導語：人臉信息泄露風險評估及治理對策一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：鑒于人臉信息泄露所引發(fā)的安全事件層出不窮，亟須對此進行專門的泄露危害和治理對策研究，并從多元主體的視角提出治理對策。研究發(fā)現(xiàn)：第一，人臉信息泄露所造成的危害具有多重性，涉及個人、企業(yè)、政府等多個主體，隱私安全、財產(chǎn)安全、信譽聲譽等多個方面；第二，根據(jù)“兩頭強化、三方平衡”理論，可將引起人臉信息泄露的原因歸納為法律規(guī)制的分散、政府監(jiān)管的滯后、企業(yè)行業(yè)缺乏自律及公民個人維權意識和能力不足四個方面；第三，在治理對策上，應從構建完備法律體系、提升政府監(jiān)管能力、強化企業(yè)行業(yè)自律、提高公民個人自我保護意識和能力四個方面發(fā)力。

關鍵詞：人臉信息；泄露風險；治理對策

在社會日益智能化和信息化的時代背景之下，伴隨著大數(shù)據(jù)、云計算等關聯(lián)技術的突破，人臉識別技術得以快速發(fā)展和應用，海量的人臉信息被采集、存儲和利用。一方面，人臉識別技術給人們的生活帶來了便利，在金融支付、考勤門禁、智能安防以及教育、醫(yī)療、公共衛(wèi)生等多個領域展現(xiàn)出強大的賦能效應，尤其是在新冠肺炎疫情防控期間，因人臉識別技術具有非接觸的特點，減少了人與人、人與物的接觸，降低了病毒擴散的風險，由此在實名登記、交通安檢、支付轉賬等多個領域得以迅速擴張[1]。另一方面，由人臉信息泄漏帶來的風險也不容小覷。2019年出現(xiàn)了“中國人臉識別第一案”，因涉及人臉信息泄露問題，杭州野生動物世界被起訴，此案引起學界對人臉識別安全問題的高度關注。與此類似，商家非法買賣人臉信息造成大量人臉信息泄露的事件也陸續(xù)被媒體曝光[2]?！度四樧R別應用公眾調(diào)研報告（2020）》指出，超九成的受訪者使用過人臉識別技術，超六成受訪者認為技術有濫用的趨勢，而超三成的受訪者表示已經(jīng)因人臉信息泄露、濫用等遭受損失或隱私被侵犯。由此可見，在人臉識別技術滲透程度日益加深的同時，伴其而來的人臉信息的泄露問題、危害及其治理策略需要加以系統(tǒng)研究。

一、研究述評

目前，學界對于人臉信息泄露的危害及治理對策的研究，主要集中于兩個領域：一是計算機科學領域，即從計算機科學理論和技術角度探究泄露問題并提出治理對策；二是社會科學領域，即從法學、社會學等角度探究信息泄露的危害并提出治理對策。具體而言，在計算機科學領域，集中在技術層面，主要是從關鍵算法、加密方案、系統(tǒng)設計方面分析技術漏洞并提出安全防范措施[3]，如基于SIFT的安全算法、基于認證與密鑰技術的人臉特征保護技術、基于特殊安全模組的人臉信息采集等；而在社會科學領域，對于人臉信息泄露的危害及治理對策研究，則集中在法律層面，學界主要從個人信息權、法律規(guī)制路徑、法律制度和立法路徑等方面研究其危害并提出法律對策?？傮w而言，針對人臉信息泄露的危害及治理對策研究，計算機科學領域的研究較為透徹，社會科學領域的研究較少且集中于法學層面，較少對其進行全面梳理。鑒于此，筆者試圖突破現(xiàn)有研究視角較為單一的局限性，根據(jù)“兩頭強化，三方平衡”理論[4]，從法律、政府、行業(yè)、公民個人等視角探究人臉信息泄露的危害并提出治理對策。

二、人臉信息泄露的危害

（一）危害個人隱私安全

人臉信息屬于個人敏感信息，泄露個人敏感信息的行為構成對個人隱私權的侵犯[5]，公民的隱私安全受到法律保護、不應被非法收集、存儲、處理和公開，易言之，法律對公民的人臉信息安全和隱私安全給予了原則性的規(guī)定和保護。但現(xiàn)實中，違反法律規(guī)定，泄露公民人臉信息、危害公民隱私安全的事件卻屢屢發(fā)生，據(jù)《人臉識別應用公眾調(diào)研報告（2020）》顯示，超過三成的受訪者表示當前隱私泄露問題突出。人臉信息泄露給隱私安全帶來的危害，主要體現(xiàn)在兩個方面：一是人臉信息屬于生物識別信息，運用大數(shù)據(jù)等關聯(lián)技術對生物識別信息進行處理，便可分析出個人的年齡、性別、情緒甚至身體狀況等其他個人信息，因此人臉信息發(fā)生泄露的同時，就可能伴隨著個人關聯(lián)信息的同步泄露，這無疑是對隱私安全的嚴重威脅；二是不法分子為實現(xiàn)報復、誹謗等目的，借助網(wǎng)絡社會的放大效應，非法公開包括人臉信息在內(nèi)的個人隱私信息并在短時間內(nèi)快速傳播，導致個人隱私信息非法擴散，嚴重干擾公民正常的生活秩序，危害隱私安全中的秘密權和安寧權。

（二）危害個人財產(chǎn)安全

人臉信息在科技、人文等領域具有較高的財產(chǎn)價值[6]，泄露人臉信息的行為涉嫌侵犯主體的財產(chǎn)安全，而實踐中因人臉信息泄露遭受財產(chǎn)損失的主體是公民個人。不法分子利用被泄露的人臉信息侵犯公民財產(chǎn)安全的行為表現(xiàn)為兩個方面：一是不法分子掌握了公民的人臉信息以及與之關聯(lián)的其他隱私信息，就可能利用這些信息和網(wǎng)絡系統(tǒng)的漏洞“騙過”身份識別系統(tǒng)，盜取公民的網(wǎng)絡賬號和賬號內(nèi)財產(chǎn)。二是不法分子掌握了受害人具體、準確的個人信息，可以借助這些信息實施敲詐勒索和電信詐騙。因此，人臉信息的泄露對公民的財產(chǎn)安全形成了一定的威脅。

（三）危害組織公信力及信譽

人臉信息的泄露不僅會對公民個人的隱私安全、財產(chǎn)安全造成危害，長此以往，還會危害政府部門的公信力以及相關企業(yè)的信譽[7]。在大眾認知中，政府網(wǎng)站作為政府的門戶，具有較高的可信度，政府網(wǎng)站理應是安全的、可靠的，政府網(wǎng)站的建設和發(fā)展也是為了進一步提高行政效能和群眾滿意度，進而提升政府的公信力。然而，近年來卻多次發(fā)生政府網(wǎng)站被攻擊、網(wǎng)站內(nèi)存儲的包括人臉信息在內(nèi)的個人信息發(fā)生泄露的惡性事件，如2018年安徽多地政府網(wǎng)站頻現(xiàn)個人信息泄露、2020年山東某市政府門戶網(wǎng)站泄露執(zhí)法人員個人信息等。此類事件的發(fā)生，引發(fā)了公眾對政府網(wǎng)站安全性和可靠性的懷疑，影響了公眾對政府網(wǎng)站的信任程度，進而減損政府部門的公信力。對于企業(yè)而言，其存儲的人臉信息安全與否是影響用戶對其信任程度的重要因素，“2019年深網(wǎng)世界百萬人臉數(shù)據(jù)泄露”“2020年ClearviewAI公司30億張人臉數(shù)據(jù)發(fā)生泄露”事件直接反映出部分企業(yè)人臉信息保護機制不健全，用戶對人臉信息是否會通過企業(yè)造成泄露產(chǎn)生懷疑、對企業(yè)的信任程度大打折扣[8]，企業(yè)的信譽也深受其負面影響。

三、人臉信息泄露的原因分析

從個人信息保護的角度出發(fā)，“兩頭強化，三方平衡”理論認為，個人信息保護涉及國家、信息從業(yè)者和公民個人三方利益的平衡[4]，因此可將人臉信息泄露所涉主體歸納為國家、從業(yè)者和公民個人三方，國家層面又可以進一步劃分為法律和政府兩個維度。筆者從法律、政府、企業(yè)、公民個人四個方面對人臉信息泄露的原因進行分析。

（一）法律規(guī)制分散，尚未形成合力

人臉識別技術帶來了便捷，但便捷不等于安全，缺乏有效的法律規(guī)制，極易造成技術的“野蠻生長”[9]。目前，我國關于人臉信息泄漏的法律規(guī)制，雖有《民法典》《網(wǎng)絡安全法》《消費者權益保護法》《刑法》和《信息安全技術個人信息安全規(guī)范》等多部法律法規(guī)，但相關規(guī)定存在操作性不強、執(zhí)行效果差、救濟措施不完善等不足之處。一方面，雖有多部法律對其進行規(guī)制，但法律的規(guī)定過于原則化，僅指明人臉識別技術的應用和人臉信息的采集、處理要遵循“合法、正當、必要”的原則，而缺乏配套的司法解釋和具體的實施細則，針對性和可操作性不足，并且現(xiàn)有的法律規(guī)定未明確執(zhí)法的主體及其權利和責任，導致法律在實踐中可執(zhí)行力不足、執(zhí)行效果較差[10]。以2015年出臺的《刑法修正案（九）》為例，雖增設了“嚴重侵犯公民個人信息的行為可認定為侵犯公民個人信息罪，依法可追究法律責任”的規(guī)定，但因缺乏對事實認定和量刑情節(jié)的具體規(guī)定，導致司法機關在處理具體案件時“有法難依”，難以實現(xiàn)對該類犯罪的有效追訴；另一方面，在法律事先規(guī)定并不明確的情況下，有關事后救濟、懲罰的法律規(guī)定也不完善，法律救濟、懲罰措施的方式單一、力度不足、效果較差[6]。在司法實踐中，對泄露人臉信息的企業(yè)的處理，主要以行政約談的方式進行，處罰力度較輕，往往只是企業(yè)內(nèi)部自查、完善企業(yè)內(nèi)部安全管理等，而對于個人侵權的處理，主要依據(jù)《侵權責任法》，救濟途徑多為簡單的賠禮道歉、賠償損失。綜上所述，針對人臉信息的泄露問題，在法律方面存在一定的漏洞和不足。

（二）政府監(jiān)管滯后，凸顯制度困境

防范和化解人臉信息泄露的危害，政府的監(jiān)管職責必不可缺。但日趨嚴峻的安全形勢表明，政府的監(jiān)管未達到理想效果，尤其是在監(jiān)管主體、監(jiān)管制度、監(jiān)管措施方面存在明顯不足。1.監(jiān)管主體不明確、權責不清晰。人臉信息安全監(jiān)管工作涉及公安、工信、市場監(jiān)管等多個政府部門，應由權責明確的專門機構統(tǒng)一負責[11]，我國目前尚未建立權責一致的專職監(jiān)管機構。同時，由于缺乏明確的法律規(guī)定，政府內(nèi)部各責任部門的權責劃分并不清晰，面對具體問題時，易出現(xiàn)推諉扯皮、敷衍了事等消極現(xiàn)象。既無專責機構，又無理想的合作機制，政府難以實現(xiàn)對人臉信息保護的有效監(jiān)管。2.政府內(nèi)部缺乏有效的監(jiān)督管理制度。在“智慧政務”政策指引下，大量政務工作轉至互聯(lián)網(wǎng)平臺，政府網(wǎng)站存儲了海量的包括人臉信息在內(nèi)的個人敏感信息，而政府網(wǎng)站的安全建設卻明顯滯后，具體表現(xiàn)為部分政府網(wǎng)站缺乏必要的保密審查和安防建設，負責網(wǎng)站安全工作的責任人員未嚴格遵守安全管理規(guī)定甚至違規(guī)操作。政府反而成為信息泄露的源頭，這不僅使人臉信息大量外泄，還嚴重損害了政府的公信力[7]，暴露出監(jiān)管主體的問題。3.監(jiān)管措施不完善、滯后性強。相對于技術的快速發(fā)展，面對人臉信息泄露引發(fā)的安全問題，政府部門的監(jiān)管措施卻表現(xiàn)出明顯的滯后性。一是尚未建立起統(tǒng)一的市場準入制度，缺乏必要的門檻對人臉信息采集予以限制，在源頭上存在監(jiān)管漏洞。二是由于缺乏有效的監(jiān)督管理制度和聯(lián)合執(zhí)法活動，政府部門在日常的監(jiān)管工作中難以及時發(fā)現(xiàn)泄露隱患，從而為可能引發(fā)的信息泄露埋下了“伏筆”。三是要實現(xiàn)對人臉信息安全保護工作的有效監(jiān)管，就必須與時俱進，掌握人臉識別的技術原理、技術特點、技術漏洞以及云計算、大數(shù)據(jù)處理等關聯(lián)技術，而這些恰恰是現(xiàn)階段政府監(jiān)管部門所欠缺的[12]。這種監(jiān)管措施的滯后性為不法分子利用監(jiān)管漏洞從事違法犯罪活動提供了可乘之機。

（三）企業(yè)責任真空，行業(yè)亟須自律

從應用領域來看，網(wǎng)絡服務提供商、電商平臺等企業(yè)單位已經(jīng)成為人臉信息泄露的主要來源[10]，這些企業(yè)為開展業(yè)務采集、存儲了海量的人臉信息，但對于保護人臉信息安全卻明顯乏力。究其原因，一方面，部分企業(yè)罔顧社會責任，輕視信息安全保護工作，缺乏健全的內(nèi)部管理制度，安全管理工作十分松懈；另一方面，整個行業(yè)缺乏行之有效的行業(yè)自律規(guī)范。以互聯(lián)網(wǎng)行業(yè)為例，雖有《中國互聯(lián)網(wǎng)行業(yè)自律公約》對互聯(lián)網(wǎng)企業(yè)采集的用戶信息保護進行規(guī)定，但該類公約大多執(zhí)行力差、約束力弱，多數(shù)企業(yè)未嚴格按照公約的規(guī)定保護人臉信息安全[10]。此外，由于缺乏有效的行業(yè)懲處制度，企業(yè)違法的風險小、成本低，違法企業(yè)得不到及時清退，整個行業(yè)難以杜絕人臉信息泄露事件的發(fā)生。

（四）保護意識匱乏，維護能力低下

隨著人臉識別及其關聯(lián)技術的發(fā)展，“刷臉進門”“刷臉打卡”“刷臉支付”等現(xiàn)象已經(jīng)成為人們的生活常態(tài)。在此情況下，相較于身份證號碼等其他個人敏感信息而言，公民對人臉信息被采集、存儲的現(xiàn)象早已“習以為?！?，對信息被泄露也已“見怪不怪”，而恰恰是這種“習以為?！焙汀耙姽植还帧毕魅趿巳藗儗θ四樞畔踩谋Ｗo意識。同時，個人也缺乏維護自身人臉信息安全的能力，在大數(shù)據(jù)時代，個人信息傳播得速度更快、人臉信息流轉的主體更多，不法分子惡意泄露和盜用人臉信息的可能性也就更大，個人對人臉信息的控制能力便大大減弱。此外，由于現(xiàn)行法律和政府監(jiān)管制度不健全，面對惡意泄露和盜用人臉信息的行為，個人缺乏有效的維權途徑和措施[13]，可以說，就人臉信息泄露問題，公民個人在主觀上缺乏保護意識，在客觀上缺乏保護能力。

四、人臉信息泄露的多元主體治理對策

如上所述，人臉信息的泄露對公民、政府、企業(yè)等多個主體形成了危害，人臉信息泄露已成為社會治理新的難題。從利益相關者的角度出發(fā)，應針對人臉信息泄露，形成以法律法規(guī)為依托，政府、企業(yè)、公民個人等多元主體共同參與的治理格局[12]。

（一）構建完備的法律體系

法律是人臉信息保護工作的依據(jù)，構建完備的法律體系是治理人臉信息泄露問題的基礎。鑒于現(xiàn)行法律體系在針對性、可操作性、執(zhí)行效果等方面的不足[10]，應在《憲法》《民法典》等法律基礎上，推動《個人信息保護法》等針對性法律法規(guī)的出臺和實施，將“合法、正當、必要”等法律的原則性規(guī)定落實為可操作性強的具體規(guī)范，為政府監(jiān)管和公民維權提供具體依據(jù)，在法律層面為人臉信息的保護工作提供指引。進一步而言，可以鼓勵地方先行立法，繼而推動全國性法律規(guī)范的出臺。例如美國加利福尼亞州和華盛頓州于2019年、2020年相繼出臺了攝像頭責任法案和首個州級的人臉識別專門法律，此類地方法案為全國立法指明了方向，推動了人臉信息保護的法律進程[14]。此外，對于泄露公民人臉信息行為的懲治，應在《刑法》《行政處罰法》的基礎上，出臺相應的司法解釋和地方性法規(guī)，明確泄露者的法律責任，加大處罰力度，增加處罰措施，細化處罰標準，明確政府相關部門的職責和權限，拓寬公民維權的法律途徑，為人臉信息泄露的懲治和救濟工作提供法律保障。

（二）提升政府的監(jiān)管能力

加強對人臉信息安全工作的監(jiān)督和管理，防范和化解人臉信息泄露的危害，是政府部門的應盡職責，要彌補政府監(jiān)管的短板，就必須提升責任部門的監(jiān)管能力。一要建立監(jiān)管人臉信息安全工作的專責機構，形成以法律為基準、多部門聯(lián)合行動的監(jiān)管制度，明確各責任部門的權責邊界，統(tǒng)一檢查、認定和處罰的標準，建立高效透明的人臉識別監(jiān)督管理制度，形成長期有效的政府監(jiān)管機制。二要強化政府內(nèi)部的自我監(jiān)管，依托信息技術，通過升級數(shù)據(jù)加密、限制訪問、智能檢測、防火墻系統(tǒng)、入侵預警系統(tǒng)等技術手段加強政府網(wǎng)站的人臉信息安全防護工作。此外還要重視“人的因素”，強化政府工作人員的信息安全意識，通過加強安全教育、簽署保密協(xié)議、開展保密培訓等形式，提升政府工作人員的信息保密能力，建立授權訪問、定期巡查、物理隔離存儲等安全保護制度，形成政府內(nèi)部的自我監(jiān)管體系。三要完善監(jiān)管措施。首先，要建立市場準入制度，存儲和利用人臉信息應得到事先的行政許可和一定的條件限制。其次，要加強對人臉信息安全的日常檢查工作，強化對政府部門、高風險行業(yè)等應用領域的監(jiān)管，對互聯(lián)網(wǎng)公司獲取個人信息進行嚴格監(jiān)管和限制。再次，要加大對惡意泄露、買賣、傳播公民人臉信息行為的打擊頻度和力度，通過實施“違法行為公示制度”“違法企業(yè)黑名單”等方式遏制公民人臉信息的泄露問題。最后，公安機關要對利用人臉信息實施電信詐騙的犯罪行為進行嚴厲打擊，保護公民的隱私安全、財產(chǎn)安全。

（三）強化企業(yè)安全管理和行業(yè)自律

對于企業(yè)而言，在技術上要提供除人臉識別之外的其他的識別、認證方式的范圍、時限和銷毀方式，避免進入人臉識別的技術孤島。同時，企業(yè)要提高存儲系統(tǒng)的安全性，實現(xiàn)人臉信息與其他個人信息的分離存儲，避免個人敏感信息“全套”泄露。在對企業(yè)員工的管理上，要通過培訓提升員工的安全防范意識和能力，細化企業(yè)的信息安全管理制度，防范人臉信息泄露的人為風險。對于行業(yè)整體而言，應制定和完善人臉信息采集和存儲的行業(yè)規(guī)范，細化人臉信息保護的技術標準，推行嚴格的行業(yè)準入和清退規(guī)則，健全行業(yè)內(nèi)部的問責機制，使問題企業(yè)難以在行業(yè)內(nèi)立足。同時，針對不同行業(yè)的特點，應制定符合行業(yè)特點的具體規(guī)定。例如，日本針對政府部門制定了《行政機關個人信息保護法》，針對地方公共團體制定了《個人信息保護條例》。簡言之，要通過技術升級、強化人員管理、健全行業(yè)規(guī)范等方式強化企業(yè)個體及行業(yè)整體的自律意識和能力，補足企業(yè)在人臉信息泄露問題方面存在的治理短板。

（四）提高個人的自我保護意識和能力

在相關法律體系尚未健全、政府監(jiān)管和行業(yè)自律體系尚未完善的情況下，提高個人的自我保護意識、增強個人的自我保護能力至關重要。一方面，要加大安全教育宣傳，提高公眾的人臉信息安全保護意識，養(yǎng)成良好的自我保護習慣，例如在非必要場合不進行人臉認證、及時注銷或刪除包含人臉信息的棄用賬號、減少使用人像處理的應用軟件；另一方面，個人要積極學習人臉信息安全保護知識，提高自我保護的能力，例如學習必備的網(wǎng)絡防護技能、學習有關信息保護的法律法規(guī)等。本文仍存在不足之處，后續(xù)研究可以進一步展開：第一，本文提及的人臉信息泄露危害，多為“顯性”的，即已經(jīng)或極有可能造成的、主要的危害，而“隱性”的，即難以被發(fā)覺、發(fā)生概率較小但仍存在的、進一步發(fā)展才會造成的危害（如因人臉信息泄露導致社會治理成本上升）尚需后續(xù)研究加以探討；第二，本文從所涉利益主體的視角分析了引發(fā)人臉信息泄露的主要原因，但并未詳細說明某一方面原因與危害結果之間的內(nèi)在引發(fā)機制，如企業(yè)對員工信息安全教育的缺失具體是怎樣引發(fā)信息泄露的、其間經(jīng)歷了怎樣的過程；第三，關于治理對策的研究，后續(xù)研究應針對某一方面加以具體論述，如選取政府監(jiān)管的視角，詳細闡述如何通過政府監(jiān)管更好地治理人臉信息泄露問題。

作者：王耀輝