《最高法人脸识别技术规定》值得注意的六大问题

图片源于网络

7月28日，最高法发布《最高法关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（以下简称《规定》），该规定可以看做是《个人信息保护法》的前哨，对其进行具体解读一方面可以明确在人脸识别技术方面需要恪守的法律规则，另一方面也可以以此来探究未来将发布实施的《个人信息保护法》将走向何方。

一、从自然人的人格权益入手保护人脸信息

《规定》明确了人脸信息的定位，人脸信息属于个人信息中的生物识别信息。从规定的全文及官方解读来看，该《规定》是以保护人格权益特别是公民隐私权为切入点保护人脸信息。

将来的《个人信息保护法》可能也将以人格权益特别是公民隐私权为核心构建。

二、人脸信息处理的基本规则：“告知——同意”

《规定》明确了人脸信息处理的基本规则和法律红线是“告知——同意”，且“告知——同意”规则适用于人脸信息从获取到使用、交易最后存储及删除的全过程。

具体内容如下：

三、“告知——同意”存在四类例外情形

但法律也明确了有四类特殊情形可以例外，即不经过告知或同意就可以收集公民的人脸信息。

1、突发公共卫生事件时。比如此次突发疫情状况，寻找接触人员如需人脸信息，就无需事先告知并取得同意。

2、紧急情况下，为保护生命健康和财产安全。比如公共场所突发疾病，或者遭遇盗窃、抢劫等违法犯罪，需要人脸信息的情况。

3、公共场合，以公共安全为目的使用人脸识别技术。比如机场、高铁、酒店入住等需要人脸识别技术核验人证一致的情况。

4、新闻报道、舆论监督，以公共利益在合理范围内处理人脸信息，比如报道寻人启事、犯罪嫌疑人通缉；报道重大安全责任事故、自然灾害；根据具体情况需要以打码或者不打码的方式进行新闻报道。

四、以格式合同或格式条款约定人脸信息权利可能无效的两种情况

因为《规定》明确了人脸信息属于个人信息，进而属于自然人个人权利的重要一部分，而出于便利且通用的考量，企业一般采用格式合同的形式与个人签订人脸信息相关的合同。使用格式合同或格式条款的形式就需要额外注意两个方面：

1、涉及人脸信息处理的格式合同条款内容需要明示且加粗、标识等方式重点提示，不得隐匿在众多格式条款当中。

2、不得限制、排除公民的人脸信息处理权利，索取过多的人脸信息处理权利，具体体现在：权利期限、权利撤销、权利使用范围三个方面。

比如：约定无限期或不合理的期限；不可撤销或隐藏撤销入口实质上导致难以撤销；要求任意转授他人等...

这些合同条款都是无效的，不能成为企业处理公民人脸信息的合法依据。

五、人脸识别技术不得作为唯一方式适用

《规定》特别明确了物业服务企业，不得将人脸识别作为出入小区的唯一方式。该条文的内核在于人脸识别作为小区出入的唯一方式将实质性的违反“告知——同意”规则，业主不具备同意的可能性。

因此其他所有采用人脸识别技术的企业，如App的开发企业，如果设计将人脸识别作为登录App的方式，一定注意人脸识别同样不得作为登录App、小程序等的唯一途径。

六、企业要做到什么？

综上所述，在人脸信息处理从收集开始的全流程中，要符合《规定》，避免可能产生的民事纠纷做到合规，企业要做好以下几件事：

1、打印形式或者网络点选同意形式的人脸信息处理合同，需要合同相对人或用户本人单独明确同意，未成年则需要其监护人单独明确同意。

2、不得强制同意，不得绑定同意，比如：不同意不得限制使用App，不同意不得限制出入小区。以及不得将人脸作为登录或出入的唯一方式。

3、涉及人脸信息的合同或合同条款需要做明确标识或重点提示。

4、在具体内容中明确告知：为什么需要人脸信息；如何获取人脸信息；获取哪些人脸信息；获取人脸信息用来做什么。

5、在具体内容中不能约定：无限期或不合理的人脸信息使用权期限；人脸信息使用权利不可撤销以及可任意转授他人的表述。即使约定，上述内容也无效。

6、必须保证用户有撤销授予的人脸信息的权利，且不能以隐藏撤销入口等方式实质上阻碍用户撤销授予。

7、企业必须严格按照合同中约定的前述第4点的具体内容履行收集、使用、处理人脸信息的义务并妥善保管人脸信息数据。

不然将可能给企业带来民事侵权损害赔偿的民事责任。

 - End -