人脸识别中知情同意规则适用的失灵与矫正
——从人脸识别收集“非人脸信息”谈起

邹开亮，陈西西

（华东交通大学人文社会科学学院，江西南昌 330013）

一、问题的提出：App“人脸识别不只识别人脸”

人脸识别是基于人的面部特征信息进行身份识别的一种生物识别技术，具有非接触性、主体唯一性、不易复制性以及采集成本低等特点[1]，一直都备受关注。随着社会经济的快速发展，人脸识别技术被广泛应用，如手机等移动终端可以用人脸进行解锁，购物消费时可以“刷脸”支付，进入住宅小区需要人脸验证，上班打卡采用“刷脸”签到……这些应用使得人们的生活方式更加便捷，表明人脸识别正在为社会创造价值，使得社会对这项技术的无节制扩张予以默认。但在实践中，人脸识别技术也引发了人们对个人信息保护的“隐忧”。南方都市报人工智能伦理课题组和App 专项治理工作组发布的《人脸识别应用公众调研报告（2020）》显示，六成受访者认为人脸识别技术有滥用趋势，三成受访者表示已因人脸信息泄露、滥用而遭受隐私或财产损失。而近年来，ZAO 换脸App 背后隐藏着人脸照片交易黑色产业链①ZAO 换脸App 是由线上交友软件“陌陌”开发的一款功能强大的特效换脸软件，该App 爆红后，一些人脸信息被App 运营方、技术开发商泄露，造成人脸信息被滥用，甚至生成了黑色产业链。参见：2 元就能买上千张人脸照片！“刷脸”真的安全吗？[EB/OL].https://jingji.cctv.com/2020/10/27/ARTI3ZJ26H3dKUesran1FdEZ201027.shtml，2022-3-17.，“中国人脸识别第一案”②此案中，原告郭兵认为杭州野生动物世界规定“未注册人脸识别的用户将无法正常入园”“持卡人游览园区时需同时验证人脸识别及年卡入园”等内容，强制持卡人进行人脸识别的方式侵害了自身的敏感信息权益。参见“杭州市富阳区人民法院（2019）浙0111 民初6971 号”判决书。，售楼处人脸识别“无感”抓拍①浙江杭州、宁波，广东佛山等多地被爆出售楼处安装人脸识别摄像头，在看房者不知情的状态下收集其人脸信息用于制定优惠策略。参见：售楼处人脸识别“无感”抓拍，看房人戴口罩没用要戴头盔[EB/OL].https://finance.sina.com.cn/tech/2020-11-23/doc-iiznctke2761655.shtml，2022-3-17.等事件的发生，无不使人们在享受人脸识别技术所带来的便利的同时也逐渐产生对人脸识别技术侵犯个人隐私、人身和财产权益的警惕。

“人脸识别一定要穿上衣服”②参见：人脸识别App 不能超范围采集信息[EB/OL].http://health.people.com.cn/n1/2021/0709/c14739-32153221.html.2022-3-20.的话题再一次让人脸识别技术成为个人信息保护讨论的焦点。随着中国手机网民群体的扩大，越来越多的网民倾向于使用指纹或面部解锁智能手机，同时在使用诸如微信、支付宝等进行支付时，指纹支付、人脸识别也比传统的输入密码方式更受青睐。在各种App 中，人脸识别是为了提高用户身份验证的安全等级。但由于技术原因以及人为原因，人脸识别功能也存在侵害用户个人隐私的风险。日常生活中，用户在使用人脸识别功能时，常被显示界面所欺骗，于是放松了对人脸识别这一技术的警惕。殊不知，在用户使用人脸识别功能时，摄像头会将所能拍摄到的范围影像定格并传输到后台，而后台的工作人员正在“欣赏”着用户们的生活百态。也许在行业内人士看来，人脸识别收集用户面部图像以外的“非人脸信息”是一种技术性常识。但正是这一所谓的“技术性常识”，引发了用户对其个人隐私安全、个人财产安全的担忧。而究其原因，知情同意规则在人脸识别功能应用中发生了失灵，致使“非人脸信息”收集现象的泛滥。因此，有必要通过调整知情同意规则在人脸识别中的适用，实现对人脸识别收集“非人脸信息”的有效规制，从而让用户更加安全地享受技术带来的便利。

二、人脸识别收集“非人脸信息”的法律风险

人脸识别的两个重要功能就是进行身份验证（证明基础身份）和识别（结合其他个人信息确定）[2]。在众多App 中，人脸识别功能服务协议虽然明确提到收集使用“用户的人脸图片”“人脸影像数据”等③例如：《腾讯云人脸识别服务规则》中第4 条提到“您理解并同意本服务需使用到用户的人脸图片”，https://cloud.tencent.com/document/product/867/32685；《广发基金管理有限公司人脸识别服务协议》“授权与许可”中提到“……所提供的个人信息（包括姓名、身份证号）及人脸影像数据”，http://gfwx.gffunds.com.cn/html/app/agreement/rlsbfw/rlsbfw.html.2022-3-20.，但实际收集的图像却不止于人脸部分。生活中，App 超出人脸识别协议约定范围收集“非人脸信息”的现象并不少见，如若不能保障存储、传输环境的安全性，用户人脸信息以及“非人脸信息”一旦被泄露或冒用，极有可能造成个人隐私泄露、人格尊严受侵和财产利益受损等风险。

（一）个人隐私泄露风险

个人隐私，通常是指私人生活的安宁排除他人非法干扰，私人生活秘密不被公开或他人所知悉。个人隐私的内涵随着社会对个人信息保护的关注也在不断丰富，其中便包含了个人独处和对个人隐私信息的保护。随着社会的发展，人们对于隐私保护的需求程度越来越高；在社会活动中，人们希望能够自己决定向他人传达信息的数量、时间和方式，能够按照自己的意愿自行决定何时参与及离开社会活动，尤其是在公共场所能够不被他人识别身份或者观察自身的行动[3]。而在互联网迅速发展的社会，人们的日常生活已经离不开手机等智能移动终端设备，人们每天可能要进行几十次甚至上百次的人脸识别验证活动，人脸数据被各类App平台采集。除了人脸数据，人脸识别过程中摄像头所能拍摄范围也会被全部记录，并且被上传至系统后台。如果利用一定的技术手段将人脸信息与非人脸信息以不同方式排列组合，人们的行动轨迹、日常生活和兴趣爱好等个人隐私信息就很容易被挖掘，从而进一步识别个人身份，追踪个人活动轨迹，进行社会关系匹配等，引发个人隐私泄露风险。

（二）人格尊严受侵风险

人脸属于可直接或间接识别特定自然人的信息，附有与个人和身份相伴随的一系列标签和属性[4]，与自然人的人格尊严息息相关。“中华人民共和国公民的人格尊严不受侵犯。”这是我国《宪法》第三十八条之规定，也宣示了公民人格尊严的重要性。人格尊严是指人基于人的尊严在人格上所具有的不可冒犯、不可亵渎、不可侵害或不可剥夺的一种社会性的精神特质[5]。人脸识别技术的运用应当尊重个体的人格尊严，并且将“防止对个人人格尊严的侵犯”放置在技术发展应用的核心位置。但是，人脸识别技术的应用正在给个人的人格尊严带来多维度的侵犯，其中，人脸识别收集“非人脸信息”就是一个突出的表现。由于用户根本不知道其所使用的人脸识别功能会上传除人脸以外的其他信息，其在进行验证时可能基于自己所处的环境而放松警惕，出现“未穿衣服验证”“与另一半拥抱验证”或者“上厕所验证”等情形。因此，App 人脸识别收集的人脸以外的其他信息是在用户不知情的情况下进行的，这类信息便可能包含用户所处的环境、身边人物、其他身体部位信息等极其敏感的信息，如若被滥用到不法领域，则可能侵害到用户的人格尊严。同时，人脸识别技术受多方面影响，在与其他的数据、算法相关联时难以避免出现数据模型不够全面、算法本身存在偏差等问题[6]，因而导致用户根本无法知道自己被收集的这些信息会结合其他个人信息对自身进行怎样的判定，也无法预测在使用其他服务时会受到何种不平等的待遇[7]。因此，App 人脸识别收集“非人脸信息”在一定程度上反映了App 平台与用户之间巨大的“信息鸿沟”，掌握信息的一方可能利用其优势地位对用户人格尊严施以威胁和侵犯。

（三）财产利益损失风险

App 收集人脸以外的信息，不仅对个人隐私及人格尊严造成侵犯，甚至有可能带来个人财产利益的损失。随着大数据的不断发展，App 平台可以基于技术优势，通过分析庞大的数据，将人脸信息与“非人脸信息”予以整合，与用户其他个人信息结合，最终形成“用户画像”[8]。“用户画像”是一种个人特征模型①据2020 年3 月6 日国家标准化管理委员会发布的最新版《信息安全技术个人信息安全规范》有关规定，“用户画像”是指通过收集、汇聚、分析个人信息，对某特定自然人个人特征，如职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测，形成的个人特征模型。，已经在各式各样的商业利用中被赋予了巨大的商业价值，App 平台可以自行利用进行服务的提升，也可以将该“用户画像”提供给第三方公司进行其他商业利用[9]。某些App 平台及第三方公司在实践中过度收集、滥用人脸信息和“非人脸信息”，却在处理分析用户个人信息时无法给予或者故意不给予高度的安全保障，有可能将该“用户画像”泄露，导致用户遭受财产损失。例如，不法分子基于获得的用户信息对其实施在线盗窃或者网络诈骗。更有甚者，某些“心怀不轨”之人尝试破解人脸之外的各种信息，对用户实施线下盗窃或勒索等行为。因此，App 人脸识别绕过用户知情同意而收集“非人脸信息”直接或间接引发了用户的财产受损风险。

三、人脸识别中知情同意规则适用的失灵

知情同意规则一直被视为是个人信息保护的核心规则[10]，例如，《民法典》第1034 条第1 款规定：“自然人的个人信息受法律保护。”第1035 条和第1036 条明确规定了处理自然人个人信息的原则、条件和免责事由，其中包括知情同意规则。而于2021 年11 月1 日施行的《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第二章和第五章分别规定了个人信息的处理规则和个人信息处理者的义务，其中核心要义之一仍然是“知情同意”规则。该法规定信息主体有权在充分知情的前提下，自愿作出同意表示。而“充分知情”意味着信息处理者在处理个人信息前，应当以显著且明晰的方式告知信息主体其收集处理目的、方式、范围以及保存的期限等涉及信息主体个人信息权益的必要信息。并且在此基础上，信息处理者应当给予信息主体充分的自由选择权，“不得以信息主体不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务”①《中华人民共和国个人信息保护法》第十六条规定：“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。”。由此可见，“告知”与“同意”是个人信息处理中知情同意规则适用的两个核心要素。

同时，知情同意规则也是App 平台提供人脸识别服务时应当遵循的核心要求。从前文的论述中不难看出，App 平台并不是未向用户提供人脸识别服务协议，而是在实际应用的过程中超出协议所约定的“人脸影像”的范围，过度收集用户的“非人脸信息”。App 平台在向用户提供人脸识别服务时，往往会附带收集“非人脸信息”。用户在使用人脸识别进行验证时，需要通过摄像头的拍摄将自己的人脸置于屏幕所显示的人头形状中心并按照给出的指令完成“摇头”“眨眼”等动作。而屏幕上人头形状以外的区域显示为灰白色，人脸与人脸以外的部分进行了有效区分。正因为如此，用户充分相信App 仅能收集人脸信息。但实际上，App 平台并未明确告知用户人脸识别会将人脸图像以外的“非人脸信息”收集并上传至后台。当用户反应过来希望App 平台停止类似行为时，App 平台往往以“用户同意人脸识别服务协议”为理由进行抗辩。虽然App 平台在提供人脸识别服务时已经进行了其认为的“明确告知”，也得到了用户的“明示同意”授权，但用户的“明示同意”仅是针对人脸信息收集，并不涉及人脸以外的“非人脸信息”。由此可见，知情同意规则在适用于人脸识别应用场景时发生了失灵。

（一）“告知”的失灵

“有效告知”是用户做出“同意”或者“不同意”App 平台收集处理自身个人信息的先决条件，App 平台在提供人脸识别服务时，应当以告知的方式提示用户将收集人脸以外的其他信息。随着国家监管部门不断出台个人信息保护相关的政策，App 平台相应地调整了隐私政策，在收集个人信息时未告知的情况已经减少很多。但从《APP 违法违规收集使用个人信息专项治理报告（2019）》来看，App 平台普遍存在未公开收集使用规则，未明示使用个人信息的目的、方式和范围，未经用户同意收集使用个人信息和未经同意向他人提供个人信息等问题，大量的“告知了但没有完全告知”的现象依然泛滥②2019 年1 月至12 月，中央网信办、工业和信息化部、公安部、市场监管总局等部门开展了治理App 违法违规收集使用个人信息专项行动，成立了App 专项治理工作组，并形成了《APP 违法违规收集使用个人信息专项治理报告（2019）》，该报告显示，App 平台形式上告知了但却不够充分明确告知的现象比未告知的现象更加严重。。App 平台出于“避免被自己先前具体、明确的告知内容拘束”的目的[11]，利用其在个人信息处理方面相对于用户而言所具有的信息技术优势[12]，设置有利于保持自身后续信息处理或利用弹性的协议内容。这些协议内容自然存在着“未能完全体现其个人信息收集处理方面的内容”“对于个人信息收集处理的目的、范围和方式等内容披露不够明确”等问题。就人脸识别服务而言，App 在服务协议中往往采用“人脸图片”“人脸影像”等字样，告知用户人脸识别服务会收集其人脸信息，但这些字样有时候并不那么显眼，可能藏在冗长而复杂的协议内容中。App 平台这一操作有意或者无意地降低了人脸识别服务协议的可读性和可理解性，使得其履行“告知义务”的有效性大打折扣。

在个人信息保护方面，App 平台具有巨大的信息优势，因此，其应当承担更高的义务标准。对于人脸识别信息，App 平台在收集和处理时应当负有相较于一般个人信息更加严格的告知义务，包括人脸识别将会收集“非人脸信息”等技术性常识。因为App 平台与用户之间基于各种原因存在巨大的“信息鸿沟”，而现实中这一“信息鸿沟”不断扩大，更加折损了App 平台“告知”的有效性。一方面，虽然App 平台设置的协议内容详尽，但App 平台往往会出于规避告知义务风险的目的，以晦涩的语言或者不明显的方式对用户进行告知[13]，导致协议许多条款宣示性效果远大于实质性效果。另一方面，这类宣示性的协议条款内容冗长而又复杂，使得用户的阅读欲望大幅减弱。尤其是当用户使用手机等移动设备时，本就冗长的协议在屏幕上更显拥挤，致使大部分用户在使用App 时只花少量时间或者根本不花时间阅读相关内容。之所以会出现媒体报道的“不穿衣服验证”“上厕所时验证”等现象，是因为用户对于人脸识别收集“非人脸信息”并不知情。可以说，App平台“搬起石头砸自己的脚”，最终导致其“告知义务”的履行效果远低于法律要求的“明确”。

（二）“同意”的瑕疵

其一，用户“同意”的自主性较弱。实践中，用户为了获取高效便捷的服务，只能对App 平台提供的相关协议内容做出“同意”的决定。用户在使用App 时，只有同意App 平台提供的用户协议和隐私政策等服务协议才能够使用App 提供的各种服务，进而在行业内形成了一种用户“同意方可使用”，且“使用代表同意”的潜规则[14]。如用户只有同意支付平台、社交平台的人脸识别功能服务协议，才能享受相应的服务。如果用户在使用过程中以保护个人信息为由“不同意”App 平台提供的人脸识别服务协议，将无法使用人脸识别功能，也可能会影响到App 其他功能的使用。并且，在使用APP 过程中，如果用户未提供相应的权限，那么每次使用App 时都会收到要开启某项权限的提醒。目前，在即时社交、网络购物以及金融支付等领域，用户的人脸信息作为一种不可替代的“人脸密码”；App 平台提供人脸识别服务以提高身份验证与识别的安全性，这让用户对App 平台提供的人脸识别服务形成了高度的依赖性。而基于“使用”与“同意”之间存在的捆绑效应，用户并没有过多的时间去深入了解人脸识别相关声明的实体内容，更不用说对人脸识别服务所需要获取权限的控制权[15]，所以有时候用户“同意”往往出于“使用”的无奈。

其二，“默示同意”的滥用。在App 所提供的用户使用协议中，往往倾向于让用户做出对一揽子条款的概括同意[16]。必须承认的是，对一揽子条款的概括同意形式相较于一一对应的具体同意形式而言，能够在很大程度上提高App 使用的便利，减少App 平台和用户之间获取和授予权限的成本。但由于用户对一揽子条款的概括同意在很大程度上是迫于“使用”的无奈，其在同意时并没有多少选择的空间。同时，App 平台为了“便利”信息的收集与处理，常通过获取用户的概括同意，而不给予用户一一对应授权的选项，使得用户使用人脸识别功能时，其“同意”并不能够具体特定，无法与人脸识别收集的信息范围以及使用方式进行一一对应的具体授权。通过概括同意的方式，App 平台理所当然地认为用户以默示的方式表示了对其人脸识别服务协议的“同意”，从而在用户只同意授权App 平台收集人脸信息时，实施收集“非人脸信息”的行为。殊不知，即使是获取用户的“默示同意”，由于App 平台未“明确告知”，其行为亦构成“个人信息的过度收集”[17]。基于此，概括同意进行授权的形式进一步削弱了用户所作出的“明示同意”决定的效力[18]，这也意味着App平台在人脸识别应用中滥用“默示同意”。

综上，由于App 平台未有效履行其告知义务，以明显的方式告知用户人脸识别收集的不仅仅是“人脸图像”，还有可能收集人脸以外的“非人脸信息”。而用户迫于使用App 相关服务的需要，并不能完全自主地做出“同意”决定，加之用户的“默示同意”正在被App 平台滥用，造成人脸识别中知情同意规则的失灵，也就导致App 平台肆意收集用户“非人脸信息”的现象。

四、人脸识别中知情同意规则适用的矫正

为了实现对人脸识别应用收集“非人脸信息”的有效规制，需要对人脸识别中知情同意规则的适用进行一定的矫正，使App 平台能够真正做到以“知情同意”为核心依法合规收集人脸信息以及“非人脸信息”。

（一）强化App 平台的“有效告知”义务及责任

“知情同意规则的强化应当以告知义务的强化为主要途径”[19]。为了提高知情同意规则的适用程度，需要强化App 平台的“有效告知”义务及责任，强调App 平台必须在提供人脸识别服务之前，以明显且清晰易懂的方式告知用户人脸识别服务收集的信息范围以及使用方式等内容；若App 平台未履行其“有效告知”义务，则需要承担相应的法律责任。

1.改进App 平台的告知方式。保障人脸识别应用中知情同意规则的完全适用，要确保用户知悉信息处理者收集、处理其人脸信息以及非人脸信息的目的、途径等[20]，而用户的“知悉”既包含了“知道协议”，也包含了“理解内容”。故用户的主观“知情”不仅仅要求App 平台履行其告知义务，更要强调履行告知义务的有效性[21]。因此，在提供人脸识别服务之前，App 平台必须以明显且让用户易于理解的方式向用户明确告知App 平台收集处理人脸信息以及人脸以外其他信息的范围、目的以及处理方式等内容。这就要求APP 平台应当对人脸识别中所需要收集的信息范围和处理方式等进行逐一告知，不得将其放在隐私政策中通过“一揽子”条款获得用户的同意。这有利于缩小App 平台与用户之间的巨大“信息鸿沟”。当然，这也意味着App 平台应当摒弃以往使用“改善服务质量”“提升用户体验”“增强安全性”等抽象晦涩语言来描述人脸识别中信息收集范围和使用目的的做法，而要以简明易懂的条款履行其对用户的告知义务，提高用户对协议内容的关注程度。尤其在用户不愿意花费大量时间阅读隐私政策的情况下[22]，App 平台对于人脸识别功能所涉及到的人脸及“非人脸信息”应当给予更高级别的提醒，而不是简单地将其罗列在隐私政策等服务协议当中。

2.明确App 平台未“有效告知”的法律责任。App 平台在提供人脸识别服务时，对用户的告知不仅要求是明确的，更要求是有效的。“有效告知”意味着App 平台对用户告知的内容不能过于宽泛模糊，需要能够满足用户进行“同意”的特定性要求。同时，由于App 平台与用户之间的信息地位不对称，App 平台应当对自身未进行“有效告知”所导致的用户个人信息处理风险及危害承担相应责任。为了防止App 平台在进行人脸信息的收集时，未经用户的知情与同意扩大信息收集的范围，应当明确App 平台的法律责任。App 平台在履行告知义务时，除了明确告知用户信息收集的范围和处理方式等内容外，还需要告知用户人脸信息处理中的风险种类、大小，可能遭受损害的严重程度，已经遭受的损害以及损害的补救情况等内容。如在App 人脸识别功能中，除了屏幕显示内容对人脸以及人脸以外的部分进行明显区分，还应以明显的语言或者标识提示用户将会收集“非人脸信息”的风险。如果App 平台未进行及时有效的告知而致使损害扩大的，应承担赔偿责任。

（二）完善用户“同意”规则的适用

用户的同意包括了“默示同意”和“明示同意”。“默示同意”是指不需要用户以明确的方式表示自身的意思，只要用户未进行明确的“拒绝”，App 平台便可以进行信息的收集与处理。用户“明示同意”是App 平台收集人脸及“非人脸信息”的“通行证”，也是知情同意规则的落脚点。完善用户“同意”规则的适用，需要严格限缩“默示同意”的适用范围，明确用户“明示同意”的法律效力。

1.严格限缩“默示同意”的适用范围。《信息安全技术 个人信息安全规范（2020）》允许默示同意作为信息处理的授权方式，不需要信息主体以明确的方式表示自身的意思，只要主体不明确反对即可进行信息的处理行为。但即便是允许“默示同意”授权方式也需要App 平台有效履行其告知义务。然而现实生活中，App 平台根本没有为用户提供协商的空间，往往倾向于用概括授权的方式获取用户的“默示同意”。App 平台在隐私政策或者人脸识别服务协议中并未给用户选择“不同意”的空间，而是预先为用户作出“同意”的选择。而用户作出“同意”的决定往往出于“同意方可使用”的无奈。在一些信息收集条款中，由于用户未明确表示“不同意”，App 平台便以“取得了用户的‘默示同意’”为由，大肆收集和利用用户的个人信息[23]。为了避免无效的法律授权，App 平台还会采用输入选择框或者同意的声明模式来获得用户所谓的“明示同意”[24]，同时，App平台仍然滥用“默示同意”规则来获取、收集和处理用户个人信息。在人脸识别中，App 平台往往是默认用户知悉其通过摄像头收集的信息包含人脸以外的“非人脸信息”，也即所谓的技术性常识，以此规避自身的告知义务，或者说在告知中用“一揽子”条款来获取用户的“默示同意”。如果放任这些获取用户“默示同意”的做法，既是不尊重用户的信息自决权的表现，也让知情同意规则成为单向的“告知”规则。“默示同意”的适用需要以最小必要性为限度，不得出现在取得用户概括同意授权下改变或者超越目的收集处理个人信息的情形。同时，人脸信息等个人生物特征信息不能被纳入“默示同意”的范围。因此，App 人脸识别应当遵循“明示同意，默示拒绝”的原则，在未取得明确授权时，不得收集人脸信息以及“非人脸信息”。

2.明确用户“明示同意”的法律效力。如前文所述，用户“明示同意”存在一定的效力瑕疵，并不能完全支撑App 平台获取人脸以外的“非人脸信息”行为的正当性。因此，需要进一步明确用户“明示同意”的法律效力。现实生活中，App 平台在提供人脸识别服务时，常基于用户对其隐私政策、人脸识别服务协议的同意而默认用户同意平台收集“非人脸信息”。明确用户“明示同意”的法律效力，需要对其同意的内容进行区分；App 平台收集和处理个人信息应当对个人信息收集、处理方面的内容与隐私政策分别获得“明示同意”，不能将隐私政策的同意等同于个人信息收集和处理的“同意”。根据《信息安全技术 个人信息安全规范（2020）》，明示同意是指个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作出肯定性动作，对其个人信息进行特定处理作出明确授权的行为。其中，肯定性动作包括个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。App 平台，用户的“明示同意”必须是分别针对人脸信息和“非人脸信息”的具体授权，而不是对“一揽子”条款的概括授权[25]，同时，App 平台应当给用户提供具体授权的机会，不能因为用户不同意其收集“非人脸信息”而拒绝提供人脸识别服务，相反，App 平台应当提升技术，真正地实现“人脸识别只识别人脸”。

需要特别强调的是，用户概括性的“明示同意”并不是App 平台进行免责的正当理由，只有当用户针对非人脸信息的特定内容作出具体“明示同意”，才能成为人脸识别App 平台收集“非人脸信息”行为的抗辩事由。但这也并非绝对的，即便用户的“明示同意”是具体的特定的，如若App 平台严重违反知情同意规则所造成的风险超出了用户的预见，也不应允许App 平台因获得“同意”而免除责任。