7月28日，最高人民法院發布《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》（以下簡稱《規定》），對人臉識別的應用場景、使用目的、責任認定等層面做出規范。

目前，在機場、酒店、銀行等場景，人臉識別已經逐漸普及，而在售樓處、商場等地，無感知的人臉識別也悄然興起，其引發的爭議甚至登上了“3·15晚會”。

北京理工大學法學院教授、國家標準《個人信息安全規范》編制組組長洪延青表示，無論是民法典還是網絡安全法，都將個人同意作為個人信息處理首要合法性基礎。然而，實踐中的人臉識別應用存在各種不規范做法，使得個人同意往往流于形式。而《規定》在民法典第一千零三十五條的基礎上，充分吸收個人信息保護立法重要成果，進一步將“同意”細化為“單獨同意”，目的在于對人臉信息提供增強式保護，讓個人更加充分地參與到人臉信息處理的決策之中。

“3·15晚會”曝光個案被界定為侵害自然人人格權益行為

最高人民法院副院長楊萬明在《規定》新聞發布會上指出，這部司法解釋的頒布實施，對最高人民法院指導各級人民法院正確審理相關案件、統一裁判標準、維護法律統一正確實施、實現高質量司法，具有重要而現實的意義。

楊萬明表示，民法典頒布后，最高人民法院對《民事案件案由規定》進行了修正，新增了個人信息保護糾紛案由。民法典施行以來，截止到6月30日，各級人民法院正式以個人信息保護糾紛案由立案的一審案件192件，審結103件。“人臉識別第一案”也于今年4月9日二審宣判，依法保護自然人人臉信息等生物識別信息。隨著民法典貫徹實施的不斷深入、《個人信息保護法》即將頒布實施，人民法院將進一步通過司法裁判筑起保衛人民群眾個人信息權益的堅強司法屏障。

據了解，人臉識別是人工智能的重要應用。大到智慧城市建設，小到手機客戶端的登錄解鎖，都能見到人臉識別的應用。但在為社會生活帶來便利的同時，人臉識別技術所帶來的個人信息保護問題也日益凸顯。如有些知名門店使用“無感式”人臉識別技術在未經同意的情況下擅自采集消費者人臉信息，分析消費者的性別、年齡、心情等，進而采取不同營銷策略；有些物業服務企業強制將人臉識別作為業主出入小區或者單元門的唯一驗證方式，要求業主錄入人臉并綁定相關個人信息，未經識別的業主不得進入小區；部分線上平臺或者應用軟件強制索取用戶的人臉信息，還有的賣家在社交平臺和網站公開售賣人臉識別視頻、買賣人臉信息等。因人臉信息等身份信息泄露導致“被貸款”“被詐騙”和隱私權、名譽權被侵害等問題也多有發生。

楊萬明表示，《規定》針對實踐中反映較為突出的問題，從侵權責任、合同規則以及訴訟程序等方面規定了16個條文。其中，《規定》第2條至第9條主要從人格權和侵權責任角度明確了濫用人臉識別技術處理人臉信息行為的性質和責任。

據楊萬明介紹，《規定》第2條規定了侵害自然人人格權益行為的認定，針對今年“3·15晚會”所曝光的線下門店在經營場所濫用人臉識別技術進行人臉辨識、人臉分析等行為，以及社會反映強烈的幾類典型行為，該條均予以列舉，明確將之界定為侵害自然人人格權益的行為。針對部分商家采用一次概括授權、與其他授權捆綁、“不同意就不提供服務”等不合理手段處理自然人人臉信息的，第2條和第4條明確，處理自然人的人臉信息，必須征得自然人或者其監護人的單獨同意；對于違反單獨同意，或者強迫、變相強迫自然人同意處理其人臉信息的，構成侵害自然人人格權益的行為。第5條對民法典第1036條進行細化，明確了處理人臉信息的免責事由；第6條至第9條分別規定了舉證責任、多個信息處理者侵權責任的承擔、財產損失的范圍界定以及人格權侵害禁令的適用等。

人臉信息不得“無感知收集”、“一攬子收集”、“強迫收集”

在洪延青看來，無論是民法典還是網絡安全法，都將個人同意作為個人信息處理首要合法性基礎。然而，實踐中的人臉識別應用存在各種不規范做法，使得個人同意往往流于形式。

目前，常見的情況包括：“無感知被收集”，即進入人臉識別區域卻毫無所知，自然人的人臉信息未經任何告知和同意就直接被收集；“一攬子收集”，即將人臉識別技術的使用和人臉信息的處理規則，與其他個人信息的授權和處理規則，一同寫在隱私政策或者用戶協議中，一次性征得用戶同意，用戶根本沒有對人臉信息處理的選擇權；“強迫收集”，即當人臉信息并非產品或服務的必要信息時，強制要求個人接受人臉識別才能安裝或繼續使用具體的產品或服務，既不符合自愿原則，還違反了“合法、正當、必要”原則。

洪延青表示，《規定》在民法典第一千零三十五條的基礎上，充分吸收個人信息保護立法重要成果，進一步將“同意”細化為“單獨同意”，目的在于對人臉信息提供增強式保護，讓個人更加充分地參與到人臉信息處理的決策之中。

根據《規定》第二條，基于個人同意處理人臉信息的，未征得自然人或者其監護人的單獨同意，或者未按照法律、行政法規的規定征得自然人或者其監護人的書面同意的，應當認定屬于侵害自然人人格權益的行為。

洪延青稱，所謂“單獨同意”，是指對人臉信息的處理行為及其規則，個人能夠獨立于其他個人信息處理行為及規則自由地作出同意。換句話說，對人臉信息的處理，不能與其他個人信息的處理合并在一起獲得個人的同意。在充分知情、自愿、明確、單獨等要素的有力支撐下，“單獨同意”能夠有效遏制人臉識別技術的使用亂象。

“客觀上而言，任何技術都存在風險，人臉識別技術的風險很大程度不在于該項技術本身，而在于人為應用。該技術的持續穩定發展需要嚴密科學的規則來保駕護航，通過明確信息處理者的立場邊界、規制違法濫用行為，能夠促進良性生態系統的形成。面對當前人臉識別問題亟待規制的現狀，《規定》的及時出臺將人臉信息等個人信息權益的保護落實到可操作層面，為下一步法律層面規范個人信息處理活動、促進數字經濟健康發展提供了良好的司法實踐樣本。”洪延青表示。