朱为琦 张杨悦 刘近帮
随着人脸识别技术朝着小型化、便携化方向快速发展,其应用场景日益广泛。这一趋势在推动社会智能化、提升服务效率的同时,也带来了诸多挑战。实践中,部分相关技术方案或专利申请,在未获得用户明确、自愿同意的前提下,擅自采集、使用乃至商业化利用人脸信息,不仅会威胁公民的个人信息安全、侵犯公民隐私,还可能对社会秩序和公共安全构成潜在危害。
对此,《中华人民共和国专利法》(下称专利法)第五条第一款规定:“对违反法律、社会公德或者妨害公共利益的发明创造,不授予专利权。”因此,在专利审查实践中,审查员需参照《中华人民共和国个人信息保护法》(下称个人信息保护法)以及《中华人民共和国民法典》(下称民法典)等相关法律法规要求,判定相关技术方案或专利申请是否因违反法律、社会公德或者妨害公共利益而不符合专利法第五条的规定。
然而,个人信息保护法及民法典等法律对个人信息保护所作出的规定多属原则性、框架性内容。在技术迭代迅速、场景复杂多元的人脸识别领域,目前仍缺乏专门的法律条文和操作指引。值得关注的是,国家互联网信息办公室与公安部联合公布的《人脸识别技术应用安全管理办法》(下称《办法》),已于2025年6月1日起施行。该《办法》为人脸识别技术的规范运用提供了可操作、可执行的指引。
需要明确的是,根据《专利审查指南(2023)》第二部分第一章第3.1.1节的规定:“法律,是指由全国人民代表大会或者全国人民代表大会常务委员会依照立法程序制定和颁布的法律。它不包括行政法规和规章。”因此,《办法》本身不能作为直接判定专利申请是否符合专利法第五条的法律依据,但审查员可以以《办法》为重要线索和指引,快速识别、定位专利申请方案在人脸信息处理各环节可能存在的具体操作类型及其对应的违法风险点,进而更有针对性地在上位法中寻找和适用恰当的法律条款,从而实现依据专利法第五条的高效、合理审查。
法律依据及分析示例
结合《办法》的具体条款及相关上位法的原则精神,本文将可能违反规范要求的人脸识别领域专利申请归纳为以下四种主要类型,并结合案例进行分析。
(一)未取得个人单独同意
《办法》第六条规定,基于个人同意处理人脸信息的,应当取得个人在充分知情的前提下自愿、明确作出的单独同意。这一规定明确了个人同意在人脸信息处理中的必要性,要求个人信息处理者确保个人在充分知情的前提下,自愿且明确地作出单独同意,以保障个人对其隐私信息的控制权,以及群众对个人隐私信息的控制权。
以某与人脸识别相关的发明专利申请为例,其权利要求书中限定:获取进店人员的人脸图像;根据所述人脸图像获取用户标识,并根据所述用户标识从数据库中获取对应的用户数据;若根据所述人脸图像获取不到所述用户标识,则判定所述进店人员为首次入店顾客,并根据所述首次入店顾客的所述人脸图像在所述数据库中自动建立用户数据表格。在该案例的技术方案中,当有人进入店内时,系统自动触发人脸采集与识别流程,而未预设任何获取个人单独同意的机制。即使申请人辩称该系统的使用已获得认证用户同意,此同意也显然无法覆盖首次入店顾客。对于后者而言,其人脸信息在毫不知情且未作任何意思表示的情况下即被采集并录入数据库,构成典型的“无同意处理”。
依据个人信息保护法第二十九条的规定:“处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。”民法典第一千零三十五条规定:“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。”上述案例中的行为侵害了公民的信息自主权与隐私权,妨害了社会公共利益,依据专利法第五条,不应授予专利权。
(二)对于未满14周岁的未成年人未取得家长或监护人的同意
《办法》第七条规定,基于个人同意处理不满十四周岁未成年人人脸信息的,应当取得未成年人的父母或者其他监护人的同意。此条款体现了对未成年人这一特殊群体的强化保护。未成年人认知与判断能力有限,父母或监护人作为未成年人的法定保护人,有责任和义务代表未成年人作出关于其个人信息处理的决定,以确保未成年人的合法权益得到有效保护。
以某与人脸识别售票系统相关的发明专利申请为例,其说明书记载:当购票者接近售票窗口时,摄像头会自动跟踪录入这名购票者的面部信息,采集模块会自动录入这名购票者的面部信息,整个录入过程不受售票员控制。对于单独购票的儿童,可以在部分窗口前增设一定高度的台阶,使得单独出行的儿童可以自主购票。在该案例的技术方案中,将不满14周岁的未成年人纳入“自主购票”场景,却未设置监护人同意的前置程序,购票窗口的摄像头会“自动跟踪录入”面部信息,且整个过程“不受售票员控制”,这意味着当单独出行的未成年人自主完成购票时,人脸信息采集完全处于无监管的自动触发状态。未成年人身心发育尚未成熟,缺乏对自身权益的充分认知和保护能力,即使申请人说明该装置使用前经过了用户(儿童)的同意,但也无法说明取得了单独购票的儿童的家长或者监护人的同意。
依据个人信息保护法第三十一条第一款的规定:“个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。”上述案例的技术方案损害了未成年人的个人信息权益,不符合专利法第五条的规定,不应被授予专利权。
(三)滥用人脸识别技术
《办法》第四条规定,应用人脸识别技术处理人脸信息,应当具有特定的目的和充分的必要性,采取对个人权益影响最小的方式,并实施严格保护措施。《办法》第十条规定,实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。个人不同意通过人脸信息进行身份验证的,应当提供其他合理、便捷的方式。上述规定强调了人脸识别技术应用的合理性和必要性,要求个人信息处理者在使用人脸识别技术时,必须谨慎考虑技术的实施对个人权益的影响,确保技术的使用是为了实现合法的目标,且不能作为唯一的验证方式。
以某与智能系统安全电梯相关的发明专利申请为例,其说明书记载:在陌生人拜访时,通过门厅的人脸识别设备确认身份并进行人脸图像采集;进入电梯后,再次采集人脸信息才能去往对应楼层;在进入房间以及离开时,主人和陌生人员一起进行人脸识别;离开楼层时,楼层人脸识别装置进行人脸识别。该方案对人脸识别技术的应用存在明显的滥用问题,其设计的多环节人脸识别流程远超“保障电梯安全”的合理范畴:在门厅、轿厢等场景的身份验证环节,现有技术中可通过语音通话、门禁密码、预设授权的NFC卡片等对个人权益影响更小的方式来确认陌生拜访者身份,而其却强制进行人脸图像采集;同时,进入房间后室内双人进行人脸识别、离开时的楼层再次识别,更是明显超出电梯安全管理的必要,属于无意义的重复采集。人脸信息作为不可替代的生物识别信息,在上述案例的技术方案中多次采集、多节点传输,不但增加了敏感信息泄露的风险,而且过度干涉用户的活动,拜访者需在不同场景下反复配合人脸识别操作,给用户带来不必要的时间成本和操作负担,且将人脸识别技术作为唯一验证方式,显然不属于对个人权益影响最小的方式。
依据个人信息保护法第六条第一款的规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。”该案例的技术方案中并未采取对个人权益影响最小的方式,属于滥用人脸识别技术,违反了个人信息保护法,因此不符合专利法第五条的规定,不应被授予专利权。
(四)不符合维护公共安全所必需
《办法》第十三条规定,在公共场所安装人脸识别设备,应当为维护公共安全所必需,依法合理确定人脸信息采集区域,并设置显著提示标识。这一规定明确了在公共场所使用人脸识别技术的条件和要求,旨在确保人脸识别技术在公共场所的应用是出于维护公共安全的正当目的,并且不会对公民的个人权益造成不必要的侵犯。
以某与智能公交车数据发布交互系统相关的发明专利申请为例,其权利要求限定:人脸识别系统进行对乘车人员采集人脸信息,人脸识别系统将采集信息传输给数据库对比,当乘车人员为罪犯,禁止上车;当乘车人员为失信人员将禁止上车,正常乘客欢迎上车。针对公交车这一公共场所,除了《办法》第十三条的规定,个人信息保护法第二十六条规定:“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。”该案例中虽然未取得个人的单独同意,如果出于发现犯罪分子、维护公共安全所必需的目的,可以适用《办法》和个人信息保护法的规定。但是该案例的技术方案中不仅针对犯罪人员进行人脸识别,还将范围扩大至失信人员,这种做法显然超出了维护公共安全所必需的范围。根据相关规定,失信人员被限制乘坐高铁、动车、普通列车等,但公交车不属于限制的范围,因此,利用人脸识别技术限制失信人员坐公交车不属于个人信息保护法所规定的维护公共安全所必需。
因此,该案例技术方案的实施不符合维护公共安全所必需的条件,不能适用于个人信息保护法第二十六条,根据个人信息保护法第二十九条以及专利法第五条的规定,不应被授予专利权。
合法性判断方法
通过对以上案例的分析,本文尝试构建一个层次化的审查判断路径,以系统化地评估人脸识别专利申请的合法性:首先,确定技术方案中是否获得被采集人脸数据人员的单独同意,若并未获得单独同意,进一步确定技术方案中是否涉及公共场所,在涉及公共场所的场景下,应核实技术方案是否超出维护公共安全所必需,若超出则判定技术方案违反民法典第一千零三十五条、个人信息保护法第二十九条;在不涉及公共场所的场景下,则应判定技术方案违反民法典第一千零三十五条、个人信息保护法第二十九条;若技术方案获得了被采集人脸数据人员的单独同意,则应判断技术方案是否涉及未成年人,若未涉及,则应进一步核实技术方案是否涉及滥用,是否有其他验证方式,若存在滥用的情况,则该技术方案违反个人信息保护法第六条第一款;若涉及未成年人且得到家长或监护人的同意,但存在滥用情况,则判定技术方案违反个人信息保护法第六条第一款;若涉及未成年人但未得到家长或监护人的同意,则判定技术方案违反个人信息保护法第三十一条第一款。具体的判断流程可见下图:
人脸识别技术运用合法性判断流程图
总结
综上所述,对于人脸识别技术相关专利的审查,审查员应以《办法》为关键线索和指引,紧密结合民法典、个人信息保护法等上位法原则,判断人脸识别技术专利申请是否违反法律规定。笔者认为,通过构建系统化的合法性审查思路,不仅能够提升审查的质量与效率,更能确保专利授权活动与国家个人信息保护法律体系的演进同频共振,在激励技术创新的同时,筑起保护公民基本权利、维护社会公共利益的坚实法治防线,促进人脸识别技术朝着更加健康、规范、有利于社会的方向发展。
(作者单位:国家知识产权局专利局专利审查协作江苏中心)
(编辑:刘珊 实习编辑:蔡友良)
“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
