“臉面”的安全

文/朱政

2019年4月，郭某支付1360元購買野生動物世界“暢游365 天”雙人年卡，確定指紋識別入園方式。郭某與妻子留存了姓名、身份證號碼、電話號碼等，并錄入指紋、拍照。

2019 年7 月、10 月，野生動物世界兩次向郭某發送短信，通知年卡入園識別系統更換事宜，要求激活人臉識別系統，否則將無法正常入園。郭某認為人臉信息屬于高度敏感個人隱私，不同意接受人臉識別，要求園方退卡。雙方協商未果，2019 年10 月28日，郭某向浙江省杭州市富陽區人民法院提起訴訟。

2021 年4 月9 日下午，全國“人臉識別第一案”在杭州中院二審判決。二審判決維持一審判決第一項、第二項，即判決野生動物世界賠償郭某合同利益損失及交通費共計1038元；判決野生動物世界刪除郭某辦理指紋年卡時提交的包括照片在內的面部特征信息，以及指紋識別信息。

濫用人臉識別技術會面臨極大的法律風險

供圖/視覺中國

人臉識別技術是基于人的臉部特征，用攝像機或攝像頭采集含有人臉的圖像或視頻，并自動在圖像中檢測和跟蹤人臉，進而對檢測到的人臉進行臉部識別的一系列相關技術。近年來，人臉識別技術普及度逐年大幅升高，加上該技術與其他生物特征識別技術相比，具有使用簡單、獲取方便、結果直觀、非接觸性驗證及可擴展性良好等眾多優勢，已經被廣泛地運用到金融、保險、教育、電子商務等領域，刷臉支付、刷臉開門、面容解鎖的應用場景也越來越廣泛。特別是在新冠肺炎疫情常態化防控的大背景下，由于人臉識別設備可以與測溫設備完美融合，在體溫監測的同時，可以同步上傳個人信息，與行程數據庫、健康碼數據庫信息進行比對，準確識別通行人員是否為高風險人員，實現“一機二用”，使得相關設備快速地廣泛運用于商場、辦公樓、居民小區等入口處。

然而，在技術便捷人們生活的同時，多起由人臉識別引發的糾紛敲響個人信息保護的警鐘，由于面部特征具有終身惟一且無法改變的特點，一旦泄露，后果十分嚴重。2021 年的3 · 15 晚會，開篇就重點報道了科勒衛浴、寶馬、MaxMara 商店等安裝人臉識別攝像頭，搜集海量的人臉信息，該人臉識別攝像頭可以在顧客不知情的情況下抓取包括性別、年齡在內的個人信息，進行精準營銷，濫用人臉識別技術的勢頭愈演愈烈。因此，如何尋找到一個科技進步方便大眾與個人隱私保護之間的平衡點，成為擺在政府和公眾面前的一道難題。

人臉識別信息屬于“公民個人信息”的范疇，依法應當得到法律的保護，濫用人臉識別技術，可能面臨較大的法律風險。民法典第一千零三十四條就明確規定，個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。該規定明確將人臉信息為代表的生物識別信息納入了個人信息的保護范疇，并規定了處理個人信息，應當遵循“合法、正當、必要”的原則。早在2017年實施的網絡安全法第四十一條也規定，網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。

此外，2020年修訂的《信息安全技術個人信息安全規范》中，特別新增了用戶畫像的使用限制、個人信息處理活動記錄等多項內容，明確規定個人生物識別信息屬于敏感信息，在收集前，需單獨向用戶告知收集、使用個人生物識別信息的目的、方式和范圍以及存儲時間等規則，并應征得用戶的明示同意。該規范確定了個人信息在收集、存儲、使用、共享、轉讓與公開披露等信息處理環節中的相關行為，旨在遏制個人信息泄露，最大程度地保護個人的合法權益和社會公共利益。

在刑事司法領域，濫用人臉識別技術，也會面臨極大的法律風險，早在2015 年頒布的《刑法修正案（九）》中，就擴大了侵犯公民個人信息罪的犯罪主體和個人信息的范圍。2017年，針對個人信息保護領域出現的新情況，最高人民法院、最高人民檢察院出臺了《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，第一條就規定了“公民個人信息”是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。

如今人臉識別技術越來越多得到了主流媒體的廣泛關注，也在司法領域得到了廣泛的回應。據統計，目前，我國已有40 多部法律和部門規章、近百部地方性法規和規范性文件涉及人臉識別技術，筑牢個人信息安全的法治屏障。相信在不遠的未來，隨著配套制度的不斷完善，人臉識別技術的使用規則將會得到進一步細化。

要從“三個層面”高度重視個人信息安全

個人層面，要謹慎向來路不明的機構、企業及個人提供自己的個人信息，特別是人臉識別信息、指紋信息等不可變信息。在提供相關信息前，要仔細詢問采集相關信息的原因和用途，是否有合法依據，以及相關企業數據安全的保護措施。在可以選擇其他識別方式的情況下，建議選擇刷卡、密碼等可變識別方式，以保護自身的個人信息安全。針對不合理的強制性采集，應當事前拒絕或者在事后主動收集證據，并及時向互聯網管理部門、工商部門、消費者保護協會、公安機關等相關機構進行投訴。如果因個人信息泄露受到人身、財產上的損害時，還可以通過刑事報案、民事訴訟等方式，追究相關責任人的法律責任。

企業層面，在遵守法律的基礎上，要加強行業自律，規范需要采集用戶個人信息的場合，解決目前突出的人臉識別信息“強制采集”的問題。在需要采集用戶人臉識別信息等敏感信息的場合，應自覺提示并主動釋明。在更新服務協議、新增識別方式時，應保留用戶選擇的權利，避免技術上或措施上的“一刀切”，確保協議能夠在原模式下繼續履行。此外，對于企業自身存儲的用戶個人信息，應本著合法、透明、適度的原則，強化對數據的加密級別和脫敏層級，避免數據泄露。

政府層面，在正確引導人臉識別技術相關的產業發展的同時，要加強監管力度，明確監管者和數據掌控者的責任，盡快解決目前在個人信息保護領域還存在的法律適用不統一、裁判尺度有差別的問題，使得法律之間更加協調。同時，建議政府主導建設由政府監管、權威機構運營的數據存儲中心，要求企業將收集的個人信息進行集中監管，解決目前人臉識別信息泄露等問題。此外，在推動新技術應用和新產業發展的同時，要健全人臉識別信息的合法獲取機制，運用刑事、行政、民事等多種手段從源頭上懲治信息的非法收集與販賣行為，杜絕技術的野蠻生長，保護我們每個人的“臉面”安全。■