“刷脸第一案”在杭州开庭

6月20日，济南著名的泉水旅游老街曲水亭街上，公厕安装了免费刷脸取纸机。“刷脸”日益普及，在方便人们生活的同时，却也引发对个人敏感信息被泄露或滥用的忧虑 人民视觉供图

　　因为被“强制”要求采用“刷脸”方式入园，动物园年卡办理者郭兵在协商不成的情况下，以服务合同违约为由，将杭州野生动物世界告上法庭。因为案件涉及是否过度采集公民生物特征信息等话题，引发广泛关注，被舆论称为“刷脸第一案”。近日，该案在杭州市富阳区人民法院开庭审理。

　　庭审现场：单方面改变入园方式是否违约

　　6月15日，杭州市富阳区人民法院一审公开审理了原告郭兵诉杭州野生动物世界有限公司服务合同纠纷一案。

　　本案原告郭兵诉称，2019年4月他在杭州野生动物世界办理了一张年卡，通过验证年卡和指纹，可在一年内不限次数入园游玩。

　　2019年10月，被告杭州野生动物世界通过短信告知郭兵，“园区年卡系统已升级为人脸识别入园，原指纹识别已取消，即日起，未注册人脸识别的用户将无法正常入园”。

　　对此，郭兵认为面部特征等个人生物识别信息属于个人敏感信息，一旦泄露、非法提供或者滥用，将极易危害包括原告在内消费者人身和财产安全。他表示，仅凭一条短信通知就要求更改入园方式，按照合同来说是一种“单方变更”。

　　郭兵说：“我一开始协商的要求是退卡，但园方的‘一问三不知’让我觉得有必要‘较这个真’。”

　　原告代理律师、浙江垦丁律师事务所主任张延来表示，本案原告共有8项诉求，其中包括确认多项告示、通知内容无效；退还年卡费用1360元；第三方见证下删除原告个人信息等。

　　庭审现场，双方辩论焦点集中于搜集的人脸等生物特征信息，是否符合法律法规要求；有无做到充分告知，及征得用户同意等。

　　记者联系了被告方——杭州野生动物世界。

　　动物世界方面书面回复表示，园方留存生物识别信息的目的，仅在为年卡客户提供入园验证时使用。园区每一次升级都是以优化年卡客户服务体验为出发点。同时他们表示，原告郭兵在办理年卡初期，以及后续前往咨询的时候，对于园方提供的快速验证入园方式均表示认可，园方也已向法院提供了相应的证据和视频。

　　园方还表示，因为原告方已经凭卡入园游览多次，因此不能接受退还全款的诉求。

　　本案经过4个多小时庭审，并未当庭作出判决。

　　案件内外：隐私保护成焦点，信息安全引担忧

　　类似郭兵的对可能过度收集信息的质疑，对个人信息可能泄露的担忧，已成为当下全社会关注的焦点。

　　实际上，针对生物特征信息采集储存，我国已对个人信息安全规范等做了具体规定。例如个人生物特征信息属于敏感信息，要求个人生物识别信息要与个人身份信息分开存储；原则上不应存储原始个人生物识别信息，可采取的措施包括但不限于：仅存储个人性别信息的摘要信息等。

　　一位不愿透露姓名的网络安全业内人士解释：“通俗说，分开储存目的在于避免一一对应，造成信息整体泄露；不储存原始数据指的是对图像等进行摘要化处理，仅用于实现点位的识别功能，而不是完整储存图片。”

　　这位专家坦言，一些大企业能较好遵守这一规范，因为信息储存越多、越精准，对企业而言是一件“担风险”的事情，一旦泄露得不偿失。但近几年，人脸识别设备应用场景广泛铺开，硬件企业和服务商鱼龙混杂，不排除有一些没有能力资质的企业存在。“所谓的保管也许只是一个简单的本地数据库而已。”

　　与此同时，某些不法分子、数据黑灰产经营者，为了通过实人认证，达到注册虚假账号或者直接侵犯他人账号的目的，需要相应的人脸信息，这样的需求在国内已催生出一定规模的“过脸产业”。

　　“人脸信息泄露后，不法分子可以通过软件合成，将照片制作成动图，按照相应登录软件规定程序，图片可以完成点头、眨眼等认证动作，顺利通过部分软件的人脸认证。甚至有部分人脸信息卖家声称‘包过’。”网络安全公司奇安信副总裁左英男表示，在目前的技术条件下，个人生物特征信息泄露可能造成不小的风险。例如被不法分子利用，直接攻破一些识别系统，如被打印照片“欺骗”的储物柜；又如“换脸”滋生侵犯他人名誉、伪造他人证件等违法犯罪活动。

　　“随着技术进步，未来……我们所面临的风险，不仅仅是虚拟世界被入侵，而是现实生活中被冒充。”左英男说。

　　争议背后：个人隐私保护意识进一步提升

　　虽然此案还未宣判，但部分受访法律界人士认为，这一个案具有重要意义。

　　北京大学法学院教授薛军表示，这一案件从一个侧面折射了公民隐私保护意识的提升。“未来的判决结果，可能将进一步提示相关企业，收集包括人脸在内的敏感个人信息，其行为正当性的边界应该在什么地方；收集主体有哪些权限；怎样对用户进行充分告知，并且尊重用户选择等。”

　　张延来认为，在现行法律法规体系下，指纹、人脸等个人生物特征信息，在搜集使用的边界层面已经比较明确。“比如网络安全法、消费者权益保护法、电子商务法中，对采集信息合法性、正当性、必要性三原则的规定都是高度一致的。即将施行的民法典，也专辟一章规定公民信息保护。未来法律上将不存在模糊地带。”

　　“我不觉得自己是一个技术上的‘保守者’，但是我面对类似人脸识别的技术创新时，往往会多问几个为什么。”身为高校法学院副教授的郭兵表示，这一案件可能也是一堂生动的法律课，“让我和更多人进一步思考，如何在应用场景中，更好地实现个人敏感信息的使用和保护。” （新华社）