观韬视点 | 人脸识别与个人信息保护问题研究-北京观韬律师事务所

观韬视点 | 人脸识别与个人信息保护问题研究

2021-02-08

首页 > 观韬视点 > 视点 > 观韬视点 | 人脸识别与个人信息保护问题研究

观韬视点 | 人脸识别与个人信息保护问题研究

作者 | 李洪江胡杨王益璐

人脸识别是一种基于人类面部信息进行身份识别的生物识别技术。近年来，人脸识别市场渗透率快速攀升，2020年全球市场规模已突破38亿美元。我国人脸识别市场规模也逐年增长，2010至2018年的年均复合增长率达30.7%。据预计，未来五年中国人脸识别市场规模将保持23%的平均复合增长速度，到2024年市场规模将突破100亿元，折合美金约15.5亿美金。[1]但随着人脸识别市场的蓬勃发展，市场中每一主体所面临的法律风险也随之提升，本文拟从市场现状、法律规定、风险防范的角度对人脸识别及个人信息保护问题进行浅析。

一、 人脸识别产业正迅速发展

第一，技术逐步成熟。人脸识别技术大规模商用的落地离不开技术本身的发展。我国人脸识别技术的准确率和安全性不断提升，而推广使用该技术的制度成本较低，尤其是前几年，我国在法律层面对这一技术设置的障碍较小。

第二，企业具有内驱力。企业在各个场景中对人脸识别技术进行商业化使用，可以实现降低运营成本、精确推广产品或服务的功能。比如近来引发热议的售楼处人脸识别系统，能够用于帮助开发商识别购房者类型，如果经过人脸比对发现客户的面部信息已存在，说明该客户不属于首次到访的渠道商客户，在客户成交后就无需支付渠道商佣金；再如前几年大热的无人零售商店，利用人脸识别技术构建系统性的客户跟踪和锁定机制，并结合货架上的压力传感器和红外线探头判断顾客的消费金额，这一商业模式不仅能够简化购物流程，更重要的是能够基于人脸识别系统探测的消费者面部特征，对消费者的性别、年龄、表情、欢乐度等进行分析，用于向消费者进行精准推荐或分发消费券[2]。

第三，社会治理需要。建设智慧城市是大势所趋，在公共交通、公共安防等领域使用人脸识别技术确实能够提升公共管理效率，维护社会的安全与稳定。据统计，在人脸识别众多场景中，智慧安防始终处于领先地位，占比约为70%[3]。新冠疫情爆发后，各国推行人脸识别技术的脚步明显加快。

然而，这一技术的推广和使用也存在许多潜在风险，其中既有信息泄露等安全方面的风险，也有信息被非法收集和滥用的法律风险与道德风险。尤其在商业场景中，人脸识别的目的绝不仅限于对个体的面部生理特征进行比对，而是将其面部信息与身份、偏好、位置、财产等信息关联起来[4]，以获得更有价值的其他关联信息，这些信息以数据为载体存储，是企业的稀缺资源。但由于人的面部信息可以通过远距离、无接触、无感知的方式捕捉（这是人脸识别与指纹等其他生物信息识别的最大区别）且具有不可更改性，一旦泄露将造成难以补救的后果，因此这种信息的来源是否具有正当性、信息的使用是否具有必要性，以及企业控制信息是否具有足够的安全保障等问题引来了消费者的担忧，也引起了制度上的更多关注。

今年1月，我国工业和信息化部通报了今年首批（总第十批）157款侵害用户权益行为APP，QQ同步助手、360清理大师、芒果TV、王者荣耀助手等知名APP在列，涉及的主要问题就是违规收集、使用个人信息，强制、频繁、过度索取权限等。工信部还强调，后续将依法对问题突出、有令不行、整改不彻底的相关企业予以处置。

所以，当今企业如何在充分发挥技术优势的同时，合法合规地防范上述风险成为至关重要的问题。

二、 “人脸”的法律属性

客体的法律属性决定了可以适用的法律规范。根据我国现行立法，人的面部信息属于可识别的个人信息（personal information），且属于个人敏感信息（personal sensitive information）。我国《民法典》第一千零三十四条规定：“自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”其中，生物识别信息包含个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等信息。《民法典》的这一定义与《网络安全法》第七十六条的规定基本一致。国家标准化管理委员会在《个人信息安全规范》（GB/T 35273-2020）中进一步明确，那些一旦泄露、非法提供或滥用就可能危害人身和财产安全，且极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息应当被认定为个人敏感信息，个人生物识别信息是个人敏感信息的一种。

个人敏感信息与非敏感信息的区分会带来信息处理规则上的差异。信息时代下社会结构中存在着三方关系：个人是信息的主体、企业是个人信息的处理者、政府承担双重角色，既是个人信息的处理者，也是个人与企业之间的调停者[5]。在对个人敏感信息进行制度设计时，立法者会有意提高信息处理者的法定义务，更加注重维护自然人的个人信息权益，加大对敏感信息商业化利用的限制。2020年10月21日，全国人大常委会公布的《个人信息保护法（草案）》对敏感信息和非敏感信息进行明确区分，并对敏感信息施以专门章节的规定。例如加大了对敏感信息处理的必要性限制，规定个人信息处理者具有特定的目的和充分的必要性，方可处理敏感个人信息；再如首次提出基于个人同意处理敏感个人信息的，个人信息处理者应当取得个人的单独同意甚至书面同意，还应当向个人告知处理该等信息之必要性以及对个人的影响等，这明显高于《个人信息安全规范》中提出的授权同意和明示同意的要求。

除了个人信息这一法律属性，面部识别信息还蕴含着权利竞合的因子。个人生物识别信息涉及人格尊严、隐私、肖像、财产等利益与安全，传统的隐私权、肖像权等单一权利已经不足以概括其内容，但是非法处理人脸信息完全可能侵犯自然人的上述权利。《民法典》第一千零一十八条有意扩大了肖像的范围，认为只要在一定载体上所反映的特定自然人可以被识别的外部形象就是肖像。如此一来，人脸识别技术所获取的存储在电子数据载体之上的自然人的相貌特征，也属于肖像的类型之一。如果企业作为信息处理者违反了有关肖像权的保护规则，非法处理他人面部信息，既侵犯他人生物识别信息权益，也侵犯他人肖像权。[6]

三、 面部识别信息的处理原则

1.何为“处理”？

我国《民法典》在借鉴欧盟《通用数据保护条例》（General Data Protection Regulation，简称GDPR）的基础上，以“处理”一词统称对个人信息的收集、存储、使用、加工、传输、提供、公开等活动。当然还包括实践中可能出现的其他行为类型，如个人信息的删除、销毁等，但无论是自动化还是非自动化的处理都被包含在内。[7]

当然，收集行为是信息处理的开端，也是企业受到法律规制的前提。《个人信息安全规范》指出，如果产品或服务的提供者提供工具供个人信息主体使用，提供者不对个人信息进行访问的，则不属于本标准所称的收集行为。既然没有前端收集行为，自然也不存在后续的利用、提供等行为。例如离线导航软件在终端获取个人信息主体位置信息后，如果不回传至软件提供者的服务器，则不属于个人信息主体位置信息的收集。也就是说，如果产品提供者不对储存在本地的人脸数据进行访问，法律也会相应地减轻他们的义务，因为他们对该人脸信息的控制权较弱。但是义务的减轻不等于免除。根据《网络安全法》的规定以及推荐性国家标准GB/T 37036.3-2019的表述，上述企业仍然要在较低限度内履行法定义务，包括在采集用户人脸样本前向用户明确告知规则并获得有效授权、保障个人信息主体对数据的控制权以及本地人脸数据的安全。

2.必要原则

必要原则是处理个人信息的基本原则之一，需要企业给予高度关注。

必要原则是指企业处理个人信息应当为订立或履行合同所必需，缺少该信息则企业无法提供基本功能服务。比较法上，必要原则由来已久，且是国际上处理个人信息的通则。欧盟GDPR规定了处理个人信息数据的七大原则，其中“目的限定”原则和“数据最小化”原则要求对个人信息数据的处理仅限于特定的、明确的、合法的目的；即使基于前述目的，还应当满足数据范围最小的限制。这与我国立法所规定的“合法、正当、必要的原则”异曲同工。

我国《民法典》、《网络安全法》、《消费者权益保护法》、《个人信息安全规范》等法律和国家标准均规定了“处理个人信息，应当遵循合法、正当、必要原则，不得过度处理”。《个人信息安全规范》指出，收集的个人信息的类型应与实现产品或服务的业务功能有直接关联。“直接关联”是指，没有上述个人信息的参与，产品或服务的功能就无法实现。这意味着，只要用户同意收集其必要个人信息，即使拒绝被采集其他信息，企业也不得拒绝提供该产品或服务的全部功能。广州梦映动漫网络科技有限公司运营的触漫APP曾因用户不同意打开非必要的个人信息权限而拒绝提供所有业务功能，被中央网信办、工信部、公安部、国家市场监管总局四部门成立的App违法违规收集使用个人信息治理工作组通报限期整改，公司声誉也因此受到影响。

尽管存在前述法律规范和国家标准，必要原则仍是一个较为抽象的概念，其边界在具体场景中往往难以界定。2020年12月，国家网信办为保障公民个人信息权益，研究起草了《常见类型移动互联网应用程序（App）必要个人信息范围（征求意见稿）》，以正面清单的方式列举了地图导航、网络约车、即时通信等38类常见类型App的必要个人信息范围，具有极高的参考价值。值得注意的是，该意见稿认为：网络直播类、在线影音类、短视频类、新闻资讯类、运动健身类、浏览器类、输入法类、安全管理类、电子图书类、拍摄美化类、应用商店类、实用工具类App无须个人信息即可使用基本功能服务，也就是说这类App实现基本功能不应当收集用户个人信息。与此同时，《个人信息安全规范》还要求自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率，间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。

3.知情同意原则

除必要原则外，知情同意原则是个人信息保护规范的基础和核心，只有在基于公共利益需要且符合比例原则时才能被突破。《网络安全法》第二十二条规定，网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；《民法典》第一千零三十五条亦规定，处理个人信息应当征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外。《个人信息安全规范》还规定，收集个人生物识别信息前，应单独向个人信息主体告知并征得个人信息主体的明示同意。

备受关注的“中国人脸识别第一案”从本质上说是服务合同纠纷，但同时也涉及到知情同意原则，毕竟这一原则自始就根植于契约理论之中。本案中，被告野生动物世界为原告郭兵办理年卡时，未经同意擅自采集了原告及其妻子的人脸信息，并抗辩称这一行为是为后续采用人脸识别方式入园做准备。一审法院认为：合同当事人在办卡时签订的是采用指纹识别方式入园的服务合同，野生动物世界收集郭兵及其妻子的人脸识别信息，超出了必要原则的要求，不具有正当性。尽管野生动物世界在涉指纹识别的“年卡办理流程”中规定流程包含“至年卡中心拍照”，但其并未告知郭兵与其妻子拍照即已完成对人脸信息的收集及其收集目的，郭兵与其妻子同意拍照的行为，不应视为对野生动物世界通过拍照方式收集两人人脸识别信息的同意。郭兵要求野生动物世界删除收集的其个人的人脸识别信息，理由正当，应予以支持。[8]

根据知情同意原则，用户知情是作出同意之意思表示的前提，欠缺知情的同意必定存在瑕疵。与用户知情权相对应的是企业的告知义务，充分履行完整的告知义务是企业防范侵权风险的关键一步。

目前大多数企业的通常做法是要求用户在注册或登录时勾选隐私政策，以获得一揽子授权。暂且不论隐私政策中一些格式条款的效力问题，这种统一授权的方式也不一定妥当。首先，这种一次性授权使得用户无法分类或分步骤选择，以致于不能有效体现用户对各个步骤（尤其是非必要步骤）的实质同意程度如何，容易引发纠纷。比如线上刷脸支付的服务商应当分别取得对人脸信息处理的授权和对账户资金支配的授权，同时应当告知用户这些信息在支付完成后归于何处。其次，正如上文提到，《个人信息保护法（草案）》要求处理面部等敏感信息必须获得用户的单独同意，预示着完整、清晰、区分说明各业务功能所收集的个人信息成为必要。企业需要对隐私政策及其展现形式进行重新设计，以弹窗等形式就每一种敏感信息的处理主体、目的、方式、时间、范围等进行单独告知，并征得同意。如果企业要对个人信息进行进一步处理，用以进行行动化定位、个性化推荐、自动化决策，则应尽量告知用户行为化处理的事实、基本算法逻辑、预期分析后果和可能产生的风险。[9]当然，企业也可以借由同意机制发生变化的契机，进一步研究如何在增加告知强度的同时，降低各种提示机制对产品体验感的负面影响。

四、结语

2020年，我国召开了全国APP个人信息保护监管会，苏宁、蚂蚁、爱奇艺、360、小米、新浪、快手、哔哩哔哩、滴滴、阿里、百度等11家互联网企业在会上向社会郑重承诺：为用户提供更安全、更完备、更干净的信息环境和更健康、更高效、更便捷的信息技术服务[10]。

随着公众对个人信息保护意识的增强、政府监管的深入，作为个人信息数据处理主体的企业需要进一步重视相关行为的合规性。《个人信息保护法（草案）》将违法处理个人信息的法律责任显著提高至“五千万元以下或者上一年度营业额百分之五”，意味着企业侵害个人信息权益的违法成本大大提升，一旦突破法律红线，面临的就是消费者的集体诉讼、监管部门的高额处罚，甚至可能承担刑事责任。在这样严格的监管趋势下，积极采取防范措施、主动建立起符合自身发展的合规体系，在保障用户权益的同时为用户提供最优质的服务，是企业尊重用户权利的重要体现，亦有益于维护企业自身的健康长远发展。

作者简介：李洪江律师是观韬中茂律师事务所知识产权业务线高级合伙人、律师、专利代理师，现为北京大学法律硕士兼职导师、世界中医药学会联合会知产委秘书长、全国双打办专家库成员、中欧知识产权服务联盟发起人；原最高院知识产权案例指导（北京）基地专家；曾就读于中国石油大学、北京大学知识产权学院、美国芝加哥肯特法学院，曾就职于国家知识产权局。李洪江律师被称为“知识产权问题解决专家”，在专利、技术秘密、商标、版权、不正当竞争、技术合同等知识产权维权方面具有丰富经验。2014年被评为“中国十佳知识产权律师”，2017年为国务院研究室提供打击侵权与假冒伪劣商品专家咨询意见。

Email: lihj@guantao.com

作者简介：胡杨的执业领域涵盖泛娱乐领域诉讼及非诉法律服务，代理的客户包括国内外知名影视、传媒、软件开发、游戏、生产制造等行业的企业，擅长处理著作权、不正当竞争、商事纠纷等争议解决事宜，以及投融资、上市、境内外股权架构设计等法律服务事宜，在争议解决及资本市场领域均具有丰富经验。

Email: huyang@guantao.com

[1] 数据来源：前瞻研究院

[2] 何智翔、杨睿昕：新零售下的精准营销利器-人脸属性识别，https://www.infoq.cn/article/lcy2xDV*161RgvBmj9HY. 2019-06-24