天津禁止人脸识别

顾城不肯“刷脸”回家。

每次走到小区门口，他都不肯在镜头前露脸。相反，他要求保安直接开门。有时候有人刷脸开门，他就跟在后面一起过去。

顾城租住在天津季承经济贸易中心(以下简称“季承中心”)。2021年3月入住时，他被告知小区只能刷脸进入，没有其他方式可以进入。

要入住，顾城必须向物业公司提供自己的人脸信息。

人脸信息是一种生物特征信息，属于敏感的个人信息。每个人都只有一张脸。如果人脸信息被随意采集和滥用，会有很大的隐患。近年来，虽然保护人脸信息的法律法规层出不穷，但公共场所的人脸采集设施也越来越多。

2021年8月1日，最高人民法院关于人脸识别的司法解释正式实施，要求物业公司不得将人脸识别作为唯一验证方式。

据此，顾城起诉物业公司，要求物业公司给他提供其他通过验证的方式，同时删除他之前提供的人脸信息。

2022年5月18日，天津市一中院二审法院裁定支持其上诉。

源地图

“为什么我要被强制刷脸进门？”

2021年3月，26岁的顾城签署了一份在线合同，在季承中心租了一套公寓。入住当天，他从房产中介处得知，小区只提供人脸识别。

“因为我已经签了房，如果不住，我要付违约金。”顾城和大部分怕麻烦的租客一样，满腹狐疑，但还是硬着头皮，让物业拍照录入了他们的面孔，登记了他们的姓名、身份证号等信息。

安顿下来后，顾城发现人脸识别机旁边有刷门禁卡的地方，但物业没有办理门禁卡。他曾经问过保安，对方说人脸识别是“为了主人的安全”。物业工作人员回复他，安装人脸识别门禁，经过业主委员会同意，街道、社区等官方组织参与。

真诚中心的“刷脸”系统确实是为了加强防护而启用的。这是一个位于天津和平区核心商圈的商住小区。它由两座33层的超高层建筑和一座50层的超高层建筑组成。拥有住宅5536套，商户400户，容积率17.5。

新冠肺炎疫情爆发前，季承中心安装了人脸识别系统的设备，原计划2020年6月试运行。然而，由于新冠肺炎的爆发，这一系统在2020年2月左右提前服役。

2020年1月24日，天津市启动新型冠状病毒肺炎应急预案一级响应。

“我们高灵敏度地预测了情况，经过多部门研究讨论，决定紧急启用人脸识别系统。”社区党委书记陈思言在2020年2月公开表示，要保证疫情的有效防控，必须实行人防与技防相结合的模式。基本原则是“堵口、堵门、看人”。启用人脸识别系统是季承中心“技术防御”的重要一步。

陈思言还介绍，季承中心的人脸信息数据采集方式有四种:一是网格工作人员上门采集；二是居民自主去物业公司客服中心领取；第三，居民自主收集，然后微信发给网格员；第四，居民将照片以邮件的形式发送到社区邮箱进行收集。

但顾城意识到，如果只有“刷脸”一个选项，可能会侵犯自己的权益。“自从我住在季承中心，我就一直在想:为什么我要被迫使用人脸识别才能进门？”

他说季承中心的房产不能给他足够的安全感。“收集了我的人脸信息后，我对如何传输、如何使用、在哪里存储这些信息一无所知。我不想把我的面部信息交给一个没有被证明值得信任来管理它的组织”。

顾城的担心不无道理。北京卫恒(成)律师事务所律师魏冬冬告诉《中国新闻周刊》，一些强监管领域的大型互联网公司或银行，合规制度相对完善，但一些小企业，尤其是小物业公司，漏洞百出。明文存储个人敏感信息很正常，用户的人脸信息和身份信息没有分开存储。

相对于用户的数据安全，小公司会更看重成本和利润。魏冬冬说，很多小物业公司购买的数据处理设备比较落后，没有完善的安全防护措施。

她甚至了解到，一些物业公司的人脸识别设施和员工考勤指纹打卡设备极其便宜，设备供应商之所以愿意低价供货，就是为了收集用户的面部等敏感个人信息。

“用户的信息可以用来卖钱，给供应商增加收入，所以很可能你我的脸早就知道倒卖了多少手。”魏冬冬说。

人脸信息作为敏感的个人信息，具有唯一性、可获取性和安全性三个特征。魏冬冬说，其中，“唯一性”在于不变性，“密码丢了可以改，但一个人只有一张脸，只有这把钥匙被盗了也改不了”，而“可及性”在于只要在很远的地方装个摄像头就能获取人脸信息，这就让人脸识别技术很容易追踪到人的行踪，延伸到了“安全性”。

“因为人脸信息是和人绑定的，需要真人访问才能提供，很难伪造。人脸常用于关键场所的门禁认证、支付验证等重要场景。然而，近年来也出现了利用人脸图片、3D模型和深度合成技术制作的视频欺骗人脸验证的事件。”魏冬冬说。

如何处理人脸信息才合适？魏冬冬说，不管是物业还是写字楼，采集人脸信息，都要先征得个人的个人同意，让他们在有人脸信息处理规则的单子上签字。只有征得同意后，才能采集人脸信息。同时，你也应该为居民提供可供选择的通行方式。

天津季承经贸中心人脸识别门禁系统。图/由受访者提供

采集到人脸信息后，也要采取相应的技术措施进行处理。魏冬冬介绍，首先，在信息比对的环节，尽量在本地完成人脸信息的比对，减少传输过程；其次，如果需要存储人脸照片或视频，一般需要处理成“消息摘要”。消息是通过使用算法将任何一条面部信息“翻译”成一串唯一的字母数字组合。因为消息摘要不能反推成人脸信息本身，所以可以防止人脸信息本身被泄露。

但魏冬冬指出，前述措施只是推荐性国家标准的要求，并不是强制性的法律义务，只能作为行政执法的参考，而不是直接的执法依据。人脸识别的法律规制还是要靠国家网信办来统筹协调相关部门出台的人脸识别保护细则和标准。

一审败诉

2021年8月1日，最高人民法院发布《关于审理利用人脸识别技术涉及个人信息民事案件适用法律若干问题的规定》(以下简称人脸识别司法解释)，正式生效。

在法律界人士看来，该司法解释有效规范了人脸识别信息的处理。既规范了酒店、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所、物业公司的人脸信息采集，又涉及举证责任、维权合理费用等细节问题。

对于顾成遇到的情况，人脸识别司法解释第十条规定“物业服务企业或者其他建筑物管理人使用人脸识别作为业主或者物业使用人进出物业服务区域的唯一验证方式。不同意的业主或者物业使用人要求其提供其他合理的核实方式的，法院依法予以支持”。这意味着，顾城拒绝物业收脸“有法可依”。

司法解释实施的第二天，顾城再次向物业公司表示拒绝刷脸，要求其他通行方式，但还是被拒绝了。2021年8月9日，他委托律师向物业公司快递律师函。8月19日对方签收后，仍无回应，于是决定起诉。

同年9月3日，天津市和平区人民法院对顾城提起诉讼，起因是“隐私纠纷”。被诉的季承中心物业公司全称是兰州城关物业服务集团有限公司天津分公司(以下简称“城关物业”)。顾城的诉讼请求包括物业删除他的人脸信息，停止处理其他人的人脸信息，并出具相关信息已被删除的书面证明，为他提供其他可以保证其隐私的进出季承中心的便捷方式。

顾不仅引用了人脸识别的司法解释第十条、第八条，还提到了当时全国人大通过的即将生效的《个人信息保护法》第十五条:基于个人同意处理个人信息的，个人有权撤回同意。个人信息处理者应该提供方便的方式来撤回同意。

顾城投诉称，曾多次要求城管物业删除其人脸识别信息，并提供其他合理的验证方式，但对方明确拒绝。城关物业拒绝删除其人脸识别信息，并将人脸识别作为验证进入服务区的唯一方式，侵犯了其人格权，违反了处理人脸信息时应遵循的“合法、正当、必要”原则。

城管辩称，人脸识别信息的采集是业主委员会、综治办、社区和街道办事处共同努力的结果。同时在天津市公安局和平分局进行了网络监测，符合目前疫情控制要求。古城的人脸信息只在门禁上使用过，存储在内部数据库和硬盘中，没有联网。

和平区法院采纳了城关物业的观点。法院认为，由于季承中心居民众多，根据天津市有关规定和要求，使用顾城的人脸信息是“疫情防控的必要措施和需要”。此外，法院认为，顾成提供的相关证据不能证明城管物业侵犯了其隐私权。据此，一审法院驳回了顾城的全部诉讼请求。

“一审败诉有点出乎意料。”顾城说，“案子很简单，法律也很明确。我感觉法院最多不支持赔偿律师费，但对问题的性质不会有分歧。”

清华大学法学院教授劳东延长期关注个人信息保护问题。她告诉《中国新闻周刊》，顾城案的一审判决“对现行法律规定的理解明显错误”。她指出，在《个人信息保护法》中，明确规定了同意可以删除，但完全没有规定个人只有在必须证明数据处理者在处理过程中存在安全风险的情况下，才能行使删除权。

“如果像谷城案一审法院那样理解，任何个人都必然败诉，因为个人根本无法证明数据处理者对个人信息的处理存在安全隐患，除非个人信息已经泄露，但即使泄露，也很难证明是谁泄露的。”她说。

劳东彦还指出，一审法院驳回顾城的上诉，是考虑到疫情防控的因素，对法律的理解也存在偏差。“疫情不能说是突发事件。更何况《个人信息保护法》和人脸识别的司法解释都是在疫情期间公布的。自然可以推断它们在疫情期间是适用的。”

她指出，一审法院可能过多考虑了疫情防控的需要。“但疫情防控也要遵守法律，在法治的轨道上进行，临时性的政策规定不能凌驾于法律之上”。

顾城决定上诉。他和他的律师再次尝试。他一审败诉的原因可能是案由被定为“隐私纠纷”。由于他无法证明自己的信息被泄露，所以无法得出自己的隐私被侵犯的结论。二审时，上诉事由改为“个人信息保护纠纷”。在个人信息保护方面，举证责任在财产一方。

2022年5月18日，天津一中院对此案作出二审判决，支持顾城的上诉。

法院认为，2020年2月，城关物业推出人脸识别系统，作为核实业主和物业使用人出入的方式，可以更准确地识别进出小区的人员，使小区管理更加安全高效，为新冠肺炎疫情防控发挥了很大作用，并不违反法律规定。但顾城入住时，虽然同意城关物业提取其人脸信息作为通过验证的方式，但对城关物业提取人脸信息作为唯一通过验证的方式多次提出异议。城关物业拒绝为顾城提供其他验证方式，有违人脸识别司法解释第十条。

因此，二审法院认为，城关物业应积极履行法定义务，删除顾城的人脸信息，向其提供其他核实方式，并承担顾城在本案中产生的诉讼费及其他合理费用。

源地图

有必要考虑单独立法

如今，人脸识别设备正在全国各个社区“全面开花”。如何规范物业公司对住户面子的收取行为？地方法规起了带头作用。

浙江理工大学法政学院副教授郭冰告诉《中国新闻周刊》，今年3月1日，新修订的《杭州市物业管理条例》生效，增加了“物业服务提供者不得通过指纹、人脸识别等生物特征信息，强迫业主进入物业管理区域或者使用共用部位”的规定

郭冰参加了《杭州市物业管理条例》修订听证会，就人脸识别信息保护提出了建议。当时他的身份不仅是法律专家，还是“中国人脸识别第一案”的发起者。

那是在2019年10月，杭州野生动物园年卡会员郭冰被告知，他的年卡没有注册人脸识别，无法正常入园。他不想被收集人脸信息，退卡要求被拒，于是将动物世界告上法庭。

经法院判决，动物世界最终删除了郭冰办理年卡时提交的面部特征信息，并赔偿其合同利益损失及交通费。2020年，在这场广受关注的官司中，《杭州市物业管理条例》开始修订，率先在全国启动强制人脸识别禁止条款的地方立法。

紧接着，2021年修订了《四川省物业管理条例》，对业主委员会、委员、候补委员、物业服务提供者等进行了更明确的规定，不得泄露业主信息，不得用于与物业管理无关的活动；同时明确，物业服务提供者不得通过强制业主使用指纹、人脸识别等生物特征信息的方式使用共用设施设备。

我国首部个人信息保护法于2021年11月1日生效，突出了生物特征信息作为敏感个人信息的特殊保护，其中规定:“敏感个人信息是指一旦泄露或者被非法使用，将容易导致侵犯自然人人格尊严或者危及人身、财产安全的个人信息。”敏感个人信息包括生物特征识别、宗教信仰、特定身份、医疗健康、财务账户、行踪轨迹等信息，以及十四周岁以下未成年人的个人信息。

只有在有特定目的和足够必要性，并采取严格保护措施的情况下，个人信息处理者才能处理敏感的个人信息。与普通个人信息相比，《个人信息保护法》规定，对敏感个人信息的处理应更多告知，包括相应的风险，并征得个人同意。

但在劳东延看来，个人信息保护法将一般个人信息与敏感个人信息区分开来，体现了加强对后者保护的精神。这种“强化”还是有明显的不足。

“突出个人敏感信息保护的地方，其实只在于征求同意的环节。其他地方和普通个人信息几乎没有区别，本质上并没有提高法律保护的门槛。”劳东彦认为，在法律层面，对生物特征信息的保护还远远不够。全国人大及其常委会有必要考虑对生物识别信息进行单独立法，该信息不应在《个人信息保护法》的框架下进行保护。

劳东彦还指出，《个人信息保护法》第二十六条规定，“公共场所安装图像采集和个人识别设备，应当是维护公共安全所必需的，符合国家有关规定，并设置显著的警示标志；所收集的个人图像和身份信息只能用于维护公共安全的目的，不得用于其他目的；除非得到个人的同意。”这一条款有把“公安”当“口袋”的嫌疑。

“如果在这里对‘公共安全’做一个扩张性的解释，实际上是指除了家以外，几乎所有地方都可以安装人脸识别设备，比如地铁、小区甚至楼道。”她认为，当“公共安全”写入立法时，应该严格解释和限制，否则过度的人脸信息采集可能会合法化。

此外，滥用人脸信息采集可能会造成大量信息泄露，从而引发诸多事故和纠纷。“一般问题泛滥的时候，会给后端监管执法带来很大压力，执法资源有限。”劳东彦表示，除了信息收集的滥用，还要注意信息存储和使用的规范，如何更好地行使删除权。

2019年起诉杭州野生动物园时，郭冰曾在第三方专业技术机构的见证下，要求动物世界删除其面部信息，但未获法院支持。

“我还是认为这是实现删除权的最好方式。”他指出，顾城案中，城关物业声称将人脸信息存储在“内部数据库和硬盘”中，难以保证保密性。但不管顾城的“脸”是否被删，都无法听出对方的一面之词。

发表于2022年7月4日《中国新闻周刊》杂志第1050期。

标题:天津人脸识别第一案背后:“我的脸我做主”

记者:袁