商場(chǎng)開(kāi)啟人臉識(shí)別攝像頭，信息被“無(wú)感”收集；小區(qū)啟用人臉識(shí)別門禁系統(tǒng)，不同意不讓進(jìn)；APP捆綁授權(quán)強(qiáng)制索取人臉信息，不確認(rèn)不讓用……現(xiàn)在，這些行為都有可能構(gòu)成侵害自然人人格權(quán)益。針對(duì)人臉識(shí)別信息利用方式的“野蠻生長(zhǎng)”，最高人民法院發(fā)布規(guī)定并于近日在全國(guó)施行，對(duì)經(jīng)營(yíng)場(chǎng)所濫用人臉識(shí)別技術(shù)、小區(qū)“刷臉”進(jìn)門等問(wèn)題進(jìn)行規(guī)范。那么，什么樣的行為構(gòu)成濫用人臉識(shí)別信息呢？普通群眾又該如何維權(quán)？

提問(wèn)1

“人臉信息”在法律上如何界定？

近年來(lái)，隨著信息技術(shù)的發(fā)展，人臉識(shí)別技術(shù)廣泛應(yīng)用于移動(dòng)支付、設(shè)備解鎖、數(shù)據(jù)分析等場(chǎng)景，給人們的工作和生活帶來(lái)了巨大的便利，但是信息處理者對(duì)于人臉信息的瘋狂采集和無(wú)序管理，引發(fā)了公眾對(duì)于隱私和數(shù)據(jù)安全的擔(dān)憂。

“臉面”對(duì)于一個(gè)人的重要性是不言而喻的，人臉信息首先涉及到個(gè)人的肖像，其次還包括了健康、年齡、心理等其他信息，一旦泄露或遭受侵權(quán)，將會(huì)給個(gè)人的尊嚴(yán)、隱私、平等等權(quán)利帶來(lái)嚴(yán)重影響。那么，作為個(gè)人核心隱私的“臉面”，如何在法律上定性呢？

我國(guó)民法典對(duì)個(gè)人信息保護(hù)做出規(guī)定，所謂個(gè)人信息，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號(hào)碼、生物識(shí)別信息等。人臉信息作為生物識(shí)別信息的一種，自然屬于民法典保護(hù)的個(gè)人信息范疇。

最高人民法院發(fā)布的《關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問(wèn)題的規(guī)定》（以下簡(jiǎn)稱《規(guī)定》）正是對(duì)使用人臉識(shí)別技術(shù)處理個(gè)人信息問(wèn)題的細(xì)化，對(duì)人臉識(shí)別所涉及的信息范圍、主要場(chǎng)景、處理流程均予以回應(yīng)，為公眾獲得全面司法保護(hù)奠定了基礎(chǔ)。其中，第一條明確，處理“人臉信息”和“基于人臉識(shí)別技術(shù)生成的人臉信息”均是需要規(guī)制的對(duì)象。我們通常認(rèn)為“人臉信息”是利用照相技術(shù)所抓取的原始人臉圖像，但實(shí)際上基于原始人臉圖像生成的人臉信息，同樣屬于《規(guī)定》所規(guī)范的對(duì)象，比如將人臉圖像按照一定算法生成的編碼以及其他特征數(shù)據(jù)等，均屬于“人臉信息”。

《規(guī)定》所應(yīng)用的場(chǎng)景不僅包括賓館、商場(chǎng)、銀行、車站、機(jī)場(chǎng)、體育場(chǎng)館、娛樂(lè)場(chǎng)所等公共場(chǎng)所，還包括了小區(qū)物業(yè)和線上應(yīng)用場(chǎng)景。此外，《規(guī)定》規(guī)制的是人臉信息處理的全流程，即收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等。

提問(wèn)2

商家、物業(yè)、APP的哪些行為違法？

1、 經(jīng)營(yíng)門店“無(wú)感式”收集人臉信息違法。今年“3·15晚會(huì)”曝光了某些知名企業(yè)的門店在未經(jīng)同意的情況下，擅自采集進(jìn)店消費(fèi)者人臉信息，這些商家利用上述信息進(jìn)行消費(fèi)者性別、年齡、購(gòu)買情況甚至心理的數(shù)據(jù)分析，目的在于針對(duì)不同的消費(fèi)者采取不同的營(yíng)銷策略。無(wú)獨(dú)有偶，某地還出現(xiàn)個(gè)別房地產(chǎn)開(kāi)發(fā)商對(duì)目標(biāo)客戶進(jìn)行人臉識(shí)別和分析，導(dǎo)致客戶“戴頭盔看房”的奇葩現(xiàn)象。

對(duì)于這種“看人下菜碟”的行為，《規(guī)定》第二條中明確指出，在賓館、商場(chǎng)、銀行、車站、機(jī)場(chǎng)、體育場(chǎng)館、娛樂(lè)場(chǎng)所等經(jīng)營(yíng)場(chǎng)所、公共場(chǎng)所違反法律、行政法規(guī)的規(guī)定使用人臉識(shí)別技術(shù)進(jìn)行人臉驗(yàn)證、辨識(shí)或者分析的情形屬于侵害自然人人格權(quán)益的行為。因此，商家不僅不應(yīng)違法使用采集到的人臉識(shí)別數(shù)據(jù)與存儲(chǔ)的人臉識(shí)別數(shù)據(jù)進(jìn)行驗(yàn)證、辨識(shí)，而且更不應(yīng)違法使用人臉識(shí)別數(shù)據(jù)分析個(gè)人的年齡、健康、情緒、心理等具有個(gè)人特征的信息。

2、 物業(yè)強(qiáng)制要求驗(yàn)證人臉信息進(jìn)出小區(qū)違法。有的小區(qū)默默裝上了人臉識(shí)別系統(tǒng)，并告知業(yè)主必須通過(guò)人臉識(shí)別才能進(jìn)入小區(qū)。針對(duì)此種情形，《規(guī)定》第十條明確規(guī)定：“物業(yè)服務(wù)企業(yè)或者其他建筑物管理人以人臉識(shí)別作為業(yè)主或者物業(yè)使用人出入物業(yè)服務(wù)區(qū)域的唯一驗(yàn)證方式，不同意的業(yè)主或者物業(yè)使用人請(qǐng)求其提供其他合理驗(yàn)證方式的，人民法院依法予以支持?！币虼?，小區(qū)物業(yè)無(wú)權(quán)要求業(yè)主將人臉識(shí)別作為進(jìn)出小區(qū)的唯一驗(yàn)證方式，物業(yè)管理者如使用人臉識(shí)別門禁系統(tǒng)，在錄入和使用人臉信息時(shí)應(yīng)當(dāng)征得業(yè)主或者物業(yè)使用人的明示同意，對(duì)于不同意將人臉識(shí)別信息作為唯一驗(yàn)證方式的，小區(qū)物業(yè)應(yīng)當(dāng)提供替代性驗(yàn)證方式。

3、 應(yīng)用程序捆綁授權(quán)、強(qiáng)迫同意索取人臉信息違法。很多人在使用APP時(shí)可能都會(huì)遇到以下情況：一是要求用戶同意APP處理其人臉信息才提供服務(wù)，否則立即閃退；二是以其他類型的授權(quán)，比如讀取照片權(quán)限捆綁人臉信息權(quán)限來(lái)獲取用戶的同意。

針對(duì)上述“強(qiáng)取”行為，《規(guī)定》第四條指出，即使信息處理者已經(jīng)獲得自然人關(guān)于處理其人臉信息的同意，只要信息處理者有以下情形之一：要求自然人同意處理其人臉信息才提供產(chǎn)品或者服務(wù)的，但是處理人臉信息屬于提供產(chǎn)品或者服務(wù)所必需的除外；信息處理者以與其他授權(quán)捆綁等方式要求自然人同意處理其人臉信息的；強(qiáng)迫或者變相強(qiáng)迫自然人同意處理其人臉信息的其他情形，自然人的同意并不妨礙對(duì)信息處理者違法行為的追責(zé)。

4、 泄露、篡改、丟失人臉信息違法。人臉信息并非完全被禁止收集，但是信息處理者要保證安全。因?yàn)槿四樞畔儆诟叨让舾械膫€(gè)人信息，其生物識(shí)別屬性強(qiáng)、重復(fù)利用次數(shù)多，一旦泄露將會(huì)對(duì)個(gè)人的人身和財(cái)產(chǎn)安全造成極大危害。因此，對(duì)于人臉信息的收集、存儲(chǔ)、使用、加工、傳輸、提供的全流程均應(yīng)時(shí)刻注意信息的泄露、篡改和丟失問(wèn)題。對(duì)此，《規(guī)定》中也明確指出，信息處理者未采取應(yīng)有的技術(shù)措施或者其他必要措施確保收集、存儲(chǔ)的人臉信息安全，致使人臉信息泄露、篡改、丟失以及違反法律、行政法規(guī)的規(guī)定或者雙方的約定，向他人提供人臉信息的情形，均構(gòu)成侵害人格權(quán)益的行為。

提問(wèn)3

遇商家“索臉”要注意什么？

利用人臉信息實(shí)施的侵害行為防不勝防，那么，普通消費(fèi)者在面臨商家等索取人臉信息時(shí)應(yīng)該把握哪些關(guān)鍵點(diǎn)呢？

首先是“公示”規(guī)則。一般來(lái)說(shuō)，信息主體的知情同意是信息處理者處理個(gè)人信息的合法來(lái)源。確保信息主體對(duì)個(gè)人信息享有信息自決權(quán)，首當(dāng)其沖的就是確保知情權(quán)，知情不僅是同意的前提，也是避免對(duì)個(gè)人信息濫用的基礎(chǔ)。

《規(guī)定》第二條第二項(xiàng)指出，未公開(kāi)處理人臉信息的規(guī)則或者未明示處理的目的、方式、范圍，人民法院應(yīng)當(dāng)認(rèn)定屬于侵害自然人人格權(quán)益的行為。當(dāng)面臨商家等信息處理者索取人臉信息時(shí)，一定要求商家將如何處理人臉信息等規(guī)則予以公開(kāi)。如遇到未公開(kāi)或未明示等情形，信息處理者就可能構(gòu)成侵犯人格權(quán)益。

其次，“單獨(dú)同意”與“強(qiáng)迫同意無(wú)效”規(guī)則。信息主體對(duì)個(gè)人信息享有信息自決權(quán)的另一個(gè)重要條件就是確保信息主體的同意權(quán)?！肮尽币?guī)則解決的是知情問(wèn)題；而“單獨(dú)同意”規(guī)則解決的是同意問(wèn)題。

所謂“單獨(dú)同意”，是指?jìng)€(gè)人能夠自主、自由、獨(dú)立地對(duì)人臉信息作出同意。換句話說(shuō)，對(duì)人臉信息的處理，不能與其他個(gè)人信息的處理混在一起，獲得“一攬子同意”。對(duì)此，《規(guī)定》第二條第三項(xiàng)指出，基于個(gè)人同意處理人臉信息的，未征得自然人或者其監(jiān)護(hù)人的單獨(dú)同意，或者未按照法律、行政法規(guī)的規(guī)定征得自然人或者其監(jiān)護(hù)人的書面同意，人民法院應(yīng)當(dāng)認(rèn)定屬于侵害自然人人格權(quán)益的行為。

以前我們常常遇到這種情況，即關(guān)于處理人臉信息的同意混合在冗長(zhǎng)的隱私政策以及其他條款中，無(wú)法達(dá)到真正的知情同意效果。今后，在需要調(diào)用人臉識(shí)別信息的應(yīng)用程序首次開(kāi)啟這一功能時(shí)，不得將同意條款穿插在其他條款中，而應(yīng)該通過(guò)彈窗或其他專門頁(yè)面的形式僅對(duì)同意獲取人臉信息的條款予以單獨(dú)展示，用戶必須通過(guò)點(diǎn)擊“同意”等主動(dòng)性動(dòng)作來(lái)表達(dá)同意處理個(gè)人信息的意愿。

如果遇到點(diǎn)擊“不同意”APP就不允許使用的情形，即符合上文所說(shuō)的違法情形之一，屬于個(gè)人沒(méi)有其他選擇的困境，在非自愿條件下作出的個(gè)人同意。這時(shí)，即使信息主體點(diǎn)擊了“同意”，也不能視為人臉信息處理者獲得了真正的同意和有效授權(quán)，這是“單獨(dú)同意”規(guī)則的延伸，即“強(qiáng)迫同意無(wú)效”規(guī)則?！兑?guī)定》第四條明確：“有下列情形之一，信息處理者以已征得自然人或者其監(jiān)護(hù)人同意為由抗辯的，人民法院不予支持：信息處理者要求自然人同意處理其人臉信息才提供產(chǎn)品或者服務(wù)的，但是處理人臉信息屬于提供產(chǎn)品或者服務(wù)所必需的除外；信息處理者以與其他授權(quán)捆綁等方式要求自然人同意處理其人臉信息的；強(qiáng)迫或者變相強(qiáng)迫自然人同意處理其人臉信息的其他情形?！睂?duì)于信息處理者采取不當(dāng)方式強(qiáng)迫或者變相強(qiáng)迫自然人同意處理其人臉信息的，應(yīng)予禁止。

最后，“無(wú)期限限制、不可撤銷等格式條款無(wú)效”規(guī)則。考慮到信息處理者一般是通過(guò)格式條款的方式來(lái)獲取信息主體的同意，這種格式條款在很大程度上剝奪了信息主體的自決權(quán)，因此有必要加以限制?！兑?guī)定》第十一條指出：“信息處理者采用格式條款與自然人訂立合同，要求自然人授予其無(wú)期限限制、不可撤銷、可任意轉(zhuǎn)授權(quán)等處理人臉信息的權(quán)利，該自然人依據(jù)民法典第四百九十七條請(qǐng)求確認(rèn)格式條款無(wú)效的，人民法院依法予以支持?！?/p>

要求信息主體授予無(wú)期限限制、不可撤銷、可任意轉(zhuǎn)授權(quán)等處理人臉信息的權(quán)利的條款，明顯屬于民法典中所規(guī)定的“提供格式條款一方不合理地免除或者減輕其責(zé)任、加重對(duì)方責(zé)任、限制對(duì)方主要權(quán)利”的情形，應(yīng)屬無(wú)效。

提問(wèn)4

濫用人臉識(shí)別技術(shù)要擔(dān)何責(zé)？

此外，《規(guī)定》還從人格權(quán)和侵權(quán)責(zé)任角度明確了濫用人臉識(shí)別技術(shù)處理人臉信息的性質(zhì)和責(zé)任，以及從物業(yè)服務(wù)、格式條款效力、違約責(zé)任承擔(dān)等角度對(duì)濫用人臉識(shí)別技術(shù)處理人臉信息進(jìn)行了規(guī)定。因此，信息處理者濫用人臉識(shí)別技術(shù)有可能構(gòu)成人格權(quán)侵權(quán)責(zé)任、合同違約責(zé)任等。在侵權(quán)責(zé)任框架中，自然人受侵害的權(quán)益既包括個(gè)人信息權(quán)益，也包括肖像權(quán)、隱私權(quán)、名譽(yù)權(quán)等人格權(quán)及財(cái)產(chǎn)權(quán)；在違約責(zé)任框架中，自然人可以按照約定請(qǐng)求信息處理者承擔(dān)相應(yīng)違約責(zé)任，同時(shí)可以要求信息處理者刪除人臉信息。

關(guān)于賠償?shù)姆秶磺謾?quán)人可以向侵權(quán)人主張侵犯其人格權(quán)益導(dǎo)致的財(cái)產(chǎn)損失，還可以主張對(duì)侵權(quán)行為進(jìn)行調(diào)查、取證的合理費(fèi)用，甚至可以將合理的律師費(fèi)用計(jì)算在賠償范圍內(nèi)。

科技是一把雙刃劍，技術(shù)的進(jìn)步釋放數(shù)字經(jīng)濟(jì)的“紅利”，同時(shí)也會(huì)帶來(lái)信息濫用、信息泄露等難題，發(fā)揮“刷臉”的正面效應(yīng)，需要社會(huì)各方嚴(yán)守法律法規(guī)，讓人臉識(shí)別技術(shù)在合法、正當(dāng)、必要的軌道上健康發(fā)展。

延伸閱讀

哪些情形下信息處理者可以免責(zé)“用臉”

人臉信息的重要性決定了對(duì)其處理應(yīng)當(dāng)采用極為嚴(yán)格的規(guī)制，但也應(yīng)注意的是，保護(hù)這種私人權(quán)益需要考慮兩個(gè)因素：一是不能與保護(hù)公共利益相違背；二是防止對(duì)信息處理者課以過(guò)重責(zé)任，以促進(jìn)數(shù)字經(jīng)濟(jì)合理應(yīng)用和健康發(fā)展。

《規(guī)定》第五條明確：“有下列情形之一，信息處理者主張其不承擔(dān)民事責(zé)任的，人民法院依法予以支持：為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需而處理人臉信息的；為維護(hù)公共安全，依據(jù)國(guó)家有關(guān)規(guī)定在公共場(chǎng)所使用人臉識(shí)別技術(shù)的；為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為在合理的范圍內(nèi)處理人臉信息的；在自然人或者其監(jiān)護(hù)人同意的范圍內(nèi)合理處理人臉信息的；符合法律、行政法規(guī)規(guī)定的其他情形?！笨偟膩?lái)說(shuō)，合理使用人臉信息的基礎(chǔ)一般來(lái)源于兩方面：一是基于公益，具體包括公共衛(wèi)生事件或緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全，如為疫情防控需要采集、識(shí)別人臉信息，在公共場(chǎng)所為維護(hù)公共安全處理人臉信息，為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督；二是基于授權(quán)，即基于人臉信息被處理者或其監(jiān)護(hù)人的同意。

舉例來(lái)說(shuō)，小李乘坐飛機(jī)出差，在機(jī)場(chǎng)商店購(gòu)物時(shí)如果未被告知、未經(jīng)授權(quán)而被使用人臉識(shí)別技術(shù)進(jìn)行人臉驗(yàn)證、辨識(shí)或者分析，商店將承擔(dān)侵權(quán)責(zé)任；但如果機(jī)場(chǎng)疫情管理相關(guān)部門為防控需要，對(duì)小李進(jìn)行人臉信息采集和識(shí)別，則小李不能拒絕。又如，王某是一起搶劫殺人案件的犯罪嫌疑人，有可靠信息來(lái)源稱其正在火車站伺機(jī)潛逃，火車站要求旅客過(guò)閘機(jī)時(shí)進(jìn)行人臉識(shí)別以排查犯罪嫌疑人。王某過(guò)閘機(jī)時(shí)無(wú)權(quán)拒絕進(jìn)行人臉識(shí)別，也無(wú)權(quán)在其被抓獲后起訴火車站承擔(dān)侵權(quán)責(zé)任，因?yàn)榇伺e是基于打擊犯罪的公共利益需要。

此外，如果被非法使用人臉信息，被侵權(quán)人可以主張哪些財(cái)產(chǎn)損失呢？按照民法典的規(guī)定，侵害他人人身權(quán)益造成財(cái)產(chǎn)損失的，按照被侵權(quán)人因此受到的損失或者侵權(quán)人因此獲得的利益賠償；被侵權(quán)人因此受到的損失以及侵權(quán)人因此獲得的利益難以確定，被侵權(quán)人和侵權(quán)人就賠償數(shù)額協(xié)商不一致，向法院提起訴訟的，由法院根據(jù)實(shí)際情況確定賠償數(shù)額。

然而，有時(shí)信息處理者進(jìn)行人臉識(shí)別，是為了分析消費(fèi)者偏好進(jìn)而采取不同的營(yíng)銷策略，實(shí)際上可能并未造成可以衡量的具體財(cái)產(chǎn)損失，但受害人聘請(qǐng)律師、調(diào)查取證的維權(quán)費(fèi)用可能較大。對(duì)此，《規(guī)定》第八條中明確，“自然人為制止侵權(quán)行為所支付的合理開(kāi)支，可以認(rèn)定為民法典第一千一百八十二條規(guī)定的財(cái)產(chǎn)損失。合理開(kāi)支包括該自然人或者委托代理人對(duì)侵權(quán)行為進(jìn)行調(diào)查、取證的合理費(fèi)用。人民法院根據(jù)當(dāng)事人的請(qǐng)求和具體案情，可以將合理的律師費(fèi)用計(jì)算在賠償范圍內(nèi)。被侵權(quán)人為制止侵權(quán)行為所支付的合理開(kāi)支以及合理的律師費(fèi)用可作為財(cái)產(chǎn)損失請(qǐng)求賠償?！睋?jù)此，不同于部分合同糾紛維權(quán)成本的負(fù)擔(dān)需基于合同約定，侵害人臉信息維權(quán)成本的負(fù)擔(dān)直接由法律規(guī)定。因此，受害人可主張的財(cái)產(chǎn)損失除了實(shí)際損失、侵權(quán)人因此獲得的利益之外，還包括為制止侵權(quán)行為所支付的合理開(kāi)支以及合理的律師費(fèi)用。

例如某購(gòu)物應(yīng)用軟件在未經(jīng)老趙同意的情況下擅自采集其人臉信息，并通過(guò)分析其性別、年齡、心情等采取不同營(yíng)銷策略。老趙發(fā)現(xiàn)后要求該軟件刪除其人臉信息被拒絕，于是他聘請(qǐng)了律師調(diào)查取證，共花費(fèi)1萬(wàn)元。如果老趙起訴要求該軟件運(yùn)營(yíng)者刪除人臉信息并支付律師費(fèi)，則法院應(yīng)在合理支出范圍內(nèi)予以支持。