距离收到通知短信，已经过去大半年时间，郭兵仍在等待一个结果。 6 月 15 日，以他为原告的合同纠纷案于杭州市富阳区人民法院开庭，外界将其称为中国的“人脸识别第一案”，或是“刷脸第一案”。

被告是杭州野生动物世界。去年 7 月，这家 AAAA 级景区开始对年卡用户的入园方式进行更新，从以往的指纹识别变更为人脸识别，并发短信告知用户，旧版的方式将取消，必须到园区处录入脸部信息。

无论是电子支付，还是日常的交通，“刷脸”的技术都被有意无意地与“方便、快捷”这些极为正面的印象联系在一起。动物园也是以此为动机，在接受新京报采访时，动物世界品牌经理回应，启用人脸识别是为方便游客快速入园。

但这样一条突如其来的“知会”，让郭兵感到无法接受。在得知没有其他选项后，他要求园区退卡和退款，并在交涉无果后选择上诉。

最终，经过 4 个小时的审理，富阳市人民法院表示，郭兵诉杭州野生动物园一案将择期宣判。从案由来看，这个案子仍属于一个普通的商业合同纠纷案，判决的关键在于，动物园方是否存在欺诈的行为，即在起初办卡时，没有告知未来会需要进行人脸识别，也没有征求用户的意见，是否造成对于消费者知情权的侵犯。

但由于案件的情况涉及到个人敏感信息采集，使其具有了某种示范意义，也引发大量社会关注。郭兵的代理律师、浙江垦丁律师事务所联合创始人麻策告诉《全历史》，这个案件的判决出来，“对于整个社会，都会有一个警醒和提示的作用，能让不同的行业，对于这类重点信息的采集树立一些规则”。

作为消费者，对入园政策发出质疑无疑是正当的，但绝大多数人都不会选择走这样“麻烦”的一步。这也是大部分人面对人脸识别采集的态度——不过是几秒钟的事，日常还需要继续。但背后隐含的问题却很少被正视，郭兵在接受《财新》采访时表示，面部特征属于个人敏感信息，如果泄露、非法提供或者滥用，将很有可能危害自己的人身和财产安全。

去年 10 月中旬，当郭兵决定起诉动物园时，园区内的指纹验票闸机已全部拆除，约八、九万名年卡用户基本上都按照要求，完成人脸识别的录入。如果没有郭兵与之较真，这个新的系统本会畅通无阻地得以实施。

这般顺利，本就是问题所在。麻策表示，中国的个人信息保护已经到了另一个阶段，“从 2017 年开始到现在，立法以及执法实践，都在关注这一块，但在实践中，会发现它是属于被泛滥使用的情况。公众的担忧已经累积到一个数值，只不过一直没找到一个点，来对于它的运行规则进行明确。”

与普通的账号、密码等信息不同，人脸、指纹和步态等生物特征信息，都具备天然的唯一性，一经录入便无法更改，也意味着一经泄露，便是终身泄露。在 10 月即将正式实施的《个人信息安全规范》国家标准中，这些生物特征都属于个人敏感信息，即一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇。

人脸识别变得随处可见的同时，人们多少都对此心存疑虑，但不知道能够以什么样的方式进行维权，甚至不知道自己的权益已经被侵犯。“比如你进到大厦里面，（没有经过人脸识别）他不让你进，怎么办呢？要么进要么不进，说实话是没有选择权的。”麻策说，这在实质上，是一种信息不对称下，没有选择下的强制同意，已经违反《网络安全法》中，“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，并经被收集者同意”的条款。

目前，中国法律中，并没有对可以进行人脸信息采集的机构作出限制，所有场景下，所有公司或个人，不加任何选择，都可以去直接应用这项技术。而人脸识别的产品本身，也随着技术进步，变得越来越廉价、容易获得，市场上的产品种类繁复，水平和标准参差不齐。

人脸识别变成诸多不便之处的解决方式。学生考勤、社区门禁、商场测温，其应用场景变得极为广泛。人们从不会轻易地交出银行卡密码，但面部信息却时时刻刻被各方不加限制地采集。

在郭兵看来，这种本身就涉及敏感信息的技术，应用的原则应当是“非必要不使用”。起诉书中，郭兵引用《消费者权益保护法》第 29 条规定，“经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。”其中，“必要”性，他特别指出，在这个事件中，意味着指纹识别或是人工核验可以解决入园的问题，就不应当强制使用人脸识别。

如果将这个原则放置于其他的场景下，这种技术应用的合理与否，就变得明晰许多。

近日，腾讯手游王者荣耀再次更新未成年人防沉迷系统，要求未成年玩家必须进行人脸识别认证，否则就无法继续游戏。举措引发极大的争议。麻策表示，市面上的这些网游公司，多是由于监管的压力和要求，而运用生物识别技术，但这种要求并不妥当。

“首先，未成年人信息它也属于一个敏感信息，加上人脸信息，这就是双重敏感。这样的信息并不是所有的公司都有能力去保护的，因为这涉及到运营成本的问题；第二，使用人脸识别，就能确保小朋友不沉迷于游戏吗？沉迷游戏的根本不在于此，家人整天不和孩子交流，手机一丢让孩子自己玩去，到头来要游戏公司承担监管的责任。这种方法是错误的，也很可能是无效的。”

另一个场景是办手机卡时，要求人脸识别录入。据国家工信部规定，自 2019 年 12 月 1 日起，电信运营商要在全渠道实现人脸识别，利用人脸识别认证系统为用户办理入网开卡手续。麻策认为，这也可能超出个人信息收集的必要性原则，比如，如果是在线下营业厅办卡，其实是可以通过收集身份证号、手持身份证照片等方式进行核对的。

尽管立法空白，准入和评估制度缺失，这项技术在中国仍以惊人的势头在精进。 2018 年底，美国国家标准与技术研究院 （NIST） 公布全球人脸识别算法测试（FRVT）报告，来自中国的依图科技、商汤科技和旷视科技分别以第一名、第三名和第八名占据前列。

对于技术公司，评判标准仅在于算法的精度。算法无限接近于精准，但如何保证信息安全，却没有被提出相应的高要求。

今年两会上，全国人大代表、北京科学学研究中心副主任伊彤提交了一份《关于开展公民个人生物信息保护立法的建议》，其中提到，个人生物信息权是具有人格权属性的私权，但尚未明确纳入私法保护范围；它在商业和非商业，政府机关和私企使用的权限边界，也非常模糊，亟待明确。

在立法上，欧盟于 2018 年通过的《一般数据保护条例》（GDPR）也许可以作为参考，作为一部“数据宪法”，它规定生物信息属于其所有者，使用需要征得本人同意。