近日“人脸识别一定要穿上衣服”的话题引发热议。事件的起因是一名博主称，大家在使用App人脸识别功能时一定要穿衣服，因为“摄像头不仅仅只采集被识别者人脸的一部分”。这一说法被行业专家所证实。

  在人们看来，人脸识别当然是识别人脸。但实际上，人脸识别图像上显示的是人脸，不过后台能够看见的画面已不局限在人脸范围。这样的人脸识别采集图像，的确有“说话不算数”之嫌。进一步说来，如此人脸识别的App在法律上也涉嫌越权或者侵权。

  人脸识别的相关应用需要公民肖像做支撑，因此，肖像权是人脸识别过程中最有可能受到侵害的权利。人脸识别只能采集公民主动提供人脸的图像信息，一旦采集范围扩大，将人脸周围的图像、公民所处的环境、正在从事的行为等信息进行采集，将侵犯公民不愿暴露的隐私。此外，如果图像采集者对此信息不当使用，造成了公民社会评价降低，同样可能侵害公民的名誉权。超范围进行人脸识别，不仅侵犯公民的人格权利，更是直接侵犯公民对自身个人信息的知情权。公民在使用App的人脸识别功能时，同意将作为个人生物识别信息的面部信息提供给信息处理者。与此同时，公民也应当对于其所提供的信息享有知情权，其应当知晓信息使用的目的、所提供的信息范围等。

  而上述话题之所以引发热议，就是大多数App用户在使用人脸识别功能时，以为仅提供了面部信息，这也是基于“人脸识别”这个概念的基本认知，可以说是常识上的。但行业内对人脸识别的认知却不同，认为“摄像头拍到全入镜是常识”，还声称“用户应具风险意识”，这种辩解是难以令人接受的。

  2019年，国家4个部门曾联合发布了《App违法违规收集使用个人信息行为认定方法》，其中第三条明确列出了被认定为“未经用户同意收集使用个人信息”的情形。其中“实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围”就构成违规行为。而人脸识别App超范围采集公民的图像信息，显然超出了公民所能认识到提供的信息范围，更不可能符合“自愿同意”原则。而对于这样违规收集个人信息的网络运营者、网络产品或者服务提供者，根据《网络安全法》的规定，被主管部门责令改正是前提，并根据情节的严重与否，有可能被处以警告、没收违法所得、停业整顿、吊销营业执照等处罚。

  此外，如果侵犯公民个人信息行为的社会危害性较大的话，这种行为也不排除触犯刑法构成犯罪的可能。我国刑法第二百五十三条之一规定了侵犯公民个人信息罪，即“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金”，“窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚”。该罪覆盖的主体范围就包括各种App、网络平台等相关信息收集、处理者。

  事实上，在此事件曝光后，人们更加担忧在大数据、人工智能时代的信息权益风险。这样的风险显然不能仅依靠用户的风险意识来解决，而是应该依靠信息处理者的行业规范、职业道德，个人信息脱敏、加密、隐名化等技术加持，以及公权部门、社会等多维度监管才行。

  不久前，欧盟数据保护委员会（EDPB）和欧盟数据保护监督局（EDPS）针对欧盟今年4月发布的人工智能法规草案发表联合意见，进一步呼吁在公共场所禁止使用人工智能自动识别包括人脸识别在内的个人生物特征。随着对个人生物信息保护的认识不断提高，人脸识别等生物信息识别技术必须加强规范与安全规制。信息处理者必须尊重每一个用户，敬畏法律和权利，谨慎使用手中的技术能力，这才是相关企业规避信息风险，维护用户利益，促进企业长远发展需要树立的基本理念。

  （作者：金泽刚，系同济大学法学教授）(7--1)