近日，最高院发布《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（以下简称“《规定》”），《规定》将于2021年8月1日正式施行。本期专题结合最新司法解释内容，对人脸信息保护相关问题进行分析。

（一）《规定》第二条第一项创设性地列举了属于侵害自然人人格权益的行为之一为“在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析”，其将经营场所这一类的地点进行了突出。

（二）《规定》第三条、第十二条等分别规定了信息处理者违反规定或约定时应承担的侵权责任或违约责任，以司法解释的明确规定的方式，释明了信息处理者的相关法律责任，后续纠纷中适用法律责任时将更加明确。

（三）《规定》第四条以列举的形式明确了信息处理者以已征得自然人或者其监护人同意抗辩属于无效抗辩的常见情形：（1）信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的，但是处理人脸信息属于提供产品或者服务所必需的除外；（2）信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的；（3）强迫或者变相强迫自然人同意处理其人脸信息的其他情形。

（四）《规定》第六条对信息处理者的举证责任进行了规定，即原则上仍遵循“谁主张、谁举证”的举证规则，但若信息处理者主张其系遵循合法、正当、必要原则处理个人信息，或主张其不承担民事责任的，其应对此承担举证责任。

（五）《规定》第八条第二款规定了信息处理者侵权时，被侵权人财产损失的范围，除一般的为制止侵权行为所支付的合理开支外，还包括了调查、举证费用及合理范围内的律师费用。鉴于一般情况下，调查费用、律师费用等并不会被纳入财产损失的范围，而《规定》对上述费用的列举，将在未来的司法审判中，加大对上述费用的支持力度，进而更有利于保护相关自然人的个人信息。

（六）《规定》第十一条规定了人脸识别领域中信息处理者订立的可能属于无效格式条款的类型，包括但不限于“要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利”，也就是说，信息处理者需避免上述条款出现在其与自然人订立的使用人脸信息的相关格式条款中，以免被认定为无效。

第一问：人脸信息是何种性质的信息？涉及自然人哪些权益？

答：根据司法解释第一条，人脸信息属于民法典第一千零三十四条规定的“生物识别信息”。可见，人脸信息属于《民法典》所规定的个人信息范畴，由于人脸信息同时涉及个人肖像和隐私，故其所集合的权益不仅包括自然人的个人信息权益，还应包括肖像权和个人隐私权。人脸信息被筛选后是否具有财产属性尚存争论，根据司法解释的相关规定，本次规定侧重于从人格权而非财产权角度进行保护。

第二问：人脸信息处理是否征得自然人同意后就不会导致侵权？

答：非也。根据司法解释第二条，导致侵权的人脸信息处理不仅包括未经同意处理人脸信息，还包括以下任一侵权情形：

（1）在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析；
（2）未公开处理人脸信息的规则或者未明示处理的目的、方式、范围；
（3）违反信息处理者明示或者双方约定的处理人脸信息的目的、方式、范围等；
（4）未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全，致使人脸信息泄露、篡改、丢失；
（5）违反法律、行政法规的规定或者双方的约定，向他人提供人脸信息。

第三问：自然人对处理人脸信息的“同意”能否撤回？

答：根据司法解释第十一条，“信息处理者采用格式条款与自然人订立合同，要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利，该自然人依据民法典第四百九十七条请求确认格式条款无效的，人民法院依法予以支持。”可见，作为具有较高人格属性的人脸信息，当事人的同意并非无期限限制或不可撤销，如自然人向信息处理主体提出终止同意，应视为有效，相关主体不得通过合同条款来排除当事人的上述权利。

第四问：信息处理者能否设置“概括同意”或“默示同意”规则？

答：根据司法解释第二条规定，“基于个人同意处理人脸信息的，应征得自然人或者其监护人的单独同意。”可见只是通过张贴告示，设置不提出异议视为默认的方式不属于“同意”范畴。人脸信息的处理必须坚守“明示同意”和“单独同意”的规则，如企业设置钉钉刷脸考勤，不能通过规章制度方式设置概括同意规则，而应逐一与员工签字确认。此外，自然人实际使用了刷脸程序如通过刷脸门禁系统进出不能视为已明示同意。

第五问：小区、写字楼、用人单位、国家机关等能否强制刷脸门禁进出？

答：司法解释第十条规定，“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式，不同意的业主或者物业使用人请求其提供其他合理验证方式的，人民法院依法予以支持。”虽然该条仅提及物业和建筑物管理人，但考虑立法宗旨，应包括用人单位和相关行政事业单位设置刷脸门禁的情形。

第六问：经营者非法侵犯个人人脸信息（如非法安装人脸识别监控等），当事人可以采取哪些措施？如提起民事诉讼，赔偿责任如何确定？

答：结合本司法解释、《消费者权益保护法》等相关规定，当事人可以采取下列措施：

（1）向监管部门举报，拨打12315热线、12345热线等；根据《消费者权益保护法》第56条规定，侵害消费者个人信息权利，最高可罚款50万元，没收收违法所得，处以违法所得一倍以上十倍以下的罚款等；
（2）报警或向公安部门控告；结合《刑法修正案》和相关司法解释规定规定，非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的，可以追究刑事责任。人脸信息应属于与健康生理信息同一位阶的信息，如未经员工同意私自向供应商交付人脸信息亦可能带来刑事法律风险。
（3）向法院提起民事诉讼，要求承担侵权责任；包括赔偿损失、赔礼道歉、删除人脸信息等；在诉讼开始前亦可以申请“诉前禁令”（参见司法解释第九条），防止损失扩大。

如当事人提起民事诉讼，受害者可以主张为制止侵权行为所支付的合理开支如调查取证费用（交通、差旅、误工费等）及合理的律师费等。结合民法典相关规定，如涉及个人隐私、肖像权等还可以主张赔礼道歉、精神损害赔偿。

第七问：人脸信息侵权诉讼，是否完全适用“谁主张谁举证”？

答：根据司法解释第六条规定，信息处理者主张其行为符合民法典第一千零三十五条第一款（即征得该自然人或者其监护人同意）规定情形的，应当就此所依据的事实承担举证责任。信息处理者主张其不承担民事责任的，应当就其行为符合本规定第五条规定的情形承担举证责任。可见，在是否同意、责任排除事项上，适用举证责任倒置规则，需由信息处理者承担否定侵权的责任。

第八问：违约责任纠纷中，自然人主张删除人脸信息是否需要合同的在先约定？

答：司法解释第十二条规定，信息处理者违反约定处理自然人的人脸信息，该自然人请求其承担违约责任的，人民法院依法予以支持。该自然人请求信息处理者承担违约责任时，请求删除人脸信息的，人民法院依法予以支持；信息处理者以双方未对人脸信息的删除作出约定为由抗辩的，人民法院不予支持。可见，要求删除人脸信息无需合同另行约定。

第九问：侵犯人脸信息，可否提起公益诉讼？

答：根据司法解释第十四条规定，“信息处理者处理人脸信息的行为符合民事诉讼法第五十五条、消费者权益保护法第四十七条或者其他法律关于民事公益诉讼的相关规定，法律规定的机关和有关组织提起民事公益诉讼的，人民法院应予受理。”可见人脸信息侵权案件可以发起公益诉讼，如涉及消费者权益保护的，受害者可以向当地消费者协会联络并以消费者协会作为原告提起公益诉讼。其他案件参考《关于检察公益诉讼案件适用法律若干问题的解释》规定，可以要求当地检察机关作为原告提起公益诉讼。

第十问：新司法解释从何时实施，是否溯及既往？

答：根据司法解释第十六条规定，新规自2021年8月1日起施行，不溯及既往，也即对司法解释实施前的行为不具有约束力。尽管如此，司法解释前的侵权行为，仍可以援引民法典、消费者权益保护法、网络安全法等进行评价，并非完全免责。

1、《规定》的适用范围：准确适用，也应关注敏感个人信息严格处理的趋势

《规定》第1条规定“因信息处理者违反法律、行政法规的规定或者双方的约定使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息所引起的民事案件，适用本规定”。

点击查看相关概念：　

同时，2020年11月发布的团体标准《APP收集使用个人信息最小必要评估规范人脸信息》（TTAF 077.7-2020）、2021年4月发布的国家标准《信息安全技术人脸识别数据安全要求》（征求意见稿）关于上述概念的定义亦可参考。

在理解、适用《规定》时，一方面要准确理解上述概念；另一方面生物识别信息属于敏感个人信息范畴，《个人信息保护法（草案）》（二审稿）对于敏感个人信息进行了专节规定，需注意其他敏感个人信息（如种族、民族、宗教信仰、医疗健康、金融账户、个人行踪等信息）相关民事案件可能未来也会参照该《规定》。

2、《规定》的溯及力：实施日期临近，信息处理者应重视该《规定》的威慑力

虽然《规定》第16条明确了其适用并不会溯及到2021年8月1日以前，但是如果信息处理者使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息的违法违规、违约行为一直持续到2021年8月1日以后，则会面临适用《规定》的风险。《规定》的威慑力主要体现在两个方面，一个是举证责任更重，一个是赔偿范围更加明确。

3、信息处理者面临的人脸信息处理纠纷民事案件败诉风险增大　

4、信息处理者在IPO过程中，如存在大量个人信息保护纠纷，IPO被否的风险也将进一步提高

在我们持续关注的境内IPO案例中，梳理拟IPO企业被问询的数据合规问题可以发现，“是否存在隐私权侵权纠纷”、“是否存在个人信息保护纠纷”基本上都是必问的问题。甚至一些还未出台的与个人信息保护有关的规定，也会被问询“是否已经对照整改”。随着《规定》出台，拟IPO企业如适用该《规定》，则可能更容易面临个人信息保护纠纷，尤其是在上市前。在IPO审核过程中一旦发生了这类个人信息保护纠纷，则容易暴露出企业的数据不合规问题或者存在较大漏洞，往往成为IPO被否的事由之一。除了IPO，企业被上市公司并购，或者正在进行后期的股权融资，仍应同等重视该《规定》。

“人脸识别第一案”

（一）案情回顾

2019年4月27日，原告支付1360元购买了园方“畅游365天”双人年卡。年卡要求使用指纹识别入园方式。原告与其妻子在园方留存了姓名、身份证号码、电话号码等个人信息，并录入了指纹识别信息，此外还应园方对于年卡用户的规定“至年卡中心拍照”。此后，原告与其妻子多次入园游览。2019年7月、10月，园方两次向原告发送短信，通知年卡入园识别系统更换事宜，要求激活人脸识别系统，否则将无法正常入园。原告与其妻子认为人脸信息属于高度敏感个人隐私，不同意接受人脸识别入园方式，要求园方退卡。双方协商无法达成一致意见，2019年10月28日，原告向浙江省杭州市富阳区人民法院提起诉讼。

（二）法院判决

2019年11月3日，浙江省杭州市富阳区人民法院正式受理此案，于2020年11月20日出具（2019）浙0111民初6971号服务合同纠纷一审民事判决书，判令园方删除原告及其妻子的照片及面部特征信息。原告和园方均不服一审判决，均提起上诉。2021年4月9日，浙江省杭州市中级人民法院出具了（2020）浙01民终10940号民事判决书，除维持一审部分判决之外，还要求园方删除原告及其妻子的指纹识别信息。

本案一审二审的判决均体现了目前司法层面对于个人信息的保护，且体现了对于人脸识别信息的特殊考虑。二审判决中对面部识别特征收集的合法性和正当性进行了详细的阐述，例如，在合法性方面，“人脸识别信息相比其他生物识别信息而言，呈现出敏感度高，采集方式多样、隐蔽和灵活的特性，不当使用将给公民的人身、财产带来不可预测的风险，应当作出更加严格的规制和保护”；在正当性方面，“园方虽自述其并未将收集的照片激活处理为人脸识别信息，但其欲利用收集的照片扩大信息处理范围，超出事前收集目的，违反了正当性原则”。

目前，开发商房屋销售现场人脸识别技术的主要应用场景，系用于购房客户分类。房产销售多通过两种渠道，其一是购房人自然到访，其二是通过中介机构带访。就带访购房人而言，开发商每成交一套房屋，需向中介机构支付不菲佣金，且由于中介渠道走量更大，往往可以拿到价格优惠。故为争取更多自然到访客户，防止中介机构“截客”，开发商利用人脸识别系统来辨别客户首次到访情况的现象十分普遍。

典型案例：

● 宁波某公司行政处罚案　

● 杭州某置业公司案　

各地相关文件：　

（一）从侵权责任的角度

对于房地产企业于销售现场时的常见操作而言，鉴于处理人脸信息并非现场销售商品房所必需，下列行为在适用《规定》时将被认定为侵权：

（1）于销售现场门口列示指示牌，载明进入销售现场即视为同意接受人脸信息收集等的条款；
（2）房地产企业将接受人脸识别与销售或推介行为捆绑，或者将人脸识别嵌入销售环节、使接受人脸识别成为销售环节的前置条件的。

依循本次《规定》，购房人或其他被不当人脸识别、被不当处理人脸信息的自然人，均可据此要求开发商承担民事责任。

（二）从违约责任的角度

截至目前，我们暂未发现开发商以签订格式条款的方式主张购房人已授权其使用人脸识别技术或处理人脸信息的案例。但随着《规定》将《民法典》中关于自然人“同意”处理个人信息的条件进一步明确为自然人或其监护人的“单独同意”，不排除开发商为继续使用购房人人脸信息而与购房人签订格式合同的情形。根据《规定》第十一条，开发商在格式合同中要求购房人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利的，购房人可主张该等条款无效；根据《规定》第十二条，开发商违反约定处理人脸信息时，购房人可要求其承担删除人脸信息等违约责任。

值得一提的是，包括侵害人脸信息等个人信息权益的纠纷中，“由于实践中受害者分散、个人维权成本高、举证能力有限等因素，个人提起诉讼维权的情况相对较少”。最高院认为，公益诉讼制度能够有效弥补这一不足，故本次《规定》积极倡导了民事公益诉讼。结合《民事诉讼法》第五十五条、《消费者权益保护法》第四十七条等相关规定，若开发商滥用人脸识别技术或有其他不当处理人脸信息行为，并构成对众多消费者个人信息权益的侵害的，有关机关或组织可能将提起公益诉讼。

合规建议

（一）遵守合法、正当、必要原则

个人信息收集、使用所应当遵守的合法、正当、必要原则，首先确立于《全国人民代表大会常务委员会关于加强网络信息保护的决定》中，其后，《网络安全法》第41条、《消费者权益保护法》第29条、《民法典》第1035条也均延续了这一原则，合法、正当、必要原则，已成为个人信息处理的基本原则。

需要特别提示的是，合法原则既要求收集、处理信息的主体合法（如法律授权机关或经信息主体同意授权的机构等），也要求收集、处理个人信息的手段必须合法。开发商在使用人脸识别技术时，应当基于自然人或其监护人的同意，应当尽到相关公示公开义务，并遵循有关人脸信息收集、处理的技术规范与行为规范。

（二）告知购房人等自然人并征得其单独同意

开发商具体应用人脸识别技术时，不仅应主动告知相关自然人销售现场将存在人脸识别系统，还应明确告知其人脸识别的目的、方式、范围，公开处理人脸信息的规则。在完整、如实履行前述告知义务后，开发商还应征得相关自然人对其使用人脸识别技术等人脸信息处理行为的单独的同意，如取得相关自然人的书面授权、书面同意的承诺等，但如该等书面文件系开发商拟定的格式条款，则开发商还应尽到注意、提示等义务并避免使用“要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利”或类似内容。

在购房人不同意开发商收集、处理其人脸信息时，开发商不得擅自进行收集、处理。

（三）确保人脸信息安全

开发商获取自然人人脸信息后，需采取必要措施，对相关数据进行妥善的保管与保护。即使人脸信息的泄露、篡改、毁损等情况的发生，系由第三方攻击开发商的数据传输、存储系统而造成，开发商因传输、存储相关数据的技术规范未达到必要的标准（如《信息安全技术个人信息安全规范》等），亦应当承担侵害个人信息的侵权责任。

（四）关注监管态势

人脸信息属于具有个人生物特征的敏感个人信息，随着其在金融、安防等领域的逐步应用，保护人脸信息对保护个人财产、安全的重要性愈加突显，个人对人脸信息的重视程度必然逐渐加强，相关主管部门的监督亦可能呈趋严态势。开发商如需在其销售现场这一涉及众多自然人的经营场所内使用人脸识别技术的，不仅应当关注人脸信息等个人信息保护立法进展，关注房地产行业内主管部门发布的行政规范，还应当关注人脸信息保护的相关技术性规范、规则及标准，并随之及时进行调整，避免承担不利的后果。

企业面对《规定》的影响，如何规划好自身合规路线图，我们建议如下：

第一，确定自身是否适用该《规定》；

第二，如适用，则应确定自身违法违规、违约行为是否会参考《规定》第2条、第3条以及其他相关规定，建议制作《人脸信息专属整改对照清单》（下表），逐条进行对照、明确整改措施和责任人；

第三，如对照后，违法违规、违约行为较为严重且持续到2021年8月1日之后，建议按照优先级和紧急程度，尽快停止违法违规、违约行为，采取整改措施。如更新《个人信息保护政策》，避免出现《规定》中的违规条款；如优化自身人脸信息处理的全生命周期，尤其是展示在外（APP、小程序等）的平台规则、同意形式，以及采集人脸信息的必要性描述等；

第四，如适用《规定》合法抗辩事由，应提前做好相关证据固化，与专业的个人信息保护律师共同制作《个人信息保护纠纷防范合规手册》，从诉讼风险防范角度，做好证据的日常收集和固化工作，为未来履行自身举证责任做好准备；

第五，关注《个人信息保护法》的出台时间，提前按照该法征求意见稿及网络安全法、数据安全法的相关规定，做好全方位的数据合规对照整改工作。

人脸信息专属整改对照清单：

• 简评人脸识别司法解释：司法审查未来将是检验企业数据合规质量的试金石　[王艺、陈文昊、赵艳明、虞晨，北京植德律师事务所]
• 解读最高院人脸识别司法解释——以房屋销售现场应用人脸识别技术为例　[王欣、欧玉洁、王丹阳，金杜律师事务所]
• 向强制“刷脸”说不，最高院新规10问10答　[洪桂彬，汇业律师事务所]
• 人脸识别知多少——从“人脸识别第一案”说起　[杨锦文、高健、李圆圆，君合律师事务所]