人脸识别技术在民事领域应用的法律问题研究

魏静静

（中国人民公安大学法学院,北京 100038）

一、问题的提出

人脸识别技术是基于面部、人脸、面像特征进行信息识别的技术，是一种利用已经存储的若干已知身份的人脸图像数据库，对给定场景的静态或动态图像中的一人或多人身份进行验证和鉴别的生物识别技术。[1]2021年8月20日第十三届全国人民代表大会常务委员会第三十次会议通过《中华人民共和国个人信息保护法《（以下简称《个人信息保护法》），第26条对于在公共场所安装图像的使用目的进行了规定，其最终稿由二审稿中“所收集的个人图像、个人身份信息不得公开或者向他人提供”改为“不得用于其他目的”。这虽然在一定程度上体现了私权自治，但对于图像信息的采集和个人身份识别信息的使用限制进行了限缩。人脸识别技术已经由狭义的个人身份识别，发展成由现在的个人特征，如声音、虹膜、视网膜等相关的个人信息组成的个人信息数据系统。[2]个人信息保护法中明确地将个人信息确立为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”。从人脸识别运行模式可以看出，人脸识别技术之所以能够实现较高精准度的识别，是个人信息的小数据包进入海量人脸数据库筛选比对的结果，由此可知获得人脸信息不仅相应地获得了个人相关的系列信息，还能扩充数据库，更高程度地掌握个人信息。[3]在现有阶段，人脸识别技术在管理层面和技术层面的水平参差不齐，人脸识别技术在应用领域不可控性就比较大。因人脸识别技术所涉及的个人信息保护运用在多个领域，散见于各个法律，并没有详细的规定，本文仅剖析民事领域应用人脸识别技术的法律问题。

2021年6月8日最高人民法院审判委员会通过《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题规定》（以下简称《规定》）。根据《规定》精神人脸识别技术在民事领域内主要涉及侵权责任的认定，侵犯法益的类型，在人脸识别技术应用中涉及侵权责任与违约责任、公民的个人信息权益、肖像权、隐私权、名誉权、人格权、财产权等。[4]关于此次人脸识别技术的司法解释在民事领域有三个重要的方向：一是从人格权谈论人脸信息保护，此规定在个人信息保护的基础上进一步规定了人脸识别个人信息的权益性质，相比《个人信息保护法》在对个人信息的保护上首次提出的“个人信息权益”概念，《规定》将人脸信息限定为民法典规定的“生物识别信息”。二是从侵权责任的角度明确了人脸识别技术中的侵权责任问题，被害是否成年、是否处于知情同意状态和人脸技术处理操作是否具有必要性是追究侵权责任的考量因素。三是从合同的角度出发对重点问题进行了梳理，《规定》主要针对生活基本设施和基本服务中产生的合同格式条款，就无限期不加限制的使用个人信息的情况做出了规定。随着《侵权责任法》将隐私权确立为公民的一项权利，全国各级人民法院接连受理很大一批侵犯个人隐私的案件。此类案件引发一系列关于个人信息的争议。人脸识别技术是能够精准地识别个人信息的一项技术，那么站在个人信息保护的角度，在人脸识别技术司法解释出台之际，需要梳理人脸识别技术在民事领域中应用的典型问题。

二、人脸识别技术处理个人信息的保护现状

我国法律对人脸识别技术处理个人信息的保护范围具有一定的局限性，法律对平等主体间人脸识别技术应用规制较少，对个人信息收集使用过程中相关主体的义务规定相对不够明确。关于个人信息的保护不同国家有不同的保护格局。目前我国有关法律法规对于个人信息的保护大多排除了平等主体之间的收集与使用的情况，而将其局限于具有较强的专业性和商业性的领域。欧盟的《一般数据保护条例》，“重述”（“重述”不具有法律效力，但为《一般数据保护条例》提供补充信息，帮助相关主体理解和适用条例）第6条提到，“对于个人信息保护不适用于自然人在纯粹个人或家庭活动中与专业或商业活动无关的个人数据处理”。[5]这种信息保护格局将个人信息局限于相对持续固定的关系格局下，在范围上具有一定的局限性。美国在个人信息保护方面与欧盟具有相似之处，美国的各种信息保护立法针对的是潜在雇主、教育机构、政府、医疗机构。[6]这同样跳出了平等主体之间的信息交流保护，也排除了政府执法过程中的个人信息保护。由各国不同的法律规定分析得出，个人信息保护绝不是简单的平等民事主体间的民法权利。对于人脸识别技术处理的个人信息保护要系统化、专业化、精准化。个人信息保护涉及信息主体的知情、更正、删除、被遗忘等各种复杂的新型权利，对人脸信息识别技术的研究建立在已有的个人信息保护格局之上，才能有利于从权益的实质上进行人脸识别信息保护。由于传统的个人信息收集者在收集的过程中与个人信息主体形成了持续不平等的关系，在个人信息收集的过程中对收集者、使用者的义务才显得尤为重要。那么在民事领域中的应用就更有研究意义。

涉及人脸识别技术处理个人信息过程中需要保护部分的相关法律及专业术语界定缺少权威统一的规制，学术界及相关国家标准需要细化。人脸识别技术涉及较为专业的概念，需要制定权威的国家标准予以明确，关于个人信息保护的法律仍需有权解释进行释明，对于人脸识别技术更需较为细化的国家标准。现有《信息安全技术个人信息安全规范》①相关的国家标准需要进行细化。有的虽然为推荐性国家标准，但却精准把握人脸识别技术的应用方向。如由清华大学牵头制定的国家标准《信息安全技术健康医疗数据安全指南》②中将可识别的个人的图像归类为个人属性数据的身份信息分支，包含虹膜等面部特征则归为生物识别信息分支。人脸识别技术的运行模式大致分为人脸图像采集、人像检测定位、个人特征提取、三维建模、模型比对几个阶段。这些标准在一定程度上明确了专业领域的专业概念及范围，有利于人脸识别技术在民事领域的具体应用。

三、人脸识别技术个人信息处理中存在的问题

（一）人脸识别技术在经营性场所管理的问题

人脸识别技术在公共场所与营利场所应用范围广泛，人脸识别设备的安装场所尤其是营利性场所亟需加强监督与管理，管理主体及信息技术管理者责任不明确。从维护公共安全的需求度与人脸识别信息必要性分析，从出台的人脸技术识别技术的保护安装场所相关规定中可以看出，关于人脸识别技术的司法解释是在充分考虑个人信息保护法和民法典衔接的基础上落实的，根据《规定》第二条第一款，对人脸识别技术保护的适用情形进行了扩充，宾馆、商场、网吧等娱乐场所扩充进了公共场所的范围内。这意味着个人信息保护法在原有保护格局上进行了范围的扩充。由《个人信息保护法》中对公共场所安装图像设备、个人识别身份的规定进行推导，在网吧、宾馆等场所的人脸识别设备的安装应有更加严格的必要性程序。那么对在经营性的场所、私立性的场所进行的人脸识别如何进行管理？如何在《个人信息保护法》及相关规定的规制下精准化管理，落实人脸识别技术使用责任是需要思考的问题。

（二）反捆绑授权下信息主体的实质性同意审查的问题

反捆绑授权下如何达到信息主体的实质审查同意，如何摆脱同意规则下重合法轻必要审查现状，使其不再能规避合法性审查规避，而是实质性信息保护，这里仍有很多问题。在人脸技术识别信息的运用中，尤其是在民事领域，常规的个人信息识别会与其他的个人信息捆绑授权，例如APP的人脸登录验证、小区物业的人脸识别管理，会有捆绑授权的选项给个人造成不必要的负担，在此捆绑授权的运行模式下会滋生不法运营商对其他授权事项进行操作，从而侵犯公民个人信息的情况。在《规定》第二条第三款中规定，未能征得自然人或者其监护人的单独同意，或者未按照法律、行政法规的规定取得自然人或者监护人的书面同意就进行人像采集的视为侵害自然人人格权益的行为。这使得同意规则落地，对民事领域中与人脸识别技术中的捆绑授权问题作出了很好的回应。此项规定的设定核心是防止个人信息权益主体被捆绑授权，与《个人信息保护法》中在公共场所安装图像采集、个人身份识别设备取得个人信息不得用于其他目的，取得个人单独同意的除外立法目的相同。单独同意规则的设定是在一般保护的基础上基于“公开”“人脸识别信息应用”等特殊的个人信息运用进行一个知情同意操作，可进一步对公民个人信息进行保护。那么在单独同意规则下如何实质性实现个人信息主体的知情同意目标？摆脱同意规则下重合法轻必要审查的现状？除此之外，对于通过人脸识别技术识别而来的信息，个人信息主体如何把握自主授权，对于“生命权、健康权”等权利之外的基本人格权，个人信息主体能否在“知情、同意”的情况下自行处置？[7]

（三）删除权在人脸信息识别的技术中的应用及相关规定的衔接

《个人信息保护法》中规定了个人信息的删除权利。《规定》从合同的角度也规定了自然人的信息删除权，二者的删除范围是否有着本质区别，通过人脸识别技术获得的相关的个人信息删除权是否只能在合同范围使用？利用人脸识别技术获得的学生信息在教育领域方面的运用，学生的身份信息、学习状态、考试状态信息后这些信息可否删除？在安防领域，小至地铁乘车，大至海关出入境的人脸识别信息是否可以删除？人脸识别技术的社会化运用是一个比较复杂的问题，其社会化运用比较正式的模式是通过合同的签署和授权来获得自然人的人脸信息采集权，《规定》仅从合同角度方面对自然人的信息删除权进行规定，《个人信息保护法》明确规定了个人信息主体对个人信息的删除权。《个人信息保护法》第十二条规定当信息处理者违反约定处理个人信息时，自然人可在请求侵害主体承担违约责任的同时请求删除，[5]此处的删除是人脸识别信息所有者的一种权利，并不以是否事前约定为前提。关于人脸识别信息删除权的规定事前是否约定不是抗辩理由。那么此删除的权利能否推导适用在民事领域的其他方面？此处的删除权与《个人信息保护法》中的关于删除的规定如何衔接？

四、规制人脸识别技术应用的创新策略

(一)关于人脸识别技术在经营性场所管理的问题

《民法典》将公共场所解读为“经营场所”和“公共场所”的混合体，经营场所既包括营利性场所也包括非营利性场所，此次关于人脸识别技术在民事领域应用的司法解释主要就适用范围上增加了经营性场所，那么就需要对各场所进行精准把握。对人脸技术使用的场所进行明确的划分，在划分的基础上建立专门的保护机制。第一，对于在经营场所通过人脸识别技术取得的信息，管理先行，保障个人信息安全是基础，还要针对人脸信息设置专门的保护规定，对于信息管理人的注意义务要进行明确，充分考虑损害关联性。第二，在非营利性场所，人脸识别信息的保护主要依靠诚信原则和合同约定进行规制保护，确保适当的预见可能性，保证相关的信息主体对个人信息使用的预期与知情。结合公共场所管理人义务分析考量管理行为的正当性与必要性、利益权衡比较、危险控制等对个人信息进行保护。

（二）反捆绑授权下个人信息的主体如何实现实质性信息保护的问题

《个人信息保护法》第二十五条规定“个人信息处理者不得公开其处理的个人信息，取得单独授权的除外。”这就明确了公民基于个人信息自动化决策下的明示拒绝选择权。这就要求采集和使用个人信息的主体在技术限制的原因下，若有不可避免的对个人信息捆绑授权，要向信息主体提供拒绝的方式与渠道，以达到授权的实质审查。

《规定》第二条第三款明确了“基于个人同意处理人脸信息的，未征得自然人或者其监护人的单独同意，或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意”的，人民法院应当认定属于侵害自然人人格权益的行为。从而细化了《个人信息保护法》第二十五条的规定，使其更具有操作性。

（三）关于删除权能否应用在人脸识别信息涉及的其他领域的问题

《个人信息保护法》第四十七条第二款提到，当个人信息处理者停止服务或者合同终止之时应当删除相关的个人信息。个人信息处理者删除采集到的个人信息要及时有效，如若在技术上存在删除受限的问题，应当在原存储的基础上加强保护。个人信息使用要紧紧贴合个人信息的使用目的，要结合配套的存储保护措施，即使技术受限的情况下也要确保能很好地采取人脸识别信息保护措施。在《决定》[8]中，人脸识别技术相关信息的删除是一种法定权利，不依赖约定，事前是否约定不得为删除的抗辩理由。比对二者可见《规定》更为详尽，对于除通过人脸识别技术获得的其他领域的信息，是否直接删除且无抗辩，有赖于通过类似的专门司法解释予以指导、或者通过相关原则予以释明。

五、人脸识别技术处理个人信息保护的救济途径

《规定》第十三条、第十四条针对人脸识别信息的侵权救济做出了规定，合并审理和公益诉讼都在法律层面给予人脸识别信息以较强的保护。人脸信息在个人信息保护中属于敏感信息，而又因其涉及领域宽泛，利益关系复杂，在对人脸识别信息研究时要采用跟进一步的技术处理与技术保护。随着人脸识别技术司法解释的出台，《个人信息保护法》的出台使得个人信息保护更加有力，但是现有救济也仅限于民事方面，责任规定也只限于个人信息处理者的侵权、损害赔偿责任，关于一般规定的操作细则、个人信息保护法的一般规定及其他法律解释、规定的契合有待进一步地有权释明。2021年8月21日《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》[9]规定在涉及“生物识别”等敏感信息强调检察院的职责，建立完善的一体化办案流程，拓展救济途径，明确个人信息使用主体及相关管理者的义务，为个人信息保护提供强有力的公力救济支持。