人臉信息泄露風險評估及治理對策

導語：人臉信息泄露風險評估及治理對策一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：鑒于人臉信息泄露所引發的安全事件層出不窮，亟須對此進行專門的泄露危害和治理對策研究，并從多元主體的視角提出治理對策。研究發現：第一，人臉信息泄露所造成的危害具有多重性，涉及個人、企業、政府等多個主體，隱私安全、財產安全、信譽聲譽等多個方面；第二，根據“兩頭強化、三方平衡”理論，可將引起人臉信息泄露的原因歸納為法律規制的分散、政府監管的滯后、企業行業缺乏自律及公民個人維權意識和能力不足四個方面；第三，在治理對策上，應從構建完備法律體系、提升政府監管能力、強化企業行業自律、提高公民個人自我保護意識和能力四個方面發力。

關鍵詞：人臉信息；泄露風險；治理對策

在社會日益智能化和信息化的時代背景之下，伴隨著大數據、云計算等關聯技術的突破，人臉識別技術得以快速發展和應用，海量的人臉信息被采集、存儲和利用。一方面，人臉識別技術給人們的生活帶來了便利，在金融支付、考勤門禁、智能安防以及教育、醫療、公共衛生等多個領域展現出強大的賦能效應，尤其是在新冠肺炎疫情防控期間，因人臉識別技術具有非接觸的特點，減少了人與人、人與物的接觸，降低了病毒擴散的風險，由此在實名登記、交通安檢、支付轉賬等多個領域得以迅速擴張[1]。另一方面，由人臉信息泄漏帶來的風險也不容小覷。2019年出現了“中國人臉識別第一案”，因涉及人臉信息泄露問題，杭州野生動物世界被起訴，此案引起學界對人臉識別安全問題的高度關注。與此類似，商家非法買賣人臉信息造成大量人臉信息泄露的事件也陸續被媒體曝光[2]。《人臉識別應用公眾調研報告（2020）》指出，超九成的受訪者使用過人臉識別技術，超六成受訪者認為技術有濫用的趨勢，而超三成的受訪者表示已經因人臉信息泄露、濫用等遭受損失或隱私被侵犯。由此可見，在人臉識別技術滲透程度日益加深的同時，伴其而來的人臉信息的泄露問題、危害及其治理策略需要加以系統研究。

一、研究述評

目前，學界對于人臉信息泄露的危害及治理對策的研究，主要集中于兩個領域：一是計算機科學領域，即從計算機科學理論和技術角度探究泄露問題并提出治理對策；二是社會科學領域，即從法學、社會學等角度探究信息泄露的危害并提出治理對策。具體而言，在計算機科學領域，集中在技術層面，主要是從關鍵算法、加密方案、系統設計方面分析技術漏洞并提出安全防范措施[3]，如基于SIFT的安全算法、基于認證與密鑰技術的人臉特征保護技術、基于特殊安全模組的人臉信息采集等；而在社會科學領域，對于人臉信息泄露的危害及治理對策研究，則集中在法律層面，學界主要從個人信息權、法律規制路徑、法律制度和立法路徑等方面研究其危害并提出法律對策。總體而言，針對人臉信息泄露的危害及治理對策研究，計算機科學領域的研究較為透徹，社會科學領域的研究較少且集中于法學層面，較少對其進行全面梳理。鑒于此，筆者試圖突破現有研究視角較為單一的局限性，根據“兩頭強化，三方平衡”理論[4]，從法律、政府、行業、公民個人等視角探究人臉信息泄露的危害并提出治理對策。

二、人臉信息泄露的危害

（一）危害個人隱私安全

人臉信息屬于個人敏感信息，泄露個人敏感信息的行為構成對個人隱私權的侵犯[5]，公民的隱私安全受到法律保護、不應被非法收集、存儲、處理和公開，易言之，法律對公民的人臉信息安全和隱私安全給予了原則性的規定和保護。但現實中，違反法律規定，泄露公民人臉信息、危害公民隱私安全的事件卻屢屢發生，據《人臉識別應用公眾調研報告（2020）》顯示，超過三成的受訪者表示當前隱私泄露問題突出。人臉信息泄露給隱私安全帶來的危害，主要體現在兩個方面：一是人臉信息屬于生物識別信息，運用大數據等關聯技術對生物識別信息進行處理，便可分析出個人的年齡、性別、情緒甚至身體狀況等其他個人信息，因此人臉信息發生泄露的同時，就可能伴隨著個人關聯信息的同步泄露，這無疑是對隱私安全的嚴重威脅；二是不法分子為實現報復、誹謗等目的，借助網絡社會的放大效應，非法公開包括人臉信息在內的個人隱私信息并在短時間內快速傳播，導致個人隱私信息非法擴散，嚴重干擾公民正常的生活秩序，危害隱私安全中的秘密權和安寧權。

（二）危害個人財產安全

人臉信息在科技、人文等領域具有較高的財產價值[6]，泄露人臉信息的行為涉嫌侵犯主體的財產安全，而實踐中因人臉信息泄露遭受財產損失的主體是公民個人。不法分子利用被泄露的人臉信息侵犯公民財產安全的行為表現為兩個方面：一是不法分子掌握了公民的人臉信息以及與之關聯的其他隱私信息，就可能利用這些信息和網絡系統的漏洞“騙過”身份識別系統，盜取公民的網絡賬號和賬號內財產。二是不法分子掌握了受害人具體、準確的個人信息，可以借助這些信息實施敲詐勒索和電信詐騙。因此，人臉信息的泄露對公民的財產安全形成了一定的威脅。

（三）危害組織公信力及信譽

人臉信息的泄露不僅會對公民個人的隱私安全、財產安全造成危害，長此以往，還會危害政府部門的公信力以及相關企業的信譽[7]。在大眾認知中，政府網站作為政府的門戶，具有較高的可信度，政府網站理應是安全的、可靠的，政府網站的建設和發展也是為了進一步提高行政效能和群眾滿意度，進而提升政府的公信力。然而，近年來卻多次發生政府網站被攻擊、網站內存儲的包括人臉信息在內的個人信息發生泄露的惡性事件，如2018年安徽多地政府網站頻現個人信息泄露、2020年山東某市政府門戶網站泄露執法人員個人信息等。此類事件的發生，引發了公眾對政府網站安全性和可靠性的懷疑，影響了公眾對政府網站的信任程度，進而減損政府部門的公信力。對于企業而言，其存儲的人臉信息安全與否是影響用戶對其信任程度的重要因素，“2019年深網世界百萬人臉數據泄露”“2020年ClearviewAI公司30億張人臉數據發生泄露”事件直接反映出部分企業人臉信息保護機制不健全，用戶對人臉信息是否會通過企業造成泄露產生懷疑、對企業的信任程度大打折扣[8]，企業的信譽也深受其負面影響。

三、人臉信息泄露的原因分析

從個人信息保護的角度出發，“兩頭強化，三方平衡”理論認為，個人信息保護涉及國家、信息從業者和公民個人三方利益的平衡[4]，因此可將人臉信息泄露所涉主體歸納為國家、從業者和公民個人三方，國家層面又可以進一步劃分為法律和政府兩個維度。筆者從法律、政府、企業、公民個人四個方面對人臉信息泄露的原因進行分析。

（一）法律規制分散，尚未形成合力

人臉識別技術帶來了便捷，但便捷不等于安全，缺乏有效的法律規制，極易造成技術的“野蠻生長”[9]。目前，我國關于人臉信息泄漏的法律規制，雖有《民法典》《網絡安全法》《消費者權益保護法》《刑法》和《信息安全技術個人信息安全規范》等多部法律法規，但相關規定存在操作性不強、執行效果差、救濟措施不完善等不足之處。一方面，雖有多部法律對其進行規制，但法律的規定過于原則化，僅指明人臉識別技術的應用和人臉信息的采集、處理要遵循“合法、正當、必要”的原則，而缺乏配套的司法解釋和具體的實施細則，針對性和可操作性不足，并且現有的法律規定未明確執法的主體及其權利和責任，導致法律在實踐中可執行力不足、執行效果較差[10]。以2015年出臺的《刑法修正案（九）》為例，雖增設了“嚴重侵犯公民個人信息的行為可認定為侵犯公民個人信息罪，依法可追究法律責任”的規定，但因缺乏對事實認定和量刑情節的具體規定，導致司法機關在處理具體案件時“有法難依”，難以實現對該類犯罪的有效追訴；另一方面，在法律事先規定并不明確的情況下，有關事后救濟、懲罰的法律規定也不完善，法律救濟、懲罰措施的方式單一、力度不足、效果較差[6]。在司法實踐中，對泄露人臉信息的企業的處理，主要以行政約談的方式進行，處罰力度較輕，往往只是企業內部自查、完善企業內部安全管理等，而對于個人侵權的處理，主要依據《侵權責任法》，救濟途徑多為簡單的賠禮道歉、賠償損失。綜上所述，針對人臉信息的泄露問題，在法律方面存在一定的漏洞和不足。

（二）政府監管滯后，凸顯制度困境

防范和化解人臉信息泄露的危害，政府的監管職責必不可缺。但日趨嚴峻的安全形勢表明，政府的監管未達到理想效果，尤其是在監管主體、監管制度、監管措施方面存在明顯不足。1.監管主體不明確、權責不清晰。人臉信息安全監管工作涉及公安、工信、市場監管等多個政府部門，應由權責明確的專門機構統一負責[11]，我國目前尚未建立權責一致的專職監管機構。同時，由于缺乏明確的法律規定，政府內部各責任部門的權責劃分并不清晰，面對具體問題時，易出現推諉扯皮、敷衍了事等消極現象。既無專責機構，又無理想的合作機制，政府難以實現對人臉信息保護的有效監管。2.政府內部缺乏有效的監督管理制度。在“智慧政務”政策指引下，大量政務工作轉至互聯網平臺，政府網站存儲了海量的包括人臉信息在內的個人敏感信息，而政府網站的安全建設卻明顯滯后，具體表現為部分政府網站缺乏必要的保密審查和安防建設，負責網站安全工作的責任人員未嚴格遵守安全管理規定甚至違規操作。政府反而成為信息泄露的源頭，這不僅使人臉信息大量外泄，還嚴重損害了政府的公信力[7]，暴露出監管主體的問題。3.監管措施不完善、滯后性強。相對于技術的快速發展，面對人臉信息泄露引發的安全問題，政府部門的監管措施卻表現出明顯的滯后性。一是尚未建立起統一的市場準入制度，缺乏必要的門檻對人臉信息采集予以限制，在源頭上存在監管漏洞。二是由于缺乏有效的監督管理制度和聯合執法活動，政府部門在日常的監管工作中難以及時發現泄露隱患，從而為可能引發的信息泄露埋下了“伏筆”。三是要實現對人臉信息安全保護工作的有效監管，就必須與時俱進，掌握人臉識別的技術原理、技術特點、技術漏洞以及云計算、大數據處理等關聯技術，而這些恰恰是現階段政府監管部門所欠缺的[12]。這種監管措施的滯后性為不法分子利用監管漏洞從事違法犯罪活動提供了可乘之機。

（三）企業責任真空，行業亟須自律

從應用領域來看，網絡服務提供商、電商平臺等企業單位已經成為人臉信息泄露的主要來源[10]，這些企業為開展業務采集、存儲了海量的人臉信息，但對于保護人臉信息安全卻明顯乏力。究其原因，一方面，部分企業罔顧社會責任，輕視信息安全保護工作，缺乏健全的內部管理制度，安全管理工作十分松懈；另一方面，整個行業缺乏行之有效的行業自律規范。以互聯網行業為例，雖有《中國互聯網行業自律公約》對互聯網企業采集的用戶信息保護進行規定，但該類公約大多執行力差、約束力弱，多數企業未嚴格按照公約的規定保護人臉信息安全[10]。此外，由于缺乏有效的行業懲處制度，企業違法的風險小、成本低，違法企業得不到及時清退，整個行業難以杜絕人臉信息泄露事件的發生。

（四）保護意識匱乏，維護能力低下

隨著人臉識別及其關聯技術的發展，“刷臉進門”“刷臉打卡”“刷臉支付”等現象已經成為人們的生活常態。在此情況下，相較于身份證號碼等其他個人敏感信息而言，公民對人臉信息被采集、存儲的現象早已“習以為常”，對信息被泄露也已“見怪不怪”，而恰恰是這種“習以為常”和“見怪不怪”削弱了人們對人臉信息安全的保護意識。同時，個人也缺乏維護自身人臉信息安全的能力，在大數據時代，個人信息傳播得速度更快、人臉信息流轉的主體更多，不法分子惡意泄露和盜用人臉信息的可能性也就更大，個人對人臉信息的控制能力便大大減弱。此外，由于現行法律和政府監管制度不健全，面對惡意泄露和盜用人臉信息的行為，個人缺乏有效的維權途徑和措施[13]，可以說，就人臉信息泄露問題，公民個人在主觀上缺乏保護意識，在客觀上缺乏保護能力。

四、人臉信息泄露的多元主體治理對策

如上所述，人臉信息的泄露對公民、政府、企業等多個主體形成了危害，人臉信息泄露已成為社會治理新的難題。從利益相關者的角度出發，應針對人臉信息泄露，形成以法律法規為依托，政府、企業、公民個人等多元主體共同參與的治理格局[12]。

（一）構建完備的法律體系

法律是人臉信息保護工作的依據，構建完備的法律體系是治理人臉信息泄露問題的基礎。鑒于現行法律體系在針對性、可操作性、執行效果等方面的不足[10]，應在《憲法》《民法典》等法律基礎上，推動《個人信息保護法》等針對性法律法規的出臺和實施，將“合法、正當、必要”等法律的原則性規定落實為可操作性強的具體規范，為政府監管和公民維權提供具體依據，在法律層面為人臉信息的保護工作提供指引。進一步而言，可以鼓勵地方先行立法，繼而推動全國性法律規范的出臺。例如美國加利福尼亞州和華盛頓州于2019年、2020年相繼出臺了攝像頭責任法案和首個州級的人臉識別專門法律，此類地方法案為全國立法指明了方向，推動了人臉信息保護的法律進程[14]。此外，對于泄露公民人臉信息行為的懲治，應在《刑法》《行政處罰法》的基礎上，出臺相應的司法解釋和地方性法規，明確泄露者的法律責任，加大處罰力度，增加處罰措施，細化處罰標準，明確政府相關部門的職責和權限，拓寬公民維權的法律途徑，為人臉信息泄露的懲治和救濟工作提供法律保障。

（二）提升政府的監管能力

加強對人臉信息安全工作的監督和管理，防范和化解人臉信息泄露的危害，是政府部門的應盡職責，要彌補政府監管的短板，就必須提升責任部門的監管能力。一要建立監管人臉信息安全工作的專責機構，形成以法律為基準、多部門聯合行動的監管制度，明確各責任部門的權責邊界，統一檢查、認定和處罰的標準，建立高效透明的人臉識別監督管理制度，形成長期有效的政府監管機制。二要強化政府內部的自我監管，依托信息技術，通過升級數據加密、限制訪問、智能檢測、防火墻系統、入侵預警系統等技術手段加強政府網站的人臉信息安全防護工作。此外還要重視“人的因素”，強化政府工作人員的信息安全意識，通過加強安全教育、簽署保密協議、開展保密培訓等形式，提升政府工作人員的信息保密能力，建立授權訪問、定期巡查、物理隔離存儲等安全保護制度，形成政府內部的自我監管體系。三要完善監管措施。首先，要建立市場準入制度，存儲和利用人臉信息應得到事先的行政許可和一定的條件限制。其次，要加強對人臉信息安全的日常檢查工作，強化對政府部門、高風險行業等應用領域的監管，對互聯網公司獲取個人信息進行嚴格監管和限制。再次，要加大對惡意泄露、買賣、傳播公民人臉信息行為的打擊頻度和力度，通過實施“違法行為公示制度”“違法企業黑名單”等方式遏制公民人臉信息的泄露問題。最后，公安機關要對利用人臉信息實施電信詐騙的犯罪行為進行嚴厲打擊，保護公民的隱私安全、財產安全。

（三）強化企業安全管理和行業自律

對于企業而言，在技術上要提供除人臉識別之外的其他的識別、認證方式的范圍、時限和銷毀方式，避免進入人臉識別的技術孤島。同時，企業要提高存儲系統的安全性，實現人臉信息與其他個人信息的分離存儲，避免個人敏感信息“全套”泄露。在對企業員工的管理上，要通過培訓提升員工的安全防范意識和能力，細化企業的信息安全管理制度，防范人臉信息泄露的人為風險。對于行業整體而言，應制定和完善人臉信息采集和存儲的行業規范，細化人臉信息保護的技術標準，推行嚴格的行業準入和清退規則，健全行業內部的問責機制，使問題企業難以在行業內立足。同時，針對不同行業的特點，應制定符合行業特點的具體規定。例如，日本針對政府部門制定了《行政機關個人信息保護法》，針對地方公共團體制定了《個人信息保護條例》。簡言之，要通過技術升級、強化人員管理、健全行業規范等方式強化企業個體及行業整體的自律意識和能力，補足企業在人臉信息泄露問題方面存在的治理短板。

（四）提高個人的自我保護意識和能力

在相關法律體系尚未健全、政府監管和行業自律體系尚未完善的情況下，提高個人的自我保護意識、增強個人的自我保護能力至關重要。一方面，要加大安全教育宣傳，提高公眾的人臉信息安全保護意識，養成良好的自我保護習慣，例如在非必要場合不進行人臉認證、及時注銷或刪除包含人臉信息的棄用賬號、減少使用人像處理的應用軟件；另一方面，個人要積極學習人臉信息安全保護知識，提高自我保護的能力，例如學習必備的網絡防護技能、學習有關信息保護的法律法規等。本文仍存在不足之處，后續研究可以進一步展開：第一，本文提及的人臉信息泄露危害，多為“顯性”的，即已經或極有可能造成的、主要的危害，而“隱性”的，即難以被發覺、發生概率較小但仍存在的、進一步發展才會造成的危害（如因人臉信息泄露導致社會治理成本上升）尚需后續研究加以探討；第二，本文從所涉利益主體的視角分析了引發人臉信息泄露的主要原因，但并未詳細說明某一方面原因與危害結果之間的內在引發機制，如企業對員工信息安全教育的缺失具體是怎樣引發信息泄露的、其間經歷了怎樣的過程；第三，關于治理對策的研究，后續研究應針對某一方面加以具體論述，如選取政府監管的視角，詳細闡述如何通過政府監管更好地治理人臉信息泄露問題。

作者：王耀輝