人脸识别是一项热门的AI技术，它集成了人工智能、机器识别、机器学习、模型理论、专家系统、视频图像处理等多种专业技术，是生物特征识别的最新应用，其中包括人脸追踪侦测，自动调整影像放大，夜间红外侦测，自动调整曝光强度等技术。

近几年，老百姓接触到最常见的AI应用就是“人脸识别”，“刷脸”进站、“刷脸”支付、“刷脸”签到、“刷脸”住宿、 “刷脸”执法……人脸识别技术正走进更为广阔的应用场景，与指纹、虹膜等相比，人脸是一个具有弱隐私性的生物特征，因此，这一技术的滥用对于公民隐私保护造成的威胁应当引起有关部门的重视。

最近，杭州野生动物园也赶时髦引入“人脸识别”技术，应用于年卡使用者的入园检票，未注册人脸识别的年卡用户将无法入园。一位办理了年卡的杭州用户认为，野生动物园的行为违反了《消费者权益保护法》，为此，该用户将杭州野生动物园告上法庭。我认为，杭州动物园实行“未注册人脸识别的年卡用户将无法入园”的做法没有任何法律依据，既不合法，也不正当，更没有必要。

一、我国个人信息保护的法定原则

目前，我国个人信息保护的法定原则采用“合法、正当、必要”，2013年全国人民代表大会常务委员会关于修改《中华人民共和国消费者权益保护法》的决定专门增加了一条（作为第二十九条）：“经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。“

2017年6月1日起施行的《网络安全法》第四十一条采纳了《消法》的“合法、正当、必要“原则，即“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。“

从上述法律规定可以看出，我国个人信息保护的法定原则有三层含义，一是任何经营者收集、使用个人信息，必须遵循合法、正当、必要的原则；二是经营者收集个人信息必须明示收集、使用信息的目的、方式和范围，最重要的是必须取得消费者同意；三是经营者收集用户个人信息必须公开其收集、使用规则，且不得违反法律、法规的规定和双方的约定。

显然，杭州野生动物园有以下违法情节：1． 有悖“合法、正当、必要“的原则；2． 未明示收集、使用信息的目的，特别是未取得消费者的同意；3． 未公开其收集、使用规则，且违反双方办年卡时的约定。

二、未取得用户同意不得使用“人脸识别“

当前，我国的“AI人脸识别”已经被普遍滥用，比如我们通常遇到的“刷脸”住宿，“刷脸“进站等行为，并没有任何法律依据。《民法总则》第111条规定，自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

根据《居民身份证法》第十三条规定：”公民从事有关活动，需要证明身份的，有权使用居民身份证证明身份，有关单位及其工作人员不得拒绝。“可见，公民办理住宿、进站等活动，法律规定只需出示个人有效身份证件即可办理，有关部门不得拒绝。按照“法无明文规定不可为”的行政执法基本原则，行政机关及其委托人不得强制对管理相对人实施人脸识别验证；任何经营者使用人脸识别技术，必须遵守“合法、正当、必要“原则，且必须取得消费者的同意，否则将构成违法。

三、不履行信息网络安全管理义务将构成犯罪

当前，我国正在加大对公民个人信息保护的力度，尤其对泄露用户个人信息的行为予以重拳打击，特别是对拒不履行信息网络安全管理义务，达到一定的法定情节，将构成“拒不履行公民个人信息安全管理义务罪”。2016年出台的《刑法修正案（九）》专门设定了一个新的罪名“拒不履行信息网络安全管理义务罪”，增加规定：网络服务提供者不履行网络安全管理义务，经监管部门通知采取改正措施而拒绝执行，致使违法信息大量传播的，致使用户信息泄露，造成严重后果的，或者致使刑事犯罪证据灭失的，严重妨害司法机关追究犯罪的，追究刑事责任。

2017年5月，最高人民法院发布《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，《解释》进一步明确侵犯公民信息罪的定罪量刑标准和有关法律适用问题，其中对如何处理拒不履行公民个人信息安全管理义务的行为进行了明确的界定。

2019年10月，最高人民法院和最高人民检察院发布了《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》，该《解释》第四条规定，拒不履行信息网络安全管理义务，致使用户信息泄露，具有八种情形之一的，将认定为刑法第二百八十六条之一第一款第二项规定的“造成严重后果”，这其中包括：泄露行踪轨迹信息、通信内容、征信信息、财产信息五百条以上；泄露住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的用户信息五千条以上等。

四、应当重点治理APP违规收集个人信息的行为

近期，APP违规收集个人信息、过度索权、频繁骚扰用户等侵害用户权益问题突出，应当重点予以打击。据中国消费者协会发布的《100款App个人信息收集与隐私政策测评报告》显示，100款App中，多达91款App列出的权限存在涉嫌“越界”，即90多％的APP存在过度收集用户个人信息的问题。

目前，绝大多数APP控制和处理的个人信息明显违反“合法、正当、必要”原则，特别是触碰了公民隐私的红线，主要违法行为有两大类：一是擅自收集个人信息，未明确告知收集使用个人信息的目的、方式和范围并获得用户同意前，收集用户个人信息；二是超范围收集个人信息，收集个人信息，非服务所必需或无合理应用场景，超范围或超频次收集个人信息，如人脸识别、通讯录、位置信息、身份证等。

笔者以为，我国法律确定的“合法、正当、必要”这项个人信息保护原则也有待进一步完善。实践中，只要信息（数据）主体接受了信息（数据）控制者或处理者的“隐私条款”就完成了所谓的“合法”环节。事实上，多数APP设置的所谓“隐私条款”完全超出“正当、必要”的范围，尤其令人不能接受的是，如果用户不接受其隐私条款，APP的发布者则拒绝用户安装或使用其APP。此种“只能被迫接受，否则没法使用”的行为严重侵犯用户的“选择权”。

五、获取个人信息应当遵循“知情同意“原则

在各项民事权益中，人身权益是最重要的民事权益之一，它往往涉及自然人、法人的尊严、名誉等基本人格利益，严重的甚至涉及到生命权。在网络信息技术飞速发展的时代，利用人工智能技术侵害人身权益造成损害后果的深度、广度和速度，都与传统侵权手段不可同日而语。

建议国家有关机构依法对滥用”人脸识别”技术和“算法黑洞”侵犯公民隐私权益的行为进行专项整治，重点整治未经被采集者同意，强制实施“人脸识别”和“推介算法”等违法行为，尤其要查处违反“合法、正当、必要”和“知情同意”原则，侵犯公民隐私权的行为，依法促进“人脸识别”和“推介算法”等技术在“知情同意”和“合法、正当、必要”原则框架内有限度地适当利用。

笔者呼吁，个人隐私和信息保护的民法原则，应当重点体现“知情同意“这一生命伦理原则，且信息（数据）控制者或处理者提供的隐私格式条款应当进行合法性审查。笔者建议，正在审议的《民法典人格权编（草案）》中的“个人信息保护”应当彰显私法 “契约精神”的法律地位，在目前《民法典人格权编（草案）》中“合法、正当、必要“原则”之前增加“遵照双方的约定”的规定，表述为：“获取和处理自然人个人信息的，应当遵照双方的约定，并遵循合法、正当、必要原则”。

王春晖，教授、博士，南京邮电大学信息产业发展战略研究首席专家、中国通信学会学术工作委员会委员、工业和信息化部信息通信经济专家委员会委员、中国通信学会网络空间安全战略与法律委员会副主任委员、中国互联网协会应用创新工作委员会副主任委员、中国法学会网络与信息法研究会常务理事、中国网络安全协会理事、联合国世界丝路论坛数字经济研究院院长。

注：本文的主要内容在《检察日报》发表