李俊慧谈“人脸识别第一案”的启示与警示：个人信息保护与新技术应用需平衡

　　文/新浪财经意见领袖专栏作家 李俊慧

　　引言

　　打响行业规范第一枪？

　　“人脸识别第一案”迎来终审判决。

　　2021年4月9日，浙江省杭州市中级人民法院（以下简称杭州中院）就郭兵与杭州野生动物世界有限公司（以下简称杭州野生动物世界）服务合同纠纷二审案件，依法公开宣判。

　　二审在原判决的基础上，增判杭州野生动物世界删除郭兵办理指纹年卡时提交的指纹识别信息。

　　作为《民法典》施行以来，因人脸识别技术应用引发的诉讼“第一案”，伴随该案件的二审终审判决出台，该案件确认一些的权利救济方式、司法保护措施和业务操作细则，将为人脸识别技术及相关设备的应用和规范发挥指引性作用。

　　1

　　纠纷回溯：超范围使用个人信息和强迫升级是争议焦点

　　2019年4月27日，郭兵购买杭州野生动物世界双人年卡，留存相关个人身份信息，并录入指纹和拍照。后杭州野生动物世界将年卡入园方式由指纹识别调整为人脸识别，并向郭兵发送短信通知相关事宜，要求其进行人脸激活，双方协商未果，遂引发本案纠纷。

　　2020年11月20日，杭州市富阳区人民法院作出一审判决，判令杭州野生动物世界赔偿郭兵合同利益损失及交通费共计1038元；删除郭兵办理指纹年卡时提交的包括照片在内的面部特征信息；驳回郭兵要求确认店堂告示、短信通知中相关内容无效等其他诉讼请求。郭兵与杭州野生动物世界均不服，向杭州中院提起上诉。

　　2020年12月11日，杭州中院立案受理该案，并于同年12月29日公开开庭进行审理。2021年4月9日，杭州中院做出了二审判决。

　　回溯郭兵与杭州野生动物世界之间的纠纷，究其根源主要有二：

　　其一是杭州野生动物世界未事先获得用户授权，拟将其收集的用户人脸信息用于人脸识别系统或设备使用；

　　其二是杭州野生动物世界在采用新技术、新设备过程中，未给用户留足过渡周期，有“强迫”升级的嫌疑。

　　应该说，“人脸识别第一案”对相关主体对人脸信息、指纹信息等个人生物特征信息实施或开展收集、使用、存储等个人信息处理时，所应担负的义务予以了明确和厘清。

　　根据《民法典》第一千零三十四条的规定，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

　　其中，指纹和面部特征信息通常被认为属于生物识别信息范畴的个人信息。

　　因此，对于此类个人信息的处理，就需要遵循《民法典》及《网络安全法》等与个人信息保护相关的规定。

　　2

　　处理义务：合法、正当、必要是前提，不超限度是关键

　　按照《民法典》第一千零三十五条的规定，对个人信息的处理行为或手段，包括对个人信息的收集、存储、使用、加工、传输、提供、公开等七种行为。

　　其中，信息处理者所需承担的禁止性义务，包括：不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

　　而对于按照合法、正当、必要原则进行个人信息处理时，需承担不得过度处理义务，并符合单独授权、规则公开和透明等要求。

　　简单说，在遵循合法、正当、必要原则前提下，对个人信息过度处理的，属于违法行为，对个人信息的处理不满足单独授权、规则公开和透明等要求的，也构成违法。

　　其中，所谓“过度”处理，包括：在七种处理行为中，有超过必要限度处理、超范围处理或超限制处理等情形。

　　比如，类似郭兵诉杭州野生动物世界一案中，杭州野生动物将留存的用户照片，未经用户允许用以人脸识别系统使用等。

　　此外，类似仅获得了个人信息收集等单一处理行为授权，但超范围或超限制对个人信息进行了存储、使用、加工、传输和公开等多种处理行为。

　　值得关注的是，面部特征信息和肖像具有“一体两面”的性质或特点，用户肖像被采集，也就相当于用户的面部特征信息被采集了。

　　因此，如果采集过用户肖像的企业或平台，也就相当于采集了用户的面部特征信息，那么，后续对于此类信息的处理，如果涉及到应用到人脸识别场景中的，需要单独获取用户的授权。

　　3

　　借鉴启示：个人信息使用环节规则明细，存储等其处理行为待规范

　　当前，具有肖像采集功能的设备或应用，已经在很多领域被广泛使用。

　　在安防和防疫管理领域，已有支持测温功能的人脸识别门禁系统，也有支持测温功能的安检设备等等。

　　在类似在线银行业务办理中，为了确认系本人操作，也有采用人脸识别技术，需要即时采集面部特征信息，和后台留存信息进行比对确认。

　　此外，基于人脸识别技术也催生了不少隐形的新“巨头”，比如旷视科技、商汤科技等等。

　　这些主要的人脸识别技术企业或厂商，在建立相应的模型、形成相应的算法，固化相应的技术时，都需要使用的人脸图片或面部特征信息。

　　那么，这些公司对面部特征信息的收集、存储、使用、加工等处理行为是否遵照《民法典》单独获得了用户的授权或同意，都是值得关注的问题。

　　整体来看，人脸识别技术和设备应用，属于典型的“使用先于规范”、“应用先于立法”。

　　从加强个人信息保护的角度来看，对于此类产品的规范管理，既要从源头的生产许可介入，也要从安装使用环节加以规范。

　　既要对单一设备或系统的信息采集合规性予以审视，也要对同一厂商所有设备联网及后台上传或回传信息的行为予以监管。

　　而对于平台从某种业务获取了用户生物特征信息，未经用户单独同意又用于其他业务的做法，也需要逐步加强规范。

　　简单说，在采集或收集个人信息之后，对个人信息的进行存储、使用、加工、传输、提供、公开等任一处理行为，是否允许一次性概括性同意，还是必须逐项逐次获得同意，这些都需要尽快明确规则。

　　在“人脸识别第一案” （即郭兵诉杭州野生动物世界一案）中，原告及法院主要围绕留存肖像用于人脸识别和留存指纹信息删除等展开。

　　对于采集之后，进一步实施类似存储、加工、传输、提供和公开等处理行为时，应予如何规范尚未给予回应，这也就需要相关部门在做好人脸识别技术应用和设备管理方面提前谋划，做好技术标准和监管规范的制定。

　　从这个角度来看，“人脸识别第一案”终审判决的出台，只是打响了人脸识别技术应用或设备实现规范管理的“第一枪”。

　　参考资料：

　　1．“人脸识别第一案”：生物识别信息应当更加谨慎处理和严格保护

　　相关法条：

　　《民法典》

　　第一百一十一条规定，自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

　　《网络安全法》

　　六十四条规定，网络运营者违反第四十二规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

　　(本文作者介绍：中国政法大学知识产权研究中心特约研究员，长期关注互联网、知识产权及电子商务等相关政策、法律及监管问题。)