引言

随着近年来各产业数字化转型进程的加快，无论是线上还是线下，企业对于人脸识别技术的运用都在快速增长，比如刷脸支付、刷脸进出小区/办公楼、刷脸解锁手机、刷脸签到考勤等等。

但实务中，不乏一些经营者假借“便民”、“安全”、“共赢”之名，随意采集人脸信息，使得具有唯一性、永久性与不可逆性而最应受到高级别安全保护的人脸信息面临巨大风险，侵害了自然人的隐私权、肖像权及个人信息。

2021年7月27日，最高人民法院发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（以下简称“司法解释”），对违法处理人脸信息的行为及救济进行了全面规定，并于2021年8月1日起正式实施。

2021年8月20日，全国人大常委会发布《个人信息保护法》，再次确立了敏感个人信息的处理规则，并于2021年11月1日正式实施。

本文将立足《个人信息保护法》及司法解释，简析企业在“看脸时代”，应如何做好数据合规。

一、何为“人脸信息”？

《个人信息保护法》规定，生物识别信息属于敏感个人信息，司法解释明确指出人脸信息属于生物识别信息，结合其他法律规定及国家标准，我们可以把人脸信息理解为一种人脸识别特征或者人脸识别数据，是一种可单独或与其他信息结合识别特定自然人或特定自然人身份的数据。

二、处理人脸信息的实践准则

从《民法典》、《消费者权益保护法》，到《网络安全法》、《个人信息安全规范》、《数据安全法》、《司法解释》、《个人信息保护法》，都明确要求并强调处理个人信息应当遵循合法、正当、必要的原则，本次司法解释的落地，再次细化了处理人脸信息时，所应遵循的具体要求。

（一）评估

根据刚刚落地的《个人信息保护法》的规定，在处理人脸信息前，应当事前进行个人信息保护影响评估，并对处理情况进行记录，个人信息保护影响评估应当包括下列内容：个人信息的处理目的、处理方式等是否合法、正当、必要；对个人权益的影响及安全风险；所采取的保护措施是否合法、有效并与风险程度相适应。

此外，个人信息保护影响评估报告和处理情况记录应当至少保存三年。

（二）告知

收集人脸信息前，应告知用户个人信息处理者的名称及联系方式，公开处理人脸信息的规则，明示处理的目的、方式、范围。此外，根据《个人信息保护法》，还应当向个人告知处理人脸信息的必要性以及对个人权益的影响。

针对告知的形式，企业可以暂行参考《信息安全技术 个人信息告知同意指南（征求意见稿）》。对于线上场景，采取弹窗等形式进行有效告知。对于线下场景，在显著处或直接面对面进行口头告知。比如，该指南在附录D“公共场合场景下的告知同意”中，建议在商场内收集人脸信息时，可以在商场入口显著处张贴告知：“本商场安装有人脸识别系统，以便进行客流分析或进行个性化推荐。我们承诺会保护您的人脸等信息安全，详情可向询问台咨询或扫描二维码。”

再比如，对于物业服务企业，我们建议在小区启用人脸识别门禁系统之前，联合小区业主委员会在小区内显眼位置（比如每栋楼的大门上）张贴相关告示，告示内容应涵盖收集、使用人脸信息的目的、方式和范围，以及存储时间等，并请楼长挨家挨户让各业主/物业使用人对系统启用及告示签字同意。

（三）同意

收集人脸信息前，应获得自然人或其监护人的单独同意，或按照法律、行政法规的规定征得自然人或者其监护人的书面同意。

也就是说，履行完告知义务后，并非就万事大吉了，在收集人脸信息前，还应获得单独同意。

1.单独同意

这里的“单独同意”，是指不能通过一揽子告知同意等方式征得个人同意。这是因为人脸信息的应用场景往往关乎个人的人身和财产安全，因此法律给予这类个人信息更高强度的保护，以确保个人在充分知情的前提下，合理考虑对自己权益的后果而作出同意。

以线上手机App为例，运营者不能以通过隐私政策告知了用户其收集的个人信息包括人脸信息，用户主动勾选同意了该隐私政策，就得出已获得用户“单独同意”的结论。运营者对于人脸信息的收集与处理，应专门通过单独弹窗等方式征得用户的单独同意。另外，在就人脸信息征得单独同意时，要避免使用默认勾选的方式，而应通过用户主动勾选、手动确认等方式，获得用户明示同意。

对于线下场景，特别需要注意的是，仅在现场提示“您已进入视频监控区域”，“本场所安装人脸识别系统，用于XXXX”的，只是企业单方对消费者进行的告知，并未获得消费者同意（不得将消费者进入该场所的行为视为同意）。

比如，在宁波市市场监督管理局检查的一起案件中（甬市监处〔2021〕18号），当事人系一家房地产开发经营单位，为了确认客户是否系分销商介绍而来，当事人安装并使用了人脸识别系统，该系统会摄取所有到访售楼处客户的人脸信息。通过分销商介绍的客户正式签订购房合同时，系统自动将之前与该客户相关的报备信息、历次到访售楼处所摄取的人脸信息归集至该客户名下，如该客户首次到访售楼处时间与分销商报备时间对应符合，当事人据此向分销商结算佣金。

该案中，虽然当事人在其售楼处入口贴了标识信息“您已进入视频监控区域”、“本售楼处安装有人脸识别系统，用于进行分销带客识别，我们承诺保护您的人脸等信息安全”，但仍然因“该告知仅明示收集、使用信息的目的、方式，并未明示收集、使用信息的范围，且该告知并非征求同意的过程，并未实际获得消费者的同意”，而被宁波市市场监督管理局责令改正，并罚款25万元。

无独有偶，就在上个月，针对某卫浴品牌通过门店摄像头在消费者毫不知情的情况下抓取人脸信息，以供决定销售策略的行为，上海市静安区市场监督管理局以“侵害消费者人格尊严、侵犯消费者人身自由或者侵害消费者个人信息”为由，处以50万元的罚款，并责令改正。相应处罚依据如下：

2.不属于征得同意的情形

特别需要注意的是，以下方式不属于征得了自然人的同意：

（1）信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的，不属于征得了自然人同意，但是处理人脸信息属于提供产品或者服务所必需的除外。

通常而言，人脸信息对于绝大多数应用场景而言其实都不属于必要个人信息，即便是身份验证场景，也可以通过手机短信验证、预置密码验证等方式实现。因此，企业应当格外审慎，除非确实符合缺少人脸信息就无法向用户提供相应产品或服务的情形，否则应当坚决杜绝如果自然人不提供人脸信息就拒绝提供相应服务或产品的商业模式。

对此，司法解释还特别指出，物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式，不同意的业主或者物业使用人有权请求其提供其他合理验证方式。也就是说，对于明确拒绝使用人脸识别系统的业主/物业使用人，不得强制其接受该系统，而应做好相关登记，并应明确告知其它进出小区时的身份核验方式（包括但不限于二维码、门禁卡、出入证、手动登记等）。

（2）信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的，不属于征得了自然人同意。

这里的“捆绑授权”，是指对业务功能及对应所需权限不加区分进行一次性概括授权，或者虽然进行了区分，但是在满足基础服务功能所必要的权限之外，个人信息主体无法拒绝或者根据需要选择其他功能并决定是否进行相应的授权。

禁止强制捆绑授权也是基于上述“必要性”及尊重和保护消费者“自主选择权”的合理、必然逻辑。在非必要的情形下，数据处理者应当提供授权同意的可选项给到个人信息主体，允许其自主选择是否进行有关“人脸识别脸信息”的专项授权。

（3）强迫或者变相强迫自然人同意处理其人脸信息的其他情形。

比如，信息处理者采用格式条款与自然人订立合同，要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利，这种情形就不属于征得自然人同意，该格式条款无效。

也就是说，隐私政策等协议文件中关于人脸信息的相关规则须明确且确定。具体而言，应明确具体授权期限，允许个人信息主体享有撤销权，未事先告知个人信息主体并获得其授权不得与第三方共享等。不能赋予数据处理者以任意性的权利，否则将无限加重用户个人信息使用风险。

（四）存储

对于人脸信息的存储，企业应采取应有的技术措施或者其他必要措施，确保其收集、存储的人脸信息安全，防止人脸信息泄露、篡改、丢失。

同时，鉴于人脸信息属于个人敏感信息，我们建议企业还应根据《个人信息安全规范》（GB/T 35273-2020），将人脸信息与其他个人信息分开存储，并且原则上不得存储原始人脸信息。如需存储，仅存储算法处理后的摘要信息（摘要信息通常具有不可逆的特点，无法回溯到原始信息），或者在实现认证等功能后及时删除原始图像。即根据“最小化”的个人信息保护原则，缩短面部识别特征的生命周期，通过减少数据的收集达到降低人脸识别技术的法律风险的目的。

（五）提供

不得违反法律、行政法规的规定或者双方的约定，向他人提供人脸信息。

当企业在后续业务环节中，涉及到需要将人脸信息提供给第三方时，应当将第三方的身份、联系方式、处理目的、方式、种类、信息保护能力告知个人信息主体，并征得单独同意，当处理目的、方式和种类变更时，需征得重新同意。

（六）删除

特别需要注意的是，个人信息主体对个人信息享有删除权。也就是说，无论双方是否就人脸信息的删除进行过约定，如果信息处理者违反约定处理自然人的人脸信息，那么该自然人就有权请求个人信息处理者承担违约责任，并删除人脸信息。

（七）免责

当然，对于以下情形，信息处理者无需承担侵权责任：为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息的；为维护公共安全，依据国家有关规定在公共场所使用人脸识别技术的；为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息的；在自然人或者其监护人同意的范围内合理处理人脸信息的；或者符合法律、行政法规规定的其他情形。

小结

随着人脸信息的应用场景越来越广，保护人脸信息对保护个人财产、安全的重要性愈加突显，个人对人脸信息的重视程度逐渐加强，相关主管部门的监督亦呈趋严态势。因此，我们建议企业在进行人脸信息处理前，可以通过以下几个问题，来保证自己处理行为的合法合规：

此外，企业还应积极关注人脸信息保护的相关立法、技术性规范及标准，并及时在业务上进行完善调整，避免承担不利的后果。

作者：虞杨、洪璐