从人脸识别角度谈消费者个人信息保护的完善

吕 凯，栗嘉悦

（天津大学 法学院，天津 300072）

作为个人生物识别信息的一种，人脸信息具有 其自身的独特性，其相较于 指纹、声音等传 统生 物识别 信息而言，使用起来 更高效，也更符合人类识别习惯，因此 在维护 公共安全、保障信息安全、保护金融交 易安全等多方面得 到普遍应用。但与此同时，人脸识别技术的发展也会给个人信息保护带来难题。在中国知网上进行“人脸识别信息”主题搜索，共显示 6000 余篇搜索结果。表面上看，与该主题相关的文章可谓是卷帙浩繁，但将学科限定为法律相 关之后 ，相关结果仅有 60 余篇。由此可见，我国从法律角度对人脸识别技术的研究尚不充分。从现有文献来看，学者主要从人脸信息的定义、特征、风险、成因以及对策等方面展开研究。而本文从人脸识别角度出发，分析人脸识别技术运用现 状，希冀 从人脸 识别角度为 消费者个人信息 保护提 供 可行 性 决 策参考。

一、问题的提出

2020 年 11 月 20 日，杭州市富阳区人民法院公开开庭宣判郭某与杭州野生动物世界有限公司服务合同纠纷一案。该案原告郭某因为对进入动 物园需 要 激 活人脸 识别 系 统的要求 不 满 ，将该动物园告上法庭。因涉及人脸信息的收集、使用等问题，该案件被称为“人脸识别第一案”。该案中法院判定消费者胜诉，究其原因，在于作为经营者的动物园单方变更合同，擅自将指纹识别入园改为人脸识别入园。但该案只能作为唤醒公众人脸信息保护意识的一次尝试，想要实现全方位、制度化的人脸识别应用限制，仍是未解难题。

2021 年 3 月 15 日，央视“3·15”晚会报道，科勒卫浴上千家门店安装了有人脸识别功能的摄像头，这些摄像头会在进店消费者不知情的情况下，抓取其人脸信息，以后消费者再去哪家门店、去了几次，都能够被获知[1]。

上述“人脸识别第一案”和科勒卫浴事件受到社会各界广泛关注，引发了人们从法律角度思考人脸识别的运用给消费者个人信息保护带来的挑战。

根据 2020 年修订的 《信息安全技术个人信息安全规范》（以下简称《规范》），人脸信息属于个人敏感信息。不同于姓名、出生日期等具有易重复特征的信息，此类敏感信息往往具有独特性、唯一性，仅凭一项敏感信息就很可能识别出特定主体，且若被泄露会严重威胁特定主体的人身和财产安全。因此，在人工智能快速发展的今天，选择人脸识别信息这一敏感信息作为切口，分析其给个人信息保护带来的法律困境，有利于司法实践中对 《民法典》《消费者权益保护法》《个人信息保护法》 等法律法规的具体条款更好地进行解读与适用，同时使得作为个人敏感信息的人脸信息在实践中获得有效保护与合理利用。

总体来讲，人脸识别应用场景分为两类，一种是 1∶1 认证，将一对人脸图像进行对比，判断是否为同一人[2]，比如现实生活中的门禁系统、手机面部解锁等。应用落地场景为有算法识别技术的软件供应商为手机厂商内置 SDK，辅助代码移植，使手机在本地即可进行人脸识别解锁，而不将信息上传[3]。另一种是 1∶N 人脸辨识问题，也叫作 1∶N 匹配，将输入图像在系统底库中搜索，看底库中哪张人脸图像与其相似度更高。

在《规范》中有规定，若产品或服务提供者仅提供工具给个人信息主体使用而不访问个人信息，则不属于“收集”。同时，《规范》中列举了离线导航软件不回传信息至软件提供者便不属于收集的例子来进一步阐明。可见，相较于上传至云端而言，人脸信息本地化存储所面临的信息泄露等风险较低，因此《规范》也将人脸信息本地化存储的行为与经营者的信息收集行为进行了明确的区分，使得经营者在对人脸信息控制权减弱的同时，其责任也随之降低，从而实现权责一致。虽然根据个人信息保护相关法律规范的要求，经营者对于消费者人脸信息的保护义务并不能在人脸信息本地化存储的情形下被豁免，但本文的研究重点主要集中 在 危害性可能 更大的 1 ∶N 人脸辨识问题上，对 1∶1 人脸认证不做主要探讨。另需说明，由于该技术已被广泛应用于公私领域，本文仅限于私领域中对消费者人脸信息保护的探讨。

二、人脸识别运用对消费者个人信息保护的挑战

（一）知情同意原则难 以有效保护消费 者人脸信息

知情同意原则奠基于“小数据时代”，大数据时代的知情同意原则陷入重重困境[4]。目前，我国《个人信息保护法》第 14 条、《民法典》第 1035 条和《消费者权益保护法》第 29 条中均存在关于知情同意原则的规定，然而，个人信息保护中的知情同意原则在人脸信息识别问题上遇到了挑战。一个重要原因在于，若想要收集除人脸信息之外的其他个人信息，或多或少需要自然人的配合才能够实现，比如下载、安装软件后需要勾选同意协议才能开始使用。而人脸信息则不然，想要收集人脸信息可以不需要自然人的主动配合，生活中的商场、银行、学校、街道等场所，摄像头无处不在，只要走出家门，人们便不可能将面部信息隐藏于公众视野，更何况一些处在隐蔽之处的摄像头使得人们的面部信息在完全不知情的情况下被拍摄、收集。

具体分析人脸信息识别中的知情同意原则难以适用 的 原因时，可以将该 原 则分为“ 知情”与“同意”两部分进行解释与探讨。“知情”是“同意”的基础 和 必要前提条 件，如 果 没有 真正“ 知情”，则“同意”便无从谈起，此 时即 便有“同意”也属于无效同意。正如在欧盟《一般数据保护条例》（GDPR）中认定，数据主体 的“同意 ”是 指 其通 过声明或 明 确的行动，自由、具 体、知情 和明确地表明同意对与其相关的个人数据进行处理的意愿[5]。

如何判定是否符合“知情”这个前提条件？本文认为，可以凭借《个人信息保护法》第 14 条的规定来进行解释，第 14 条第 1 款规定，个人应在充分知情的前提下作出意思表示；第 2 款规定了何种情形下应重新取得同意。其中第 1 款的“充分知情”可以理解为对第 2 款中不完全列举的个人信息处理目的、方式和种类等重要相关信息的知悉。由此，可以提出三种在人脸识别中实质上不能判定为“知情”的情形。

1.有协议而不知情

某些经营者提供的知情同意协议以“包括但不限于”条款或者“霸王条款”来无限扩大对用户人脸信息的收集、使用[6]。例如，2019 年 8 月，一款名为“ZAO”的换脸 APP 开始流行，仅需上传一张正脸照，就能使用户 成为影视作品中 的“主角”。在该 APP 起初版本的用户协议中规定，用户人脸信息的授权是免费、永久、可转授权的[7]。可见，该协议中的知情同意形同虚设，若经营者将此类知情同意 协议作为其任意 使用用户人脸信息的保护 伞，以谋求经济利益 ，或者进 行有关人脸信息的商事交易等，则可能给用户的人脸信息带来安全隐患。

此外，从人脸识别信息延伸到个人信息领域的知情同意协议，本文通过调查美团、淘宝、百度APP 的用户服务协议和隐私政策，从以下几方面对比、归纳了几点特征，如表 1、表 2 和表 3 所示。可以看出，在这三家商业机构 APP 中，用户都必须“阅读并接受服务协议”才能够注册使用，在用户 服务协议和隐私政策中也存在对需 要授权才能收集 使用的个人信息的列举以及如何使 用收集来的个人信息的说明。在用户仅使用浏览、搜索等基本功能时通常无需注册或授权。此外，三家商业机构 APP 的隐私政策中均存在相类似的免责声明。

表 1 美团关于个人信息的收集、使用政策

表 2 淘宝关于个人信息的收集、使用政策

表 3 百度关于个人信息的收集、使用政策

根据表 1、表 2 和表 3 分析可知，若用户接受了用户服务协议和隐私政策并授权，即表明该用户：（1） 同意将某些个人敏感信息交予商业机构收集、使用，如静态或动态的面部特征等；（2）同意商业机构对收集来的个人信息以提供服务为主要目的而进行使用；（3）同意商业机构未详尽列举的知情同意协议项目；（4）同意将某些检索记录等信息作为不需要授权的信息供商业机构任意收集、使用；（5）同意承担免责事由中未详尽列举的不具有可预测性的信息泄露风险。若商业机构在收集、使用个人信息时普遍采取前述隐私政策，那么在完全遵循个人自决原则的情况下，该商业机构做出的任何可能对个人信息权益造成损害的行为都属于有用户授权的合法行为，这显然不是用户所能预知并且认可的。

2.无协议且不知情

此类情形下，经营者可能借助人脸信息数据库对信息主体开展行为轨迹、心理轨迹和地理位置画像。比如将某一特定主体曾经在购物消费、旅游出行等多个数据库中被收集、记录的人脸信息进行识别和对比，便可以对该主体开展全方位的地理位置画像以及精准的个人行为记录。若庞大的信息数据库相连，一次简单识别就可能发掘无尽的信息①。正如前文提到的科勒事件中，经营者利用人脸识别技术链接大数据技术，收集进入科勒卫浴门店顾客的人脸信息链接到 大数据上 ，如，此消费者的 购 买能力、购物偏好便一览无余。在此基础上，经营者可能通过分析潜在客户，进行诱导消费，消费者的真情知悉权、公平交易权等权利便极有可能因此而受到侵害。

总之，以上两种情形均属于没有真正“知情”。无论是多次识别还是交叉匹配，人脸信息的再结构化和利用都将导致上述知情同意协议丧失制约信息滥用的效力。这种对知情同意原则的违反更是对消费者意思自治和人格尊严的侵犯。

3.知情但被迫同意

对于“同意”这 部分来 说，即使 有 了“知情 ”这一前提条件，消费者在某些场景下也可能被动甚至被迫接受人脸识别。如沃尔玛利用有人脸识别功能的监控来捕捉消费者表情，分析其心理活动。再如一些银行 APP 中，消费者初次登陆时只有勾选了知情同意协议并通过“眨眨眼”等方式验证人脸后，才能开始享受手机银行服务。此时消费者并没有与之协商的权利，如果以保密为由拒绝提供自己的面部信息，将被排除在网络信息服务使用之外。可见，就像一个亟需养活家人的劳动者不得不签订一个内容苛刻且待遇微薄的劳动合同那样[7]，很多情形下人们只是迫 于现实需 要 而“同 意 ”，这也是 对知 情 同 意原则的违背。此外，现实中由于网络技术迅猛发展以及其匿名性特征，一些被侵权的消费者根本没有察觉自己被侵权，或者虽有所察觉但却难以查清侵权经营者的真实身份。无论是因为被侵权的消费者相对于侵权经营者而言处于弱者地位，还是因为确认侵权经营者的成本过高，结果都会导致个人信息被泄露、被非法利用的消费者权利难以得到救济。

（二）消费者人脸识别信息隐私 权保护失灵

根据《民法典》第 1034 条第 2 款规定可知，人脸信息作为一种私密信息，既受个人信息相关法律法规的保护，也受隐私权的保护。1967年，美国联邦最高法院在 Katz v.United States 案[8]中确立 了“合 理的隐 私期待 ”标准，该标准 可以总结为：若依照一般人的认识，对某项信息具有私密期待，公众也认为该信息不应被他人所知，此时隐私权成立[9]。该标准在世界多国范围内已形成一种常用的判定方法，然而人脸信息的特殊性可能会给个人信息保护中的合理期待标准带来挑战。

人脸信息虽然属于个人信息的范畴，但又存在区别于其他普通个人信息的特别之处。美国最高法院在诉迪奥尼西奥案的判决书中说：“没有人能合理期待别人不知道他的声音，就像他不能合理期待他的脸对世界是一个谜一样”[10]。我们并不能期待自己不会与熟人在公共场合相遇并被认出，同样的道理，我们也并没有合理的理由期待自己的人脸信息在公共场合完全不被识别。

此外，随着技术进步，隐私权保护很难抵御技术对消费者人脸信息安全的威胁。从主体角度看，传统隐私权侵权通常针对某一特定主体。从损害结果角度看，隐私权受到损害的过程较易梳理，损害结果也容易识别。正是由于传统隐私权侵权在主体和损害结果等方面较为清晰，受害人此时可以直接以侵犯隐私权为由提起诉讼获得赔偿。然而，当传统救济方式遇到人脸信息受到侵害的情形时，消费者往往会因为无法证明损害结果而难以得到救济。这是因为经营者运用人脸识别技术实施侵害行为往往极为隐蔽，可能不会造成损害。只有当经营者将运用该技术收集来的消费者人脸信息不合法地使用或未妥善存储而导致人脸信息泄露时，才会对个人产生损害结果。正如在 2008 年，美国伊利诺伊州立法机构颁布首个个人生物信息保护法《生物特征信息隐私法》（以下简称“BIPA”）。2010 年，Facebook 推出“标签建议”功能，即利用人脸识别技术标注用户照片里出现的人。由于此功能默认开启，2015 年，三位伊利诺伊州用户依据 BIPA 将 Facebook 告上法庭，他们的诉讼后来被合并为集体诉讼[11]。原告Patel 指出，该项功能既没有征得用 户同意 ，也因未 公 开 数 据 存 储 时 间 而 违 反 了 BIPA 规 定 。 而Facebook 却辩称，原告在指控中未能列举出具体损害，因此原告缺乏诉讼资格。虽然 Facebook 的理由没有被美国联邦第九巡回上诉法院认可，但可见在具体损害的认定问题上，人脸信息相比于其他信息存在的争议更大。

（三）经营者易造成对必要性原 则的违反

目前我国司法实践中，无论民事案件还是刑事案件，大多以涉案行为的合法性和正当性为中心进行陈述、申辩，法院也将行为是否合法、正当作为审理和裁判的主要依据。而在“人脸识别第一案”中，原本通过指纹识别就可进入园区，现在必须通过人脸识别的方式才能进入，这将不可避免地引向对经营者收集、使用人脸信息的必要性审查问题。

《个人信息保护法》第 6 条规定，处理个人信息应限于实现处理目的的最小范围。《民法典》第1035 条规定，处理个人信息应当遵循必要原则。《规范》中更为细化，规定了收集个人信息要遵循最小化要求，包括：1.收集的个人信息类型应与实现业务功能有直接关联；2.自动采集个人信息的频率应是实现业务功能所必需的最低频率；3.间接获取个人信息的数量应是实现业 务功能所必需的最少数量。根据以上法律法规可知，杭州野生动 物世界有限公司用 人脸识 别替代原先指纹识别的入园方式，违背了《规范》中关于个人信息收集的最小化要求。尽管《规范》并非法律规定，但 是 作 为 我 国 首 部 个 人 信 息 方 面 的 国 家 标 准 ，《规范》 无疑在法官进行必要性原则审查时起着重要的参照作用。

作为具有唯一性、难获取性的人脸信息，在过去通常是由 国家机 关、政府部门、医院等 公 益单位来收集和使用，收集和使用的场景均较为有限。然而，随着近年来技术的发展，越来越多的人脸信息被手机厂商和安防设备厂商收集并应用到个人信息终端、公共场所安防等领域。这些信息往往与公民的人身财产安全和人身安全密切相关。近年来，利用公民个人信息的犯罪活动越来越多，社会各界要求加强对公民个人信息安全保护的呼声也越来越高。在这种背景下，杭州野生动物园有限公司未经消费者同意对其采用人脸识别技术，既不能解释使用该技术的必要性，也没有向社会公开将会采取什么措施来确保信息的安全，这将不可避免地导致人们的担忧和疑虑。

三、人脸识 别法律规制路径的本土化选择

（一）明确必要性原则，厘清人脸识别应用边界

想要增强 我 国人脸 识别运用 中 的 信 息 保 护力度，需要首 先明确 必要 性原 则，即 在均 可 达 成目的的数种手段之间，应该选择对被限制的利益干预最轻的手段，也可称为最小侵害原则[12]。将必要性原则与我国国情相结合，可以提出以下两点消费者人脸信息保护的完善建议。

1.应明确必要性原则具体实施的层次。经营者在收集消费者个人信息时应遵循必要性原则。具体来说，首先对经营者在收集消费者个人信息的广度 上进行限缩，从前文所述的“包括但不 限于”到“有且仅有”，将消费者 个人信 息 的收集 限制在其核心服务之中。当经营者提供服务时，通常需要一定量的信息来实现正常运转，这些信息均属于与经 营者目的相符的“合目的”信 息。但是，这些“合目的”信息并不一定是无法替代的信息，此时应限 制收集的深度，对能够 实 现 目 的 的各类信息进行强度划分。若存在能够实现核心业务功能的强度较低的信息，便应禁止对高强度信息的收集，从而减少因信息整合而被还原真实信息主体人格的可能性。这样经过划分与筛选后，最终使信息达到无法替代的标准，即如果经营者不收集该项信息便无法实现其核心服务目的。坚持此种多层次划分与筛选的必要性原则，能够有效降低消费者的个人信息风险。

2.明确技术使用边界。目前，只有北京、天津等少数地方的规章 、条例就公 共安全 图 像 信息的采集作出了规定。北京市政府颁布的《北京市公共安全图像信息系统管理办法》规定了五类应当安装公共安全图像信息系统的单位和区域[13]。2021 年 1 月 1 日起正式实施的 《天 津市 社会信用条例》中，也列举了禁止 市场信 用信息提 供 单位采集的自然人个人信息 类型 。 而 人 脸识 别 不需 要消费者主动配合 即可收集，甚 至 可 以 在 消费 者毫不知情的情况下被收集，因此，厘清人脸识别技术应用范围是当务之急。为此，应确立禁止处理原则，进一步明确经营者使用该技术的禁止性规定，具体 包括：第一，非经法定事由，经营者不得收集、购买或以其他方式获取消费者人脸信息；第二，非经法定事由，经营者不得披露或以其他方式传播消费者人脸信息；第三，禁止出售、出租或其他利用消费者人脸信息获利的行为。

（二）注重个人信息自 决权及其有效性 限制

个人信息的决定主体始终是个人。个人是其私生活的直接感受者，只有个人最清楚自己的生活是否受到不正当干扰，也只有个人最有资格和能力来评判 自己的个 人信息 是否遭 到 违 反 个 人意志的使用或泄露。因此，个人信息自决权的重要性不言而喻，这也体现了对消费者人格尊严和隐私权的尊重与保护。然而，随着大数据时代的发展，个人信息自决的基础在各种新型冲突的纷扰中被动摇。一方面，不能排除消费者在对新技术、新概念不真正知情的情况下随意对自己的个人信 息做出 不合理决 定；另一方 面，随着 个人信息公共性价值的突显，难以避免一些大数据商业机构出 于商业利益的考虑而迫切想 要 获 取 个 人信息 ，促使消费者的“知情同意”成为其收集、使用个人信息的保护伞，从而对消费者合法权益造成损害。

从前文中对于美团、淘宝、百度 APP 的用户服务协议和隐私政策的调查也能够看出，若完全遵循个人信息自决原则，经营者收集、使用消费者个 人信息的行为很可能给用户带来难 以预计的损害，因此，该原则不足以使得信息收集、存储、使用合法化，理应 对该原则的有效性 进行限制。因此，本文建议，想要实现对消费者个人信息的有效保护和合理利用，不能仅以个人信息自决原则来判断信息收集、使用者是否可以免责，而应当 结合法律 法规、行业规范、技 术指引等多种手段来进行综 合评判 ，尽量避免信息收集 、使用者因“知情同意”而获得不当豁免的情形出现。同时，需要收集个人信息的经营者应将信息使用的方式详尽列出，完全依照与消费者订立的知情同意协议来行使权利、履行义务。

（三）落实人脸识别技 术备案制

人脸识别技术作为经营者识别、发现用户价值 取向的一 种工具 ，在使用 时 理应 受 到 一定 限制，以避免技术脱离法律而运行。特别是如前文所述，个人信息自决 的效力基础并不 牢靠，往往难以做出对风险衡量的理性判断。因此，基于平衡数据产业发展与消费者个人信息保护的考虑，采用 经营者使用人脸 识别技术的事前备案制是相对于审批或核准制来说更加高效、适当的行政规制手段。通过人脸识别技术备案制就可以对经营 者的使用是否兼 具合法性、合目的性、合 比 例性作出预测，从而有利于降低人脸识别技术被经营者滥用的风险。

至于具体操作方面，应当对所有经营者使用人脸识别技术以及收集人脸信息做出严格规定：1.所有经营者在使用人脸识别技术前，均需向专业机构提交资质审核申请；2.通过资质审核申请后，应当经过第三方机构的评估与定期检测，确保 技 术 的 平等 性 、准 确 性 ；3.实 行人 脸 识 别 设备购买者实名制和用途备案制，经营者使用的人脸识别系统及其定期检测结果应向监管部门备案；4.通过资质审核后，使用人脸识别技术的经营者应当建立一个可追溯的技术系统。利用该系统，应当实现对任何人在任何时间、地点搜集、存储、使用、修改人脸信息都能进行明确查证。如此，当侵权发生后，自身合法权益受到侵害的消费者便可以凭 借该技 术追溯系统来查证并追究侵权人的法律责任。

由于大数据技术的不断发展，很多原本的普通个人信息经过碰撞或计算发掘甚至能够预测出敏感个人信息，而一 些敏感个 人信息 经过匿名或新型隐私保护技术处理后风险大幅减小。因此，可以在备案机关设置生物识别信息保护专员或 专门机构，让专业人员结合其他技术对人脸识 别技术中的算法、信息采集协议、信息使用途 径等情况进行法律和伦理审查，对人脸识别技术的安全性和合理性做出风险判断 并随着形势的变 更而不断更新这种判断，从而严格区 分合理使用与滥用，保障消费者免受人脸识别技术滥用的困扰。

注 释：

① 2019 年 8 月 31 日版本的“ZAO”换脸软件的用户协议第 6 项。