■刘彦伶

　　新兴的科学技术总是人们乐此不疲的讨论焦点。近日，“人脸识别第一案”的话题登上各大社交平台热搜榜，人脸识别技术再次引起热议。

　　就在刚过去的10月末，浙江理工大学的郭老师一纸诉状，将杭州野生动物世界告上了法庭。原来，郭老师今年4月在杭州野生动物世界办理了一张年卡，原本只用指纹就可以入内，但最近却被通知，年卡持有者必须录入人脸信息，之后凭借人脸识别才能入内。

　　郭老师一怒之下，向杭州市富阳区人民法院提起诉讼，认为杭州野生动物世界强行升级为人脸识别入内的行为，违反了《消费者权益保护法》的相关规定。据报道，法院已经于11月1日立案受理。

　　这已经不是“人脸识别”第一次引发舆论关注了。就在前不久，手机软件“ZAO”刚刚因为涉嫌滥用用户肖像等个人信息，而遭到网友的口诛笔伐。

　　我们的脸上

　　有哪些法律要素？

　　1. 个人形象

　　人脸自然关乎每个人的个人形象，定位到脸部，也就是肖像。肖像有可见的载体，例如照片、雕塑、视频。而我国法律对肖像也有专门保护，最为直接的就是，《民法通则》和《民法总则》均有关于肖像权的规定，公民享有肖像权，未经本人同意，不得以营利为目的使用公民的肖像。

　　除此之外，民事法律中的名誉权，也在相当程度上保护着公民的肖像。肖像与公民的人格尊严紧密相连，对他人肖像的公开侮辱，可能会被视为对公民名誉的破坏、尊严的践踏，而因此构成名誉权侵权。

　　可见，人脸形成的肖像，代表个人的人格尊严，公民还有权控制自己肖像的使用，依靠肖像获得经济利益。例如请明星代言产品，品牌方相当一部分代言费其实是花在了明星肖像的许可使用上。

　　2. 个人信息

　　人脸识别与指纹识别一样，都是依靠分析人体某个部位的细节特征，达到验证和识别的效果。严格来看，此时得到的并非传统意义上理解的家庭住址、出生日期等个人信息，而是一组能够定位或指向一个自然人的生物数据。

　　而我国现行法律对于“个人信息”的定义见于《网络安全法》第76条，认为个人信息是指能够识别自然人个人身份的各种信息，其中也包括个人生物识别信息。这一定义实际将生物数据认为是个人信息。

　　因此，人脸承载的并不仅仅是关乎个人形象的肖像，人脸上的生物数据还往往绑定着敏感的个人信息，甚至关乎个人信用与财产安全，是自然人珍贵的白金数据。

　　郭老师能告赢吗？

　　初步了解人脸上的法律要素之后，不妨再回过头来看看，杭州事件里郭老师的指控是否真的有法律依据。

　　从新闻报道中公开的起诉状来看，郭老师认为，杭州野生动物世界违反了《消费者权益保护法》，应当赔偿自己购买年卡却无法使用的损失。

　　我国曾于2013年将个人信息保护的相关规定写入《消费者权益保护法》，首次明确具体地规定，经营者收集、使用消费者个人信息应当充分明示，并且需要取得消费者同意。

　　就郭老师在起诉状中陈述的事实来看，杭州野生动物世界并没有征得消费者的同意，而是擅自升级系统，强行要求消费者进行人脸识别注册，只能以人脸识别的方式入内，这似乎已经违反了消费者权益保护法的规定。

　　但是，在我国现行立法中，专门将生物识别信息也纳入“个人信息”定义之内的，只有上文提到的《网络安全法》。尽管我国2017年公布的《个人信息保护法（草案）》对该项定义予以沿用，但杭州野生动物世界完全可以主张，一方面草案尚未生效实施，另一方面《网络安全法》是针对网络环境的法律规范，其所定义的个人信息保护范围不能辐射到非网络环境中。因此，本案的具体走向如何还有待观察。

　　不过，如果在办理年卡时，杭州野生动物世界承诺有效期内只需要通过指纹识别就能完成入内，然而在郭老师的年卡尚未到期的情况下，又擅自变更入内的方式，违背年卡办理时候的承诺，郭老师也可以考虑从合同的角度，起诉其构成违约。

　　人脸识别的法律隐忧

　　机器识别显然可以节省大量人工成本和时间成本，人脸识别技术已经在国内外被广泛应用。除了我们在日常生活中常见的刷脸支付、刷脸进站之外，人脸识别已经渗入了各行各业。知名的日本男星木村拓哉，其所在的杰尼斯事务所就将人脸识别系统导入演唱会，只有购买者与持票者人脸一致才能入场，防止门票被高价转卖。

　　但即便如此，人脸识别在我国依旧饱受质疑，这又是为何？

　　1. 技术标准尚不明确

　　人脸识别技术究竟已经发展到何种地步，是否每个使用人脸识别的机构，都能保证所运用的技术能够达到相当的精确度，是人们普遍担心的问题。

　　曾有新闻报道，某地的小学生凭借几张打印出来的父母头像照片，成功骗过人脸识别系统，打开了快递柜。还有报道称，美国国会利用亚马逊人脸识别软件，将全体国会议员照片与2500名犯罪分子进行比对，结果显示28名议员被错误识别为犯罪分子。

　　可见，对于科技成熟度的质疑并非毫无根据。

　　2. 信息使用尚不规范

　　个人信息被盗取、泄露的情况已经屡见不鲜，艺人明星的行程、航班号、电话号码甚至身份证号码被买卖交易也是常事。如果缺少对收集、使用人脸信息过程的监管，只会使得人人都处在被监视的透明之中。

　　国内外对个人信息的保护方式并不一致，有的国家将其纳入隐私权的保护范围，美国伊利诺伊州2008年通过《生物信息隐私法案》，Facebook公司就曾因为推出的“标签建议”功能存在通过用户照片侵犯隐私的嫌疑，被当地公民以违反该法案为由提起诉讼。

　　也有部分国家把个人信息单独作为一类受法律保护的对象。欧盟2018年5月生效的《通用数据保护条例》就是后者，它被认为是史上最为严格的个人数据保护条例，不仅明确规定了允许收集个人信息的条件、获取的程序、方式，给予数据主体拒绝权，甚至规定了对泄露数据行为的处罚，如果企业存在数据泄露行为，可能面临高达上千万欧元的罚款。

　　在我国，实践中往往通过保护隐私权的方式，对身份证号码等部分个人信息进行保护。但是“隐私”的概念和“个人信息”并不完全相同，因此保护范围显然比较有限。

　　然而，从近几年的《消费者权益保护法》《网络安全法》《民法总则》和《刑法》，甚至还有2017年公布的《个人信息保护法（草案）》来看，我国似乎有将个人信息作为单独的对象予以保护的立法倾向。

　　2018年10月，《十三届全国人大常委会立法规划》已经将《个人信息保护法（草案）》列入“条件比较成熟、任期内拟提请审议”的第一类目，如此一来，我国个人信息的使用或将得到更有效的规制。

　　（作者系金诚同达律师事务所律师）