2021年8月1日起，《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（以下简称“《规定》”）开始施行。《规定》共16个条文，围绕适用范围、侵权行为表现、侵权责任判定、责任承担、举证责任分配、损失认定、行为禁令等方面，从司法裁判的角度对于人脸识别的相关争议纠纷的处理予以了明确的规定，也为人脸识别的合规提供了指引。

01. 监控=人脸识别？

根据《规定》第一条，因信息处理者违反法律、行政法规的规定或者双方的约定使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息所引起的民事案件，均适用于本规定。

结合《民法典》对个人信息的处理的定义以及现行GB/T 35273-2020《信息安全技术个人信息安全规范》对“个人信息控制者”的定义，参考《个人信息保护法（草案）》对个人信息处理者定义，笔者认为，《规定》中信息处理者可以理解为在个人信息处理活动中自主决定处理目的、处理方式等的组织或个人。

根据《信息安全技术 人脸识别数据安全要求》（征求意见稿）（以下简称《人脸识别数据安全要求》）中的定义，人脸图像是指自然人脸部信息的模拟或数字表示，人脸图像既可以通过设备收集，也可以通过对视频、数字照片等进行处理后获得；人脸识别数据是指“人脸图像及其处理得到的，可单独或与其他信息结合识别特定自然人或特定自然人身份的数据”。《规定》中所称的“人脸信息”是指《民法典》中规定的“生物识别信息”，也就是说该信息以电子或者其他方式记录，能够单独或者与其他信息结合识别特定自然人。笔者认为，《规定》中的人脸信息仍然强调其作为个人信息的“识别性”属性。

1、使用人脸识别技术处理人脸信息所引发的违反个人信息保护规定的争议，例如在人脸信息的收集阶段，未征得用户单独同意的情形，可能表现为在收集人脸信息之前或之时，仅告知用户，或是与其他的个人信息收集进行概括授权的处理。

2、处理基于人脸识别技术生成的人脸信息所引发的包括侵犯肖像权、名誉权、隐私权等在内的人格权侵权纠纷，例如将用户头像使用在黄色淫秽网站的，就可能涉嫌对用户名誉权的侵害。

3、处理人脸信息可能引发的合同违约争议纠纷，例如在使用人脸识别技术收集人脸信息中仅约定用户授权使用的用途为A用途，但实际使用却是B用途。

02. 告知用户=同意授权？

根据《规定》第二条，明确了处理人脸信息行为属于侵害自然人人格权益行为的具体表现，其中第（二）款至第（八）款，笔者理解为是对《民法典》第一千零三十五条及第第一千零三十八条的重申，第（八）款更是对合法、正当、必要原则的兜底情形。

第一款“在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析。”则对人脸识别技术典型应用场景进行了司法层面的具体规定。比如本条款中的“商场”，可以视为新零售的典型应用，不少企业通过对店内安装的摄像头进行人脸信息采集后分析顾客的购物习惯、滞留时间等，改进货物的陈列、货品的上架更新、用户的精准营销或推送。

近日，上海市静安区市场监督管理局对科勒（中国）投资有限公司作出行政处罚决定。根据该决定书内容显示，科勒（中国）投资有限公司于2020年2月25日与苏州万店掌网络科技有限公司（以下简称“万店掌”）签订系统框架合同，约定由万店掌向其供应摄像设备，包括智能督导服务器、监控硬盘、会员识别感知仪等产品及软件系统等，合同签订后，由万店掌在科勒公司的经销商门店进行安装。上述摄像设备会自动抓取到店人员的人脸信息，并通过软件系统将收集到的人脸信息图片上传至万店掌租用的阿里云服务器，再经过算法计算筛除门店员工及重复进店的顾客，达到去重目的。科勒公司据此来精准统计客流，方便制定销售政策，但在利用上述摄像设备收集消费者人脸信息时，并未取得消费者的明示或授权同意。最终对于该等未经消费者同意擅自在门店安装摄像设备抓取人脸信息的行为，市场监督管理局对科勒公司作出罚款人民币伍拾万元的处罚。

又有，江阴市市场监督管理局于2021年7月23日对江阴梁瑞置业有限公司作出10万元的行政处罚。根据决定书内容显示，该置业公司的售楼处安装了“HIKVISION”的方形网络摄像机，该网络摄像机为人脸信息抓拍摄像机。2021年3月17日，该公司在其售楼处沙盘服务台上摆放了一块A4纸大小标示“关于XX售楼处现场采集人脸信息的告知”的立牌，提醒来访客户售楼处有人脸识别摄像机，但此前未设置告知客户售楼处有人脸抓拍设备之类的明示海报、标语、铭牌等，该公司也无法提供来访客户人脸抓拍有关事项知情同意书。该公司使用人脸信息抓拍摄像机抓拍来访客户的目的是通过比对客户的人脸面部识别特征，确定客户的来访信息，为后期给全民经纪人和分销公司结算分销佣金提供依据。

上述行政处罚案件中，科勒公司的行为即属于《规定》中的使用人脸识别技术进行分析的行为，置业公司则属于使用人脸识别技术进行辨识的行为。而人脸识别技术的另一典型应用场景银行APP中的使用，则是属于使用人脸识别技术进行验证的行为。

如何区分使用人脸识别技术进行验证、辨识和分析这三种行为？根据《人脸识别数据安全要求》的定义，（1）人脸验证是指将采集的人脸识别数据与存储的特定自然人的人脸识别数据进行1：1比对，以确认特定自然人是否为其所声明的身份。典型应用包括机场、火车站的人证比对，移动智能终端的人脸解锁功能等。（2）人脸辨识是指将采集的人脸识别数据与已存储的指定范围内的人脸识别数据进行1：N比对，以识别特定自然人。典型应用包括公园入园、居民小区门禁等。（3）人脸分析：不开展人脸验证或人脸辨识，仅对采集的人脸图像进行统计、检测或特征分析。典型应用包括公共场所人流量统计、体温检测、图片美化等。

根据《规定》的本条款规定，在人脸信息的保护问题上，不再仅仅是互联网企业的关注要点，对于传统的产品生产销售型企业，比如上文中的科勒公司，在销售过程中涉及使用技术进行个人信息处理的，也应当关注个人信息的合规问题。

本条第三款规定“基于个人同意处理人脸信息的，未征得自然人或者其监护人的单独同意，或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意”。该条款内容与《个人信息保护法》（草案）中对于敏感个人信息的处理规则“基于个人同意处理敏感个人信息的，个人信息处理者应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。”也是保持了一致。同时结合《规定》第六条对举证责任的分配，应当由信息处理者对其已经取得用户同意的主张承担举证责任，换言之，若信息处理者无法提供相应证据的，则需要承担举证不能的责任后果，也就可能需要承担侵权责任。笔者认为，本条款对于单独同意和书面同意的规定，实则对信息处理者的合规提出了更高的要求，关于个人信息保护和信息应用之间的平衡取舍，也将是法律人进一步思索并探究的问题。

同时，结合《规定》第四条内容，存在（1）处理人脸信息并非属于提供产品或服务所必需的情况下，要求自然人同意处理其人脸信息才能提供产品或服务；（2）以捆绑方式要求自然人同意处理人脸信息的；（3）其他强迫或者变相强迫自然人同意处理人脸信息的情形，均不能作为信息处理者已取得同意的的情形。笔者认为，本条规定仍然是基于必要原则出发，对前述“单独授权”的重申。

03. 合规，先从修改用户协议和个人信息保护政策开始

正如笔者在前文中所述，人脸识别信息的处理，不再仅仅是互联网企业所需要关注的问题，传统的生产销售企业在使用设备过程中也需要关于个人信息的保护问题。而对于互联网企业而言，关于个人信息信息的合规，应当继续坚持且贯彻合法、正当、必要的原则，对于人脸信息等敏感的个人信息还需要遵循单独同意等要求，而这些体现在用户协议或个人信息保护政策制定和实施中需要注意以下内容：

2、应当向用户公开人脸信息等敏感信息的处理规则，包括处理的目的、方式、范围；同时遵循与用户的授权约定，禁止出现超越用户同意的范围、权限使用的行为。

3、在基于知情同意原则上处理人脸信息等敏感信息的，应当征得自然人或其监护人的单独同意，或是按照法律、行政法规的规定征得自然人或其监护人的书面同意。笔者认为本条的处理要避免出现捆绑授权的情形，同时在协议文本中将关于人脸信息等敏感个人信息的处理作为独立条款，或是在个人信息处理条款中将该等信息进行加粗、下划线等显著的标注，实现用户的充分知情同意。也可以考虑在首次处理用户人脸信息前以单独弹窗的方式取得用户的同意。

4、在与用户的协议中，明确约定用户的删除权以及告知用户对其人脸信息的删除路径。根据《规定》内容，当信息处理者违反约定约定处理人脸信息的，自然人有权请求删除该人脸信息，法院依法予以支持。即使信息处理者以双方没有对人脸信息的删除作出约定进行抗辩的，法院也不予支持。

5、人脸信息的授权若是无期限、不可撤销、可任意转授权的，自然人有权以主张请求确认格式条款无效，法院依法予以支持。笔者对几款涉及人脸信息处理的APP进行查阅，发现在用户协议中仍然约定用户进行无期限、不可撤销、可转授权的授权。

6、采取应有的技术措施或者必要的措施确保收集、存储的人脸信息的安全，避免出现人脸信息的泄露、篡改、丢失，包括对于人脸信息等敏感信息采取加密存储和传输，将敏感信息和其他信息隔离存储，不存储原始人脸信息等。

对于使用涉及人脸信息处理设备的非互联网企业而言，典型的如商场、房产公司等，需要特别了解相关合作方（包括设备供应方等）对于个人信息的处理活动，以及该合作方是否对于其处理活动具有相应的安全保障能力并已采取相关措施，以及明确彼此之间的责任和义务。

而对于个人而言，无疑该《规定》通过举证责任的分配等规定为自然人保护个人信息提供了更为全面的指引，除了有权要求信息处理者停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉，还有权要求处理者承担包括律师费在内的损失赔偿，以及通过申请行为禁令的方式保护自身人格权益。尽管有前述规定，但笔者认为个人维权的现实不易，仍恐怕难以在短时内缓解。

来源：吴旭华律师团队