西南石油大学 杨鹏霄

2019年11月，一桩被称为“中国人脸识别第一案”的案件引发了社会的激烈讨论，法学界专家的敏锐神经也被挑了起来。该案案情是：原告郭某曾于2019年初以人民币1360元购买了杭州野生动物世界的年卡，该卡有效期一年，根据合同规定，入园时要同时验证年卡和指纹。然而，2019年10月17日，郭某却收到了该野生动物世界的短信，根据该短信的告知，今后年卡用户入园系统将升级为人脸识别系统，如未注册人脸识别，则无法正常入园。

郭某认为，鉴于该园区强制收集他的个人生物识别信息，同时，由于杭州野生动物世界的原因导致年卡无法正常使用，郭某希望，杭州野生动物世界退还年卡费用[1]，因杭州野生动物世界未同意该退还要求，郭某诉至法院，引发了这桩所谓的“中国人脸识别第一案”。本案一审宣判后，原告郭某提起了上诉，2021年4月9日该案已由杭州市中级人民法院作出了终审判决：郭某获得赔偿。

然而，或许对于他来说，重要的不是经济赔偿，而是以本案为契机，向科技界、法学界、商界同时提问：人脸识别技术使用的边界在哪里？人脸识别技术的商业化使用是否会使公民个人信息更容易被侵犯？人脸识别技术的广泛使用是否有足够的制度保障？

一、“人脸识别第一案”背后的法律问题

（一）本案中的原告——个人信息保护的倡议者

在这桩“中国人脸识别第一案”中，原告郭某认为，首先，该动物世界增设人脸识别入园通道时所发出的一系列告知，并未达到告知义务的要求；其次，动物世界对游客相关信息的采集是否必要且合法，原告也表示存疑，就以上的疑问，原告郭某提出了一系列诉讼请求，在退卡一事的赔偿上，原告郭某依据《消费者权益保护法》的规定，要求因涉嫌欺诈而产生的3倍惩罚性赔偿，但笔者更关注的是原告对由动物世界方收集、处理、保管的游客个人信息提出的相关诉求。事实上，在本案由该原告提起诉讼时，确实不存在被告对原告的权益进行（直接或间接）侵害的行为，因此，在没有实际损害的情况下，原告只得援引《网络安全法》，主张被告收集个人信息的必要性不足。原告郭某抽出自己的宝贵时间提起该诉讼，笔者认为，其获取赔偿的诉求是次要的，作为高校教师的郭某，无疑应该看着是个人信息保护的倡议者。

（二）本案中的被告——便捷服务的推动者

从事实层面和商业层面上讲，杭州野生动物世界有限公司增设人脸识别的入园途径，既是对新技术的应用，更是提升入园效率，降低管理成本的必要措施。[2]人脸识别技术供应商瑞为科技公司的CTO指出：“其实隐私被侵犯，主要是指线上服务和交易系统中对敏感数据采集、存储、使用以及共享等环节出现的问题。这与人脸识别以及其他生物识别技术无关，属于应用系统问题。”[3]

本案中原告与被告的争锋，体现了当前社会科技服务于生活的便捷性与个人敏感信息时刻处于危险状态中的矛盾，百度董事长兼CEO曾在中国发展高层论坛上直言：“中国人对隐私问题的态度更开放，也相对来说没那么敏感。如果他们可以用隐私换取便利、安全或者效率。在很多情况下，他们就愿意这么做。”[4]然而，公民在现实中面临的更多窘境是，若不提供个人信息便不能够享受服务，这种窘境的产生，与当前个人信息保护的相关法律法规尚不健全不无关系，这也让公众更加关注本案合议庭在当前法律框架下对本案核心诉求所可能作出的判决。

（三）本案中的合议庭——现有法律法规的无奈适用者

在一审法院的判决中，值得关注的重要内容有以下几项：

首先，针对该野生动物世界采集信息是否必要，一审判决书认为我国法律对于个人信息在消费领域的收集、使用并未采取禁止的态度，而是强调对个人信息处理过程的监督管理，即在前端收集“合法、正当、必要”；在中端强调不得泄露；在末端依法进行补救。[5]

其次，针对被告是否应当删除已收集的原告及其妻子的人脸信息一事，一审判决书认为在订立合同之时，该野生动物世界的行为符合前述法律规定的“合法、正当、必要”的原则。[5]

最终，法官判决被告杭州野生动物世界有限公司删除原告郭某办理指纹年卡时提交的包括照片在内的面部特征信息，原告提出的其他有关个人信息的诉求则并未得到支持。通过两级法院的判决，说明他们其实是现有法律法规的无奈适用者。

本案一审、二审判决反映出了当前类似案件司法裁判上的几大问题：首先，人脸信息在生物信息中的特殊地位尚未被确定，因此也难以就人脸信息进行特别保护，更未明确人脸信息是否有必要特别保护的问题；其次，涉及个人信息保护尤其是人脸信息保护案件的相关法律法规不足，在侵权法①中虽有对个人信息的保护，但与其他案件同样标准地认为需损害结果的发生，容易导致被侵权人很难主张权利。

二、人脸信息侵权保护规则构建

在存在研究人脸信息侵权问题的必要性且存在学理基础的情况下，参考域外已有的个人信息保护模式，结合学界关于个人信息保护已有的方案，我们可以从归责原则、侵权损害的范围、因果关系的认定三个主要角度来构建侵权法对人脸信息侵权的特别救济方案。需要注意的是，作为个人信息的一类，是否有必要单独设立“人脸信息侵权”为特殊侵权种类之一，仍需要讨论，但可以确定的是，目前已有的关于个人信息保护的救济方案，对人脸信息侵权的规制同样是有十足的参考价值的。

（一）采用“三分法”归责原则

在归责原则的设计上，《民法典》第1194条一般被认为是采用一般过错原则以救济网络平台上的实施的信息侵权，但在大数据背景下，这显然对信息主体的保护是不够的。在德国与我国台湾地区“二元归责原则”的基础上，根据是否是公务机关与是否采用自动处理技术两大变量，在直接侵权时有学者提出了“三分法”，笔者认为是相对可行的规制方案。

在直接侵权时，公务机关以数据自动处理技术实施的信息侵权，应适用无过错责任，其来源是政府与个体的力量强弱差序格局；非公务机构采用自动化处理系统处理信息的，应适用过错推定责任，其来源是非公务机关大多是普通的商业主体，并没有公务机关所享有的公权力带来的便利；对于未采用自动数据处理系统的数据处理者，则应适用一般过错原则。但要注意的是，由于普通受损害个体很难充分举证证明自己的个人信息遭受了侵害以及如何遭受了侵害，因此应将数据储存、控制、处理人已使用自动数据处理系统视为默认条件。

另外，在间接侵权时，我国《民法典》所采纳的是“避风港原则”，即传统的“通知——撤除”模式，通常来说认为其归责原则是一般过错责任[6]，避风港模式兼顾各方利益，适用范围最广，笔者认为可以沿用。

（二）损害后果的认定应当适度扩张

现在侵权法是基于损害——赔偿模式的法律制度，损害结果无疑是侵权法的第一要素。因此，虽然有许多学者赞同在个人信息侵权问题上引入惩罚性赔偿机制以化解目前违法成本过低的问题[7]，但仍然是在损害——赔偿机制内的补充，没有突破这个框架。然而，在大数据时代，个人信息侵权的后果往往十分的隐秘，这直接导致了信息主体难以证明损害后果，进而难以维权，这就要求我们应当适当扩张损害后果的范围。

适当扩张后果结果的范围，主要着眼于无形损害的扩张。基于大数据产生的“大数据杀熟”的现象，在人脸识别的技术背景下可能会愈发严重且难以发觉。实现精准营销是当前互联网经济蓬勃发展中的常用手段，欧洲2018年生效的《一般数据保护条例》也已经将“为了评估自然人的某些条件而对个人数据进行的任何自动化处理，特别是为了评估自然人的工作表现、经济状况、健康、个人偏好、兴趣、可靠性、行为方式、位置或行踪而进行的处理”[8]纳入该条例的管辖当中。有学者提出，可以将经济法领域的“非歧视原则”引入个人信息领域，作为侵害后果的定义标准，即：如果信息不当应用的结果导致信息主体遭到了歧视待遇，这种不当应用构成侵权，反之不构成[9]。笔者认为，“非歧视原则”作为认定损害后果的标准存在，有一定道理，但不可将其作为个人信息保护侵权认定中的归责原则，否则将会造成当前侵权法结构的重大改变，使得学理基础不足，风险与成本也过高。因此，笔者认为，可以考虑引入“非歧视原则”用以辅助界定信息主体是否受到损害，在信息主体可以举证证明其在同等条件下遭受了歧视时，信息利用主体如无法证明该歧视系正当的商业行为，则应认定后果结果存在，至于损害后果的大小，则需根据个案不同实际进行判断。

（三）信息由多主体控制时推定因果关系存在

人们作为信息主体，由于难以洞悉信息利用主体之间的内部关系，很难确定自身的个人信息被不当利用的具体环节，因此，有必要在复数控制人场合[10]下，采取推定因果关系的规则以认定因果关系的存在，降低信息主体的举证成本。

域外立法中已有相关规定可供参考。欧盟《数据条例》第82.3条就规定了复数控制人场合下信息控制者和处理者唯有在能够证明其“无论如何都不该担责”时才能够免责，即由其承担因果关系的证明责任；类似的，德国数据法（2018）也规定，在不能查明致害原因时，多个数据控制人承担连带责任，此二者可以作为我国侵权法规制个人信息侵权问题的参考路径。另外，因为“请求权人没有任何洞察力，以弄清联合性的数据处理的内部过程……他也没有能力查明各控制人之间的任务分配和协作关系”[10]，而在利用更加隐秘、不易被察觉的人脸识别技术中，信息主体证明因果关系的能力只能更弱，因此，在复数控制人控制信息的场合适用因果关系推定原则是有合理性的。

但有争议的是，是否应当在所有复数控制人控制信息的场合，都采用因果关系的推定规则。对此，叶教授认为，只有在复数控制人采用大数据技术的场合，才应确立因果关系推定规则②。但笔者认为，请求权人“没有洞察力”的原因，并不必然是由于大数据的加持，而主要是因为信息处理者内部的关系外人难以查明，且很容易触及商业秘密的范畴，才导致信息主体难以举证证明因果关系。另外，如仅在大数据技术应用的情况下方才能确立因果关系推定规则，在“大数据技术”概念不明的情况下，可能会导致信息处理者对法律责任的恶意规避。因此，应当在所有复数控制人控制信息的场合，都一律采用因果关系的推定规则。

注释

①本文所称“侵权法”，均指《中华人民共和国民法典》中《侵权责任编》及与侵权法律关系相关的其他法律法规.

② Datenschutzrecht，BDSG2018.24.Edition，2017:Wolff/Brink，§83，Rn.9.