【摘要】当前“刷脸”技术广泛应用于网络支付、交通出行、酒店入住等领域，为用户提供便捷之余，也隐藏着巨大的安全隐患。因此，迫切需要通过制定“刷脸”技术数据采集、处理、储存标准，划定立法边界；明确技术研发、经营、使用责任，划定责任边界；构建事前、事中、事后监管体系，划定监管边界。只有“刷脸”技术法律边界明确，才能促进“刷脸”技术持续健康发展。

【关键词】“刷脸”技术 数据采集 法律边界 【中图分类号】D602 【文献标识码】A

制定数据采集、处理、存储法律标准，为“刷脸”数据安全划定立法边界

“刷脸”技术实际上是大数据技术的一种应用，通过采集人脸生物信息，对其进行储存和处理，达到支付、签到、乘车、就医等目的。但是，由于我国大数据技术起步较晚，相关法律法规尚不健全，在数据采集、处理、存储缺乏法律标准，应尽快划定立法边界。

第一，明确数据采集、处理、存储基本法律原则。我国个人信息保护法尚处于制定当中，应参照其他国家个人信息保护做法，制定基本原则。其一，特定目的原则，“刷脸”技术在采集人脸信息时，应具有特定目的，超越目的范畴之外，不允许采集用户信息，最大限度防止信息泄露；其二，限制采集原则，“刷脸”系统研发者、经营者、使用者应在得到法律允许、用户授权后，方能开展信息采集工作；其三，信息质量原则，“刷脸”技术采集、使用信息，要确保信息真实完整，避免不实信息给用户带来负面影响；其四，安全保障原则，“刷脸”技术研发者、经营者、使用者要确保信息采集、处理、储存等环节安全，一旦发生信息泄露应及时补救，给予用户适当赔偿。

第二，构建数据采集、处理、存储法律保护体系。“刷脸”技术尚处于初级阶段，应构建完整法律保护体系，确保数据信息采集、处理、存储有法可依。在横向方面，除制定个人信息保护法专项立法之外，要在“刷脸”技术集中应用领域，设立专项法律法规，比如金融数据信息保护细则、医疗数据信息保护条例等，通过这些专项立法，弥补个人信息保护法存在的不足，形成全面的个人信息保护法律体系；在纵向方面，目前关于个人信息保护规定散见于各类法律法规，部分法律法规立法层级不高、约束力不强，应制定个人信息保护法，提高立法层级。同时，应将个人信息保护法与民法、刑法衔接，构建完整的法律保护体系。

第三，创新数据采集、处理、存储分级保护模式。鉴于“刷脸”技术提高社会生活便捷度，应平衡商业利益与个人信息保护之间关系，既要确保“刷脸”技术便捷性，又要保障个人信息安全性，应创新数据采集、处理、存储分级保护模式。一方面，依照信息内容进行分级处理，根据个人信息内容划分隐私信息、身份信息、日志信息及公开信息，隐私信息、身份信息是立法保护的重点；另一方面，明确不同等级信息保护模式，在“刷脸”技术中，不允许碰触隐私信息，身份信息采集、处理、储存也需要经用户同意，但应严禁身份信息转移、共享，日志信息主要是“刷脸”行为的记录与汇总，其不涉及特定用户，应允许自由使用与共享，激发企业利用日志信息持续创新。

明确技术研发、经营、使用法律责任，为“刷脸”隐私保护划定责任边界

一是明确“刷脸”数据研发、经营、使用归属权。“刷脸”数据可分为个人数据和企业数据，个人数据涉及用户个人信息，企业数据则是以个人数据为基础，在个人数据基础上加工、处理所得，只有划分归属权，才能更好地明确数据研发者、经营者、使用者法律责任。在个人数据方面，民法、刑法等部分内容都对个人数据进行了相应的保护，即将出台的个人信息保护法更将对个人数据进行全面保护，肯定个人数据归属权为用户，只有个人用户明确授权，研发者、经营者、使用者才能对个人信息进行采集、处理、存储，但是否允许出售、交易、共享有待商榷；在企业数据方面，为推动“刷脸”技术创新与发展，应允许企业自由处理企业数据，尤其是不涉及特定用户信息、匿名信息，应将归属权交由研发者、经营者、使用者，保护研发者、经营者、使用者使用企业数据不受干扰。

二是明确“刷脸”数据交易违约责任与侵权责任。与其他商品和服务一致，“刷脸”数据交易容易产生纠纷，比如主体之间合同纠纷、与第三人产生的侵权纠纷，都需要法律为其划定责任边界。在违约责任方面，研发者、经营者、使用者之前需要签订交易合同，通过合同明确“刷脸”数据使用范畴；在侵权责任方面，研发者、经营者、使用者开展数据交易，应限定在企业数据范畴之内，若违规收集个人数据，并将其对外出售，势必会侵犯第三人合法权益，此时需要侵权者承担赔偿责任。

三是明确“刷脸”数据研发者、经营者、使用者连带责任。为加大个人信息保护力度，应依法确立研发者、经营者、使用者连带责任，允许用户寻求任意一方索赔，确保个人利益不受损害。“刷脸”数据研发者是数据采集、处理、储存的重要主体，其在采集过程中应遵循法律法规，依法采集用户明确授权信息，尤其是人脸生物信息，不允许利用照片、视频等途径非法采集。“刷脸”数据经营者为网络平台，将研发者系统、数据信息进行汇总分类，形成“刷脸”支付、“刷脸”签到、“刷脸”出行等各类产品，用户通过网络平台提供人脸生物信息，授权使用范畴。“刷脸”数据使用者为企事业单位、交通部门、酒店等，从经营者处购置设备，允许用户刷脸使用，虽不具备修改“刷脸”权限，但依然与用户产生关系。当用户“刷脸”数据泄露或遭遇非法篡改，可以向任意主体追责，由该主体赔偿用户损失。

积极构建事前、事中、事后监管体系，为“刷脸”长效发展划定监管边界

一是构建事前监管体系，“刷脸”技术发展迅速、应用广泛，逐渐形成一种新兴产业，应构建行业协会，通过自律监管机制，强化“刷脸”事前监管工作。不同于法律监管，行业自律协会具有极强的灵活性，对行业理解更为深刻，善于发现“刷脸”行业潜藏的风险，及时纠正部分企业的错误行为，防止企业非法数据采集、处理、存储扩大蔓延。“刷脸”行业自律协会可以参照域外模式，由“刷脸”技术研发企业、网络平台、服务供应商共同组成，定期召开行业自律会议，颁布行业公约，责令违规企业及时改正，将侵害公民个人信息行为扼杀在摇篮里，防止企业发展路线偏离正轨。

二是构建事中监管体系，鉴于个人信息保护法尚处于制定当中，应成立个人信息保护机构，比如个人信息保护委员会，个人信息保护机构应依法设立，积极履行自身权利与义务，负责对“刷脸”系统研发者、经营者、使用者进行监督管理，对现有“刷脸”涉及的企业、产品、服务定期检查，发现其中存在的违法违规行为，责令相关主体及时纠正。同时，应赋予个人信息保护机构执法权限，允许个人信息保护机构依法对违规主体进行惩处，清除存在主观故意侵犯公民个人信息的企业。此外，个人信息保护机构工作人员应具备法律背景、专业技术背景，秉承高效管理原则，以线上监测、线下检查的方式，减少“刷脸”技术对个人信息的侵害行为。

三是构建事后监管体系，由于“刷脸”技术具有专业性、隐蔽性等特点，事前、事中监管不足以彻底清除违法违规行为，应构建事后监管体系，对“刷脸”技术网络平台、产品和服务进行系统评测，通过持续性、专业性的评测，查处“刷脸”技术中侵犯个人信息行为。系统评测具有较强的专业技术要求，应交由第三方负责，第三方评测企业向个人信息保护机构提交报告，对网络平台、“刷脸”软件进行评分，并对外公布。同时，应畅通用户举报与投诉通道，关注用户集中投诉、举报企业，借助社会公众的力量查处违法违规行为。

（作者为四川大学法学院博士研究生）

【注：本文系教育部人文社会科学研究青年基金项目“司法改革背景下法官流动问题的实证调查与对策研究”（项目编号：17YJC820008）研究成果】

【参考文献】

①扶青：《对刷脸支付保持审慎态度》，《智慧中国》，2019年第10期。