人脸识别技术已广泛应用于宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等各类经营场所和公共场所。人脸信息属于《民法典》第一千零三十四条规定的”生物识别信息”,具有唯一性、不可更改性和高度敏感性,一旦泄露或被滥用,对自然人的人格权益造成的损害往往难以逆转。最高人民法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称”人脸识别司法解释”)第二条以列举方式明确了八种应当认定为侵害自然人人格权益的情形。本文从规范意旨出发,对这八种情形进行类型化解析,并提炼实务审查要点。
一、规范的规范意旨与体系定位
人脸识别司法解释第二条的规范意旨在于,将《民法典》《个人信息保护法》《网络安全法》中关于个人信息处理的基本原则——合法、正当、必要原则——具体化为人脸识别技术应用场景中的可操作规则。该条列举的八种情形并非创设新的侵权类型,而是对既有法律原则在特定技术场景中的重申和细化。从体系解释看,这八种情形的核心逻辑线索可以归纳为三个层次:场景合法性(情形一)、程序正当性(情形二、三)和实体合规性(情形四至八),三个层次共同构成人脸信息处理行为合法性的审查框架。
二、八种侵权情形的类型化分析
(一)经营场所违规使用人脸识别技术
情形一针对宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析的行为。其规范要旨在于:公共场所的人脸信息采集涉及不特定多数人的生物特征,相较于其他个人信息处理行为,其对人格权益的侵入程度更高,应当受到更为严格的限制。实践中应当重点审查两个层次:其一,是否存在法律、行政法规的明确授权或禁止性规定;其二,即使未被明确禁止,是否符合”目的限制”原则——即人脸识别技术是否是实现该场所安全管理或服务目的的必要手段,是否存在对个人权益影响更小的替代方案。例如,宾馆为住客办理入住时的身份核验,依据《旅馆业治安管理办法》具有合法性基础,但商场以客流分析为目的在入口处无差别采集所有人脸信息,则可能欠缺合法性依据。
(二)未公开规则或未明示处理目的
情形二针对未公开处理人脸信息的规则或者未明示处理的目的、方式、范围的行为。这一情形的法理基础在于个人信息处理中的知情原则——信息主体的知情同意以处理规则的透明公开为前提。从举证结构看,信息处理者负有证明其已履行告知义务的举证责任。实践中,仅仅在隐私政策中以概括性条款提及”可能采集生物识别信息”,通常不足以认定为已履行明示义务。有效的告知应当单独、显著地说明人脸信息的采集目的、存储期限、使用范围、共享对象及删除机制。
(三)未取得单独同意或书面同意
情形三针对基于个人同意处理人脸信息时,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得书面同意的行为。此处对”单独同意”的要求是其核心特征——区别于一般个人信息的概括同意。单独同意的规范内涵包括:其一,同意应当是具体的,不能以用户协议或隐私政策中的一揽子条款替代;其二,同意应当是明确的,需要自然人通过主动、积极的行为表示同意,预设勾选框或默认同意不构成有效单独同意;其三,涉及无民事行为能力人或限制民事行为能力人的,还须取得其监护人的同意。
(四)违反约定目的处理人脸信息
情形四针对违反信息处理者明示或者双方约定的处理人脸信息的目的、方式、范围等的行为。此即个人信息处理中的”目的限制”原则的具体化——信息处理者不得超出信息主体同意时确定的处理目的、方式和范围,对已收集的人脸信息进行再利用或再加工。从裁判规则看,法院在审查该情形时,通常以信息处理者在信息收集时作出的承诺或告知内容为准据,考察实际处理行为与告知内容之间的偏离程度。
(五)未采取安全保障措施致人脸信息泄露
情形五针对未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全,致使人脸信息泄露、篡改、丢失的行为。这一情形的审查重点在于”应有技术措施”的判断标准。笔者认为,人脸信息的安全保护义务应当与其高度敏感性相适应,不能与其他一般个人信息的安全保护措施等量齐观。从合规实践看,应当包括但不限于:对人脸信息进行加密存储、设置访问权限控制、建立日志审计机制、制定安全事件应急预案、定期进行安全评估和渗透测试。
(六)违规向他人提供人脸信息
情形六针对违反法律、行政法规的规定或者双方的约定,向他人提供人脸信息的行为。这一情形与情形四具有关联性,但其规范重心在于信息的外部流转——即信息处理者将人脸信息提供给第三方。实践中须重点区分三种场景:其一,向第三方提供信息用于独立处理,须取得信息主体的单独同意;其二,委托第三方代为处理(受托处理),须签订数据处理协议并明确双方的安全保护义务;其三,因合并、分立等原因导致信息转移,应当告知信息主体接收方的名称和联系方式。
(七)违背公序良俗处理人脸信息
情形七针对违背公序良俗处理人脸信息的行为。作为兜底性质的一般条款,该情形的功能在于规制那些形式上符合某项具体规则、但实质上违反社会公共利益和善良风俗的人脸信息处理行为。例如,在更衣室、卫生间等私密空间安装人脸识别设备,或者基于不道德目的分析人脸信息(如情绪识别、性取向判断等)。公序良俗条款为法院提供了在具体规则之外进行价值判断的规范依据。
(八)违反合法、正当、必要原则处理人脸信息的其他情形
情形八是兜底条款,针对违反合法、正当、必要原则处理人脸信息的其他情形。该情形的功能在于弥补列举式立法可能存在的规范漏洞。从司法审查的维度看,法院适用该情形时应当重点衡量:信息处理行为是否具有合法目的、是否以对个人权益影响最小的方式实施、处理的人脸信息范围是否以实现处理目的所必需。
三、八种情形的类型比较与实务审查框架
| 违规类型 | 核心审查要素 | 典型场景 | 合规要点 |
|---|---|---|---|
| 场景违规(情形一) | 法律授权基础、必要性 | 商场客流分析、课堂考勤 | 事前进行合法性评估,确认是否存在法律法规依据 |
| 程序违规(情形二、三) | 告知充分性、同意有效性 | 未单独告知即采集、默认勾选同意 | 制定独立的告知文本,取得明确主动的单独同意 |
| 实体违规(情形四至六) | 目的符合性、安全保障、流转合规 | 超出授权范围使用、存储加密不足、违规共享第三方 | 建立内部数据分类分级制度,限制访问权限 |
| 兜底违规(情形七、八) | 公序良俗、合法正当必要原则 | 私密空间采集、情绪分析 | 建立伦理审查机制,定期开展算法影响评估 |
四、实务合规建议
基于上述规范分析,笔者建议信息处理者从以下三个层面构建人脸信息处理的合规体系:
第一,合法性审查层面。在部署人脸识别技术前,应当逐一审查是否存在法律、行政法规的明确授权,采集场景是否属于公共场所,是否存在对个人权益影响更小的替代技术方案。对于缺乏明确法律依据且非必要的场景,应当避免使用人脸识别技术。
第二,程序正当性层面。应当制定单独的人脸信息处理告知文本,以显著方式向信息主体说明处理目的、方式、范围和存储期限。取得信息主体的单独同意时,应确保同意是在充分知情的前提下自愿、明确作出的。对于未成年人,应当依法取得其监护人的同意。
第三,安全保障层面。应当采取符合行业标准的技术措施和管理措施,包括但不限于:对人脸信息进行加密存储和传输、建立严格的访问权限控制制度、定期开展安全评估和审计、制定个人信息安全事件应急预案。发生人脸信息泄露事件时,应当立即采取补救措施并依法通知信息主体和监管部门。
五、结语
人脸识别司法解释第二条的八种情形,构建了一个从场景合法性到程序正当性再到实体合规性的递进式审查框架。这八种情形相互配合、层层递进,形成了人脸信息处理合法性的完整规范链条。在技术快速迭代的背景下,信息处理者应当将合规审查从”一次性准入”转向”持续性动态管理”,才能真正实现人脸识别技术应用与个人信息权益保护之间的平衡。