刷脸侵害隐私 司法保障仍不足

人脸辨识涉及隐私，司法保障仍有不足。图为庭审现场。（中新社）

大陆人脸识别（人脸辨识）技术广泛普及应用，已是不争事实。但是好用不等于滥用，关键问题在于，人脸识别的公共应用边界到底在哪里？大陆法律相关规定，已有合乎法定比例原则的「知情、可选、可追责」雏型，然而司法实务对于个人隐私权的保障，依旧偏向保守。

依据大陆新修订的《资讯安全技术个人资讯安全规范》规定，人脸资料属于个人敏感资料。《消费者权益保护法》第29条规定：经营者搜集、使用消费者个人资讯，应当遵循合法、正当、必要的原则，明示搜集、使用资讯的目的、方式和范围，并经消费者同意。

大陆微信公众号「脑极体」称，AI技术的低门槛，造成私人滥用人脸识别的社会风险，更严重的是，相较外国民众的保持警惕，大陆对人脸识别技术的宽容度，实在太高。有些公共场所和企业商家将「刷脸」当作数位化升级的卖点，完全忽略用户的人脸隐私安全。大陆消费者不仅面临所有线上行为资料隐私的失守，也面临生物资料的「失身」。

人脸识别的公共应用的边界在哪里？杭州法学教授郭兵的「中国人脸识别第一案」，带出最核心的法律主张，是郭兵本人对自身人脸资料的隐私权。但司法只回应了郭兵本人删除刷脸资讯的诉讼请求，并没有否定园方使用人脸识别技术本身的正当性，而且别无选择。

然而，按大陆《网路安全法》第41条规定：网路运营者搜集、使用个人资讯，应当遵循合法、正当、必要的原则。上述案例，过去入园录指纹就足以识别游客身分、防止冒用，如今新增一套「刷脸」技术，实在不符合搜集公民个人资讯的「必要性」、「最小够用」标准等比例原则。园方显然忽视最根本的问题：没有提供给消费者选择的自由。

需知人脸识别公共应用边界的基本点，依法在于用户「知情」和「可选择」。首先是知情权。据大陆《网路安全法》、《民法典》相关最核心原则，就是首先要告知被搜集者该场地已经进行人脸识别采集，同时要经过被搜集者同意，才能保留相关采集资料。其次，是给用户选择权，对于已采用人脸识别技术的主体，理应保留原有的认证管道。第三，是技术使用者的权责统一。要在这些资讯被侵害时，承担起相应的侵权责任，给予合理赔偿。