浙江理工副教授郭兵：我為什麼推動「人臉識別」入法

10月28日，《杭州市物業管理條例（修訂草案）》開始公開徵求意見。「修訂草案」中新增了一款規定，物業服務人員不得強制業主通過指紋、人臉識別等生物信息方式使用共用設施設備。提出這條建議的，是浙江理工大學特聘副教授郭兵。

10月28日，《杭州市物業管理條例（修訂草案）》（以下簡稱「修訂草案」）被提請至杭州市第十三屆人大常委會第三十次會議審議後，開始公開徵求意見。 

「修訂草案」第四十四條企業義務條款中新增了一款規定，物業服務人員不得強制業主通過指紋、人臉識別等生物信息方式使用共用設施設備。 

如果該規定最終付諸實施，將成為全國首部將小區人臉識別納入物業管理的法定條例。 

提出這條建議的，是浙江理工大學特聘副教授郭兵，他研究個人信息保護的法律問題多年。 

他還有另外一個身份一一「國內人臉識別第一案」主訴人。去年，他因杭州野生動物世界年卡由指紋識別「強制」升級為「刷臉」入園，將動物世界訴至法院。 

有網友評論說郭兵太「較真」，他卻認為這是值得較真的事兒，推動立法規範人臉識別，「不只保障了我個人的權益，也保護了其他人的個人信息權益」。 

「全國第一個吃螃蟹的」 

新京報：10月9日，杭州市司法局組織召開了對「修訂草案」的立法聽證會，你提出了哪些意見？ 

郭兵：這份條例里很多規定其實已經比較完善，在一定程度上也體現了杭州物業管理數字化轉型的特點，但對於業主個人信息保護的規定，一字未提。 

聽證會前，我準備了一份5頁的書面意見，其中重點強調了修訂草案在業主隱私權和個人信息保護制度方面的明顯不足。聽證會上，我是第一位發言的陳述人。我提出最核心的問題，就是當前不少小區、物業強制安裝了人臉識別門禁設備，引發了很大爭議。 

對此，我認為有必要在修訂草案中加強對業主生物識別信息(尤其是面部特徵信息)的保護，防範業主委員會、物業服務人的違規操作。建議在修訂草案第13條「禁止授權事項」中增加 「通過收集業主生物識別信息（包括指紋、聲紋、掌紋、耳廓、虹膜、面部特徵等）的方式使用共用部位、共用設施設備」 的規定；在修訂草案第42條「企業義務」中增加 「不得強制業主通過收集生物識別信息的方式使用共用部位、共用設施設備」 的規定。 

新京報：這些意見和建議被採納了嗎？ 

郭兵：我提出的這些建議能不能被採納，當時也沒底。直到杭州人大公布新版《杭州市物業管理條例（修訂草案）》，一個朋友轉發給我，我看到第四十四條企業義務條款中新增了一條規定，即「不得強制業主通過指紋、人臉識別等生物信息方式使用共用設施設備，保障業主對共用設施設備的正常使用權」。 

當時挺興奮的，挺意外的，雖然我提出的幾條意見，最終只保留了這一條，能不能通過人大審議還不確定，但將不得強制收集業主的生物信息這一條明確放進草案里，已經是很大的進步了，可能在全國都已經是第一個吃螃蟹的了。 

新京報：其他人對這一規定怎麼看？ 

郭兵：每個人的立場不一樣，看法也不同，可能跟自身的法律意識和權利意識有一些關係。我身邊的朋友很多都比較關注個人信息的安全風險，特別是學過法律的朋友。「修訂草案」增加了對人臉識別的規定後，他們大部分都認可這一條規定是對業主權利的保障，畢竟有了權利，個人可以行使也可以放棄。 

也有人提出了不同意見，他們從管理和便利的角度認為，人臉識別技術提供了便利和安全，特別是在打擊違法犯罪方面非常有效。如果一個被通緝的逃犯想進入小區，一旦被刷臉設備掃到，可能也更加容易被發現。 

但在我們看來，這說明哪怕你選擇不用人臉識別的驗證方式進入小區，還是會被收集面部特徵信息，這非常讓人擔心。 

10月28日，《杭州市物業管理條例（修訂草案）》（以下簡稱「修訂草案」）被提請至杭州市第十三屆人大常委會第三十次會議審議後，開始公開徵求意見。 

人臉識別技術背後的信息黑箱 

新京報：人臉識別技術帶來的便利性和潛在風險應該怎麼看？ 

郭兵：人臉識別技術確實為數字化生活帶來諸多便利。但它可能存在的風險隱患也不能迴避，特別是這兩年，人臉識別應用越來越多。 

一些需要「刷臉」驗證的場景，如高鐵安檢，這屬於公共安全領域，必須配合。入住酒店時在身份證件驗證時，酒店工作人員明確說明這是治安方面的要求。 

而在一些生活工作中，人臉識別技術明顯被濫用，比如進出公司、小區必須刷臉，這肯定有點過頭了，這是否應該屬於公共安全的範疇，是有一定爭議的。超市開通了刷臉支付，我就從來不會使用。 

我最擔心的是人臉識別信息的安全問題。之前已有相關犯罪案件發生，在當事人不知情的情況下，數以千萬計的人臉信息數據被售賣；有些不法人員盜取面部特徵信息，騙過了金融機構的支付系統；手機上一些換臉的軟件的興起，收集人臉信息後，他們可能利用深度偽造的技術，通過淫穢色情等不法方式利用面部特徵信息，從而損毀個人名譽，造成很惡劣的影響。 

新京報：你什麼時候開始關注到人臉識別應用潛在的風險性？ 

郭兵：一開始倒不是特別關注人臉識別。最近幾年，我一直在關注和研究隱私保護相關的法律問題，之前關注更多的是隱私保護問題，現在則更注重個人信息的安全問題。隨着信息網絡技術的不斷發展，個人信息的範圍也在不斷動態變化。 

不同的個人信息，它可能存在的安全風險不一樣。對於個人信息保護的問題，在我們討論或者研究的過程中也越來越細化。 

普通的、相對不那麼敏感的個人信息，比如姓名，它的風險級別很低。現在常見的個人信息驗證方式中，指紋識別與人臉識別風險更高。當然，同樣是敏感個人信息，人臉識別所使用的面部特徵信息，比指紋潛在的風險又要大得多。 

我們甚至可能在不知情的情況下，就被各種掃描、識別或保存了面部信息。它就像有一個黑箱在那裡，你根本就不知道，這些敏感的個人信息將被如何保管，被如何使用。 

「當前立法暫未明確規範人臉識別」 

新京報：當前我們國家在法律法規上對人臉識別的規範如何？ 

郭兵：2020年10月1日正式實施的《信息安全技術個人信息安全規範》明確提出，「在收集個人生物識別信息前，應單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和範圍，以及存儲時間等規則，並徵得個人信息主體的明示同意。」 

這個文件對個人信息保護做出了更加細化、針對性的規定，包括對生物識別信息等敏感的個人信息，也給出了具體的指導意見，「個人生物識別信息要與個人身份信息分開存儲；原則上不應存儲原始個人生物識別信息，可採取的措施包括但不限於：僅存儲個人生物識別信息的摘要信息；在採集終端中直接使用個人生物識別信息實現身份識別、認證等功能；在使用面部識別特徵、指紋、掌紋、虹膜等實現識別身份、認證等。」 

但這個文件只是個國家標準，不具有強制性法律效力。 

今年5月28日審議通過的《民法典》中，包括人臉識別使用的面部特徵信息在內的個人生物識別信息被明確納入個人信息範疇，受到法律保護。 

10月剛剛公布的《個人信息保護法（草案）》相對於之前的《民法典》、《網絡安全法》等立法，又有了一定進步。其中規定，「基於個人同意處理敏感個人信息的,個人信息處理者應當取得個人的單獨同意。法律、行政法規規定處理敏感個人信息應當取得書面同意的，從其規定。」「個人信息處理者處理敏感個人信息的,除本法第十八條規定的事項外,還應當向個人告知處理敏感個人信息的必要性以及對個人的影響。」 

但不論是已經出台的《網絡安全法》和《民法典》，還是剛剛公布的《個人信息保護法（草案）》都沒有進一步就人臉識別作出具體的、針對性的規定。 

而且特別有爭議的是，《個人信息保護法（草案）》中規定「在公共場所安裝圖像採集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,並設置顯著的提示標識。」這一規定並未對公共安全進行具體界定，很可能導致實踐中普遍使用人臉識別技術的企業都繼續會打着公共安全的旗號使用刷臉技術，從而導致公共安全的泛化。 

建議對強制人臉識別說「不」 

新京報：你認為，哪些人臉識別應用場景是不合法合規的？ 

郭兵：今年8月，我們小區物業通知要開始安裝「刷臉」門禁設備。我認為小區物業這一做法違規了，他們並未事先徵詢業主意見。 

我之前也是小區業主委員會的副主任，想着直接和物業這邊的負責人進行溝通效果會更好一點，因此我將強制業主使用「刷臉」設備的法律風險跟他們做了說明。最近安裝「刷臉」設備後，不做強制要求，保留了刷卡、「刷臉」兩種進入小區的方式，供業主選擇。 

但前幾天在我刷卡進入小區時，無意中發現刷臉設備屏幕右下角有我幾年前在物業辦卡時拍的照片，這台設備直接對我進行了人臉掃描，並且顯示了我的健康碼信息，發出了驗證通過的語音提示。 

這明顯是在未徵得我同意的前提下，使用了我的人臉信息，本質上還是強制「刷臉」。 

還有一個，去年10月17日，我收到杭州野生動物世界的短信通知，「園區年卡系統已升級為人臉識別入園，原指紋識別已取消，即日起，未註冊人臉識別的用戶將無法正常入園。」 

我認為，動物世界在更新年卡辦理流程和使用說明時，並未就提供人臉識別信息一事徵求過年卡用戶的意見，只是通過短信告知的方式強制遊客提供，具有「霸王條款」的性質。也是強制「刷臉」。 

新京報：遇到強制「刷臉」時，你會怎麼處理？ 

郭兵：有一些明顯侵權的強制「刷臉」場景，我會進行必要的取證。很多情況下，我是通過電話或者網上投訴的方式尋求解決，雖然這種投訴效果並不明顯。 

我也提起過一些訴訟。去年，我和杭州野生動物世界在協商無果後，將動物世界訴至法院。今年6月15日，富陽區人民法院開庭審理了，現在還沒出結果。 

最初我提出的訴訟請求是由動物世界退還年卡費用並承擔本案訴訟費。案件受理後，我將訴訟請求增加了6條，包括：確認年卡辦理及使用相關告示中關於指紋及人臉識別的部分內容無效。這都與每一位動物世界年卡用戶的個人信息權益相關。 

新京報：這個案子被稱為我國人臉識別第一案，它的特殊性在哪裡？ 

郭兵：這個案件確實是因為商家強制「刷臉」引發的爭議，是國內人臉識別商業化應用所引發的第一起民事糾紛。我最初的初衷是希望檢察機關能夠提起公益訴訟，維護更多的遊客或消費者群體的個人信息權益，因為這不僅僅是我一個人權益受到侵犯的案件。 

新京報：被要求「刷臉」時，我們可以做什麼？ 

郭兵：人臉識別應用有很多值得關注的法律問題，值得去較真。這次杭州通過立法有意規範物業管理領域人臉識別的技術應用，是一個進步；而更廣泛領域的人臉識別技術應該的規範問題，只能交給以後的立法作進一步完善。 

對於人臉識別，我們需要做的是謹慎使用。我本身從事法學教育和研究工作，安全風險意識相對高一些。許多人可能還是沒有個人信息安全意識，我認為首先要看它是不是公共部門直接推動的應用場景，對於小平台和手機上的小應用，要謹慎又謹慎，遇到強制「刷臉」，一定要維權。就像有學者指出的，人臉信息一旦泄露就是終身泄露。等到風險大範圍產生時，再去挽回可能已經挽回不了了。 

現在國內很多學者和老百姓都站出來，對遭遇到的強制「刷臉」提出質疑，維護自己合法的個人信息權益，很多的媒體也在揭示相關的風險，這是非常好的現象。大家一起努力，肯定能促進人臉識別技術應用的規範化。

（全文轉自微信公眾號剝洋蔥people，原標題為：「人臉識別第一案」主訴人郭兵：我為什麼推動「人臉識別」入法）