丁驄桀

摘 要：人臉識別技術(shù)的技術(shù)優(yōu)勢被迅速地擴大并濫用，各行各業(yè)與社會公眾均牽涉其中，由此引發(fā)的公眾恐慌促進(jìn)了最高人民法院對該問題的研究，并迅速出臺相關(guān)司法解釋對公民的人臉信息進(jìn)行保護，同樣在市場監(jiān)管領(lǐng)域也引起監(jiān)管部門的重視，對銷售門店的查訪與處罰不可謂不迅速而有力，但由此也不免引發(fā)了行業(yè)對于人臉識別技術(shù)應(yīng)用的合規(guī)性疑惑，從《個人信息保護法》的出臺可以看出個人信息并非完全不可利用，但需在法律規(guī)制的范圍內(nèi)尋求其合法合規(guī)的界限。

關(guān)鍵詞：人臉識別;個人信息;隱私;行政處罰

隨著信息技術(shù)飛速發(fā)展，人臉識別技術(shù)在近幾年中快速地滲透到人們生活的方方面面，并對各種我們曾習(xí)以為常的生活方式產(chǎn)生影響，如門禁掃臉、掃臉支付、健康碼等。但是一體兩面，人臉識別技術(shù)在諸多領(lǐng)域發(fā)揮著巨大作用并為我們的生活帶來便利的同時，也同樣存在被濫用的情況。從技術(shù)水平的角度來看，人臉是唯一不需要被采集者主動配合就可以采集到的生物特征信息。其他生物特征信息的采集過程，如指紋、掌紋、虹膜、靜脈、視網(wǎng)膜，都需要以被采集者的主動配合為前提，即如果用戶拒絕采集，則無法獲得高質(zhì)量甚至符合要求的特征信息。而從社會心理的角度來看，相比于使用其他生物特征信息進(jìn)行身份驗證，通過人臉信息識別用戶身份，符合用戶的視覺識別經(jīng)驗，更容易被使用者接受。如人們在采集指紋和虹膜時，會擔(dān)心隱私泄漏，但是每天被街頭的幾百臺監(jiān)控攝像機拍攝，卻習(xí)以為常并不感到被侵犯，因為人臉天生就暴露在外，一直以來就被認(rèn)為是識別身份的天然特征。由于以上兩點，人臉識別技術(shù)的風(fēng)險很容易被忽略。與指紋、虹膜等生物特征不同，人臉一般不用于具體身份的識別，而是用于嫌犯的鑒別。在出入境口岸、機場、車站、賭場等人流密集的場所，人臉識別技術(shù)可以在用戶完全不知情的情況下，將用戶的人臉圖像與嫌犯列表的人臉圖像進(jìn)行比對并精準(zhǔn)抓取。借助密布于街頭的監(jiān)控攝像機，人臉識別技術(shù)可以做到24小時蹲守、盯梢、跟蹤目標(biāo)，不知疲倦，不眠不休。而令人感到恐懼的是，在技術(shù)發(fā)展的今天，嫌犯列表可以被置換成任何列表，如用于維護公共安全以外的非正當(dāng)目的，技術(shù)上沒有任何難度。在集權(quán)國家，人臉識別技術(shù)可以成為Big Brother最得力的監(jiān)視工具，就像《魔戒》中的“索倫之眼”，無論天涯海角，白天黑夜，永遠(yuǎn)注視著你，不會有片刻眨動。因此，在人臉識別技術(shù)廣受關(guān)注并被濫用后，最高人民法院率先在2021年7月28日發(fā)布《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》（以下稱“《規(guī)定》”），對人臉識別進(jìn)行規(guī)范。

一、從《規(guī)定》中發(fā)現(xiàn)最高法司法解釋的新趨勢

自人臉識別技術(shù)被廣泛應(yīng)用于各行各業(yè)以來，經(jīng)營者濫用人臉識別技術(shù)侵害自然人合法權(quán)益的事件頻發(fā)，不僅涉及消費者權(quán)益，同時還可能觸及勞動者權(quán)益的保護范疇，此類現(xiàn)象引起了社會公眾的普遍關(guān)注和擔(dān)憂。最高人民法院副院長楊萬明表示：“某些知名門店使用‘無感式’人臉識別技術(shù)在未經(jīng)同意的情況下擅自采集消費者人臉信息，分析消費者的性別、年齡、心情等，進(jìn)而采取不同營銷策略。”這些行為嚴(yán)重?fù)p害自然人的人格權(quán)益，亟待進(jìn)行規(guī)制。因此，最高法就人臉信息保護發(fā)布司法解釋以期能夠為實務(wù)提供法律依據(jù)及司法保護?！兑?guī)定》明確：“在賓館、商場、銀行、車站、機場、體育場館、娛樂場所等經(jīng)營場所、公共場所違反法律、行政法規(guī)的規(guī)定使用人臉識別技術(shù)進(jìn)行人臉驗證、辨識或者分析，應(yīng)當(dāng)認(rèn)定屬于侵害自然人人格權(quán)益的行為。”除此之外，最高法在《規(guī)定》中還明確了對物業(yè)人臉識別門禁、未成年人人臉識別以及應(yīng)用程序獲取人臉識別權(quán)限三個方面的限制。

（一）物業(yè)不得強制將人臉識別作為出入小區(qū)唯一驗證方式

出于小區(qū)管理成本以及安全控制考慮，部分小區(qū)物業(yè)引入了目前已逐漸成熟的人臉識別系統(tǒng)，以“刷臉”門禁代替?zhèn)鹘y(tǒng)的“刷卡”門禁，但從社會各界的反饋上看，并非所有社會公眾都樂于接受“刷臉”進(jìn)入的方式。支持者認(rèn)為將人臉識別作為住戶身份驗證方式，是一種智能化管理，可以更精準(zhǔn)識別出入小區(qū)人員，讓小區(qū)管理更安全、更高效。但也有反對者認(rèn)為，在錄入人臉信息時，小區(qū)物業(yè)要求人臉信息和詳細(xì)住址、身份信息相綁定，這些信息一旦泄露，可能給公民個人隱私造成損害。

對此，最高法認(rèn)為，人臉信息應(yīng)當(dāng)屬于敏感個人信息，小區(qū)物業(yè)對人臉信息的采集、使用過程都必須依法征得業(yè)主或者物業(yè)使用人的同意。只有業(yè)主或者物業(yè)使用人自愿同意使用人臉識別，對人臉信息的采集、使用才有了合法性基礎(chǔ)。最高人民法院研究室副主任郭鋒表示，在實踐中，部分小區(qū)物業(yè)強制要求“居民錄入人臉信息并將人臉識別作為出入小區(qū)的唯一驗證方式”的行為違反“告知同意”原則。盡管我們應(yīng)該嘗試體驗新科技帶來的便利，但同時也要尊重公民的人格權(quán)益。因此，小區(qū)物業(yè)不能以智能化管理為由，侵害居民人格權(quán)益。為此，《規(guī)定》明確：“物業(yè)服務(wù)企業(yè)或者其他建筑物管理人以人臉識別作為業(yè)主或者物業(yè)使用人出入物業(yè)服務(wù)區(qū)域的唯一驗證方式，不同意的業(yè)主或者物業(yè)使用人請求其提供其他合理驗證方式的，人民法院依法予以支持?！备鶕?jù)這一規(guī)定，小區(qū)物業(yè)應(yīng)當(dāng)在使用人臉識別門禁系統(tǒng)錄入人臉信息時，征得業(yè)主或者物業(yè)使用人的同意，對于不同意的業(yè)主或者物業(yè)使用人，小區(qū)物業(yè)還應(yīng)當(dāng)為其提供可選擇的替代性驗證方式，不得以人臉識別為唯一驗證方式為由，侵害業(yè)主或物業(yè)使用人的人格權(quán)益和其他合法權(quán)益。

（二）處理未成年人人臉信息須征得監(jiān)護人的單獨同意

未成年人的人臉信息被采集的場景同樣隨著人臉識別技術(shù)的推廣普及而增加。未成年人的特殊性決定了對其人臉信息的保護應(yīng)當(dāng)更加嚴(yán)謹(jǐn)周密，因為一旦遭到泄露，侵權(quán)行為及其危害影響甚至可能伴隨其一生，《規(guī)定》為此對未成年人的人臉信息保護作出了專門規(guī)定。我國《未成年人保護法》《網(wǎng)絡(luò)安全法》等法律原本就對未成年人的網(wǎng)絡(luò)保護作出了專門規(guī)定，如信息處理者處理不滿十四周歲未成年人個人信息的，應(yīng)當(dāng)征得未成年人的父母或者其他監(jiān)護人同意;未成年人、父母或者其他監(jiān)護人要求信息處理者更正、刪除未成年人個人信息的，信息處理者應(yīng)當(dāng)及時采取措施予以更正、刪除。《規(guī)定》則貫徹了最有利于未成年人原則，從司法審判層面加強對未成年人人臉信息的保護。最高法從責(zé)任認(rèn)定角度出發(fā)，結(jié)合當(dāng)前未成年人人臉信息保護現(xiàn)狀，在《規(guī)定》中明確將“受害人是否未成年人”作為責(zé)任認(rèn)定特殊考量因素，對于違法處理未成年人人臉信息的，在責(zé)任承擔(dān)時依法予以從重從嚴(yán)，確保未成年人人臉信息依法得到特別保護，以此維護未成年人健康成長。最高人民法院研究室副主任郭鋒對此發(fā)表意見，按照告知同意原則，根據(jù)第2條第3項的規(guī)定，信息處理者處理未成年人人臉信息的，必須征得其監(jiān)護人的單獨同意。關(guān)于具體年齡，可依據(jù)《未成年人保護法》《網(wǎng)絡(luò)安全法》以及將來的《個人信息保護法》進(jìn)行認(rèn)定。

（三）應(yīng)用程序不得強制索取非必要個人信息

智能手機的功能日益豐富，帶動的不僅是生活、工作跨時代的變遷與便利，還有諸多應(yīng)用程序乘上這趟東風(fēng)，應(yīng)用市場上的應(yīng)用程序同樣日益豐富，各異的功能依托于智能手機的硬件條件為智能手機的功能添磚加瓦，但是智能手機的應(yīng)用程序一直以來存在通過一攬子授權(quán)、與其他授權(quán)捆綁等授權(quán)模式，或是“不點擊同意就不提供服務(wù)”等方式強制索取非必要個人信息的問題，這不僅是手機用戶權(quán)益保護的痛點，也是權(quán)益受損后維權(quán)的難點。對此，《規(guī)定》明確了此類處理人臉信息的新規(guī)則。最高法認(rèn)為，人臉信息屬于敏感個人信息，處理活動對個人權(quán)益影響重大，因此，在“告知同意”的層面上，有必要設(shè)定較高標(biāo)準(zhǔn)，以確保個人在充分知情的前提下，合理考慮對自己權(quán)益的后果而作出同意。最高人民法院研究室民事處處長陳龍業(yè)表示：“《規(guī)定》第2條第3項引入單獨同意規(guī)則，即信息處理者在征得個人同意時，必須就人臉信息處理活動單獨取得個人的同意，而不能通過一攬子告知同意等方式征得個人的同意?！贝送猓罡叻ㄏ嚓P(guān)負(fù)責(zé)人還介紹道，基于個人同意處理人臉信息的，個人同意是信息處理活動的合法性基礎(chǔ)。只要處理者不超出自然人同意的范圍，原則上該行為就不構(gòu)成侵權(quán)行為。自愿原則也是民法典的基本原則，個人的同意必須是基于其自愿而作出，尤其是對人臉信息的處理，更是不能帶有任何強迫因素。如果信息處理者采取“與其他授權(quán)捆綁”或“不點擊同意就不提供服務(wù)”等授權(quán)模式，將會導(dǎo)致自然人無法單獨對人臉信息作出自愿同意，或者被迫同意處理其本不欲提供且非必要的人臉信息。因此，為了強化人臉信息保護，防止信息處理者對人臉信息的不當(dāng)采集，《規(guī)定》第4條對處理人臉信息的有效同意采取從嚴(yán)認(rèn)定的思路。對于信息處理者采取“與其他授權(quán)捆綁”、“不點擊同意就不提供服務(wù)”等方式強迫或者變相強迫自然人同意處理其人臉信息的，信息處理者據(jù)此認(rèn)為其已征得相應(yīng)同意的，人民法院不予支持。

（四）明確五類情形可以使用人臉識別

當(dāng)然，人臉識別技術(shù)作為廣泛應(yīng)用于各行各業(yè)的新技術(shù)，同樣具有其不可忽略的優(yōu)勢與必要性，因此不能因噎廢食，對其進(jìn)行全盤否定與廢棄。除了對以上三項作出特殊規(guī)定外，《規(guī)定》還就信息處理者可以應(yīng)用人臉識別技術(shù)收集個人信息的情形進(jìn)行了列舉。當(dāng)為應(yīng)對突發(fā)公共衛(wèi)生事件或緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需時、為維護公共安全時、為公共利益實施新聞報道、輿論監(jiān)督等行為時、在自然人或者其監(jiān)護人同意的范圍內(nèi)以及符合法律、行政法規(guī)規(guī)定的情形下可以合理使用人臉識別技術(shù)，信息處理者主張其不承擔(dān)民事責(zé)任的，人民法院依法予以支持。《規(guī)定》此舉不僅充分考量人臉識別技術(shù)的積極作用，一方面規(guī)范信息處理活動，保護敏感個人信息，另一方面也注重促進(jìn)數(shù)字經(jīng)濟的健康發(fā)展，保護人臉識別技術(shù)的合法應(yīng)用。

二、司法實務(wù)案件中的監(jiān)管新動向

除了最高法對人臉識別技術(shù)的應(yīng)用作出相應(yīng)的舉措外，司法實務(wù)中同樣發(fā)生了新的監(jiān)管動向，其中表現(xiàn)最為突出的在于市場監(jiān)管部門作出的行政處罰。2021年央視315晚會上就對經(jīng)營者濫用人臉識別技術(shù)進(jìn)行了曝光，經(jīng)營者非法采集、獲取消費者人臉信息并肆意濫用的行為引起了社會公眾的強烈反響。在晚會上，包括科勒、寶馬、Max Mara等知名品牌在內(nèi)的企業(yè)被點名，其在門店內(nèi)安裝攝像頭非公開捕捉客戶的人臉信息，客戶在毫不知情的情況下被精準(zhǔn)識別人臉信息、性別、年齡，甚至顧客當(dāng)下的心情都能被攝像頭精準(zhǔn)捕捉并識別，而被曝光的企業(yè)僅是冰山一角，就晚會上所提及的4家人臉識別技術(shù)開發(fā)公司在其官網(wǎng)上列舉的合作、服務(wù)品牌不下十余種，其中更是有諸多耳熟能詳?shù)母餍懈鳂I(yè)品牌，涉及汽車及汽車服務(wù)企業(yè)、充滿街頭巷尾的各大主流便利店、在小區(qū)及寫字樓等各種生活工作場所出現(xiàn)的廣告屏幕等。以悠絡(luò)客為例，其官網(wǎng)介紹頁強調(diào)其所運用的“200萬+的攝像機都是云平臺攝像機”，不僅可在被采集者戴口罩的情況下達(dá)到90%的識別率，還可以對人臉、動作行為等進(jìn)行精準(zhǔn)分析。人臉識別技術(shù)的強大與覆蓋面積之廣遠(yuǎn)遠(yuǎn)超出我們的想象，我們曾認(rèn)為如此強大的技術(shù)必然受到嚴(yán)格的管控，所收集的個人信息應(yīng)當(dāng)受到妥善而全面的保護，然而315晚會所揭露的事實讓我們深感不安，即使是普通店員也可以調(diào)取客戶信息，不僅包括購物信息，甚至可以達(dá)到付款賬戶這等程度的敏感信息。同樣令人不寒而栗的莫過于幾個月前在網(wǎng)絡(luò)上流傳的關(guān)于支付寶“掃臉支付”的幕后操作，除了對人臉信息進(jìn)行算法運算與核查外，支付寶后臺甚至有專人對人臉識別進(jìn)行人工校驗，因此網(wǎng)友呼吁在進(jìn)行“掃臉支付”時，注意保護自身私密，更有甚者著重強調(diào)在“掃臉”時不要赤身裸體，可以說該傳言雖無準(zhǔn)確證據(jù)，但足以引起合理懷疑，因為這并不涉及技術(shù)難點，更是充滿黑色幽默。

也正是315晚會的曝光，引起了市場監(jiān)管部門對人臉識別濫用現(xiàn)象的關(guān)注，并采取迅速措施進(jìn)行查訪與整頓。根據(jù)筆者在威科先行數(shù)據(jù)庫的檢索，以“人臉識別”作為關(guān)鍵詞共檢索到440件涉及相關(guān)行政處罰的案件，在細(xì)化搜索條件后發(fā)現(xiàn)涉及消費者權(quán)益保護的案件共有35件。其中，以房地產(chǎn)開發(fā)企業(yè)受到該類處罰的現(xiàn)象最為嚴(yán)重，共計33件，其余兩起分別出現(xiàn)在建材行業(yè)與醫(yī)藥行業(yè)的門店。根據(jù)房地產(chǎn)開發(fā)銷售企業(yè)的35件行政處罰案件的公開決定書顯示，其違法情況大體相同，基本表現(xiàn)為在房屋銷售現(xiàn)場使用人臉識別攝像頭等設(shè)備，對到訪消費者進(jìn)行人臉抓拍、比對以進(jìn)行相關(guān)費用結(jié)算以及購房價格的確定。而在細(xì)節(jié)上又有所不同，主要有四種情形：

1.在收集、使用人臉信息時未告知消費者存在人臉信息采集事宜;

2.雖然通過告知牌等方式對信息采集事宜進(jìn)行公示告知，但并未明確告知收集使用的目的、方式和范圍;

3.雖告知了收集、使用人臉信息的方式，但并未明示其收集、使用的真實目的和范圍，也未征得消費者的同意;

4.雖經(jīng)過消費者同意，卻未向消費者明示收集、使用信息的目的、方式和范圍。

由此可見，市場監(jiān)管部門認(rèn)為上述行為均侵害了消費者的合法權(quán)益，觸及《消費者權(quán)益保護法》《侵害消費者權(quán)益行為處罰辦法》等相關(guān)規(guī)定對于消費者的保護底線，應(yīng)當(dāng)依法予以處罰。

三、人臉識別技術(shù)運用的合規(guī)建議

自2017年起，《網(wǎng)絡(luò)安全法》《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》等數(shù)據(jù)相關(guān)立法的實施使得數(shù)據(jù)合規(guī)越來越成為各種監(jiān)管部門關(guān)注的焦點之一。2020年10月至今，隨著《個人信息保護法（草案）》一審稿以及二審稿以及最終發(fā)布的全文對我國個人信息保護機制的完善，更是引發(fā)了社會各界對于個人信息處理、信息跨境傳輸?shù)葻狳c問題的討論。人臉識別信息的處理，也不再僅僅是互聯(lián)網(wǎng)企業(yè)所需要關(guān)注的問題，傳統(tǒng)的生產(chǎn)銷售企業(yè)在使用技術(shù)的過程中同樣需要關(guān)注個人信息的保護問題。對于互聯(lián)網(wǎng)企業(yè)而言，個人信息的合規(guī)性應(yīng)當(dāng)繼續(xù)堅持且貫徹合法、正當(dāng)、必要的原則，對于人臉信息等敏感的個人信息還需要遵循單獨同意等要求，而這些要求同樣應(yīng)當(dāng)適用于傳統(tǒng)生產(chǎn)銷售行業(yè)，根據(jù)《個人信息保護法》的相關(guān)規(guī)定，個人信息的處理全過程，包括收集、存儲、使用、加工、傳輸、提供、公開等，都應(yīng)遵循合法正當(dāng)性原則、目的明確原則、最小必要原則、公開透明原則、準(zhǔn)確性原則、安全保障原則。因此，對于傳統(tǒng)實體企業(yè)而言，典型的如商場、房產(chǎn)公司等，在商業(yè)性的場景中，對人臉識別技術(shù)的運用，至少應(yīng)當(dāng)符合四個方面的要求。

第一，收集方必須就相關(guān)信息與風(fēng)險做明確而充分的告知，并事先征得被收集人的同意。未經(jīng)被收集人的明示同意，不得將個人數(shù)據(jù)以任何形式提供給第三方（包括政府部門），或者讓第三方使用相應(yīng)的數(shù)據(jù)。在涉及犯罪偵查或國家安全的場合，可例外地予以允許，但需要嚴(yán)格限定適用條件與程序。

第二，收集程序應(yīng)當(dāng)公開，并確保所收集的數(shù)據(jù)范圍合乎應(yīng)用場景的目的，未超出合理的范圍。收集方不允許超范圍地收集個人的面部數(shù)據(jù)，收集的范圍應(yīng)當(dāng)符合相應(yīng)適用場景的目的，并以合理與必要為原則。

第三，收集方在收集個人的面部生物數(shù)據(jù)之后，應(yīng)當(dāng)盡好保管義務(wù)。收集方應(yīng)盡合理的努力，對所收集的數(shù)據(jù)妥善保管;違反保管義務(wù)，應(yīng)當(dāng)承擔(dān)相應(yīng)的法律責(zé)任。同時，如果被收集人撤回同意，或者明確要求刪除自己的數(shù)據(jù)，收集方應(yīng)當(dāng)對相應(yīng)數(shù)據(jù)予以刪除。

第四，對人臉識別技術(shù)的應(yīng)用場景，必須確保合法與合理，并避免侵入性過強的舉措。收集方在特定場景中所收集的數(shù)據(jù)，原則上不允許運用于其他的場景，除非該場景是在合理的預(yù)見范圍之內(nèi)。如果擅自擴大或者改變數(shù)據(jù)的應(yīng)用場景，收集方應(yīng)當(dāng)承擔(dān)相應(yīng)的法律責(zé)任。

參考文獻(xiàn)：

[1]勞東燕，《個人數(shù)據(jù)的刑法保護模式》，載《社會科學(xué)文摘》 2020年第12期.

[2]郭瑜，《個人數(shù)據(jù)保護法研究》，北京大學(xué)出版社 ，2012年版.

[3]邢會強，《大數(shù)據(jù)時代個人金融信息的保護與利用》[J]，載《東方法學(xué)》2021年第01期.

[4]高富平，《個人信息保護：從個人控制到社會控制》，載《法學(xué)研究》 2018年第03期.

[5]朱宣燁，《新時代個人信息民事保護路徑研究——以存在第三方信息處理者情況下的民事責(zé)任分配為視角》，載《法學(xué)雜志》2018年第11期.

作者簡介：

驄桀，男，漢族，1995年5月29日，浙江麗水，碩士研究生，華東政法大學(xué)，（200042），研究方向：經(jīng)濟法學(xué)金融法