隐私权保护：面部识别案后，怎样对个人信息乱用说“不”？

【编者按】近日，据多家媒体报道，上海、杭州、广州等地不再要求入住酒店强制刷脸。根据“上海酒店治安管理信息系统发布的提示”，禁止“强制刷脸”验证已提供有效身份证件的乘客。

这类城市的行政措施，无疑体现了我国个人信息保护的进步。但是，涉及到“面部识别”的乱用，只是许多隐私缺乏关注和保护的案例之一。“面部识别案第一人”、在“合理利用”个人信息的名义下，浙江理工大学政法学院特聘副教授郭兵指出， 当我们的个人权益受到侵犯时，甚至可能是“无感”的。郭老师提出，在起诉难、取证难、索赔难的背景下，有关部门应有效介入，充分发挥“公益诉讼”的力量。

国家互联网信息办公室于2023年8月发布了《人脸识别技术应用安全管理条例(试行)》(征求意见稿)。在保护公民个人信息安全的立法、执法和司法措施方面，我们有理由期望扩展到更具体的领域。今天，《互联网法律评论》转载了本刊特邀专家郭兵老师在“一席”上的演讲内容，提醒公众警惕个人信息的滥用，并依法与个人信息的滥用行为作斗争。

作为一名大学教师，我是郭兵，主要从事数据法学研究。与此同时，它也是一种数据法治。践行者。

我参与过很多与数字生活、个人信息有关的案件，有的是亲自提起诉讼，有的是提供法律支持。

在这些案件中，“人脸识别第一案”受到了最多的关注，我就是本案的当事人。

第一个人脸识别案例：真的胜诉了吗？

2019年10月17日，我偶然翻到杭州野生动物世界发来的一条短信，提醒我以后一定要通过面部识别进入公园，否则我的会员年卡就不能正常使用了。

看到这条短信我很生气，因为早在一年前，他们就需要年卡会员通过指纹验证才能进入公园。我不禁觉得野生动物世界收集敏感的个人信息越来越多。

为了找出他们为什么要通过面部识别进入公园，我亲自去野生动物世界核实情况。确认信息内容属实后，我问了工作人员三个问题:

首先，为什么要进入公园进行面部识别？工作人员敷衍地回答说，这是智慧景区的发展趋势。

另一个问题是，人脸识别技术是谁提供的？她们说：“帅哥，我只是个兼职，具体哪家公司我不知道。”

而且，我发现他们的员工居然直接用手机给年卡客户刷脸。对于这种方式的安全性，我表示怀疑：为什么员工可以用手机刷脸？

野生动物世界忽略了这三个与个人信息安全相关的问题。此外，公园也拒绝退还卡。因此，我选择了通过诉讼来维护自己的合法权益。

当时没有《民法典》，也没有《个人信息保护法》。我起诉的依据是《消费者权益保护法》和《网络安全法》。根据我掌握的证据和法律规定，我确定了八个方面的诉讼请求，可以概括为三个方面:

首先，要求法院确定强制刷脸的野生动物世界霸王条款无效。这些都是我起诉的核心诉求，因为它不仅维护了我的个人权益，而且间接维护了其它年卡客户的利益。

第二个诉讼请求是主张野生动物世界存在欺诈行为。野生动物世界告诉法院，我在办理指纹年卡的时候，已经同意通过拍照的方式为他们提供人脸信息，用于后面的人脸识别。

当时我才意识到，申请年卡的时候，有一个环节是拍照，但没想到他们的逻辑是——答应拍照，相当于答应收集人脸信息，用于人脸识别系统。

第三个诉讼请求是主张将我的个人信息删除在野生动物世界中非法收集。当然，我在这个诉讼请求中做了一些创新探索，可以说是世界级的创新探索。我主张法院支持在第三方专业机构的见证下删除我的信息。

本来以为这三个方面的诉讼请求在证据和法律依据上都是非常充分的，没想到法院也不支持这三个方面的诉讼请求。

在一审判决中，法院只支持支付我的部分合同利益，我亲自去野生动物世界了解刷脸造成的交通损失。

判决支持删除人脸信息，但不支持在第三方专业机构见证下删除，也不支持我的核心诉求。——强制刷脸的霸王条款无效。

二审法院的判决也不痛不痒，加强了删除办卡时提交的指纹验证信息。我继续向浙江省高级人民法院申请重审，因为我对一审和二审的判决表示不满。重审结果不支持我的申请。

我尽了最终的法律救济方式，向检察机关申请了民事审判监督，但最终检察机关作出了不支持监督申请的决定。

从2019年11月到2022年4月，野生动物世界的案件持续了两年半。很多人对这个案子的评价是“原告赢了官司”，但我从来没有觉得我在这个案子里赢了官司，因为我的核心诉求——确定面部识别入园的霸王条款无效，没有得到法院的支持。

令我惊讶的是，在野生动物世界案件二审判决的两个月后，最高人民法院发布了专门针对面部识别的司法解释，全面回应了案件诉讼过程中引发的诸多法律纠纷。

而且其中一个亮点就是确定公司不能强迫或者变相强迫使用面部识别。这是一个司法解释，我感到非常欣慰。

有关个人信息保护，什么叫“合理利用”？

司法解释颁布后的两个月，NPC常委会通过了《个人信息保护法》。这是中国第一部专门为个人信息保护而发布的重点立法。

该法对个人信息保护作出了比较系统的规定，同时也在很大程度上迎合了世界性的趋势——既要保护个人信息，又要合理利用个人信息。

“个人信息保护”和“合理利用”是一枚硬币的两面。当我们强调个人信息保护时，更突出的是它。私益特征；但是，在强调个人信息的合理利用时，是因为个人信息同样具有公益性。

就个人信息保护而言，最重要、最基本的就是保护我们的个人。知情权、决策权，也就是说，政府或企业在处理个人信息时，应得到个人同意。

因此，无论是企业还是政府的各种应用程序，都会有专门的隐私政策，隐私政策是履行个人信息权益保护的基本要求。

当然，《个人信息保护法》还确定，个人信息可以在不得到个人同意的情况下收集和使用，这就是我们所说的“合理利用”。

但是，在认定过程中合理使用很容易引起争议，也很容易导致个人信息被滥用。

《个人信息保护法》第十三条规定了合理使用同意豁免的相关规定，但如何定义“合理范围”？在什么情况下，政府或企业必须在不征得个人同意的情况下处理我们的个人信息？

在实践中，这引起了一些争议。

强制公开IP属地是否侵犯隐私权？

2022年3月，一名外国学校的学生向我发出咨询。他发现IP地址会显示在社交平台的评论下面，他觉得“这个功能会涉及隐私”。

这个问题就是IP属地的强制性公开，曾经引起了很大的讨论。

这一案件当然会有一个争议，那就是我们如何确定？ IP 属地，究竟是否属于个人信息。

然而，更多的争议在于合理使用。系统会说这是为了公共利益。强制公开IP属地可以起到监督网络暴力和网络谣言的作用。例如，网络暴力的受害者可以更方便地向IP归属地的监督机构报告情况。

然而，法律界对于公开IP属地是否能达到维护公共利益的目的，是否符合合理使用的标准有着截然不同的看法。

在课堂上，我和同学们讨论了这个问题。有同学认为平台的做法违反了《个人信息保护法》，于是向法院起诉了平台。目前，本案尚未得到最终司法认定。

健康码的信息何去何从？

除公司个人信息的合理利用会引起争议外，事实上，政府个人信息的合理利用也会引起争议。

2020年，中国第一个健康码诞生在杭州。健康码在收集和使用普通人的个人信息时引起了争议——政府能否直接处理这些信息，而不需要我们的个人同意。

2021年，《个人信息保护法》专门设立了一项规定，政府可以在不同意的情况下处理我们的个人信息，以应对突发公共卫生事件。

然而，今天，在疫情基本结束的阶段，健康码是否应该退出历史舞台仍然存在争议，健康码仍然存储着我们的个人信息。

不久前，广东省政府采取了一项先行措施，暂停了粤康码(广东健康码)的应用，并确切地承诺删除所有数据。

遗憾的是，广东的做法并未得到其它省份的积极回应。我们的个人信息仍然存储着，也可能被使用。

由于存在许多不透明的情况，政府或企业对个人信息的合理利用，此时将引起质疑：政府或企业是否以“合理利用”的名义滥用我们的个人信息？

“暗网”个人信息

正是在这种质疑声中，我发现在个人信息的合理利用名义下，存在着一个系统化的巨大暗网。这个暗网可能会直接影响我们的个人利益，甚至可能在没有感觉的情况下，要求我们所有的存款。去年，我接触到了一系列的银行App面部识别偷窃案件。在这一系列案件中，仍然有许多受害者。这些银行储户被海外犯罪分子伪造了人脸信息，在没有任何感知的情况下偷走了账户上的所有资产，最多达到几十万。

目前，这些储户正在向银行索要一个声明，其中一些已经通过司法手段维护了自己的权益。然而，在这种情况下，法院构成了两种完全不同的观点，一种是认为银行没有责任，另一种是认为银行有过错。

这个暗网当然不会给个人造成更多的直接损失。即使有明显的个人信息泄露，很多个人对此仍然没有感觉。

不久前，一些官方媒体报道了一个令人震惊的新闻事件——在黑暗的网络上，国内物流电子商务领域有45亿条个人信息被交易。一些专门的网络安全专家证实，这是一起真正的泄露事件。

面对公众的质疑，一些上市快递公司迅速做出回应，称经过内部核实，信息没有泄露。客户无法判断是否有泄露。

此时，政府有关部门是否会及时介入，是否会对其进行监督、执法和追究？我们发现，事实上，在很多数据泄露事件中，控制也存在着缺位的情况。

更加令人遗憾的是，对于这种大面积的个人信息权益受到损害的事件，公众通常是沉默的。

这种沉默的背后是个人信息权益保护经常面临的问题——个人信息权益的侵害通常是大规模的，但造成的损失通常是“小伤害”，很难直接确定损失，所以公众没有维权的动力。

当然，也有少数人会选择打破这种沉默，根据《个人信息保护法》等法律维护自己的合法权益。事实上，当他们维护自己的合法权益时，他们也间接地保护了其他权益受损的个人。

这些打破沉默的少数个人在诉讼过程中会一帆风顺吗？在《个人信息保护法》全面保障个人信息相关权益时，会不会很容易打赢诉讼？

事实上，个人诉讼面临着一系列挑战。

面临侵权，即使个人提起诉讼，法院也可以以各种理由驳回诉讼，或者不支持诉讼，不予受理，不予立案。

除了起诉难，个人信息诉讼也将面临取证难。与大型平台和政府相比，客户无法掌握技术原理，只能看到一些表面的侵权行为。背后有一个非常严重的信息不对称。

我们肯定会再次面对索赔难，因为损失无法确认。即使我们保留了有效的证据来证明我们的损失，法院最终也可能以法律纠纷为由驳回相关诉讼请求。

一个非常重要的原因是原告和被告之间的力量对比非常不同。因为他们有专门的法律团队，无论是大型平台还是政府，个人只能独自战斗。

所以，顾客作为原告获胜的可能性实际上是很低的。此时，司法救济制度十分重要，公益诉讼应该出场。

公益诉讼是国家专项力量保障涉及大量个人权益的一种方式。它与我们刚才提到的个人发起的公益诉讼形成了两种不同的力量，对维护个人信息权益有很大的帮助。

根据法律规定，检察院、法律规定的机关和组织可以提起个人信息保护领域的公益诉讼，以维护集体利益。

能否完全依赖“公益诉讼”？

让我们看看一些个人信息保护的公益诉讼案例。

2017年，江苏省消费者权益保护委员会对百度的过度索权发起公益诉讼。

经过专业评估，消费者保护委员会发现百度的两个应用程序收集了太多个人信息。他们和百度谈判，但百度拒绝整改，所以消费者保护委员会提起了诉讼。

起诉后，百度回应了消费者保护委员会提出的问题，调整了两个应用程序中收集过多的方式。最后，在科学确定下，消费者保护委员会撤回了诉讼。

2018年，浙江也发生了许多行政公益诉讼“第一案”。

通过专业第三方调查，浙江省宁波市海曙区检察院发现大量广告推广骚扰电话。他们发现，根本原因是监管机构未能及时履行法定职责，并对相关电信机构进行监管和调查。因此，海曙区检察院提起了个人信息保护行政公益诉讼，督促监管机构履行法定职责。

在绍兴诸暨市，房地产公司与中介机构合作不当，通过转移购房者个人信息不断制造骚扰电话，引起了当地检察机关的重视，督促当地监管机构履行职责。

但是，《个人信息保护法》颁布后，个人信息保护公益诉讼的效果是否会有很大的提高？

事实上，从我的观察来看，无论是广度还是深度，都有许多优化空间。

前不久，经过专业评估，中国网络空间安全协会对几家大型电商平台进行了个人信息保护评估，发现仍有一些电商平台非常不正当地要求我们的个人信息相关权限。

其中一个电子商务平台位于江苏，索要地点权限的次数达到1199次。事实上，这一结果可以完全触发公益诉讼，但到目前为止，我们还没有看到有公益诉讼的相关部门及时介入。

事实上，这表明我们提出的公益诉讼仍然会失明，这意味着个人仍然必须对周围发生的个人信息滥用行为说“不”。

怎样说不？

对于没有法律基础的个人来说，打破沉默意味着我们应该有这样的想法。当你明显遭遇个人信息侵权时，我们应该及时向政府和企业反馈。最简单的判断标准是，如果一个App在收集个人信息的过程中没有隐私政策，那么个人信息肯定是没有保护的。

当然，对我们的法人来说，我们的责任比较大，应该通过法律手段来维护我们的权利，坚持依法更加严肃。

通过司法诉讼，我们也可以通过行政复议、行政投诉等方式进行法律救济，而不一定都是通过司法诉讼。而且在我们目前的司法环境下，通过诉讼来维护自己的权益，往往具有间接的公益效应。

一群挑战大厂的年轻人

因为“人脸识别第一案”，我经常收到各种朋友的咨询。有网友会从全国各地联系我，给我发邮件，问我很多互联网领域的新侵权案件，让我觉得不可思议。大学法学生也为我提供了一些互联网相关的违法线索，影响了大多数人的权利。

她们经常问我，郭老师，这种行为是否涉及到个人信息权益的损害？你能处理好这个问题吗？

说实话，我自己的精力也是有限的。我不能通过诉讼来维护他们提出的所有问题的权益，也没有那么多精力去反馈给企业和政府。

所以，在野生动物世界案一审之后，我萌生了一个想法，能否组织我的学生，共同为大家遇到的因特网侵权问题提供帮助。

后来在学校的支持下，在浙江理工大学，我们建立了网络法律援助中心。支援中心的同学们做了许多工作，也通过个人的力量发起了一些公益诉讼。

最有趣的诉讼之一是社交平台上个性化广告推荐的案例。在2021年《个人信息保护法》实施之前，平台有这样一个要求，你可以关闭个性化广告，但6个月后会自动恢复。

一个朋友问我，郭老师，这个平台不是侵权吗？我们刚才说过，个人信息保护最基本的权利之一就是获得同意的权利。为什么6个月后不经我同意就恢复了？

我把这个问题交给了学生。经过讨论，他们觉得平台的做法不符合法律要求，也不符合知情同意的要求，于是向法院起诉了这个平台。

当然，这些大二学生在诉讼过程中会面临很多挑战，因为他们以前只学过课本上的法律，但在实践中会遇到很多新的问题。

例如，在立案阶段，三名学生在江苏、浙江和上海提起了个性化广告推荐诉讼。对于江苏和浙江的学生，法院告诉起诉的学生，你不应该在自己的地方，而应该在这个平台的地方起诉，理由是这不是侵权纠纷或合同纠纷。这两个学生感到不知所措。

幸运的是，在上海起诉的学生相对顺利，法院立案。但立案后，平台立即利用专业法律力量与法院协商，称此案不应在原告所在地，而应以与江苏、浙江法院相同的理由到达平台所在地。然而，上海法院最终没有支持平台管辖异议的观点。

也许平台也意识到，如果法院一直在审理这个案子，就会败诉，所以很快调整了6个月强制恢复的功能，变成——只要关闭，除非你卸载了这个App重新安装，否则会继续生效。

除了这样一个成绩好的案例，我们还有一些公益案例没有达到预期的效果。比如商场用人脸识别技术注册AI会员，刚才提到的IP属地保护案例。

除了案例，我们现在正在做一些更有意义的事情。个人信息保护最基本的要求之一是，企业和政府都应该告知我们收集和处理个人信息的相关政策。

然而，我们会发现很难真正实现知情同意——因为我们不知道我们同意了什么。当我们使用这些应用程序时，我们通常会有非常紧张的时间，所以我们想快速注册。

现在支援中心的同学们正在做的一件事就是向公众揭示“我们到底答应了什么”。

我们收集了一些常见的公司和政府平台的隐私政策，然后公开，这是一种“存储证据”。这样可以防止一些政府或企业在滥用个人信息引发争议时悄悄改变隐私政策。

支持中心的学生在经历了一些法律实践后，发现课本上的法律和实践中的法律有区别，也会有一定的挫败感。希望他们在经历了各种实践的波折之后，依然能够坚持法治的理想，这其实是我们法人的初衷。

在这个时代，争取权利需要更多的勇气、信念和技能。在数字时代，拥有大数据等技术赋能的平台、公司、政府的权力越来越强。作为技术的“外行”，争取个人信息保护等权利会更加困难，但也会更加珍贵。

谢谢大家。

作者：郭兵

网络法律评论特邀专家

浙江理工大学法政学院特聘副教授

【免责声明】本文仅代表作者个人观点，与本平台无关。本平台对本文的阐述和观点判断保持中立，不为所包含的内容的准确性、完整性或可靠性提供任何明确或暗示的保证。

本文来自微信微信官方账号“Internet Law Review”（ID:Internet-law-review），作者：一个YiXi，36氪经授权发布。

本文仅代表作者观点，版权归原创者所有，如需转载请在文中注明来源及作者名字。

免责声明：本文系转载编辑文章，仅作分享之用。如分享内容、图片侵犯到您的版权或非授权发布，请及时与我们联系进行审核处理或删除，您可以发送材料至邮箱：service@tojoy.com