关于人脸信息的定义和法律属性，《规定》第一条第三款规定“本规定所称人脸信息属于民法典第一千零三十四条规定的‘生物识别信息’”。具体定义可参照国家标准《GB/T 38671-2020 信息安全技术 远程人脸识别系统技术要求》中对“人脸识别”的表述，即人脸识别技术中处理的“人脸信息”为能够识别个体身份的面部特征信息。

从法律属性上讲，笔者总结，因其能够识别个体身份，首先构成“个人信息”[1]；其次，由于“人脸识别信息”为面部特征信息，可能包含有身体、健康、年龄、种族等多元信息，甚至可能包括个人的心理信息[2]，因此构成“敏感个人信息”[3]，具体则属于个人敏感信息中的“生物识别信息”[4]。各信息类型的关系可见下图。

点击图片查看大图

《规定》作为《民法典》人格权编配套的司法解释，其在规范逻辑上大体与《民法典》第一千零三十四条至第一千零三十八条相一致。同时，由于人脸信息本质上具有敏感个人信息的属性，故《规定》在为人脸识别技术划定司法边界时，与《网络安全法》以及即将出台的《个人信息保护法》等个人信息保护规则相互呼应，形成了具有体系一致性的司法裁判规则。

《规定》第二条第（二）项要求信息处理者应当公开处理人脸信息的规则，并且明示处理的目的、方式、范围。一方面，此项要求是个人信息处理基本原则[5]中“目的明确”和“公开透明”两项原则的体现，即要求信息处理者应当具有明确、清晰、具体的个人信息处理目的，并且应当以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等，接受外部监督。同时，此项规定也是对于个人信息主体知情权的保障，从而确保个人信息主体的同意是其在完全知情的基础上作出的意愿表示。

实践中，此等明示义务通常以《个人信息保护政策》（又称《隐私政策》）等形式实现，根据《个人信息保护法（二审稿）》第十八条、三十一条，所应明示的内容至少包括：1）个人信息处理者的身份和联系方式；2）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；3）个人行使权利的方式和程序。同时，人脸信息作为敏感个人信息，信息处理者还应当向个人告知处理敏感个人信息的必要性以及对个人的影响。

无论是《民法典》还是《网络安全法》，都将个人同意作为个人信息处理首要合法性基础。然而，实践中人脸识别技术应用中各种不规范做法，使得个人同意往往流于形式。《规定》第二条第（三）项在《民法典》第一千零三十五条的基础上，考虑《个人信息保护法（二审稿）》的规定，进一步将“同意”细化为“单独同意”。“单独同意”目的在于对人脸信息提供增强式保护，让信息主体更加充分地参与到人脸信息处理的决策之中。从目的上讲，“单独同意”是为了保障个人对于其人脸信息的处理享有知情权、决定权，有权限制或拒绝他人对其个人信息进行处理。

欧盟《通用数据保护条例》明确数据主体的同意是指“数据主体通过书面声明或经由一个清楚确定的动作，表示同意对其个人数据进行处理。该意愿表达应是自愿的（freely given）、特定的（specific）、知情的（informed）、明确的（unambiguous）”。因此，也可借鉴此方式，将充分知情、自愿、明确、特定（单独）作为理解是否满足我国“单独同意”的四个要件。

基于此，“单独同意”首先应当确保收集的“可感知性”，个人充分知情，而不应与其他个人信息处理规则一并告知。其次，“单独同意”应当排除“捆绑授权”，即人脸信息处理的同意应当与其他的个人信息处理行为区分开，并分别征得个人的同意。最后，“单独同意”应当排除“强迫或变相强迫同意”的情况，如人脸信息不属于提供产品或者服务所必需的，个人在拒绝后对产品或服务的使用不应被影响或限制，这也是《规定》第四条[6]之规定的应有之义。

《规定》第二条第（五）项要求信息处理者应当采取技术措施或者其他必要措施确保人脸信息安全，此等措施的具体要求可参照《信息安全技术 个人信息安全规范》[7]关于个人敏感信息的传输和存储要求予以执行。具体包括：

• 传输和存储人脸信息应采用加密等安全措施；

• 人脸信息应与个人身份信息分开存储；

• 原则上不应存储原始人脸信息（如样本、图像等），可采取的措施包括但不限于：1）仅存储人脸信息的摘要信息； 2）在采集终端中直接使用人脸信息实现身份识别、认证等功能；3）在使用人脸识别特征实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。

《规定》第二条第（六）项将违反法律、行政法规和违约向他人提供人脸信息作为侵害自然人人格权益的法定情形。关于法律、行政法规对于向他人提供个人信息的要求可见《个人信息保护法（二审稿）》第二十四条，包括向个人告知接收方的身份、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。同时，《信息安全技术 个人信息安全规范》还要求提供个人敏感信息前，应告知数据接收方的身份和数据安全能力，企业在向关联方或第三方提供相应人脸信息前应予以遵循。

在充分保护人脸信息的同时，《规定》通过建立责任豁免制度，为人脸识别技术的应用和发展留下空间，也为企业合规使用人脸识别技术以及处理基于人脸识别技术生成的人脸信息提供合法的路径指引。

《规定》第五条在吸收《个人信息保护法（二审稿）》立法精神的基础上，对民法典第一千零三十六条规定进行了细化，明确规定了使用人脸识别技术的责任豁免情形，包括：

• 为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

• 为维护公共安全，依据国家有关规定使用人脸识别技术；

• 为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息；

• 在自然人或者其监护人同意的范围内合理处理人脸信息。

同时，《规定》第七条第二款规定，信息处理者利用网络服务处理人脸信息侵害自然人人格权益的，适用《民法典》关于通知-删除规则的相应规定，笔者理解，这事实上也为网络服务提供者设置了网络环境下的责任豁免情形。

《规定》分别从侵权、违约和消费者公益诉讼三个层面形成了我国个人信息保护的三元规制路径，为个人信息主体实现人脸信息保护提供了有力的法律基础。其中，《规定》第二条至第九条主要从人格权和侵权责任角度明确了滥用人脸识别技术处理人脸信息行为的性质和责任；第十条至第十二条从合同角度对实践中涉及人脸识别的重点问题予以回应，包括物业服务、格式条款效力、违约责任承担等；第十四条则从民事公益诉讼的角度规定了信息处理者处理人脸信息的行为符合《民事诉讼法》《消费者权益保护法》等关于民事公益诉讼的相关规定时，法律规定的机关和有关组织可以提起民事公益诉讼。

此种三元规制体系的一大亮点在于，将违约作为与侵权救济同一位阶的救济手段，有利于保障当事人在起诉时选择最有利于保障自身合法权益的请求权基础。例如，相比于违约案件，在人格权侵权案件中，受害人的损失或侵权人的获利往往难以直接举证，受害人在主张赔偿额时可能面临举证不能的困境。通过设立违约责任，自然人可通过约定违约金以解决过去自然人在主张个人信息侵权之诉时赔偿额难以计算的困境。

关于人脸识别信息的民事救济路径，在“国内人脸识别第一案”[8]中，该案历经两审，法院在判决书分别从消费者权益保护、个人信息保护（侵权）和合同法角度进行论述，认定其应当承担单方变更入园方式的违约责任，以及超出事前收集目的激活已收集的照片的侵犯个人信息权益的相应责任。

首先，《规定》第二条将违法处理人脸信息认定为侵害自然人人格权益的行为，对此《民法典》第九百九十五条规定了一般侵害人格权应承担的停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉等责任形式。其次，《规定》第八和第九条分别明确了自然人有权主张财产损害赔偿及为制止侵权行为所支付的合理开支，同时对于特定情形下的侵害行为，自然人有权申请法院作出人格权侵害禁令。据此，对于侵害人脸信息的行为，可能承担的民事责任形式包括：

（1）停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉；（2）财产损害赔偿；（3）制止侵权行为的合理开支；（4）人格权侵害禁令。

同时，《规定》第三条明确了认定上述民事责任时应考量的因素，即适用民法典第九百九十八条[9]的规定，并结合案件具体情况综合考量受害人是否为未成年人、告知同意情况以及信息处理的必要程度等因素。其中，将受害人是否为未成年人作为重要考量因素，并在其他条款中要求处理未成年人人脸信息必须征得其监护人的单独同意，体现了《规定》坚持最有利于未成年人原则，对于违法处理未成年人人脸信息的，在责任承担时依法予以从重从严，确保未成年人人脸信息依法得到特别保护。

人脸识别技术应用领域往往存在消费者与经营者双方当事人经济实力不对等、信息不对称等问题，如果仅运用民事诉讼基本原则“谁主张积极事实，谁承担证明责任”，从形式上平等地适用于消费者领域的侵权举证责任分配，将无法最终实现当事人双方的实质平等。

基于此，《规定》第六条在依据现有一般举证责任法律适用规则的基础上，通过第六条第二款规定，“信息处理者主张其行为符合民法典第一千零三十五条第一款[10]规定情形的，应当就此所依据的事实承担举证责任。”第三款规定，“信息处理者主张其不承担民事责任的，应当就其行为符合本规定第五条[11]规定的情形承担举证责任。”进而在举证责任分配上课以信息处理者更多的举证责任。

2021年“3·15”晚会调查发现一些企业在消费者不知情的情况下，违规利用人脸识别技术，通过监控摄像头追踪消费者行程，记录消费者信息，但并未明确告知顾客其人脸信息已被获取。被央视报道后，相关企业发布道歉声明，并表示已安排相关门店连夜拆除摄像设备，但相关事件引发公众对个人隐私的担忧。

针对此类场景，《规定》第二条规定，“信息处理者处理人脸信息有下列情形之一的，人民法院应当认定属于侵害自然人人格权益的行为：（一）在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析。”

首先，应明确该条该规定并非直接排除在经营场所、公共场所使用人脸识别技术的可能性，而是强调使用此等技术应当在不违反法律、行政法规的前提下进行。

与此同时，鉴于客观上公共场所采集的人脸信息数量巨大，法律法规对相关处理行为进行更严格的要求也是应有之义。因此，《个人信息保护法（二审稿）》第二十七条规定，“在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的，不得公开或者向他人提供，取得个人单独同意的除外。”一方面，将收集信息的目的仅限于维护公共安全，同时，要求遵循“国家有关规定”，而非仅仅指法律、行政法规，这意味着规章等规范性文件以及相关国家标准、地方标准也将成为判断其合法性的重要参照。

以自2018年开始的App专项治理行动为抓手，App强制索权、过度索权、捆绑索权成为近期主管部门监管的重点领域。

App专项治理实施的行政监管或行政处罚手段有其局限性，基于此，要求App运营者直接对用户承担民事责任将有利于改变现状，《规定》第四条规定，信息处理者不得要求自然人同意处理其人脸信息才提供产品或者服务，除非处理人脸信息属于提供产品或者服务所必需；此外，信息处理者不得以授权捆绑、强迫或变相强迫等方式等方式要求自然人同意处理其人脸信息。

对于企业而言，在获取处理人脸信息权限时应当从整体上遵循知情同意和最小必要两项个人信息保护的基本原则。具体而言，以App为例，自2019年，全国信息安全标准化技术委员会、电信终端产业协会陆续发布《网络安全实践指南-移动互联网应用基本业务功能必要信息规范》《网络安全标准实践指南—移动互联网应用程序（App）系统权限申请使用指南》《App用户权益保护测评规范 权限索取行为》，以及包含《App收集使用个人信息最小必要评估规范 总则》等在内的17项评估规范，从权限的合理应用场景和信息收集最小必要要求等层面对App权限索取行为作出了相应要求。此外，网信办等四部门于2021年3月发布《常见类型移动互联网应用程序必要个人信息范围规定》，明确了常见类型App可收集的必要个人信息范围，可以作为企业合规运营App的良好参照。

近几年，部分小区使用人脸识别门禁系统的问题受到社会的广泛关注，用“刷脸”代替“刷卡”被认为是一种智能化管理的新模式。但由此引发的问题在于，在录入人脸信息时，小区物业往往同时要求人脸信息和详细住址、身份信息相绑定，这些信息一旦泄露，将可能给个人隐私造成难以弥补的损害。同时，人脸信息本质上属于个人信息，只有业主或者物业使用人自愿同意使用人脸识别，对人脸信息的采集、使用才有合法性基础。

据此，《规定》第十条第一款规定，“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式，不同意的业主或者物业使用人请求其提供其他合理验证方式的，人民法院依法予以支持。”根据该条及相关规定，小区物业在使用人脸识别门禁系统录入人脸信息时，应当征得业主或者物业使用人的单独同意，对于不同意的，小区物业应当提供替代性验证方式。

笔者理解，物业服务场景与“国内人脸识别第一案”的场景有所不同，在实践中物业合同通常由物业公司与业主委员会签订，此等合同较难被认定为消费者合同，进而难以适用消费者权益保护的视角进行调整，同时在物业合同中相关条款的细化程度往往并不高，难以明确物业服务企业以人脸识别作为唯一验证方式是否具有违法或违约性质。通过发布上述《规定》，业主或物业使用人将有权直接以“提供其他合理验证方式”作为诉讼请求，有利于改变此种现状。