业务涵盖专利、商标、著作权、商业秘密等，涉及影视、音乐、游戏、出版、电子商务、文化产品、技术开发等领域。近年来随着移动互联网的发展，部门律师熟悉信息网路侵权、个人信息保护、移动互联网应用程序、网络文化产品备案、网络出版、网络安全等业务，并能为企业提供移动应用程序风险评估、资质获取等服务。经过多年专业化的积累，恒生律所知识产权部已形成系统化、专业化的知识产权法律服务体系，并已经以高效优质的服务赢得了客户的好评。

首先人脸识别是基于人的脸部特征信息进行身份识别的一种生物识别技术。其工作原理为，使用摄像机或摄像头采集含有人脸的图像或视频片段后，自动在图像中检测和跟踪人脸，进而对检测到的人脸进行脸部识别。目前主流的生物识别技术存在：指纹识别、虹膜识别、声纹识别和人脸识别。相较于其他生物识别技术，人脸识别技术优势在于：第一，自然性。人脸识别技术同人类进行个体识别时所利用的生物特征相同，都是通过观察比较人脸区分和确认身份。第二，非接触性。人脸识别完全利用可见光采集人脸图像信息，不同于传统接触设备，可满足多人连续进行人脸图像信息识别的要求。这些特点使得近年来人脸识别技术快速发展，应用场景得到拓宽。

目前中国人脸识别行业应用场景中，公共安全领域占比约70%，金融领域约占16%，出行交通、政府、手机娱乐等场景也存在应用。具体应用上，公共安全领域涉及刑侦追逃、罪犯识别以及边防安全，在公安机关各警种业务中发挥重要的作用。2019年北大弑母案嫌疑人吴谢宇被在江北机场被抓获，大型演唱会中在逃的嫌疑犯被捕，都依赖于我国以人脸识别技术为基础构建的“天网系统”。

仅次于公共安全领域，便是金融消费领域。这里需要注意，在公共领域采集人脸信息是为了安防工作需要，公众基本持同意的态度，涉及的法律问题相对较少。而今年315晚会曝光的，商家不合理收集顾客人脸数据，属于消费领域，在该领域中人脸识别技术的不规范使用，使个人信息保护面临极大风险。今年315晚会点名的四家提供人脸识别摄像头的企业中，人脸识别厂商悠络客，在官网提及，人脸导购可以帮助门店转化提升35%。高转化率的背后，往往需要采集顾客的人脸信息进行比对，进而作出精准导购。这些被曝光的人脸识别厂商，其签约业务覆盖广泛，服务过诸多知名品牌，不免令个人感到担忧。

另一方面除了消费领域，近年来人脸识别技术的实践应用也拓宽到公民的日常生活领域，如地铁安检、刷脸支付、访客登记等。随着新闻曝光的部分公司人脸数据泄露，也引发了公众对个人隐私安全的担忧。因人脸特征属于生物信息特征，具有不可更改性，一旦泄露将带来极大的风险。个人应如何保护自身的隐私数据，特别是人脸数据，也成为近年的热点问题。

现实中人脸识别技术存在上述问题：如何规范该项技术的使用，个人应如何保护人脸数据等，都可概括为人脸识别技术的使用边界问题。本所律师认为，要研究人脸识别技术的使用边界问题，可细化为对两方面进行研究，第一，了解现有保护人脸识别及个人信息相关法律、法规。第二，了解人脸信息处者收集人脸数据应遵循的原则以及相应的规范化操作。最终结合这两个问题，给个人保护数据提出警示。

保护人脸识别及个人信息相关法律、法规。现阶段我国关于人脸识别技术的使用，未有专门统一的法律或指引，其存在两种保护方式，第一，将人脸信息纳入到个人信息保护范围，处以更严格的规制。第二，人脸数据适用肖像权相关法律进行保护。在民事领域，第一种方式的法条依据，可参见一、《中华人民共和国民法典》（以下简称“《民法典》”）第一百一十一条、第一千零三十四条第一款中关于个人信息的保护。依据《民法典》第一千零三十四条第二款，个人信息包括生物识别信息。《个人信息安全规范》2020版规定，面部识别特征属于个人生物识别信息，因此人脸识别信息属于上述法条保护的个人信息。二、《中华人民共和国个人信息保护法（草案）》（以下简称“《个保法草案》”），第二章第二节四条条文规定的针对敏感个人信息的处理。该规定条文未使用个人生物识别信息这一名称，但依据第二十九条规定敏感个人信息的定义，人脸识别信息属于敏感个人信息，因此保护人脸信息可参考《个保法草案》。此外保护个人信息的法律中，还涉及《消费者权益保护法》、《网络安全法》，这些法律的相互配合，都成为现阶段保护个人信息的重要法律依据，即保护人脸信息的法律依据。而第二种人脸信息作为肖像权保护的法律，主要参见《民法典》第一千零一十九条第二款。因法律未有明文列举哪些情况可以不经过个人同意使用个人肖像权，所以主张肖像权保护人脸信息，存在一定难度。

在第三点提及，现阶段我国法律、法规保护人脸识别数据的方式，是将其作为个人信息数据进行规制。因此个人信息处理者处理个人信息时，需要遵循的原则、告知形式，也适用人脸信息。在处理的原则上：《民法典》第一千零三十五条规定，处理个人信息，应当遵循合法、正当、必要原则，不得过度处理收集原则。在《个保法草案》第五条至第七条，同样确立了个人信息处理应遵循的原则，其强调处理个人信息者应当符合合法、正当，限于实现处理目的最小范围、公开处理的规则等，可认为是对《民法典》条文的细化。第二十九条敏感个人信息处理规则，与人脸信息相关的，需具有特定的目的和充分的必要性才可处理。

而商户在处理个人信息前，还涉及告知、用户同意的问题，法律中也有相关规定。《民法典》第一千零三十五条，确立了“知情同意”的一般规则，依据《个人信息安全规范》2020版5.4 c)，收集个人生物识别信息需要满足单独告知+明示同意的要求。在《个保法草案》三十条中规定，应该取得个人的“单独同意”。

另外在告知内容上，《个保法草案》第十八条规定了个人信息处理者应告知个人信息处理者身份和联系方式、处理目的、处理方式等的事项。因人脸信息又属于敏感个人信息，《个保法草案》第三十一条，“应当向个人告知处理敏感个人信息的必要性以及对个人的影响”也适用。

此外个人信息处理者即使告知了个人，个人信息主体也可拒绝个人信息处理者收集个人信息权利，在个人信息处理者收集后，还可要求个人信息处理者删除。具体法律依据为，《民法典》第一千零三十七条第二款的规定，个人信息主体拥有查询、更正、删除个人信息的权利。《个保法草案》第四章明确个人信息主体享有知情权、决定权、限制权、拒绝权、查阅权、复制权、更正权和删除权这八大权利，其中《个保法草案》第四章可认为是对《民法典》相关条文的进一步细化。

本所律师认为，结合现有相关法律、法规分析，人脸识别数据的不合理使用，具体到今年央视315晚会曝光的人脸识别技术滥用问题，已经违反相关的法律，存在相应的法律风险，背后还更突显出人脸识别技术规范化使用的重要性。这些问题，给个人带来的警示在于：第一，要对人脸数据有强烈的保护意识，注重人脸信息的隐私保护，当企业、商户要求使用个人人脸信息时，需了解其收集的原因和途径，是具有收集的必要性和相关合法依据。第二，知晓自身所享受的权利，当个人信息处理者要求收集个人信息时，个人可拒绝，并在不提供敏感信息的情况下，依然能享受企业所提供服务的基本功能。第三，个人的人脸识别信息被不合理采集后，可要求个人信息处理者进行删除，此外还可通过主张侵犯个人信息或肖像权的方式，要求个人信息处理者为违法行为付出相应的损害赔偿，个人最终实现保护个人信息的目的。