“零点巡航”是否矫枉过正？——对游戏公司采用人脸识别技术的法律分析

作者：金易文 华诚律师事务所

时间进入七月，小崽子们终于迎来了最爱的暑假，终于可以在家宅着一天不出门光打游戏了，而且不同于笔者小时候用电脑玩游戏的偷偷摸摸，现在的小崽子玩起手游是真沉迷，白天大人还能盯着点，要是半夜躲被窝里捧着个手机玩通宵，那可真叫一个管不住。

为此，有的游戏公司顶不住家长的压力，就想到了把时下热门的“人脸识别”技术用上对付小崽子们：据“腾讯游戏”微信公众号7月5日消息，为针对性解决未成年人冒用成年人身份在夜间偷玩游戏的问题，腾讯游戏在现有人脸识别验证的基础上进一步强化，正式上线“零点巡航”功能。“零点巡航”旨在对夜间游戏超过一定时长、实名为成年人的账号进行人脸重点筛查。凡是拒绝或未通过人脸验证的，将被当成未成年人，纳入腾讯游戏健康系统的防沉迷监管并踢下线。

这个操作让我很难不联想到今年教育部发的一个文件：《关于进一步加强中小学生睡眠管理工作的通知》。

如果说旨在解决未成年人熬夜玩腾讯手游的问题，“人脸识别”堪称釜底抽薪，它彻底填补上了未成年人防沉迷问题里最难解决的一块拼图，同时也解决了一直以来防沉迷系统的老大难问题：未成年人冒用成年人身份信息怎么办？毕竟在防沉迷上，目前还大多采用身份证注册+口号提示+时间限制的原始方案，即注册账号需要填写身份证信息，进入游戏提示防沉迷告知，并且在未成年人超过防沉迷游戏时间后无法登陆游戏或没有奖励。

但防沉迷系统只能认证到账号信息，无法认证到操作账号的人，而通过人脸识别，就可以有效做到穿透识别，让小崽子无处遁形。但在家长拍手叫好之余，是否将人脸识别引入防沉迷系统就百利而无一害呢？笔者认为，未必。人脸识别固然能够穿透账号信息，直接认证到操作账号的人，但这种做法也无情地打破了网络和现实的界限，在滴滴等平台先后因严重违规收集个人信息等原因被审查的风口上，人脸信息的频繁采集确实存在侵犯用户的个人信息和隐私安全的风险。

如前段时间的一条微博热搜：某博主发微博提醒，大家使用App人脸识别功能时，一定要穿衣服，因为“摄像头采集的不仅仅是被识别者人脸部分”。 该博主表示，有从事后台审核的朋友告诉他，工作中在进行人脸识别审核时，经常会看到很多人在洗澡、和另一半拥抱、没穿衣服等各种“奇奇怪怪”场景。也就是说，在进行人脸识别的时候，不论人脸框内还是框外，只要是在摄像头范围内的画面，全部都会被拍到。这对于上文提到的“夜间护航”来说，侵犯隐私的可能性就陡然提升，毕竟夜间时段，谁还不是衣衫不整呢？

因此，将人脸识别技术的运用在游戏中识别未成年人，应当遵守一些基本的原则。当然，在笔者阐述这些原则之前，首先有必要了解人脸识别到底是什么？

1、 人脸识别是什么？

人脸识别是一种基于人的脸部特征信息进行身份识别的生物识别技术，常采用摄像机或摄像头采集含有人脸的图像或视频流，并自动在图像中检测和跟踪人脸。当前，人脸检测与识别当前图像处理、模式识别和计算机视觉内的一个热门研究课题，也是目前生物特征识别中最受人们关注的一个分支。

相比于其他个人信息，通过人脸识别技术，人脸信息不仅可以用来准确地识别“我是谁”（身份识别场景），同时可以用来比对“我是否是我”（身份验证场景）；甚至，通过结合大数据技术能够获知、预测“我是一个什么样的人”，而根本无需知道“我是谁”（标签画像场景）。并且，相较于其他个人信息类型，人脸识别可以通过远距离与较为隐蔽的操作实现，人脸图像的收集更可能以被收集人无感知的方式进行，人脸图像经过数字化处理后，将会构成一种“隔空可用”的活体数据，一旦泄露或被不法利用，其风险远高于其他生物识别性信息。

人脸识别的这些特征决定了人脸识别是一柄双刃剑，其穿透识别的能力运用在监管层面，能达到更好的监管效果，但如果被过度商业化利用，那就极易可能构成对个人隐私的侵犯。因此，法律法规也没有缺位：在《网络安全法》等法律法规中，均对企业、企业的网络产品和服务收集、分析、应用和共享个人信息进行了规制；此外，在2020年10月1日开始实施的有关个人信息收集的国家标准《个人信息安全规范》（GB/T 35273-2020）中，人脸数据与指纹、声纹、掌纹等生物识别信息，也被作为同一级别的个人敏感信息对待。而收集、分析、应用、共享人脸数据，也应当遵循相应的规则。

2、 人脸信息收集的目的应公示并经明示同意

首先，《网络安全法》要求网络运营者收集、使用个人信息，应明示收集、使用信息的目的、方式和范围，并经被收集者同意。而对于游戏App而言，去年7月正式发布的《移动互联网应用程序（App）收集使用个人信息自评估指南》中，提出了更加具体的规定，要求收集者逐一列出收集使用个人信息的目的、方式、范围。

虽然目前对于是否可以出于识别未成年人的目的，进而调用手机上的摄像头采集人脸信息，尚不存在明确的禁止性规定，但需要注意的是，随着个人信息方面法律法规的不断完善，对于此类敏感信息的管控是趋于严格的。

如在当前的新零售场景中，普遍存在一些商超通过监控影像中的人脸信息识别出存量用户之后，继续跟踪其在货架或区域的停留时间等，进一步分析其关注点和兴趣，并向销售人员推送此用户此前的喜好和购物习惯等，以对用户进行进一步的精准广告营销。

从现行法律法规的规定来看，商超因安全监控等目的所获知的人脸图像、影像，如后续需要将该等信被用于精准广告营销，须将收集使用该等信息的目的、方式和范围等予以全面的披露，并获得用户的授权同意。在消费者拒绝该精准广告营销的行为以后，商超不得再向其进行定向推送。

但根据目前尚在审议中的《中华人民共和国个人信息保护法（草案）（二次审议稿）》第二十七条规定：“在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的，不得公开或者向他人提供，取得个人单独同意的除外。”如果此条款出现在了正式稿中，就意味着商超的上述行为将落入违法的范畴。虽然此条规定是针对公用摄像头，对于调用手机摄像头的App并无约束力，但也可以看出来上述提到的监管部门对人脸数据的监管越来越严格的趋势。

3、 人脸信息收集应符合必要性原则

所谓必要性原则，也称为最少够用原则或最小化原则，源自于《网安法》规定的个人信息控制者应当“遵循合法、正当、必要的原则”，并禁止收集“与其提供的服务无关的个人信息”。在《个人信息安全规范》（GB/T 35273-2020）第5.2条当中，对最小化原则进行了更为详细且严格的解释，规定“收集的个人信息的类型应与实现产品或服务的业务功能有直接关联”，而如果没有这些收集的个人信息，“产品或服务的功能无法实现”（第5.2(a)条）。

对于人脸数据而言，其本身的特性就决定了其具有较高的安全风险，收集处理并使用人脸数据更可能构成对数据隐私保护制度中收集个人信息“必要性”原则的违反。如在，2019年8月21日，瑞典一所高中因使用人脸识别系统记录学生的出勤率，学校董事会被瑞典数据监管机构（DPA）认定学生个人信息的处理不符合欧盟《一般数据保护条例》（GDPR）的规定，因而被处罚20万瑞典克朗（约合人民币14.4万元）。DPA认为，因人脸识别技术可能构成对个人隐私的严重侵犯，且存在其他可行、高效的考勤记录方式，该学校对于这一技术的应用超出了实现目的之必要限度，违背了数据处理的最小化原则。

那么，就手机游戏而言，收集使用人脸数据是否违背了必要性原则呢？对于这一点，其实监管部门早就给出了答案。

今年3月22日，国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局近日联合印发《常见类型移动互联网应用程序必要个人信息范围规定》，明确移动互联网应用程序(APP)运营者不得因用户不同意收集非必要个人信息，而拒绝用户使用APP基本功能服务。《规定》明确了39种常见类型APP的必要个人信息范围，其中，第十八类网络游戏类，《规定》指出其基本功能服务为“提供网络游戏产品和服务”，必要个人信息为：注册用户移动电话号码。也就是说，除此之外的个人信息，包括人脸数据在内，都属于非必要个人信息。

从实践角度来看，显然存在其他可行的且对个人信息主体影响较小的替代性方案，对游戏公司来说，为了实现防沉迷这一目的，是否一定要收集人脸数据这一敏感信息才能识别未成年人身份？是否可以收集其他更低敏感程度的信息呢以达成防沉迷的目的呢？

4、 人脸数据应满足存储安全要求

对于人脸数据类敏感个人信息的存储安全，有滴滴的前车之鉴，人民群众的担心在于：游戏公司打着防沉迷旗号收集人脸数据，会不会跟滴滴打着安全旗号收集乘客信息那样，存储于公司内部不加防护，随时被动乃至主动泄露，进而使得这些敏感数据处于一种危险状态呢？毕竟游戏公司会采集所有人的脸部信息并存储在系统中，而不是简单地检测后把小崽子们踢下线就完事。

对于个人信息的存储安全，《个人信息安全规范》（GB/T 35273-2020）对个人信息控制者提出了关于信息保存的时间最小化要求与去标识化处理要求。时间最小化，即要求信息的保存时间应是使用目的所需的最短时间；在超过保存期限后，即应对信息作出删除或匿名化处理。去标识化，即要求个人信息控制者在收集个人信息后，立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。此外，对于人脸数据这类敏感的生物识别类信息， 《个人信息安全规范》进一步要求个人信息控制者应采用技术措施处理后再行存储，包括对生物识别信息通过加密技术手段存储或只存储该信息的摘要部分。

并且，去年11月1日，《信息安全技术——远程人脸识别系统技术要求》（（GB/T 38671-2020）正式实施，该标准明确规定运行在网络环境下的人脸识别认证系统所应具备的安全功能，并从登记、传输、存储、身份确认、身份识别、终止等人脸识别生命周期对其提出安全技术要求。对于人脸数据的存储安全，该标准的第8.1.2.2条就提出了（企业）应具备对人脸等个人信息数据加密存储能力，满足数据保密性保护要求。

此外，对于关键信息基础设施的运营者，《网络安全法》提出了更高的“本地化存储”的要求，即《网络安全法》第三十七条规定，“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。

所谓关键信息基础设施，根据《网络安全法》第三十一条的规定：国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。上述“一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益”的，即所谓“关键信息基础设施”。

实践中，不仅仅是上述提到的“共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务”领域可能被认定为关键信息基础设施，进而需要遵守本地化存储的要求，事实上只要手中握有大量我国公民的敏感信息，那一旦泄露都有可能严重危害国家安全、国计民生和公共利益，如销量巨大的特斯拉，车辆众多的滴滴，均被认定为了“关键信息基础设施”的运营者，进而需要满足个人信息本地化存储的要求。在笔者看来，游戏公司，尤其是那些超大型多人在线手机游戏的公司，因其掌握了大量本国公民的身份证、手机号码、IMEI码、微信号、支付宝账号乃至人脸数据等敏感个人信息，是有极大概率被认定为“关键信息基础设施”的运营者的。

5、其他要求

除此之外，针对手机游戏，尤其是出于防沉迷的目的收集个人信息，就可能遭遇另一个法律障碍：根据今年4月23日对外公布的《信息安全技术——人脸识别数据安全要求》国家标准的征求意见稿的要求：“原则上不应使用人脸识别方式对不满十四周岁的未成年人进行身份识别”。

虽然上述国家标准尚未生效，但从理论上来说，收集使用个人信息的企业应充分考虑信息所对应的特殊群体（对于游戏企业而言，即为不满十四周岁的儿童），在该群体的人脸识别数据时应提供额外的数据安全保护、更高透明性或更多的选择。但“零点巡航”的功能却恰恰主要针对的就是上述人群，可以说个人信息收集使用的原则以及未来的趋势完全相违背，开了历史的倒车，这也是需要游戏运营商格外注意的一件事。

结语：

最后，笔者想说，孩子的教育问题历来是东亚社会尤其是中国社会中家庭的最大关注点，从学区房的高溢价就能窥见一二，而在这个互联网时代，尤其是移动互联网已经无孔不入地渗透进每个人个人生活的年代，诱惑实在太多，游戏、短视频、动画漫画，在孩子的学习路上，家长所需要面对的挑战不可谓不困难。但回到本文此前讨论的问题，是否有必要为了阻止孩子“沉迷”于游戏，发动一场声势浩大的“巡航”？对于被误伤的成年人，又该如何弥补？是否需要为了一小部分家长牺牲广大玩家的利益？将游戏视为原罪，将家长、学校乃至社会整体的教育、引导能力不足，推卸责任到游戏上，对蓬勃发展的游戏产业依然采用二十年前一味打压、妖魔化的态度，真的是一种负责任的做法吗？

古语有云：宜疏不宜堵，用年轻人的话来说：只有魔法才能打败魔法，与其费尽心思小心翼翼躲着雷区采集个人敏感信息，不如用更有趣且健康无害的游戏、动画、视频吸引未成年人，尽快引入游戏分级制度，大人小孩各取所需各得其乐，岂不美哉？