作者 | 北京金诚同达律师事务所律师 刘宗鑫

来源 | 周公说娱微信公众号

上周五，备受关注的“中国人脸识别第一案”一审落锤。

法院最终支持了原告郭兵老师的部分诉求，判令被告杭州野生动物园赔偿郭老师合同利益损失及交通费共计1038元，删除郭老师办理指纹年卡时提交的包括照片在内的面部特征信息。

 （案件庭审现场）

某种意义上说，本案并未触及人脸识别技术中一些更为核心的问题。法律该如何规制人脸识别，仍然任重道远。

“人脸识别第一案”始末

“人脸识别第一案”的案情并不复杂。

2019年4月，原告郭老师购买被告杭州野生动物世界年卡，确定使用指纹识别入园方式。郭老师留存了姓名、身份证号码、电话号码等，并录入指纹、拍照。后动物园将入园方式从指纹识别调整为人脸识别，并更换了店堂告示，还两次向郭老师发送短信，要求其激活人脸识别系统，否则将无法正常入园。

（动物园宣传告示）

法院同时认为，双方在办理年卡时，约定采用的是以指纹识别方式入园，动物园采集郭老师的照片信息，超出了法律意义上的必要原则要求，故不具有正当性。一审宣判，郭老师胜诉。

介绍完案情，笔者不禁感叹：不知何时开始，“刷脸”开始渗入每个人的生活。“刷脸”可以用支付宝付款、“刷脸”可以进小区、“刷脸”可以进健身房……如此种种，早已司空见惯。

但郭老师是个较真的人。他的胜诉不仅要回了自己的“脸”，更为类似维权案件树立了榜样。郭老师的坚持，值得称赞。

“人脸识别第一案”的遗憾

但在笔者看来，本案亦有不少遗憾之处。

根据检索到的公开信息，一审法院并未进一步对动物园收集个人信息的正当性、必要性范围进行论述或界定，或许是本案最大的遗憾。

法院在本案中认为：既然双方在办理年卡时约定采用指纹识别方式入园，那么动物园采集郭老师的照片信息就是不必要的，不具有正当性。

这样的论理，已经足以解决本案中的具体问题。但现实中更普遍的情况是，某些企业、某些APP一上来就要求你“刷脸”，他们在合同里对“刷脸”的要求写的很清楚，你也同意了——这样就万事大吉了吗？

换句话说，假如本案中动物园一开始就要求“刷脸入园”，郭老师也同意了。此时郭老师再起诉，能获得法院支持吗？

此时，我们就将面临一个绕不开的问题：不同主体收集、使用人脸信息的正当性、必要性边界，到底在哪里？

为什么人脸信息如此敏感？

由于人脸信息的特殊性，滥用这一信息会直接威胁到我们每个人的人身、财产安全。

首先，人脸信息可以直接识别到个人。每个人的人脸信息都是独特的，且难以更改，无需结合其他信息就可以直接识别到个人。

其次，人脸信息的采集性成本极低，个人无法拒绝。现实中，只需使用摄像头自动抓拍就可以大量采集人脸信息，无须人工操作，甚至无须被采集者配合（如在机场、车站等采集的信息）。

最后，人脸信息具有不可匿名性。不同于访问记录、通话记录等可以实现匿名化的信息，人脸信息无法去身份化或匿名化。因此，人脸信息一旦大规模泄露，造成的损害后果更为严重。

进个动物园而已，有必要搞人脸识别吗？

正因为潜在后果严重，我国对于人脸信息等个人信息的收集、处理，确立了六个字的原则：合法、正当、必要。

即将生效的第1035条规定：

处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：

（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；

（二）公开处理信息的规则；

（三）明示处理信息的目的、方式和范围；

（四）不违反法律、行政法规的规定和双方的约定

上个月刚刚发布的中也规定：

个人信息处理者应当对下列个人信息处理活动在事前进行风险评估，并对处理情况进行记录。风险评估的内容应当包括：个人信息的处理目的、处理方式等是否合法、正当、必要……

在“合法、正当、必要”的大原则之下，个案中正当性、必要性的边界是需要若干下位法规、司法案例、社会实践去充实、细化的。从实践中看，目前我国对人脸信息的收集、使用主要包括以下领域：

1、支付领域。例如金融APP支付前的身份验证，使用支付宝“刷脸购物”等；

2、教育领域。在某些大型考试中，采用人脸识别技术对考生身份进行验证，杜绝替考等违规现象；

3、公共安全领域。在车站、广场等人流密集场所通过人脸识别进行人流量统计，防止拥堵、踩踏等事件发生；

但是，对于进动物园这一使用场景而言，即使不采用人脸识别，也可以使用诸如刷卡、刷身份证、手机短信验证等方式入园。为了追求入园的小小便利，要求游客上传敏感的人脸信息，似乎并不必要。

写在最后

笔者个人对于个人信息尤其是人脸信息的滥用是十分忧虑的。这并非因为笔者对这项技术的成熟程度没有信心，而是因为在大多数情况下：

有相同担忧的，肯定不止笔者一个人。最近，清华大学法学院劳东燕教授的一次维权经历登上了热搜。原来，劳教授的小区统一安装人脸识别门禁系统，物业公司要求业主必须提供房产证、身份证、人脸识别信息。劳教授认为物业公司的行为并无法律依据，通过自己的努力，最终使物业公司放弃了收集业主人脸信息的计划。

在接受采访时，劳教授说到：

我最担心的是被收集的数据由谁保管，数据的安全问题。街道办主任说，数据使用局域网存储，也可以保存在政府部门的数据库中。问题是，即便他和我说了在哪里保管、如何保管，之后具体的实情如何，其实我们都是不清楚，无从了解的。

 

假如是小区内部来保管数据，物业人员或其他工作人员是否会滥用数据，以此牟取非法收益，我们不得而知。由于人脸数据不被允许商业化地使用，对企业来讲，就很难有动力在数据保护方面投入成本。而不在安保方面持续投入成本，人脸数据的安全就会很成问题。

笔者以为，由于部分商家随意泄露我们的手机号码，导致骚扰电话、电信诈骗层出不穷，已经成为屡禁不止的社会问题。如果每个人的人脸信息也像手机号码一样被泄露……后果令人细思恐极。

可喜的是，越来越多的人开始认识到人脸识别背后的风险，并付诸于行动。

今年4月，江苏省宿迁市一家健身中心因违法收集会员人脸照片信息，被宿迁市公安局宿豫分局责令限期整改，并处警告。这也是全国范围内，因违法收集人脸信息被处罚的案件首次公开曝光。

今年10月，杭州市人民代表大会常务委员会发布了关于《杭州市物业管理条例（修订草案）》的说明。条例新增了“不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备，保障业主对共用设施设备的正常使用权”等内容，或将成为中国首部明确写入人脸识别禁止性条款的地方性法规。

加上上周五宣判的人脸识别第一案，我们有理由相信，尽管对人脸信息的控制和合规之路任重道远，但至少，我们正持续走在一条正确的道路上。

详细报道请点击下方“阅读原文”

责任编辑 | 李妍靓

审核人员 | 张文硕

劳东燕：个人数据的刑法保护模式

劳东燕：人脸识别技术的潜在风险与法律保护框架的构建

圆通回应公民个人信息泄露，谁给用户一个说法？

个人信息保护法（草案）征求意见稿及说明

劳东燕：这一次，我决定说“不”！

邢会强：人脸识别的法律规制