作為新型生物特征識別技術(shù)，人臉識別技術(shù)具有易收集性、無感知性、泛在性等特點，被廣泛運用在行政監(jiān)管、公共服務(wù)、商業(yè)交易等各個領(lǐng)域。

　　當(dāng)前，“人臉解鎖”“刷臉支付”“刷臉進出”已成為公眾生活的常態(tài)。人們在享受其給工作和生活帶來巨大便利的同時，也引發(fā)了國內(nèi)外對隱私與數(shù)據(jù)安全問題的普遍關(guān)注：“人臉”采集和使用的邊界何在，如何更好規(guī)范人臉識別技術(shù)設(shè)置更為合理科學(xué)的規(guī)則，如何實現(xiàn)信息技術(shù)與人格利益之間的平衡，成為社會各界熱議的焦點。

　　在此背景下，最高人民法院出臺了《關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》（以下簡稱《規(guī)定》），為人臉識別相關(guān)民事案件的審判提供了裁判指引，為人臉識別技術(shù)使用劃定了清晰邊界，為個人合法權(quán)益的保護構(gòu)建了堅實壁壘。

　　一、《規(guī)定》涵蓋了使用人臉識別技術(shù)的主要場景、目的和環(huán)節(jié)

　　從概念層面看，《規(guī)定》所規(guī)范的對象是“使用人臉識別技術(shù)處理人臉信息”。從人民法院的司法裁判以及國家標(biāo)準《個人信息安全規(guī)范》《人臉識別數(shù)據(jù)安全要求（征求意見稿）》等綜合觀之，“人臉信息”不僅包括人臉識別技術(shù)通過算法生成的人臉特征數(shù)據(jù)，還包括人臉識別技術(shù)所抓取的原始人臉圖像。《規(guī)定》使用“人臉信息”的概念，不僅符合人臉識別技術(shù)所牽涉的個人信息，也更有利于全面保護人民群眾的人格利益。

　　從應(yīng)用場景層面看，《規(guī)定》涵蓋了人臉識別技術(shù)最常見的應(yīng)用場景，如經(jīng)營場所、公共場所、線上應(yīng)用、物業(yè)服務(wù)等，從司法角度針對不同場景中人民群眾所普遍關(guān)心的問題予以界定和規(guī)制，體現(xiàn)了司法機關(guān)的問題導(dǎo)向和人民立場。

　　從使用目的層面看，《規(guī)定》全面涵蓋了使用人臉識別技術(shù)的三種基礎(chǔ)性目的：人臉驗證、人臉辨識和人臉分析。

　　其中，人臉驗證是將采集的人臉識別數(shù)據(jù)與存儲的特定自然人的人臉識別數(shù)據(jù)進行比對（1:1比對），以確認特定自然人是否為其所聲明的身份。以人臉驗證為目的而使用人臉識別技術(shù)的，主要集中于安檢、金融支付等重要領(lǐng)域，要求相對較高，管理較為規(guī)范。應(yīng)用場景包括機場、火車站的人證比對，網(wǎng)絡(luò)支付環(huán)境中的人臉驗證等。

　　人臉辨識是將采集的人臉識別數(shù)據(jù)與已存儲的指定范圍內(nèi)的人臉識別數(shù)據(jù)進行比對（1:N比對），以識別特定自然人。以人臉辨識為目的的人臉識別，應(yīng)用場景較為廣泛，技術(shù)層面也相對容易實現(xiàn)，比如公園入園、居民小區(qū)門禁、商場通過“無感”式人臉識別辨識特定客戶或者中介等，實踐中容易因未征得個人同意而觸碰法律紅線。

　　人臉分析是指通過分析人臉圖像，預(yù)測評估個人年齡、健康、天賦、情緒、工作或者學(xué)習(xí)專注度等個人特征的活動。人臉分析可能會引發(fā)個人歧視，侵害人格尊嚴。部分國家對人臉分析持完全否定態(tài)度。

　　對于人臉識別的上述三種基礎(chǔ)性目的，《人臉識別數(shù)據(jù)安全要求（征求意見稿）》中也有涉及。

　　從處理環(huán)節(jié)層面看，《規(guī)定》將人臉信息的處理界定為人臉信息的收集、存儲、使用、加工、傳輸、提供、公開等，這與民法典第一千零三十五條的規(guī)定保持了一致。基于上述處理流程，《規(guī)定》通過不同條款完整覆蓋了人臉信息處理的全鏈條，例如事先告知、單獨同意、不得強迫同意、按約處理、安全存儲、違約刪除等。

　　總之，《規(guī)定》在全面深入總結(jié)人臉識別技術(shù)相關(guān)問題的基礎(chǔ)上，對人臉識別技術(shù)所涉信息范圍、主要場景、目的和環(huán)節(jié)均予以回應(yīng)和規(guī)定，必將推動人臉信息的全面司法保護，也為規(guī)范人臉識別行業(yè)健康有序發(fā)展奠定良好基礎(chǔ)。

　　二、《規(guī)定》進一步壓實個人信息處理的合法性基礎(chǔ)

　　無論是民法典還是網(wǎng)絡(luò)安全法，都將個人同意作為個人信息處理首要合法性基礎(chǔ)。然而，實踐中的人臉識別應(yīng)用存在各種不規(guī)范做法，使得個人同意往往流于形式。

　　常見的情況包括：“無感知被收集”，即進入人臉識別區(qū)域卻毫無所知，自然人的人臉信息未經(jīng)任何告知和同意就直接被收集；“一攬子收集”，即將人臉識別技術(shù)的使用和人臉信息的處理規(guī)則，與其他個人信息的授權(quán)和處理規(guī)則，一同寫在隱私政策或者用戶協(xié)議中，一次性征得用戶同意，用戶根本沒有對人臉信息處理的選擇權(quán)；“強迫收集”，即當(dāng)人臉信息并非產(chǎn)品或服務(wù)的必要信息時，強制要求個人接受人臉識別才能安裝或繼續(xù)使用具體的產(chǎn)品或服務(wù)，既不符合自愿原則，還違反了“合法、正當(dāng)、必要”原則。

　　人臉信息屬于高度敏感的個人信息，也是生物識別信息中社交屬性最強、最易采集的個人信息，一旦泄露將對個人的人身和財產(chǎn)安全造成極大危害，甚至還可能威脅公共安全。因此，必須對此類敏感個人信息采取更嚴格的保護措施。

　　《規(guī)定》在民法典第一千零三十五條的基礎(chǔ)上，充分吸收個人信息保護立法重要成果，進一步將“同意”細化為“單獨同意”，目的在于對人臉信息提供增強式保護，讓個人更加充分地參與到人臉信息處理的決策之中。

　　根據(jù)《規(guī)定》第二條，基于個人同意處理人臉信息的，未征得自然人或者其監(jiān)護人的單獨同意，或者未按照法律、行政法規(guī)的規(guī)定征得自然人或者其監(jiān)護人的書面同意的，應(yīng)當(dāng)認定屬于侵害自然人人格權(quán)益的行為。

　　所謂“單獨同意”，是指對人臉信息的處理行為及其規(guī)則，個人能夠獨立于其他個人信息處理行為及規(guī)則自由地作出同意。換句話說，對人臉信息的處理，不能與其他個人信息的處理合并在一起獲得個人的同意。

　　根據(jù)國家標(biāo)準《個人信息安全規(guī)范》第5.4（C）的規(guī)定，收集個人生物識別信息前，應(yīng)單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和范圍，以及存儲時間等規(guī)則，并征得個人信息主體的明示同意。

　　國家標(biāo)準《個人信息安全規(guī)范》自2020年10月1日實施以來，對規(guī)范人臉識別行業(yè)起到了積極作用。

　　三、“單獨同意”能夠有效規(guī)范人臉識別技術(shù)行業(yè)發(fā)展

　　從前文分析可知，單獨同意，目的是為了保障個人對其人臉信息的處理享有知情權(quán)、決定權(quán)，確保個人有權(quán)限制或者拒絕他人對其人臉信息進行處理。筆者認為，充分知情、自愿、明確、單獨構(gòu)成了單獨同意的四個要件。在法律規(guī)定需要征得個人同意方可處理個人信息的場景下，采集人臉信息必須符合單獨同意的要求。

　　比如，具有人臉識別功能的應(yīng)用程序，應(yīng)用商可在用戶首次開啟人臉識別功能時，通過彈窗、跳轉(zhuǎn)專門頁面等形式同步告知該功能的信息處理規(guī)則（以滿足“充分知情”的要求）；該規(guī)則應(yīng)僅包含對人臉識別功能及其信息處理規(guī)則的描述而不包括對其他不相關(guān)事項的描述（以滿足“單獨”的要求）；用戶通過點擊“同意”或“已知悉，并繼續(xù)使用”等主動性動作清楚地表達自己的意愿（以滿足“明確”的要求）；如果人臉信息并不屬于該應(yīng)用的必要個人信息，用戶在閱讀信息處理規(guī)則后，既可以選擇開啟該功能，也可以選擇不開啟該功能。如果選擇不開啟該功能，用戶仍然可以通過其他替代性方式繼續(xù)使用應(yīng)用程序的其他功能（以滿足“自愿”的要求）。

　　當(dāng)然，應(yīng)用商對人臉識別功能信息處理規(guī)則的要求，必須遵守必要原則，不能將不是實現(xiàn)功能所必需的信息收集和處理行為“私藏”于其中。

　　在充分知情、自愿、明確、單獨等要素的有力支撐下，“單獨同意”能夠效遏制人臉識別技術(shù)的使用亂象。

　　首先，“單獨同意”能夠破除“無感知被收集”的情形。除法律另有規(guī)定以及《規(guī)定》所列免責(zé)事由外，“單獨同意”能夠遏制在賓館、商場、娛樂場所等經(jīng)營場所、公共場所，在未征得客戶單獨同意的情況下，以無感知的人臉識別完成人臉辨識、人臉分析等社會反映強烈的問題。

　　其次，“單獨同意”能夠破除“一攬子授權(quán)”“捆綁授權(quán)”的情況，因為人臉信息處理的同意應(yīng)當(dāng)與其他的個人信息處理行為區(qū)分開，并分別征得個人的同意，個人因而獲得了單獨對人臉信息處理做出同意與否的決定，能夠遏制APP、應(yīng)用程序、專用設(shè)備等將人臉識別與其他個人信息授權(quán)或其他事項授權(quán)進行捆綁，由用戶統(tǒng)一同意的情況。

　　再次，“單獨同意”能夠破除“強迫收集”的情形，在個人獲得單獨對人臉信息處理與否做出決定的機會時，當(dāng)人臉信息不屬于提供產(chǎn)品或者服務(wù)所必需時，個人完全可以拒絕，且拒絕操作并不影響產(chǎn)品或服務(wù)使用。對于信息處理者雖然單獨告知，但卻采取其他技術(shù)手段強迫或者變相強迫收集人臉信息的，也屬于違反自愿原則的情形，結(jié)合《規(guī)定》第四條的規(guī)定，應(yīng)為無效同意。在這種情況下，信息處理者繼續(xù)處理人臉信息的，個人可依法追究信息處理者的侵權(quán)責(zé)任。

　　客觀上而言，任何技術(shù)都存在風(fēng)險，人臉識別技術(shù)的風(fēng)險很大程度不在于該項技術(shù)本身，而在于人為應(yīng)用。該技術(shù)的持續(xù)穩(wěn)定發(fā)展需要嚴密科學(xué)的規(guī)則來保駕護航，通過明確信息處理者的立場邊界、規(guī)制違法濫用行為，能夠促進良性生態(tài)系統(tǒng)的形成。面對當(dāng)前人臉識別問題亟待規(guī)制的現(xiàn)狀，《規(guī)定》的及時出臺將人臉信息等個人信息權(quán)益的保護落實到可操作層面，為下一步法律層面規(guī)范個人信息處理活動、促進數(shù)字經(jīng)濟健康發(fā)展提供了良好的司法實踐樣本。