个人信息保护诉讼系列：人脸识别司法解释要点评析

最高人民法院（“最高院”）于7月28日颁布了《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（“《规定》”），为“因使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息所引起的民事案件”^[1]提供裁判指引。《规定》明确了“本规定所称人脸信息属于民法典第一千零三十四条规定的‘生物识别信息’”。正是因为构成“生物识别信息”的人脸信息具有更高的敏感性，《规定》对涉及该等信息的民事纠纷案件的责任认定、举证责任分配、救济方式、格式条款等问题做出具体认定指引来的非常及时。

最高院于7月28日颁布了《规定》，为“因使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息所引起的民事案件”^[2]提供裁判指引。

《规定》已于2021年8月1日起正式施行，尽管《规定》的适用不溯及既往，^[3]由于业务过程中涉及的人脸信息处理通常都是持续性的活动，《规定》的出台仍然值得涉及人脸信息处理的企业高度关注。下文将对《规定》的要点内容作简要评析。

01 《规定》适用于具备

“生物识别信息”属性的人脸信息

《规定》明确了“本规定所称人脸信息属于民法典第一千零三十四条规定的‘生物识别信息’”。考虑到构成“生物识别信息”的人脸信息具有更高的敏感性，《规定》对涉及该等信息的民事案件的责任认定、举证责任分配、救济方式、格式条款等问题做出具体认定指引来的非常及时。

人脸信息通常包括两类，一类是人脸图像，另一类是从人脸图像中提取的人脸识别特征，而后者才是具备生物识别属性的人脸信息；其中已经标注好人脸关键点（Landmarks）的照片因为已具备可以直接被算法读取的可能性，可能也会落入后者的范畴。实践中，部分涉及人脸信息处理的应用场景并不会实质涉及人脸识别特征的处理。例如，行人流量统计、体温检测都可以基于低精度的面容图像或人体轮廓进行统计和测定，而无需提取或分析人脸识别特征点或数据，因而《规定》可能不适用于这些不涉及人脸特征的场景。

02 如何有效告知及获取同意

是人脸信息处理的合规难点

《规定》在“告知+同意”规则的基础上，对人脸信息处理引入了“单独同意”的要求，该要求在《个人信息保护法（草案二次审议稿）》中亦有出现。目前“单独同意”的定义和具体要求尚不明确，从文义解释角度看普遍认为“单独同意”在展示和授权独立性上将高于一般同意的要求，例如在录入人脸环节可能需要单独的同意机制以及更为明确以便显著提示用户的隐私政策。这一要求在人脸信息处理场景中需要如何实现，可能还需要相关立法提供进一步的指引。

此外，针对发生在经营场所和公共场所的人脸信息处理行为，公开处理规则的操作到什么程度可被认为合规，如何有效取得个人的同意，如何在开放空间中确保拒绝授权的个人人脸信息不被处理等一系列现实问题，都需要有关企业在部署涉及人脸信息处理的应用时谨慎考虑。例如对于类似AmazonGo这样的无人零售商店可能可以做到门外提示以及全店粘贴提示以及通过录入人脸以及绑定支付账号获取单独同意，但是同样的动作对于大型的百货商场或者其他的公开场所就不见得能够照搬了。

03 人脸信息处理需重点关注

必要性原则

《规定》第四条细化了法院在案件裁判中分析“同意”有效性的因素，其中要求人脸信息处理应系“产品或服务所必需的”。

这一要求属于必要性原则的范畴，将可能对以“增值服务”为由进行人脸信息处理的商业模式构成巨大挑战。无人零售超市要求刷脸进入或刷脸结账、机场登机口要求刷脸登机、小区要求刷脸进出（《规定》第十条规定的情况）等场景将可能因不具备所涉产品或者服务的必要性而面临被挑战的风险，但如果保留非刷脸进入或者传统人工方式结账、登机等，向用户提供真实的多个选项，可以一定程度上解决必要性的论证。建议企业在设计涉及人脸信息处理的商业模式时，应将必要性作为优先考虑的要素之一。

04 人脸信息处理者需要承担

自证合规的举证责任

在举证责任问题上，《规定》在基本遵循“谁主张，谁举证”的原则基础上，规定应由人脸信息处理者提供证据证明其人脸信息处理的行为符合《民法典》第1035条第一款的规定（即处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并且具有相应的合法事由），这在一定意义上解决了原告在举证上的难题，也要求企业重视对合规措施落实情况的记录与留存，以便在发生纠纷时能够有效地进行合规自证。

在司法实践中，进行人脸信息处理的企业与个人信息主体在经济实力、技术能力、信息透明度等方面处于不均等的地位，不排除法院会考虑双方地位和信息的不对称，在举证责任问题上向个人信息主体进行倾斜，这种倾向在早期的一些案例中已经有所体现。例如，虽然在“去哪儿网案”中，法院没有突破“谁主张、谁举证”原则，但在认定侵权事实发生“具有高度盖然性”的情况下即认定原告完成了举证。

在举证责任的问题上，《个人信息保护法（草案二次审议稿）》第六十八条直接规定，个人信息权益因个人信息处理活动受到侵害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任——即直接采用了过错推定原则。《规定》中要求人脸信息处理者承担自证合规的举证责任，是否已经完全考虑了将来与个人信息保护法的“过错推定原则”的衔接，值得在日后的司法实践中持续关注。

05 多个人脸信息处理者之间的

责任分配

《规定》对涉及多个信息处理者的情况也进行了规定，允许各方按照过错程度和造成损害结果的大小承担侵权责任。^[4]

实践中，人脸识别技术的应用通常会涉及技术提供方和技术部署方。从技术处理的占比来看，技术提供方主要负责人脸档案的建立、保存以及人脸信息的后台比对，技术部署方则主要负责利用前端设备捕获图像、传入数据，并获取识别和比对的判定结果。从与个人的交互程度上看，人脸信息处理需要由技术部署方在前端向个人进行告知并取得同意。因此，如何妥当地分配法律责任，可能需要法院结合人脸信息处理的技术方案与应用情况进行重点分析。如果后续出台的《个人信息保护法》没有在法律层面明确受托方是否无需单独向个人信息主体承担责任，则日后的司法实践也可能会出现技术部署方和技术提供方被列为共同被告的情况。因此，部署人脸识别技术的企业需要在合作协议中明确约定各方在人脸识别技术应用场景中的权利和义务，并以可回溯、可证明的手段对数据处理活动进行记录，以减少纠纷发生时责任分配的不确定性。

06 格式条款有效性面临挑战

《规定》第十一条规定有关要求自然人授予无期限限制、不可撤销、可任意转授权等处理人脸信息权利的格式条款无效。

实践中，人脸识别技术研发方可能会在用户协议或隐私政策中主张“在脱敏的前提下利用人脸信息进行技术研发”的权利，但是由于人脸信息天然具备生物识别的属性，什么程度的“脱敏”工作才可能使得前述用户协议或隐私政策中的条款变得可以接受，也有待未来的司法实践提供参考标准。

在认定相关格式条款无效的情况下，法院如何要求人脸信息处理者承担民事法律责任，也值得有关企业关注。例如，法院是否会以“恢复原状”为由，要求有关企业删除人脸信息以及基于人脸信息训练而成的算法；如考虑进行“损害赔偿”，如何计算和确定赔偿数额，在涉及多人的同起纠纷案件中如何分配赔偿款项。

结语

《规定》还明确规定了合理的维权费用（包括律师费用）可以纳入赔偿范围，法院可依申请作出“人格权侵害禁令”等，这些都将进一步对未来数量可观的潜在原告提起民事诉讼起到一定的鼓励作用——结合即将出台的《个人信息保护法》，在不久的将来因侵犯个人信息被提起民事诉讼并面临高额索赔将可能呈现明显的增长趋势，从事相关业务的企业应尽早做好合规准备，以降低未来涉诉的风险。

注释

1.《规定》第一条。

2.《规定》第一条。

3.《规定》第十六条第二款：信息处理者使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息的行为发生在本规定施行前的，不适用本规定。

4.《规定》第七条。

END

作者团队介绍

林彦华（Yanhua Lin）

合伙人

执业领域：专攻争议解决，包括诉讼仲裁和合规及政府执法等事项

张毅（Gil Zhang）

合伙人

执业领域：专攻数据保护、网络安全、监管合规业务

黎辉辉（Huihui Li）

方达律师事务所

张启迪（Qidi Zhang）

方达律师事务所

近期热点活动

律师如何正确地“拼命”和“革命”，以至可以“改命”？

近期热点文章