“人脸识别第一案”：如何让消费者放心“刷脸”

Original 史蕾江智茹享法互联网JoyLegal

2024-08-25

因园方以短信告知将入园方式从指纹识别升级为人脸识别，在不同意使用人脸识别方式入园且与园方协商未果后，浙江理工大学副教授郭兵于2019年10月28日将杭州野生动物世界有限公司（“园方”）告上法庭。此案被称为国内“人脸识别第一案”。2020年6月15日，杭州市富阳区人民法院开庭审理此案，将择期宣判。

据报道，郭兵表示，其起诉的目的其实不在经济补偿，而是认为这是“对目前人脸识别技术滥用的一种斗争”。在庭审过程中，原告郭兵的代理律师还提及一个细节，即，园方在办卡时早已收集用户人脸信息，但却从未告知用户，而此前的短信告知也仅是要求激活人脸识别功能。

可以说，人脸识别技术一经问世就饱受争议，人们在肯定其便利性的同时，却也因其“无感”、对人脸信息（或称面部特征信息）的易获取性等问题引发了人们对于自身信息安全的更多担忧。如何在收集使用个人信息主体的人脸信息前依法履行告知义务并征得个人信息主体的授权同意，让消费者放心“刷脸”，已不仅仅是“人脸识别第一案”的焦点，也是社会大众所普遍关注的热点，更是个人信息控制者在公共场合运用人脸识别技术时最应首要解决的问题。

收集人脸信息前须明确向个人信息主体告知的内容

一般告知内容

《消费者权益保护法（2013修正）》、《民法典》[1]等相关法律法规均明确，对于个人信息的收集、使用，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经个人信息主体（或其监护人）同意；并应当公开收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。

GB/T 35273-2020《信息安全技术个人信息安全规范》（“《个人信息安全规范》”）则进一步明确，收集人脸信息等个人生物识别信息前，应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围，以及存储时间等规则，并征得个人信息主体的明示同意。

综上，个人信息控制者应在处理人脸信息前，应单独向个人信息主体明示其处理人脸信息的目的、方式和范围，以及存储时间等个人信息收集、使用的规则，并征得个人信息主体或其监护人（当个人信息主体为儿童时）的明示同意。

公共场合场景下的告知内容

而为了进一步增强“告知同意”在实践中的可操作性，最新版的《信息安全技术个人信息告知同意指南（征求意见稿）》（“《个人信息告知同意指南（征求意见稿）》”）附录D专门就公共场合场景[2]下的告知同意提出了指导和建议。

《个人信息告知同意指南（征求意见稿）》建议在上述一般告知内容的基础上，针对人脸信息在公共场合场景下的收集还应明确标识信息采集设备的性质和目的等，具体如下：

此外，如果涉及收集未成年人的人脸信息的，《个人信息告知同意指南（征求意见稿）》建议除一般告知内容所包含的信息外，还可以包含如下告知内容：

未成年人个人信息的敏感性与注意事项；
针对未成年人个人信息的敏感性所采取的特别的安全保障措施；
监护人更正、管理未成年人个人信息的方式和途径；
监护人正确履行监护职责，教育引导儿童增强个人信息保护意识和能力的方式；
若涉及幼儿园、学校等决定采用自动化设备收集未成年人个人信息的，可以说明采取此类措施的正当性、合法性与必要性，有必要时可提供相关的个人信息安全影响评估报告的全文或摘要，与监护人进行集体沟通的，可以告知沟通的总体情况与结论。

从“人脸识别第一案”的现有相关公开报道来看，园方仅向用户郭兵告知了处理其人脸识别的目的——入园身份验证，但并未告知其对人脸识别信息的处理方式和其他处理人脸信息的规则，显然并未完全尽到告知义务。

告知同意的方式

一般告知同意方式

人脸信息（面部识别特征）作为个人生物识别信息的一种，属于一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息，并被明确列在《个人信息安全规范》附录B 个人敏感信息举例中。

因此，对于人脸信息的告知同意，应遵从《个人信息安全规范》有关个人敏感信息的规定，即，收集个人敏感信息前，应征得个人信息主体的明示同意[3]，并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示。收集个人生物识别信息前，还应单独向个人信息主体告知并征得其明示同意。

公共场合下的告知同意方式

《个人信息告知同意指南（征求意见稿）》规定，在商场等公共场所收集个人信息时，建议个人信息控制者以显著方式向个人信息主体进行展示告知。公共场所张贴告知内容宜简短易懂，效果宜显著醒目，同时告知获取更多相关信息的途径（如详情可向询问台咨询或扫描二维码），具体如下：

《个人信息告知同意指南（征求意见稿）》规定，当涉及收集未成年人人脸信息时，则可通过信件、公示、签署协议、即时通讯工具等方式告知未成年人监护人个人信息使用规则等信息，并在告知时征求监护人的同意。告知同意的方式可参考上述规定。

《个人信息告知同意指南（征求意见稿）》也指出，当个人信息主体拒绝在公共场所收集其个人信息时，建议相关公共场所提供不收集个人信息的选择方案。

同时，《个人信息告知同意指南（征求意见稿）》也注明，当收集人脸信息仅用于与设备本地已存储的人脸信息进行比对或进行本地化处理而没有回传服务器的，不属于人脸信息的收集行为。个人信息控制者在公共空间收集个人信息，但在收集前难以取得个人信息主体明示同意的，如果数据处理不以“识别信息主体身份”为目的（如仅出于优化商场管理目的，统计和分析人流量等）且不会对个人信息主体合法权益产生不利影响的，可以不经用户明示同意，但应向个人信息主体提供了解其具体数据目的和方式的途径，并向用户撤回同意的渠道。

鉴此，除相关法律法规、标准另有约定外，个人信息控制者在公共场所场景下收集人脸信息前，应以简单易懂、显著醒目的方式单独向个人信息主体告知并征得个人信息主体或其监护人的明示同意，同时告知其可以获取更多相关信息的途径。当个人信息主体拒绝在公共场所收集其个人信息时，宜为其提供其他选择方案。

据报道，“人脸识别第一案”中，郭兵的代理律师提及，园方早在办卡时就已收集用户人脸信息，但却从未告知用户。同时，园方仅以短信方式告知“园区年卡系统已升级为人脸识别入园，原指纹识别已取消，即日起，未注册人脸识别的用户将无法正常入园”，在法庭调查阶段，郭兵展示的其与动物园工作人员沟通时拍摄的视频也显示，工作人员告诉郭兵，年卡用户只能刷脸入园。

若该等情况属实，园方未经告知并获取用户事先同意就收集用户人脸信息的行为显然已与个人信息保护相关法律法规、标准的规定相冲突，侵犯了郭兵的个人信息权。而园方仅以优化客户体验为由要求年卡用户只能刷脸入园，也不符合个人信息收集的“必要”原则，动物园的基本服务功能应为供公众观赏动物并进行动物相关科学普及和宣传保护教育，而人脸信息的获取显然与实现前述服务功能并无直接关联。同时，年卡用户作为消费者，其有权自主选择服务方式，自主决定接受或不接受任何一项服务，若园区确未为年卡用户提供不收集人脸信息的入园方案，其还侵犯了相关用户的自主选择权。

其他人脸信息处理活动中应注意的事项

当然，在履行告知义务并征得个人信息主体同意收集使用其人脸信息后，个人信息控制者并不是就可以真的一劳永逸了，对于人脸识别信息的传输、存储、提供和公开等依然需要严格遵从相关法律法规、标准的规定及与个人信息主体（或其监护人）的约定。

人脸信息的传输和存储

01安全措施

《民法典》、《消费者权益保护法（2013修正）》等相关法律法规均明确要求，应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。

《个人信息安全规范》进一步规定，对于个人生物识别信息的传输和存储应采用加密等安全措施。且个人生物识别信息应与个人身份信息分开存储；除个人信息控制者履行法律法规规定的义务相关的情形外，原则上不应存储原始个人生物识别信息（如样本、图像等），可采取的措施包括但不限于仅存储个人生物识别信息的摘要信息[4]，在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能，在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。

据报道，郭兵曾向动物园工作人员问及动物园采取了什么措施保障数据安全，但工作人员没有给出明确解答。据园方答复，生物识别信息仅在为年卡客户提供入园验证时使用，而且一经收集就已进行了去标识化的加密处理。但据郭兵所述，园方在起诉后向法院提交了其照片信息。若郭兵所述属实，园方显然未能满足个人生物识别信息的存储要求。

02存储时间

《个人信息安全规范》明确，个人信息存储期限应为实现个人信息主体授权使用的目的所必需的最短时间，法律法规另有规定或者个人信息主体另行授权同意的除外；超出上述个人信息存储期限后，应对个人信息进行删除或匿名化处理。

据报道，园方代理律师在庭审中指出，基于为连续办理年卡的用户提供价格优惠目的，在用户年卡到期后，动物园会将用户的姓名、电话、身份证号保持六年；手机号、指纹、照片等其他信息，三个月后会被园区系统自动删除。若园方并未另行取得用户授权同意或具有其他合理理由，其前述存储时间明显超出了用户基于办理年卡、验证入园身份以享受一年内无限次至园区观赏动物等目的所进行的个人信息使用授权所必需的最短时间。

人脸信息的共享、转让、公开披露

《消费者权益保护法（2013修正）》、《民法典》等相关法律法规规定，经营者及其工作人员不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外。

而鉴于人脸信息的敏感性，《个人信息安全规范》则进一步明确，对于人脸信息等个人生物识别信息原则上不应共享、转让。因业务需要，确需共享、转让的，应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等，并征得个人信息主体的明示同意。同时，《个人信息安全规范》明确禁止公开披露个人生物识别信息。

个人信息主体的删除权的行使

郭兵在“人脸识别第一案”中的诉讼请求还包括，要在第三方技术机构的见证之下，删除他去年4月在被告处办理年卡时提交的全部个人信息，包括但不限于姓名、身份证号码、手机号码、照片、指纹信息等；相应的技术见证费用由被告承担。

根据《个人信息安全规范》的规定，符合以下情形的，个人信息主体要求删除的，个人信息控制者应及时删除个人信息：1) 个人信息控制者违反法律法规规定，收集、使用个人信息的；2)个人信息控制者违反了与个人信息主体的约定，收集、使用个人信息的。个人信息主体注销账户后，个人信息控制者应删除其个人信息或做匿名化处理。

据此，对于园方未经同意即收集的人脸信息，郭兵有权要求删除，园方应及时删除；对于指纹信息，鉴于相关验证功能已下线，园方也应及时进行删除；而对于郭兵办理年卡时提交的其他个人信息，则应在年卡注销后，应进行删除。对于园方代理律师提及的因优惠政策原因部分信息需要保存六年等，若此前并未告知并征得用户同意，则该存储约定不应成为郭兵要求履行其个人信息删除权的限制。

此外，《个人信息安全规范》规定，对合理的个人信息主体权利行使请求原则上不收取费用，但对一定时期内多次重复的请求，可视情收取一定成本费用。

据此，郭兵删除其个人信息的请求原则上应不收取费用，但其要求第三方技术机构见证所产生的费用由园方承担的请求，鉴于其极可能导致园方为此付出高额成本，且并无明确法律依据予以支撑，该等主张可能最终很难得到支持。

随着人脸识别技术的发展和普及，人脸信息相关的个人信息保护规定也在日渐完善。对于企业而言，合规从不是成本，而是最为有保障的一种投资。我们期盼“人脸识别第一案”可以早日宣判，以帮助各界进一步厘清人脸信息等生物识别信息在公共场合场景下的收集使用合规界限。我们也期待未来在公共场合场景下，不论是商场、动物园、公园亦或其他公共场所的经营者都能充分履行告知同意义务，合法合规处理每一位用户的人脸信息，真正做到让消费者放心“刷脸”，安心享用相关服务。

——

注释：

[1]《民法典》将自2021年1月1日起施行。

[2] 《个人信息告知同意指南（征求意见稿）》附录D规定，公共空间是指向不特定的社会公众开放的、供公共使用和活动的场所，包括市政道路、建筑物、公园、广场、绿地、滨水区域等开放式空间，也包括政府机关或企事业单位管理的机场、火车站、学校、图书馆、商场、餐饮娱乐场所、公共交通工具等非开放式空间。

[3] 《个人信息安全规范》第3.6条规定，明示同意指个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作出肯定性动作，对其个人信息进行特定处理作出明确授权的行为。注：肯定性动作包括个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。

[4] 《个人信息安全规范》注明，摘要信息通常具有不可逆特点，无法回溯到原始信息。

END

访问文末左下角点击“阅读原文”获取更多相关内容

或点击以下二维码1秒解锁更多独家法律知识问答。

关于享法

享法互联网法律团队主要创始人均来自国内著名互联网公司的法务部，依托于北京德和衡律师事务所，享法致力于为高科技创新型公司提供贴心实用的一站式法律管家服务。自成立至今，我们已为近百家公司提供了多样化服务。

享法围绕数据安全，电子商务，网络游戏，视频直播，互联网金融融资等互联网行业领域提供更具互联网思维的产品技术合规，融资并购以及新三板挂牌等法律服务，同时也针对企业的内部股权安排、劳动人事以及员工激励等开发了更实用优惠的专项打包法律服务。