“自愿式強制”刷臉、戴頭盔看房，人臉識別信息采集邊界在哪？

你在某App上搜索一款商品，打開其余App時發現全是類似推薦內容，商家們可能比你還了解你；不接受人臉識別，將無法進入商場、小區、公園，這種看似自愿的強制性行為，正在成為常態。

這周末，兩件信息安全事件牽動著公眾的敏感神經。其一是，法學教授起訴杭州野生動物世界案宣判獲勝訴，這也是“國內人臉識別第一案”；其二是，為保護個人信息，男子戴頭盔進售樓處看房。

這份敏感并不多余。有專家指出，面部信息、指紋、虹膜在內的民眾生物信息，不像數字密碼那樣可以更改，數據一旦泄露危害極大。

圖片來源：視覺中國

法學教授起訴野生動物園

11月20日，法學教授郭兵訴杭州野生動物世界有限公司一案宣判。杭州市富陽人民法院一審判決，野生動物世界刪除郭兵辦理年卡時提交的面部特征信息，賠償郭兵合同利益損失及交通費共計1038元。

該案于去年11月1日被法院受理，由于涉及人臉識別信息采集、使用等問題，受到輿論廣泛關注，被稱為中國“人臉識別第一案”。

去年4月，郭兵支付1360元購買了杭州野生動物世界雙人年卡，當時確定指紋識別入園方式。郭兵與其妻子留存了姓名、身份證號碼、電話號碼等，并錄入指紋、拍照。之后，野生動物世界兩次向郭兵發送短信，通知年卡入園識別系統更換事宜，要求激活人臉識別系統，否則將無法正常入園。

郭兵認為面部特征信息屬于個人敏感信息，一旦泄露或濫用將極易危害人身和財產安全，不同意接受人臉識別，要求園方退卡，但雙方協商未果。2019 年 10 月 28 日，郭兵向杭州市富陽區人民法院提起訴訟。

法院審理判決認為，此案的爭議焦點實為對經營者處理消費者個人信息，尤其是指紋和人臉等個人生物識別信息行為的評價和規范問題。野生動物世界單方面將指紋識別強制升級為刷臉入園的做法“超出必要，不具正當性”。

歷時一年，此案終于落錘，郭兵勝訴。不過，由于其關于確認動物世界店堂告示、短信通知中相關內容無效等訴訟請求并未得到法院支持，郭兵表示還會考慮繼續上訴。

一旦泄露就是終身泄露

事實上，人臉識別導致信息泄露的風險并非杞人憂天，現實生活中的案例隨處可見。此前，央視報道稱，在某網絡交易平臺上只需花2元錢就能買到上千張人臉照片，而5000多張人臉照片標價還不到10元。這些被明碼標價的素材，全都是真人生活照等充滿個人隱私的內容。

無獨有偶。近日，一則“為保護個人信息，戴著頭盔去看房”的視頻在網上流傳。導致看房者出此奇招的，正是某售樓處的人臉識別系統。據南都報道，同一套房屋，消費者從不同渠道購入，差價在幾萬元到幾十萬元不等，而售樓處正是通過人臉識別系統來對消費者進行區分對待。事實上，大多數消費者并不知曉購房處人臉識別的存在。

此類案例已成為社會共同的隱患。全國信息安全標準化技術委員會發布的《人臉識別應用公眾調研報告（2020）》提到，有六成受訪者認為人臉識別技術有濫用趨勢，還有三成受訪者表示，已經因為人臉信息泄露、濫用而遭受到隱私或財產損失。

裁判文書網公開信息顯示，自2018年起，就有犯罪分子非法購買公民個人信息，并制作換臉視頻，突破了支付寶的人臉識別認證；2019年，某二手平臺賣家稱，通過換臉技術，可花錢定制女星淫穢視頻；2020年，有投機分子，將人臉技術應用到借貸之后，獲取不義之財。

圖片來源：視覺中國

“很多推動人臉識別落地的機構，可能并沒有意識到隨之而來的風險有多大。”清華大學法學院教授勞東燕曾表示，如果人臉數據被泄露、被濫用，不僅不會改善社會治安，反而可能使相關的違法犯罪活動激增。

另有學者指出，人臉數據是一輩子不能篡改的關鍵數據，一旦泄露就是終身泄露，會造成極大的安全隱患。

人臉識別信息采集有沒有邊界？

大量人臉識別信息泄露的背后，實則是因為人臉識別技術已應用于各類生活服務當中。輿論熱議的背后值得思考的是，錄入人臉之后數據存儲是否足夠安全？相關企業運用人臉識別技術，要不要告知用戶？是否什么場景都要加一個“刷臉”？

專家認為，人臉識別技術應用的底線是，除了特定部門的執法活動之外，任何機構、企業和個人都無權通過人臉識別調查和追蹤個人的私人生活。像小區、公園等一般場所，刷門禁卡、二維碼等就能起到安全防護的效果，并不需要獲取公眾具有唯一性的指紋、人臉等個人生物信息。還有一些生活服務平臺，為綁定用戶、精準營銷，就讓人們“刷臉”，不符合法定的收集個人信息的必要原則。

那對于上述售樓處無感抓拍看房者的類似行為，企業需要告知用戶嗎？根據《消費者權益保護法》第29條，“經營者收集、使用消費者個人信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經消費者同意”。

“法律保護的整體框架急需做出調整，不應以同意機制為基礎。采用以同意機制為主的模式來保護個人信息，就等于是將數據的相應風險主要放在作為數據主體的個人身上。”勞東燕認為，當前的主要問題在于，相應的風險是由實施收集、使用行為的數據控制者與處理者所制造，而因收集、使用個人數據的收益也主要由后者所享有。

目前，國內還沒有專門的人臉識別應用立法來有針對性的管轄。絕大部分的人群無法無力應對數據入侵，想要獲得信息安全感，不僅需要實操性更強的法律依據，也需要企業保護和尊重公眾隱私。