商場開啟人臉識別攝像頭，信息被“無感”收集；小區啟用人臉識別門禁系統，不同意不讓進；APP捆綁授權強制索取人臉信息，不確認不讓用……現在，這些行為都有可能構成侵害自然人人格權益。針對人臉識別信息利用方式的“野蠻生長”，最高人民法院發布規定并于近日在全國施行，對經營場所濫用人臉識別技術、小區“刷臉”進門等問題進行規范。那么，什么樣的行為構成濫用人臉識別信息呢？普通群眾又該如何維權？

提問1

“人臉信息”在法律上如何界定？

近年來，隨著信息技術的發展，人臉識別技術廣泛應用于移動支付、設備解鎖、數據分析等場景，給人們的工作和生活帶來了巨大的便利，但是信息處理者對于人臉信息的瘋狂采集和無序管理，引發了公眾對于隱私和數據安全的擔憂。

“臉面”對于一個人的重要性是不言而喻的，人臉信息首先涉及到個人的肖像，其次還包括了健康、年齡、心理等其他信息，一旦泄露或遭受侵權，將會給個人的尊嚴、隱私、平等等權利帶來嚴重影響。那么，作為個人核心隱私的“臉面”，如何在法律上定性呢？

我國民法典對個人信息保護做出規定，所謂個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息等。人臉信息作為生物識別信息的一種，自然屬于民法典保護的個人信息范疇。

最高人民法院發布的《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》（以下簡稱《規定》）正是對使用人臉識別技術處理個人信息問題的細化，對人臉識別所涉及的信息范圍、主要場景、處理流程均予以回應，為公眾獲得全面司法保護奠定了基礎。其中，第一條明確，處理“人臉信息”和“基于人臉識別技術生成的人臉信息”均是需要規制的對象。我們通常認為“人臉信息”是利用照相技術所抓取的原始人臉圖像，但實際上基于原始人臉圖像生成的人臉信息，同樣屬于《規定》所規范的對象，比如將人臉圖像按照一定算法生成的編碼以及其他特征數據等，均屬于“人臉信息”。

《規定》所應用的場景不僅包括賓館、商場、銀行、車站、機場、體育場館、娛樂場所等公共場所，還包括了小區物業和線上應用場景。此外，《規定》規制的是人臉信息處理的全流程，即收集、存儲、使用、加工、傳輸、提供、公開等。

提問2

商家、物業、APP的哪些行為違法？

1、 經營門店“無感式”收集人臉信息違法。今年“3·15晚會”曝光了某些知名企業的門店在未經同意的情況下，擅自采集進店消費者人臉信息，這些商家利用上述信息進行消費者性別、年齡、購買情況甚至心理的數據分析，目的在于針對不同的消費者采取不同的營銷策略。無獨有偶，某地還出現個別房地產開發商對目標客戶進行人臉識別和分析，導致客戶“戴頭盔看房”的奇葩現象。

對于這種“看人下菜碟”的行為，《規定》第二條中明確指出，在賓館、商場、銀行、車站、機場、體育場館、娛樂場所等經營場所、公共場所違反法律、行政法規的規定使用人臉識別技術進行人臉驗證、辨識或者分析的情形屬于侵害自然人人格權益的行為。因此，商家不僅不應違法使用采集到的人臉識別數據與存儲的人臉識別數據進行驗證、辨識，而且更不應違法使用人臉識別數據分析個人的年齡、健康、情緒、心理等具有個人特征的信息。

2、 物業強制要求驗證人臉信息進出小區違法。有的小區默默裝上了人臉識別系統，并告知業主必須通過人臉識別才能進入小區。針對此種情形，《規定》第十條明確規定：“物業服務企業或者其他建筑物管理人以人臉識別作為業主或者物業使用人出入物業服務區域的唯一驗證方式，不同意的業主或者物業使用人請求其提供其他合理驗證方式的，人民法院依法予以支持。”因此，小區物業無權要求業主將人臉識別作為進出小區的唯一驗證方式，物業管理者如使用人臉識別門禁系統，在錄入和使用人臉信息時應當征得業主或者物業使用人的明示同意，對于不同意將人臉識別信息作為唯一驗證方式的，小區物業應當提供替代性驗證方式。

3、 應用程序捆綁授權、強迫同意索取人臉信息違法。很多人在使用APP時可能都會遇到以下情況：一是要求用戶同意APP處理其人臉信息才提供服務，否則立即閃退；二是以其他類型的授權，比如讀取照片權限捆綁人臉信息權限來獲取用戶的同意。

針對上述“強取”行為，《規定》第四條指出，即使信息處理者已經獲得自然人關于處理其人臉信息的同意，只要信息處理者有以下情形之一：要求自然人同意處理其人臉信息才提供產品或者服務的，但是處理人臉信息屬于提供產品或者服務所必需的除外；信息處理者以與其他授權捆綁等方式要求自然人同意處理其人臉信息的；強迫或者變相強迫自然人同意處理其人臉信息的其他情形，自然人的同意并不妨礙對信息處理者違法行為的追責。

4、 泄露、篡改、丟失人臉信息違法。人臉信息并非完全被禁止收集，但是信息處理者要保證安全。因為人臉信息屬于高度敏感的個人信息，其生物識別屬性強、重復利用次數多，一旦泄露將會對個人的人身和財產安全造成極大危害。因此，對于人臉信息的收集、存儲、使用、加工、傳輸、提供的全流程均應時刻注意信息的泄露、篡改和丟失問題。對此，《規定》中也明確指出，信息處理者未采取應有的技術措施或者其他必要措施確保收集、存儲的人臉信息安全，致使人臉信息泄露、篡改、丟失以及違反法律、行政法規的規定或者雙方的約定，向他人提供人臉信息的情形，均構成侵害人格權益的行為。

提問3

遇商家“索臉”要注意什么？

利用人臉信息實施的侵害行為防不勝防，那么，普通消費者在面臨商家等索取人臉信息時應該把握哪些關鍵點呢？

首先是“公示”規則。一般來說，信息主體的知情同意是信息處理者處理個人信息的合法來源。確保信息主體對個人信息享有信息自決權，首當其沖的就是確保知情權，知情不僅是同意的前提，也是避免對個人信息濫用的基礎。

《規定》第二條第二項指出，未公開處理人臉信息的規則或者未明示處理的目的、方式、范圍，人民法院應當認定屬于侵害自然人人格權益的行為。當面臨商家等信息處理者索取人臉信息時，一定要求商家將如何處理人臉信息等規則予以公開。如遇到未公開或未明示等情形，信息處理者就可能構成侵犯人格權益。

其次，“單獨同意”與“強迫同意無效”規則。信息主體對個人信息享有信息自決權的另一個重要條件就是確保信息主體的同意權。“公示”規則解決的是知情問題；而“單獨同意”規則解決的是同意問題。

所謂“單獨同意”，是指個人能夠自主、自由、獨立地對人臉信息作出同意。換句話說，對人臉信息的處理，不能與其他個人信息的處理混在一起，獲得“一攬子同意”。對此，《規定》第二條第三項指出，基于個人同意處理人臉信息的，未征得自然人或者其監護人的單獨同意，或者未按照法律、行政法規的規定征得自然人或者其監護人的書面同意，人民法院應當認定屬于侵害自然人人格權益的行為。

以前我們常常遇到這種情況，即關于處理人臉信息的同意混合在冗長的隱私政策以及其他條款中，無法達到真正的知情同意效果。今后，在需要調用人臉識別信息的應用程序首次開啟這一功能時，不得將同意條款穿插在其他條款中，而應該通過彈窗或其他專門頁面的形式僅對同意獲取人臉信息的條款予以單獨展示，用戶必須通過點擊“同意”等主動性動作來表達同意處理個人信息的意愿。

如果遇到點擊“不同意”APP就不允許使用的情形，即符合上文所說的違法情形之一，屬于個人沒有其他選擇的困境，在非自愿條件下作出的個人同意。這時，即使信息主體點擊了“同意”，也不能視為人臉信息處理者獲得了真正的同意和有效授權，這是“單獨同意”規則的延伸，即“強迫同意無效”規則。《規定》第四條明確：“有下列情形之一，信息處理者以已征得自然人或者其監護人同意為由抗辯的，人民法院不予支持：信息處理者要求自然人同意處理其人臉信息才提供產品或者服務的，但是處理人臉信息屬于提供產品或者服務所必需的除外；信息處理者以與其他授權捆綁等方式要求自然人同意處理其人臉信息的；強迫或者變相強迫自然人同意處理其人臉信息的其他情形。”對于信息處理者采取不當方式強迫或者變相強迫自然人同意處理其人臉信息的，應予禁止。

最后，“無期限限制、不可撤銷等格式條款無效”規則。考慮到信息處理者一般是通過格式條款的方式來獲取信息主體的同意，這種格式條款在很大程度上剝奪了信息主體的自決權，因此有必要加以限制。《規定》第十一條指出：“信息處理者采用格式條款與自然人訂立合同，要求自然人授予其無期限限制、不可撤銷、可任意轉授權等處理人臉信息的權利，該自然人依據民法典第四百九十七條請求確認格式條款無效的，人民法院依法予以支持。”

要求信息主體授予無期限限制、不可撤銷、可任意轉授權等處理人臉信息的權利的條款，明顯屬于民法典中所規定的“提供格式條款一方不合理地免除或者減輕其責任、加重對方責任、限制對方主要權利”的情形，應屬無效。

提問4

濫用人臉識別技術要擔何責？

此外，《規定》還從人格權和侵權責任角度明確了濫用人臉識別技術處理人臉信息的性質和責任，以及從物業服務、格式條款效力、違約責任承擔等角度對濫用人臉識別技術處理人臉信息進行了規定。因此，信息處理者濫用人臉識別技術有可能構成人格權侵權責任、合同違約責任等。在侵權責任框架中，自然人受侵害的權益既包括個人信息權益，也包括肖像權、隱私權、名譽權等人格權及財產權；在違約責任框架中，自然人可以按照約定請求信息處理者承擔相應違約責任，同時可以要求信息處理者刪除人臉信息。

關于賠償的范圍，被侵權人可以向侵權人主張侵犯其人格權益導致的財產損失，還可以主張對侵權行為進行調查、取證的合理費用，甚至可以將合理的律師費用計算在賠償范圍內。

科技是一把雙刃劍，技術的進步釋放數字經濟的“紅利”，同時也會帶來信息濫用、信息泄露等難題，發揮“刷臉”的正面效應，需要社會各方嚴守法律法規，讓人臉識別技術在合法、正當、必要的軌道上健康發展。

延伸閱讀

哪些情形下信息處理者可以免責“用臉”

人臉信息的重要性決定了對其處理應當采用極為嚴格的規制，但也應注意的是，保護這種私人權益需要考慮兩個因素：一是不能與保護公共利益相違背；二是防止對信息處理者課以過重責任，以促進數字經濟合理應用和健康發展。

《規定》第五條明確：“有下列情形之一，信息處理者主張其不承擔民事責任的，人民法院依法予以支持：為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需而處理人臉信息的；為維護公共安全，依據國家有關規定在公共場所使用人臉識別技術的；為公共利益實施新聞報道、輿論監督等行為在合理的范圍內處理人臉信息的；在自然人或者其監護人同意的范圍內合理處理人臉信息的；符合法律、行政法規規定的其他情形。”總的來說，合理使用人臉信息的基礎一般來源于兩方面：一是基于公益，具體包括公共衛生事件或緊急情況下為保護自然人的生命健康和財產安全，如為疫情防控需要采集、識別人臉信息，在公共場所為維護公共安全處理人臉信息，為公共利益實施新聞報道、輿論監督；二是基于授權，即基于人臉信息被處理者或其監護人的同意。

舉例來說，小李乘坐飛機出差，在機場商店購物時如果未被告知、未經授權而被使用人臉識別技術進行人臉驗證、辨識或者分析，商店將承擔侵權責任；但如果機場疫情管理相關部門為防控需要，對小李進行人臉信息采集和識別，則小李不能拒絕。又如，王某是一起搶劫殺人案件的犯罪嫌疑人，有可靠信息來源稱其正在火車站伺機潛逃，火車站要求旅客過閘機時進行人臉識別以排查犯罪嫌疑人。王某過閘機時無權拒絕進行人臉識別，也無權在其被抓獲后起訴火車站承擔侵權責任，因為此舉是基于打擊犯罪的公共利益需要。

此外，如果被非法使用人臉信息，被侵權人可以主張哪些財產損失呢？按照民法典的規定，侵害他人人身權益造成財產損失的，按照被侵權人因此受到的損失或者侵權人因此獲得的利益賠償；被侵權人因此受到的損失以及侵權人因此獲得的利益難以確定，被侵權人和侵權人就賠償數額協商不一致，向法院提起訴訟的，由法院根據實際情況確定賠償數額。

然而，有時信息處理者進行人臉識別，是為了分析消費者偏好進而采取不同的營銷策略，實際上可能并未造成可以衡量的具體財產損失，但受害人聘請律師、調查取證的維權費用可能較大。對此，《規定》第八條中明確，“自然人為制止侵權行為所支付的合理開支，可以認定為民法典第一千一百八十二條規定的財產損失。合理開支包括該自然人或者委托代理人對侵權行為進行調查、取證的合理費用。人民法院根據當事人的請求和具體案情，可以將合理的律師費用計算在賠償范圍內。被侵權人為制止侵權行為所支付的合理開支以及合理的律師費用可作為財產損失請求賠償。”據此，不同于部分合同糾紛維權成本的負擔需基于合同約定，侵害人臉信息維權成本的負擔直接由法律規定。因此，受害人可主張的財產損失除了實際損失、侵權人因此獲得的利益之外，還包括為制止侵權行為所支付的合理開支以及合理的律師費用。

例如某購物應用軟件在未經老趙同意的情況下擅自采集其人臉信息，并通過分析其性別、年齡、心情等采取不同營銷策略。老趙發現后要求該軟件刪除其人臉信息被拒絕，于是他聘請了律師調查取證，共花費1萬元。如果老趙起訴要求該軟件運營者刪除人臉信息并支付律師費，則法院應在合理支出范圍內予以支持。