從“中國人臉識別第一案”看個人信息保護

我們經常折服於科技的力量，也時常對於科技帶來的變革深感恐懼。隨着信息技術的快速發展和互聯網應用的普及，越來越多的組織大量收集、使用個人信息。在給人們生活帶來便利的同時，也出現了對個人信息的非法收集、濫用、泄露等問題，個人信息安全面臨嚴重威脅。

個人信息的“不可再生性”和“稀缺性”遠勝於其他一般信息，因此作爲交易相對方的信息收集者（控制者、使用者）對其有更強的交易慾望，並願意爲此承擔更高的法律風險。商家有足夠的動力去用、用戶缺乏控制和維權能力、一旦出現個人信息泄漏和濫用可能造成財產安全、人身安全、隱私安全、網絡安全等多方面嚴重後果，這使得新技術的應用在效率和安全兩端出現了明顯的失衡，需要法律發揮作用來調和矛盾。

一、個人信息（權）的概念

個人信息（Personal Information），是指與特定自然人相關聯的、反映個體特徵的具有可識別性的系統符號，包括個人身份、職業、家庭、財產、健康、教育、行蹤等各方面的信息[1]。根據我國《民法典》相關規定，以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等可認定爲個人信息，且應當受到法律保護[2]。

具體來說，作爲個人信息所識別的特定人享有：

1）信息控制權。即有權直接支配個人信息並排斥他人的不法幹涉，決定是否同意他人收集、處理自己的個人信息；

2）信息知情權。即有權瞭解他人收集（處理）自己個人信息的規則、目的、方式和範圍[3]，且有權向信息控制着依法查閱、抄錄或者複製其個人信息[4]；

3）信息完整權。具體而言：a.發現他人收集的信息有錯誤的，有權提出異議並請求更正[5]；b.有權禁止信息收集者篡改其收集（存儲）的個人信息[6];

4）安全維護請求權。即有權請求信息收集（控制）者採取技術措施和其他必要措施，確保其收集（存儲）的個人信息安全，防止信息泄露、篡改、丟失，且發生或者可能發生個人信息泄露、篡改、丟失的，有權請求信息收集（控制者）及時採取補救措施，並依照規定告知當事人並向有關主管部門報告[7]；

5）信息清除權（也稱被遺忘權）。在出現法律規定或者當事人約定不應繼續保留個人信息的情形時，個人信息權人有權請求信息收集（控制）者及時刪除。[8]

二、個人信息的收集（處理）的原則與規則

個人信息（權）屬於支配權（或稱具有支配性的受保護法益），權利人享有信息自決權，具體包括上述五項權能。根據我國法律法規，在實施收集、處理[9]個人信息的行爲時，須遵循特定的原則與規則。

(一)   合法原則

第一，收集信息的主體須合法。法律授權的主體（如國家機關），無論個人信息權人是否同意，有權在法律授權的範圍內依法收集（處置）個人信息；法律授權以外的主體，需經個人信息權人同意，纔有權收集（處理）個人信息。

第二，收集信息的手段須合法。[10]

(二)   正當原則

第一，不能超越法律規定或者當事人約定的目的範圍收集（處理）。

第二，收集（處理）的目的一旦實現，應當立即刪除收集（處理）的個人信息。

(三)   必要原則

信息收集（處理）人在從事以特定活動時，應確定是否有收集（處理）個人信息的必要性。若不具備必需性或具備低標準可替代性，應儘量不收集（處理）或儘可能少量收集。另外，對於收集一般信息即可滿足必要性要求的情況，則應當不收集敏感信息[11]。

(四)   知情同意規則

具體而言，包括：

第一，公開收集（處理）信息的規則。[12]

第二，明示收集（處理）信息的目的、方式和範圍。[13]

第三，除依法無須同意外，須經個人信息權人或其監護人的同意。[14]

第四，未經被收集者同意，不得向他人非法提供個人信息，但是經過加工無法識別特定個人且不能復原的除外。[15]

(五)   維持信息安全規則

第一，收集信息（處理）人應當採取技術措施和其他必要措施，確保其收集、存儲的個人信息安全，防止信息泄露、篡改、丟失。

第二，發生或者可能發生個人信息泄露、篡改、丟失的，應當及時採取補救措施，並履行報告義務。[16]

(六)   維持信息完整規則

第一，信息收集人不得篡改其收集（處理）的個人信息。

第二，個人信息被收集者發現收集（處理）的信息有錯誤的，有權提出異議並請求及時採取更正等必要措施。[17]

三、“中國人臉識別第一案”：郭某訴杭州野生動物世界有限公司服務合同糾紛

案情簡述：2019年4月，郭某支付1360元購買野生動物世界“暢遊365天”雙人年卡，確定指紋識別入園方式。郭某據此留存了姓名、身份證號碼、電話號碼等，並錄入指紋。後野生動物世界將年卡客戶入園方式從指紋識別調整爲人臉識別，並更換了大堂告示。2019年7月、10月，野生動物世界兩次向郭某發送短信，通知年卡入園識別系統更換事宜，要求激活人臉識別系統，否則將無法正常入園。此後，雙方就入園方式、退卡等相關事宜協商未果，郭某遂提起訴訟，要求確認野生動物世界店堂告示、短信通知中相關內容無效，並以野生動物世界違約且存在欺詐行爲爲由要求賠償年卡卡費、交通費，刪除個人信息等。

2020 年11 月 20 日，本案正式宣判。判決野生動物世界賠償郭某合同利益損失及交通費共計1038元，刪除郭兵辦理指紋年卡時提交的包括照片在內的面部特徵信息。

爭議焦點：經營者處理消費者個人信息，尤其是指紋和人臉等個人生物識別信息行爲的評價和規範問題。

案件分析：本案中，消費者在辦理年卡時，野生動物世界告知購卡人需提供部分個人信息，未對消費者作出不公平、不合理的要求，此時郭某的信息知情權和對信息控制權並未受到侵害。郭某隨即依此作出真實意思表示，行使信息控制權，同意提供指紋等個人信息而成爲年卡客戶。據此，野生動物世界在經營活動中收集郭某指紋等個人信息的行爲並未違反前述合法、正當原則及規則的要求。

但是，野生動物世界在合同履行期間將原指紋識別入園方式變更爲人臉識別方式，要求收集郭某及其妻子的照片信息，由於指紋識別已經可以滿足對於入院人員身份的識別功能，故另行要求消費者提供額外生物信息超出了法律意義上的必要原則要求，不具有正當性。此外，此行爲屬於單方變更合同的違約行爲，店堂告示和短信通知的相關內容不構成雙方之間的合同內容，對郭某不具有法律效力，郭某作爲守約方有權要求野生動物世界承擔相應法律責任。

若在上述服務合同中，未約定指紋信息的採集，僅要求消費者提供一般個人信息，如姓名、出生日期等，那麼此時野生動物園是否有權主張郭某進一步補充生物信息的採集？

首先，根據合法原則，法律授權以外的主體即公園等公共場所，需經個人信息權人同意，纔有權收集（處理）個人信息。反之，未經當事人同意，公園無權對個人敏感信息進行採集，相應的只能依照既有約定採取覈對姓名等個人信息的方式進行身份覈查。

第二，即使當事人同意，個人信息的收集（處理）也應當符合必要原則。根據商業慣例和交易習慣，公園提供年卡服務通常要求合同相對方消費者身份明確，且在合同履行的過程中，公園僅針對合同相對方提供服務，即實名制辦卡、用卡，消費者不得進行轉讓、轉借、轉租等行爲。據此，爲保證對持卡者身份的有效識別，要求消費者提供可供識別的生物信息，則可根據個案認定是否具有必要性。例如，如客流量較大的公共場所，低效的查驗證件方式無法滿足身份覈查的需求，那麼經消費者同意，採取生物樣本作爲識別標本可認定爲具有必要性。再如，展銷會等低頻次活動，即使需要覈查參會者信息，由於活動具有爲年度或季度性，個人敏感信息的採集的必要性則需要進一步推敲。

四、關於合法原則的探討

在2020 年上半年，數家互聯網公司日以繼夜地工作，通過自己的數據和技術能力，給有關部門提供了大量的數據支撐，爲傳染源人員的篩查、追蹤、控制和隔離作出了巨大的貢獻。然而，在個人信息保護法理中，無論是收集信息還是改變信息使用目的，均需要有合法性基礎。

如何判斷數據共享行爲的合法性，換句話說，即使是無需個人信息權人同意仍有權收集（處理）信息的法律授權的主體，其法律授權範圍爲何？

對此，《網絡安全法》並沒有作出相應的答案；國家標準《個人信息安全規範》中關於同意的例外規定[18]對此有所回應，但是由於此規範沒有法律強制力，仍無法解決合法性欠缺的相關問題。然而，《傳染病防治法》和《突發公共衛生事件應急條例》[19]卻賦予了人民政府、衛生行政部門、疾病預防控制機構、醫療機構非常強的信息收集、發現的權利。據此，人民政府可以在“突發公共衛生事件應急預案”中將信息收集、發現的權力再次授權給相關部門、機構、組織，這其中就可能包括公安部門、基層一線工作人員；任何單位和個人均應該配合，包括相關信息的提供。基於特別法優於一般法原則，即使《網絡安全法》沒有相關規定，依據上述《傳染病防治法》和《突發公共衛生事件應急條例》，疫情期間的個人信息收集（處理）仍符合合法原則。

我國網民規模達8.54億，其中使用手機上網的比例達99.1%，手機和APP已成爲生活必備品。通過對相關軟件監控，有關部門、企業等可以獲得大量的個人信息，包括交易/支付信息、火車票/機票/汽車票等行程信息、住宿信息、行車/導航記錄信息、收貨地址信息等相關購物信息等。廣泛收集個人信息的背後，勢必存在一少部分的管理與使用不當等現象。對個人信息的保護不力將直接影響到後續信息採集過程中公衆、機構對採集方的信任問題導致效率、精度等下降。但由於法的滯後性，相關法律法規並未及時跟上技術的日新月異。我國尚未制定《個人信息保護法》，實踐中，相關機構、組織主要根據各領域相關法律法規中的概括性規定對個人信息進行收集（處理）。對於有權收集（處理）相關個人信息的明確主體、權力邊界、合法收集（處理）信息的手段、個人數據保護的方法、侵權救濟等一些列具體問題仍未得到明確的回應，立法實踐中可參考域外司法實踐的相關經驗並結合我國立法環境特點，頒佈實施《個人信息保護法》進行完善。

五、關於必要原則的進一步論述：存儲個人信息的必要性

兩個現象：

現象1：2020 年，新冠疫情全球肆虐，幸運的是我國採取了強有力的手段，迅速控制了各地的疫情，社會生活也隨之快速重回正軌。對於疫情控制十分重要的一項舉措就是個人信息的監控與追溯。無論是健康寶，還是每日體溫檢測都可以幫助有關部門迅速鎖定疑似病例，並採取有效的行動。然而，在我們配合體溫測量的同時，各種檢測方式對於個人信息採集的程度卻有所不同。如地鐵、火車等大型人口密集型場所採用的紅外感應測量無需覈對個人身份，僅需通行者通過指定閘門，即可獲得其的體溫信息；然而，多數辦公場所，則採取使用手持體溫計測量體溫，並進行相關信息的登記的方式（包括：姓名、身份證號碼、電話號碼、往來地址等信息）進行覈查。前者對個人信息的採集未同步存儲，而後者則具有存儲性質。

現象2：由於網絡交易的便捷性與經濟性，網購已經成爲了人們生活的一部分。但與此同時我們的個人信息卻一直被電商平臺收集、處理。例如，在使用淘寶等APP 檢索特定產品後，上述檢索的相關商品信息將自動推送。更有甚者其關聯 app 也會進行相關產品的推送。網絡用戶基於消費的需要，輸入商品的關鍵字，電商平臺有權基於本次消費者同意進行數據庫內商品檢索。但是，平臺是否有權對此數據進行存儲，並持續處理則仍需探討。（上述電商平臺的數據共享行爲，本節暫不做討論。）

筆者認爲，必要原則不僅侷限於數據是否採集以及採集的範圍，除此之外，對於所採集個人信息的處理時限、處理方式的認定也屬於必要原則的認定範圍。另外，收集（處理）的目的一旦實現，應當立即刪除收集（處理）的個人信息，這也是正當原則的要求。對於在個案中，個人信息採集是否需要存儲、存儲的時長等問題，應當根據具體情形作出認定。根據國家市場監督管理總局、國家標準化管理委員會2020 年發佈的GB/T 35273-2020《信息安全技術個人信息安全規範》，針對個人生物識別信息的收集，應單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和範圍，以及存儲時間等規則，並徵得個人信息主體的明示同意；對於生物識別信息的存儲，明確：第一，個人生物識別信息要與個人身份信息分開存儲；第二，原則上不應存儲原始個人生物識別信息，可採取的措施包括但不限於：僅存儲個人生別信息的摘要信息；在採集終端中直接使用個人生物識別信息實現身份識別、認證等功能；在使用面部識別特徵、指紋、掌紋、虹膜等實現識別身份、認證等功能後刪除可提取個人生物識別信息的原始圖像。上述新規提出了個人信息保護新思路，即採集與存儲相分離的模式，這能否爲個人信息安全繫上一道“鎖”，讓我們拭目以待。

六、結語

“中國人臉識別第一案”雖屬普通民事合同糾紛，但卻備受社會各界關注，顯然在大數據、人工智能、5Ｇ時代來臨的同時，對於個人信息安全保護人們產生了相應的不安、焦慮情緒。技術創新的本質在於改變生活方式，爲消費者提供更有效率、更愉快的消費體驗，但首要前提是不能突破法律的底線，消費者的合法利益可以得到全面、適當的保護。爲此，首先，立法者應當明確個人信息保護立法態度，制定特別法以此完善立法體系，爲信息採集者提供行爲規範，也爲個人信息權利人提供法律武器；第二，信息採集（處理）者也應設立相應的自我管控和審覈規範，在法律的紅線內，合法採集、處理用戶信息；第三，個人信息權利人更應提高權利意識，根據實際需求及必要性原則提供個人信息，切勿貪圖一時之便利盲目跟從，必要時應留存有關證據便於在權益受損時及時維權。也許“中國人臉識別第一案”能進一步喚醒社會大衆對個人信息保護之重視，警示信息收集者、處理者審慎使用生物信息，但個人信息保護之路仍將任重道遠。

注：

[1]我國《民法典》中規定具體人格權的條文均採用“某某權”之表述，而在《民法典》第1034 條中，卻採用了“個人信息”的表述。這表明，對於個人信息的定位係爲一種“受保護的人格法益”，尚未上升到“具體人格權”的高度。這意味着，在個案中認定加害行爲是否成立對個人信息（權）的侵害，須嚴格其構成要件，謹慎裁判。詳見《鍾秀勇講民法之精講》第五編第二章第十節，第584頁。

[2]《民法典》，第 1034 條。

[3]《民法典》，第 1035 條 第一款。

[4]《民法典》，第 1037 條 第一款。

[5]《民法典》，第 1037 條 第一款。

[6]《民法典》，第 1038 條 第一款。

[7]《民法典》，第 1038 條 第二款。

[8]《民法典》，第 1037 條 第二款。

[9]注：根據《民法典》第 1035 條第二款的規定，個人信息的“處理”包括：使用、加工、傳輸、提供、公開等。

[10]《民法典》，第 1035 條 第一款。

[11]一般信息，指不涉及自然人私生活祕密的信息。如姓名、出生日期、電話號碼等信息。敏感信息，指涉及自然人私生活祕密的信息。如基因、病例、財產狀況、性行爲等信息。相比於一般信息，敏感信息應當受到更高程度的保護。

[12]《民法典》，第 1035 條 第二款。

[13]《民法典》，第 1035 條 第三款。

[14]《民法典》，第 1035 條 第一款。

[15]《民法典》，第 1038 條 第一款。

[16]《民法典》，第 1038 條 第二款。

[17]《民法典》，第 1037 條 第二款。

[18]《個人信息安全規範》，第五條第六款。

[19]《中華人民共和國傳染病防治法》（2013年修訂）總則第十二條：在中華人民共和國領域內的一切單位和個人，必須接受疾病預防控制機構、醫療機構有關傳染病的調查、檢驗、採集樣本、隔離治療等預防、控制措施，如實提供有關情況。疾病預防控制機構、醫療機構不得泄露涉及個人隱私的有關信息、資料。衛生行政部門以及其他有關部門、疾病預防控制機構和醫療機構因違法實施行政管理或者預防、控制措施，侵犯單位和個人合法權益的，有關單位和個人可以依法申請行政複議或者提起訴訟。總則的這條規定，配合第三章“疫情報告、通報和公佈”中第三十二、三十三條要求疾病預防控制機構“應當主動收集、分析、調查、覈實傳染病疫情信息”等，以及第四章“疫情控制”中第三十九至四十一條要求醫療機構和疾病預防控制機構採取的措施，可以解釋成當：疾病預防控制機構、醫療機構爲了疫情管控，具備改變個人信息使用目的的法定授權。

《突發公共衛生事件應急條例》（2003年制定））第三章“報告與信息發佈”中的第二十一條：任何單位和個人對突發事件，不得隱瞞、緩報、謊報或者授意他人隱瞞、緩報、謊報。這條規定，配合第二章“預防與應急準備”第十、十一條中國務院和省、自治區、直轄市人民政府制定、實施“突發事件應急預案”，以及“突發事件應急預案”中應包含“（二）突發事件的監測與預警；（三）突發事件信息的收集、分析、報告、通報制度；（四）突發事件應急處理技術和監測機構及其任務”等內容的要求，再配合第四章“應急處理”第四十四條的規定：在突發事件中需要接受隔離治療、醫學觀察措施的病人、疑似病人和傳染病病人密切接觸者在衛生行政主管部門或者有關機構採取醫學措施時應當予以配合；拒絕配合的，由公安機關依法協助強制執行。可以解釋成：人民政府在突發事件應急預案中，可以將除了衛生行政機構、疾病預防控制機構和醫療機構之外的部門、機構、組織、個人納入，並賦予其信息收集。