[人工智能]新规解读：最高院人脸识别司法解释逐条解析

最高院人脸识别司法解释逐条解析

文/泰和泰律师事务所 陈福中、潘兴琦、刘若愚

引言

2021年7月28日，最高人民法院发布了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（下称“《规定》”），并通过新闻发布会的形式对《规定》的制定背景、主要内容、人民法院个人信息保护基本情况等进行了介绍。

《规定》作为最高人民法院民事领域首部直接针对个人信息处理行为出台的规范性文件，正式施行后，对于各级人民法院正确审理涉及使用人脸识别技术处理个人信息的相关案件、统一裁判标准具有重要而现实的意义。与此同时，《规定》从司法裁判的角度对各类信息处理者如何合法合规使用人脸识别技术处理个人信息提出了指引，预计将对今后各类使用人脸识别技术处理个人信息的行为起到很好的规范作用。

《规定》共十六条，主要内容包括适用范围、侵权行为种类、侵权责任判定、抗辩事由、举证责任分配、共同侵权和网络侵权责任承担、损失认定、人格权侵害禁令、特殊场景验证方式、格式条款效力、违约责任、诉讼程序等方面。

作为长期从事数据合规和个人信息保护领域法律研究和实务工作的律师，我们认为，此规定作为在《个人信息保护法（草案）》即将三审前夕通过并实施的司法解释，对于有关主体进行包括人脸信息在内的个人信息的处理活动以及开展相应的合规工作具有十分重大的意义。现结合自身经验和观察，对《规定》的具体内容逐条分析解读如下，供读者参考：

• 一、适用范围问题

《规定》第一条第一款规定：“因信息处理者违反法律、行政法规的规定或者双方的约定使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息所引起的民事案件，适用本规定。”第二款规定：“人脸信息的处理包括人脸信息的收集、存储、使用、加工、传输、提供、公开等。”

从主体上讲，“信息处理者”这一概念源自《民法典》，但《民法典》未对其具体内涵进行解释，我们认为，在无其他特别规定的情况下，《规定》中的“信息处理者”含义基本对应即将出台的《个人信息保护法》中的“个人信息处理者”。《个人信息保护法（草案）》一审稿和二审稿均将“个人信息处理者”定义为“自主决定处理目的、处理方式等个人信息处理事项的组织或个人”，而此定义与现行国家推荐性标准《个人信息安全规范》中所定义的“个人信息控制者”亦有异曲同工之妙（后者定义为“有能力决定个人信息处理目的、方式等的组织或个人”）。

据此，就《规定》所适用的主体而言，与我们通常理解的、与个人信息主体相对的个人信息控制者是一致的，凡有能力或者能自主决定为什么处理、如何处理个人信息的组织或个人，都是《规定》所要规制的主体。

从行为上讲，《规定》所规制的不仅是信息处理者使用人脸识别技术处理人脸信息的行为，也规制处理基于人脸识别技术生成的人脸信息的行为。前一种情形针对的是现实生活中普遍存在的人脸识别行为，而后一种情形则似乎是为了防止“深度伪造”类技术滥用而量身定制。

就具体的处理方式而言，《规定》贯彻了与既有法规政策一致的个人信息全生命周期保护理念，对人脸信息的收集、存储、使用、加工、传输、提供、公开等行为均属于“处理”行为。

从时间上讲，《规定》第十六条规定其将于2021年8月1日起施行，并特别规定了其不适用于在此之前的人脸信息处理行为，这与“法不溯及既往”的原则一致。

以上是《规定》字面上直接体现出来的适用范围，但我们认为，对《规定》的适用范围或者说影响的理解不能仅限于此。

作为敏感个人信息中的生物识别信息之一，人脸信息是生物识别信息中社交属性最强、最易采集的个人信息，具有唯一性和不可更改性，一旦泄露将对个人的人身和财产安全造成极大危害，甚至还可能威胁公共安全，而目前社会生活中人脸识别技术的滥用问题特别严重且公众关注度非常高，这是最高院此时出台专门规制此类行为的规范性文件的主要原因。但这不意味着《规定》仅仅适用于人脸信息的保护。

事实上，对于与人脸信息并列的其他生物识别信息（比如指纹、声纹、基因）和其他敏感个人信息，法律法规设置的保护规则是基本相同的，即使是对于其他一般的个人信息，也有很多法律保护规则是相通的，最高院未来在出台通用性的个人信息保护司法解释时可能很难，也没有必要突破现有规则而另辟蹊径。再加上民法上在法无明文规定时本来就可以“类推适用”，《规定》对于人脸信息保护的相关规则未来很有可能可以直接或间接适用于涉及其他个人信息的案件，或至少会对涉及其他类型个人信息的民事案件的审理产生不可忽视的影响。

• 二、侵权行为的种类

《规定》第二条规定：

“信息处理者处理人脸信息有下列情形之一的，人民法院应当认定属于侵害自然人人格权益的行为：

（一）在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析；

（二）未公开处理人脸信息的规则或者未明示处理的目的、方式、范围；

（三）基于个人同意处理人脸信息的，未征得自然人或者其监护人的单独同意，或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意；

（四）违反信息处理者明示或者双方约定的处理人脸信息的目的、方式、范围等；

（五）未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全，致使人脸信息泄露、篡改、丢失；

（六）违反法律、行政法规的规定或者双方的约定，向他人提供人脸信息；

（七）违背公序良俗处理人脸信息；

（八）违反合法、正当、必要原则处理人脸信息的其他情形。”

该条列举了七种可认定为侵害自然人人格权益的人脸信息处理行为，并在最后一项对其他违法行为进行了兜底性规定。总结起来就是一句话：违反合法、正当、必要原则处理人脸信息的行为都构成对自然人人格权益的侵害。

此条规定相当于是对《民法典》《个人信息保护法（草案）》等相关法律法规中关于个人信息保护规则的“正话反说”。既然此条列举的行为都是侵权行为，那么对于信息处理者而言，不要做这些行为就是合规的自然要求了。整体要求是必须要符合合法、正当、必要原则，具体来讲则包括：

1. 在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所不得违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析；
2. 要公开处理人脸信息的规则，明示处理的目的、方式、范围；
3. 基于个人同意处理人脸信息的，要征得自然人或者其监护人的单独同意，或者要按照法律、行政法规的规定征得自然人或者其监护人的书面同意；
4. 不得违反明示或者双方约定的处理人脸信息的目的、方式、范围；
5. 应当采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全，防止人脸信息泄露、篡改、丢失；
6. 不得违反法律、行政法规的规定或者双方的约定，向他人提供人脸信息；
7. 不得违反公序良俗处理人脸信息。

当然了，以上要点看似简单，实则都拥有丰富的内涵。比如第2点，要公开处理人脸信息的规则，明示处理的目的、方式和范围。这里所说的“处理人脸信息的规则”，集中体现在自2019年下半年以来至今一直是监管重点的“个人信息保护政策”（或者“隐私政策”），而在各种监管政策日趋严格的今天，要撰写一份符合自身实际情况、完整、合规的个人信息保护政策并非易事。再比如第5点，应采取必要的技术措施或其他必要措施确保信息安全，防止人脸信息泄露、篡改、丢失，这里隐含的要求是建立一整套的网络安全、数据安全和个人信息保护体系，我们曾在其他文章中对此进行介绍，在此就不再展开了。

总而言之，《规定》不仅仅是对人脸信息保护的合规要点提出了指引，同时也对其他个人信息保护的合规要点进行了提示，企业如果涉及个人信息处理，建议按照上述要点及时开展相应的合规工作。

• 三、判定侵权责任的考量因素

《规定》第三条规定：“人民法院认定信息处理者承担侵害自然人人格权益的民事责任，应当适用民法典第九百九十八条的规定，并结合案件具体情况综合考量受害人是否为未成年人、告知同意情况以及信息处理的必要程度等因素。”

《民法典》第九百九十八条规定：“认定行为人承担侵害除生命权、身体权和健康权外的人格权的民事责任，应当考虑行为人和受害人的职业、影响范围、过错程度，以及行为的目的、方式、后果等因素。”

根据上述规定，人民法院在认定信息处理者就侵害人格权益所应承担的民事则责任时，除了常规的考虑因素外，还应当考量受害人是否为未成年人、告知同意情况以及信息处理的必要程度等因素。尽管该规定并未言明，但实质上隐含的意思是，在涉及未成年人、无告知同意或者告知同意情况做得不好、信息处理的必要性不强的侵权场景，信息处理者将需要承担较重的侵权责任。

• 四、构成合理抗辩的事由

《规定》第四条规定：

“有下列情形之一，信息处理者以已征得自然人或者其监护人同意为由抗辩的，人民法院不予支持：

（一）信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的，但是处理人脸信息属于提供产品或者服务所必需的除外；

（二）信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的；

（三）强迫或者变相强迫自然人同意处理其人脸信息的其他情形。”

第五条规定：

“有下列情形之一，信息处理者主张其不承担民事责任的，人民法院依法予以支持：

（一）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息的；

（二）为维护公共安全，依据国家有关规定在公共场所使用人脸识别技术的；

（三）为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息的；

（四）在自然人或者其监护人同意的范围内合理处理人脸信息的；

（五）符合法律、行政法规规定的其他情形。”

上述两条规定，大致对应《民法典》第一千零三十六条以及《个人信息保护法（草案）》第十三条规定的构成处理个人信息合法性基础的情形，并突出强调了以“同意”为处理合法性基础时，“同意”必须是自愿的，而不是被迫的，且相应的处理行为必须是合理的。

据我们观察，大部分企业处理人脸信息主要动因有两个，其一是为了满足监管要求（比如金融行业的实名认证），其二则是为了追求特定的商业利益（比如分析客户特征）。对于前者，可援引相关法律法规的强制性规定作为抗辩，而对于后者，则必须基于个人信息主体明确、自愿、单独的同意，给予个人信息主体充分的自主权。

• 五、举证责任的分配问题

《规定》第六条规定：

“当事人请求信息处理者承担民事责任的，人民法院应当依据民事诉讼法第六十四条及《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》第九十条、第九十一条，《最高人民法院关于民事诉讼证据的若干规定》的相关规定确定双方当事人的举证责任。

信息处理者主张其行为符合民法典第一千零三十五条第一款规定情形的，应当就此所依据的事实承担举证责任。

信息处理者主张其不承担民事责任的，应当就其行为符合本规定第五条规定的情形承担举证责任。”

此条第一款所援引的相关规定，其实就是民事案件“谁主张、谁举证”原则的具体条文，而第二款、第三款则是要求信息处理者对于自身行为的合法性和所提出的抗辩事由是否成立问题进行举证。

举例而言，如果个人信息主体主张信息处理者非法收集了其人脸信息，个人信息主体只需对其人脸信息遭到了信息处理者的收集进行举证（当然，对于个体用户而言，这也许并不容易），原则上不需要对“非法性”举证，而如果信息处理者对此抗辩说自己是基于个人信息主体的自主同意收集的，信息处理者就必须对通过何种方式和形式取得了同意这一事实进行举证。如果信息处理者实质上确实做到了合法合规处理，对此举证并不困难，但难点困难在于必须事先在此问题上做到实质合规。

上述规则与《个人信息保护法（草案）》第六十八条第一款规定可谓一脉相承（后者规定“个人信息权益因个人信息处理活动受到侵害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任”），都体现出了在对于个人信息侵权这个问题上，实行一定程度的举证责任倒置、要求个人信息处理者“自证合规”的倾向，对广大信息处理者提出了更高要求。

• 六、共同侵权和网络侵权责任承担问题

《规定》第七条规定：

“多个信息处理者处理人脸信息侵害自然人人格权益，该自然人主张多个信息处理者按照过错程度和造成损害结果的大小承担侵权责任的，人民法院依法予以支持；符合民法典第一千一百六十八条、第一千一百六十九条第一款、第一千一百七十条、第一千一百七十一条等规定的相应情形，该自然人主张多个信息处理者承担连带责任的，人民法院依法予以支持。

信息处理者利用网络服务处理人脸信息侵害自然人人格权益的，适用民法典第一千一百九十五条、第一千一百九十六条、第一千一百九十七条等规定。”

此条规定属于申明性规定，所规定的规则与《民法典》原有的关于共同侵权和网络侵权的责任承担规则基本一致，只不过对有关规则在人脸信息侵权领域的适用进行了强调。

• 七、受害人损失认定问题

《规定》第八条规定：

“信息处理者处理人脸信息侵害自然人人格权益造成财产损失，该自然人依据民法典第一千一百八十二条主张财产损害赔偿的，人民法院依法予以支持。

自然人为制止侵权行为所支付的合理开支，可以认定为民法典第一千一百八十二条规定的财产损失。合理开支包括该自然人或者委托代理人对侵权行为进行调查、取证的合理费用。人民法院根据当事人的请求和具体案情，可以将合理的律师费用计算在赔偿范围内。”

此条规定的亮点在于第二款，该款将自然人为制止侵权行为所支出的合理的调查、取证费用和律师费用纳入财产损失范畴，反映出比较明显的、鼓励当事人维权的司法倾向。可以预见的是，这将极大地鼓舞被侵权对象的司法维权热情，与之相对应的是，违规处理人脸信息的组织或者个人则会面临越来越大的应诉压力。

• 八、人格权侵害禁令

《规定》第九条规定：“自然人有证据证明信息处理者使用人脸识别技术正在实施或者即将实施侵害其隐私权或者其他人格权益的行为，不及时制止将使其合法权益受到难以弥补的损害，向人民法院申请采取责令信息处理者停止有关行为的措施的，人民法院可以根据案件具体情况依法作出人格权侵害禁令。”

此条规定源自《民法典》第九百九十七条创设的人格权侵权行为禁令，对于当事人维权而言当然是重大利好。不过有过诉讼保全经验的律师都知道，诉前保全难、诉前行为保全则是难上加难。近年来，尽管在知识产权领域成功申请诉前禁令的案件似乎越来越多了，但在人格权领域成功取得诉前禁令的案例似乎并不多见，其中原因可能在于考虑到签发禁令后果的严重性，法院签发禁令的尺度把握极严（几乎得相当于已认定侵权行为成立）。该制度在保护个人信息、尤其是人脸信息方面能够发挥多大作用，有待观察。

• 九、特殊场景的身份验证方式

《规定》第十条规定：

“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式，不同意的业主或者物业使用人请求其提供其他合理验证方式的，人民法院依法予以支持。

物业服务企业或者其他建筑物管理人存在本规定第二条规定的情形，当事人请求物业服务企业或者其他建筑物管理人承担侵权责任的，人民法院依法予以支持。”

老实说，此条规定略显突兀。在通用的人脸信息保护规则基础上，专门针对物业服务企业或者其他建筑物管理人使用脸识别作为出入验证方式的问题单列一条，可能是为了回应现实中的热点案件（比如清华大学教授劳东燕致函物业公司和居委会拒绝人脸识别、浙江理工大学副教授郭兵因人脸识别起诉动物园案），更重要的可能是对典型的非必要处理人脸识别信息的场景说不。

我们认为，在技术日趋进步的今天，所有的个人信息处理者、监管者都应当对个人信息（尤其是敏感个人信息）处理行为的必要性问题引起高度重视。类似出入小区身份验证的场景，传统的刷卡、登记模式完全满足需要，大部分情况下并没有必要非得使用人脸识别系统。最为关键的是，如前所述，人脸信息具有唯一性和和不可更改性，属于一旦泄露将对个人的人身和财产安全造成极大危害的敏感个人信息，大部分物业服务企业可能并不具备能够保障所收集的人脸信息的技术能力和管理能力（也多半不会愿意在此增加预算），在此情况下如果放任物业服务企业任意收集业主和来访人员的人脸信息，该等人脸信息可能会面临较大的安全风险。

• 十、格式条款的效力问题

《规定》第十一条规定：“信息处理者采用格式条款与自然人订立合同，要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利，该自然人依据民法典第四百九十七条请求确认格式条款无效的，人民法院依法予以支持。”

所谓格式条款，是指当事人为了重复使用而预先拟定，并在订立合同时未与对方协商的条款。根据《民法典》第四百九十七条规定，提供格式条款一方不合理地免除或者减轻其责任、加重对方责任、限制对方主要权利、排除对方主要权利的，该格式条款无效。

根据上述规定，信息处理者关于要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利的格式条款无效，那么据此所构建的处理人脸信息的合法性基础将丧失，有关的处理行为将进而构成侵权。这就要求信息处理者的授权文本中不得出现类似永久性、不可撤销、可任意转授权等字样。

事实上，撤回权恰好是《个人信息保护法（草案）》拟赋予个人信息主体对于基于同意而进行的个人信息处理活动的一项重要权利。当然，撤回同意并不影响同意撤回前有关个人信息处理活动的合法性。

• 十一、违约责任承担与删除权问题

《规定》第十二条规定：“信息处理者违反约定处理自然人的人脸信息，该自然人请求其承担违约责任的，人民法院依法予以支持。该自然人请求信息处理者承担违约责任时，请求删除人脸信息的，人民法院依法予以支持；信息处理者以双方未对人脸信息的删除作出约定为由抗辩的，人民法院不予支持。”

与撤回同意权类似，删除权也是《个人信息保护法（草案）》拟赋予个人信息主体的一项重要权利。在有约定的情形下（比如信息处理者公布且经用户同意的个人信息处理规则），信息处理者违反约定处理用户的人脸信息的，考虑到双方的信任已经丧失，为了更好的保护人脸信息的安全，不论是否有约定，信息处理者都应当按照予以删除。

• 十二、集体诉讼与公益诉讼问题

《规定》第十三条规定：“基于同一信息处理者处理人脸信息侵害自然人人格权益发生的纠纷，多个受害人分别向同一人民法院起诉的，经当事人同意，人民法院可以合并审理。”

第十四条规定：“信息处理者处理人脸信息的行为符合民事诉讼法第五十五条、消费者权益保护法第四十七条或者其他法律关于民事公益诉讼的相关规定，法律规定的机关和有关组织提起民事公益诉讼的，人民法院应予受理。”

上述两条规定，是有关人脸信息侵权案件适用集体诉讼和公益诉讼程序规则的申明性规定。考虑到实践中的大多数人脸信息处理场景应该都是针对不特定多数人的，同一信息处理者侵害多个甚至大量受害人人格权益的可能性较大，对集体诉讼合并审理以及公益诉讼的相关程序问题进行明确还是显得很有必要。

• 十三、死者人脸信息权益的保护问题

《规定》第十五条规定：“自然人死亡后，信息处理者违反法律、行政法规的规定或者双方的约定处理人脸信息，死者的近亲属依据民法典第九百九十四条请求信息处理者承担民事责任的，适用本规定。”

而《民法典》第九百九十四条规定为：“死者的姓名、肖像、名誉、荣誉、隐私、遗体等受到侵害的，其配偶、子女、父母有权依法请求行为人承担民事责任；死者没有配偶、子女且父母已经死亡的，其他近亲属有权依法请求行为人承担民事责任。”

作为一种人格权，死者的人脸信息与其肖像、名誉、隐私一样，都受到法律的保护，上述规定充分体现了司法机关对死者人格尊严的尊重。

总结

整体上讲，《规定》聚焦了当前现实生活中比较突出的人脸识别技术滥用问题，回应了人民群众对于加强人脸信息保护的需求，是在不突破现行法律法规关于侵权、合同及个人信息保护原则和监管政策前提下，与即将通过的《个人信息保护法》高度契合的，对使用人脸识别技术处理人脸信息这一具体行为所应适用的具体法律规则和司法认定规则的集中、综合式展现，对今后涉及人脸信息以及其他个人信息的民事案件审理和企业合规工作开展均具有较强的指引作用，值得引起相关领域从业人员的高度重视。

据报道，《个人信息保护法（草案）》将于8月中旬迎来全国人大常委会的第三次审议，并有望在此次审议后正式通过。届时，我国将正式建立起以《网络安全法》《数据安全法》和《个人信息保护法》三部法律为核心的网络安全、数据安全与个人信息保护法律体系。随着相关配套法规政策的日臻完善，我国对个人信息、数据安全以及网络安全的保护将迈上一个崭新的台阶，与此同时，对于企业的合规要求也将随之大幅提高，建议广大企业务必提前做好准备。