【收藏】8起案例透视人脸识别合规应用（附标准汇编）

人脸识别技术应用行政执法及诉讼案例

目  录

#01. “全国人脸识别第一案”，大学教授拒绝注册人脸识别起诉动物园，动物园败诉。

#02. “天津人脸识别第一案”，物业以人脸识别作为唯一通行方式违法，法院：应提供其他通行验证方式。

#03. 未经消费者同意，置业公司收集、储存人脸照片及短视频42885条，罚款2万。

#04. 收集人脸识别数据告知不充分，仅采用告示牌的方式并非征求同意，罚款25万。

#05. 利用身份证照片制作视频欺骗人脸识别系统，四男子被判有期徒刑，并处罚金。

#06. 最高法院指导案例：利用“颜值检测”软件窃取“人脸信息”等，属于刑法中“窃取或者以其他方法非法获取公民个人信息”的行为，依法应予惩处。

#07. 指导性案例：湖南省长沙市望城区人民检察院督促保护个人生物识别信息行政公益诉讼案。

#08. 景区未及时删除人脸识别数据，检察院督促整改，120万余条人脸信息完全删除。

案例1“全国人脸识别第一案”，大学教授拒绝注册人脸识别起诉动物园，动物园败诉。

2019年4月27日，原告郭某购买杭州野生动物世界双人年卡时，留存相关个人身份信息，并录入指纹和拍照。

2019年10月，杭州野生动物世界启动了依靠人脸识别技术的入园检票，郭先生被告知未经注册人脸识别将无法入园活动。郭先生不愿意接受采集人脸信息，要求全额退款，被野生动物世界拒绝。

2019年10月28日，郭先生将杭州野生动物世界告上法庭。

2020年11月20日，杭州市富阳区法院一审判决，野生动物世界赔偿郭某合同利益损失及交通费；删除郭某办理年卡时提交的包括照片在内的面部特征信息；驳回郭某其他诉讼请求。郭某与野生动物世界均表示不服，分别向杭州中院提起上诉。

2020年12月11日，杭州中院立案受理该案，并于同年12月29日公开开庭审理。

2021年4月9日，杭州中院就此案件依法公开宣判。杭州中院认为，鉴于其指纹识别闸机停止使用，原约定入园方式无法实现，亦应删除郭某的指纹识别信息。二审在原判决的基础上增判野生动物世界删除郭某的指纹识别信息。

案例2“天津人脸识别第一案”，物业以人脸识别作为唯一通行方式违法，法院：应提供其他通行验证方式。

原告顾先生租住在天津诚X经贸中心。2021年3月他搬入时，被告知小区只能刷脸进入，没有其他进入方式。想要入住，顾先生必须向物业公司提供自己的人脸信息。顾先生起诉物业公司，要求物业公司为他提供其他通行验证方式，同时删除他此前提供的人脸信息。

此案一审的案由被法院定为隐私权纠纷。依据《民事诉讼法》第六十四条“当事人对自己提供的主张，有责任提供证据”的规定，一审法院判决认为，原告顾某并未提交被告对其信息存在泄露、篡改、丢失的相关证据，且提供的相关证据不能证明两被告侵犯了其隐私权。故原告的诉讼请求没有事实和法律依据，不予支持，驳回全部诉讼请求。 

顾某不服一审判决，后上诉至天津市第一中级人民法院。上诉人认为，本案的主要法律问题是个人信息保护而非隐私权，一审法院适用法律错误，案由选择错误。其未主张个人信息被泄露、篡改、丢失，无需提供相关证据，一审法院对举证责任的认定有误。二审法院对一审法院查明的事实予以确认，认为本案系因处理个人信息引发的纠纷，案由应确定为个人信息保护纠纷。 

2022年5月18日，天津市第一中级人民法院二审法院判决，支持了他的诉求。二审法院认为，物业应积极履行法律义务，删除顾先生的人脸信息，并为其提供其他验证方式，并承担顾先生因本案诉讼支出的律师费等合理费用。

案例3未经消费者同意，置业公司收集、储存人脸照片及短视频42885条，罚款2万。

【处罚机构】湖州市吴兴区市场监督管理局

【处罚时间】2021年6月7日

【当事人】湖州市凯X置业有限公司

【处罚结果】1.责令改正，给予警告；2.罚款人民币20000元，上缴国库。

湖州市凯X置业有限公司成立于2018年6月25日，是湖州市吴兴区环渚街道大发融悦府的开发商。当事人于2020年10月开始根据上级总公司的要求安装使用“大X地产ERP信息平台”，在售楼处大厅安装4个“商X”牌人脸识别摄像头。人脸识别摄像头对到访的消费者进行人脸照片抓拍和短视频录制，上传至“大X地产ERP信息平台”，该平台与分销商、中介报备系统进行比对后用于当事人与分销商、中介佣金结算的依据。

截至2021年5月12日，当事人运用的“大X地产ERP信息平台”共收集、储存消费者人脸照片、短视频42885条，与身份证匹配成功并形成有效人脸ID的信息数量无法确定。当事人收集、使用上述个人信息未经消费者同意，也未向消费者明示收集、使用信息的目的、方式和范围。

案例4收集人脸识别数据告知不充分，仅采用告示牌的方式并非征求同意，罚款25万。

【处罚机构】杭州市江干区市场监督管理局

【处罚时间】2021年7月14日

【当事人】杭州卓越润达置业有限公司

【处罚结果】1.责令改正；2.罚款人民币250000元。

明X府系当事人杭州卓越XX置业有限公司开发经营的楼盘项目。当事人于2020年11月12日起正式启用人脸抓拍系统。该系统由人脸抓拍机、缓存服务器、人证对比机、监控级硬盘及系统平台账号等组成。为促进销售，当事人开展全民营销、老带新奖励、中介分销转介营销活动，并通过摄像头人脸抓拍系统识别区分到访消费者的来源。人脸抓拍机无感摄取的所有到访售楼处客户的人脸生物识别信息系统自动存储同步上传至系统。

2020年12月9日起当事人在售楼处入口摆放有“本售楼处安装有人脸识别系统，您已进入视频监控区域，我们承诺保护您的人脸等信息安全。详情可扫描二维码或询问接待人员了解。”文字内容的告示牌，在人证对比机旁摆放有“刷证时会采集您的人脸及个人信息，用于查询来访记录和签约管理，我们承诺保证您的人脸等信息安全。详情可扫描二维码或询问接待人员了解。”文字内容的告示牌。但该告知仅明示收集、使用信息的方式，并未明示收集、使用信息的真实目的和范围，该告知并非征求同意的过程，当事人无法提供其获得消费者同意的相关证明。执法人员随机抽取询问的购房消费者，均表示对个人信息被采集的情况不知情。截至2021年4月16日现场检查时，平台中的案场全量到访记录共记录人脸头像109029张（存在重复摄取），案场（访客）到访记录共记录到访人数13737人（无对应人名）。

案例5利用身份证照片制作视频欺骗人脸识别系统，四男子被判有期徒刑，并处罚金。

2020年8月起，郑某通过即时通讯软件向社会发布可代查高清身份证照片、身份证号码等个人敏感信息的广告，并组建群组专门用于个人信息非法交易。任某、戴某、陈某3人通过广告加入该群组后，按照下家提供的个人信息，从郑某手中购得与个人信息相匹配的高清身份证照片，利用照片中的头像制作AI视频卖给下家，从中赚取差价。

这些利用高清身份证照片制作的AI视频，可以完成点头、眨眼等动作，能够通过一些App的人脸识别身份验证。

2021年9月9日，越秀区检察院对郑某等4人侵害公民个人信息安全、损害社会公共利益的行为作为民事公益诉讼线索立案，以检察公益诉讼职能推动互联网领域侵害个人信息问题的综合治理。截至案发，郑某等4人出售公民个人信息2000余条，造成了大量公民个人信息被泄露甚至被冒用，严重侵害公民个人信息安全，扰乱正常的社会管理秩序，损害了社会公共利益。

2022年7月11日，广东省广州市越秀区检察院办理的该省首例向互联网法院提起的涉人脸识别公民个人信息保护民事公益诉讼案公开宣判，法院判决被告郑某、任某、戴某、陈某立即停止对公民个人信息的侵害、支付公益损害赔偿金、公开赔礼道歉并以行为补偿弥补损害。郑某等4人已被法院认定犯侵犯公民个人信息罪，被判处有期徒刑一年二个月至一年不等，各并处罚金。

案例6最高法院指导案例：利用“颜值检测”软件窃取“人脸信息”等，属于刑法中“窃取或者以其他方法非法获取公民个人信息”的行为。

【裁判要点】使用人脸识别技术处理的人脸信息以及基于人脸识别技术生成的人脸信息均具有高度的可识别性，能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况，属于刑法规定的公民个人信息。行为人未经公民本人同意，未具备获得法律、相关部门授权等个人信息保护法规定的处理个人信息的合法事由，利用软件程序等方式窃取或者以其他方法非法获取上述信息，情节严重的，应依照《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条第一款第四项等规定定罪处罚。

【基本案情】2020年6月至9月间，被告人李某祥制作一款具有非法窃取安装者相册照片功能的手机“黑客软件”，打包成安卓手机端的“APK安装包”，发布于暗网“茶马古道”论坛售卖，并伪装成“颜值检测”软件发布于“芥子论坛”提供访客免费下载。用户下载安装“颜值检测”软件使用时，“颜值检测”软件会自动在后台获取手机相册里的照片，并自动上传到被告人搭建的腾讯云服务器后台，从而窃取安装者相册照片共计1751张，其中部分照片含有人脸信息、自然人姓名、身份号码、联系方式、家庭住址等公民个人信息100余条。

2020年9月，被告人李某祥在暗网“茶马古道”论坛看到“黑客资料”帖子，后用其此前在暗网售卖“APK安装包”部分所得购买、下载标题为“社工库资料”数据转存于“MEGA”网盘，经其本人查看，确认含有个人真实信息。2021年2月，被告人李某祥明知“社工库资料”中含有户籍信息、QQ账号注册信息、京东账号注册信息、车主信息、借贷信息等，仍将网盘链接分享至其担任管理员的“翠湖庄园业主交流”QQ群，提供给群成员免费下载。经鉴定，“社工库资料”经去除无效数据并进行合并去重后，包含各类公民个人信息共计8100万余条。

上海市奉贤区人民检察院以社会公共利益受到损害为由，向上海市奉贤区人民法院提起刑事附带民事公益诉讼。被告人李某祥对起诉指控的基本犯罪事实及定性无异议，且自愿认罪认罚。辩护人提出被告人李某祥系初犯，到案后如实供述所犯罪行，且自愿认罪认罚等辩护意见，建议对被告人李某祥从轻处罚，请求法庭对其适用缓刑。辩护人另辩称，检察机关未对涉案8100万余条数据信息的真实性核实确认。

【裁判结果】上海市奉贤区人民法院于2021年8月23日以（2021）沪0120刑初828号刑事判决，认定被告人李某祥犯侵犯公民个人信息罪，判处有期徒刑三年，宣告缓刑三年，并处罚金人民币一万元；扣押在案的犯罪工具予以没收。判决李某祥在国家级新闻媒体上对其侵犯公民个人信息的行为公开赔礼道歉、删除“颜值检测”软件及相关代码、删除腾讯云网盘上存储的涉案照片、删除存储在“MＥＧＡ”网盘上相关公民个人信息，并注销侵权所用ＱＱ号码。一审判决后，没有抗诉、上诉，判决现已生效。

【裁判理由】法院生效裁判认为：本案争议焦点为利用涉案“颜值检测”软件窃取的“人脸信息”是否属于刑法规制范畴的“公民个人信息”。法院经审理认为，“人脸信息”属于刑法第二百五十三条之一规定的公民个人信息，利用“颜值检测”黑客软件窃取软件使用者“人脸信息”等公民个人信息的行为，属于刑法中“窃取或者以其他方法非法获取公民个人信息”的行为，依法应予惩处。主要理由如下：第一，“人脸信息”与其他明确列举的个人信息种类均具有明显的“可识别性”特征。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中列举了公民个人信息种类，虽未对“人脸信息”单独列举，但允许依法在列举之外认定其他形式的个人信息。

《解释》中对公民个人信息的定义及明确列举与民法典等法律规定中有关公民个人信息的认定标准一致，即将“可识别性”作为个人信息的认定标准，强调信息与信息主体之间被直接或间接识别出来的可能性。“人脸信息”属于生物识别信息，其具有不可更改性和唯一性，人脸与自然人个体一一对应，无需结合其他信息即可直接识别到特定自然人身份，具有极高的“可识别性”。第二，将“人脸信息”认定为公民个人信息遵循了法秩序统一性原理。民法等前置法将“人脸信息”作为公民个人信息予以保护。民法典第一千零三十四条规定了个人信息的定义和具体种类，个人信息保护法进一步将“人脸信息”纳入个人信息的保护范畴，侵犯“人脸信息”的行为构成侵犯自然人人格权益等侵权行为的，须承担相应的民事责任或行政、刑事责任。第三，采用“颜值检测”黑客软件窃取“人脸信息”具有较大的社会危害性和刑事可罚性。因“人脸信息”是识别特定个人的敏感信息，亦是社交属性较强、采集方便的个人信息，极易被他人直接利用或制作合成，从而破解人脸识别验证程序，引发侵害隐私权、名誉权等违法行为，甚至盗窃、诈骗等犯罪行为，社会危害较大。被告人李某祥操纵黑客软件伪装的“颜值检测”软件窃取用户自拍照片和手机相册中的存储照片，利用了互联网平台的开放性，以不特定公众为目标，手段隐蔽、欺骗性强、窃取面广，具有明显的社会危害性，需用刑法加以规制。　　

综上，被告人李某祥违反国家有关规定，非法获取并向他人提供公民个人信息，情节特别严重，其行为已构成侵犯公民个人信息罪。被告人李某祥到案后能如实供述自己的罪行，依法可以从轻处罚，且自愿认罪认罚，依法可以从宽处理。李某祥非法获取并向他人提供公民个人信息的侵权行为，侵害了众多公民个人信息安全，损害社会公共利益，应当承担相应的民事责任。故依法作出上述判决。（来源：最高人民法院网站）

案例7指导性案例：长沙市望城区人民检察院督促保护个人生物识别信息行政公益诉讼案。

【要  旨】针对信息化建设对指纹和人脸识别等个人生物识别信息过度收集、未落实网络安全等级保护制度等问题，检察机关明确个人信息处理“合法、正当、必要和诚信原则”的内涵与外延，厘清各职能部门法定职责，督促其依法全面履职、协调联动，消除公民个人信息泄露风险，切实维护社会公共利益。

【基本案情】湖南省长沙市望城区卫生健康局（以下简称区卫健局）为推进数字化门诊建设，自2019年7月12日起，要求长沙市望城区辖区内17家医疗卫生机构陆续使用电子签核系统推送疫苗接种知情告知书，疫苗受种者或监护人点击“同意”时系统自动采集指纹和人脸识别信息，收集电子数据的存储及主机均由各社区卫生服务中心管理。截至2022年3月11日，上述机构共收集83万余条涉及指纹、人脸识别等个人生物识别信息。

【调查和督促履职】2022年2月11日，湖南省长沙市望城区人民检察院（以下简称望城区院）接到群众举报，反映自己和孩子的指纹和人脸等个人生物识别信息被医疗卫生机构过度收集，存在泄露风险。望城区院经初步调查确认属实，遂于2022年3月19日、5月16日分别对望城区卫健局、长沙市公安局望城分局（以下简称区公安分局）立案调查。

望城区院通过现场勘验、委托第三方单位对电子签核系统进行安全检测、调取相关书证与电子数据、询问相关人员、咨询专业人员等方式进行调查取证，查明：根据《个人信息保护法》第五条、第六条、第二十八条至第三十条的规定，望城区17家医疗卫生机构违反个人信息处理的合法、正当、必要和诚信原则，过度收集服务对象指纹和人脸等个人生物识别信息，未按要求解决电子签核系统的弱口令、数据未加密等安全漏洞，未能防患未经授权的访问及个人信息泄露、篡改、丢失等高风险，未落实网络安全等级保护制度要求，对敏感个人信息保护的内部管理不到位。望城区卫健局和区公安分局对上述医疗卫生机构收集、处理敏感个人信息活动未尽到监管职责。

2022年5月11日、16日，望城区院分别向区卫健局、区公安分局送达行政公益诉讼诉前检察建议，建议区卫健局改进征求知情同意的方式，避免过度收集指纹或人脸识别信息等个人生物识别信息；完善技术和管理措施，防止未经授权的访问及个人信息泄露、篡改、丢失。建议区公安分局对17家医疗卫生机构未履行网络安全等级保护责任的行为依法处理。同时将上述检察建议抄送望城区网信部门。

望城区卫健局、区公安分局收到检察建议后高度重视，部署开展了专项行动。望城区卫健局认真进行调研，研究解决方案，并向长沙市卫生健康委员会（以下简称市卫健委）专题汇报，长沙市卫健委以望城整改方案为蓝本推进全市医疗卫生机制规范、合法处理个人信息。望城区公安分局召开专门网络安全会议，对全区医疗卫生机构进行网络安全检查。望城区卫健局、区公安分局召集医疗卫生机构、系统开发单位、网络安全检测公司、区数据中心等单位多次召开座谈会，望城区院和区委网信办受邀参会。截至2022年6月10日，全区23家单位均已完成电子签核系统升级，取消生物识别信息功能；21家单位已彻底删除既往数据，并按照保密文件要求将已收集个人生物识别信息交区疾控中心代为封存保管，疫苗有效期满后进行硬盘格式化删除；升级后的电子签核系统完善了内部信息安全管理制度、加强系统物理隔离、对数据传输和存储加密保护、新增限制授权访问等安全防护措施，信息安全等级保护经专家评定为1级，系统改为局域网内部运行，于2022年8月初在全区正式启用。

2022年8月8日，望城区院跟进监督发现，升级后的电子签核系统采用电子屏签字的方式确认接种告知并在局域网运行；收集的电子签字、疫苗接种等个人信息已加密；已收集的个人生物识别信息已在医疗卫生机构彻底删除。上述整改方式在全市范围内推广已显成效。同年8月11日，该院组织召开听证会，邀请人大代表、政协委员、“益心为公”志愿者及专家学者担任听证员，与会人员一致认为行政机关已采取积极有效措施全面履职，敏感个人信息被侵害重大风险已消除。（来源：郑州市人民检察院网站）

案例8景区未及时删除人脸识别数据，检察院督促整改，120万余条人脸信息完全删除。

2021年11月初，湖州市检察院、湖州市南浔区检察院成立专案组进行立案调查，并进行电子取证。监察机关发现，景区现场购票除要求游客提供身份证外，还强制要求游客进行刷脸认证。与此同时，景区运营公司并没有对游客人脸信息进行妥善处理——对储存在服务器中的所有信息未设置定期清除机制，个人信息存在安全隐患。

根据个人信息保护法的规定，收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务。在个人信息处理目的已经实现的情况下，应删除个人信息。

2021年11月12日，围绕涉案人脸信息被侵害问题，浙江省三级检察院会同当地旅游度假区管委会、景区运营公司召开磋商会，并邀请浙江省消费者权益保护委员会相关工作人员和法律专家参加。11月18日，湖州市检察院向景区运营公司制发检察建议，督促其积极整改。

为确保删除工作符合规范，有效维护公民个人信息安全，2021年11月24日，浙江省检察院组织技术力量会同办案人员赴现场开展技术勘验，湖州市检察院邀请人大代表、人民监督员到现场见证，该景区前期采集、储存的120万余条游客人脸信息被完全删除。

依据汇编

人脸识别技术合规应用涉及的法律、司法解释、国家标准、地方标准

（一）法律

1.《刑法》：2009年《刑法修正案（七）》首次将个人信息纳入刑法保护；2015年《刑法修正案（九）》扩大了保护范围。

2.《消费者权益保护法》：2014年修订的《消费者权益保护法》增加了第二十九条，将消费者个人信息纳入保护。

3.《网络安全法》：2016年通过的《网络安全法》规定网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意。

4.《民法典》：2020年通过的《民法典》规定未经肖像权人同意，不得制作、使用、公开肖像权人的肖像，法律另有规定的除外。同时明确了生物识别信息属于个人信息，并提出了个人信息处理应符合的要求。

5.《个人信息保护法》：2021年通过的《个人信息保护法》明确了人脸识别数据等生物识别信息属于敏感个人信息。对于处理人脸识别数据规定了相应要求。同时规定在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。

（二）司法解释

1.《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》：2017年6月1日正式施行，该司法解释是为依法惩治侵犯公民个人信息犯罪活动、保护公民个人信息安全和合法权益，根据《刑法》和《刑事诉讼法》在办理侵犯公民个人信息刑事案件适用法律的若干问题的解释。

2.《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件使用法律若干问题的规定》：2021年8月1日正式施行，该司法解释为法院正确审理涉人脸识别技术纠纷提供了法律依据。该司法解释的适用范围是因信息处理者违反法律、行政法规的规定或者双方的约定使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息所引起的民事案件。

（三）标准

1.GB/T 35273-2020《信息安全技术 个人信息安全规范》：对于个人生物识别信息的收集、传输和存储规则作出了细化的规定。

2.GB/T 41819-2022《信息安全技术 人脸识别数据安全要求 》：涵盖人脸识别数据处理的全生命周期，即收集、存储、使用、传输、提供、公开、删除。

3.GB/T 40660-2021《信息安全技术 生物特征识别信息保护基本要求》：规定了生物特征识别信息控制者开展收集、存储、使用、委托处理共享、转让、公开披露、删除等生物特征识别信息处理活动应遵循的基本原则和安全要求。

4.GB/T 38671-2020《信息安全技术 远程人脸识别系统技术要求》：规定了采用人脸识别技术在服务器端远程进行身份鉴别的信息系统的功能、性能和安全要求、安全保障要求。

5.GB/T 38542-2020《信息安全技术 基于生物特征识别的移动智能终端身份鉴别技术框架》：规定了基于生物特征识别的移动智能终端身份鉴别的总体技术框架、业务流程、功能要求和安全要求。

6.GB/T 36651-2018《信息安全技术 基于可信环境的生物特征识别身份鉴别协议框架》：规定了基于可信环境的生物特征识别身份鉴别协议框架，包括协议架构、协议流程、协议要求以及协议接口等内容。

7.《网络安全标准实践指南——人脸识别支付场景个人信息保护安全要求》：针对服务提供方，提出4项安全要求。针对场所管理方，提出2项安全要求。

8.JR/T 0171-2020《个人金融信息保护技术规范》：明确人脸识别数据、指纹识别数据等个人生物识别信息属于C3级别。

9.上海市市场监督管理局发布《公共场所人脸识别分级分类应用规范（征求意见稿）》：全国首个公共场所人脸识别分级分类管理的地方标准，文件对人脸识别应用的常见公共场所做出了界定。