【编者按】近日，据多家媒体报道，上海、杭州、广州等地不再要求入住酒店强制刷脸，“上海市旅馆业治安管理信息系统内发布的提示”显示，严禁对已经出示本人有效身份证件的旅客进行“强制刷脸”核验。

这些城市的行政举措，无疑体现了我国在个人信息保护方面的进步。然而，涉及“人脸识别”的滥用，仅仅是诸多隐私权缺乏重视和保护案例中的一个。“人脸识别案第一人”、浙江理工大学政法学院特聘副教授郭兵指出，在个人信息“合理利用”名义下， 我们的个人权益受到侵犯时甚至可能是“无感”的。在起诉难、取证难、索赔难的背景下，郭老师提出，相关部门应当有效介入，并发挥出“公益诉讼”的力量。

2023年8月，国家互联网信息办公室发布了《人脸识别技术应用安全管理规定（试行）（征求意见稿）》。我们有理由期待，保护公民个人信息安全的立法、执法和司法举措，应当扩展到更多具体的领域。今天，《互联网法律评论》转载本刊特约专家郭兵老师在“一席”所做的演讲内容，提示公众警惕个人信息滥用，并依法与个人信息滥用行为做斗争。

我叫郭兵，是一名高校教师，主要从事数据法学研究。同时，也是一个数据法治的实践者。

我参与过许多与数字生活、个人信息有关的案件，有的是亲自提起诉讼，有的是提供法律支持。

其中，“人脸识别第一案”受到的关注最多，我就是这个案件的当事人。

“人脸识别第一案”：真的胜诉了吗？

2019年10月17日，我无意间翻到了一条杭州野生动物世界发来的短信，提示说，未来必须要采取人脸识别的方式入园，否则我的会员年卡将不能正常使用。

看到这条短信我很气愤，因为早在半年前，他们就要求年卡会员必须通过指纹识别入园。我不由得感叹，野生动物世界收集敏感个人信息越来越过分了。

为了搞清楚他们为什么要采取人脸识别的方式入园，我亲自到野生动物世界去了解情况。在确认短信内容属实后，我问了工作人员三个方面的问题：

第一个问题是，为什么要人脸识别入园？工作人员敷衍地回答说，这是智慧景区发展的趋势。

第二个问题是，谁提供的人脸识别技术？他们说：“帅哥，我只是一个打工的，具体哪个公司我也不知道。”

而且，我发现他们的员工竟然直接用手机对着年卡用户刷脸。我对这种方式的安全性表达了质疑：为何员工用手机就可以刷脸？

这三个与个人信息安全有关的问题，野生动物世界都是漠视的。并且，园方也拒绝退卡。于是，我选择了通过诉讼的方式维护自身的合法权益。

当时没有《民法典》，也更没有《个人信息保护法》，我起诉的依据是《消费者权益保护法》和《网络安全法》。我根据掌握的证据和法律规定，确定了八个方面的诉讼请求，概括为三个方面：

第一，要求法院确认野生动物世界强制刷脸的霸王条款内容无效。这也是我起诉的核心诉求，因为它维护的不仅仅是我个人的权益，也能够间接地维护其他年卡用户的权益。

第二项诉讼请求是，主张野生动物世界存在欺诈。野生动物世界向法院表示，我在办指纹年卡的时候就已经同意了通过拍照的方式给他们提供人脸信息，用于后面的人脸识别。

那时候我才意识到，办理年卡时有一个环节是拍照，但是没想到他们的逻辑是——同意了拍照，就等同于同意了收集人脸信息用于人脸识别系统。

第三项诉讼请求是，主张野生动物世界删除违法收集的我的个人信息。当然，在这个诉讼请求当中我做了一些创新的探索，可以说是一个世界级的创新探索，我主张要求法院支持在第三方专业机构的见证之下，将我的信息删除。

我本来以为这三个方面的诉讼请求在证据和法律依据上都是非常充分的，但是没想到，三个方面的诉讼请求法院都没有支持。

在一审的判决当中，法院只是支持了赔偿我的部分合同利益，以及我亲自去野生动物世界了解刷脸情况所导致的交通损失。

判决支持了删除人脸信息，但是没有支持在第三方专业机构见证之下删除，更没有支持我的核心诉求——确认强制刷脸的霸王条款无效。

二审的法院判决也是不痛不痒，增加了删除办卡时提交的指纹识别信息。因为对一审和二审的判决都表达了不满，我继续向浙江省高级人民法院申请了再审，再审的结果并没有支持我的申请。

我穷尽了最后的法律救济途径，向检察机关申请了民事审判监督，但是最终检察机关作出了不予支持监督申请的决定。

野生动物世界这个案件，从2019年11月到2022年4月，历时两年半。很多人对这个案件的评价是“原告胜诉了”，但是我一直不认为在这个案件当中我胜诉了，因为我的核心诉求——确认人脸识别入园的霸王条款无效，没有得到法院的支持。

令我意外的是，在野生动物世界案二审宣判的两个月后，最高人民法院出台了专门针对人脸识别的司法解释，全面地回应了此案诉讼过程中引发的诸多法律纠纷。 

并且在其中有一大亮点，就是确认了企业不能够强迫或者变相地强迫使用人脸识别。这是我感到倍感欣慰的一个司法解释。

有关个人信息保护，什么是“合理利用”？

在这个司法解释出台后的两个月，全国人大常委会又通过了《个人信息保护法》。这是我国第一部专门针对个人信息保护出台的的专项立法。

这部法律对个人信息保护做了较为系统的规定，也在很大程度上顺应了世界性的趋势——我们既需要保护个人信息，也要允许个人信息的合理利用。

“个人信息保护”与“合理利用”是一枚硬币的两面。在我们强调个人信息保护的时候，更加突出的是它的私益性质；而在强调个人信息的合理利用的时候，是因为个人信息同样具有公益性。

就个人信息保护而言，最主要、最基础的就是保障我们个人的知情权、决定权，也就是政府或者企业在处理我们的个人信息的时候，应当取得我们个人的同意。

这也是为什么不论是企业还是政府的各种App，都会有专门的隐私政策，隐私政策就是履行保护个人信息权益的一个基本要求。

当然，《个人信息保护法》也确定了在特定的情况下，可以不取得个人同意就收集使用个人信息，这就是我们说的“合理利用”。

但是，合理利用在认定的过程中极易引发争议，也极易导致个人信息被滥用。 

《个人信息保护法》第十三条确立了合理利用的同意豁免的相关规定，但是，我们怎么界定“合理范围”？什么情况下，政府或者企业在处理我们个人信息的时候是必须要处理，而且不需要征得个人同意？

这在实践中引发了一些争议。

IP属地强制公开是否侵犯隐私权？

2022年3月，一个外校的学生向我发出了一个咨询。他发现，社交平台的评论下方会显示IP地址，他觉得“这个功能会涉及隐私权”。

这就是IP属地的强制公开问题，曾经引起过非常大的讨论。

当然，这个案件会有一个争议，就是我们怎么去认定 IP 属地，它到底属不属于个人信息。

但是更大的争议在于合理使用问题。平台会表示，这是为了公共利益。强制公开IP属地可以起到监督网络暴力、监督网络谣言的作用，比如，网暴的受害者可以更方便地去留言者IP归属地的监管部门反映情况。

但是，这样公开IP属地是否能够达到维护公共利益的目的，是否符合合理使用的标准，法律界有截然不同的观点。

在课上，我和同学们讨论了这个问题，一些同学认为平台的做法是违反《个人信息保护法》的，于是他们将平台起诉到了法院。目前，这个案件还没有一个最终的司法认定。

健康码的信息何去何从？

除了企业的个人信息合理利用会引发争议之外，事实上，政府的个人信息合理利用同样会引发争议。

2020年，杭州诞生了全国首个健康码。健康码在收集使用老百姓个人信息的时候就引发过争议——政府能不能不经过我们个人的同意，直接来处理这些信息。

2021年，《个人信息保护法》专门设置了一个条文，为了应对突发公共卫生事件，政府是可以不经同意处理我们的个人信息的。

但是在今天，在疫情已经基本结束的时期，健康码要不要退出历史舞台，还存有争议，健康码仍然在存储我们的个人信息。

前不久，广东省政府作出了一个率先举措，停止了粤康码（广东的健康码）的使用，并且明确地承诺将删除全部数据。

很可惜，广东的做法没有得到其他省的积极回应。我们的个人信息仍然在被存储着，可能也在被利用着。

面对政府或者企业的个人信息的合理利用，由于存在着很多不透明，这个时候就会引发质疑：政府或者企业有没有以“合理利用”的名义在滥用我们的个人信息？

个人信息的“暗网”

正是在这样的质疑声当中，我发现个人信息合理利用名义下存在着一个系统性的巨大暗网。这张暗网可能会直接影响到我们个人的权益，甚至可能会在毫无感知的情况下，索取掉我们全部的积蓄。去年我接触到了一系列银行App人脸识别盗刷案件。这个系列案件有很多的受害人，这些银行储户是在自己没有任何感知的情况下，被境外的不法分子伪造人脸信息，将账户上的资产全部盗刷走，最多的达到了数十万。

这些储户现在在向银行讨要一个说法，有的已经通过司法途径在维护自己的权益。但是在这个案件当中，法院形成了截然不同的两种看法，一种认为银行没有责任，一种认为银行是存在着过失的。

当然，这张暗网在更多时候不会给个体造成直接的损失。即便存在着明显的个人信息的泄露，很多个体对此还是无感。

前不久，一些官方媒体报道了一个骇人听闻的新闻事件——在暗网上，疑似有45亿条国内快递电商领域的个人信息被交易。已经有专业的网络安全专家证实这是一起真实的泄露事件。

面对公众的质疑，一些上市的快递公司快速地作出了回应，表示经过内部核实，信息没有泄露。到底有没有泄露，用户是没有办法判断的。

这个时候，政府的相关部门会不会及时介入，会不会进行监管、执法和追责呢？我们发现，其实在很多数据泄露事件当中，监管也存在着缺位的情况。

更让人遗憾的是，对于这些大面积的个人信息权益受到侵害的事件，大众往往是沉默的。

这种沉默背后是个人信息维权经常会面临的挑战——个人信息权益的侵害往往是大规模的，但是所导致的损失又往往是“小微侵害”，损失也很难直接确认，所以大众没有动力去维权。

当然也有少数人会选择打破这个沉默，会依据《个人信息保护法》等法律维护自身的合法权益。事实上，他们在维护自身合法权益的时候，也间接地保护了其他权益受到侵害的个体。

那么这些少数打破沉默的个体，在诉讼的过程中会不会一帆风顺呢？在《个人信息保护法》已经全面地对个人信息的相关权益作出保障的时候，会不会很容易打赢官司？

事实上，个人诉讼会面临一系列的挑战。

面对侵权，个体即便起诉，法院也可能会以各种理由驳回起诉，或者不支持起诉，不予受理，不立案。

除了起诉难，个人信息的诉讼还会面临着取证难。因为跟大型的平台和政府相比，用户没办法掌握技术的相关原理，只能看到一些表面化的侵权情形。这背后存在着一个非常严重的信息不对称。

当然我们还会面临索赔难，因为无法确认损失。即便我们保留了相关证据，证明了我们的损失，最终法院也可能会以法律上存在争议为由驳回相关诉讼请求。

一个很重要的原因，就是原告和被告的力量对比是非常悬殊的，因为不论是大型平台还是政府，他们都有专门的法律团队，而个人只能单打独斗。

因此，用户作为原告获得胜诉的概率其实是非常低的。这个时候，一个非常重要的司法救济制度，公益诉讼就应当出场。

公益诉讼是由国家的专门力量用来维护涉及众多的个人权益的保障手段。跟我们刚刚说到的个体发起的带有公益性的诉讼形成了两种不同的力量，对于维护个人信息权益有非常大的帮助。

法律上规定，人民检察院、法律规定的机关和组织，都可以为了维护公共利益提起个人信息保护领域的公益诉讼。

可以完全依赖“公益诉讼”吗？

我们来看一些个人信息保护的公益诉讼案例。

2017年，江苏省消保委针对百度的过度索权发起了一个公益诉讼。

因为消保委经过专业的测评，发现百度的两款App存在着过度收集个人信息的行为。他们同百度进行了交涉，但百度拒绝整改，于是消保委提起了诉讼。

起诉之后，百度回应了消保委提出的问题，对两款App当中存在的过度收集的模式做了调整，最终在专业确认之下，消保委撤诉了。

在2018年的浙江，也发生过两起行政公益诉讼“第一案”。

浙江宁波海曙区人民检察院通过专业的第三方调查，发现有大量的广告推销骚扰电话。他们发现根源在于监管部门没有及时履行法定职责，对相关的电信机构进行监督查处。于是，海曙区检察院提起了个人信息保护的行政公益诉讼，督促监管部门履行法定职责。

在绍兴的诸暨市，房产公司和中介机构不当合作，通过转移购房者的个人信息来不断地制造骚扰电话，这引发了当地检察机关的重视，督促当地的监管部门履行职责。

但是，个人信息保护的公益诉讼的效果，在《个人信息保护法》出台之后是不是就有一个非常大的提升呢？

其实从我的观察来看，不论是在广度还是在深度方面，还有很多改进的空间。

前不久，中国网络空间安全协会经过专业的测评，对几个电商大型平台做了个人信息保护方面的测评，发现仍然有一些电商平台，在非常不正当地索取我们的个人信息相关的权限。

这里面有一个电商平台是位于江苏的，索取位置权限的次数达到了1199次。这个结果其实是可以完全可能触发公益诉讼的，但是到现在我们也没有看到有公益诉讼的相关部门及时介入。

这其实说明我们予以重托的公益诉讼仍然会存在失明的情况，也就意味着个人仍然还要对身边发生的个人信息滥用行为说“不”。

如何说不？

对于没有法律基础的个人而言，打破沉默是指我们要有这样的意识，在你明显地遇到了个人信息侵权的时候，要及时地向政府、向企业进行反馈。最简单的判断标准就是，如果一个App在收集个人信息的过程中连一个隐私政策都没有，那肯定是没有保护个人信息的。

当然，对于我们法律人而言，我们的责任相对要更大一些，应当通过法律的手段维护我们的权利，要坚持依法较真。

法律救济的途径也不一定都是通过司法诉讼，我们还可以通过行政复议、行政投诉的方式等等。而在我们当前这样一个司法环境之下，通过诉讼的方式来来维护自身的权益，往往具有间接的公益性的效果。

一群挑战大厂的年轻人

因为“人脸识别第一案”，我经常会收到各种朋友的咨询。有些网友会从全国各地联系我，给我发邮件，问我很多新的让我觉得不可思议的互联网领域的侵权案件。高校的法科生也为我提供了一些影响多数人权益的互联网相关的违法线索。

他们最经常问我，郭老师，这个行为是不是涉及个人信息权益侵害？这个问题你能不能解决？

说实话，我自己的精力也有限，对于他们提的这些问题，我不可能都通过法律诉讼的方式去维护权益，也没有那么多精力去跟企业、政府反馈。

因此，在野生动物世界案一审之后，我就萌生了一个想法，我可不可以组织我的学生，一起来为大家遇到的互联网侵权问题提供援助。

后来在学校的支持之下，我们在浙江理工大学成立了互联网法律援助中心。援助中心的同学做了很多工作，也通过个体的力量发起了一些具有公益性质的诉讼。

最有意思的一个诉讼，就是一个社交平台上的个性化广告推荐的案件。在2021年《个人信息保护法》实施之前，平台有这么一个要求，你可以关闭个性化广告，但是6个月后，它会自动恢复。

一个朋友问我，郭老师，这个平台不就是侵权了吗？我们刚刚说了个人信息保护一个最基本的权利就是取得同意的权利，你为什么6个月后没有经过我同意就自动恢复了？

我把这个问题交给了学生，他们讨论之后觉得平台的做法是不符合法律规定的，是不符合知情同意的要求的，于是他们将这个平台起诉到了法院。

当然，在诉讼过程中，这些还是大二的学生会面临很多挑战，因为他们之前都只是学到了书本上的法律，但在实践中会遇到很多新问题。

比方在立案环节，三个同学分别在江苏、浙江和上海提起了个性化广告推荐的诉讼。江苏和浙江的同学，法院以这不是侵权纠纷是合同纠纷为由，告诉起诉的同学，你不应该在自己所在地而应该到这个平台的所在地去起诉。这两个学生就觉得很茫然。

好在上海起诉的同学比较顺利，法院立案了。但是立案之后，平台马上就运用了专业的法律力量，向法院提出交涉，说这个案子不应该在原告所在地，而应该到平台所在地，理由跟江苏、浙江的法院是一样的。但是上海的法院最终没有支持平台的管辖异议的主张。

可能平台也意识到，如果继续让法院审理这个案件要败诉，所以很快调整了6个月强制恢复的功能，变成了——只要关闭了，就会持续生效，除非你卸载了这个App重新安装。

除了这样取得了好的结果的案件，我们还有一些具有明显的公益性的案件没有取得所期待的结果。比如，商场用人脸识别技术来进行AI会员的注册，还有刚刚说的IP属地保护的案件。

除了个案之外，我们现在在做一件更加有意义的事情。个人信息保护的一项最基本的要求，就是不论企业还是政府，都要告知我们相关的个人信息收集处理的政策。

但是我们会发现，很难真正实现知情同意——因为我们根本就不知道我们同意了什么。我们在用这些App的时候，往往时间都非常紧张，所以我们想很快注册完成。

现在援助中心的同学在做的一个事情就是，向公众揭示“我们到底同意了什么”。

我们将一些常见的企业、政务平台的隐私政策收集起来，然后公开出来，算是一种“保存证据”。这样可以防止有些政府或者企业，在滥用个人信息引发争议的时候悄悄改变隐私政策。

援助中心的同学们在经历了一些法律实践的时候，都发现书本上的法律与实践当中的法律存在着差别，也会产生一定的挫折感。我希望他们在亲历各种实践的波折之后，能够仍然坚守法治的理想，这其实是我们法律人的初心。

在当今社会，为权利而斗争更加需要勇气、信念，还有技艺。在数字时代，拥有着大数据等技术赋能的平台、企业、政府的权力越来越强大，作为技术的“门外汉”，争取个人信息保护等权利会更加困难，但也更可贵。

谢谢大家。

作者：郭兵 

《互联网法律评论》特约专家

浙江理工大学法政学院特聘副教授

【免责声明】此文仅代表作者个人观点，与本平台无关。本平台对文中陈述、观点判断保持中立，不对所包含内容的准确性、完整性或可靠性提供任何明示或暗示的保证。

本文来自微信公众号“Internet Law Review”（ID:Internet-law-review），作者：一席YiXi，36氪经授权发布。