“人脸识别司法解释”图解与场景应用合规分析

2021-08-05

人脸识别是基于人的脸部特征信息进行身份识别的一种。当前人脸识别的应用已经融入人们日常生活，体现了数字经济智能化发展，但同时也面临滥用人脸识别等严峻问题。   

2021年7月28日，最高人民法院发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（以下简称“规定”），聚焦人脸信息的司法保护，从行为界定、举证责任、损害赔偿、责任承担等诸多方面规范人脸识别应用，为人脸信息保护保驾护航，该“规定”将于2021年8月1日实施。本文对该“规定”进行了深度解读，并对人脸识别技术的非法应用场景进行分析，以期为有关企业、机构当前的人脸识别应用提供合规方向指引。

一、“规定”解读

二、场景分析

（一） 典型非法使用具体场景

1、经营性场所非法使用人脸识别技术标记到访顾客

根据今年“315”晚会的相关曝光，部分经营性场所在顾客毫无察觉的情形下使用人脸识别技术给到访顾客编号、贴标签，违规采集顾客人脸识别信息。

每位曾到访过的顾客会生成个人ID。商家后台可以手动标注标签，标注类似同行、职业打假人、记者等标签。顾客之后去其它全部分店，都可以被清楚知悉其身份特征。

根据“规定”，上述行为属于明显侵害自然人人格权益的行为，行为人应承担相应法律责任。

2、房企售楼处非法使用人脸识别技术结算佣金

今年四月，宁波市市场监督管理局对三家房地产开发商处以25万元的罚款，系因上述房企使用人脸识别技术拍摄所有到访售楼处的客户，用于“带看”佣金结算事宜。

尽管部分企业有诸如“本售楼处安装有人脸识别系统，用于进行分销带客识别，我们承诺保护您的人脸等信息的安全”等告知，但该告知属于店堂告示，且仅明示收集、使用信息的目的、方式，并未明示收集、使用信息的范围等，实际上并未获得客户真实有效的“同意”，因此也属于违反“规定”的情形。

3、APP等滥用人脸识别技术违规收集信息

诸多APP出现强制索权、隐私政策不规范等情况，存在巨大隐患，引发了社会对数据安全和用户隐私安全的广泛关注和担忧。某些人脸识别短视频APP曾因违规采集并使用消费者面部信息，存在安全隐患而被下架。未来企业APP应根据相关法律法规规范信息采集行为，相应开展隐私政策合规，切实保障用户信息安全。

三、刑事责任边界

“规定”对信息处理者滥用人脸识别技术处理人脸信息的民事责任承担予以明确。应当注意，若信息处理者处理行为不当，可能会导致其面临刑事责任。

（一）以人脸信息为对象

《刑法》第二百五十三条规定了侵犯公民个人信息罪，同时，根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条的规定，非法获取、出售或者提供“健康生理信息”五百条以上的，非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的，属于“情节严重”。虽然是否应将人脸信息解释为“健康生理信息”还存有争议。但毫无疑问，人脸信息属于公民个人信息，其一旦泄漏，所造成的危害难以估量，故人脸信息处理行为理应受到严格规制。企业如果有非法获取、出售、提供人脸信息的情形，一旦触犯刑法，则承担相应的刑事责任。

（二）以人脸识别技术为工具

在实践情形中，企业若采用欺瞒、欺骗等方式，使用户在不知情或基于错误认识的情形下进行人脸识别，来达到非法转移财产、非法获取帐号等目的，则应该结合具体情形，根据具体的犯罪构成要件，判断是否构成盗窃、诈骗罪等。此类案件的行为重点在于窃取他人账户内财产，而非欺骗他人使用人脸识别技术，人脸识别技术只是达成犯罪目的的手段。因此，此种情形下，不对具体使用该技术的行为做重复评价。

四、结语

放眼全球，欧盟、美国等都在加强人脸识别法律规制。由于历史、政治背景等综合因素的影响，欧盟针对人脸识别制定了严格的保护措施。GDPR第4条明确 “生物数据”（biometric data）包括“面部图像”（facial images）。GDPR对于生物数据的处理遵循“原则禁止，特殊例外”的原则。数据控制者可援引“数据主体的同意”作为个人生物数据处理的例外，但该同意必须是“自由给予、明确、具体、不含混”的，数据主体的任何被迫、不真实的同意都会被视为无效同意。

除此之外，今年4月欧盟首次发布了针对人工智能技术的监管法规草案，其中明确规定所有远程生物识别系统都被认为是高风险的，适应更加严格的监管要求。原则上高度禁止在公共场合使用，除非是用于寻找失踪儿童、防止恐怖活动威胁或识别刑事犯罪人员等特殊情况，此类使用需要获得司法机构或其他独立机构的授权，并受一定限制。

美国对非政府机构使用人脸识别的法律规制，可以分为两种路径：其一是将其视为生物信息而适用高强度规制路径；其二是适用和一般个人信息的保护同等程度保护的普通规制路径。前者典型如伊利诺伊州《生物信息隐私法》以及美国议会的《商用人脸识别隐私法》。后者主要指CCPA，对生物信息的规定比较松散。

在人脸识别法律规制愈加受到各国重视的背景下，我国也体现出严格的规制态势。“规定”的出台，是国家从司法角度保障人脸识别的合法应用，未来，针对人脸识别滥用问题，相应的执法也必将更加严格。有关企业、机构必须规范自身行为，依法合规经营，达到保障公民人格权益与促进数字经济发展的平衡。

本文作者：

（感谢夏晴律师、实习生赵栩、孙跃元、王永喆对本文的贡献。）