看动物，刷人脸？中国“人脸识别第一案”

“为什么看个动物，要识别人脸”？动物园将入园方式从按指纹改成“刷脸”，因不愿意使用人脸识别，浙江理工大学副教授郭兵将杭州野生动物世界告上了法庭。该案也成为国内消费者起诉商家的“人脸识别第一案”。

2020年6月15日，杭州市富阳区人民法院开庭审理了此案，“脸”受不受保护成为各界关注的焦点。郭兵说，自己起诉的目的其实不在经济补偿，他认为这是“对目前人脸识别技术滥用的一种斗争”。

“人脸识别第一案”

2019年4月底，杭州市民郭兵在杭州野生动物世界有限公司（下称动物世界）办理了一张1360元的双人指纹年卡。为了方便公园进行身份核验，郭兵在办卡时录入了姓名、手机号、指纹等个人信息。每次入园时，都需要在闸机上录入指纹。

10月17日，他收到动物世界发来的消息，“园区年卡系统已升级为人脸识别入园，原指纹识别已取消。即日起，未注册人脸识别的用户将无法正常入园”。

然而，从事法律工作的郭兵认为，这种入园方式的改变或许会损害自己的权利。他承认人脸识别技术的先进，也不排斥自主选择使用人脸识别技术。但是在他看来，人脸识别背后的安全风险也极高。

郭兵表示，根据《消费者权益保护法》第29条规定，“经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则”。他认为，“必要”一般指的是要达到某一个目的，采取的方式对权益受影响的这些人（消费者）的损害应该最小。而动物世界现在采取的方式显然对消费者有非常大的权益侵害可能性。因为人脸信息一旦被泄露或者被非法获取了，或者一些工作人员为了不正当的目的，把这些信息泄露了，怎么控制？

于是，郭兵跟动物世界的工作人员协商，要求退还年卡费用。协商无果后，他将动物世界诉至法院。

2019年11月1日，杭州市富阳区人民法院正式受理此案。此案被称为国内“人脸识别第一案”。

焦点：“脸”受不受保护？

看个动物竟让“交”出“人脸”，是否有依据？“人脸”受不受保护？

2020年6月15日，富阳区人民法院開庭审理了此案。据了解，目前，我国针对个人信息保护的法律散见于网络安全法、刑法，《个人信息保护法》尚在立法过程中。本案中，郭兵及其代理律师援引的法律依据，主要是《消费者权益保护法》中关于经营者收集、使用个人信息的规定。案件案由为服务合同纠纷。

最初，郭兵提交的诉讼请求是由动物世界退还年卡费用并承担本案诉讼费。案件受理后，他将诉讼请求又增加了6条，包括：确认年卡办理及使用相关告示中关于指纹及人脸识别的部分内容无效;确认去年10月动物世界向其发送的人脸识别相关短信内容无效;要求公园删除他去年4月办理年卡时提交的全部个人信息;以及要求赔偿诉讼过程中产生的交通成本。

在他看来，如果法院能够在判决中回应新增内容，甚至是支持这些内容，那么他的诉讼就不只保障了他个人的权益，也间接保护了动物世界其他年卡用户的个人信息权益。

对此，复旦大学法学院教授刘士国表示，人脸识别信息属于个人生物识别信息。今年5月28日审议通过的民法典中，包括人脸识别信息在内的个人生物识别信息被明确纳入个人信息范畴，其处理受到法律保护。

尽管民法典从2021年1月1日开始生效，无法在这一案件中适用具体法律条款，但是条款背后的法理是可以参考使用的。

庭审结束后，富阳区人民法院表示该案将择期宣判。

无论判决结果如何，正如当事人郭兵所说，自己起诉的目的其实不在于经济补偿，而是出于一种公益目的，为了提高更多人对个人信息保护的警觉性。他认为这是“对目前人脸识别技术滥用的一种斗争”。

追问：便利与隐私只能二选一？

现如今，出入小区、去居民楼下的便民超市购物，或许都可以实现刷脸进出、刷脸支付，人脸识别技术应用场景逐渐增多，其便捷性越来越为大众所熟知。

据《2019年中国刷脸支付技术应用社会价值专题研究报告》显示，2019年正式开启了刷脸支付的“新元年”，国内刷脸支付用户达到1.18亿人。预计到2022年，刷脸支付用户规模超7.6亿人。

人们对人脸识别技术安全性的质疑，也从其诞生以来伴随至今。

以此次案件为例，动物园要求人脸识别，其是否具备相应采集公民人脸敏感信息的资质？如果任何一个商家主体都可以随意采集人脸信息，那么人脸识别固然方便了人们的生活，但同时人们的个人信息安全该如何得到保障？

今年2月，一家美国AI创业公司被爆出泄露客户超过30亿人脸数据的丑闻。回到国内，新冠肺炎期间，“上万张戴着口罩的脸部照片在网上被贱卖”的资讯也见诸报端。

据公安部4月15日发布的统计数据，新冠肺炎疫情发生以来，全国公安机关已经对1522名网上传播涉疫情公民个人信息的违法人员进行了治安处罚。

去年11月，有媒体报道，西安市曲江新区某小区对门禁进行升级，贴出公告采用“人脸识别”，却遭到业主质疑、担心人脸数据泄露。此外，在APP下载应用、员工上班打卡等场景下，也存在强制应用人脸识别的现象。而且很多应用软件，存在用户授权不到位、超范围收集、申请权限目的不明、滥用个人敏感信息的行为。

“在某些需要用户检验、支付的场景下，一个显示屏直接拦在你面前，用户只能选择同意，其选择权形同虚设，这种行为涉嫌违法。但目前来看，这类情况比较普遍，是非常令人担忧的。”杭州电子科技大学法学院副教授李庆峰表示。

“很长一段时间以来，人们对个人隐私权是缺乏重视的。”北京市中闻律师事务所律师赵虎说，“但值得期待的是，即将生效施行的民法典专章规定了‘隐私权和个人信息保护，特别将生物识别信息纳入个人信息保护范畴，这是一个巨大的进步。”

如何对技术滥用喊停

“其实，‘人脸识别第一案本身只是一起合同纠纷，但之所以引发这么多关注，是因为它触及了敏感的个人信息安全问题。”赵虎表示，“这起案件提醒我们，应该警惕技术‘升级换代外衣下对消费者的侵权行为。”

在李庆峰看来，人脸识别技术的应用须遵循客观需要，为“炫技术”“赶时髦”而用是本末倒置，公民对于人脸信息是否该被采集有着选择权。

“核心还是在于标准和规范。”北京市京师律师事务所律师熊超表示，对于什么样的主体有权利采集人脸信息、在什么范畴之内使用，目前这一块的规定上还是空白。为此，相关部门应该建立起认证标准和审核准入机制。信息采集机构必须在技术或管理上达到这个认证标准，经过审批之后，才有资格进行人脸信息采集。

对此，浙江大学光华法学院互联网法律研究中心主任高艳东表示，人脸识别应用场景所在行业首先需要具有法律的实名制要求，在此基础上才可申请人脸识别应用，主要应用于对安全性要求较高的行业领域，如金融、交通等行业及政府行政需求等。如果该行业不要求实名认证用户身份，那么其人脸识别技术则应当视为滥用。

《个人信息安全规范》规定，“收集个人生物识别信息前，应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围以及存储时间等规则，并征得个人信息主体的明示同意”。同时在企业个人信息保护政策中，对这类敏感信息应当着重突出显示，提醒用户注意。

高艳东认为，人脸识别技术应当以用户自愿为前提，不可强制收集。如果需要采集用户的人脸信息，商家或者企业首先要请求获得用户的授权，并提供相应明确的协议，告知用户采集信息的使用用途，保证用户的知情同意权，方可进行。

此外，高艳东还认为，包含人脸数据在内的个人信息泄露的现象也不容忽视，要从根本上遏制信息泄露问题，需要充实个人信息权的内容，推动个人信息保护模式从“国家保护”转向兼顾“私人自卫”，明确个人信息权的内容及赔偿标准，推动个人维权机制。

作为“人脸识别第一案”原告，郭兵表示，该案对人脸识别的商业应用中存在的个人信息安全隐患起到警示作用，希望未来立法及监管能够对这方面更加关注。

（《工人日报》《新京报》等）