人脸识别技术的使用边界——评郭兵诉杭州野生动物世界案

吴月琴 何 鑫 华诚律师事务所

引言：

在人脸识别技术应用近年在国内外引起巨大争议的背景下，号称我国“人脸识别第一案”的本案一出便引发全社会的瞩目。无论是从现行个人信息保护法律框架下出发如何维护自身权益，还是进一步划清人脸识别技术的使用边界，本案均有值得思考之处。此外，目前本案已经二审开庭，后续的发展也值得我们持续关注。

一、案情提要

2019年4月27日，郭兵向杭州野生动物世界（以下简称“杭州动物世界”）购买“畅游365天”双人年卡，为办理年卡，郭兵与其妻子叶某留下姓名、身份证号码、拍照并录入指纹，郭兵还向杭州动物世界登记留存电话号码等信息。

后杭州动物世界因提高游客检票入园的通行效率等原因，决定将入园方式从指纹识别入园调整为人脸识别入园，并以店堂告示形式进行公示。2019年7月12日，杭州动物世界向包括郭兵在内的年卡持卡客户群发短信，通知其进行人脸激活，并于2019年10月17日再次短信通知年卡客户，人脸识别已经启用，指纹识别已无法使用。

2019年10月26日，郭兵与同事陈某至杭州动物世界核实人脸识别入园一事，郭兵提出其妻子不同意人脸识别，并咨询在不注册人脸识别的情况下能否退卡费，双方未能就退卡方案达成一致。

2019年10月28日，郭兵遂向法院提起诉讼，要求确认杭州动物世界店堂告示、短信通知中相关内容无效，并以杭州动物世界违约且存在欺诈行为为由要求赔偿年卡卡费、交通费，删除个人信息等。

二、诉辩主张

郭兵主张可以总结为，第一，杭州动物世界在收集其指纹时未对安全风险进行提示，同时指纹识别与人脸识别技术手段入园的公告及短信内容违反《消费者权益保护法》第二十六条的规定，依法应当确认无效；第二，杭州动物世界要求郭兵进行人脸识别方可入园的行为构成违约；第三，杭州动物世界在郭兵办理年卡时隐瞒其他入园方式，强制性要求郭兵通过指纹录入的方式办理和使用年卡，此后又强制性要求郭兵进行人脸识别注册。同时其提供入园和身份验证服务不符合个人信息安全保障要求，构成欺诈；第四，杭州动物世界收集和使用指纹信息用于提供游览服务不符合“合法、正当、必要”原则，同时杭州动物世界公告短信无效且存在违约，因此应当将其办理年卡时提交的全部个人信息及入园信息进行删除。

杭州动物世界的抗辩可总结为，第一，杭州动物世界年卡入园与一般入园存在差别，年卡入园需要身份识别因此需要收集生物识别信息（指纹和面部识别信息），郭兵办理年卡的行为实质上是为获取经济利益而对个人信息进行商品化的主动利用，因此双方合同内容有效；第二，野生动物园更换人脸识别验证并不影响年卡用户无限次游园的实现，短信通知也并非拒绝郭兵入园，因此不存在违约或预期违约情形；第三，即使杭州动物世界隐瞒其他入园方式属于提供服务存在质量问题，但郭兵在对指纹入园提出异议后仍以该方式入园的行为应当视为“明知服务存在质量问题而仍然接受”，因此野生动物园不存在欺诈行为；第四，在郭兵为追求商业利益而主动商业利用其个人信息的情况下，应当限制、排除其删除权的行使；第五，野生动物园存储个人信息具有正当目的，在杭州动物世界收集使用个人信息不存在违法违约情形的情况下，郭兵无权要求野生动物园删除个人信息；第六，入园记录是双方履行合同过程中形成的数据，属于双方共有，郭兵无权单方要求删除。

三、裁判思路

法院将案件争议焦点归纳为：店堂告示、短信通知内容是否有效；杭州动物世界是否存在违约和欺诈；郭兵能否要求杭州动物世界删除已收集的个人信息。

争议焦点一，店堂告示、短信通知内容是否有效

法院认为杭州动物世界基于高效验证年卡用户身份目的使用指纹识别、人脸识别等生物识别技术，符合个人信息收集使用的“合法、正当、必要”原则的要求。杭州动物世界的店堂告示以醒目的文字告知购卡人需要提供包括指纹在内的部分个人信息，保障了郭兵的消费知情权和对个人信息的自主决定权，未作出排除或者限制消费者权利、减轻或者免除经营者责任、加重消费者责任等对消费者不公平、不合理的规定，不属于《消费者权益保护法》第二十六条第三款规定的因含有上述内容导致无效的情形。

关于涉及人脸识别的告知及短信内容效力问题。涉案短信在性质上属于新的要约，在郭兵未予承诺的情况下，应认为该要约已失效。有关人脸识别的店堂告示未成为郭兵与杭州动物世界之间的合同条款，对郭兵不发生法律效力。

争议焦点二，杭州动物世界是否存在违约和欺诈

杭州动物世界在未与郭兵进行任何协商，亦未征得其同意的情况下，发送短信告知郭兵未注册人脸识别将无法正常入园，在郭兵上门咨询求证时，杭州动物世界的工作人员明确告知其不注册人脸识别将无法入园，而未告知存在其他的入园方式，杭州动物世界的该行为属于以明示的方式表明不履行原合同约定的主要义务构成违约。

关于杭州动物世界是否存在欺诈的问题。杭州动物世界对不同客户群体采用差异化的入园查验方式具有必要性和合理性，在郭兵办理年卡时并不存在故意隐瞒其他入园方式误导其作出消费决定的行为。此外，杭州动物世界为正当经营活动在征得消费者同意收集使用指纹信息的情形下采用指纹识别技术，不存在“不符合保障人身、财产安全要求”的情形，且已经尽到告知说明义务，不存在欺骗、误导消费者的情形。综上，杭州动物世界不存在实施欺诈行为的情形。

争议焦点三，郭兵能否要求杭州动物世界删除已收集的个人信息

法院认为，在郭兵与杭州动物世界签订的合同中并没有关于删除个人信息的约定且现无证据证明杭州动物世界存在违反法律规定或约定处理个人信息的情形下，郭兵要求删除办理年卡时提供的个人信息于法无据。

而对于杭州动物世界收集的郭兵及其妻子的人脸识别信息，法院认为，涉案合同签订的是采用指纹识别方式入园的服务合同，杭州动物世界收集郭兵及其妻子的人脸识别信息，超出了必要原则的要求，不具有正当性。杭州动物世界在为郭兵及其妻子拍照时并未告知收集人脸识别信息的目的，郭兵与其妻子同意拍照的行为，不属于对杭州动物世界收集其人脸识别信息的同意。因此郭兵有权要求杭州动物世界删除收集的其个人的人脸识别信息。

关于入园记录信息，法院认为，入园记录既属于郭兵与其妻子的行踪信息，同时也是杭州动物世界的经营信息。在没有证据证明杭州动物世界存在泄露、篡改、丢失或其他违法使用前述信息行为，并对郭兵及其妻子的个人信息权益已经造成损害或有发生损害较大可能的情况下，郭兵无权要求删除前述入园记录信息。

四、案件评析与合规启示

（一）本案诉讼策略评析

由于在提起诉讼时《中华人民共和国个人信息保护法（草案）》（以下简称“《个保法（草案）》”）仅存在草案，《中华人民共和国民法典》尚未生效，《中华人民共和国网络安全法》（以下简称“《网安法》”）等现行法律法规对人脸识别的使用并未进行详细规定且《信息安全技术个人信息安全规范》（以下简称“《个人信息安全规范》”）仅为推荐性标准的情形下，郭兵的诉讼策略以及法院的裁判思路仅能在现有的法律框架下寻求破题之道。最终郭兵选择就公告、短信的效力以及在合同签订过程中杭州动物世界是否存在欺诈行为同杭州动物世界展开论辩，以求实现对个人信息的保护。而法院也将本案的争议焦点确定在郭兵与杭州动物世界的服务合同上，而对于个人信息保护的问题则是浅尝辄止，停留在了原则性的论述上。因此，虽然本案是涉及人脸识别的民事诉讼第一案，但从个人信息保护的角度看，本案更多的是引起人们对人脸识别技术使用的关注，社会意义要更重一些。

从个人信息保护的角度看，本案主要涉及两方面的问题。其一是人脸识别技术的使用边界问题，其二是个人信息主体删除权的行使条件问题。关于第二个问题，囿于《网安法》第四十三条对于删除权行使条件要求较为狭窄，导致法院难以支持郭兵的诉讼请求，而该问题在未来《个保法（草案）》通过并正式实施后，个人信息主体行使删除权的诉请可能会因行使条件的放宽而更多地得到法院支持。鉴于该问题不是使本案引起广泛关注的原因，因此本文不就该问题进行详细展开。

（二）人脸识别技术的使用边界

至于人脸识别技术的使用边界问题，可以将该问题细化为以下几个小问题，即（1）人脸识别技术使用的必要性问题；（2）在不同场景下的面部识别信息收集、使用的告知及同意问题；（3）关于人脸识别技术使用过程中的个人信息安全保障以及停止使用后的个人信息处置问题。

1、关于人脸识别技术使用的必要性问题

必要性的判断较为复杂，涉及到使用场景、目的、使用方式等多方面的综合判断。本案中，法院仅对杭州动物世界未经郭兵及其妻子同意便收集并使用其面部识别信息不满足必要性要求作出认定，但并未对杭州动物世界在公共场所使用人脸识别技术的必要性进行评判，这可能囿于现行法律对人脸识别技术使用的必要性判断并无明确指引。而《个保法（草案）》第二十七条对在公共场所使用人脸识别技术的必要性作出了严格限定，即在公共场所安装图像采集、个人身份识别设备的，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识，除非取得个人信息主体单独同意或法律法规另有规定。鉴于在公共场合使用人脸识别技术，个人信息处理者获取个人信息主体单独同意或适用法律法规的例外情形存在较大困难，因此，若日后该要求并未变化而实施，则意味着非因维护公共安全所必需在公共场所使用人脸识别技术，其应用将会存在较大风险。

这里有两点需要注意，其一是何为“维护公共安全”。例如某些小区以维护公共安全为由要求安装门禁，那么决定安装门禁的居委会、物业、街道办等能否成为决定何为公共安全的主体，这些是需要进一步讨论的问题。

其二是《个保法（草案）》第二十七条将场景限定在公共场所，从逻辑上可以推出，在未经个人信息主体单独同意或法律法规另有规定的情况下，在非公共场所使用人脸识别技术并非一定要出于维护公共安全目的。这意味着众多企业在非公共场所使用人脸识别技术的限制将会相对宽松。

合规启示

对于计划使用人脸识别技术的企业而言，在使用该技术前应当充分评估使用该技术的必要性。具体而言：评估使用场景，如用于门禁系统、线下支付等，在《个保法（草案）》实施后还需特别关注在公共场所下对人脸识别技术的使用；评估使用目的，如是否以维护公共安全为目的、识别熟客目的、客流分析目的等；评估替代方案，在近似成本或合理范围内是否存在可行的替代方案，如通过指纹识别或证件识别方式是否可行等；评估合规风险，如在该场景下进行告知并获取个人信息主体同意的难度等。

2、关于在不同场景下的面部识别信息收集、使用的告知及同意问题

本案中，对于杭州动物世界收集使用郭兵及其妻子面部识别信息行为合法性的问题，法院指出由于双方签订的是以指纹识别方式入园的服务合同，杭州动物世界未向郭兵及其妻子告知收集使用面部识别信息的目的，进而也未获得郭兵及其妻子同意，因此认定该行为不具有正当性。现实中更多的问题是，何种程度的告知及同意可以满足面部识别信息的收集使用要求。

在《个人信息安全规范》5.4 c)中，提出了单独告知+明示同意的要求，而这一要求在《个保法（草案）》以及《信息安全技术 个人信息告知同意指南（征求意见稿）》（以下简称“《告知同意指南》”）中进行了细化与调整。关于告知的问题，《个保法（草案）》第十八条详细明确了个人信息处理者应向个人信息主体进行告知的内容，同时由于面部识别特征属于敏感个人信息，因此还应满足第三十一条的要求。而详细的告知要求在现实中可能存在的问题是，在某些场景下使用人脸识别技术，其正是在利用其无意识性、非接触性的优点，而此时要求个人信息处理者向个人信息主体履行的告知义务，这可能与其使用人脸识别技术的目的产生冲突。虽然《个保法（草案）》第十九条对告知义务的豁免进行了规定，但同时也需要相应法律法规的跟进才可以使得该制度得以顺利落地。

关于同意的问题，由于《个保法（草案）》第十三条并未将同意作为个人信息处理者处理个人信息合法性的必要条件，同时结合第三十条规定可知，基于个人信息主体同意处理其面部识别信息的情况下使用人脸识别技术的，原则上个人信息主体同意的形式应为单独同意。

合规启示

对于企业而言，应当结合使用人脸识别技术的场景与现实情况，参考《告知同意指南》指引，选择适当的告知与同意方式。对于刷脸支付、刷脸入园等类似场景，由于人脸识别的使用往往由个人信息主体主动选择，且个人信息主体与企业间通常以预先签订相关服务合同，企业向个人信息主体进行告知并获取同意并无太大难度。企业此时仅需要注意应当对涉及面部识别信息等生物识别信息的收集使用应进行单独告知，同时获得个人信息主体的单独同意即可。

而对于某些主打“无感”进行人脸识别的场景，个人信息主体与企业并不存在事先接触的可能，要求企业进行告知与获得同意自然存在极大难度。对于告知问题，我们建议企业可以在设置人脸识别设备的场所以显著方式标识进行告知，并同时告知获取更多相关信息的途径以降低合规风险。对于获取同意问题，结合该类场景特征以及《个保法（草案）》提出的单独同意要求，获取个人信息主体的同意仍然存在难度，该种场景下的人脸识别技术应用存在较大合规风险。如企业仍认为需要使用该技术，则我们一方面建议企业寻求非基于个人信息主体同意的合法性基础，另一方面，建议企业参考《告知同意指南》附录D的指引，向个人信息主体提供不收集其个人信息的方案，同时向个人信息主体提供撤回同意的渠道，以尽可能降低合规风险。

3、关于人脸识别技术使用过程中的个人信息安全保障以及停止使用后的个人信息处置问题

由于面部识别信息属于敏感个人信息（个人生物识别信息），在个人信息安全保障上，个人信息处理者将负有更重的义务。如应遵循《个人信息安全规范》6.3的敏感个人信息的存储要求对面部识别信息进行存储等。

关于人脸识别技术停止使用后个人信息的处置问题，这包括个人信息处理者停止使用人脸识别技术以及个人信息处理者停止向特定个人信息主体通过人脸识别技术提供服务的情形。与其他个人信息的处置相同，个人信息处理者应在《个保法（草案）》通过实施后，根据第四十七条第一款要求将存储的面部识别信息进行删除或匿名化处理。需要注意的是，虽然《个保法（草案）》第四十七条对个人信息处理者的要求仅为删除个人信息，并不包括匿名化处理，但结合《个保法（草案）》第四条匿名化处理后的信息不属于个人信息的规定可知，将个人信息进行匿名化处理也是一种可行的处置方式。

此外，关于个人信息的处置时间，包括《个保法（草案）》在内的法律法规均未作出要求，而参考GDPR第十七条，我们理解应为立即进行处置。而这里引申出一个问题，即在现实情况下，个人信息处理者会由于商业上的考虑在停止提供商品、服务或处理目的已实现后的一段时期内继续存储个人信息，如本案中杭州动物世界提及，其在年卡用户年卡到期后的三个月续卡期届满之日起才会对收集的包括指纹及面部识别信息在内的敏感个人信息进行删除，此种情形下个人信息处理者应如何满足法律法规提出的个人信息处置要求需要关注。

合规启示

在人脸识别技术使用过程中，企业应当采取充分的技术及管理措施确保收集的个人信息安全，我们建议企业对面部识别信息采取最小化存储策略，不存储个人信息主体的原始面部识别信息，仅存储摘要信息；对于用于比对的面部识别信息，在采集终端进行收集与比对，并在比对结束后立即将该信息进行删除。此外，企业还应严格限制对存储面部识别信息的展示、共享或转让，避免增加泄露或滥用风险。

对于前述提到个人信息处置时间的问题，我们建议企业如有必要，在与个人信息主体签订合同时，可以结合商业需要就个人信息的存储约定合理的保存期限，以满足个人信息处置要求。

五、结语

人脸识别技术凭借其无意识性、非接触性与强侵入性的特征，具有广泛的应用前景与优势。但与此同时，这些特征也使得人脸识别技术潜藏巨大的个人信息安全与泄露风险。而在这些风险的背后，实际上是个人利益、企业利益与公共利益间的三方角力。在这三方利益中，个人利益作为最弱势的一方，取得了立法层面最多的关注与倾斜，而公共利益则有赖政府机构的支持与观念上的优先性，使得其处于强势地位。这使得企业利益处于被忽视的地位，企业利用人脸识别技术的商业模式的扩展遭遇难题。因此，未来对人脸识别技术的规制，应当充分评估三方利益，实现利益平衡，划定技术应用的明确边界，坚决禁止侵犯个人信息权益的人脸识别技术应用，同时也应给予企业利用人脸识别技术进行创新以充足的阳光与空间。