人臉信息屬于敏感個人信息中的生物識別信息，是生物識別信息中社交屬性最強、最易采集的個人信息，具有唯一性和不可更改性，一旦泄露將對個人人身財產安全造成極大危害，甚至可能威脅公共安全。

7月28日，最高人民法院發布《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》，著力維護自然人人格權益，保護人民群眾“人臉”安全。

《規定》如何兼顧權益保護和價值平衡？部分小區使用人臉識別門禁系統引發社會熱議，《規定》如何回應？一些App通過捆綁授權等不合理方式強制索取個人信息，《規定》將采取哪些司法對策？針對上述問題，最高人民法院副院長楊萬明，最高法研究室副主任郭鋒、研究室民事處處長陳龍業分別回答了記者提問。

注重平衡懲戒侵權和產業發展

記者：最高法出臺《規定》是如何兼顧權益保護和價值平衡的？

楊萬明：出臺這個《規定》主要是對濫用人臉識別問題作出司法統一規定。“保護當事人合法權益，促進數字經濟健康發展”是本《規定》的制定宗旨。《規定》在起草過程中緊緊圍繞這一宗旨，既注重權益保護，又注重價值平衡。

在權益保護方面，除明確“處理自然人的人臉信息，必須征得自然人或者其監護人的單獨同意”等內容外，《規定》還在如下方面強化對人臉信息的司法保護。

首先是合理分配舉證責任。《規定》第6條依據現有舉證責任的法律適用規則，以及民法典規定內容，充分考慮雙方當事人的經濟實力不對等、專業信息不對稱等因素，在舉證責任分配上課以信息處理者更多的舉證責任。

其次是合理界定財產損失范圍。除適用民法典第1182條外，考慮到侵害人臉信息可能并無具體財產損失，但被侵權人為維權支付的相關費用卻較大，如不賠償，將會造成被侵權人維權成本過高、侵權人違法成本較小的不平衡狀態。第8條明確被侵權人為制止侵權行為所支付的合理開支以及合理的律師費用可作為財產損失請求賠償。

最后是積極倡導民事公益訴訟。由于實踐中受害者分散、個人維權成本高、舉證能力有限等因素，個人提起訴訟維權的情況相對較少，而公益訴訟制度能夠有效彌補這一不足。結合人民法院審理個人信息民事公益訴訟相關實踐，《規定》第14條對涉人臉信息民事公益訴訟予以明確規定。

在價值平衡方面，一是注重個人利益和公共利益的平衡。在依法保護自然人人臉信息的同時，第5條在吸收個人信息保護法立法精神的基礎上，對民法典第1036條規定進行了細化，明確規定了使用人臉識別不承擔民事責任的情形，如為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需而處理人臉信息的；再如，為維護公共安全，依據國家有關規定在公共場所使用人臉識別技術的等。同時，第5條通過“兜底條款”的規定，將其他免責事由適用引向民法典等法律。

二是注重懲戒侵權行為和促進數字經濟發展的平衡。《規定》充分考量人臉識別技術的積極作用，一方面規范信息處理活動，保護敏感個人信息，另一方面注重促進數字經濟健康發展，保障人臉識別技術的合法應用。

為避免對信息處理者課以過重責任，妥善處理好懲戒侵權和鼓勵數字科技發展之間的關系，《規定》第16條明確本司法解釋不溯及既往的基本規則，即：對于信息處理者使用人臉識別技術處理人臉信息、處理基于人臉識別技術生成的人臉信息的行為發生在本規定施行前的，不適用本規定。

對業主等人臉信息形成全面保護

記者：當前，部分小區使用人臉識別門禁系統，引發社會熱議。《規定》第10條對此予以回應，能否詳細介紹下制定本條的考量因素？

郭鋒：我們一直在關注這個問題，前期也做了一些調研。調研中發現，群眾關心小區物業安裝人臉識別設備，集中在強制“刷臉”的問題上。

人臉信息屬于敏感個人信息，小區物業對人臉信息的采集、使用必須依法征得業主或者物業使用人的同意。只有業主或者物業使用人自愿同意使用人臉識別，對人臉信息的采集、使用才有了合法性基礎。實踐中，部分小區物業強制要求居民錄入人臉信息，并將人臉識別作為出入小區的唯一驗證方式，這種行為違反“告知同意”原則，群眾質疑聲較大。小區物業不能以智能化管理為由，侵害居民人格權益。

為此，《規定》第10條第1款專門規定：“物業服務企業或者其他建筑物管理人以人臉識別作為業主或者物業使用人出入物業服務區域的唯一驗證方式，不同意的業主或者物業使用人請求其提供其他合理驗證方式的，人民法院依法予以支持。”根據這一規定，小區物業在使用人臉識別門禁系統錄入人臉信息時，應當征得業主或者物業使用人的同意，對于不同意的，小區物業應當提供替代性驗證方式，不得侵害業主或物業使用人的人格權益和其他合法權益。

此外，為更好規范物業服務企業或者其他管理人，防止其將人臉信息泄露或者侵害業主或物業使用人隱私，第10條第2款又進一步明確：“物業服務企業或者其他建筑物管理人存在本規定第二條規定的情形，當事人請求物業服務企業或者其他建筑物管理人承擔侵權責任的，人民法院依法予以支持。”這樣就對業主及其他物業使用人的人臉信息形成全面保護。

防止對人臉信息不當采集

記者：當前，一些App通過捆綁授權等不合理方式強制索取個人信息的現象較為突出。對此，《規定》是如何采取司法對策的？

陳龍業：一段時間以來，部分移動應用程序(App)通過一攬子授權、與其他授權捆綁、“不點擊同意就不提供服務”等方式強制索取非必要個人信息的問題比較突出，這既是廣大用戶的痛點，也是維權的難點。

為從司法角度規范此類行為，更好保護人民群眾合法權益，《規定》根據民法典第1035條，在吸收個人信息保護立法精神、借鑒域外做法的基礎上，明確了以下處理人臉信息的規則。

首先是單獨同意規則。由于人臉信息屬于敏感個人信息，處理活動對個人權益影響重大，因此，在告知同意上，有必要設定較高標準，以確保個人在充分知情的前提下，合理考慮對自己權益的后果而作出同意。《規定》第2條第3項引入單獨同意規則，即：信息處理者在征得個人同意時，必須就人臉信息處理活動單獨取得個人的同意，不能通過一攬子告知同意等方式征得個人同意。

其次是強迫同意無效規則。基于個人同意處理人臉信息的，個人同意是信息處理活動的合法性基礎。只要信息處理者不超出自然人同意的范圍，原則上該行為就不構成侵權行為。自愿原則是民法典的基本原則之一，個人的同意必須是基于自愿而作出。特別是對人臉信息的處理，不能帶有任何強迫因素。如果信息處理者采取“與其他授權捆綁”“不點擊同意就不提供服務”等做法，會導致自然人無法單獨對人臉信息作出自愿同意，或者被迫同意處理其本不愿提供且非必要的人臉信息。

為強化人臉信息保護，防止信息處理者對人臉信息的不當采集，《規定》第4條對處理人臉信息的有效同意采取從嚴認定的思路。對于信息處理者采取“與其他授權捆綁”“不點擊同意就不提供服務”等方式強迫或者變相強迫自然人同意處理其人臉信息的，信息處理者據此認為其已征得相應同意的，人民法院不予支持。第4條的規定不僅適用于線上應用，對于需要告知同意的線下場景也同樣適用。（記者 蔡長春）