近年来，中国将以人脸识别技术为代表的高新技术应用于社会治理，取得了显著成效，但技术进步及由此带来人的行为变化，也引发与既有法律政策体系的一系列碰撞。

　　人脸信息是以电子形式记录的，与已识别或者可识别的自然人有关的信息，属于《个人信息保护法》规定的个人信息。《个人信息保护法》关于个人信息处理原则、规则、权利与义务的规定同样适用于人脸信息的保护。

　　不仅如此，人脸数据是人脸信息载体，特殊主体的人脸数据或者达到一定规模的人脸数据的篡改、破坏、泄露或者非法获取、非法利用，完全有可能对国家安全、公共利益或者个人、组织合法权益造成危害，有可能被解释为重要数据，得到《数据安全法》的特殊保护。

　　总体而言，中国近期立法及政策导向，以及学者们对人脸识别规制的研究，新兴技术规制问题引发的实践与理论的双重关注，已经就多元规制思路达成共识，并且在法律规制、行政监管、行业自律等层面形成了较为全面的治理体系。

　　但是，无论是《个人信息保护法》《数据安全法》，还是其他法律，在人脸信息和人脸数据的保护领域主要扮演的是基础性法律角色，普遍存在可操作性不强的窘境。

　　当前数据治理走向复杂、多元、动态的复杂科学管理范式，无论从国家安全、公共安全还是公民权利视角，都应根据对人脸识别技术应用治理现状及风险的深刻观察，在业已出台的重要法律基础上开展更细致的立法工作，科学设计并坚定执行符合产业发展和安全管理双重需求的人脸识别技术应用立法规制路径。

　　人脸识别应用治理：前端治理为要

　　人脸识别技术的应用，涉及包括人脸信息和人脸数据的采集、使用、存储、传输、提供、删除等在内的整个数据生命周期，因而对人脸识别技术滥用以及由此引发的安全风险的治理，需要在各个环节发力，纵向上通盘考虑整个应用链条进行全面治理，横向上采取包括立法、执法、司法、行业、社会力量参与、宣传教育等在内的立体化应对措施。

　　不过，就当前人脸识别技术应用的法律政策规制而言，包括《刑法》《民法典》《网络安全法》《数据安全法》《个人信息保护法》《消费者权益保护法》等在内法律政策规定多属原则性规定，本质上属于事后救济模式，在人脸识别技术应用的纵向治理链条中处于末端，通常在发生涉人脸识别的民事、刑事、行政案件后才能启动相关程序开展治理，虽有一定特殊预防和一般预防效果，但易造成执法司法资源的大量消耗，也很难消除海量人脸数据泄露和发生衍生风险的隐患。

　　侧重对现实及潜在风险的前端治理，是网络时代风险治理的发展趋势。

　　例如，犯罪是最严重的社会风险之一，但现发案件和隐案数量庞大，犯罪发展的智能化以及网络犯罪的跨区、跨国特征，都使有限执法资源难以追随新型犯罪加速的步伐。最合理的应对，必然是要将犯罪治理前置到犯罪前端，采取综合的技术与制度性预防策略，推动社会秩序的良性运转，减轻执法压力，减少犯罪损失，减少犯罪的发生，避免已发生犯罪的产业链条继续延展，从重“打击”转向重“治理”，构建“以防为主、兼重打击、生态治理”的应对体系。

　　同理，对人脸信息和人脸数据的保护亦应从人脸识别技术应用的源头开始，从以民事赔偿、行政处罚和刑事处罚为主导的事后救济模式，转向监管部门主动作为、积极介入的前端控制，并以立法或标准形式将《个人信息保护法》等法律规定的原则转化为具有可操作性的规范，为监管部门提供介入的明确依据，提供符合一线执法特点的规范“产品”，实现人脸识别技术应用的有效源头治理，从而阻断针对该源头获取人脸信息和人脸数据的非法使用及泄露问题。

　　在责任分配层面，公安机关等政府职能部门对于公共秩序、公共场所视频图像信息系统、数据安全、网络安全与网络秩序等负有重要监管和保护职责，自然应担负人脸识别技术应用前端治理的义务。

　　人脸识别专门立法：以增强可操作性为目标

　　《网络安全法》《数据安全法》和《个人信息保护法》已经就数据、个人信息的保护提供较为全面的原则和规则指引，《民法典》为相应民事侵权行为及救济做出了较为完备的规定。但是，人脸信息作为一种外露的生物特征，除了具有生物特征信息的普遍性特征，还具有其自身的特殊性，特别是其收集过程无需数据主体的配合即可完成，立法需要对由于人脸识别技术特殊性所带来的现有法律框架难以妥善解决的问题进行回应。

　　例如：针对公共场所人脸信息的无感收集问题，如何确保个体的明知，并给予其是否接受人脸识别的选择权？因为无感采集，个体往往难以知晓被侵权事实且维权成本极高，监管部门如何补位？针对信息集中带来的风险问题，在加密存储人脸数据的基础上，是否应当通过物理或逻辑隔离的方式对人脸数据与其他数据包（包括其他个人信息）进行分别存储？当前过于粗疏的立法显然难以清晰回答这些问题。

　　因此，为便于公安机关等职能部门的提前介入，避免执法标准不一破坏法制统一性，仍有必要通过有更清晰明确指向的立法（特别是行政法规、部门规章和其他规范性文件），确保职能部门在执法过程中能够充分利用其自身的优势执法力量，开展技术应用可行性评估、安全评估等工作，对人脸信息、人脸数据的使用应用场景、影响效果等开展日常监测工作，感知技术应用带来的网络传播趋势、市场规则变化、网民行为等信息，预警技术应用可能产生的不规范、不公平、不公正等隐患。甚至在人脸识别技术应用设计及部署环节就积极介入，发现算法应用安全问题，研判算法应用产生的意识形态、社会公平、道德伦理等安全风险，并提出针对性应对措施。

　　从操作层面来看，需要在上位法框架下，以行政法规或部门规章形式，就人脸识别技术应用有效治理作出规定，着力化解安全风险。对于人脸识别技术应用担负较重职责的政府部门，也有必要在《个人信息保护法》等法律法规框架下，专门针对本部门出于履行法定职责需要而开展人脸识别技术应用设定实体和程序规则。

　　首先，要明确规定禁止开展人脸识别的场景。

　　应区分商业应用、行政执法和刑事执法等不同需求，分别设定禁用场景，包括建立应用场景的白名单和黑名单制度。需要注意的是，禁用场景往往是目的与程序相结合的综合判定。例如，任何应用主体非为医疗目的并经识别对象同意，不得利用人脸识别技术分析其健康状态；无合法依据不得在人脸识别同时利用人脸信息开展情绪、心理活动、宗教信仰等分析活动。即便可以给予最宽松规制环境的刑事执法，至少也要受到广义刑事诉讼法有关侦查取证规定的制约，仍然存在绝对不可应用和不经法定程序不可应用人脸识别技术的领域。

　　其次，建立人脸识别技术应用备案和年度评估制度。

　　应当明确要求人脸识别技术应用者根据其业务内容向对应主管部门进行备案。如，在公共场所安装摄像头的人脸识别技术应用，应在本地公安机关备案。为了实现更好地监管，具备一定规模（以人脸数据处理量或营收规模等为基准）的人脸识别技术应用主体应接受定期安全评估，以应用主体向对应主管部门提交评估报告为基础，主管部门视情决定是否开展现场检查。

　　再次，设定主要应用场景的安全要求。

　　应当在《数据安全法》和《个人信息保护法》的强制性规定之下，以数据安全为核心，对人脸信息和人脸数据的处理做出明确要求，将这两部法律的数据安全要求和个人信息保护要求落到实处。

　　例如，可以要求人脸数据的处理原则上应在本地（终端）完成，除非为了更大法益，不得通过公共网络传输。在个人终端即可实现人脸识别目的的，人脸数据不得传出该设备；人脸数据留存最小化，以满足业务需求为上限，且需严格禁止人脸数据用于法律法规规定或经个人授权同意之外的其他目的；除非为履行法定职责开展进一步调查或者履行法定存证义务等目的，已采集或产生的人脸数据应在完成人脸识别功能后立即删除；采用人脸识别技术的服务停止、数据存储期限届满、个人撤回同意授权（包括积极撤回和消极撤回）时，应当及时删除人脸数据；不能将人脸图片的公开视为理所当然的人脸识别授权，使用这类人脸数据仍需遵循人脸识别技术应用的一般规则；人脸识别技术应用者原则上不能委托第三方处理人脸数据，确需委托的，必须事先采取安全措施，确认受托方的数据安全保障能力不低于委托方，并签署相应协议和配套严格监管措施。