7月28日上午，最高人民法院召開新聞發布會，發布了《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》（以下簡稱《規定》）。

此《規定》主要是對濫用人臉識別問題作出司法統一規定，針對實踐中反映較為突出的人臉識別技術被濫用問題，從侵權責任、合同規則以及訴訟程序等方面規定了16個條文。

 

強化人臉信息保護呼聲日益高漲

人臉識別是人工智能的重要應用。大到智慧城市建設，小到手機客戶端的登錄解鎖，都能見到人臉識別的應用。在國境邊防、公共交通、城市治安、疫情防控等諸多領域，人臉識別技術發揮著巨大作用。

但同時，一些經營者濫用人臉識別技術侵害自然人合法權益的事件頻發。據APP專項治理工作組去年發布的《人臉識別應用公眾調研報告》顯示，在2萬多名受訪者中，94.07%的受訪者用過人臉識別技術，64.39%的受訪者認為人臉識別技術有被濫用的趨勢，30.86%受訪者已經因為人臉信息泄露、濫用等遭受損失或者隱私被侵犯。

人臉識別已成為熱門詞匯，社會公眾對人臉識別技術濫用的擔心不斷增加，強化人臉信息保護的呼聲日益高漲。針對這種大眾關注的現象，在這場發布會上，最高人民法院副院長楊萬明作了總結式舉例：

比如，有些知名門店使用“無感式”人臉識別技術在未經同意的情況下擅自采集消費者人臉信息，分析消費者的性別、年齡、心情等，進而采取不同營銷策略。

又如，有些物業服務企業強制將人臉識別作為業主出入小區或者單元門的唯一驗證方式，要求業主錄入人臉并綁定相關個人信息，未經識別的業主不得進入小區。

再如，部分線上平臺或者應用軟件強制索取用戶的人臉信息，還有的賣家在社交平臺和網站公開售賣人臉識別視頻、買賣人臉信息等。

最高人民法院副院長楊萬明表示，上述行為嚴重損害自然人的人格權益等，亟待進行規制。

“人臉信息屬于敏感個人信息中的生物識別信息，是生物識別信息中社交屬性最強、最易采集的個人信息，具有唯一性和不可更改性，一旦泄露將對個人的人身和財產安全造成極大危害。”楊萬明介紹，最高法在充分調研基礎上制定司法解釋，對人臉信息提供司法保護。解釋明確規定，在賓館、商場、銀行、車站、機場、體育場館、娛樂場所等經營場所、公共場所違反法律、行政法規的規定使用人臉識別技術進行人臉驗證、辨識或者分析，應當認定屬于侵害自然人人格權益的行為。

具體而言，楊萬明介紹，《規定》第2條規定了侵害自然人人格權益行為的認定，針對今年“3.15晚會”所曝光的線下門店在經營場所濫用人臉識別技術進行人臉辨識、人臉分析等行為，以及社會反映強烈的幾類典型行為，該條均予以列舉，明確將之界定為侵害自然人人格權益的行為。針對部分商家采用一次概括授權、與其他授權捆綁、“不同意就不提供服務”等不合理手段處理自然人人臉信息的，第2條和第4條明確，處理自然人的人臉信息，必須征得自然人或者其監護人的單獨同意；對于違反單獨同意，或者強迫、變相強迫自然人同意處理其人臉信息的，構成侵害自然人人格權益的行為。

面對小區強制“刷臉”等怎么辦？

伴隨著人臉識別技術應用場景的不斷豐富，一些小區強制引入人臉識別系統、一些APP通過捆綁授權收集人臉等等現象，引起了大眾關注。

針對熱點應用場景和案例，《規定》作了明確的司法解釋：

場景1：進出小區必須“刷臉”？

當前，部分小區使用人臉識別門禁系統，部分小區物業強制要求居民錄入人臉信息，并將人臉識別作為出入小區的唯一驗證方式，引發了社會熱議。

對此，最高人民法院研究室副主任郭鋒表示，人臉信息屬于敏感個人信息，小區物業對人臉信息的采集、使用必須依法征得業主或者物業使用人的同意。只有業主或者物業使用人自愿同意使用人臉識別，對人臉信息的采集、使用才有了合法性基礎。實踐中，部分小區物業強制要求居民錄入人臉信息，并將人臉識別作為出入小區的唯一驗證方式，這種行為違反“告知同意”原則，群眾質疑聲較大。我們應該擁抱新科技，但同時也要尊重人格權益。小區物業不能以智能化管理為由，侵害居民人格權益。

《規定》第10條第1款專門規定：“物業服務企業或者其他建筑物管理人以人臉識別作為業主或者物業使用人出入物業服務區域的唯一驗證方式，不同意的業主或者物業使用人請求其提供其他合理驗證方式的，人民法院依法予以支持。”

郭鋒表示，根據這一規定，小區物業在使用人臉識別門禁系統錄入人臉信息時，應當征得業主或者物業使用人的同意，對于不同意的，小區物業應當提供替代性驗證方式，不得侵害業主或物業使用人的人格權益和其他合法權益。

場景2：一些APP索取人臉信息“不點擊同意不提供服務”怎么辦？

一段時間以來，部分移動應用程序（APP）通過一攬子授權、與其他授權捆綁、“不點擊同意就不提供服務”等方式強制索取非必要個人信息的問題比較突出，這既是廣大用戶的痛點，也是維權的難點。

最高人民法院研究室民事處處長陳龍業表示，特別是對人臉信息的處理，不能帶有任何強迫因素。如果信息處理者采取“與其他授權捆綁”、“不點擊同意就不提供服務”等模式，會導致自然人無法單獨對人臉信息作出自愿同意，或者被迫同意處理其本不欲提供且非必要的人臉信息。

對此，《規定》根據民法典第1035條，明確了以下處理人臉信息的規則：

一是單獨同意規則。《規定》第2條第3項引入單獨同意規則，即：信息處理者在征得個人同意時，必須就人臉信息處理活動單獨取得個人的同意，不能通過一攬子告知同意等方式征得個人同意。

二是強迫同意無效規則。《規定》第4條對處理人臉信息的有效同意采取從嚴認定的思路。對于信息處理者采取“與其他授權捆綁”、“不點擊同意就不提供服務”等方式強迫或者變相強迫自然人同意處理其人臉信息的，信息處理者據此認為其已征得相應同意的，人民法院不予支持。第4條的規定不僅適用于線上應用，對于需要告知同意的線下場景也同樣適用。

最高法院相關人士表示，此次《規定》充分考量人臉識別技術的積極作用，一方面規范信息處理活動，保護敏感個人信息，另一方面注重促進數字經濟健康發展，保護人臉識別技術的合法應用。為了避免對信息處理者課以過重責任，妥善處理好懲戒侵權和鼓勵數字科技發展之間的關系。

個人信息保護法律體系正在完善

從刑事審判工作來看，近年來，侵犯公民個人信息犯罪處于高發態勢，而且與電信網絡詐騙、敲詐勒索、綁架等犯罪呈合流態勢，社會危害嚴重。為依法嚴懲此類犯罪，最高人民法院會同有關部門，于2017年5月9日發布了《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》。該司法解釋施行以來，各級人民法院立足審判職能，依法懲治侵犯公民個人信息犯罪，案件數量顯著增長。

2017年6月至2021年6月，全國法院新收侵犯公民個人信息刑事案件10059件，審結9743件，生效判決人數21726人，對3803名被告人判處三年以上有期徒刑，比例達17.50%。

此外，此次發布會披露，民法典施行以來，截止到6月30日，各級人民法院正式以個人信息保護糾紛案由立案的一審案件192件，審結103件。

最高法院相關人士表示，“人臉識別第一案”也于今年4月9日二審宣判，依法保護自然人人臉信息等生物識別信息。隨著民法典貫徹實施的不斷深入、《個人信息保護法》即將頒布實施，人民法院將進一步通過司法裁判筑起保衛人民群眾個人信息權益的堅強司法屏障。

對于此次《規定》出臺，楊萬明表示，這部司法解釋，是維護自然人人格權益，保護人民群眾“人臉”安全的重要規范性文件。這部司法解釋的頒布實施，對最高人民法院指導各級人民法院正確審理相關案件、統一裁判標準、維護法律統一正確實施、實現高質量司法，具有重要而現實的意義。