11月1日，杭州市富阳区人民法院正式受理浙江理工大学副教授郭兵状告杭州野生动物世界一案。郭兵状告杭州野生动物世界的理由很简单，他认为杭州野生动物世界在未经其同意的情况下，通过升级年卡系统强制收集他的个人生物识别信息的行为严重违反了《消费者权益保护法》等法律的相关规定。

这一事件迅速的引起了诸多关注，众多法律专家针对案件进行了分析，各大媒体不甘落后纷纷发表了观点文章，央视也发出了反思文章《“国内人脸识别第一案”带来的反思：“忘记我”也是权利》。从舆论风向来看，虽然杭州市富阳区人民法院还没有对此案做出判决，但是杭州野生动物世界已经输了这场官司。

这一案件被称为“中国人脸识别第一案”，是中国第一起因为人脸识别技术引起的法律纠纷，部分媒体将这一案件与人脸识别技术相关联并进行讨论，将枪口对准了“人脸识别”。但《安知讯》认为，在此案中更值得关注的是数据采集合规问题与用户权益保护问题。

数据采集合规重点：合法、正当、必要

杭州野生动物世界用人脸识别系统代替指纹识别系统是为了解决入园高峰期时期指纹识别系统不灵敏的问题，其本意是好的，但是由于在实际操作中存在的争议行为引发了“中国人脸识别第一案”。

其争议行为主要有两点，第一点，使用人脸识别系统完全取代指纹识别系统是否有必要；第二点，在通知用户将指纹年卡转为人脸年卡没有征求用户意见是否正当。由这两点争议引发了现在的问题：杭州野生动物世界的行为是否合法。

在“中国人脸识别第一案”中所展现的争议和问题正好就是目前数据采集的合规重点。杭州野生动物世界的行为是否合法需要由杭州市富阳区人民法院来判决，但是如果从数据合规角度出发，这种行为很明显属于违规。

数据采集合规重点为：合法、正当、必要三大原则。正当，是指数据采集要符合一定的要求，其中包括：明示收集数据种类、明示各种类数据用途、征得用户同意等等，没有征求用户意见就要收集用户人脸数据的行为属于不正当。

必要，是指为了保证业务正常进行必须要采集某种类数据的情况，如果没有某种数据依旧可以使业务正常进行，那么收集该类数据就属于违反必要原则。必要原则是目前监管的重点，也就是工信部、网信办、App治理工作组等部门正在大力打击的过度收集个人信息（数据）问题。

合法、正当、必要三原则属于并列关系，如果做到了正当、必要基本也就做到了合法。需要注意的是，只要做到了合法、正当、必要三原则，网络服务商可以采集任何数据。换句话说，只要合法、正当、必要，没有什么数据是不能采集的。

当然，具体的合规操作并不是说说这么简单，App治理工作组专家何延哲表示，面对个人信息保护问题企业不是不想改也不是视而不见，而是在现有情况下有些问题确实很难解决，形成了现在企业在实行个人信息保护过程中的难点。

用户权益保护问题或将成为重点

在“中国人脸识别第一案”中，用户权益成为了讨论的重点，此案中的用户权益为自主选择权。所谓自主选择权是指消费者可以根据自己的需求，自主选择自己满意的商品和服务，决定是否购买的权力。

杭州野生动物世界要求年卡用户将指纹年卡换成人脸年卡不然无法入园的行为实质上侵犯了用户的自主选择权，而监管近两年对自主选择权十分关注，工信部开展携号转网和央行整治拒收现金就是两个很好的案例。

2018年7月，央行发布公告称，“任何单位和个人存在拒收或者采取歧视性措施排斥现金等违法违规行为的，应当自本公告公布之日起一个月内进行整改。”，随后开展了集中整治拒收现金的工作。拒收现金既损害了人民币的法定地位，也损害了消费者对支付方式的选择权。央行的公告对于进一步规范社会经济主体对支付方式的选择和应用具有重要意义。

透过现象看本质，拒收现金和只能使用刷脸入园的本质都是新技术发展对原有服务体系产生的冲击，服务提供者为了自身的便捷选择了对自己有利的新技术，却忽略了部分消费者的接受程度以及合法利益。可以预见，随着技术的继续发展和落地应用的不断增多，此类新技术冲击带来自主选择权和合法利益被侵犯的事件会越来越多。

除了自主选择权，“忘记我”也是值得关注的权利。在《“国内人脸识别第一案”带来的反思：“忘记我”也是权利》一文中“忘记我”权利是指“刷脸成功之后，合同期届满，刷脸人有要求删除信息的权利。“，也就是常说的被遗忘权。

欧盟在2015年发布了《通用数据保护条例》（GDPR），并于2018年5月正式生效。在GDPR中个人对自己的数据拥有数项权力，其中就有被遗忘权。被遗忘权是指，任何公民可以在其个人数据不再需要时提出删除要求。在美国这一权利被称为“橡皮”法律。

中国也提出了类似的条款，今年5月，网信办发布《数据安全管理办法（征求意见稿）》，其中明文规定：“(网络运营者)收集使用规则应突出个人信息主体撤销同意，以及查询、更正、删除个人信息的途径和方法。网络运营者收到有关个人信息查询、更正、删除以及用户注销账号请求时，应当在合理时间和代价范围内予以查询、更正、删除或注销账号。”

《数据安全管理办法（征求意见稿）》与GDPR之间最大的区别在于前者还处于“征求意见状态”后者已经是通用法案，等到《数据安全管理办法》正式发布实施，我国数据安全合规或将进入新的阶段。

京师律师事务所律师王岩飞向《安知讯》表示，随着《网络安全法》执法深入以及其他数据安全和个人信息保护的立法推进，加之司法部门出台一系列司法解释，意味着信息安全监管越来越严格，其中对于用户权利，尤其是个人信息保护将是重点方向。

信任是企业目前的痛点问题

郭兵在接受媒体采访时，说出了自己的担忧：“公安等政府部门处于一定的公共利益考虑采集人脸信息我还可以接受，但是一家动物娱乐游乐园也能采集人脸信息，安全性、隐私性我都表示怀疑，万一信息泄露谁能负责？”

怀疑是很多消费者所抱有的态度，“我不排斥刷脸，我只是抱有怀疑”，这句话是目前刷脸业务推广面临的最大问题，企业不知道该如何让用户信任自己。那么不信任是如何产生的呢？

2018年3月，Facebook被曝数据泄露，涉及5000万用户；2018年8月，华住集团被曝数据泄露，数据量高达5亿条；2018年12月，12306超400万数据从第三方泄露；2019年2月，深网视界泄露250万人脸数据；2019年8月，支付宝手机刷脸被3D打印模型攻破；2019年10月，丰巢人脸识别快递被小学生使用照片打开。

在这些事情中间还有换脸软件“ZAO”的爆红以及霸王隐私条款被揭破后的人人喊打；工信部、网信办、公安部、App治理工作组等有关部门公布一大批违法违规收集个人信息的App、网站。在这么多事件面前，消费者清楚的认识到：”刷脸没那么安全，照片就能打开，那些企业不值得相信，谁知道什么时候就会发生数据泄露事件。“

大部分消费者还有另一个认识：“资本的本性是逐利的，现在没有做只是因为可以获得的利益不够高而已。“，这个认识是从这两年十二分火热又饱受诟病的网贷身上得来的，谁又能证明目前推广刷脸的公司不具有这样的特性呢？

大量的安全事件和争议行为影响了用户对企业的信任，进而影响了企业在数据业务上的各项工作，也增加了企业推广新技术、新应用、新业务的难度。

其实在郭兵的发言中就藏有推广刷脸以及其他新技术的办法：“处于一定的公共利益考虑采集人脸信息还可以接受。”，这意味着企业需要更多的考虑公共利益和社会责任，而不是一昧的追求商业利益。但是其中要怎么做？如何做？还需要仔细的思考。