作為新型生物特征識(shí)別技術(shù)，人臉識(shí)別技術(shù)具有易收集性、無感知性、泛在性等特點(diǎn)，被廣泛運(yùn)用在行政監(jiān)管、公共服務(wù)、商業(yè)交易等各個(gè)領(lǐng)域。

　　當(dāng)前，“人臉解鎖”“刷臉支付”“刷臉進(jìn)出”已成為公眾生活的常態(tài)。人們在享受其給工作和生活帶來巨大便利的同時(shí)，也引發(fā)了國內(nèi)外對隱私與數(shù)據(jù)安全問題的普遍關(guān)注：“人臉”采集和使用的邊界何在，如何更好規(guī)范人臉識(shí)別技術(shù)設(shè)置更為合理科學(xué)的規(guī)則，如何實(shí)現(xiàn)信息技術(shù)與人格利益之間的平衡，成為社會(huì)各界熱議的焦點(diǎn)。

　　在此背景下，最高人民法院出臺(tái)了《關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問題的規(guī)定》（以下簡稱《規(guī)定》），為人臉識(shí)別相關(guān)民事案件的審判提供了裁判指引，為人臉識(shí)別技術(shù)使用劃定了清晰邊界，為個(gè)人合法權(quán)益的保護(hù)構(gòu)建了堅(jiān)實(shí)壁壘。

　　一、《規(guī)定》涵蓋了使用人臉識(shí)別技術(shù)的主要場景、目的和環(huán)節(jié)

　　從概念層面看，《規(guī)定》所規(guī)范的對象是“使用人臉識(shí)別技術(shù)處理人臉信息”。從人民法院的司法裁判以及國家標(biāo)準(zhǔn)《個(gè)人信息安全規(guī)范》《人臉識(shí)別數(shù)據(jù)安全要求（征求意見稿）》等綜合觀之，“人臉信息”不僅包括人臉識(shí)別技術(shù)通過算法生成的人臉特征數(shù)據(jù)，還包括人臉識(shí)別技術(shù)所抓取的原始人臉圖像?！兑?guī)定》使用“人臉信息”的概念，不僅符合人臉識(shí)別技術(shù)所牽涉的個(gè)人信息，也更有利于全面保護(hù)人民群眾的人格利益。

　　從應(yīng)用場景層面看，《規(guī)定》涵蓋了人臉識(shí)別技術(shù)最常見的應(yīng)用場景，如經(jīng)營場所、公共場所、線上應(yīng)用、物業(yè)服務(wù)等，從司法角度針對不同場景中人民群眾所普遍關(guān)心的問題予以界定和規(guī)制，體現(xiàn)了司法機(jī)關(guān)的問題導(dǎo)向和人民立場。

　　從使用目的層面看，《規(guī)定》全面涵蓋了使用人臉識(shí)別技術(shù)的三種基礎(chǔ)性目的：人臉驗(yàn)證、人臉辨識(shí)和人臉分析。

　　其中，人臉驗(yàn)證是將采集的人臉識(shí)別數(shù)據(jù)與存儲(chǔ)的特定自然人的人臉識(shí)別數(shù)據(jù)進(jìn)行比對（1:1比對），以確認(rèn)特定自然人是否為其所聲明的身份。以人臉驗(yàn)證為目的而使用人臉識(shí)別技術(shù)的，主要集中于安檢、金融支付等重要領(lǐng)域，要求相對較高，管理較為規(guī)范。應(yīng)用場景包括機(jī)場、火車站的人證比對，網(wǎng)絡(luò)支付環(huán)境中的人臉驗(yàn)證等。

　　人臉辨識(shí)是將采集的人臉識(shí)別數(shù)據(jù)與已存儲(chǔ)的指定范圍內(nèi)的人臉識(shí)別數(shù)據(jù)進(jìn)行比對（1:N比對），以識(shí)別特定自然人。以人臉辨識(shí)為目的的人臉識(shí)別，應(yīng)用場景較為廣泛，技術(shù)層面也相對容易實(shí)現(xiàn)，比如公園入園、居民小區(qū)門禁、商場通過“無感”式人臉識(shí)別辨識(shí)特定客戶或者中介等，實(shí)踐中容易因未征得個(gè)人同意而觸碰法律紅線。

　　人臉分析是指通過分析人臉圖像，預(yù)測評(píng)估個(gè)人年齡、健康、天賦、情緒、工作或者學(xué)習(xí)專注度等個(gè)人特征的活動(dòng)。人臉分析可能會(huì)引發(fā)個(gè)人歧視，侵害人格尊嚴(yán)。部分國家對人臉分析持完全否定態(tài)度。

　　對于人臉識(shí)別的上述三種基礎(chǔ)性目的，《人臉識(shí)別數(shù)據(jù)安全要求（征求意見稿）》中也有涉及。

　　從處理環(huán)節(jié)層面看，《規(guī)定》將人臉信息的處理界定為人臉信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等，這與民法典第一千零三十五條的規(guī)定保持了一致?；谏鲜鎏幚砹鞒?，《規(guī)定》通過不同條款完整覆蓋了人臉信息處理的全鏈條，例如事先告知、單獨(dú)同意、不得強(qiáng)迫同意、按約處理、安全存儲(chǔ)、違約刪除等。

　　總之，《規(guī)定》在全面深入總結(jié)人臉識(shí)別技術(shù)相關(guān)問題的基礎(chǔ)上，對人臉識(shí)別技術(shù)所涉信息范圍、主要場景、目的和環(huán)節(jié)均予以回應(yīng)和規(guī)定，必將推動(dòng)人臉信息的全面司法保護(hù)，也為規(guī)范人臉識(shí)別行業(yè)健康有序發(fā)展奠定良好基礎(chǔ)。

　　二、《規(guī)定》進(jìn)一步壓實(shí)個(gè)人信息處理的合法性基礎(chǔ)

　　無論是民法典還是網(wǎng)絡(luò)安全法，都將個(gè)人同意作為個(gè)人信息處理首要合法性基礎(chǔ)。然而，實(shí)踐中的人臉識(shí)別應(yīng)用存在各種不規(guī)范做法，使得個(gè)人同意往往流于形式。

　　常見的情況包括：“無感知被收集”，即進(jìn)入人臉識(shí)別區(qū)域卻毫無所知，自然人的人臉信息未經(jīng)任何告知和同意就直接被收集；“一攬子收集”，即將人臉識(shí)別技術(shù)的使用和人臉信息的處理規(guī)則，與其他個(gè)人信息的授權(quán)和處理規(guī)則，一同寫在隱私政策或者用戶協(xié)議中，一次性征得用戶同意，用戶根本沒有對人臉信息處理的選擇權(quán)；“強(qiáng)迫收集”，即當(dāng)人臉信息并非產(chǎn)品或服務(wù)的必要信息時(shí)，強(qiáng)制要求個(gè)人接受人臉識(shí)別才能安裝或繼續(xù)使用具體的產(chǎn)品或服務(wù)，既不符合自愿原則，還違反了“合法、正當(dāng)、必要”原則。

　　人臉信息屬于高度敏感的個(gè)人信息，也是生物識(shí)別信息中社交屬性最強(qiáng)、最易采集的個(gè)人信息，一旦泄露將對個(gè)人的人身和財(cái)產(chǎn)安全造成極大危害，甚至還可能威脅公共安全。因此，必須對此類敏感個(gè)人信息采取更嚴(yán)格的保護(hù)措施。

　　《規(guī)定》在民法典第一千零三十五條的基礎(chǔ)上，充分吸收個(gè)人信息保護(hù)立法重要成果，進(jìn)一步將“同意”細(xì)化為“單獨(dú)同意”，目的在于對人臉信息提供增強(qiáng)式保護(hù)，讓個(gè)人更加充分地參與到人臉信息處理的決策之中。

　　根據(jù)《規(guī)定》第二條，基于個(gè)人同意處理人臉信息的，未征得自然人或者其監(jiān)護(hù)人的單獨(dú)同意，或者未按照法律、行政法規(guī)的規(guī)定征得自然人或者其監(jiān)護(hù)人的書面同意的，應(yīng)當(dāng)認(rèn)定屬于侵害自然人人格權(quán)益的行為。

　　所謂“單獨(dú)同意”，是指對人臉信息的處理行為及其規(guī)則，個(gè)人能夠獨(dú)立于其他個(gè)人信息處理行為及規(guī)則自由地作出同意。換句話說，對人臉信息的處理，不能與其他個(gè)人信息的處理合并在一起獲得個(gè)人的同意。

　　根據(jù)國家標(biāo)準(zhǔn)《個(gè)人信息安全規(guī)范》第5.4（C）的規(guī)定，收集個(gè)人生物識(shí)別信息前，應(yīng)單獨(dú)向個(gè)人信息主體告知收集、使用個(gè)人生物識(shí)別信息的目的、方式和范圍，以及存儲(chǔ)時(shí)間等規(guī)則，并征得個(gè)人信息主體的明示同意。

　　國家標(biāo)準(zhǔn)《個(gè)人信息安全規(guī)范》自2020年10月1日實(shí)施以來，對規(guī)范人臉識(shí)別行業(yè)起到了積極作用。

　　三、“單獨(dú)同意”能夠有效規(guī)范人臉識(shí)別技術(shù)行業(yè)發(fā)展

　　從前文分析可知，單獨(dú)同意，目的是為了保障個(gè)人對其人臉信息的處理享有知情權(quán)、決定權(quán)，確保個(gè)人有權(quán)限制或者拒絕他人對其人臉信息進(jìn)行處理。筆者認(rèn)為，充分知情、自愿、明確、單獨(dú)構(gòu)成了單獨(dú)同意的四個(gè)要件。在法律規(guī)定需要征得個(gè)人同意方可處理個(gè)人信息的場景下，采集人臉信息必須符合單獨(dú)同意的要求。

　　比如，具有人臉識(shí)別功能的應(yīng)用程序，應(yīng)用商可在用戶首次開啟人臉識(shí)別功能時(shí)，通過彈窗、跳轉(zhuǎn)專門頁面等形式同步告知該功能的信息處理規(guī)則（以滿足“充分知情”的要求）；該規(guī)則應(yīng)僅包含對人臉識(shí)別功能及其信息處理規(guī)則的描述而不包括對其他不相關(guān)事項(xiàng)的描述（以滿足“單獨(dú)”的要求）；用戶通過點(diǎn)擊“同意”或“已知悉，并繼續(xù)使用”等主動(dòng)性動(dòng)作清楚地表達(dá)自己的意愿（以滿足“明確”的要求）；如果人臉信息并不屬于該應(yīng)用的必要個(gè)人信息，用戶在閱讀信息處理規(guī)則后，既可以選擇開啟該功能，也可以選擇不開啟該功能。如果選擇不開啟該功能，用戶仍然可以通過其他替代性方式繼續(xù)使用應(yīng)用程序的其他功能（以滿足“自愿”的要求）。

　　當(dāng)然，應(yīng)用商對人臉識(shí)別功能信息處理規(guī)則的要求，必須遵守必要原則，不能將不是實(shí)現(xiàn)功能所必需的信息收集和處理行為“私藏”于其中。

　　在充分知情、自愿、明確、單獨(dú)等要素的有力支撐下，“單獨(dú)同意”能夠效遏制人臉識(shí)別技術(shù)的使用亂象。

　　首先，“單獨(dú)同意”能夠破除“無感知被收集”的情形。除法律另有規(guī)定以及《規(guī)定》所列免責(zé)事由外，“單獨(dú)同意”能夠遏制在賓館、商場、娛樂場所等經(jīng)營場所、公共場所，在未征得客戶單獨(dú)同意的情況下，以無感知的人臉識(shí)別完成人臉辨識(shí)、人臉分析等社會(huì)反映強(qiáng)烈的問題。

　　其次，“單獨(dú)同意”能夠破除“一攬子授權(quán)”“捆綁授權(quán)”的情況，因?yàn)槿四樞畔⑻幚淼耐鈶?yīng)當(dāng)與其他的個(gè)人信息處理行為區(qū)分開，并分別征得個(gè)人的同意，個(gè)人因而獲得了單獨(dú)對人臉信息處理做出同意與否的決定，能夠遏制APP、應(yīng)用程序、專用設(shè)備等將人臉識(shí)別與其他個(gè)人信息授權(quán)或其他事項(xiàng)授權(quán)進(jìn)行捆綁，由用戶統(tǒng)一同意的情況。

　　再次，“單獨(dú)同意”能夠破除“強(qiáng)迫收集”的情形，在個(gè)人獲得單獨(dú)對人臉信息處理與否做出決定的機(jī)會(huì)時(shí)，當(dāng)人臉信息不屬于提供產(chǎn)品或者服務(wù)所必需時(shí)，個(gè)人完全可以拒絕，且拒絕操作并不影響產(chǎn)品或服務(wù)使用。對于信息處理者雖然單獨(dú)告知，但卻采取其他技術(shù)手段強(qiáng)迫或者變相強(qiáng)迫收集人臉信息的，也屬于違反自愿原則的情形，結(jié)合《規(guī)定》第四條的規(guī)定，應(yīng)為無效同意。在這種情況下，信息處理者繼續(xù)處理人臉信息的，個(gè)人可依法追究信息處理者的侵權(quán)責(zé)任。

　　客觀上而言，任何技術(shù)都存在風(fēng)險(xiǎn)，人臉識(shí)別技術(shù)的風(fēng)險(xiǎn)很大程度不在于該項(xiàng)技術(shù)本身，而在于人為應(yīng)用。該技術(shù)的持續(xù)穩(wěn)定發(fā)展需要嚴(yán)密科學(xué)的規(guī)則來保駕護(hù)航，通過明確信息處理者的立場邊界、規(guī)制違法濫用行為，能夠促進(jìn)良性生態(tài)系統(tǒng)的形成。面對當(dāng)前人臉識(shí)別問題亟待規(guī)制的現(xiàn)狀，《規(guī)定》的及時(shí)出臺(tái)將人臉信息等個(gè)人信息權(quán)益的保護(hù)落實(shí)到可操作層面，為下一步法律層面規(guī)范個(gè)人信息處理活動(dòng)、促進(jìn)數(shù)字經(jīng)濟(jì)健康發(fā)展提供了良好的司法實(shí)踐樣本。