人脸识别信息的删除权与遗忘权研究报告

人脸识别信息的删除权与遗忘权研究报告一、人脸识别信息的法律属性界定（一）人脸识别信息的内涵与外延人脸识别信息是指通过人脸识别技术采集、处理、存储的与特定自然人身份相关联的生物特征信息。其核心内容包括人脸图像、面部特征点数据、人脸模板等，这些信息能够唯一识别特定自然人的身份。从外延来看，人脸识别信息不仅包括直接采集的原始人脸图像，还包括经过算法处理后生成的衍生数据，如人脸特征向量、人脸比对结果等。这些衍生数据虽然不直接呈现为人脸图像，但同样能够与特定自然人建立关联，具有识别身份的功能。（二）人脸识别信息的法律性质人脸识别信息属于个人信息的范畴，具有人格权属性。根据《中华人民共和国民法典》第一千零三十四条的规定，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。人脸识别信息作为能够唯一识别特定自然人的生物特征信息，显然属于个人信息的一种。同时，人脸识别信息与自然人的人格尊严密切相关，其被非法采集、使用、泄露等行为可能会对自然人的人格权造成侵害。因此，人脸识别信息应当受到人格权法律制度的保护。此外，人脸识别信息还具有财产权属性。在大数据时代，人脸识别信息具有巨大的商业价值。企业可以通过对人脸识别信息的分析和挖掘，了解消费者的行为习惯、兴趣爱好等，从而进行精准营销。同时，人脸识别技术也被广泛应用于安防、金融、交通等领域，为社会带来了巨大的经济效益。因此，人脸识别信息的财产权属性也应当得到法律的认可和保护。二、人脸识别信息删除权与遗忘权的理论基础（一）人格权理论人格权是指民事主体依法享有的，为维护其独立人格所必备的基本权利。人脸识别信息作为自然人的生物特征信息，与自然人的人格尊严密切相关。删除权和遗忘权作为人格权的具体体现，其目的在于保护自然人的人格尊严和人格自由。当人脸识别信息被非法采集、使用、泄露等行为侵害时，自然人有权要求删除相关信息，以恢复其人格尊严和人格自由。（二）信息自决权理论信息自决权是指自然人对其个人信息享有自主决定的权利，包括决定是否提供个人信息、如何使用个人信息、何时删除个人信息等。人脸识别信息作为自然人的个人信息，自然人应当对其享有信息自决权。删除权和遗忘权是信息自决权的具体体现，其赋予了自然人对其人脸识别信息的控制权，使自然人能够自主决定其人脸识别信息的存在状态。（三）利益平衡理论在大数据时代，人脸识别信息的商业价值和社会价值日益凸显。企业和社会对人脸识别信息的需求也越来越大。然而，人脸识别信息的采集、使用、存储等行为也可能会对自然人的人格权造成侵害。因此，需要在个人利益和社会利益之间进行平衡。删除权和遗忘权的设立，既能够保护自然人的人格权，又能够促进人脸识别技术的合理应用，实现个人利益和社会利益的平衡。三、人脸识别信息删除权与遗忘权的立法现状（一）国际立法现状1.欧盟欧盟在个人信息保护领域处于世界领先地位。2018年5月25日，欧盟《通用数据保护条例》（GDPR）正式生效。GDPR规定了数据主体的删除权和遗忘权。根据GDPR第十七条的规定，数据主体有权要求数据控制者删除其个人数据，数据控制者应当在特定情况下删除相关数据。同时，GDPR还规定了数据主体的被遗忘权，即数据主体有权要求搜索引擎删除与其相关的搜索结果，以避免其个人信息被广泛传播。2.美国美国在个人信息保护领域采用分散立法的模式。目前，美国尚未制定统一的个人信息保护法，但在一些特定领域制定了相关的法律法规。例如，《公平信用报告法》（FCRA）规定了消费者对其信用报告信息的删除权；《视频隐私保护法》（VPPA）规定了消费者对其视频租赁信息的删除权。此外，美国一些州也制定了相关的个人信息保护法规，如加利福尼亚州的《消费者隐私法案》（CCPA）规定了消费者对其个人信息的删除权和知情权。（二）国内立法现状1.法律层面《中华人民共和国民法典》第一千零三十七条规定，自然人可以依法向信息处理者查阅或者复制其个人信息；发现信息有错误的，有权提出异议并请求及时采取更正等必要措施。自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求信息处理者及时删除。这一规定为自然人的个人信息删除权提供了法律依据。《中华人民共和国个人信息保护法》第四十七条规定，有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：（一）处理目的已实现、无法实现或者为实现处理目的不再必要；（二）个人信息处理者停止提供产品或者服务，或者保存期限已届满；（三）个人撤回同意；（四）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；（五）法律、行政法规规定的其他情形。这一规定进一步明确了个人信息删除权的行使条件和程序。2.行政法规和部门规章层面《信息安全技术个人信息安全规范》（GB/T35273-2020）规定了个人信息处理者在处理个人信息时应当遵循的原则和要求，其中包括个人信息的删除权。根据该规范，个人信息处理者应当在个人信息处理目的已实现、无法实现或者为实现处理目的不再必要时，及时删除个人信息；个人信息处理者应当在个人撤回同意或者个人信息处理者违反法律、行政法规或者违反约定处理个人信息时，及时删除个人信息。此外，《网络安全法》《数据安全法》等法律法规也对个人信息的保护作出了相关规定，为人脸识别信息的删除权和遗忘权提供了法律保障。四、人脸识别信息删除权与遗忘权行使的现实困境（一）技术困境1.信息存储的分散性在大数据时代，人脸识别信息通常被存储在多个不同的数据库中，包括企业的内部数据库、云服务提供商的数据库、政府部门的数据库等。这些数据库之间可能没有建立有效的信息共享机制，导致人脸识别信息的存储分散。当自然人要求删除其人脸识别信息时，个人信息处理者需要在多个数据库中进行查找和删除操作，这无疑增加了删除操作的难度和成本。2.信息复制的便捷性人脸识别信息作为电子数据，具有复制便捷的特点。一旦人脸识别信息被复制到其他地方，个人信息处理者可能无法完全控制这些复制信息的传播和使用。当自然人要求删除其人脸识别信息时，个人信息处理者可能只能删除其控制范围内的信息，而无法删除其他地方的复制信息。这使得删除权和遗忘权的行使面临技术上的难题。3.算法的不透明性人脸识别技术通常基于复杂的算法，这些算法的具体实现细节往往不对外公开。当自然人要求删除其人脸识别信息时，个人信息处理者可能无法准确判断哪些信息是与该自然人相关的，哪些信息是经过算法处理后生成的衍生数据。这使得删除操作的准确性受到影响，可能会导致部分与该自然人相关的信息无法被删除。（二）法律困境1.法律规定的模糊性虽然我国已经制定了一系列与个人信息保护相关的法律法规，但这些法律法规在人脸识别信息删除权和遗忘权的规定方面还存在一些模糊性。例如，《个人信息保护法》第四十七条规定了个人信息删除权的行使条件，但对于“处理目的已实现、无法实现或者为实现处理目的不再必要”等条件的具体判断标准并没有作出明确规定。这使得个人信息处理者在实际操作中难以准确把握这些条件，可能会导致删除权的行使出现偏差。2.法律责任的不明确性当个人信息处理者违反法律规定，拒绝删除自然人的人脸识别信息时，应当承担何种法律责任，我国法律法规并没有作出明确规定。这使得自然人在行使删除权和遗忘权时，缺乏有效的法律救济途径。如果个人信息处理者拒绝删除相关信息，自然人可能只能通过民事诉讼的方式来维护自己的合法权益，但民事诉讼的程序复杂、成本高昂，这对于自然人来说是一个不小的负担。3.跨境数据传输的法律冲突在全球化背景下，人脸识别信息的跨境传输日益频繁。不同国家和地区的个人信息保护法律法规存在差异，这可能会导致人脸识别信息删除权和遗忘权的行使面临法律冲突。例如，当自然人的人脸识别信息被传输到国外时，自然人要求删除其人脸识别信息可能会受到国外法律法规的限制。这使得删除权和遗忘权的行使在跨境场景下变得更加复杂。（三）利益冲突困境1.个人利益与商业利益的冲突人脸识别信息具有巨大的商业价值，企业可以通过对人脸识别信息的分析和挖掘，获取商业利益。当自然人要求删除其人脸识别信息时，企业可能会因为担心失去商业利益而拒绝删除相关信息。这使得个人利益与商业利益之间产生冲突。如何在保护个人利益的同时，兼顾企业的商业利益，是人脸识别信息删除权和遗忘权行使过程中需要解决的一个重要问题。2.个人利益与公共利益的冲突人脸识别技术在安防、交通、金融等领域的应用，为社会带来了巨大的公共利益。例如，人脸识别技术可以用于公共安全监控，帮助公安机关打击犯罪；可以用于交通管理，提高交通效率；可以用于金融服务，防范金融风险。当自然人要求删除其人脸识别信息时，可能会影响到这些公共利益的实现。这使得个人利益与公共利益之间产生冲突。如何在保护个人利益的同时，维护公共利益，是人脸识别信息删除权和遗忘权行使过程中需要解决的另一个重要问题。五、完善人脸识别信息删除权与遗忘权的建议（一）技术层面的建议1.建立统一的信息存储和管理平台为了解决人脸识别信息存储分散的问题，建议建立统一的信息存储和管理平台。该平台可以由政府部门或者第三方机构运营，负责对人脸识别信息进行集中存储和管理。个人信息处理者在采集人脸识别信息后，应当将相关信息上传到该平台进行存储。当自然人要求删除其人脸识别信息时，个人信息处理者只需要在该平台上进行删除操作即可，这将大大提高删除操作的效率和准确性。2.采用区块链技术保障信息的可追溯性区块链技术具有去中心化、不可篡改、可追溯等特点。建议采用区块链技术对人脸识别信息的采集、使用、存储等过程进行记录和管理。通过区块链技术，自然人可以实时了解其人脸识别信息的使用情况，当发现其人脸识别信息被非法使用时，可以及时采取措施进行维权。同时，区块链技术也可以为人脸识别信息的删除操作提供技术支持，确保删除操作的可追溯性和准确性。3.加强算法的透明度和可解释性为了解决算法不透明的问题，建议加强人脸识别算法的透明度和可解释性。个人信息处理者应当公开人脸识别算法的基本原理和决策逻辑，让自然人了解其人脸识别信息是如何被处理和使用的。同时，个人信息处理者还应当提供算法的解释服务，当自然人对其人脸识别信息的处理结果有异议时，应当能够向自然人解释算法的决策过程。这将有助于提高自然人对人脸识别技术的信任度，促进人脸识别技术的健康发展。（二）法律层面的建议1.明确法律规定的具体内容建议进一步完善与个人信息保护相关的法律法规，明确人脸识别信息删除权和遗忘权的行使条件、程序和法律责任。例如，应当明确“处理目的已实现、无法实现或者为实现处理目的不再必要”等条件的具体判断标准；应当规定个人信息处理者在收到自然人的删除请求后，应当在多长时间内作出答复和处理；应当明确个人信息处理者违反法律规定拒绝删除自然人的人脸识别信息时，应当承担的法律责任，包括民事责任、行政责任和刑事责任等。2.建立多元化的法律救济途径为了保障自然人的删除权和遗忘权得到有效行使，建议建立多元化的法律救济途径。除了民事诉讼途径外，还可以建立行政救济途径和公益诉讼途径。行政救济途径可以由个人信息保护监管部门负责，当自然人认为其删除权和遗忘权受到侵害时，可以向该部门投诉举报，该部门应当依法进行调查和处理。公益诉讼途径可以由检察机关或者消费者协会等社会组织负责，当人脸识别信息的非法采集、使用、泄露等行为损害了社会公共利益时，这些社会组织可以向人民法院提起公益诉讼。3.加强跨境数据传输的法律监管为了解决跨境数据传输的法律冲突问题，建议加强跨境数据传输的法律监管。政府部门应当制定跨境数据传输的规则和标准，明确个人信息处理者在跨境传输人脸识别信息时应当遵循的原则和要求。同时，政府部门还应当加强与其他国家和地区的合作，推动建立跨境数据传输的国际规则和标准，为人脸识别信息的跨境传输提供法律保障。（三）利益平衡层面的建议1.建立个人信息保护与商业利益平衡机制为了平衡个人利益与商业利益之间的冲突，建议建立个人信息保护与商业利益平衡机制。个人信息处理者在采集、使用人脸识别信息时，应当遵循合法、正当、必要的原则，不得过度采集和使用人脸识别信息。同时，个人信息处理者应当向自然人提供合理的补偿，以弥补自然人因提供人脸识别信息而可能遭受的损失。例如，个人信息处理者可以向自然人提供一定的经济补偿或者服务优惠等。2.建立个人信息保护与公共利益平衡机制为了平衡个人利益与公共利益之间的冲突，建议建立个人信息保护与公共利益平衡机制。在涉及公共利益的领域，如安防、交通、金融等，个人信息处理者可以在法律规定的范围内采集和使用人脸识别信息，但应当采取必要的措施保护自然人的个人信息安全。同时，政府部门应当加强对这些领域的监管，确保人脸识别信息的采集和使用符合公共利益的要求。当个人利益与公共利益发生冲突时，