人臉識別技術濫用引發的個人信息侵權之法律應對
——從“中國人臉識別第一案”出發

西南石油大學 楊鵬霄

2019年11月，一樁被稱為“中國人臉識別第一案”的案件引發了社會的激烈討論，法學界專家的敏銳神經也被挑了起來。該案案情是：原告郭某曾于2019年初以人民幣1360元購買了杭州野生動物世界的年卡，該卡有效期一年，根據合同規定，入園時要同時驗證年卡和指紋。然而，2019年10月17日，郭某卻收到了該野生動物世界的短信，根據該短信的告知，今后年卡用戶入園系統將升級為人臉識別系統，如未注冊人臉識別，則無法正常入園。

郭某認為，鑒于該園區強制收集他的個人生物識別信息，同時，由于杭州野生動物世界的原因導致年卡無法正常使用，郭某希望，杭州野生動物世界退還年卡費用[1]，因杭州野生動物世界未同意該退還要求，郭某訴至法院，引發了這樁所謂的“中國人臉識別第一案”。本案一審宣判后，原告郭某提起了上訴，2021年4月9日該案已由杭州市中級人民法院作出了終審判決：郭某獲得賠償。

然而，或許對于他來說，重要的不是經濟賠償，而是以本案為契機，向科技界、法學界、商界同時提問：人臉識別技術使用的邊界在哪里？人臉識別技術的商業化使用是否會使公民個人信息更容易被侵犯？人臉識別技術的廣泛使用是否有足夠的制度保障？

一、“人臉識別第一案”背后的法律問題

（一）本案中的原告——個人信息保護的倡議者

在這樁“中國人臉識別第一案”中，原告郭某認為，首先，該動物世界增設人臉識別入園通道時所發出的一系列告知，并未達到告知義務的要求；其次，動物世界對游客相關信息的采集是否必要且合法，原告也表示存疑，就以上的疑問，原告郭某提出了一系列訴訟請求，在退卡一事的賠償上，原告郭某依據《消費者權益保護法》的規定，要求因涉嫌欺詐而產生的3倍懲罰性賠償，但筆者更關注的是原告對由動物世界方收集、處理、保管的游客個人信息提出的相關訴求。事實上，在本案由該原告提起訴訟時，確實不存在被告對原告的權益進行（直接或間接）侵害的行為，因此，在沒有實際損害的情況下，原告只得援引《網絡安全法》，主張被告收集個人信息的必要性不足。原告郭某抽出自己的寶貴時間提起該訴訟，筆者認為，其獲取賠償的訴求是次要的，作為高校教師的郭某，無疑應該看著是個人信息保護的倡議者。

（二）本案中的被告——便捷服務的推動者

從事實層面和商業層面上講，杭州野生動物世界有限公司增設人臉識別的入園途徑，既是對新技術的應用，更是提升入園效率，降低管理成本的必要措施。[2]人臉識別技術供應商瑞為科技公司的CTO指出：“其實隱私被侵犯，主要是指線上服務和交易系統中對敏感數據采集、存儲、使用以及共享等環節出現的問題。這與人臉識別以及其他生物識別技術無關，屬于應用系統問題。”[3]

本案中原告與被告的爭鋒，體現了當前社會科技服務于生活的便捷性與個人敏感信息時刻處于危險狀態中的矛盾，百度董事長兼CEO曾在中國發展高層論壇上直言：“中國人對隱私問題的態度更開放，也相對來說沒那么敏感。如果他們可以用隱私換取便利、安全或者效率。在很多情況下，他們就愿意這么做。”[4]然而，公民在現實中面臨的更多窘境是，若不提供個人信息便不能夠享受服務，這種窘境的產生，與當前個人信息保護的相關法律法規尚不健全不無關系，這也讓公眾更加關注本案合議庭在當前法律框架下對本案核心訴求所可能作出的判決。

（三）本案中的合議庭——現有法律法規的無奈適用者

在一審法院的判決中，值得關注的重要內容有以下幾項：

首先，針對該野生動物世界采集信息是否必要，一審判決書認為我國法律對于個人信息在消費領域的收集、使用并未采取禁止的態度，而是強調對個人信息處理過程的監督管理，即在前端收集“合法、正當、必要”；在中端強調不得泄露；在末端依法進行補救。[5]

其次，針對被告是否應當刪除已收集的原告及其妻子的人臉信息一事，一審判決書認為在訂立合同之時，該野生動物世界的行為符合前述法律規定的“合法、正當、必要”的原則。[5]

最終，法官判決被告杭州野生動物世界有限公司刪除原告郭某辦理指紋年卡時提交的包括照片在內的面部特征信息，原告提出的其他有關個人信息的訴求則并未得到支持。通過兩級法院的判決，說明他們其實是現有法律法規的無奈適用者。

本案一審、二審判決反映出了當前類似案件司法裁判上的幾大問題：首先，人臉信息在生物信息中的特殊地位尚未被確定，因此也難以就人臉信息進行特別保護，更未明確人臉信息是否有必要特別保護的問題；其次，涉及個人信息保護尤其是人臉信息保護案件的相關法律法規不足，在侵權法①中雖有對個人信息的保護，但與其他案件同樣標準地認為需損害結果的發生，容易導致被侵權人很難主張權利。

二、人臉信息侵權保護規則構建

在存在研究人臉信息侵權問題的必要性且存在學理基礎的情況下，參考域外已有的個人信息保護模式，結合學界關于個人信息保護已有的方案，我們可以從歸責原則、侵權損害的范圍、因果關系的認定三個主要角度來構建侵權法對人臉信息侵權的特別救濟方案。需要注意的是，作為個人信息的一類，是否有必要單獨設立“人臉信息侵權”為特殊侵權種類之一，仍需要討論，但可以確定的是，目前已有的關于個人信息保護的救濟方案，對人臉信息侵權的規制同樣是有十足的參考價值的。

（一）采用“三分法”歸責原則

在歸責原則的設計上，《民法典》第1194條一般被認為是采用一般過錯原則以救濟網絡平臺上的實施的信息侵權，但在大數據背景下，這顯然對信息主體的保護是不夠的。在德國與我國臺灣地區“二元歸責原則”的基礎上，根據是否是公務機關與是否采用自動處理技術兩大變量，在直接侵權時有學者提出了“三分法”，筆者認為是相對可行的規制方案。

在直接侵權時，公務機關以數據自動處理技術實施的信息侵權，應適用無過錯責任，其來源是政府與個體的力量強弱差序格局；非公務機構采用自動化處理系統處理信息的，應適用過錯推定責任，其來源是非公務機關大多是普通的商業主體，并沒有公務機關所享有的公權力帶來的便利；對于未采用自動數據處理系統的數據處理者，則應適用一般過錯原則。但要注意的是，由于普通受損害個體很難充分舉證證明自己的個人信息遭受了侵害以及如何遭受了侵害，因此應將數據儲存、控制、處理人已使用自動數據處理系統視為默認條件。

另外，在間接侵權時，我國《民法典》所采納的是“避風港原則”，即傳統的“通知——撤除”模式，通常來說認為其歸責原則是一般過錯責任[6]，避風港模式兼顧各方利益，適用范圍最廣，筆者認為可以沿用。

（二）損害后果的認定應當適度擴張

現在侵權法是基于損害——賠償模式的法律制度，損害結果無疑是侵權法的第一要素。因此，雖然有許多學者贊同在個人信息侵權問題上引入懲罰性賠償機制以化解目前違法成本過低的問題[7]，但仍然是在損害——賠償機制內的補充，沒有突破這個框架。然而，在大數據時代，個人信息侵權的后果往往十分的隱秘，這直接導致了信息主體難以證明損害后果，進而難以維權，這就要求我們應當適當擴張損害后果的范圍。

適當擴張后果結果的范圍，主要著眼于無形損害的擴張。基于大數據產生的“大數據殺熟”的現象，在人臉識別的技術背景下可能會愈發嚴重且難以發覺。實現精準營銷是當前互聯網經濟蓬勃發展中的常用手段，歐洲2018年生效的《一般數據保護條例》也已經將“為了評估自然人的某些條件而對個人數據進行的任何自動化處理，特別是為了評估自然人的工作表現、經濟狀況、健康、個人偏好、興趣、可靠性、行為方式、位置或行蹤而進行的處理”[8]納入該條例的管轄當中。有學者提出，可以將經濟法領域的“非歧視原則”引入個人信息領域，作為侵害后果的定義標準，即：如果信息不當應用的結果導致信息主體遭到了歧視待遇，這種不當應用構成侵權，反之不構成[9]。筆者認為，“非歧視原則”作為認定損害后果的標準存在，有一定道理，但不可將其作為個人信息保護侵權認定中的歸責原則，否則將會造成當前侵權法結構的重大改變，使得學理基礎不足，風險與成本也過高。因此，筆者認為，可以考慮引入“非歧視原則”用以輔助界定信息主體是否受到損害，在信息主體可以舉證證明其在同等條件下遭受了歧視時，信息利用主體如無法證明該歧視系正當的商業行為，則應認定后果結果存在，至于損害后果的大小，則需根據個案不同實際進行判斷。

（三）信息由多主體控制時推定因果關系存在

人們作為信息主體，由于難以洞悉信息利用主體之間的內部關系，很難確定自身的個人信息被不當利用的具體環節，因此，有必要在復數控制人場合[10]下，采取推定因果關系的規則以認定因果關系的存在，降低信息主體的舉證成本。

域外立法中已有相關規定可供參考。歐盟《數據條例》第82.3條就規定了復數控制人場合下信息控制者和處理者唯有在能夠證明其“無論如何都不該擔責”時才能夠免責，即由其承擔因果關系的證明責任；類似的，德國數據法（2018）也規定，在不能查明致害原因時，多個數據控制人承擔連帶責任，此二者可以作為我國侵權法規制個人信息侵權問題的參考路徑。另外，因為“請求權人沒有任何洞察力，以弄清聯合性的數據處理的內部過程……他也沒有能力查明各控制人之間的任務分配和協作關系”[10]，而在利用更加隱秘、不易被察覺的人臉識別技術中，信息主體證明因果關系的能力只能更弱，因此，在復數控制人控制信息的場合適用因果關系推定原則是有合理性的。

但有爭議的是，是否應當在所有復數控制人控制信息的場合，都采用因果關系的推定規則。對此，葉教授認為，只有在復數控制人采用大數據技術的場合，才應確立因果關系推定規則②。但筆者認為，請求權人“沒有洞察力”的原因，并不必然是由于大數據的加持，而主要是因為信息處理者內部的關系外人難以查明，且很容易觸及商業秘密的范疇，才導致信息主體難以舉證證明因果關系。另外，如僅在大數據技術應用的情況下方才能確立因果關系推定規則，在“大數據技術”概念不明的情況下，可能會導致信息處理者對法律責任的惡意規避。因此，應當在所有復數控制人控制信息的場合，都一律采用因果關系的推定規則。

注釋

①本文所稱“侵權法”，均指《中華人民共和國民法典》中《侵權責任編》及與侵權法律關系相關的其他法律法規.

② Datenschutzrecht，BDSG2018.24.Edition，2017:Wolff/Brink，§83，Rn.9.