企业人脸识别技术应用中敏感个人信息法律保护

//一、前言//

2021年7月28日，最高人民法院召开新闻发布会，发布《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（以下简称“《规定》”），于2021年8月1日起实施。这部司法解释，是人民法院深入贯彻习近平法治思想，坚持以人民为中心，维护自然人人格权益，保护人民群众“人脸”安全的重要规范性文件；同时也意味着个人信息保护的强监管法律体系愈趋完善。

//二、人脸识别技术中敏感个人信息保护的现状//

欧盟《互联网及移动设备人脸识别技术的意见书》（2012）中将人脸识别技术定义为 “通过自动处理包含人类面部图像的数字照片来识别、验证以及鉴别个体的技术”[1] 。国家标准化管理委员会发布的《信息技术生物特征识别人脸识别系统技术要求（征求意见稿）》中将人脸识别定义为“基于人的面部特征对该个体的自动识别。”也有观点认为，“人脸识别技术”是利用“自动定位、跟踪采集、比对提取、分离储存”等信息处理过程就采集到的人脸信息与数据库中的信息群进行比对核验，最终确定特定个体身份的技术。

在大数据时代，人脸识别技术得到了广泛的应用，大到智慧城市建设，小到手机客户端的登录解锁，都能见到人脸识别的应用。在国境边防、公共交通、城市治安、疫情防控等诸多领域，人脸识别技术也发挥着重大作用。此外，在商业领域中愈来愈多的企业通过人脸识别技术收集、处理、使用个人信息，从而形成行踪轨迹，达成精准营销、提高收益率的目的，但同时也蕴含着较大法律风险。据APP专项治理工作组去年发布的《人脸识别应用公众调研报告》显示，在2万多名受访者中，94.07%的受访者用过人脸识别技术，64.39%的受访者认为人脸识别技术有被滥用的趋势，30.86%受访者已经因为人脸信息泄露、滥用等遭受损失或者隐私被侵犯。[2]

（一）人脸识别技术对个人隐私、人身、财产带来的威胁性

人脸识别技术依托于人脸识别设备实现，而人脸识别设备的安装使用却无需经得消费者的个人同意，其原有的安保功能逐渐利益化，致使消费者的个人信息在未授权的情况下即被收集，对消费者的个人隐私带来了极大的威胁。除此之外，人脸信息可以被视为“生物密码”，在人脸信息被肆意收集的情况下，相当于密码丢失，“冒用者”可以凭此信息对个人的人身、财产进行攻击，使得个人处于物理与精神的双重压迫之中，对社会安定造成了显著的负面影响。

（二）数据共享(Data Sharing)模式导致敏感个人信息侵权的不确定性

数据共享(Data Sharing)模式是大数据时代的产物，不同平台、机构之间通过信息传输、流通、利用共利共生。该模式在降低信息采集成本、实现信息资源合理配置的同时，也导致了敏感个人信息侵权的不确定性。[3]

首先，自动化决策和算法黑箱是目前人脸识别技术中的普遍手段，信息处理行为与受害人遭受的损害之间的因果关系通常难以被缺乏相关知识的群体所知悉，在举证上存在较高难度。[4]

其次，在数据共享模式的应用过程中，涉及多个不同主体的共同参与，敏感个人信息在收集、存储、使用、传输各个过程中均可能存在被侵权现象，但具体侵权主体的确认因共享模式的高度结合具有极高的复杂性与难度性，简单的连带责任约束很难站得住脚。

第三，消费者授权同意的范围模糊，许多企业会通过服务协议或隐私条款将数据共享进行规定，即向关联方或合作伙伴进行共享，但是消费者对共享方的身份知之甚少，真正发生敏感个人信息的侵权行为后，消费者很难溯及源头，且基于服务协议或隐私条款的概括性同意，使得消费者的维权之路再蒙上了一层阴影。

//三、人脸识别技术应用中敏感个人信息法律保护体系//

随着《民法典》的颁布，“个人信息保护”与“隐私权”作为人格权的主要内容，对个人信息定义、保护原则以及相关主体权利进行了明确规定。2021年4月公开征求意见的《个人信息保护法（草案二次审议稿）》进一步针对一般个人信息和敏感个人信息的处理者义务、主体权利以及责任部门进行了区分规定，且明确国家网信部门统筹协调有关部门依据本法推进制定专门的个人信息保护规则、标准。此外，2021年4月公开征求意见的《信息安全技术人脸识别数据安全要求》也从基本安全要求、安全处理要求和安全管理要求出发，针对数据处理的不同环节制定了新的国家标准。2021年8月，随着《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》的发布实施，更有助于各级人民法院正确审理相关案件、统一裁判标准、维护法律统一正确实施、实现高质量司法，促进信息数据依法合理有效利用，推动数字经济健康发展。以上种种，凸显了个人信息保护领域的立法趋势——正处于强监管的状态之下。

（一）《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》

《规定》的起草，严格遵循民法典人格权编及相关法律的规定精神，针对司法实践过程中较为突出的问题，从侵权责任、合同规则以及诉讼程序等方面规定了十六个条文。

在适用范围方面，《规定》第一条明确规定适用于平等民事主体之间因使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息所引起的相关民事纠纷。适用范围全面覆盖人脸识别技术应用中收集、存储、处理、共享、删除等环节，含括侵权责任、违约责任，对个人信息权益、肖像权、肖像权、隐私权、名誉权等人格权以及财产权起到了有效的保护作用。

在法律责任方面，《规定》第二条至第九条主要从人格权和侵权责任角度明确了滥用人脸识别技术处理人脸信息行为的性质和责任。第二条至第四条，明确认定了属于侵害自然人人格权益的行为，包括部分商家概括授权、捆绑授权、变相强迫同意授权等行为，为被侵害人提供了强有力的法律依据，也体现了敏感个人信息保护立法中一以贯之的“最小必要”“单独同意”原则。同时，第二条至第四条加强了对未成年人的保护，即处理未成年人人脸信息需取得监护人单独有效的同意，深化了《个人信息保护法（草案二次审议稿）征求意见》第十五条之规定。第六条至第九条分别规定了举证责任、财产损失界定等方面，加重了信息处理者的义务，对企业而言，要更加的注重人脸识别技术中的敏感个人信息处理事宜，否则将承担举证不能的不利后果。

在相关合同效力方面，《规定》第十条至第十二条，针对物业人脸识别出入方式的选择、服务合同中授权处理人脸信息格式条款的效力以及然人请求信息处理者承担违约责任并删除其人脸信息的情形做出了详细规定。法院对相关案件的审理有了更明确的指导标准，更便于厘清人脸识别案件中的权利形态及责任义务。

（二）《中华人民共和国民法典》

《民法典》第一千零三十四条第三款规定：“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”该条款体现了民法典对个人私密信息进行了“隐私权＋个人信息”的双重保护，构成“权利＋利益”的二元保护模式。其中亦规定了私密信息保护应当优先适用隐私权保护的规定，仅在隐私权规定无法适用时，再转而适用个人信息保护的相关规定。因为隐私权属于《民法典》明确的“民事权利”类型，而个人信息保护未经明确，仅属于法律所保护的“利益”，隐私权保护规定之于个人信息保护规定，类似于特别法之于普通法。

而人脸信息属于敏感个人信息，在实际社会生活中“人脸”作为公民社会交往的“活体名片”，具备生理和心理的双重属性，蕴含丰富的非语言情感信息。[5]其私密性有待商榷，因此若仅适用《民法典》中关于私密信息的保护规定，可能会有所争议。因此，人脸信息保护应当秉承 “最小必要”原则，而《民法典》第一千零三十五条规定的“不得过度处理”，可以理解为对“最小必要”原则的体现。

（三）《个人信息保护法（草案二次审议稿）》

《个人信息保护法（草案二次审议稿）》与民法典的立法精神相契合，同时在第二节针对敏感个人信息提出了更高要求，规定个人信息处理者处理敏感个人信息时需具有“特定目的”和“充分必要性”，体现了对敏感个人信息的深度保护。

第三十条规定，“基于个人同意处理敏感个人信息的，个人信息处理者应当取得个人的单独同意。”“单独”一词主要针对目前大多数企业通过服务协议或隐私条款将敏感个人信息处理进行概括性同意的现状提出，对企业提出了更高的要求，需要信息主体在“充分知情”的情况下进行“专项同意”。这与《民法典》第一千零三十五条规定的“公开处理规则”、“明示目的、方式和范围”相呼应，搭建了法律桥梁。

第三十二条规定，“法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的，从其规定。”体现出敏感个人信息保护从严适用、强化保护的立法精神，也为个人信息保护领域的强监管奠定了基调，为个人信息保护职责的部门未来制定个人信息保护规则、标准提供可能性和空间。

（四）《信息安全技术人脸识别数据安全要求（征求意见稿）》

《信息安全技术人脸识别数据安全要求》征求意见稿是全国信息安全标准化技术委员会制定的新国家标准，其吸收结合了《民法典》与《个人信息保护法（草案二次审议稿）》中对个人信息保护的“最小必要”“单独同意”等原则，针对人脸识别技术各个环节提出了详尽的安全要求，具有指导性意义。

在基本安全要求中，新国标除规定最少必要原则和授权原则外，还规定了原则上不适用人脸识别技术对不满十四岁的未成年人进行识别、同时提供非人脸识别的身份识别方式、保障知情同意权以及人脸识别数据的限制性适用范围等条款，均是对人脸识别技术中个人信息保护的突破性规定，极大程度上保护了信息被收集者的合法权益。

在安全处理要求中，针对数据的收集、存储、使用、共享等环节进行了详细的规定，其中信息收集中的告知义务，信息存储中的配合义务、取得单独书面授权义务，信息使用中的删除义务以及信息共享中的取得书面授权义务、评估义务，均对数据控制者提出了明确的、严格的要求，从各个环节减少人脸识别数据的滥用可能。

在安全管理要求中，新国标也对数据控制者提出了数据保护义务、报告义务以及安全评估义务。

纵观《信息安全技术人脸识别数据安全要求》全文，对数据控制者提出了较高的要求，基本完全限制了人脸识别数据的商业化使用，但是鉴于该国家标准GB/T属于推荐性国家标准，其强制执行力以及处罚力度还需征求意见稿完全通过后方可得以论证。

（五）欧盟《通用数据保护条例（GDPR）》

在欧盟成员国之间，个人信息权被定为宪法层面的基本权利，并以此建立个人信息保护法律体系。欧盟于2000年通过《欧盟基本权利宪章》，并以此为根本法，建立了《通用数据保护条例》［Regulation (EU) 2016 /679，以下简称 GDPR］，保障了个人数据保护的具体实施。

在GDPR中，欧盟对个人信息保护进行了三个层次的区别规定：

1. 针对个人一般信息，包括种族、政治观点、宗教信仰、哲学信仰以及工会成员资格等，规定为数据收集者可以对此类信息进行收集利用，但不得进行泄漏；

2. 针对一般敏感信息，包括个人生物信息、个人行踪、个人基因信息等，因该类信息可以通过技术手段进行识别个体身份，所以规定数据收集者在处理该类信息时，必须具有合理目的，且不得进行技术识别；

3. 针对绝对私密敏感信息，包括健康信息、性取向、性生活等，规定是禁止收集、处理。

从中可见，GDPR对敏感度越高的个人信息，保护程度越高，对信息收集者的制约也越大，体现了欧盟以保障人权为核心的立法理念。[6]从司法实践来看，GDPR对数据保护的区别性规定，有效地降低了个人信息泄漏、滥用的风险。

（六）美国相关法案

美国目前没有统一的隐私法对个人信息进行保护，其主要通过各州、各行业部门制定的特定单行法案对个人信息加以保护，其中包括金融领域的《格拉姆-里奇-布莱利法案》《消费者隐私保护法案（草案）》；通信领域的《电缆通信隐私法》《电子通信隐私权法》；儿童隐私保护领域的《儿童在线隐私保护法》（COPPA），精神健康领域的《健康保险便利及责任法》（HIPPA）；在教育领域的《家庭教育权利与隐私法》（FERPA）等[7]。从上述法案中可以见得，美国虽然尚不存在统一的法律对个人信息进行保护，但已经对金融信息、通讯信息、儿童信息、健康信息、教育信息进行了重点保护。而作为消费者信息保护主要行政执法部门的美国联邦贸易委员会( Federal Trade Commission，FTC) ，在个人信息保护的执行阶段发挥了重要的作用。

不同于欧盟GDPR的统一规定，美国是以隐私权为核心，对于个人信息纠纷主要通过援引过往判例中对相关隐私问题的认定加以解决，此外通过制定单行法案模式，对特定类型的个人信息加以明确保护。二者对保护个人信息的主旨是相同的，均是为了维护人格自由和个人尊严。欧美立法对于个人敏感信息的类型及其认定方式的规定，为我国个人信息保护立法提供了丰富的可资借鉴的先进经验。[8]

总而言之，敏感个人信息保护的具有必要性与可行性，随着个人保护信息领域的法律法规、行业规定的不断出台，敏感个人信息的保护也逐渐得到落实，也为企业实践与司法适用提供确切的规范与有效指引。

具体相关法律法规如下：

//四、对于企业的合规建议//

随着《民法典》对个人信息及隐私权保护的完善，《个人信息保护法（草案二次审议稿）》制定的进一步推进以及个人信息保护职责的部门针对敏感个人信息以及人脸识别技术不断制定的专门个人信息保护规则、标准，目前个人信息保护正处于一个强监管环境，为妥善解决个人敏感信息的保护问题，企业在人脸识别技术应用过程中应当完善个人敏感信息的保护规则，规避相关法律风险。

（一）信息收集环节：分段分层的知情同意规则

知情同意在欧美法系中被规定为“Informed Consent”，是消费者经信息收集者告知并在充分了解的基础上进行同意，但目前在人脸识别技术应用中，信息收集者的告知环节以及消费者的充分了解环节往往被省略，敏感个人信息的收集处于未经同意或概括性同意的状态，其原因主要是人脸识别技术的应用具有自主性，无需消费者配合即可进行自动采集或消费者面对终端机器时，信息不对等、冗长格式化条款难以理解。

但是在数据爆炸的今天，一味地强调消费者的知情同意，会大大增加企业的运营成本且缺乏可操作性。因此应当根据个人信息的程度及特性，分段分层的设计知情同意规则以期达到企业利益与消费者个人信息保护的平衡状态。

针对敏感个人信息的收集，企业作为信息收集者必须履行告知义务并征得消费者的单独明示同意，且告知的内容应当包含《个人信息保护法（草案二次审议稿）》所规定的“个人信息处理者的身份和联系方式；个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；个人行使本法规定权利的方式和程序以及处理敏感个人信息的必要性以及对个人的影响。”针对“人脸信息”，信息处理者应当按照《规定》的要求，“公开处理人脸信息的规则或者明示处理的目的、方式、范围”；在告知手段方面，可以结合信息技术手段，通过推送或者弹窗等方式进行单独告知，避免出现排除或者限制消费者权利、减轻或者免除经营者责任、加重消费者责任或者默认勾选等情形。此外，企业应当加强对未成年人敏感个人信息的保护，符合《规定》的要求，取得未成年人监护人单独有效的授权。

针对一般个人信息的收集，相较于敏感个人信息，对个人的隐私程度侵害比较低，因此企业可以不采用过于严格的单独同意程序，可以采取概括性同意或默示同意的手段，从而减少企业的缔约成本及不必要的授权争议，促进程序运转，也能起到一定的保护消费者个人信息的作用。

大数据环境下，数据控制者要从海量信息主体逐一取得授权难度较大，如果所有个人信息在利用时均须取得信息主体的明确授权，数据控制者也会因利用成本过高而采用违法方式获取和利用数据，这不仅会给信息主体带来更大的隐私风险，且数据控制者也会因此承担更高的法律风险。[9]

因此，采用上述分段分层的知情同意规则，可以有效满足信息收集者与被收集者的合理需求，加快数据流通。

（二）信息处理环节：合理必要处理规则

通过人脸识别技术收集的个人生物信息属于敏感个人信息，对个人具有较大的影响性。如果企业参照欧盟针对绝对隐私的的敏感信息采取禁止处理规则，会在数据处理方面有所掣肘，且目前人脸识别技术多采用自动化决策，在自动化程序上添加敏感个人信息的禁止规则，会大大提升人工智能的操作难度。

基于此，企业应当采取合理必要处理规则，首先预设信息处理的范围及目的并通过服务协议或隐私条款加以明确并突出显示，予以公开告知，对于自动收集的范围目的外的个人信息进行筛选，保证符合明示处理的目的、方式、范围。相关协议条款应当处于消费者的合理识别范围之内，或将作为其使用应用的前置程序，获得消费者的合理授权，进而有效处理所收集的敏感个人信息，同时条款必须严格遵守《规定》第十一条，不得要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利，避免形成无效格式条款。

（三）信息使用环节：去标识化及匿名化规则

企业在收集、处理消费者的个人信息之后，还涉及到数据的交易使用，基于大数据平台的构建，企业往往会选择与其关联公司或合作伙伴共享相关数据，形成数据融通的格局。此时，个人信息的去标识化及匿名化将成为平衡数据流通和权利保护的有效手段。

根据《个人信息保护法（草案二次审议稿）》，去标识化是指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程；匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程。企业在有效运用去标识化及匿名化规则后，可以有效避免非技术群体通过已有信息进行身份再识别，防止数据泄漏、身份信息被盗用的风险。此外，在数据共享过程中，进行去标识化及匿名化处理，在有效保留统计目的的同时，无需获得信息被收集者的额外授权，能够提高效率，减少运营成本。企业可以在服务协议或隐私条款中对上述去标识化及匿名化规则加以明确。

（四）信息撤销环节：主动删除规则

企业主动删除规则的设计是对敏感个人信息的最后一环的保护。不同于信息被收集者依据《规定》第十二条要求信息处理者承担违约责任，删除人脸信息时的被动删除，主动删除规则要求企业根据相关情况展开具体分析，即判断敏感个人信息在流通利用的过程中，在不同的情境下会产生不同的侵权效应，判断其处理目的是否已实现或者其是否处于高风险的侵害状态。在企业停止提供产品或服务、保存期限已届满或者信息被收集者申请撤回其同意等情况下，主动对已收集、处理、使用的个人信息进行删除或停止进行存储、加工及共享，能够有效保护信息被收集者的的权利，增加消费者的满意度。但是，对主动删除规则也不能提出过高的要求，应当兼顾企业利益及社会利益，稳固数字化经济的良性发展。

//五、后记//

在大数据时代，个人信息的收集、利用是企业发展不可或缺的手段，而人脸识别技术的广泛应用不仅涉及到一般的个人信息，还关乎到敏感个人信息中隐私权、人格权、财产权等保护问题。人脸信息产生的商业利益与信息主体的利益保护需要寻找到一个平衡点，鉴于信息主体的认知程度有限、技术不对等，而个人信息保护的法律法规的不断出台，敏感个人信息保护领域目前正处于一个强监管的状态。企业作为信息收集者，应当更加注重敏感个人信息保护制度的构建，发挥其在个人信息保护方面的主观能动性，在法律允许的范围内充分挖掘个人信息的最大利益，形成共利共赢的局面，进而促进数字经济持续、健康、有序地发展。

本文于2021年8月5日在威科先行收录。

[1] 石佳友,刘思齐. 人脸识别技术中的个人信息保护——兼论动态同意模式的建构[J].财经法学,2021(02):60-78.

[2] 参见最高法发布审理使用人脸识别技术处理个人信息相关民事案件的司法解释.网址：https://mp.weixin.qq.com/s/kSX19JbG3w8crfiSoeNq7A，最后访问日期：2021年8月12日.

[3] 王利明. 数据共享与个人信息保护[N]. 北京日报,2019-04-29(014).

[4] 陈吉栋. 个人信息的侵权救济[J].交大法学,2019(04):40-53.

[5] 郭春镇. 数字人权时代人脸识别技术应用的治理[J].现代法学,2020,42(04):19-36.

[6] 高富平. 个人数据保护和利用国际规则：源流与趋势[M].北京:法律出版社,2016.

[7] 姬蕾蕾.大数据时代个人敏感信息的法律保护[J].图书馆,2021(1):99—106.

[8] 胡文涛. 我国个人敏感信息界定之构想[J].中国法学,2018(05):235-254.

[9] 金耀. 个人信息去身份的法理基础与规范重塑[J].法学评论,2017,35(03):120-130.

特别声明：

以上内容属于作者个人观点，不代表其所在机构立场，亦不应当被视为出具任何形式的法律意见或建议。