人脸识别信息的数据合规进路

要目

一、问题之缘起

二、人脸识别信息内涵及数据合规的意蕴

三、人脸识别数据在内的个人信息合规

四、规制数据合规的系统性路径

结语

随着人工智能技术的发展，人脸识别技术日渐成熟，并且相比于指纹识别、虹膜识别等其他生物识别技术，人脸识别技术因其“非接触性”的特点更容易进行远程快速采集，被普遍运用到社会生活中。现阶段，我国各行业数据资源丰富，价值优势突出，利益相关方蜂拥而至，且随着各行各业数据内外部应用的同步拓展和推进，数据合规问题日益凸显，严重阻碍数据资源价值释放，数据合规需求更加迫切，数据合规研究及指导落地刻不容缓。未来，人脸识别数据在内的个人信息处理应坚持合法、正当、必要与告知-同意原则，规制数据合规的系统性路径则应健全个人信息保护组织机构、树立个人信息保护合规价值观，从而提高合规意识，加强合规管理，促进合规工作。

一、问题之缘起

伴随着2021年8月20日审议通过的个人信息保护法于2021年11月1日生效，我国个人信息保护的法律体系进一步完善，我国也将建立起以网络安全法、数据安全法和个人信息保护法为核心的数据安全法律体系，三者共同搭建了网络安全和数据保护的顶层法律框架和体系。网络安全法分别规定了网络安全和信息安全，信息安全主要包含个人信息保护要求。数据安全法规范个人信息和一般数据之外涉及国家安全和公共利益的核心数据、重要数据数据处理活动及其安全监管，个人信息保护法仅适用于个人信息。

随着人工智能技术的发展，人脸识别技术日渐成熟，并且相比于指纹识别、虹膜识别等其他生物识别技术，人脸识别技术因其“非接触性”的特点更容易进行远程快速采集，被普遍运用到社会生活中。然而人脸识别技术在给生活带来便利的同时，也存在着信息滥用和信息泄露等问题，个人信息安全受到威胁，并且由于人脸识别信息有着唯一性和难以更改的特性，一旦被滥用或泄露将对信息主体产生极大的损害。

数字化技术的发展势不可挡，法治建设必然要努力跟上技术的发展，力图与之相匹配，法律的回应应当以数字化发展技术的成熟为要件。2021年是中国网络安全和数据保护立法迸发的一年，从中央到地方、各部门、各行业、各领域新增或者修改的有实质影响力的法规或者草案超过50份。网络安全法数据安全法个人信息保护法搭建了完整的数据保护框架，人脸识别信息特定数据领域的处理规则得到细化。至此，中国的个人信息保护法律制度已基本成形，这对企业在严格保护个人信息与充分利用信息开展业务之间取得平衡提出了更为全面、深入的要求。数字时代加上疫情形势，使得有关个人信息保护与数据合规的讨论持续热化。

为推动个人信息保护法的有效落实，提升企业个人信息保护合规水平，探索相关制度进一步优化完善之道，本文将以个人信息中人脸识别信息的数据合规为问题出发点，从而希冀通过对这一问题的深入研究来整体强化理论与实务界把握合规要求，提高合规意识，加强合规管理，促进合规工作。

二、人脸识别信息内涵及数据合规的意蕴

在全球数字经济发展的大背景下，数据已成为企业的重要资产。2021年6月10日，第十三届全国人民代表大会常务委员会第二十九次会议审议通过了数据安全法。该法已于2021年9月1日起施行。数据安全法作为我国数据安全领域的基础性法律，明确了数据安全领域内治理体系的顶层设计，通过规制数据处理活动、保障数据安全、保护个人和组织合法权益、维护国家主权和安全，引领和促进数据的开发利用，要求企业依法强化合规建设，对企业与机构的责任、义务提出了更加细致的规范和要求。其中第一章明确要求“应建立健全数据安全治理体系，提高数据安全保障能力”。

（一）人脸识别数据的定义

人脸识别为通过面部特征识别个人的过程。通过拍摄设备、发光源、传感器等从活体或者视频图片中采集提取有区别、可重复的人脸特征数据后，在人脸识别系统中进行注册、提取特征值、搜索、匹配、分析、计算、验证、比对等自动化数据处理。人脸识别信息属于生物识别信息的一种，为敏感信息。根据人脸识别数据安全要求（征求意见稿）3.3规定，“人脸识别数据”是人脸图像及其处理得到的，可单独或与其他信息结合识别特定自然人或特定自然人身份的数据；而其中“人脸图像”是指自然人脸部信息的模拟或数字表示，由此可见，人脸识别数据具有能够特定识别的特点。根据最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定第1条，“人脸信息”属于民法典第1034条规定的“生物识别信息”；其中民法典第1034条规定，“生物识别信息”属于“个人信息”的一种。个人信息保护法第28条把作为生物识别信息的人脸识别信息划分为敏感个人信息，以此划分的理由在于人脸这种生物识别信息可以直接“特定识别”到个人，而一般的个人信息不具备特定识别的功能，个人信息保护法对一般和敏感的个人信息进行区分，采取不同的保护措施，更有利于在个人信息的使用和保护中寻找平衡。

在公共和商业场景、人工智能领域的应用具有价值高、风险大的特点，应用方式有四种：一对一验证、一对多识别、持续追踪、深度分析。人脸识别带来的风险具有不可预知性，从国外情况看，整体趋于审慎。自2019年开始，美国和欧洲的城市、高科技跨国公司纷纷限制和禁止人脸识别技术的应用，中国媒体也对地产、消费品行业违法使用人脸识别信息的新闻进行了报道。中国一家人工智能企业成功上市，之前美国财政部称该企业的人脸识别技术协助军方识别少数民族，将该企业列入涉军企业名单，最终的发行将美国人排除在购买其股票之外并退还申请股款。

中国从个人信息保护角度专门对人脸识别问题进行规定始于2019年左右，包括立法、司法解释、国家标准、团体标准等。从中央立法来看，2021年7月，最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定首次专门对人脸识别中的个人信息保护问题进行规定，列举了宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等，重点规定小区物业等不能以人脸识别作为出入唯一验证方式，应提供其他合理验证方式。个人信息保护法规定在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。从地方立法来看，深圳经济特区数据条例（2021年7月，深圳）规定，处理生物识别数据的，应当在征得该自然人明示同意时，提供处理其他非生物识别数据的替代方案。天津市社会信用条例（2021年1月，天津）规定，市场信用信息提供单位不得采集自然人的宗教信仰、血型、疾病和病史、生物识别信息以及法律、行政法规规定禁止采集的其他个人信息。涉及反恐怖主义、出入境管理、刑事犯罪等公共立法中对人脸信息的采集有特殊规定，其他各行业部门并没有看到关于人脸识别信息保护的专项规定。从国家标准和行业标准来看，人脸识别数据安全要求（征求意见稿）（2021年4月，信安标委）正式征求意见，电信终端产业协会还制定了团体标准APP收集使用个人信息最小必要评估规范人脸信息，金标委制定了人脸识别线下支付安全应用技术规范等。

（二）数据合规的价值

大数据背景下的数字化运用是推进国家治理体系和治理能力现代化的一场深刻变革，我国将数据定位为新型生产要素，数据作为新型生产要素，已正式与土地、劳动力、资本、技术等传统生产要素并列为国家基础战略性资源和社会生产创新要素之一。首部数据安全基础法数据安全法已颁布，个人信息保护相关法律已经出台，围绕数据合规、数据治理的政策标准及体制体系研究正加紧开展，囯内数据合规政策环境趋于明朗。我国各行业数据资源丰富，价值优势突出，利益相关方蜂拥而至，且随着各行各业数据内外部应用的同步拓展和推进，数据合规问题日益凸显，严重阻碍数据资源价值释放，数据合规需求更加迫切，数据合规研究及指导落地刻不容缓。

国际上对数据资源高度重视，各国纷纷采取数据本地化等强制性措施，维护数据主权并争夺数据资源。国家间、企业间数据资源的争夺日益激烈，“数据主权”面临严重挑战。一方面，很多国家或组织通过强制数据本地化存储、强制性反加密制度（如强制性后门）等加强对数据获取、数据跨境流动及合作等方面的控制权。欧盟数据相关立法密集，深刻影响国际安全治理格局，包括美国、日本、韩国、印度等在内的十几个国家为打通欧盟立法产生的数据壁垒，与其已经达成或正在谈判以达成数据传输保护协议。另一方面，以美国为首的多个国家通过单方面主张域外管辖权获取境外数据，意图创建打破数据本地化政策的全新规框架，但又以网络自由原则为理由，对外国政府调取数据均以自身利益为先加以制衡。在数字经济全球化的当下，迫使包括中国在内的数据治理主体在数据相关战略部署，及中国企业在内的跨境数据运营主体在业务合规过程中，必须考虑、评估国际政策法律环境的约束和实际影响力。

（三）数据合规的法律政策

当今时代，科学技术日新月异，数字化智能化深入发展，深刻影响经济发展趋势与社会运行规律，数字时代已经全面到来。现阶段，国内数据合规政策、立法多头并进，数据治理迎来新格局。

2015年7月1日，国家安全法颁布并施行，同日，国务院办公厅印发关于运用大数据加强对市场主体服务和监管的若干意见，提出充分运用大数据先进理念、技术和资源，加强对市场主体的服务和监管，推进简政放权和政府职能转变，高政府治理能力。2017年6月1日，网络安全法正式施行，其中对个人信息保护作出明确规定。2018年8月31日，我国电子商务法公开颁布，除了对个人信息保护做出规定外，对于“数据杀熟”问题也首次尝试做出回应。

2019年5月28日，国家互联网信息办公室发布数据安全管理办法（征求意见稿），对利用网络开展数据收集、存储、传输、处理、使用等活动，以及数据安全的保护和监督管理，做了详细规定。6月13日，发布个人信息出境安全评估办法（征求意见稿)，目前两项公开征求意见工作已完成。10月1日，由国家互联网信息办公室发布的儿童个人信息网络保护规定正式施行。12月1日，等保2.0正式将大数据安全纳入监管体系。

2020年1月1日，密码法正式施行。1月17日至18日，中央政法工作会议强调，要把大数据安全作为贯彻总体国家安全观的基础性工程，依法严厉打击侵犯公民隐私损坏数据安全、窃取数据秘密等违法犯罪活动。3月30日，中共中央、国务院印发关于构建更加完善的要素市场化配置体制机制的意见，提出“加快培育数据市场要素”，优化经济治理基础数据库，培育数字经济新产业、新业态和新模式，加强数据资源整合和安全保护。4月27日，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部等12部门联合制定发布网络安全审查办法，明确网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险，包括网络产品和服务使用后带来的关键信息基础设施重要数据被窃取、泄露、毁损的风险。5月28日，十三届全国人大三次会议表决通过民法典，其中专设了“隐私权与个人信息保护”章节。

2020年6月28日，我国第一部在数据安全领域的基础性法律数据安全法（草案）在第十三届全国人大常委会第二十次会议通过审议，并于7月3日在中国人大网公开征求意见，随后个人信息保护法（草案）公开征求意见。诸多政策、立法齐头并进，为数据及其安全治理落地实践提供全面保障。2020年7月，我国对外公布了数据安全法(草案)的征求意见稿，其在法律地位上与网络安全法国家安全法相一致。2021年6月7日，为促进国家数字经济的发展，维护国家数据安全，数据安全法（草案三次审议稿）提请第十三届全国人大常委会第二十九次会议审议。2021年6月10日，国家主席习近平签署第八十四号主席令，公布数据安全法，并自2021年9月1日起施行。该法是继网络安全法之后，又一部网络安全领域的重要法律，既是国家数据安全领域的基础法，又与其他相关法律相联系。数据安全法的出台，不仅有助于我国数字经济与国际接轨，同时为国家数字经济发展保驾护航，对指导我囯数据行业安全规范运营具有重要意义。

数据安全法的出台从法律层面将数据安全上升到国家安全层面，明确了数据、数据处理、数据安全的范畴，厘清了数据安全防护的主体责任，规范了国家行政主管部门、企业、个人的职责与权力。并且从数据全生命周期角度出发，数据安全法明确了对数据的收集、存储、使用、加工、传输、提供、公开等各个环节进行数据安全风险的监测、评估和防护要求，以及权限管控、数据脱敏、数据加密、审计溯源等多种技术要求，并对后续的执法检查、标准制定、企业数据安全防护、个人权益保障等方面作出了规定。数据安全法的发布标志着我国将数据安全保护的政策要求，通过法律文本的形式进行了明确和强化。有关单位和个人收集、存储、使用、加工、传输、提供、公开数据资源，都应当依法建立健全数据安全管理制度，采取相应技术措施保障数据安全。企业未来应该加强数据安全的自监管，国家行政主管部门的执法监管要与企业自监管有机结合，以促进数据有序使用。

三、人脸识别数据在内的个人信息合规规定

随着个人信息保护法施行，企业纷纷更新互联网平台应用“隐私政策”，以满足个人信息保护法提出的个人信息分类保护、自动化决策规则等新要求。个人信息保护法第4条第一款规定“个人信息”系“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”。该定义采纳了个人信息安全规范个人信息定义的最宽入口模式。无论是从“从信息到个人”的识别法抑或“从个人到信息”的关联法得到的信息均被认为是个人信息的范畴。该条款实质也与欧盟一般数据保护条例（GDPR）设计思路一致。

（一）人脸识别数据在内的个人信息处理原则

1. 合法、正当、必要原则

“大数据时代，个人信息的海量收集与大规模处理引发的社会问题比比皆是，加强个人信息保护已成为社会共识。”合法、正当、必要原则作为处理个人信息的基本原则，其规定见于多个法律法规，民法典第1035条、网络安全法第41条、消费者权益保护法第29条都规定处理个人信息应当遵循合法、正当、必要的原则，即处理个人信息的形式应具有合法性、目的具有正当性并且手段具有必要性。

中国人脸识别第一案“郭某诉某某野生动物世界有限公司服务合同纠纷案”中野生动物世界要求必须激活人脸识别系统才能正常入园，郭某因认为人脸识别信息属于敏感信息，要求退卡，协商无果于是将野生动物世界告上法院，该案二审法院认为，野生动物园要求搜集面部信息进行识别才能进园的举动超出事前收集信息的目的，超出了个人信息收集的必要范围，违反了合法、正当、必要原则。另外人脸识别司法解释中的第10条也体现出个人信息收集的合法、正当、必要原则，第10条规定，物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式，不同意的业主或者物业使用人请求其提供其他合理验证方式的，人民法院依法予以支持。

2. 告知-同意原则

现实中面临诸多适用困境的知情同意规则遭到了部分学者的批判。有学者指出，过于强调信息主体对其个人信息的控制易过度强调信息的保护而忽略了其流通利用，“如果需要告知使用目的或任何目的变化都需要实施告知同意，实质上就等于扼杀大数据红利。”故个人信息保护应从个人控制转为社会控制，“以一般允许为原则，以个人控制（同意决定)为例外”，仅对个人敏感信息和有被侵害风险的信息适用知情同意原则。亦有观点直接指出同意并非个人信息处理的正当性基础，应当以“宽进严出”+删除权的方式保护个人信息。此类观点多认为知情同意规则在现实中无法落实，且降低了信息处理的效率，法律应当重视对信息流通利用环节的规制，而非在进入环节设定同意的限制。告知-同意原则是个人信息收集的核心的原则，告知并取得用户同意通常是处理个人信息的前提。“同意”这一行为在法律上视为信息主体允许信息处理者处理其个人信息的意思表示，而“告知”这一行为保证了信息主体作出的意思表示是真实的。

网络安全法第41条、第42条，民法典第1035条，个人信息保护法第13条、第14条都具体规定了告知同意原则，不过有区别的是，在描述收集个人信息的行为上，民法典和个人信息保护法使用的是“处理”的表述，该表述方式扩大了需进行告知同意的范围。个人信息保护法对于“同意”的类型进行了细分，具体而言，包括了（一般）同意、单独同意、书面同意和重新同意这四种类型。其中需要进行单独同意的情况散落规定在第23、25、26、29、39条；书面同意规定在第29条；重新同意该规定在第14、22、23条。尤其是针对前述需要单独同意、重新同意的情况，相关企业需留意。需要注意的是，个人信息保护法第16条赋予了信息主体撤回同意的权利，信息处理者需注意保留信息主体撤回同意的通道，例如保持客服人员联系的畅通。在信息高度共享的大数据时代，信息主体在各式各样信息使用权限的索取中，被迫做出“同意”的选择，其让渡一部分个人信息，享受着大数据福利的同时，也面临价格歧视、信息茧房等问题。

另外国家标准个人信息安全规范中规定了“明示同意”的概念，具体而言需要信息主体主动作出声明或肯定性动作对处理个人信息进行授权，在实践中常见的形式包括信息主体主动点击“同意”“注册”选项等。其中个人信息安全规范第5.4c条中的收集生物识别信息（包括人脸识别信息）、第5.4b条中的收集个人敏感信息、第5.4d条中的收集未成年人个人信息、第9.2i条中的共享转让个人信息的都需征得信息主体的明示同意。虽然作为推荐性国家标准的信息安全技术个人信息安全规范不具有法律强制约束力，但在实践中可作为监管部门的参考依据，故企业的数据合规时仍需参考该项标准。

（二）人脸识别信息保护纳入隐私权保护的考量

个人信息保护法的出台，以保障个人信息安全、维护个人合法权益为主要立法目标，对“个人信息处理者”的信息收集、传输、存储、使用、删除、销毁等全生命周期的个人信息处理活动进行规范。民法典第1034条第二款采用“概括式+列举式”的立法模式，为个人信息的界定提供了一定的解释空间，赋予了个人信息权益保护的动态性和灵活性。信息是否属于个人信息，关键在于信息是否具备可识别性，是否能够单独或者与其他信息结合识别特定自然人。个人信息的单独识别可从信息内容、来源、特征等方面进行认定，如信息产生和形成的主体是否仅指向个人、信息是否可以用于评价具体个人。间接识别则需考虑识别成本，并以普通多数人能采取的、合法且通常的方法为限。

依据民法典第1032条第二款规定，空间、活动与信息能否界定为隐私，关键在于是否满足以下要件：一是主观上不愿为他人知晓，二是客观上具有私密性。主观层面的“不愿为他人知晓”，是指当事人有内容不为他人所知的主观意愿，对内容受保护已经形成了预期，并且这种主观心态或期待应是合理的，符合社会一般观念，能得到社会普遍接受或认可。客观层面的“私密性”，是指存在空间、活动与信息处于隐秘状态的客观事实，此种隐秘状态还应与他人利益和社会公共利益无关，不给他人利益或社会公共利益带来不可容忍的减损。由此可以发现，民法典将隐私权保护和个人信息保护进行了并列规定，由此可见二者不应混为一谈，根据我国民法典第1034条第三款规定，自然人个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。即只有属于私密信息的部分个人信息才可以适用隐私权的保护规定。那么在个人信息保护和隐私权保护的交叉区域，如何界定所谓的私密信息，人脸识别信息是否属于私密信息？

关于如何界定私密信息，容易联想到法律已经进行规定的一个概念“敏感个人信息”，个人信息保护法第28条规定，敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。对于私密信息和敏感个人信息二者是否能等同，学术上有不同的争议。中国人民大学法学院张新宝教授认为“个人敏感信息是指关涉个人隐私核心领域、具有高度私密性、对其公开或利用将会对个人造成重大影响的个人信息。私密信息，顾名思义就是与个人密切相关，隐私度高，个人极其不愿意将其暴露于公众视野之中的信息。私密信息是“具有私密性的私人信息”的提炼版。因此，实际上表述的意思都是一致的”。而程啸教授认为“敏感信息与私密信息之间存在交叉的关系。有些个人信息既是私密信息也是敏感个人信息，如医疗健康、性取向；有些个人信息虽然是私密信息，却并不是敏感个人信息，如个人的嗜好、被他人性骚扰的个人信息；有些信息是敏感个人信息却未必是私密信息，如种族或民族、宗教信仰、政治主张、面貌特征等。”根据程啸教授的说法，敏感与非敏感信息、私密与非私密信息的区分在侵权案件裁判中的作用不同，这两种分类方法的意义体现在侵权责任构成要件的不同层次即侵害行为（认定针对敏感信息和非敏感信息的处理行为的非法性时，法院所依据的法律规范也不同）和侵害的民事权益类型（决定了侵害行为所侵害的客体究竟是隐私权还是个人信息权益）。

“制度改造与技术利用需要同步进行，以合理制度搭载技术之翼可能更易于提高制度的社会效果。”2020年7月，最高人民法院、国家发改委发布关于为新时代加快完善社会主义市场经济体制提供司法服务和保障的意见，其中明确提到“把握好信息技术发展与个人信息保护的边界，平衡好个人信息与公共利益的关系”。中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要也提到要“统筹数据开发利用、隐私保护和公共安全”，为司法实践加强数据权利和个人信息安全保护提供了重要指引。关于人脸识别信息是否属于私密信息，不能一概而论。如果认为私密信息的内涵与敏感个人信息一致，则属于敏感个人信息的人类识别信息当然属于私密信息；如果认为私密信息和敏感个人信息之间存在交叉关系，二者内涵并不完全一致，则应根据信息使用的具体场合进行考量。具体而言，若人脸识别信息与支付密码相关联，一旦泄露将造成不可挽回的损失，则该人脸识别信息应当属于私密信息，纳入隐私权保护的范围；若人脸识别信息是用于一些与人格尊严、人身财产安全关联不大的场景，则不属于私密信息，不应纳入隐私权保护的范围。

四、规制数据合规的系统性路径

从字面上讲，合规是英文compliance的中文翻译。Compliance的意思是顺从、遵守。Compliance with something，是指对什么东西的顺从和遵守。Compliance with rules，Compliance with regulations，是指对各种规则或规制的遵守和顺从。“数据是信息的主要表现和转换形式，数据共享已成为个人信息利用的一种极为快捷便利的有效方式。”中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要明确提出要激活数据要素潜能，推进网络强国建设，加快建设数字经济、数字社会、数字政府，以数字化转型整体驱动生产方式、生活方式和治理方式变革。数据已成为新兴的生产要素，是国家基础性和战略性资源，数据安全需求也越发凸显。加强对数据安全的保护不仅关乎每个人、每个组织的利益。

（一）健全个人信息保护组织机构

我国立法将个人信息分为一般信息与敏感信息的分类方式尚有完善空间。在属于“个人信息”的范围内，如符合个人信息保护法第28条列举的包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹以及不满十四周岁未成年人的个人信息等“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”均属“敏感个人信息”。由此可知，个人信息保护法将“个人信息”二元划分为“一般个人信息”与“敏感个人信息”。与“一般个人信息”相比，“敏感个人信息”被设置了更高级别的保护义务。但是目前个人敏感信息的概念内涵不甚明晰。信息敏感与否实质在于个人的主观感受，有研究表明，不同性别、年龄和学历的网络用户对个人信息的敏感度认识存在差异，这使得法律对敏感信息的界定欠缺客观性，难以确定统一的标准。本文认为一般信息与敏感信息的分类并非以“敏感度”为标准，而侧重信息泄露后带来的危害，以“泄露后产生的损害程度”为标准，不仅包含与人身、人格有关的危害，也包含无关人身、人格而仅关乎个人财产安全的危害。个人敏感信息内涵的核心要素应为“损害风险”，与个人一般信息的区别在于损害风险的高低不同。我国与个人信息数据合规相关的文件数量众多，本文整理了部分与个人信息数据合规相关的重要法律法规、规章以及有关国家标准以供参考。本文将主要针对民法典、个人信息保护法、人脸识别司法解释和个人信息安全规范中涉及人脸识别信息以及个人信息处理合规的部分问题进行讨论。

随着个人信息保护法的出台，我国个人信息保护相配套的法规政策日渐完善，对于个人信息合规的要求也会随之提高，而人脸识别信息作为个人信息中的敏感个人信息受到的规制也将愈发严格。在这个大数据时代，学习数据合规是必须的修行实务技能。个人信息保护法没有直接规定企业应当设立个人信息保护工作机构，但其对企业处理个人信息规定了各方面义务，履行这些义务显然需要专门工作机构的支持。个人信息安全规范则明确指出，企业应当设立个人信息保护工作机构，与个人信息保护负责人一起，承担数据保护和合规管理工作，特别是确保能够及时应对和处理个人信息泄露、篡改和丢失事件。数据安全法第27条也规定，重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。按照现实中的实践经验，成熟的数据合规管理体系一般围绕以下骨架搭建：法定代表人—数据合规委员会—数据合规负责人—数据合规牵头部门—业务部门（下属子公司）—数据合规专员。企业法定代表人或主要负责人对个人信息保护负全面领导责任；数据合规委员会（可在合规管理委员会内部下设），作为个人信息保护的专门议事决策机构；个人信息保护负责人具体负责企业数据合规体系建设并领导牵头部门开展工作；数据合规牵头部门一般由企业法律合规部门担任，组织、协调和监督个人信息保护合规管理工作，并为其他部门提供合规支持；具体承担个人信息收集任务的业务部门是个人信息保护的第一责任人，是数据合规风险的第一道防线；下属单位较多或横跨多个业务板块的企业，还可以通过设置数据合规专员的方式，提高数据合规管理效率。

（二）树立个人信息保护合规价值观

“人类已进入数字空间，数字化时代将重塑政府与市场、政府与公民等各种关系。”数字时代离不开大量的数据利用和流动，若无限扩张个人信息、隐私的范围，会阻碍数据流通、共享，不利于网络信息科技发展；若任由数据无序使用，将会严重损害个人权益和公共利益，与强化人格权司法保护的法治导向背道而驰。因此，司法实践要把握好数据合理使用边界，个人权益保护与公共利益维护、个人自治与公共安全等多重价值间平衡协调。尤其是司法裁判应以发展的眼光看待个案，将动态兼顾多方利益的裁判理念贯穿于案件审理过程中，确保个人信息得到充分保护的前提下促进数据有序流动，服务保障数据要素市场创新发展。个人信息保护制度的落地，取决于运行机制的设计和实施。个人信息保护运行机制的建立健全是企业防范合规风险最核心、最复杂的内容。从经验来看，企业合规管理的成败主要取决于企业核心决策层对该问题的重视程度，即取决于企业核心决策层是否有强有力的自上而下推行合规要求，并建立较为完备、高效的内部合规管理组织体系，全员提升合规意识，并将合规要求融入日常经营中。企业数据安全合规体系的有效建立也不例外，需要形成“管理层重视、一把手负责、全员参与”的管理模式。并且，企业数据安全合规管理组织体系应是与企业现有管理体系高度融合的，不是另起炉灶，否则成本过高且难以正常运行。而且，数据安全合规重点是因人而异的，即不同行业、不同服务对象、不同规模的企业重点不同，在合规管理组织体系建设中也应充分结合企业特征突出重点、管好难点，并且与企业其他合规要求协调同步，彼此增益。

党的十八大以来，中国特色社会主义法治体系不断健全，法治中国建设迈出坚实步伐，法治固根本、稳预期、利长远的保障作用进一步发挥，坚持在法治轨道上统筹社会力量、平衡社会利益、调节社会关系、规范社会行为，依靠法治解决各种社会矛盾和问题，越来越成为全社会的共识。体现到企业合规领域，就是有越来越多的企业主体和律师事务所、会计师事务所、专业咨询公司等合规服务机构，主动遵照国家法律法规和行业管理制度、标准指引，协助委托方展开企业经营全业务、全流程的合规治理，逐步形成了系统治理、依法治理、综合治理、源头治理的企业合规治理体系。初创企业、新兴业务、互联网产品天然存在试探监管底线的冲动，而个人信息保护法确立了“强保护”规则框架以及严格的法律责任。个人信息保护规范的“张”与企业业务发展的“弛”之间极易产生冲突。而“业务”与“合规”的冲突与妥协永远是企业开展合规体系建设所要面临的难题，在个人信息保护方面也没有例外。当下，企业应当自上而下确立个人信息保护的合规价值观，找到业务与合规的平衡和良性互促路径。

结语

“在互联网时代，当人们享受着大数据、云计算、虚拟现实等高新技术所带来的便利服务时，不得不承担信息泄露、数据滥用的风险。”近年来，我国对数据安全及个人信息保护监管不断加强，民法典，以及数据安全法个人信息保护法网络安全法电子商务法等陆续出台，构筑起了我国数据合规制度体系的顶层架构，加之逐渐常态化的执法活动，企业面临日益严格的合规挑战。与此同时，数据已成为新兴的生产要素，是国家基础性和战略性资源，数据的资产属性已得到普遍认可。随着与数据相关的法律体系的不断完善，数据合规将会成为企业经营、上市、融资、发展等的重要领域。2022年企业合规成本和合规义务将明显增加，需要进一步以个人信息保护法为基础，结合本行业规定和标准梳理合规要求、制定合规制度、选择技术工具，对直面监管的高风险数据处理行为优先整改，慢慢将数据合规要求植入业务常规发展之中，数据合规不同于传统网络安全，要求企业具备整合数据政策、法律、技术、制度的立体能力。

2022已至，随着数字化、智能化技术的蓬勃发展，无论是传统行业还是新兴产业，都不可避免需要关注数据合规问题。因此，企业在今后不仅需要关注网络信息系统安全保护机制的搭建与认证、企业内部网络软硬件的安全规划、网络安全问询与检查应对、网络安全事件响应规划及协助调查等事项，也需要定制自身的数据合规与资产化治理组合拳方案，全面的数据风险核查、合规差距分析与管控方案，合法合规地充分利用数据这一要素，充分挖掘其经济价值。