近日，一則“浙大法學博士拒絕‘刷臉’入園，起訴杭州野生動物世界獲立案”新聞報道，刷爆網絡。該案因同時有“法學博士”、“刷臉”、“第一起相關訴訟”等標簽而備受關注，又被稱為“中國人臉識別第一案”。

該案基本事實如下：

浙江理工大學特聘副教授郭兵博士，今年4月27日購買了一張杭州野生動物世界（以下一般稱為“動物園方面”）的雙人年卡，卡費是1360元，有效期內通過同時驗證年卡及指紋方式入園。今年7月，動物園方面將人臉識別檢票系統引入，拆除了原來的指紋檢票閘門。10月17日，動物園方面向年卡用戶發送了一條信息，稱：園區年卡系統已經升級為人臉識別入園，原指紋識別已取消；即日起，未注冊人臉識別的用戶將無法正常入園。

作為年卡用戶，郭兵收到了這條短信。10月26日，他前往動物園那里核實，發現廣告牌都明確要求進行人臉識別。他向對方表示不同意采集人臉信息，但得到的答復是必須進行人臉識別，年卡才能繼續使用。他想要退卡，但動物園方面表示，只能把他已經進園次數的相應費用扣除，將剩下的錢退還。

郭兵表示不能接受：“我買年卡后都進園可能有5次左右，換算成人進園5次再退剩下的，這樣一弄，我難不成還要倒貼錢嗎？”（成人票一次220元。）

10月28日，郭兵向杭州市富陽區人民法院提起了訴訟，在起訴狀中，他敘述了事情的經過，起訴要求是全額退卡。11月1日，法院正式決定立案受理這起案件。郭兵對媒體表示：“我起訴主要不是為了賠償經濟損失。我個人認為目前人臉識別技術應用存在不確定的安全風險，需要進一步加以規范。”

本案的爭議焦點是，動物園方面能否單方更改入園方式？

從合同法的角度來看，動物園方面在原初的年卡合同締結之后，在履行過程中單方更改游客入園方式，若游客不配合即拒絕游客入園，此舉明顯屬于違約。就此而言，郭兵要求解除合同，全額退卡，有事實和法律依據。

不過，從新聞報道來看，在郭兵與動物園方面交涉后，后者曾同意為郭“特事特辦”，允許其憑借年卡和身份證雙重驗證入園。如此一來，本案很可能以郭兵敗訴或雙方和解告終，從而使得其意圖使“企業刷臉技術應用之正當性經受司法檢驗”的目標落空。

企業是否有權收集用戶面部數據？企業能否強制推廣刷臉方式的身份驗證？現行法律并未直接提供答案。《消費者權益保護法》第二十九條規定：“經營者收集、使用消費者個人信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經消費者同意。”但這一原則性規定畢竟較為含糊和概括，通常無法單獨成為裁判依據。只不過，大體上判斷，動物園方面單方決定收集用戶面部數據，既談不上合法和正當，更談不上具有非此不可的必要性。

從比較法的角度來看，這個問題的答案會清晰得多。

歐盟頒行的《通用數據保護條例》（GDPR）第4條第（14）項對“生物識別數據”進行了界定，即：“‘生物識別數據’是通過對自然人的物理、生物或行為特征進行特定的技術處理得到的個人數據。這類數據生成了那個自然人的唯一標識，比如人臉圖像或指紋識別數據。”很顯然，面部數據屬于典型的生物識別數據。

GDPR第9條（特殊種類的個人數據處理）第1款規定：“對揭示種族或民族出身，政治觀點、宗教或哲學信仰，工會成員的個人數據，以及以唯一識別自然人為目的的基因數據、生物特征數據，健康、自然人的性生活或性取向的數據的處理應當被禁止。”第2款列舉了十種不適用第一款的情形。

簡言之，據GDPR的規定，除非獲得數據主體的明示同意，或基于公共安全、科學或歷史研究或統計目的、醫療預防等有限列舉的公共利益的目的，自然人的生物識別數據等特殊數據，原則上禁止處理（包括收集）。

本案中的杭州野生動物世界作為一家企業，其收集游客的生物識別數據僅僅是為了所謂的游客入園的便捷和效率，自然與公共利益沾不上邊。若以此為準，其收集游客面部信息的行為明顯違法。而且，這家動物園規定游客必須進行人臉識別，其年卡才能繼續使用，固然算是征得游客同意后收集其面部信息，但無疑剝奪了游客的選擇權。

不要以為這種嚴格保護用戶個人信息的做法只在歐盟范圍內才有。美國加利福尼亞州2018年6月28日頒布了《2018年加州消費者隱私法案》（CCPA）。這部迄今為止美國最嚴格的隱私立法，將于2020年1月1日生效，其隱私保護力度不亞于歐盟的《通用數據保護條例》。該法案為消費者創建了訪問權、刪除權、知情權等一系列消費者隱私權利，規定企業應根據消費者的要求刪除相關數據，不得通過拒絕給消費者提供商品或服務，或者對商品或者服務收取不同價格或者費率的方式歧視消費者行使權利。

為什么歐美兩大經濟體對個人數據提供越來越嚴格的保護？歸根到底是因為，隨著大數據新技術的革命性發展，個體比歷史以往任何時候都要顯得更加透明和脆弱，更加不堪一擊，個體與大企業乃至與公權力之間的強弱鴻溝，比以往任何時候都要更加固化，難以逾越。

就我國而言，為何應當限制企業擅自收集用戶敏感信息？

一方面，數據收集企業未必“有德”，企業收集了大量用戶數據之后，再將其打包處理并倒賣，此現象如今相當普遍。雖說現行《刑法》禁止擅自出售或提供公民個人信息，但實際上，只要數據交易沒有產生實際嚴重后果，《刑法》基本上不會用得上。“要么坐牢，要么無事”，正成為當前個人信息濫用亂象的真實寫照，而坐牢畢竟是小概率的事件。

另一方面，數據收集企業未必“有能”。任何打算收集用戶數據的企業都應當有一定的物質配備和組織配備，以確保用戶數據尤其是敏感數據的安全。但如今但凡是一個企業，都想著盡可能多地采集用戶數據，完全不顧及其自身是否有能力安全存儲這些數據。近些年，用戶數據大規模泄露事件可謂此起彼伏，大型企業也不能幸免，這恰恰反映出當前數據存儲領域存在重大安全隱患。在這樣的背景下，消費者有理由盡可能避免自身的敏感數據被企業采集，以防患于未然。

個人信息越敏感，泄露后被他人不當使用帶來的風險和危害就越大。面部數據的敏感性較指紋更勝一籌。通常只有在需要最高級別身份驗證的場合下才會使用這種方式，比如出入境安檢、機場或高鐵安檢等場合。刷臉甚至是一種最高級別的支付身份驗證手段。這些均表明個人面部數據的敏感性和重要性。如此私密的個人數據，理應獲得法律最嚴格的保護和最謹慎的對待。

倘若作為企業的某家動物園都可以要求游客刷臉進入，又有什么樣的企業不可以單方宣布采用此種身份驗證手段呢？如此一來，中國用戶面部數據庫將會泛濫成災，最終很可能影響國家數據安全。就此而言，縱容企業以智慧城市為名，以便捷為取向，擅自收取用戶敏感的面部數據，絕非智者之選。

我國個人信息保護法的制定一直在路上。希望這部讓人期待已久的法律能早日出臺，扭轉目前公民個人信息保護問題上刑法與民法、行政法倒掛的不正常現象，為個人信息保護，尤其是包括用戶面部數據在內的敏感信息的保護，提供更權威和統一的詳細規則。

筆者希望，“中國面部識別第一案”的審判法院能夠在個人面部數據保護問題上提出符合當今世界潮流的新見解，為當前裸奔的刷臉大躍進潑一盆叫人清醒的冷水，從而載入史冊。