简析最高法关于处理人脸识别民事案件的司法解释

前言：

7月28日上午，最高人民法院发布了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》，该司法解释旨在保护“人脸”安全。我们认为该部司法解释的出台，既是对于实务中的热点问题予以回答，也是为即将出台的《个人信息保护法》铺路。根据全国人大的最新消息，个保法将于今年8月份最终审议（预计会在8月20日），如果顺利通过，将对目前相对野蛮的个人信息处理领域予以管控和保护。

如果说敏感个人信息因其敏感性成为个人信息中的重点，那么以人脸信息为代表的生物识别信息则因其唯一性和不可更改性成为敏感个人信息中的重点。特别是最近几年，人脸识别已经成为了社会的热议话题。该司法解释的出台意味着立法层面对于个人信息保护的重视，我们认为这也预示着未来对于以个人信息保护纠纷为案由的民事案件将会成为律师新的业务来源，特别是青年律师值得研究和关注。本文简单介绍该部司法解释的五个亮点。

一、宾馆、商场、银行等经营场所滥用人脸识别属于侵权

解释第二条第一款，对于在宾馆、商场等场所滥用人脸识别技术的，法院应当认定为侵权。我们认为该条的重点在于如何认定场所违反法律、行政法规的规定，也就是在什么情况下构成“滥用”。根据《信息安全技术个人信息安全规范》的规定，场所的数据处理者（以下简称场所）在使用人脸识别技术时需要同时满足以下六个环节的具体要求：

1.收集环节：场所需完成两个动作。一是告知。告知的形式可以多样，场所可以采用明文的方式，在极易看见的地方张贴；告知的内容需包括收集、使用的目的、方式、存储时间以及范围等；同时告知必须是单独告知，不得和其他个人信息收集工作合并处理；二是需征得个人同意。这里的同意需满足明示同意的要求，具体包括个人通过书面、口头等方式主动作出纸质或者电子的声明，或者自主作出肯定性的动作（包括主动勾选、点击等）。对于场所来说，如何认定明示同意将是实践中的难点。

2.传输环节：在传输和存储环节，应当采取加密处理等安全措施，对于具体的加密措施技术需采用密码管理相关国家标准实施，另外还可关注包括多方安全计算、联邦学习、可信执行环境等隐私计算技术措施。

3.存储环节：在存储方式上，场所需要将人脸信息单独存储，区分与其他个人信息存储；在存储内容上，只能存储个人生物识别信息的摘要信息，不得存储原始图像；在采集终端上，直接使用个人生物识别信息实现身份识别、认证等功能。

4.共享和转让环节：场所原则上不得共享、转让、公开披露个人生物识别信息。确需共享和转让的，仍应当单独向用户告知目的、信息类型、接收方身份以及数据安全能力等，并征得个人明示同意。

5.访问控制时的触发授权机制：场所收集的人脸信息原则上不得被员工访问。除非有用户投诉时，投诉处理人员才可访问该个人信息主体的相关信息。

6.机构和人员的设置：场所如果处理超10万人的敏感个人信息，需要专设数据保护专员和机构；另外需要对大量接触敏感个人信息的员工进行背调，了解其犯罪记录、诚信状况等。

7.安全事件的告知：当发生人脸信息被泄露的情况，场所应当及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人。但是一般的场所不会收集个人的联系方式，因此一旦场所发生数据泄露问题，该安全事件义务如何告知，也将是实践中的难点。

若不满足上述的任何一条，我们认为场所的数据处理者都可能涉嫌滥用人脸识别技术，构成侵权，因此我们建议场所在使用人脸识别技术之前需要先评估自身的制度、政策、技术是否已经满足了上述要求。同时，作为数据主体的个人，如果发现自己的人脸信息已经被侵犯，可以直接向法院提起个人信息保护纠纷之诉，主张财产损害赔偿、包括调查取证、律师费用在内的合理开支等诉讼请求；对于正在实施或者即将实施的侵害行为，个人有权直接向法院申请人格权侵害禁令。但是我们认为财产损失如何确定，也将是实践中的难点。

二、小区使用人脸识别应征得业主同意

对于小区内采用人脸识别技术作为门禁，目前已经越来越普及，但是也引发了很多的争议。我们认为，解释第十条意味着小区使用人脸识别应当征得业主的同意，如果存在部分业主不同意的情况下，就必须开辟出其他的出入验证方式，否则构成侵权。因此对于小区而言，不得将人脸识别作为唯一验证方式。同时对于小区业主的集体维权案件，解释也规定了，经过当事人的同意，可以对这类案件进行合并审理。

三、App中的强迫同意无效原则和概括授权无效原则

我们认为上述三种情形在带有人脸识别功能的App上普遍存在，均违反了个人信息处理的合法正当原则。在历批次的工信部通报App违法名单里，均可见捆绑式服务、强索个人信息等强迫同意情况出现，这次在民事诉讼层面予以确认强迫同意无效原则，值得拥有App的企业高度关注。

解释第十一条从裁判层面确立了概括授权无效原则。对于采取格式条款和个人订立的，特别是App上的用户协议或者隐私政策中要求无限期授权、不可撤销、任意转授权等条款，应当认定为无效。

四、未成年人信息需取得监护人单独同意

解释第二条，规定了处理未成年人的人脸信息需要取得其监护人的单独同意。同时在责任承担上，对于违法处理未成年人人脸信息的，从严从重处罚。因此企业在对未成年人进行人脸识别时，需要判断该个人是否为未成年人，我们认为这对于不同场景下的识别都是难点，特别是对于场所下的人脸识别。

五、处理人脸信息的合法性基础

根据解释，我们总结出以下五项合法性基础：1.突发公共卫生或者其他紧急事件时；2.公共安全目的；3.为公共利益实施的新闻报道、舆论监督等行为；4.明示同意；5.其他。除此五项之外，任何处理人脸信息的行为都将是违法的，个人均可向法院提起个人信息保护纠纷之诉。

小结

我们认为对于不同场景下的人脸信息处理者（包括使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息），需要重点关注该司法解释，待8月1日正式实施后，面对的不仅是行政监管的压力，还有基于人脸识别保护而引发的民事诉讼群体性案件，建议企业尽快对于自身的个人信息保护状况进行评估，同时从制度、政策、技术入手对于个人信息的全生命周期建立管控措施，以免诉累。

本文作者：

吴慧康，德恒南京办公室专职律师，涉外与合规法律事务部成员，具有法律和计算机双重背景，法律硕士。主要执业领域为公司合规管理体系建设、公司治理、网络安全与数据合规、诉讼与仲裁。

声明：

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。

2021-08-03 08:46

·德恒律师事务所