文/朱政

2019年4月，郭某支付1360元購買野生動物世界“暢游365 天”雙人年卡，確定指紋識別入園方式。郭某與妻子留存了姓名、身份證號碼、電話號碼等，并錄入指紋、拍照。

2019 年7 月、10 月，野生動物世界兩次向郭某發(fā)送短信，通知年卡入園識別系統(tǒng)更換事宜，要求激活人臉識別系統(tǒng)，否則將無法正常入園。郭某認為人臉信息屬于高度敏感個人隱私，不同意接受人臉識別，要求園方退卡。雙方協(xié)商未果，2019 年10 月28日，郭某向浙江省杭州市富陽區(qū)人民法院提起訴訟。

2021 年4 月9 日下午，全國“人臉識別第一案”在杭州中院二審判決。二審判決維持一審判決第一項、第二項，即判決野生動物世界賠償郭某合同利益損失及交通費共計1038元；判決野生動物世界刪除郭某辦理指紋年卡時提交的包括照片在內(nèi)的面部特征信息，以及指紋識別信息。

濫用人臉識別技術(shù)會面臨極大的法律風(fēng)險

供圖/視覺中國

人臉識別技術(shù)是基于人的臉部特征，用攝像機或攝像頭采集含有人臉的圖像或視頻，并自動在圖像中檢測和跟蹤人臉，進而對檢測到的人臉進行臉部識別的一系列相關(guān)技術(shù)。近年來，人臉識別技術(shù)普及度逐年大幅升高，加上該技術(shù)與其他生物特征識別技術(shù)相比，具有使用簡單、獲取方便、結(jié)果直觀、非接觸性驗證及可擴展性良好等眾多優(yōu)勢，已經(jīng)被廣泛地運用到金融、保險、教育、電子商務(wù)等領(lǐng)域，刷臉支付、刷臉開門、面容解鎖的應(yīng)用場景也越來越廣泛。特別是在新冠肺炎疫情常態(tài)化防控的大背景下，由于人臉識別設(shè)備可以與測溫設(shè)備完美融合，在體溫監(jiān)測的同時，可以同步上傳個人信息，與行程數(shù)據(jù)庫、健康碼數(shù)據(jù)庫信息進行比對，準確識別通行人員是否為高風(fēng)險人員，實現(xiàn)“一機二用”，使得相關(guān)設(shè)備快速地廣泛運用于商場、辦公樓、居民小區(qū)等入口處。

然而，在技術(shù)便捷人們生活的同時，多起由人臉識別引發(fā)的糾紛敲響個人信息保護的警鐘，由于面部特征具有終身惟一且無法改變的特點，一旦泄露，后果十分嚴重。2021 年的3 · 15 晚會，開篇就重點報道了科勒衛(wèi)浴、寶馬、MaxMara 商店等安裝人臉識別攝像頭，搜集海量的人臉信息，該人臉識別攝像頭可以在顧客不知情的情況下抓取包括性別、年齡在內(nèi)的個人信息，進行精準營銷，濫用人臉識別技術(shù)的勢頭愈演愈烈。因此，如何尋找到一個科技進步方便大眾與個人隱私保護之間的平衡點，成為擺在政府和公眾面前的一道難題。

人臉識別信息屬于“公民個人信息”的范疇，依法應(yīng)當(dāng)?shù)玫椒傻谋Ｗo，濫用人臉識別技術(shù)，可能面臨較大的法律風(fēng)險。民法典第一千零三十四條就明確規(guī)定，個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。該規(guī)定明確將人臉信息為代表的生物識別信息納入了個人信息的保護范疇，并規(guī)定了處理個人信息，應(yīng)當(dāng)遵循“合法、正當(dāng)、必要”的原則。早在2017年實施的網(wǎng)絡(luò)安全法第四十一條也規(guī)定，網(wǎng)絡(luò)運營者收集、使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。

此外，2020年修訂的《信息安全技術(shù)個人信息安全規(guī)范》中，特別新增了用戶畫像的使用限制、個人信息處理活動記錄等多項內(nèi)容，明確規(guī)定個人生物識別信息屬于敏感信息，在收集前，需單獨向用戶告知收集、使用個人生物識別信息的目的、方式和范圍以及存儲時間等規(guī)則，并應(yīng)征得用戶的明示同意。該規(guī)范確定了個人信息在收集、存儲、使用、共享、轉(zhuǎn)讓與公開披露等信息處理環(huán)節(jié)中的相關(guān)行為，旨在遏制個人信息泄露，最大程度地保護個人的合法權(quán)益和社會公共利益。

在刑事司法領(lǐng)域，濫用人臉識別技術(shù)，也會面臨極大的法律風(fēng)險，早在2015 年頒布的《刑法修正案（九）》中，就擴大了侵犯公民個人信息罪的犯罪主體和個人信息的范圍。2017年，針對個人信息保護領(lǐng)域出現(xiàn)的新情況，最高人民法院、最高人民檢察院出臺了《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，第一條就規(guī)定了“公民個人信息”是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等。

如今人臉識別技術(shù)越來越多得到了主流媒體的廣泛關(guān)注，也在司法領(lǐng)域得到了廣泛的回應(yīng)。據(jù)統(tǒng)計，目前，我國已有40 多部法律和部門規(guī)章、近百部地方性法規(guī)和規(guī)范性文件涉及人臉識別技術(shù)，筑牢個人信息安全的法治屏障。相信在不遠的未來，隨著配套制度的不斷完善，人臉識別技術(shù)的使用規(guī)則將會得到進一步細化。

要從“三個層面”高度重視個人信息安全

個人層面，要謹慎向來路不明的機構(gòu)、企業(yè)及個人提供自己的個人信息，特別是人臉識別信息、指紋信息等不可變信息。在提供相關(guān)信息前，要仔細詢問采集相關(guān)信息的原因和用途，是否有合法依據(jù)，以及相關(guān)企業(yè)數(shù)據(jù)安全的保護措施。在可以選擇其他識別方式的情況下，建議選擇刷卡、密碼等可變識別方式，以保護自身的個人信息安全。針對不合理的強制性采集，應(yīng)當(dāng)事前拒絕或者在事后主動收集證據(jù)，并及時向互聯(lián)網(wǎng)管理部門、工商部門、消費者保護協(xié)會、公安機關(guān)等相關(guān)機構(gòu)進行投訴。如果因個人信息泄露受到人身、財產(chǎn)上的損害時，還可以通過刑事報案、民事訴訟等方式，追究相關(guān)責(zé)任人的法律責(zé)任。

企業(yè)層面，在遵守法律的基礎(chǔ)上，要加強行業(yè)自律，規(guī)范需要采集用戶個人信息的場合，解決目前突出的人臉識別信息“強制采集”的問題。在需要采集用戶人臉識別信息等敏感信息的場合，應(yīng)自覺提示并主動釋明。在更新服務(wù)協(xié)議、新增識別方式時，應(yīng)保留用戶選擇的權(quán)利，避免技術(shù)上或措施上的“一刀切”，確保協(xié)議能夠在原模式下繼續(xù)履行。此外，對于企業(yè)自身存儲的用戶個人信息，應(yīng)本著合法、透明、適度的原則，強化對數(shù)據(jù)的加密級別和脫敏層級，避免數(shù)據(jù)泄露。

政府層面，在正確引導(dǎo)人臉識別技術(shù)相關(guān)的產(chǎn)業(yè)發(fā)展的同時，要加強監(jiān)管力度，明確監(jiān)管者和數(shù)據(jù)掌控者的責(zé)任，盡快解決目前在個人信息保護領(lǐng)域還存在的法律適用不統(tǒng)一、裁判尺度有差別的問題，使得法律之間更加協(xié)調(diào)。同時，建議政府主導(dǎo)建設(shè)由政府監(jiān)管、權(quán)威機構(gòu)運營的數(shù)據(jù)存儲中心，要求企業(yè)將收集的個人信息進行集中監(jiān)管，解決目前人臉識別信息泄露等問題。此外，在推動新技術(shù)應(yīng)用和新產(chǎn)業(yè)發(fā)展的同時，要健全人臉識別信息的合法獲取機制，運用刑事、行政、民事等多種手段從源頭上懲治信息的非法收集與販賣行為，杜絕技術(shù)的野蠻生長，保護我們每個人的“臉面”安全。■