“人臉識別第一案”落槌，但歡呼還“為時尚早”

目前來看，法院判決邏輯建立在“合同違約”之上，而并未觸及核心問題：一般商業(yè)場景非要使用“指紋、人臉識別”不可嗎？

文 | 《財經(jīng)》E法 殷繼 編輯 | 朱弢

4月9日，歷時近兩年的“人臉識別第一案”終審落槌宣判。

此案源起于2019年4月，浙江理工大學(xué)特聘教授郭兵支付1360元，購買野生動物世界雙人年卡，確定指紋識別入園方式。同年7月、10月，野生動物世界兩次向郭兵發(fā)送短信，通知年卡入園識別系統(tǒng)更換事宜，要求激活人臉識別系統(tǒng)，否則將無法正常入園。但是，郭兵認(rèn)為人臉信息屬于高度敏感個人隱私，不同意接受人臉識別，要求園方退卡。在協(xié)商未果的情況下，郭兵于同年10月28日向杭州市富陽區(qū)人民法院（下稱“富陽法院”）提起訴訟。

2020年11月20日，富陽法院作出一審判決，判令野生動物世界賠償郭兵合同利益損失及交通費共計1038元；刪除郭兵辦理指紋年卡時提交的包括照片在內(nèi)的面部特征信息；駁回郭兵要求確認(rèn)店堂告示、短信通知中相關(guān)內(nèi)容無效等其他訴訟請求。

郭兵與野生動物世界均表示不服，分別向杭州市中級人民法院（下稱“杭州中院”）提起上訴。

在杭州中院終審判決，杭州野生動物世界有限公司（后稱“野生動物世界”）應(yīng)當(dāng)刪除郭兵的“面部特征信息”及“指紋識別信息”。

終審判決后，人民網(wǎng)發(fā)表評論稱，“人臉識別第一案”終審判決意義非凡，“判決告訴我們，可以勇敢地向人臉識別說‘不’”。

但在《財經(jīng)》E法看來，該案雖然強調(diào)生物識別信息應(yīng)當(dāng)謹(jǐn)慎處理和嚴(yán)格保護，但它可能僅代表了司法機關(guān)的態(tài)度。

對于多數(shù)人而言，恐怕難以從法院的“表態(tài)”中獲益，因為該案并未觸及人臉識別技術(shù)中更為核心的問題，即：這項技術(shù)使用的邊界在哪里？

非人臉識別不可嗎？

在法院看來，該案為服務(wù)合同糾紛，其判決是以存在“合同違約”為前提，來支持郭兵的部分訴訟請求。例如：野生動物世界欲將收集照片激活為人臉識別信息，超出事前約定收集目的，因而判令野生動物世界刪除郭兵教授辦卡時包括照片在內(nèi)的“人臉信息”。又因野生動物世界停止使用指紋識閘機，致使以“指紋識別”入園的履行方式無法實現(xiàn)，從而要求刪除指紋。

無論在該案的一審還是二審，對于“進動物園必須要人臉識別”這件事的“必要性”探討并不充分。例如，在富陽法院在一審判決中稱：

“野生動物世界基于年卡用戶可在有效期內(nèi)無限次入園暢游的實際情況，使用指紋識別、人臉識別等生物識別技術(shù)，以達到甄別年卡用戶身份、提高年卡用戶入園效率的目的，該行為本身符合前述法律規(guī)定的“合法、正當(dāng)、必要”三原則的要求�！�

該裁判說理是否暗含著：為商業(yè)利益獲取的高效，使用指紋、人臉識別等生物技術(shù)來識別特定用戶就具有合法性基礎(chǔ)呢？倘若依該判決進行場景的類推，一家VIP會員制的健身房、一家年卡制的大型超市豈不是都能以“為了保證進入效率”來推行指紋、人臉識別的應(yīng)用？

接下來的問題是，這些一般商業(yè)場景非使用“指紋、人臉識別”不可嗎？

過去傳統(tǒng)的人工核驗身份證件的方式，對于商家和消費者而言可能喪失部分效率，但對于保障個人信息安全而言是更加有效的。在現(xiàn)階段，因?qū)野l(fā)個人信息泄露導(dǎo)致的公共危機事件，消費者有合理的理由在一般商業(yè)場景中拒絕“被人臉識別”。

依據(jù)法律要求，公民個人信息的采集和處理依據(jù)“合法、正當(dāng)、必要”等原則。但現(xiàn)實中，往往商家通過單方面在營業(yè)廳張貼告示告知，或者在冗長的格式合同中通過“標(biāo)黑、加粗、下劃線”來約定，這看似獲得用戶同意，滿足了“合法原則”，但并不意味著是“正當(dāng)”且“必要”的。

如果說“核驗特定用戶身份”還可以牽強解釋為“目的明確合理”，因此具有“正當(dāng)原則”。但無論如何難以認(rèn)定“進動物園必須要人臉識別”這件事是合乎“必要原則”的。

對指紋、人臉等生物識別技術(shù)的應(yīng)用，應(yīng)當(dāng)嚴(yán)格地來解釋“必要原則”。例如：支付領(lǐng)域為保證用戶財產(chǎn)安全；教育領(lǐng)域在大型考試中為杜絕替考；司法安防領(lǐng)域用于打擊犯罪等“強身份認(rèn)證”場景中，生物識別技術(shù)運用才有討論“必要”的余地。

換言之，進動物園不使用人臉識別會產(chǎn)生什么后果？無非是消費者入園時間延長、動物園需要增加人力進行身份核驗。但不排除有人愿意犧牲一點“便利”來確保個人信息的安全，尤其在個人信息泄露事件頻繁的現(xiàn)實背景下。

現(xiàn)實中，多數(shù)人對于生物識別技術(shù)的擔(dān)憂自于它的安全性。指紋、人臉是具有唯一識別性的，在這些信息經(jīng)過觸摸板、攝像頭的掃描成為一串?dāng)?shù)據(jù)后，個人對于這些數(shù)據(jù)的使用就已經(jīng)“失控”。尤其是“人臉識別”，它不像指紋需要個人配合才能進行掃描，而只要是攝像頭能捕捉到的地方，即可在不知不覺間完成面部特征信息采集。

消費者能信賴這些商家會周延保護他們的個人信息嗎？這恐怕很難。商家使用指紋、人臉識別技術(shù)替代傳統(tǒng)人工核驗方式，為的是節(jié)省人力成本。但存儲、處理個人信息，保障數(shù)據(jù)安全同樣需要增加支出。商家會為了保護這些數(shù)據(jù)來增加支出嗎？這恐怕并不現(xiàn)實。

應(yīng)保障個人的“信息自決權(quán)”

個人信息具有商業(yè)價值，在消費者的憂慮中，不乏擔(dān)心商家會販賣他們的個人信息來獲利。在今年央視315晚會上，蘇州萬店掌網(wǎng)絡(luò)科技有限公司、上海悠絡(luò)客電子科技股份有限公司因涉嫌違規(guī)收集人臉信息遭點名，多家企業(yè)采買上述兩家公司產(chǎn)品放置公共區(qū)域，違法采集海量消費者人臉信息進行商業(yè)使用，但整個采集過程消費者完全被“蒙在鼓里”。

目前，盡管行政、司法部門對于違法、違規(guī)收集公民個人信息、販賣公民個人信息等行為在不斷加大打擊力度。但遺憾的是，個人信息一經(jīng)泄露，就在也難以恢復(fù)至“原初狀態(tài)”。如今佩著口罩都人臉識別，恐怕個人信息被泄露后，個人即便整容也再難逃被識別和定位。

事后監(jiān)管難以周延保護公民個人信息安全。因此，更應(yīng)當(dāng)嚴(yán)格限制人臉識別的應(yīng)用場景，如果不能這樣做。那么至少應(yīng)該提供給個人拒絕“被人臉識別”的選擇，以及賦予個人信息的“刪除權(quán)”，來保障個人的“信息自決權(quán)”。

關(guān)于“刪除權(quán)”，根據(jù)中國現(xiàn)行的《網(wǎng)絡(luò)安全法》第四十三條和《民法典》第一千零三十七條，個人享有個人信息刪除的權(quán)利，需建立在個人信息處理者違反法律規(guī)定或者違反雙方約定收集、處理個人信息的前提上。

但現(xiàn)實中，因為生物識別技術(shù)具有隱蔽性，尤其是“人臉識別”，個人往往被采集了信息而不自知，更難以舉證存在違法或違約收集、處理個人信息的情形。即使確定侵權(quán)或者違約存在，需要刪除被個人信息時，也難以確認(rèn)是否被真的刪除。

例如，在“人臉識別第一案”終審判決作出后，郭兵聲稱將申請再審，正是因為他強烈質(zhì)疑野生動物世界只需向法院出具情況說明，就可表示已刪除個人信息，而是否真正刪除，完全由野生動物世界一方說了算。因此，他要求在第三方技術(shù)機構(gòu)見證刪除信息的真實性。

歐盟GDPR（General Data Protection Regulation，簡稱“GDPR”）的刪除權(quán)（被遺忘權(quán)）則不完全以個人信息處理者存在違法或違約收集、處理個人信息為前提，當(dāng)個人撤回同意時，個人信息處理者也有義務(wù)刪除個人數(shù)據(jù)。在中國修訂中的《個人信息保護法》（草案）中，可看到對標(biāo)GDPR刪除權(quán)的條款，但該法是否能在今后順利落地，還有待觀察。

當(dāng)媒體及公眾為“人臉識別第一案”的結(jié)果歡呼時，但至少郭兵仍未滿意。他對媒體宣稱，要求法院認(rèn)定野生動物世界將指紋及人臉識別作為唯一入園方式的規(guī)則無效，才是他最核心的訴訟請求。

從這個意義上來看，“人臉識別第一案”的一審、二審判決并未解決根本問題，即：審查進入動物園必須采用指紋、人臉識別的“必要性”。目前來看，整個判決邏輯建立在“合同違約”之上，而非將“個人信息保護框架”中的“知情同意”“信息自決權(quán)”等理念滲入司法推理之中。

遺憾的是，現(xiàn)行的法律難以抑制生物識別技術(shù)的擴張應(yīng)用，更難以周延保護公民個人信息及隱私的安全。我們在等待《個人信息保護法》或者新的司法案例來臨之前，亟待需要限制“人臉識別”的應(yīng)用場景，倘若不能做到這點，那么至少應(yīng)該保障公民拒絕“被人臉識別”的權(quán)利。