“个人信息主体（以下简称“信息主体”）不拥有拒绝选项”是前述案例的共同特点之一。“不拥有拒绝选项”主要分为两种情形，一种是不知拒绝，一种是不能拒绝。

在第一个与第二个案例被曝光的商家采集面部数据前均未明确告知消费者。在第一个案例中，在记者对万店掌、悠络客、雅量及瑞为等公司进行采访时，相关人员多次提及“实时抓取”“无感抓拍”“肯定让他没有任何觉察”。到店人员对其面部数据的收集毫不知情，就更谈不上主动拒绝了。

（截图来源：央视财经）

而在前述第四个案例中，办理激活社保卡金融功能的业务必须经过视频认证，是银行内部操作规程中所明确规定的，未通过视频认证即无法激活相应功能，在此种情况下，信息主体并无法拒绝。

在前述案例中，人脸识别技术的应用并不是达成个人信息处理者（以下简称“信息处理者”）业务目的的唯一方式。

比如在第三个案例中，原指纹识别方式入园即可满足野生动物世界识别持卡人身份，避免他人冒用的目的。而在第四个案例中，视频认证的目的是为了确认持卡人的真实身份，但为达到这一目的并非只有人脸识别一种手段。在造假风险可控的情况下，柜台办理、手机验证等都是可考虑的方式。

人脸识别是基于人的脸部特征信息进行身份识别的一种生物识别技术。具体而言，就是计算机通过视频采集设备获取识别对象的面部图像，再利用核心的算法对其脸部的五官位置、脸型和角度等特征信息进行计算分析，进而和自身数据库里已有的范本进行比对，最终判断出用户的真实身份。[v]其与单纯的监控录像不同，人脸识别技术除保存面部数据外，更重要的是将采集的面部数据与其数据库内存储的数据进行对比，进而达到“识别”的效果。

非接触性是人脸识别技术相较其他识别技术的最大特点。比如指纹识别需信息主体伸出手指接触传感器，“伸出”“接触”等行为表明信息主体明知并同意提供自身的指纹信息。但在人脸识别场景中，信息主体无需将人脸和某种设备直接接触，虽然会带来一定便利，但这也使得人脸识别技术能够远距离发挥作用，并能长时间大规模积累数据而不被信息主体察觉，具有很强的侵入性。

此外，面部数据具有直接的可视性，人脸识别技术能进一步追踪到个人的日常行踪轨迹、经常接触人员信息，与无处不在的摄像头结合，能形成高度的监控性。比如中国药科大学将人脸识别技术引入课堂监控学生上课状态，引发网友质疑。基于前述特征，非法处理面部数据的风险一般要远远大于一般个人信息的处理风险。

在第一个案例的记者采访中，悠络客称安装该公司人脸识别装置的商店数量“也有几十上百万个了吧”，雅量智能则明确安装该公司装置的商家达到2353家。

据万店掌经理所言，其目前拥有的人脸数据量“累计到现在肯定上亿了”。如此庞大的面部数据，未经任何技术处理即长时间保存原始数据，其潜在风险不言而喻。

然而，记者仅仅提供了一个到店信息，万店掌的经理就能直接在后台查看记者在该门店的照片和进店信息。该经理明确承认，“总账号能看到各个企业的数据，也能调用也能看”。悠络客的经理亦可通过手机打开系统后台获取到店人员的个人信息。在雅量智能，记者更是体验了一把远程实时查看一家超市摄像头捕捉人脸信息并进行识别的现场。从采访视频中无法看出案例所涉公司是否对员工的数据接触权限进行了分级或限制，但可以明确的是，信息主体的面部数据不仅在其不知情的情况下被收集，更未经其同意向第三方提供，信息主体对其面部数据处于一种“失控”状态，面部数据安全缺乏保障。

（一）明确告知同意规则在面部数据处理中的重要性

一般认为，面部数据属于生物识别信息，是可单独识别自然人的个人信息。《信息安全技术个人信息安全规范》（GB/T 35273-2020）将其列举为个人敏感信息。2020年发布的《个人信息保护法（草案）》第二十九条亦将其认定为敏感个人信息。其一旦泄露、非法提供或滥用，将可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇。

在【（2019）浙08刑终333号】一案中，从2018年7月份开始，被告人张富、余杭飞等人以牟利为目的，利用非法获取的公民个人信息，通过使用软件将相关公民头像照片制作成公民3D头像，从而通过支付宝人脸识别认证，并使用上述公民个人信息注册支付宝账户。张富、余杭飞等人通过该方式获取支付宝提供的邀请注册新支付宝用户的相应红包奖励（包括邀请新人红包、通用消费红包、花呗红包等）。案发后，从张富处查扣近2千万条公民个人信息，从余杭飞工作室查扣其从张富处非法获取的公民个人信息287773条。

因此，面部数据与信息主体权益息息相关，而人脸识别技术的非接触性特征使得信息主体对其面部数据的控制力进一步降低。虽然告知同意规则因存在可能不合理限制个人信息正当处理效率的缺陷而遭受批评，但在处理无法更改，一旦被非法处理将导致严重损害的面部数据时，告知同意规则还是有其存在的重要意义的。

各商家在第一个案例的行为明显违反《民法典》第一千零三十五条、《网络安全法》第四十一条及《消费者权益保护法》第二十九条。信息处理者在收集、使用、向他人提供面部数据时，必须对信息主体进行清晰的告知，并获得明示同意。比如售楼处、商场等场所安装人脸识别系统需在入口处及场所内部设置明显提示，告知消费者其将进入人脸识别区域，由其自主判断是否继续进入，同时应根据实际情况设置消费者拒绝面部数据处理仍可享受服务的其他途径。 

《网络安全法》第四十一条规定，网络运营者收集、使用个人信息，应遵循合法、正当、必要的原则。《民法典》第一千零三十五条亦要求，处理个人信息的，应遵循合法、正当、必要原则。在《信息安全技术个人信息安全规范》（GB/T 35273-2020）中，必要原则体现为“目的明确”与“最小必要”两个侧面。

个人信息保护中的必要原则一般理解为只处理满足明确目的所需的最少个人信息类型和数量，即为达成某一信息主体同意的目的所处理的个人信息具有必要性。但必要原则不仅意味着“信息处理”的必要性，还意味着“处理方式”的必要性。

目前我国应用人脸识别技术的最主要目的为身份核对，应用人脸识别技术处理面部数据确能实现该目的，但要实现该目的并不意味着只能使用这一方式。或者说，在某些场景中应用该技术是一种“杀鸡焉用牛刀”的表现。比如在小区中安装人脸识别系统，但传统的门禁卡或钥匙亦能满足判断业主身份的目的。传统方式确实存在门禁卡、钥匙丢失或他人冒用的情形，但这一问题可通过加强安保力量等其他方式解决，强制所有人进行人脸识别并非“最优解”。在存在可替代方式的情况下，应优先考虑对信息主体权益损害风险最小的方案，而不应将信息主体的同意异化为“看似自愿的变相强制[vi]”。

在实践中，信息处理者应用人脸识别技术不一定是为了保障信息主体权益，可能更多地是为了节约自身经营成本。比如在前述3·15晚会曝光的案例中，商家安装人脸识别技术更多是为了协助自身营销以获取更多的商业利益，而非以提升信息主体服务体验为目的。这实际上暴露出信息主体与信息处理者之间的利益冲突问题，该技术的应用或许对信息处理者而言具有必要性，但信息主体可能并无使用需求。在具体场景中，应衡量处理者的使用目的与信息主体的保护需求以确定技术应用的必要性。

在全国首例人脸识别案中，一审判决指出，野生动物世界在经营活动中使用指纹识别、人脸识别等生物识别技术，其行为本身并未违反法律规定的原则要求。可见，目前人脸识别技术的使用门槛极低，不具备足够安全保障能力的信息处理者亦能随意应用该技术。虽然目前《民法典》《网络安全法》《消费者权益保护法》等法律法规规定了违法处理个人信息所应承担的法律责任，《刑法》亦明确侵犯公民个人信息罪等罚则，但事后的追责与维权对处于弱势地位的信息主体而言是异常困难的。

在设置更具威慑力的法律责任的同时，立法者亦需考虑对人脸识别技术的应用场景进行一定限制并推动人脸识别技术应用安全标准的制定，比如要求部署人脸识别系统需以足够的安全保障能力为前提，在使用过程中需定期评估等等。相关监管部门可参考全国信息安全标准化技术委员会发布《网络安全实践指南》的形式，事先建立人脸识别技术可应用场景清单，或事先明确排除某些场景对该技术的使用。从事前约束、事中监督、事后追责等方面全面保障个人信息安全，破解滥用困局。

在另一方面，仅仅依靠人脸识别技术也是存在巨大风险的。比如在金融类App中，为防止身份盗用造成用户财产损失，应用人脸识别技术保障交易安全具备正当性。但目前人脸识别技术并不完善，例如前述【（2019）浙08刑终333号】一案中，被告人利用非法获取的个人信息所制作的3D头像亦能通过支付宝的人脸识别认证，可见在高安全级别业务中应更为审慎，需考虑采用包括人脸识别在内的双因素甚至多因素认证来提升身份核查的安全性。[vii]

尽管从法律和政府层面规制人脸识别技术更为有力，企业也不应完全坐等公权力采取行动，应加强自身自律，将隐私保护设计嵌入人脸识别产品和服务的设计和架构全阶段。

在收集面部数据之前，先进行个人信息安全影响评估，明确处理面部数据的必要性及自身的安全保障能力。通过隐私政策、用户协议、店堂告示等方式明确告知用户人脸识别技术的收集目的、管理与使用方式以及用户权利保护等事项并取得用户同意。同时，根据自身实际情况，设置信息主体无需提供面部数据亦可使用相关服务的其他途径。

在收集面部数据后，不仅需加强安全技术措施防范外部侵害风险，还需设置内部数据访问权限层级清单，并与相关人员签署保密协议，谨防内部数据泄露。在存储面部数据时，采取适当技术手段避免直接存储原始数据，并设置合理的数据存储期限。

在与第三方合作时，首先需评估传输至第三方的必要性，其次考察第三方是否具备足够的安全保障能力，并通过合同等方式规定第三方的责任和义务。向第三方提供数据，不应超出已征得个人信息主体同意的范围，未经信息主体同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。当信息处理者需向第三方提供其收集的个人信息时，可采取两种路径：一是征求信息主体的明示同意；二是对个人信息进行匿名化处理使其无法识别特定个人且不能复原。需注意，仅仅对个人信息进行“去标识化”处理的仍需征求用户同意。

这实际上与个人信息全周期保护路径相似，但由于面部数据的特殊性，其在一般的个人信息保护要求上需进一步关注用户同意、最小必要原则及数据安全问题。

近期人脸识别技术相关新闻频出，前有全国首例人脸识别案，后有3·15晚会曝光商家应用人脸识别技术乱象。种种事件都指向人脸识别技术应用门槛过低，信息处理者为自身利益未经信息主体同意滥用人脸识别技术等诸多问题。社会对人脸识别技术隐患的关注度越来越高，也倒逼着法律和政府采取日益严格的态度。信息处理者在人脸识别等新兴技术的使用中需增强合规意识，逐步建立和落实个人信息保护制度，在考察必要性的基础上合理使用，让人脸识别的技术在安全的语境下真正实现无边界互联。

[i]央视财经：《谁在偷我的脸》.(2021-03-15)[2021-03-17].https://new.qq.com/omn/FIN20210/FIN2021031500855000.html.

[ii]参见潘颖欣 冯群星张弛：《被售楼处人脸识别拍到，买房多花30万？有人被迫戴头盔看房》(2020-11-22)[2021-03-17].https://mp.weixin.qq.com/s/fWbQ3SD9vB-QdB51T097hw.

[iii]参见富阳法院：《【富法发布】原告郭兵与被告杭州野生动物世界有限公司服务合同纠纷案一审宣判》(2020-11-20)[2021-03-17].https://mp.weixin.qq.com/s/7nO39TwqawOFzBMyco9c_g?scene=25#wechat_redirect.

[iv]参见李慧琪：《如何解决老人人脸识别难问题？北京健康宝新增老幼助查询功能》(2020-11-23)[ 2021-03-17]. https://m.mp.oeeee.com/a/BAAFRD000020201123383108.html.

[v]中国信息通信研究院安全研究所、北京百度网讯科技有限公司：《人脸识别技术在app应用中的隐私安全研究报告（2020年）》，第1页。

[vi]张灿灿：《人脸识别使用，不能如此任性！》，《检察日报》2020年11月23日。

[vii]参见中国信息通信研究院安全研究所、北京百度网讯科技有限公司：《人脸识别技术在app应用中的隐私安全研究报告（2020年）》，第9页。

作者简介：吴丹君律师，观韬中茂上海办公室合伙人，律商联讯LexisNexis网络安全合规专家、首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。主要执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等，吴律师曾为众多跨国公司和外国公司的在华投资、并购以及日常运营提供法律服务。近年来，吴律师专注于互联网、数据信息合规领域，就网络安全和数据信息的合规事项为客户提供咨询及全流程合规整改服务。她服务的行业众多，包括金融、科技、教育、酒店、大数据产品、征信、精准营销、在线支付、互联网医疗等。