作者：余嘉美、艾勇陶、张之锦

“他来听我的演唱会，门票换得手铐一对”。2018年张学友的演唱会上接二连三抓到逃犯，除了归功于歌神的魅力，我们更要感谢另一幕后功臣----人脸识别技术。简单来说，人脸识别技术是一种基于人的面部特征，自动进行身份识别的一种生物识别技术，现已在各个领域被广泛应用，从国际上的反恐到国内的刑侦，从普通市民出入国境、乘坐飞机及高铁，到普罗大众每天都使用的手机解锁及APP进行支付，人脸识别已经不知不觉地渗透在我们生活的各个环节中。那么，值得思考的是，人脸识别技术的使用是不是毫无边界、不受约束呢？

(一) 人的面部特征属于个人信息，且是个人敏感信息

根据《中华人民共和国民法典》（“《民法典》”，由全国人民代表大会于2020年5月28日发布，自2021年1月1日起施行），个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。根据《信息安全技术 个人信息安全规范》（中华人民共和国国家标准（GB/T 35273-2020），自2020年10月1日起实施），个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息，其中包括个人生物识别信息。个人生物识别信息指的是个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等个人身份信息[1]。

值得注意的是，虽然《信息安全技术 个人信息安全规范》只是国家推荐标准，并不具有法律强制性，但该标准里规定的个人信息保护的内容参考了部分发达国家的立法。我们预期，在不久将来出台的《个人信息保护法》很可能被采纳该标准里的一些原则及内容。所以，我们认为，人脸识别使用的合规性，除了需要符合法律法规，还要符合上述国家标准，基于这一理由，企业应当对《信息安全技术 个人信息安全规范》给予充分重视。

实际上，人脸识别技术的使用并非毫无边界，至少目前，该技术的使用不得违反个人信息保护的法律规定。

(二) 使用人脸识别技术收集个人信息需遵守的原则

根据《民法典》，处理个人信息，有下列情形之一的，行为人不承担民事责任：（一）在该自然人或者其监护人同意的范围内合理实施的行为；（二）合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外；（三）为维护公共利益或者该自然人合法权益，合理实施的其他行为。

可见，使用人脸识别技术收集个人信息的合法性可以建基于：（1）征得当事人的授权同意的法律基础；（2）征得当事人的授权同意以外的法律基础。

(三) 征得当事人的授权同意的法律基础

《信息安全技术 个人信息安全规范》对控制者收集个人信息时的授权同意作出以下规定：（1）收集个人信息，应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则，并获得个人信息主体的授权同意；（2）收集个人敏感信息前，应征得个人信息主体的明示同意，并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示；（3） 收集个人生物识别信息前，应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围，以及存储时间等规则，并征得个人信息主体的明示同意……

可见，该标准对于数据管理主体收集个人敏感信息及个人生物识别信息时，对取得信息主体的授权同意的要求比控制者收集一般个人信息时取得信息主体的授权同意要求更为严格。

(四) 征得当事人的授权同意的例外情形

《信息安全技术 个人信息安全规范》对征得当事人授权同意的例外规定了11种情况，其中包括：（1）与个人信息控制者履行法律法规规定的义务相关的；（2）与国家安全、国防安全直接相关的；（3）与公共安全、公共卫生、重大公共利益直接相关的；（4）与刑事侦查、起诉、审判和判决执行等直接相关的（5）出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的。

可见，在生物特征信息的收集及使用方面，在很大程度上，个人信息的保护需要向国家利益及社会公共利益作出让步。

以下我们将通过列举一些常见的使用人脸识别场景的例子，来进一步探讨。

1、 强制应用场景

政府为了反恐及保障国家安全，在出入境管理的环节会使用人脸识别技术来识别出入境人士的身份。人脸识别系统能够在照片、视频或实时监控系统中识别特定个人，如果发现可疑人士，会及时通知执法人员采取行动。此场景下使用人脸识别技术的目的是保障国家及民众的安全。

此外，现今的长途客运站、火车站等公共场所及重要出入口大多装置了CCTV监控系统，能够定位和储存人脸,已经成为刑侦工作中采用的重要技术,有效打击犯罪,维护城市秩序。

以上场景中，个人生物识别信息的采集和使用与国家安全及公共安全直接相关，根据《信息安全技术 个人信息安全规范》的规定，无需取得信息主体的同意便可收集。

但需要注意的是，基于上述公共利益需要收集的数据不得用作商业用途，并且亦需符合合法、正当、必要的原则，对于信息的采集、使用、储存等都应当有严格的要求及保障措施。

2、 同意后应用场景

除了公权力基于保障国家安全，维持社会治安而使用人脸识别技术之外，我们应该早已察觉，人脸识别已经渗透在我们日常生活的许多环节中。

智能设备解锁：我们的手机、电脑及平板电脑存储着大量重要的个人信息。过去，比较常用的是密码解锁，后来演变为指纹解锁，现今已演变到人脸解锁，即通过摄像头识别人脸，如果人脸与预先设定的身份认证信息相匹配，用户便可登入设备。

虚拟支付：大家还记得人民币长什么样子吗？现代生活中使用现金的机会越来越少，手机支付的方式越来越流行，无论是网购还是到实体店消费，大家都倾向使用手机支付。过去，比较常用的是密码验证的方式支付，目前支付的验证方式已经引入了人脸识别技术，刷脸就可付钱。

无疑，使用人脸识别技术来解锁电子设备或支付，会大大提高安全性，但不代表电子设备或支付公司可以以此为由，不受约束地收集信息主体的生物识别信息。如果人脸的收集不符合《信息安全技术 个人信息安全规范》中所提及的征得当事人授权同意的例外情形（例如为了国家安全、公共安全、公共卫生等原因），则需要在取得信息主体的明示同意后，才能使用人脸识别技术。

科技发展日新月异，时代的步伐从未停歇，但在追求技术的同时，人们也希望公民个人权益不被侵犯，个人信息不被过度索取。在维护社会安全的同时，也希望个人信息能够得以保障。2020年6月，被称为“中国人脸识别第一案”的郭兵与杭州野生动物世界有限公司服务合同纠纷案件在杭州市富阳区人民法院公开审理。对于人脸识别而言，我们认为除了享受科技带来的社会效率提升之外，各界需要花更多时间关注及讨论如何平衡隐私保护问题。

[1] 目前生效的《信息安全技术 个人信息安全规范》（中华人民共和国国家标准（GB/T 35273-2017）,自2018年5月1日起实施）对个人敏感信息以及个人生物识别信息有同样规定。