前天，央视315晚会上，多家知名商家在用户不知情的情况下窃取重要人脸信息，并肆意滥用的行为被曝光。近年来，人脸识别技术爆发式增长，给人们的工作和生活带来了极大便利。但同时，也带来了诸多安全挑战与法律问题的思考。

一、什么是人脸识别

在实践中越来越多看到人脸识别技术的应用，从公司的考勤、门禁到酒店、银行的实名验证，都广泛采用了这一技术。

人脸识别，是基于人的脸部特征信息进行身份识别的一种生物识别技术。用摄像机或摄像头采集含有人脸的图像或视频流，并自动在图像中检测和跟踪人脸，进而对检测到的人脸进行脸部识别的一系列相关技术，通常也叫做人像识别、面部识别。

具体来说在识别的过程中通过提取人脸的某些特征，也称人脸表征。比如鼻子的高度，眼睛之间的距离等等，然后将这些特征与数据库中的人脸图像进行比对。设定一个阙值，当相似度达到这个标准时，从而可以判决被识别者与数据库的图像是否为同一人。

二、国际上的立法情况

2019年5月，美国旧金山市对人脸识别技术发出了禁令。2019年5月14日，美国旧金山市通过了对《停止秘密监视条例》的修订，禁止该技术在政府机关和执法机关中使用，从而成为全球首个对人脸识别技术发出禁令的城市。

不仅是旧金山，越来越多的国家和城市都对人脸识别采取了反对的态度。欧盟于 2018年5月通过了以人脸识别为关注重点的《通用数据保护条例》（即 GDPR）。欧洲很多公共场合都明确规定，人脸抓拍摄像机必须在指定时间内主动或自动删除，不能被存储或加密存储，更不能被非法利用；若公民认为人脸信息对其造成影响，公民有权要求立即将其删除。

三、国内的相关法律规定

1、《网络安全法》“第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。”

2、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事法律若问题的解释》，“五十三条之一规定的‘公民个人信息’，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”。

从该解释“其他信息结合识别特定自然人身份”这句话不难理解，只要信息单独使用或结合使用只要能识别自然人身份就属于个人信息。公民个人信息不仅仅包括姓名，性别，出生日期等与个人身份直接联系的信息，也包括其他可以识别自然人身份的间接信息。人脸数据因包含人体特征具有识别性，因此属于个人信息。

《民法典》第一千零三十四条规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。在2021年1月1日施行的民法典中也强化了对公民隐私权和个人信息的保护，首次在法典的中提到“生物识别信息”。

4、2021年1月《天津市社会信用条例》表决通过，其中，《条例》第十六条规定，市场信用信息提供单位采集自然人信息的，应当经本人同意并约定用途，法律、行政法规另有规定的除外。市场信用信息提供单位不得采集自然人的宗教信仰、血型、疾病和病史、生物识别信息以及法律、行政法规规定禁止采集的其他个人信息。《条例》中明确提到了生物识别信息。

5、《信息安全技术个人信息安全规范》对个人信息的解释为“个人信息 personal information以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。（注1:个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系）

特别强调个人生物识别信息属于个人信息。而生物识别信息不仅属于个人信息还属于个人敏感信息，个人敏感信息（personal sensitive information），一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。

这一规定是与2016年通过的《欧盟通用数据保护条例》相一致的，对于欧盟数据保护法而言，关于某个可被识别的任何信息都是该主体的个人数据，“某一数据成为个人数据，不要求通过一项数据就可以识别主体，只要这样数据与某个可识别的自然人以某种意义的方式存在关联，就可以了。”

四、违法后果

1、民事赔偿责任

违反《民法典》有关规定侵犯公民个人信息的。依据《民法典》一百七十八条行为人承担停止侵权，赔偿损失，消除影响等责任。

2、行政处罚

《网络安全法》第六十四条:网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

3、构成犯罪的追究刑事责任

窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息可能涉嫌侵犯公民个人信息罪。《刑法修正案(九)》 违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

其实无论是在国内外，对于人脸识别过程中采集个人信息的行为其实都有着法律上明确要求。对于人脸识别这样的新鲜事物，普遍存在观望与包容态度。但随着技术越来越成熟，应用越来越广泛，风险也随时加大。这提示我们的企业，银行，小区物业等部门在采集、使用、保存人脸识别过程中采集的个人信息应严格遵循法律的规定。

对人脸识别技术，我们既要充满信心，用开放、包容的态度来看待其中不尽完善的地方，也要保持理性，在追求技术发展的过程中，平衡对法律的尊重和对个人信息的保护。