车企因擅自采集人脸照被罚款10万元！人脸识别乱象引发的法律分析

追求技术发展的过程中，要平衡对法律的尊重和对个人信息的保护。

近日，某知名汽车公司因擅自采集43万张人脸照，被上海市徐汇区市场监督管理局罚款10万元，再一次引发了大家对人脸识别乱象的关注。人脸识别技术爆发式增长，给人们的工作和生活带来了极大便利，但同时也带来了诸多安全挑战与法律问题的思考。

01

什么是人脸识别

在实践中越来越多看到人脸识别技术的应用，从公司的考勤、门禁到酒店、银行的实名验证，都广泛采用了这一技术。

人脸识别，是基于人的脸部特征信息进行身份识别的一种生物识别技术。用摄像机或摄像头采集含有人脸的图像或视频流，并自动在图像中检测和跟踪人脸，进而对检测到的人脸进行脸部识别的一系列相关技术，通常也叫做人像识别、面部识别。

具体来说在识别的过程中通过提取人脸的某些特征，也称人脸表征。比如鼻子的高度，眼睛之间的距离等等，然后将这些特征与数据库中的人脸图像进行比对。设定一个阙值，当相似度达到这个标准时，从而可以判决被识别者与数据库的图像是否为同一人。

02

国际上的立法情况

03

国内的相关法律规定

1、《网络安全法》第四十四条规定：“任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。”

2、《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事法律若问题的解释》，“五十三条之一规定的‘公民个人信息’，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

从该解释“其他信息结合识别特定自然人身份”这句话不难理解，只要信息单独使用或结合使用只要能识别自然人身份就属于个人信息。公民个人信息不仅仅包括姓名，性别，出生日期等与个人身份直接联系的信息，也包括其他可以识别自然人身份的间接信息。人脸数据因包含人体特征具有识别性，因此属于个人信息。

3、《民法典》第一千零三十四条规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。在2021年1月1日施行的民法典中也强化了对公民隐私权和个人信息的保护，首次在法典的中提到“生物识别信息”。

4、《信息安全技术个人信息安全规范》对个人信息的解释为“个人信息 personal information以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。（注1:个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系）

特别强调个人生物识别信息属于个人信息。而生物识别信息不仅属于个人信息还属于个人敏感信息，个人敏感信息（personal sensitive information），一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。

这一规定是与2016年通过的《欧盟通用数据保护条例》相一致的，对于欧盟数据保护法而言，关于某个可被识别的任何信息都是该主体的个人数据，“某一数据成为个人数据，不要求通过一项数据就可以识别主体，只要这样数据与某个可识别的自然人以某种意义的方式存在关联，就可以了。”

5、《消费者权益保护法》十九条规定，经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。

经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。

04

违法后果

1、民事赔偿责任

违反《民法典》有关规定侵犯公民个人信息的，依据《民法典》一百七十八条行为人承担停止侵权，赔偿损失，消除影响等责任。

2、行政处罚

《网络安全法》第六十四条规定：“网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。”

《消费者权益保护法》五十六条规定：“经营者有下列情形之一，除承担相应的民事责任外，其他有关法律、法规对处罚机关和处罚方式有规定的，依照法律、法规的规定执行；法律、法规未作规定的，由工商行政管理部门或者其他有关行政部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款，没有违法所得的，处以五十万元以下的罚款；情节严重的，责令停业整顿、吊销营业执照：

……

（九）侵害消费者人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的。”

《个人信息保护法》第六十六条规定：“违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。”

3、构成犯罪的追究刑事责任

窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息可能涉嫌侵犯公民个人信息罪。《刑法修正案(九)》规定：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”

其实无论是在国内外，对于人脸识别过程中采集个人信息的行为其实都有着法律上明确要求。长期以后对于人脸识别这样的新鲜事物，普遍存在观望与包容态度。但随着技术越来越成熟，应用越来越广泛，风险也随时加大。这提示我们的企业，银行，小区物业等部门在采集、使用、保存人脸识别过程中采集的个人信息应严格遵循法律的规定。

对人脸识别技术，我们既要充满信心，用开放、包容的态度来看待其中不尽完善的地方，也要保持理性，在追求技术发展的过程中，平衡对法律的尊重和对个人信息的保护。

参考文献

狄乐达著 何广越 译 《数据隐私法实务指南》,《法律出版社》

律师介绍：

徐延轩律师

苏州大学法学学士，北京京师（上海）律师事务所合伙人律师，北京市互联网协会金盾调解中心在线调解员。

在企业治理、合同、合伙等领域的有着丰富的经验。在网络安全与数据合规，个人隐私保护、隐私政策制定，企业数据合规方面有着丰富的实践经验和理论研究。长期接受《新京报》 《IT时报》 《界面新闻》等多家新闻媒体的专访。

END

特别声明：

以上所刊登的文章仅代表作者本人观点，不代表北京市京师（上海）律师事务所或其律师出具的任何形式之法律意见或建议，如有侵权，请联系后台删除。

招贤纳士中，有意请联系北京市京师（上海）律师事务所人力资源部张淑婧13661976309，投递简历请发送zhangshujing@jingsh.com。

  推荐阅读 

| 法定继承中，遗漏继承人已做继承公证的内在程序问题解析｜办案手记

| 吉磊律师：冷清但不冷门！物业法律服务行业亮点闪现 | 青律SHOW

| 想说“分手”不容易！京师上海分所为您解锁解除劳动关系的正确“姿势”

TEL: 021-66109999

WEB: www.jingsh.com

ADDRESS: 上海市静安区恒丰路299号