文/新浪財經意見領袖專欄作家 李俊慧

　　引言

　　打響行業規范第一槍？

　　“人臉識別第一案”迎來終審判決。

　　2021年4月9日，浙江省杭州市中級人民法院（以下簡稱杭州中院）就郭兵與杭州野生動物世界有限公司（以下簡稱杭州野生動物世界）服務合同糾紛二審案件，依法公開宣判。

　　二審在原判決的基礎上，增判杭州野生動物世界刪除郭兵辦理指紋年卡時提交的指紋識別信息。

　　作為《民法典》施行以來，因人臉識別技術應用引發的訴訟“第一案”，伴隨該案件的二審終審判決出臺，該案件確認一些的權利救濟方式、司法保護措施和業務操作細則，將為人臉識別技術及相關設備的應用和規范發揮指引性作用。

　　1

　　糾紛回溯：超范圍使用個人信息和強迫升級是爭議焦點

　　2019年4月27日，郭兵購買杭州野生動物世界雙人年卡，留存相關個人身份信息，并錄入指紋和拍照。后杭州野生動物世界將年卡入園方式由指紋識別調整為人臉識別，并向郭兵發送短信通知相關事宜，要求其進行人臉激活，雙方協商未果，遂引發本案糾紛。

　　2020年11月20日，杭州市富陽區人民法院作出一審判決，判令杭州野生動物世界賠償郭兵合同利益損失及交通費共計1038元；刪除郭兵辦理指紋年卡時提交的包括照片在內的面部特征信息；駁回郭兵要求確認店堂告示、短信通知中相關內容無效等其他訴訟請求。郭兵與杭州野生動物世界均不服，向杭州中院提起上訴。

　　2020年12月11日，杭州中院立案受理該案，并于同年12月29日公開開庭進行審理。2021年4月9日，杭州中院做出了二審判決。

　　回溯郭兵與杭州野生動物世界之間的糾紛，究其根源主要有二：

　　其一是杭州野生動物世界未事先獲得用戶授權，擬將其收集的用戶人臉信息用于人臉識別系統或設備使用；

　　其二是杭州野生動物世界在采用新技術、新設備過程中，未給用戶留足過渡周期，有“強迫”升級的嫌疑。

　　應該說，“人臉識別第一案”對相關主體對人臉信息、指紋信息等個人生物特征信息實施或開展收集、使用、存儲等個人信息處理時，所應擔負的義務予以了明確和厘清。

　　根據《民法典》第一千零三十四條的規定，個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。

　　其中，指紋和面部特征信息通常被認為屬于生物識別信息范疇的個人信息。

　　因此，對于此類個人信息的處理，就需要遵循《民法典》及《網絡安全法》等與個人信息保護相關的規定。

　　2

　　處理義務：合法、正當、必要是前提，不超限度是關鍵

　　按照《民法典》第一千零三十五條的規定，對個人信息的處理行為或手段，包括對個人信息的收集、存儲、使用、加工、傳輸、提供、公開等七種行為。

　　其中，信息處理者所需承擔的禁止性義務，包括：不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。

　　而對于按照合法、正當、必要原則進行個人信息處理時，需承擔不得過度處理義務，并符合單獨授權、規則公開和透明等要求。

　　簡單說，在遵循合法、正當、必要原則前提下，對個人信息過度處理的，屬于違法行為，對個人信息的處理不滿足單獨授權、規則公開和透明等要求的，也構成違法。

　　其中，所謂“過度”處理，包括：在七種處理行為中，有超過必要限度處理、超范圍處理或超限制處理等情形。

　　比如，類似郭兵訴杭州野生動物世界一案中，杭州野生動物將留存的用戶照片，未經用戶允許用以人臉識別系統使用等。

　　此外，類似僅獲得了個人信息收集等單一處理行為授權，但超范圍或超限制對個人信息進行了存儲、使用、加工、傳輸和公開等多種處理行為。

　　值得關注的是，面部特征信息和肖像具有“一體兩面”的性質或特點，用戶肖像被采集，也就相當于用戶的面部特征信息被采集了。

　　因此，如果采集過用戶肖像的企業或平臺，也就相當于采集了用戶的面部特征信息，那么，后續對于此類信息的處理，如果涉及到應用到人臉識別場景中的，需要單獨獲取用戶的授權。

　　3

　　借鑒啟示：個人信息使用環節規則明細，存儲等其處理行為待規范

　　當前，具有肖像采集功能的設備或應用，已經在很多領域被廣泛使用。

　　在安防和防疫管理領域，已有支持測溫功能的人臉識別門禁系統，也有支持測溫功能的安檢設備等等。

　　在類似在線銀行業務辦理中，為了確認系本人操作，也有采用人臉識別技術，需要即時采集面部特征信息，和后臺留存信息進行比對確認。

　　此外，基于人臉識別技術也催生了不少隱形的新“巨頭”，比如曠視科技、商湯科技等等。

　　這些主要的人臉識別技術企業或廠商，在建立相應的模型、形成相應的算法，固化相應的技術時，都需要使用的人臉圖片或面部特征信息。

　　那么，這些公司對面部特征信息的收集、存儲、使用、加工等處理行為是否遵照《民法典》單獨獲得了用戶的授權或同意，都是值得關注的問題。

　　整體來看，人臉識別技術和設備應用，屬于典型的“使用先于規范”、“應用先于立法”。

　　從加強個人信息保護的角度來看，對于此類產品的規范管理，既要從源頭的生產許可介入，也要從安裝使用環節加以規范。

　　既要對單一設備或系統的信息采集合規性予以審視，也要對同一廠商所有設備聯網及后臺上傳或回傳信息的行為予以監管。

　　而對于平臺從某種業務獲取了用戶生物特征信息，未經用戶單獨同意又用于其他業務的做法，也需要逐步加強規范。

　　簡單說，在采集或收集個人信息之后，對個人信息的進行存儲、使用、加工、傳輸、提供、公開等任一處理行為，是否允許一次性概括性同意，還是必須逐項逐次獲得同意，這些都需要盡快明確規則。

　　在“人臉識別第一案” （即郭兵訴杭州野生動物世界一案）中，原告及法院主要圍繞留存肖像用于人臉識別和留存指紋信息刪除等展開。

　　對于采集之后，進一步實施類似存儲、加工、傳輸、提供和公開等處理行為時，應予如何規范尚未給予回應，這也就需要相關部門在做好人臉識別技術應用和設備管理方面提前謀劃，做好技術標準和監管規范的制定。

　　從這個角度來看，“人臉識別第一案”終審判決的出臺，只是打響了人臉識別技術應用或設備實現規范管理的“第一槍”。

　　參考資料：

　　1．“人臉識別第一案”：生物識別信息應當更加謹慎處理和嚴格保護

　　相關法條：

　　《民法典》

　　第一百一十一條規定，自然人的個人信息受法律保護。任何組織或者個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。

　　《網絡安全法》

　　六十四條規定，網絡運營者違反第四十二規定，侵害個人信息依法得到保護的權利的，由有關主管部門責令改正，可以根據情節單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款；情節嚴重的，并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。

　　(本文作者介紹：中國政法大學知識產權研究中心特約研究員，長期關注互聯網、知識產權及電子商務等相關政策、法律及監管問題。)