可從以下四個方面回答。

（一）與現行法相悖的人臉數據采集現狀

《個人信息保護法》第二十六條明確表示：除被采集人親自同意以外，只能出于維護公共安全的目的應用個人身份識別設備，且該目的與手段間的聯系還應達到“必需”的程度。此外，據該法第27至29條，個人數據可被分為“已公開數據、未公開數據、對個人權益有重大影響的數據、敏感數據”4類，而人臉數據屬于其中“對個人權益有重大影響的、敏感數據”，即除法律明確授權的特定國家機關外，其余主體必須經公民本人同意才能采集其人臉數據。

就“公共安全維護目的”這一要件而言，首先，眾多采集人臉數據的行為明顯不符合此目的，應當被果斷禁止。這些目的包括：為了學生課堂監測、企業員工考勤，或為了在軟件中換裝、社交，或為了提升便捷程度而在自動販賣機、智能家居產品、軟件上設置的刷臉支付、刷臉登錄等。其次，“公共安全維護目的”本身是一個只能被法律授權機構解釋的、對應適用標準的概念。不能因為某一組織的客戶為不特定多數人，或管理的場所具有一定的公共性，或管理的人數為多數等，就將其采取的所有管理措施認定為符合公共安全維護目的。因為作為具有社會屬性的任一公民，無論自愿與否，時時刻刻皆處于某一組織的管理體系之下，就連經營小商鋪的個體工商戶也可以面向社會聘用職工，并承擔著在其經營場所內維護公共秩序的義務。倘若將“公共安全維護目的”的概念解釋權放由任一組織享有，將導致包括人臉數據在內的自然人的人格利益被組織的管理需求和營利需求無限吞噬。企業、學校和未被法律賦予公共安全監管職能的政府部門等無權將“公共安全維護目的”用作自己開展違法活動的借口。最后，絕大部分使用人臉識別技術的行為并非維護公共安全所“必需”，因為“必需”二字在邏輯關系上意味著“不得不”——倘若不利用人臉數據則必然導致公共安全遭遇現實、緊迫的威脅；相反，利用人臉數據“將有利于”公共安全，或將“更加”有利于公共安全，或公共安全面臨的威脅“達不到現實、緊迫的程度”等情況，皆不能被定義為“必需”。正如前文所述，人臉識別技術的廣泛應用是由商業資本在市場營利目的下主導的，而不是因為我國民商事或教育領域遇到了“只有”通過普遍地采集人臉數據“才能”解決的問題。

就“同意”這一要件而言，重點是判斷被采集人是否有實質上的“意思自由”，而非以“被采集人是否口頭同意或簽字、是否反抗”等為依據。首先，在學校、企業等機構利用自己的強勢地位采集學生、員工等的人臉數據的情況下，被采集人在此垂直關系中屬于被管理的地位，對機構具有人身依附性，不具備與機構磋商的地位。被采集人若想繼續上學或者工作等，就不得不接受機構的安排。因此，他們在形式上的表態不能作為判斷其是否同意采集人臉數據的依據。其次，企業在經營當中往往通過格式合同與消費者訂立人臉數據采集條款，且由于人臉識別技術在我國民商事領域的濫用，形成了同類企業在人臉數據采集行為上的一致性——壟斷現象，消費者沒有可替代的選擇。最后，諸如居民小區、交通、特定活動門禁或人流量監控等擅自在某一區域采集人臉數據的行為，完全剝奪了被采集人表達反對意見的空間，被采集人甚至對自己的人臉數據已被監控攝像頭采集的事實毫不知情。上述基于強勢地位、格式合同、區域監控等實施的人臉數據采集，皆剝奪了被采集人的意思自由，不符合《個人信息保護法》中的“同意”要件。

但遺憾的是，在各類組織為方便內部管理而利用人臉數據，違反現行法律構建的“維護公共安全所必需”和“授權”這兩項封閉式前提條件，并成為當前人臉數據非法擴散重災區的情況下，《人臉識別技術應用安全管理規定（試行）》（征求意見稿）第8條竟然明確規定“組織機構為實施內部管理”可以使用人臉識別技術。這一與現行法精神相悖的條款應從該部門規章中刪除，不得準予實施。

（二）“技術中立”理念無法為人臉數據的擴散提供正當性依據

伴隨著計算機和信息技術的出現與發展，技術中立理論以《技術與文明》（Technics and Civilization），《技術社會》（The Technological Society）等作品為代表誕生于20世紀中葉，具有以下三重含義：第一，其核心要義是從技術哲學的角度認為技術本身不具有價值、立場傾向，僅是人類所利用的屬于純粹客觀世界的工具，至于其最終被具體地用來行善還是行惡則完全取決于使用之人的主觀意愿。第二，從核心含義延伸，在立法層面推論出：應當平等、不歧視地對待任何技術，不對特定技術施加限制性條款，從而盡可能地支持技術的自由發展與更替；同時，政府監管機構雖然可以為市場主體設定監管目標，但不能干涉市場主體為達到監管目標而選擇任一技術的自由。第三，在司法層面推論出：責任是中立的，即技術使用者所造成的危害不能被歸責于技術提供者，技術提供者可將“技術中立”作為抗辯理由以對抗被侵權人面向自己的責任追究請求，除非技術提供者主動參與實施侵權行為。將“技術中立”作為抗辯理由的司法實踐首次出現于1984年美國聯邦最高法院審結的“環球影業公司訴美國索尼公司”（Universal City Studios， Inc vs. Sony Corporation of America）一案中，該抗辯理由最終獲得了法院的支持。

盡管法律界對技術中立理念耳熟能詳，但該理念的邏輯卻存在著重大局限。首先，任一技術都是按設計者的意愿所創造之物，它的預設功能、運行程序、使用場景、風險分配方式、應用結果等皆受到設計者的主觀限制，因此任一技術絕非純粹客觀經驗的集合，而是天然地承載著設計者的價值或立場偏好。其次，由于科研工作者必然會受到其所處的政治環境、工作環境、個人價值觀或特定目的的影響，因此，科研工作并非完全中立地尋找自然界或人類社會運行的客觀規律，而是存在立場的。法國哲學家奧古斯特·孔德（Isidore Marie Auguste Francois Xavier Comte）和德國社會學家馬克斯·韋伯（Maximilian Karl Emil Weber）在“實證主義”和“價值中立”理念中僅表達了希望科研工作者盡量客觀地發掘規律的“期許”，并非認為科研工作者群體是絕對中立的，相反，該期許表明兩位先驅清醒地認識到科研工作者的“應然中立”與“實然非中立”間的區別；20世紀初，由美國哲學家威廉·詹姆斯（William James）和約翰·杜威（John Dewey）提出的“實用主義”理念進一步指出了科研工作必然為特定社會或個人目的服務的事實。再次，以何種方式使用技術、技術對社會的影響如何，要受到它所處時代的社會經濟基礎與文化的影響。相同的技術在不同時代中的角色定位、應用價值是有區別的。同時，技術也會反過來改變不同時代的人的生活方式、價值觀和社會結構，甚至是一種社會控制形式。就連上述在其經典作品《技術與文明》中較早提出技術中立理念的劉易斯·芒福德（Lewis Mumford）本人也在該書中正面承認了技術的社會屬性，但可惜的是，對于技術自由發展的偏執推崇和圍繞技術形成的利益鏈條卻似乎總是選擇性地引用劉易斯·芒福德對于技術中立理念的闡述，而忽視了他對于技術中立理念的社會制約性和技術風險的提示。最后，社會實踐已經明確表態，并非所有技術皆無善惡之分，不能不加區分地放任所有技術自由發展。例如，醫學領域的換腦手術、人與動物混合胚胎實驗，軍事領域的生化武器技術，AI相關的腦機互聯技術等，它們本身就是極具倫理爭議的、存在較大安全風險的、應被嚴格控制甚至被禁止開發的技術。聯合國《全球數字契約》中對控制數字風險的明確倡議、國際社會《禁止生物武器公約》中對生物武器技術的禁止、各國醫學倫理委員會對醫學實驗的審查監督權等無不印證著：“技術中立”理念是有局限性的，與之相較，“技術是具有社會屬性的非中立人造品”才更符合事實，故，應對不同技術進行區分性規制，以引導技術向善。

就人臉數據而言，它作為與自然人具有對應性的生物特征信息，固有人格倫理利益，而“技術中立”理念無法粉飾直接以人臉數據為利用對象的技術對自然人的侵略性。任何利用人臉數據的行為皆不能否定人臉數據與人格倫理利益間的聯系，都必須在“特定行為目的”與“對人格倫理利益的保護”之間進行衡量、取舍，兩者之間總有一方會在特定行為中遭受相對更大的損害。尤其是在“人臉數據已經于眾多場景中被用作個人身份認證，數據易被復制、篡改、擴散，且人工智能軟件的使用門檻極低”的現狀下，濫用人臉數據的行為不僅會侵害自然人的人身和財產安全，也會威脅到以人臉識別技術為安全保障的各行業、社會及國家的運行基礎。鑒于此，“技術中立”理念無法為人臉數據的廣泛擴散提供正當性支撐。

（三）人臉數據安全保障的組織準備不足

《信息安全技術 數據安全能力成熟度模型》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國網絡安全法》等規范性文件為保障數據安全，皆對接觸數據的機構及就職人員提出了一系列的監管要求，全面覆蓋了數據采集、傳輸、存儲、處理、交換、銷毀等環節。其中，機構的義務包括：向行政監管部門主動匯報，接受第三方或上級監管機構的年度安全評估，定期進行內部風險評估，建立完善的內部安全管理制度、安全技術措施、數據安全事故應急預案、操作留痕追責制度，暢通社會監督途徑等；就職人員的義務包括，接受個人安全背景審查，具備一定的技能專業水準，簽訂保密協議等。

但就實務中使用人臉識別技術、接觸人臉數據的機構和就職人員而言，數據安全保障義務的履行情況呈現的總體特征為：除專門研發數據產品的企業，和便于工業和信息化部、市場監督管理局、消費者協會調查的線上App外，其余場景中的人臉數據安全保障措施漏洞百出甚至幾近于無。其中，企業在內外部工作、學校在內部管理、居民小區在門禁等環節對人臉識別技術的應用更是人臉數據安全保障不達標的“重災區”——人臉數據可于采集設備、傳輸設備、服務器、計算機等中被輕易讀取，缺少嚴密的數據銷毀制度、數據獲取權限分級制度、數據操作留痕制度等。這使得人臉數據既可以被負責門禁或考勤的一線工作人員——保安、公寓管理人員、計算機一般維護人員、機構保密部門一般人員等輕易獲取，也因機構內部的上下級間缺乏必要的獨立性而可以被他們的上級領導等輕易獲取。各就職人員的安全背景調查、專業技能培訓等在控制人力成本的首要目標下亦流于形式。總之，實務中大部分涉及人臉數據的機構和人員達不到規范性文件要求的安全保障標準。

（四）世界各發達國家普遍限制人臉數據的利用

不論是人臉識別技術，還是以“刷臉支付”為代表的人臉數據商業模式皆源起于西方，但早在2018年就于全球人臉識別市場業務中占據絕對優勢地位的則是中國。世界各發達國家并非缺乏達到應用水準的人臉識別技術，也并非沒有試圖通過人臉數據產業牟利的商業資本，而是人臉數據產業的發展被某些外在因素限制了。該因素包含兩點：一是法律法規嚴格限制人臉數據的采集和使用，二是各類主體通過合法途徑自發地抵制人臉數據的濫采、濫用。（表3）

該表格體現出以下規律：第一，除特定的國家安全案件和刑事犯罪案件以外，“嚴格限制或完全禁止采集、利用人臉數據的行為”是國際社會的共識。第二，在各個國家之內，抵制采集、利用人臉數據的主體包括了立法機關、司法機關、行政機關、企業、公民等，濫采、濫用人臉數據的行為是社會各階層的公敵。第三，被勒令禁止的曾廣泛采集人臉數據的主體主要為行政機關和企業，采集的目的為“管理需求”或“營利”。第四，世界各國的抵制浪潮從2018年起愈發激烈——涉及抵制活動的數量、程度、范圍、權威性等，這與前文中商業資本的活動時間線相匹配，進一步驗證了“人臉數據的擴散主要是由商業資本主導”這一結論。世界各發達國家在禁止廣泛采集人臉數據的情況下，社會的安全和秩序并沒有因此而陷入困境。例如居民及學生公寓等場所僅借助門禁卡就實現了對出入秩序的有效管理。即便是在風險更高、更隱蔽的金融及衍生品領域，它們亦在傳統安全保障手段（手機短信、電子郵件、居住地址驗證及設備綁定等）下運行得井井有條。以上事實無不表明：當代社會實無廣泛采集人臉數據的需要，卻有禁止商業資本主導的濫采、濫用人臉數據行為的必要。

表3 世界各發達國家對人臉數據應用的限制

“控源”具有兩層含義：第一，就立法而言，法律法規應深入地與各類人臉數據行為相對接，具體地規制人臉數據的采集、儲存、傳輸、銷毀等環節，從而實現法律與科技在技術實操層面的嵌合，在根本上減少人臉數據非法擴散的情況。第二，就司法而言，不僅應根據有限的現行法實現個案正義，更需要在調整數據宏觀秩序的層面，由淺入深地實現司法類案治理、溯源治理和社會治理的功能。據此，為保護人臉數據權而構建的控源型法律路徑包含以下五個方面的內容。

（一）規制人臉數據的立法方向選擇

立法對各類數據的規制方向選擇有兩種。其一，法律專門設立“數據權”這一獨立的權利類型，將其賦予涉及數據來源、采集、處理、生成、使用、流通等環節的不同主體，并把該數據權細分為“控制權、經營權、處分權等”權能。“數據權”的概念由勞倫斯·萊斯格（Lawrence Lessig）于1999年首次提出，我國學者王利明等是支持單設數據權的代表。該立法路徑的優勢在于：各權利人可根據不同的權能內容和主觀需求實現對數據權益的精準保護，并通過“授權許可”或“禁止聲明”提前控制數據、預防其他主體侵權。然而，該理念也存在著下列弊端：首先，數據的產生、收集、儲存、處理、生成、流通等諸多環節并非處于單向的線性靜態，而是處于可以循環往復或者隨機組合的不規則動態，其中牽涉的主體眾多、無法預計。此時，若精細化地將數據權賦予所有相關主體，則會導致在同一數據上的權利主體過多，各權利主體之間相互掣肘，授權許可流程冗繁受阻，最終形成“權利泛化”［65］現象。其次，數據所攜帶的信息量和價值在使用、流通、再創造的過程中會不斷增加，且數據市場的運行基礎亦是數據的流通性，而上述“權利泛化”現象會使得各權利主體更傾向于使用在客觀上抑制數據流通性的權利保護方法——非經權利主體提前授權，其他主體不得對數據進行任何處置。這既在較大程度上否定了數據的公共性——其他主體在未經提前授權下合理接觸數據的可能，又損害了數據創新的積極性，壓縮了數據的增值空間，破壞了數據市場的存在基礎。再次，數據在被復制、共享、讀取等后并不會損壞原數據，因此數據財產權利人之間在“權利的排他性”這一層面的利益沖突及對立并不如傳統財產權人之間嚴重。

其二，在立法上不單獨新設“數據權”這一權利類型或相關權能內容，而是在不同場景下將數據視為知識產權、物權、隱私權、經營權等的客體，以分別適用《著作權法》《民法典》《個人信息保護法》《反壟斷法》《反不正當競爭法》等。此立法路徑的優勢如下：首先，它僅通過對現行法部分條款的增改就實現了對數據權益的保護，暫時規避了難度極高的數據權專門立法（國內的數據私權專門立法目前處于缺位狀態，國際歷史上曾相對成體系的歐盟《數據庫保護指令》以失敗告終），可以直接為司法裁判提供依據。其次，在該立法路徑下，對數據的利用并非由初始的數據權益享有者完全控權即便數據權益享有者沒有提前授權其他主體，其他主體也可以依據或類推適用《著作權法》第24條、第25條等規定的“合理使用”“法定許可”制度而徑直利用特定數據。該平衡“數據控權與數據流通之公共秩序”的理念不僅有利于數據價值本身的增加和體現，也有利于利用數據的各主體和數據市場的發展。

從《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》的導言及各具體條款來看，它們皆根據各部門法（《民法典》《中華人民共和國網絡安全法》《消費者權益保護法》《電子商務法》）判斷原被告的實體權關系，因此我國目前采用的是第二種立法路徑。也正是由于未單獨設立數據權，我國當前對數據私權的保護力度不及采用數據權立法路徑的歐盟國家及英國，也不及雖同樣未單設數據權，但在隱私法領域立法較為嚴密、能夠通過判例不斷更新隱私保護標準的美國。對此，王利明等學者明確指出，數據權益與不正當競爭行為、市場競爭秩序、知識產權、個人信息權等之間存在著區別，因此數據法律關系不能作為《反不正當競爭》《著作權法》《個人信息保護法》等的客體，鑒于此，應在未來單獨設立數據權。

（二）否定人臉數據的市場流通性

濫用人臉數據的行為隱匿于蓬勃發展的數據交易市場中，并以數字社會的大環境為自身非法性的掩飾。從《“十四五”數字經濟發展規劃》到《中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見》《數字中國建設整體布局規劃》，從上海、深圳數據交易所揭牌到國家數據局成立，再到各地算力中心的接踵建成等——我國已將數據交易市場視為社會發展的重要組成部分。

導致人臉數據擴散的癥結是以營利為目的的商業資本，因此，必須回答“人臉數據在我國數據交易市場中應處于怎樣的地位”這一問題，才能在全國市場制度與生產力端揭露：利益導向的人臉數據濫采、濫用行為的本質是“不應被市場規范所承認的違法交易”。即國家在建設數據市場和發展“新質生產力”時，并未批準將人臉數據這一事關人身、社會與國家安全的敏感數據交由市場自由處置。

《中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見》第3條將數據分為公共數據、企業數據、個人數據三類。其中的企業數據又可被細分為企業公開數據、企業秘密數據和企業知識產權數據。不同數據的流通性、公共性各有不同。就公共數據以及企業公開數據而言，國內外司法實務對于其流通性的裁判尺度是不一致的。作為《中國數據交易市場研究分析報告（2023）》承認的全球最大數據交易市場所在國，美國對上述數據的裁判尺度經歷了從“嚴格控權”到“流通性優先”的轉變。彰顯這一轉變的相應判例分別是德克薩斯州北區法院于2004年審理的“Southwest Airlines公司訴Farechase公司”案、《聯邦補充案例》于2013年收錄的“Craigslist公司訴3Taps公司”案以及《聯邦判例》于2019年收錄的由美國第九巡回上訴法庭審結的“hiQ Labs公司訴LinkedIn公司”案。歐盟《通用數據保護條例》亦將“數據自由流通”列為立法目的。但對“是否合法”與“是否需要付費”的認定是兩個不同的問題——只有當數據行為被判違法時，才能推論出侵權方須向數據權益享有者付費的結論，而當未經許可的數據行為合法時，數據行為方是否需向數據權益享有者付費就是一個需要再獨立認定的問題。與之相較，國內司法實務對數據流通性的裁判是矛盾的。以“北京微夢創科網絡技術有限公司訴云智聯網絡科技（北京）有限公司”案、《2023年人民法院反壟斷和反不正當競爭典型案例》收錄的“北京字節跳動科技有限公司訴北京創銳文化傳媒有限公司”案為例，部分法院堅持其他主體必須在獲得授權許可的情況下才能收集、利用數據，否則即為違法。而“上海漢濤信息咨詢有限公司訴北京百度網訊科技有限公司、上海杰圖軟件技術有限公司”案則允許被告在未獲授權許可的情況下收集、利用原告的數據。上海知識產權法院在裁判理由中認為：并非所有源自原告的數據都應由原告享有數據權益，相反，許多數據依信息公開政策應為屬于公共領域的、可被任何主體徑直免費利用的數據。

對于個人數據、企業秘密數據、企業知識產權數據而言，它們通常須經授權許可才能被權利人之外的其他主體利用，但亦有例外情況，例如：企業知識產權數據要受到合理使用與法定許可制度的約束；國家安全機關、公安機關為打擊犯罪可在特定案件中采集、利用相關數據；司法執行機關可按執行依據對特定數據進行執行等。就對人臉數據等個人數據的限制而言，國際上在“授權許可”這一條件之外有著更高的要求。縱觀英國《數據保護法》第二條、第三十五條至四十二條之規定，對個人數據的保護有以下六項原則，以規制執法機關：第一，任何對個人數據的處理都必須合法且公平，其中，對于非敏感個人數據而言，達到“合法”標準的條件是“被采集人的授權許可”或“執行特定任務所必須”，但對于包括人臉數據等在內的敏感數據而言，達到“合法”程度的額外條件是“特定層級以上的政策文件的特批”。第二，收集個人數據的目的必須是明確的、特定的，而不能是籠統的。第三，處理數據的方式不能超過目的的涵攝范圍。第四，被收集的個人數據不能存在明顯差錯或過度老舊的情況，任何逾越特定執法目的的個人數據須被及時刪除，確保既有的個人數據不會被傳輸給與特定執法目的無關的其他主體。第五，不論特定執法目的是否已經達到，任何個人數據都有保存時間限制，且還須定期審查是否需要繼續保存現有的個人數據或作出縮短保存時間的決定。第六，任何個人數據都必須在技術、組織、制度等層面設置安全保護措施。歐盟《通用數據保護條例》第五條與英國《中華人民共和國數據保護法》設置了相似的原則；其第六條規定，對個人數據的處理必須與收集數據的“初始”目的相一致；第七條規定，被采集人有權隨時撤回其授權；第十七條規定，被采集人有權要求數據的控制者在多種情形下刪除其個人數據；第十八條規定，被采集人有權限制控制者對數據的處理；第二十一條至二十二條規定，被采集人有權反對個人數據被用于包括網絡、計算機、機器在內的可自動化處理數據的技術系統等。我國保護數據的相關法律法規雖尚未如此精細，但對于人臉數據在內的個人數據流通性的限制亦有大致規定。《中華人民共和國網絡安全法》第四十一條規定，只能收集與提供的服務相關的個人數據；第四十二條規定，網絡運營者不得向他人提供自己掌握的個人數據；第四十四條規定，任何主體不得向他人非法出售或非法提供個人數據。《數據安全法》第三十二條要求對數據的收集、利用必須符合法律法規的目的和授權范圍。《中華人民共和國個人信息保護法》第二十八條、三十二條要求收集人臉數據等在內的敏感數據時必須具有特定的目的和充分的必要性，且獲得相關的行政許可。

總之，國內外的法律法規皆對人臉數據這類敏感數據在合法性、利用目的、利用方式、保存期限、傳輸限制、撤回權限、政策許可等方面有諸多規定，人臉數據在傳輸特點上體現的是數據來源主體與收集者間一對一的閉環，它無法如其他數據般在不同主體間實現查閱、傳輸、買賣、處理等的自由。因此，“人臉數據不具備市場流通性”是國內外現行法的共識。

（三）重構人臉數據授權許可的認定標準

“知情—同意”原則是國內外共同承認的利用人臉數據的首要原則，各國對相應制度的設計互有差異。歐盟《通用數據保護條例》對“知情—同意”的標準設定得十分嚴格，它要求：主體間基于合意而采集、利用人臉數據的行為必須在符合該條例的前提下進行；公民被采集人臉數據之前應被明確告知數據的采集方式、目的、用途、保留期限等；公民“同意”的意思表示必須是在自愿的基礎上作出的；公民用書面方式簽訂的同意條款必須與數據授權合同中的其他條款明顯區分開來；對數據的采集必須在最小必要原則下進行；數據控制者對“知情—同意”的事實承擔全部舉證責任，公民不承擔任何舉證責任；公民可隨時撤回自己的同意等。我國對“知情—同意”的認定則相對寬松，相關條款集中于《個人信息保護法》《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》《中華人民共和國網絡安全法》，散見于《中華人民共和國數據安全法》《民法典》《刑法》等法律法規中。盡管我國的法律法規同樣規定了“與特定目的相關、取得公民的明確同意、告知數據處理的方式和范圍等”限定條件，但并沒有如國外對人臉數據流通性的規制般將該限制延伸到人臉數據可能流轉的全流程里，且數據控制方關于人臉數據的約定是籠統、不全面的，這就難以形成一對一、封閉式的數據流轉閉環。

不僅如此，我國較為寬松的認定標準所帶來的問題還會因以下社會因素被放大。首先，在垂直的人身關系中，被采集人以書面、口頭等方式表達的同意往往并非真實的意思表示。其所處的人身依附地位使得被采集人在前提條件方面就天然地失去了意思自由的基礎，這以學校及企業低成本、高風險地分別將學生和職工的人臉數據應用于門禁、考試、考勤等為典型例證。其次，由于規制不嚴所導致的部分行業普遍使用人臉識別技術的現狀，已經形成了迫使消費者必須提供人臉數據才能購買該行業服務的捆綁銷售、壟斷環境，這以支付寶、微信、銀行、度小滿等提供支付、借貸等業務的金融行業為代表，且市場上缺少不需要人臉數據的金融競品。再次，即使在法律上預設平等的關系之間，被采集人迫于對維權成本和后果的擔憂亦難以反抗人臉數據的濫采、濫用。例如，在居民小區利用人臉識別設備作為門禁時，盡管住戶和物業之間是基于物業服務委托合同而建立的平等契約關系，但是某一住戶對人臉數據權的維護可能會導致家庭生活在各方面遭到物業團隊的惡意針對、其他用戶的故意排斥。最后，在某一活動場域內使用人臉識別技術時，進入該場域的被采集人有時對自己的人臉數據已被采集的事實并不知情，或者沒有表達是否同意的途徑。例如，在某一旅游景點、體育場館內，管理者利用遍布各處的監控攝像頭直接采集任何經過的主體的人臉數據，以實現對行人身份、人流量、行人位置、旅游或觀賽偏好等的分析。此時，進入旅游景點或體育場館的行人雖然可以預見到自己處于攝像頭的監控下，但很難預見到自己的人臉數據被采集并利用。即使行人能看到在場域內張貼的關于人臉數據采集的告示，但其往往過于簡短且行人沒有向管理者表達同意與否的空間。該告示在法律之外創設了一種“默認授權模式”：只要張貼了告示，且行人沒有明確將反對意見傳達給管理者，那么管理者就默認行人已經同意，這實際上是管理者自己向自己授予人臉數據的采集、利用權。再者，即便行人向管理者當場作出了反對的意思表示，管理者基本不會理睬，行人只有“離開”或者“全盤接受”這兩種選項，沒有磋商的余地。

改善我國過于寬松的人臉數據授權許可規則的路徑是：建立“以禁止采集、利用人臉數據為原則，允許人臉數據處理為例外的、主動控權型制度”。該制度借鑒歐盟《通用數據保護條例》、英國《數據保護法》，同時考慮到《人臉識別技術應用安全管理規定（試行）》（征求意見稿）之規定，應于現行法的基礎上修改或增加以下內容：第一，在對人臉數據采集及利用行為的合法性上實施“法無規定即禁止”——凡是法律沒有明確授權之處即視為禁止處理人臉數據，只有在法律明確授權的范圍才能處理人臉數據。第二，將《人臉識別技術應用安全管理規定（試行）》（征求意見稿）第七條至第十四條以“封閉式列舉為主、概括式為輔”這一確認人臉數據可得利用范圍的方式作為相關法律的主要立法技術；明確相關行政主管部門依照上位規范制定更加細致的準予利用人臉數據范圍的目錄的責任，例如，國家互聯網信息辦公室等部門聯合印發的《常見類型移動互聯網應用程序必要個人信息范圍規定》從保護消費者信息、限制捆綁銷售的角度，詳細地列舉了多類App收集的必要個人信息的范圍，并在第四條規定“App不得因為用戶不同意提供非必要個人信息，而拒絕用戶使用其基本功能服務”。第三，所有對人臉數據的許可必須是兩主體間一對一的特別授權，而不能在主體、內容等方面采取概括授權形式。對概括授權形式的否定，也意味著否定了《個人信息保護法》第二十二條——“只要接收方不變更原先的處理目的、處理方式，就不需要重新取得個人的同意”，相應理由會在下文中對《個人信息保護法》第二十二條的評述部分集中展現。第四，凡是在被采集人處于弱勢地位（垂直關系）或維權成本過高的情形下，被采集人與數據采集者、控制者之間的契約不能構成合法認定的充分條件，與之相較，實質意思自由才是契約合法、有效的條件。第五，任何情況下不得以默示或近似默示的方式建構授權許可。第六，任何國家機關、其他公共機構利用人臉數據的行為不僅需有法律的支撐，且必須得到權威級別足夠高的、簽發人明確的行政或司法授權文件；該授權文件不能是概括授權，而只能在每一次的數據采集需求發生時進行具體授權。第七，出于科研、教學等目的使用人臉數據的，不能類推適用“合理使用”之規定，而必須征得被采集人的同意。第八，授權條款、涉及被采集人權利與義務的條款必須與其他條款明確區分開，不得作為其他條款的一部分，或如《人臉識別技術應用安全管理規定（試行）》（征求意見稿）第九條之規定，不得作為實現其他目的的捆綁式、附加性條款。

（四）完善人臉數據的監管組織體系和數據庫標準

對已被采集的人臉數據的安全保障不能完全交由行業標準或企業標準等自我監督機制，而須由法律搭建監管組織的框架，及在一定程度上明確對既有數據庫的管理要求。

1.人臉數據監管組織體系的完善

在人臉數據的監管組織建設方面，我國目前適用的“地方網信部門備案制”難以為人臉數據提供應有的保護。其存在的問題如下：首先，工業和信息化部頒發的《工業和信息化領域數據安全管理辦法（試行）》第十二條、國家互聯網信息辦公室發布的《數據安全管理辦法（征求意見稿）》第十五條只要求控制者、處理者將數據的目錄或使用數據的目的、規模、方式等向地方網信部門備案，并未要求各主體在采集、使用人臉數據之前取得地方網信部門的行政許可。這實際默許了各主體可以根據自己的需要先直接采集和處理人臉數據，而后再向地方網信部門備案。即便地方網信部門嗣后否定該數據行為，也難以挽回可復制、易轉移的人臉數據已非法擴散的后果。其次，上述規定只賦予了地方網信部門對備案材料進行形式審查的權力，而沒有賦予其實質審查權，這使得地方網信部門易受虛假備案材料的蒙蔽。再次，沒有規定地方網信部門的法律責任，易導致地方網信部門對備案材料的監督流于表面，即在地方網信部門不對備案資料提出異議、該人臉數據行為又實際違法的情況下，沒有規定地方網信部門應該向被侵權人承擔怎樣的責任。

鑒于此，應對我國的“地方網信部門備案制”作出以下改善：第一，既然《個人信息保護法》《中華人民共和國網絡安全法》《信息安全技術 網絡數據分類分級要求》《工業和信息化領域數據安全管理辦法（試行）》等規范皆在“數據分級分類”思路下強調對人臉數據的區別對待、特別保護，那么就應采用“審批制度”：（1）要求相關主體在特定的人臉數據采集、處理等活動之前獲得地方網信部門的批準，而非延續當下的事后備案制度；（2）將人臉數據等凡是以生物特征信息為直接利用對象的相關行業納入特許經營范圍，而非如當前般仍將門檻非常低的“注冊”作為行業準入條件。此外，也只有事前審批制度才能與前文“改善我國過于寬松的人臉數據授權標準”中的對策——“由法律法規明列人臉數據的準許利用范圍”相協調。但遺憾的是，《人臉識別技術應用安全管理規定（試行）》（征求意見稿）在特定人臉數據處理活動的相關規定上并沒有實現從備案制到審批制的突破。

第二，應向被采集人公示作出行政許可的地方網信部門，且該部門應當承擔持續監督數據控制者和處理者、受理人臉數據侵權糾紛、提供行政救濟渠道的職責。當然，這一職責與公安機關、市場監督管理部門等對人臉數據糾紛的行政管轄權是并存關系。此外，被侵權人有權對怠于提供行政救濟的地方網信部門提起行政訴訟。

第三，借鑒歐盟《通用數據保護條例》第三十七條至第三十九條之規定，從三個方面增加我國《網絡數據安全管理條例》《信息安全技術 網絡數據處理安全要求》《工業和信息化領域數據安全管理辦法（試行）》等設定的數據控制組織內部安全責任人的權力和獨立性，這包括：由數據安全責任人負責受理公眾的數據維權或權利行使要求，并向地方網信部門備案數據安全責任人的個人身份信息，避免數據安全責任人因數據的轉移而無法被追蹤；數據安全責任人在組織內部只向最高職級的管理者負責，在組織外部直接與地方網信部門、公安機關、市場監督管理部門等進行工作對接，包括但不限于《網絡數據安全管理條例》第三十條、第三十三條規定的單獨報告權、定期風險評估權；數據安全責任人須監督人臉數據的銷毀，其責任原則上不隨企業并購、重組、破產等組織形式的變化而變化，但經地方網信部門批準及記錄，將職責明確轉交由其他數據安全責任人承擔的除外。

2.人臉數據庫法律規制的完善

在對人臉數據庫的法律規制方面，基于對歐盟《通過數據保護條例》、英國《數據保護法》與我國《個人信息保護法》《工業和信息化領域數據安全管理辦法（試行）》《網絡數據安全管理條例》《人臉識別技術應用安全管理規定（試行）》（征求意見稿）等規范之比較，應作出以下改善：第一，雖然我國現行規范著重強調了須在處理人臉數據“之前”將處理方式、目的、保存期限等告知數據主體，并向數據主體提供查閱、復制該數據的途徑，但實際上，能夠威懾并遏制數據侵權行為，或在糾紛發生后證明數據侵權行為存在的關鍵是人臉數據被采集“之后”的“數據處理記錄”，因此，應當增加規定——數據控制者有義務向數據主體提供查詢、復制數據處理記錄的途徑，須定期向數據主體發送數據處理記錄，并對該記錄的全面性、時效性、準確性負責。此舉措，不僅可以及時地固定證據，而且可以在糾紛中明確數據記錄被篡改、前后矛盾或記錄不完整時的法律責任。至于現行規范所賦予的行政監管機關提取數據處理的權力，則受限于行政監管的滯后性，給數據控制者留下了在糾紛發生之后篡改、銷毀記錄的空間，遠不如“直接將權利賦予數據主體或要求數據控制者定期向數據主體發送記錄”這一舉措般切中要害。

第二，我國現行規范要求人臉數據的處理記錄和風險評估報告等材料等“應最少保存三年”，此規定易被數據控制者用作減輕其法律責任、故意隱藏侵權證據的借口——由于沒有明確規定數據控制者在三年之后是否還有保存相關記錄的強制性義務，故數據控制者可以用“距離特定數據行為已經超過三年”這一理由主張自己“無法提供相關記錄”的行為不違反現行法、已滿足了法律的強制性要求，從而對抗監管機構和被侵權人。對此，應將責任期限的相關規定更改為：（1）數據控制者在合法控制數據期間內，應保留人臉數據從被采集至今的所有相關記錄；（2）當數據控制者已依法銷毀、轉移人臉數據時，原數據控制者應從銷毀、轉移行為發生之日起至少保存相關記錄三年；（3）若數據控制者存在超越合法期限控制人臉數據的行為，則在數據侵權糾紛中，對該數據控制者適用“過錯推定”這一舉證責任規則，即是，若數據控制者無法證明該侵權與自己無關的，則推定數據控制者對侵權事實的發生存在過錯，應向被侵權人承擔法律責任。提出上述修改意見的依據為：其一，《最高人民法院關于民事訴訟證據的若干規定》第四十八條規定：“控制書證的當事人無正當理由拒不提交書證的，人民法院可以認定對方當事人所主張的書證內容為真實。”這一可得在多種證據中類推適用的文書提出命令制度，是對司法實務中強勢方往往利用優勢地位隱藏證據的經驗應對。現行規范未對三年之后的人臉數據記錄作強制性義務要求的表述，實際上給予了潛在的侵權人挑戰文書提出命令制度的借口。其二，能證明事實或支撐訴訟請求的證據必須是“連續”的證據鏈，對同一數據的多種數據行為也是“連續”的。依現行規范，數據控制者只需提供距今三年之內的數據記錄，而對三年之前發生的諸如數據采集等記錄不負強制性的法律義務，這使得數據控制者有只向監管機關[、]司法機關提供不完整記錄的余地，從而隱藏其侵權事實。其三，從數據本身的特征來看，它不會像其他資產般隨時間的推移發生資產折舊的事實或產生計提資產減值的需要，相反，它有不斷被復制、流轉、利用的可能與價值。這意味著一旦人臉數據被采集，流入合法或非法市場，那么從總體上看，該人臉數據就面臨著在不同主體間被近乎永久儲存、流轉、利用的可能與威脅。其四，“動態延長記錄保存期限，要求三年時間的起算點應是數據被合法銷毀、轉移之時”這一建議，與前文中“數據安全責任人的責任原則上不隨企業并購、重組、破產等組織形式的變化而變化”這一方案是相互協調、配合的。

第三，《個人信息保護法》沒有認識到人臉數據這一生物特征信息在“匿名”環節的特殊性，應予以更正。《個人信息保護法》第四條規定，個人信息不包括匿名化處理后的信息；第七十三條規定，本法所稱的匿名化是指個人信息經過處理無法識別特定自然人且不能復原的過程。但是，包括人臉、指紋、虹膜、DNA等在內的生物特征數據只要未被銷毀、損壞，便必定可以經由大數據對比等技術手段而直接鎖定特定自然人，這與書信、行蹤、財產狀況等非生物特征信息只要與自然人姓名、身份證號、聯系方式等相剝離就可以實現匿名化的情況是天差地別的。尤其是在人工智能技術的應用門檻已經平民化，眾多主體都可以利用各類人臉智能軟件進行網絡大數據檢索、對比的情況下，不能因為數據庫中的人臉數據與姓名等要素之間實現了信息隔離就認為人臉數據已經無法與特定自然人對應，繼而認定人臉數據已非個人信息。《個人信息保護法》對人臉等生物特征數據在“匿名”環節的認識缺漏被《人臉識別技術應用安全管理規定（試行）》（征求意見稿）反襯了出來。《人臉識別技術應用安全管理規定（試行）》（征求意見稿）第17條規定，除法定條件或者取得個人單獨同意外，人臉識別技術使用者不得保存人臉原始圖像、圖片、視頻，經過匿名化處理的人臉信息除外。這一規定表明：實務中人臉數據的匿名化實際上只是人臉原始圖像等在不被銷毀、損壞的前提下與其他個人信息之間的剝離[，]無法達到《個人信息保護法》對“匿名化”的要求——個人信息經過處理無法識別特定自然人且不能復原；從另一方面闡述，即是，若要使生物特征信息與特定自然人之間剝離，則只有對其進行銷毀或損壞，沒有折中地進行匿名的余地。鑒于此，《個人信息保護法》第四條、第七十三條應為人臉數據等生物特征信息設置例外條款，從而使其能從始至終地處于個人信息相關規范的保護之下，避免數據控制者通過技術上的處理致使生物特征信息被錯誤地認定為無法與特定自然人對應，繼而致數據控制者逃脫監管、肆意濫用人臉數據。此外，還應在上述法律法規的基礎上增加要求：對收集到的任何人臉數據，都應當在技術上為人臉數據與其他個人數據的鏈接間設置兩套不同的訪問秘鑰，進行隔離化、匿名化處理，防止數據泄露后出現個人敏感信息全面暴露、數據非法控制者輕易根據被采集人的“數據畫像”偽造身份的情況。

第四，應當要求數據控制者刪除其收集到的不相關信息，而非允許其保留。《網絡數據安全管理條例》第二十四條、《人臉識別技術應用安全管理規定（試行）》（征求意見稿）第十八條在數據控制者收集到不相關的人臉數據時，竟允許其在實現匿名化（上述規范中的匿名化僅指人臉數據與其他個人信息之間隔離）處理之后保留不相關的人臉數據。上述規定架空了我國現行法對人臉數據只能在“數據主體特定授權”“維護公共安全”的前提下被利用的限制性條件，使得數據控制者可以以“不經意、無法避免”為借口，收集未被授權、與公共安全無關的人臉數據。對此，應當明確要求數據控制者必須刪除不相關的人臉數據，不得以任何理由保留不相關的人臉數據。

第五，數據采集者不得在任何范圍內與被采集人約定人臉數據的“專有授權”條款，即不得在任何情況下禁止被采集人處置自己的人臉數據或禁止其他主體合法地處理被采集人的人臉數據。

第六，人臉數據的控制組織被兼并、重組、破產的，應當在數據轉移之前重新征詢被采集人的同意，而非如《個人信息保護法》第二十二條、國家互聯網信息辦公室發布的《數據安全管理辦法（征求意見稿）》第三十一條，或參照《企業破產法》之規定將人臉數據視作可以在破產等情況下被徑直轉移的一般財產。數據主體在考慮是否授權數據控制者處理其人臉數據時，既會對對方的資質、信譽進行考量，也會為了保護人臉數據而主動限制可得授權的主體數量。但《個人信息保護法》第22條規定的“只要接收方不變更原先的處理目的、處理方式，就不需要重新取得個人的同意”，它否定了數據主體在授權時對對方主體資格進行考察和選擇的權利，且無法應對以下現象：（1）數據侵權人先以資質較高的公司騙取數據主體授權，而后將人臉數據轉移給空殼公司以實施侵權行為，并將法律責任從自身轉由空殼公司承擔，數據主體在糾紛發生后實際上無法從資產幾盡于無的空殼公司處獲得任何賠償，亦無法向遵守《個人信息保護法》第二十二條的原采集公司索賠——因為證據只能顯示侵權行為是空殼公司所為，而非原采集公司所為。（2）無需經數據主體重新同意就允許數據控制主體進行變更的規定，打開了人臉數據一旦被采集即意味著“失控”，并在各數據經營主體間不斷被買賣的“潘多拉魔盒”。待數據侵權事實最終被發現時，不僅人臉數據已經大面積擴散，且數據主體個人根本無力向法院提交從數據最初采集者到數據最終接收者之間證明數據侵權事實、侵權責任分配的完全證據鏈，因為現行規范在此情形中將數據主體視為對數據轉移沒有話語權和控制力的“旁觀者”。

（五）重視個人信息檢察公益訴訟以保護人臉數據權

在既有的消費、環境公益訴訟之外，2021年實施的《個人信息保護法》第七十條增設了“個人信息公益訴訟”，拓寬了人臉數據司法救濟的途徑。在我國數據私權法暫時缺位的現狀下，相較于被侵權人提起的私益訴訟而言，公益訴訟能更好地在案源層面實現保護人臉數據權的法律效果和社會效果，因而應提高它在司法實務中的應用頻率。該訴訟制度的運行機理及優勢緣由如下：第一，數據侵權案件皆具有“證據偏在”的特征——查清案情所需的人臉數據和數據處理記錄皆儲存在被告控制的服務器及其他終端中，被侵權人只知證據所在之處，而不掌握證據本身。且被告在法院等國家權力機關依《民事訴訟法》第六十七條等法律法規強制調取證據之前，既不會允許被侵權人查閱證據，又可以輕易地篡改、隱匿、轉移、刪除數據。司法實務中決定訴訟勝負的關鍵就是證據，而處于“證據偏在”困境中的被侵權人，既沒有當場查封數據證據的權力，又沒有打破被告設置的信息技術障礙的手段，這使得被侵權人在數據侵權案件中無一例外地處于訴訟弱勢地位。但當以國家強制力、法律監督權為后盾的檢察院提起個人信息公益訴訟時，可在被告使用技術手段篡改、隱匿、轉移、刪除涉案數據前，及時、充分地調動公安、網信監管部門和網絡通訊國有公司（指中國聯通、中國移動、中國電信等通訊網絡服務公司）的技術偵測力量，威懾被告的證據違法意圖、破解被告設置的信息技術障礙，從而彌補證據偏在的弊端。

第二，涉案數據與非涉案數據往往被混雜地存儲在同一介質中，這使得調取個案證據的過程既是一個需要控制、甄別非涉案數據的過程，也是一個需要不斷取得其他權利主體對非涉案數據授權的過程，由此，他人的數據權在客觀上增加了被侵權人的維權難度。縱觀國內外司法實務，調取數據的技術手段只有兩種：其一，對數據的儲存介質進行物理意義上的查封、扣押；其二，先從儲存介質中識別出涉案數據，而后只控制涉案數據，而不查封、扣押儲存介質。無論采用上述何種技術手段，都無法避免地會觸及非涉案數據的權利人的合法利益。這些非涉案數據的權利人，既可能是侵權人（如侵權人的公司運營數據），也有可能是其他被侵權人（如被非法采集人臉數據的其他人），還有可能是其他個體（如使用同一介質存儲私人數據的侵權公司的職工）等。面對眾多的其他權利主體，個案中的被侵權人很難以自然人身份取得他們的一致授權。當被侵權人在未經授權的情況下為維護自己的權利而強行控制涉案證據時，則有可能在法理上被認定為“濫用權利”，在部門法上構成《刑法》《個人信息保護法》中的破壞計算機信息系統罪及民事侵權。解決“授權難題”的可行途徑，就是尋得一個具有公信力的、較大可能統一取得其他權利主體授權的原告——檢察院。此外，相較于被侵權人，由于其他主體在檢察院所代表的國家權力面前更傾向于配合，因而檢察院在征詢授權的過程中所付出的訴訟成本（金錢及時間）顯然更低。

第三，個人信息檢察公益訴訟既是“國家治理的現代化、司法化”的實現方法，亦具有“民事公訴權”這一堅實的國家權力基礎。在我國全國人民代表大會這一最高國家權力機關的統籌之下，立法權、行政權、監察權、司法權等皆源自國家權力，對國家權力負責，是國家權力機關治理國家的細分手段。因此，檢察機關對法律監督職責的履行實則是全國人民代表大會授權其在特定范圍內參與國家治理的結果。此外，檢察系統直接依據《憲法》第134條提出的“能動檢察”理念，賦予了各級檢察院主動、廣泛的法律監督權，使得其工作范圍不再局限于對國家機關及其工作人員的監督，也不再局限于各部門法的授權范圍，而是可以對其他類型主體（公民、公司、事業單位、民事團體等）的任何違反法律的行為皆進行監督。尤其是在我國人工智能法、數據私權法缺位的情況下，若僅由處于被動地位的法院依據滯后的現行法實施司法治理，不僅難以規范我國的數據秩序，亦難以在新型、多變的數據糾紛中為權利人提供合理救濟。不僅如此，由于個人信息公益訴訟可以有效地整合類案，且檢察院亦能在訴訟之外依法律監督權進行更深入、系統的調查，這便有利于追溯至數據侵權的源頭。

從原因力的角度觀察，人臉數據擴散的主要因素是商業資本的推動；從監管的角度觀察，主要因素則是沒有處理好人臉數據在技術應用中的“便利性”與“必要性、風險性”之間的關系。數據易于復制、轉移、保存等特點意味著已擴散或泄露的人臉數據難以在嗣后救濟的層面被絕對銷毀，這要求法律須盡量精準地規制人臉數據的采集、利用、存儲、流轉、銷毀等各環節。遺憾的是，《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國網絡安全法》《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》等法律法規圍繞著現行的“備案、投訴”和“起訴”機制，將人臉數據權的保護停留在被動的行政監管及行政救濟、司法救濟層面，而非要求政府相關部門在人臉數據被采集之前主動、積極地實施實質性行政審查。這不僅導致在人臉數據規制過程中呈現出“只治標（待人臉數據濫用行為侵權時才救濟個案），不治本（不嚴格限制人臉數據的采集）”的特征，也使得人臉數據的安全保障成本實際主要由被侵權方承擔。“嗣后的法律救濟”不是適用數據及人工智能法的唯一目的，“在信息技術的實務操作流程中即與其嵌合”才能在更大程度上彰顯其價值，因此，對人臉數據濫采、濫用現象的規制必須著重“限制數據采集行為”，并重“持續動態監管其他環節的數據行為、提供權責一致的救濟渠道”。

lzxk@vip.163.com

《蘭州學刊》1980年3月創刊，是蘭州市社會科學院、蘭州市社會科學界聯合會主辦的人文社科類綜合性學術期刊。2024-2025年度中文社會科學引文索引(CSSCI)擴展版來源期刊，RCCSE中國核心學術期刊（A），中國人文社會科學期刊AMI綜合評價（A刊）擴展期刊。