“人脸识别第一案”背后的法治思考

“请正对镜头，眨一下眼睛……”提起“人脸识别”，很多人已并不陌生。商场、小区、办证大厅，随处可见人脸识别设备。过去很长一段时间，人脸识别技术被广泛应用于各种社会事务，而不需征求被采集者同意。

然而，去年宣判的“人脸识别第一案”的出现却打破了常规，作为全国第一起涉及人脸识别技术使用纠纷的民事案件，它成功将个人生物信息保护纳入法治视野，并推动了《个人信息保护法》等法律法规的出台。

 个人信息保护的行为边界在哪里？如何界定信息处理奉行的“合法、正当、必要”三原则？“人脸识别第一案”给人们带来源源不断的法治思考。以此案为契机，守护公众重要生物识别信息安全的司法实践更新的步伐越来越快。

 “刷脸入园”引纠纷

 联系上浙江理工大学法政学院特聘副教授郭兵时，他正在出席一个学术会议，而他更著名的一个身份是“人脸识别第一案”的原告。

 2019年4月，郭兵支付1360元购买了杭州野生动物世界“畅游365天”双人年卡，并与妻子留存了姓名、身份证号码、电话号码等信息，录入指纹并拍摄照片，“根据当时规定，入园只需要指纹识别，这期间我们有去过4、5次。”郭兵说。

 随后，杭州野生动物世界将年卡客户入园方式从指纹识别调整为人脸识别，更换了店堂告示，并于2019年7月、10月两次向郭兵发送短信，通知年卡入园识别系统更换事宜，要求激活人脸识别系统，否则将无法正常入园。

 面对园方单方面通知和刷脸入园方式，郭兵表示不接受，双方为此多次协商，园方也曾给出过折中方案，但双方就入园方式、退卡等相关事宜一直协商未果，郭兵这才将杭州野生动物世界告上了法庭。

 “最开始并没想过诉讼，也没想到此案会引起如此大的关注。”郭兵坦言，提及诉讼初衷，他说主要还是考虑到人脸识别收集的面部特征信息属于个人敏感信息，一旦泄露、非法提供或者滥用将极易危害人身和财产安全。

 “在协商过程中，工作人员一直不肯告知使用的是何系统，员工用手机为游客刷脸入园的行为，都让我感到这太不安全了！” 郭兵言语严肃，“一方面，民众对个人信息保护的意识在不断提高，但另一方面，遇到问题后的维权手段不够，渠道也不够畅通。”

 因此他提起诉讼，请求判令：一、确认野生动物世界店堂告示和短信通知中涉及指纹识别和人脸识别的内容无效；二、野生动物世界赔偿年卡卡费及为解决纠纷支出的交通费等费用；三、野生动物世界删除郭兵提交的全部个人信息等。

 “由于涉及个人信息保护的社会热点、生物识别技术应用边界等司法前沿问题，在当今数字经济背景下，该案自受理伊始，便受到社会各界高度关注，被称为‘人脸识别纠纷第一案’。”案件二审主审法官，杭州市中级人民法院民一庭审判员，四级高级法官韩圣超说。

 法院的审慎和努力

“一审诉讼发生时，人脸识别技术应用信息处理所遵循的法律规定散见于《消费者权益保护法》《网络安全法》等法律，各类规定相对偏向原则性，有些规则又存在空白，此前关于人脸识别技术应用的诉讼案子还没有过，因此本案也没有前案审理经验可供参照。”一审主审法官，原富阳法院民二庭副庭长唐承飞表示。

 举例来说，对于个人信息处理，“合法、正当、必要”是基本原则。但是概括性的原则缺乏适用细节或场景描述，使得司法裁判颇具难度。“案件处理要凸显个人信息保护，尽可能明确规则，树立行为边界，这是大的裁判方向，也是一审中重点考虑的问题。”唐承飞说。

 一审法院认为，当事人在办卡时签订的是采用指纹识别方式入园的服务合同，野生动物世界收集郭兵及其妻子的人脸识别信息，超出了“必要”这一原则的要求，不具有正当性。尽管野生动物世界在涉指纹识别的“年卡办理流程”中规定流程包含“至年卡中心拍照”，但并未告知郭兵与其妻子拍照即已完成对人脸信息的收集，也未告知收集目的。因此，郭兵与其妻子同意拍照的行为，不应视为对野生动物世界通过拍照方式收集两人人脸识别信息的同意。

 为此，2020年11月，杭州市富阳区人民法院一审判决，杭州野生动物世界赔偿郭兵合同利益损失及交通费1038元，删除郭兵的面部特征信息，驳回了郭兵提出的其他诉讼请求。对于判决结果，郭兵与野生动物世界均不服判决、提起上诉。

 二审法院认为，野生动物世界欲将收集的郭兵夫妇照片激活处理为人脸识别信息，超出事前收集目的，违反了“正当”这一原则，应当删除郭兵办卡时提交的包括照片在内的面部特征信息。此外，由于指纹识别闸机已停用，原约定的入园服务方式无法实现，故而还应当删除郭兵的指纹识别信息。据此，二审在原判决的基础上增判删除指纹识别信息，驳回郭兵其他诉讼请求。

 “值得一提的是，为了亮明司法对人脸等生物识别信息处理的态度，二审判决旗帜鲜明地提出‘生物识别信息作为敏感的个人信息，深度体现自然人的生理和行为特征，具备较强的人格属性，一旦被泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到不测危害，故更应谨慎处理和严格保护’。”韩圣超说。“法院在判决时力求平衡个人信息保护与数字产业发展需求，细致论证，审慎探索。”

 两审判决明确肯定在信息处理者涉及违法或违约的情形时，信息主体可向信息处理者主张删除权，这算得上是个人信息保护司法发展历程中的一个亮点。

 不断完善的法律规范

 “此案为后续《个人信息保护法》、最高院关于人脸识别的司法解释的出台等提供了生动的案例参考，社会热度与公众期盼不可避免地对该法及司法解释的出台产生推动作用。”浙江工商大学法学院教授、博士生导师郑英龙说。

 从个案正义转向制度正义，可实现从特殊性向一般性的转变，正是该案最重要的社会意义。2021 年6 月8日，最高人民法院发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》，明确了滥用人脸识别技术处理人脸信息行为的性质和责任。

2021 年8 月20 日，十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》作为我国个人信息法律保护的里程碑，首开敏感个人信息与一般个人信息区分保护之先河。

 “《个人信息保护法》对‘敏感个人信息’处理强调遵循个人信息处理合法、正当、必要等系列原则基础上，明确提出需存在‘特定的目的’以及‘充分的必要性’。”郑英龙解释，具体到一些人脸识别场景运用，如小区、售楼处等，如果不具备目的的充分性和必要性，就不能要求强制刷脸进出。此外，在“告知—同意”核心原则基础上，《个人信息保护法》还明确处理“敏感个人信息”应当取得个人的单独同意或者书面同意。

 不仅如此，《个人信息保护法》还规定，个人信息主体对个人信息享有删除权。无论双方是否就人脸信息的删除进行过约定，如果信息收集者或者处理者违反规定或者约定处理自然人的人脸信息，那么该自然人就有权主张个人信息收集者或处理者承担违约责任，并删除人脸信息。

 法律法规的完善，大大促进了个人信息保护水平。但是，记者在采访中发现，不少自然人并不具有较好的个人信息保护的法律意识，致使很多企业数字平台里存有大量个人数据。如何压实相关企业、网络平台等在个人信息保护方面需要承担得相应法律义务？郑英龙认为，可以构建“政府-行业-消费者”三位一体的规制体系，依法保护“脸面”，引导技术向善。

 在政府层面，加强技术应用监管。比如，在人脸识别遇到可能的个人信息侵权问题时，通过司法规范，限制个人信息泄露和侵权行为发生。在行业层面，保障程序规范。在进行人脸识别事前，须征得用户同意；数据合规使用，不得非法使用消费者个人信息；数据使用透明，消费者拥有数据使用知情权；采取数据安全保护措施，保障消费者个人信息不被泄露；增加消费者隐私设计，保障消费者信息不被侵犯；一旦消费者个人信息受到侵害，消费者拥有低成本的追责渠道，问责制度明确；在消费者层面，保持对个人信息保护的敏感性。

 “新技术新应用面临个人信息泄露和人格权被侵犯等风险，但是也大大提升了经济社会运行效率。法律对其进行规制并非是遏制它的使用与发展，而是将其指引向正确的发展方向。同样地，技术发展能为法律规制提供新的生机。”郑英龙表示。