【案件回顾】

2021年11月，汪某通过购票系统购买了一张某车次高铁二等座客票。同日，汪某进站乘车时，有人工验票通道和自助验票通道，车站广播提示乘客需要手持身份证、摘掉口罩刷脸进站。汪某认为，在她持票证刷脸进站的过程中，铁路局采集并存储了她的敏感人脸信息。

汪某购票后通过自助闸机刷脸验票后进站乘车。汪某认为铁路部门在采集其人脸信息时，未依法作出明确告知，也未取得其授权或同意，侵害了她的合法权益，遂向法院提起诉讼。那么采集原告汪某人脸信息是否违法？

【汉济律师论法】

在乘客通过铁路自助闸机进站过程中，虽然采集了乘客的人脸信息，但并不存在存储传输及其他处理行为，并未对个人信息安全构成重大威胁。根据《民法典》及《个人信息保护法》的相关规定，处理敏感个人信息应当取得个人的同意，某铁路局并未对进站自助闸机人脸识别取得其个人同意，侵害了其合法权益。

汪某在进行面部识别前，并没有任何工作人员告知原告，采集人脸信息是什么原因，也没有看见张贴的告示来告知人脸识别的用途以及处理方式，更没有任何人或者设备在采集原告面部信息时，事先征得原告的授权或同意。

【汉济律师提醒】

《个人信息保护法》规定处理敏感个人信息，要取得个人单独同意。另外个人信息处理者对于敏感的个人信息的处理也负有更高度的这种注意的义务。

因为敏感的个人信息，如果被泄露或者说非法使用的话，很容易对于人格的尊严造成损害，对人身财产安全造成危害，所以法律上给予非常严格的保护。尽管铁路部门基于履行维护公共安全的法定义务，可以处理乘客人脸信息，符合个人信息保护法不需取得乘客个人同意的情形。但取得同意义务的免除并不免除告知义务，某铁路局未对采集乘客人脸信息的目的、方式、信息处理等事项履行告知义务，存在告知缺陷。

最终综合考量某铁路局为乘客提供人工通道选择权、多方广告告示、未过度使用人脸信息以及告知义务缺陷对汪某的影响和损害小等因素，告知缺陷亦不足以单独构成侵权。

法条链接：

《中华人民共和国个人信息保护法》

第十七条：个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名和联系方式；个人信息的处理目的、处理方式，处理的个人信息种类、保存期限等

第一千零三十四条  自然人的个人信息受法律保护。

个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。

第一千零三十五条  处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：

（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；

（二）公开处理信息的规则；

（三）明示处理信息的目的、方式和范围；

（四）不违反法律、行政法规的规定和双方的约定。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

第一千零三十六条  处理个人信息，有下列情形之一的，行为人不承担民事责任：

（一）在该自然人或者其监护人同意的范围内合理实施的行为；

（二）合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外；

（三）为维护公共利益或者该自然人合法权益，合理实施的其他行为。

第一千零三十八条  信息处理者不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外。

信息处理者应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失；发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，按照规定告知自然人并向有关主管部门报告。

第一千零三十九条  国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息，应当予以保密，不得泄露或者向他人非法提供。