2023年,中共中央、国务院印发的《数字中国建设整体布局规划》提出,建设公平规范的数字治理生态。这是数字化发展到一定阶段的必然要求,也是建设网络强国、数字中国的重要保障。近年来,随着我国数字经济的快速发展,催生出系列便捷高效的安全防护创新方案。其中,在“智慧安防”“人脸门禁”“刷脸支付”等众多场景中构筑起坚实的科技安全屏障。但人脸识别数据的广泛应用,也引发了数据非法流转等问题,亟须构建科学有效的治理框架,强化公民个人信息保护,培育健康网络生态,促进产业链中下游高质量发展。
人脸识别数据非法流转的现状及治理挑战
人脸识别数据非法流转的现状。其一,人脸识别数据非法流转场景多元,行为方式多样。一是商业场景中对人像的非法采集与滥用。如最高人民检察院2015年发布的检察技术支持公益诉讼检察典型案例中,2024年上海市青浦区A、B两家房地产企业在售楼处安装人脸抓拍系统,未经消费者同意收集2.8万余条人脸信息用于客户甄别。2026年3月,广东省人民检察院发布“3·15”消费者权益保护检察公益诉讼典型案例中,中山市人民检察院在中山游戏游艺设备非法采集案中,推动行政机关排查6398台设备,关闭或遮挡221台违规设备摄像头,并召开行业会议强化合规管理。二是黑客通过技术手段窃取人脸识别数据。近日,《湖南法治报》报道的2025年湖南AI换脸盗刷银行卡案中,大学生吴某利用AI技术生成动态视频,突破支付软件人脸识别验证,伙同诈骗团伙盗刷5万元,其行为被定性为盗窃罪、侵犯公民个人信息罪。三是部分私营企业与公共单位合作过程中未尽到应有的保密义务,导致人脸识别数据泄露。如今年1月最高检发布的个人信息保护检察公益诉讼典型案例“网络开盒”案中,杭州市临安区检察院发现,某网络平台通过“身份验证”模块非法获取公民人脸信息。其二,人脸识别数据非法流转呈现链条化、匿名化、技术依赖性特点。窃取人脸数据或对人脸数据进行伪造必须掌握相应技术,没有相应的信息技术手段就很难从网络系统中盗取人脸识别数据,若想伪造人脸识别数据则必须依赖AI等技术手段。人脸识别信息的数据属性使得对其的售卖多通过网络进行交易。这种交易的主体大多是非法网络账号,这些账号很难被追根溯源且会被迅速删除,因而具有匿名化特征。人脸识别数据作为许多平台的钥匙,使得数据失窃不只是个人隐私泄露,还会成为诱发一系列犯罪的导火索。人脸识别数据作为直接映射个体生理特征的核心数据,与人的行为轨迹、生活隐私的强关联性,决定了其一旦被非法利用,就可能引发诈骗、勒索、骚扰等一系列连锁侵害,且危害后果具有不可逆性。
人脸识别数据非法治理的现实挑战。其一,民事与行政救济有待加强。实践中,受格式条款影响,用户为了使用平台被迫“同意”霸王条款。同时,人脸数据的界定与分级不明,“可识别性”的标准不明。一般认为,“可识别性”分为直接识别的可能性及间接识别的可能性,前者一般指直接载有公民完整个人信息的载体,如公民个人身份证件等,而后者则通过对信息的回溯或者结合其他信息以完成对数据权利主体的识别。具有“可识别性”的主体是法律保护的对象,而当下随着信息时代的到来对个人信息的搜索变得越来越容易,不具有“可识别性”的人脸数据也会变得具有可识别性。此外,现行立法对违法行为的处罚力度不够,如《中华人民共和国消费者权益保护法》第五十六条规定,侵害消费者权益的违法行为罚款上限为50万元,与违法收益严重不成比例,且缺乏黑名单、行业禁止制度等,威慑力不足。其二,刑事保护不力。一是对人脸识别数据的刑法规制缺乏具体量化标准。根据最高人民法院第192号指导性案例:“颜值检测”等软件窃取的公民个人信息情况,具有明显的可识别性,包括直接识别的可能性,即具有公民完整个人信息的载体;间接识别的可能性,通过信息回溯及其他信息整合能够完成权利主体识别的情形。而随着大数据、人工智能技术的发展,信息的回溯性越来越强,通过“人肉搜索”,一张小小的照片足以查明整个人从工作、学历到家庭住址及近亲属的全部信息。一方面对可识别性缺乏明确执行指标,另一方面当下可识别性的定义需进行扩大解释。从《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》来看,在多个关键方面缺乏具体指导导致人脸识别数据的入罪界限相对模糊。二是现行法律未对人脸识别数据的相关涉罪行为的共犯进行清晰界定。人脸识别数据的非法流转具有过程性,从非法获取(泄露)到非法使用涉及多个环节,如何界定此类行为的共犯?亟待科学界定。
协同治理人脸识别数据非法流转的路径
完善法律制度。首先,民事和行政法规制层面,要科学界定人脸识别数据的法律属性。我国个人信息保护法对何种收集、使用、存储公民个人信息的方式为非法行为没有细致规定,需进一步完善。建议制定专项法规与配套标准,明确人脸识别数据分级分类保护制度。可以借鉴域外经验,如欧盟《通用数据保护条例》的严格保护模式,确立“目的限制原则”与“数据最小化原则”;或日本建立的“匿名化处理+加密存储”的双重保护机制,并定期检测安全漏洞。此外,形成“告知—同意—撤回”全流程合规机制,确定企业以“显著方式、清晰易懂的语言”履行告知义务。此外,要规定人脸识别数据的存储期限和存储方式,强化最短时间和本地存储方案。其次,刑事法律制度层面,降低入罪门槛,扩大规制范围。降低人脸识别数据非法流转的入罪门槛,对“情节严重”的情况加以解释,将批量抓取人脸识别数据、深度伪造人脸识别数据等行为纳入“情节严重”范围。同时,根据人脸识别数据非法流转的过程,将平台因泄露大量重要人脸信息的行为单独定罪,并根据故意过失设定不同责任,对相关开发者设置相应的刑事责任。要求平台坚持非不必要不采集原则,公安、网信等部门对平台采集人脸识别数据的行为负有监管、筛选、阻断等责任。
完善行政执法与刑事司法衔接。人脸识别数据非法转移具有“隐蔽性”“链条性”“巨大社会危害性”,执法部门要统一执法口径,坚持从严监管。要优化监管体系,确立“网信部门统筹+行业主管部门分工”的监管体系。要发挥准入制度的作用,对公共场所的人脸识别坚持必要性原则,并实行“安全认证+定期检测”。组建以关键技术人员、法学法律专家等为主的第三方评估机构,定期开展监督和审计工作,并形成检测报告,为行政执法提供有力的依据。要强化技术赋能侦查。以大数据人工智能为支撑,快速识别关键信息。如大数据监测程序一旦发现有非法使用他人人脸识别数据的情形,启动主动侦查模式进行追踪和封锁,确保刑事立案和侦查程序完全启动。此外,要发挥区块链技术不可篡改性、去中心化、透明性的优势,积极实施司法取证、存证等工作。
完善权利救济和司法保障。人脸识别数据的非法流转行为涉及多个方面且专业性强,可将其纳入公益诉讼范围。构建人脸识别数据泄露的应急响应机制,要求相关企业在信息泄露后24小时内应及时向相关监管部门报告。举证方面,公检法机关可以展开相关协助以弥补公民在维权方面的不足。此外,应充分考虑到未成年人权益的特殊保护需要,对涉及未成年人人脸识别数据非法流转的案件进行专门处理。
完善行业自律与社会共治体系。从国家层面看,要建立人脸识别数据安全标准体系。具体而言,在安全认证方面,确立有效的行业认证体系,如对符合ISO/IEC 27001(信息安全管理体系认证)标准的企业颁发认证标志;在房地产销售等场域构建隐私保护机制;推动行业协会制定“人脸识别技术应用伦理准则”等规范性文件,为人脸识别数据非法流转筑牢基层防范堤坝。企业层面,推行企业合规激励机制。促进企业通过安全认证,对相关遵守人脸识别数据安全的企业在税收及业务开展方面给予支持和优惠。通过正向激励、榜样宣传等,使得企业形成严格的自律意识,积极为人脸识别数据的安全采取有效措施,使企业主动担责,主动预防人脸识别数据非法流转。采取积极有效的宣传教育措施,增强公众防范意识。如通过举办“人脸识别数据安全月”等系列互动以案说法,宣讲关于人脸识别方面的典型案例及相关法律制度,增强人民群众防范个人隐私信息泄露的意识等。充分发挥平台作用,加强人脸识别数据非法流转的监管和辅助审核工作。可通过大数据平台技术对人脸识别数据非法流转实施有效检测、监管,打击人脸识别数据的非法流转行为。
网络安全关乎法律权威、民生福祉与网络平台长远发展,是数字时代社会治理的关键命题之一。通过构建“立法筑基—执法严控—司法救济—多元共治”的全链条防范体系,可以形成系统性防护网络:立法层面,要明确“非必要不刷脸”等原则,划定数据采集红线;执法环节,要强化对“社工库”黑灰产、AI换脸攻击等违法行为的精准打击;司法救济,要畅通公民维权渠道,探索公益诉讼赔偿金用于个人信息保护创新实践;多元共治,则要推动平台升级多模态生物识别技术、建立异常行为预警机制,引导公众养成“最小必要披露”的用网习惯。这一体系可以推动网络空间更加清朗有序,切实保障公民人脸识别数据等敏感信息的安全,从源头遏制电信网络诈骗、敲诈勒索等次生犯罪,为数字中国建设筑牢坚实的安全屏障。
(作者单位:中南财经政法大学刑事司法学院)
