一、人脸识别技术的法律监管体系

自2021年以来，人脸识别技术的规制要求开始大范围的发展，2021年7月公布的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》，2021年8月公布的《个人信息保护法》，2022年10月发布的《信息安全技术人脸识别数据安全要求》均涉及到人脸识别的相关条款。但在《管理规定》发布之前，关于如何使用人脸识别技术，我国尚未有正式生效的专门法律文件，而是呈分散式的特点，通过法律法规、司法解释、国家标准等规范性文件中的条款规定来约束。具体信息详见下表：

二、人脸识别技术应用的合规要求

1.特定目的和充分必要性

根据《个人信息保护法》的规定，人脸识别信息属于敏感个人信息，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。《管理规定》第四条再次重申了此项原则，“只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，方可使用人脸识别技术处理人脸信息。”关于如何判断人脸识别技术处理人脸识别信息是否必要，《管理规定》第四条第一款的后半句对“充分必要性”进行了解释，即“实现相同目的或者达到同等业务要求，存在其他非生物特征识别技术方案的，应当优先选择非生物特征识别技术方案。”

《管理规定》第十二条提出了“涉及社会救助、不动产处分等个人重大利益的，不得使用人脸识别技术替代人工审核个人身份，人脸识别技术可以作为验证个人身份的辅助手段。”这一条款直接规定了不得仅使用人脸识别技术代替人工审核身份的情况。

通过威科先行对人脸识别行政处罚的显示，2021年多地（包括杭州、宁波等）市场监督管理局对售楼处通过人脸识别技术获取客户信息而结算佣金的行为进行了行政处罚，因售楼处并未经消费者同意并作出显著提醒，也未明示其使用目的、方式和范围，故售楼处严重违反收集个人信息必要性的原则，市场监督管理局对其进行了行政处罚。

2.应征得自然人或者其监护人的单独同意

《个人信息保护法》第二十九条明确规定了“处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定”。

本次《管理办法》第五条规定：“使用人脸识别技术处理人脸信息应当取得个人的单独同意或者依法取得书面同意。法律、行政法规规定不需取得个人同意的除外。” 第五条再次明确了处理人脸信息的单独同意规则。同时《信息安全技术个人信息处理中告知和同意的实施指南》对不同场景下的同意取得方式及注意点提供了实务指引。

上海市静安区市场监督管理局曾对某国外卫浴品牌因门店违法收集人脸识别信息罚款 50万元。行政处罚决定书明确指出被处罚企业于2020年2月至2021年3月期间在门店安装了摄像设备，该摄像设备会自动抓取到店人员的人脸信息，并通过软件系统将收集到的人脸信息图片上传到某服务器并筛出门店员工及重复进店的顾客，以达到去除重复进店人员的目的并以此精准统计客流，方便制定销售策略。但在收集消费者人脸信息时，并未取得消费者明示或授权同意。截至2021年3月15日，当事人共抓取了200万条以上的人脸信息。因此市监局认定其构成了经营者未经消费者同意收集消费者个人信息的违法行为。

3.开展事前个人信息保护影响评估

人脸识别技术使用者处理人脸信息前，应当进行个人信息保护影响评估，并对处理情况进行记录。应当评估处理目的、方式等是否合适、正当、必要，以及对个人权益的影响和安全风险，相应的保护措施是否合法有效并与风险程度相适应。《管理办法》同时规定当处理人脸信息的目的、方式发生变化，或者发生重大安全事件的，人脸识别技术使用者应当重新进行个人信息保护影响评估，并要求至少保存三年。

根据《管理办法》的第十五条的内容，个人信息保护影响评估主要包括下列内容：

（一）是否符合法律、行政法规的规定和国家标准的强制性要求，是否符合伦理道德；

（二）处理人脸信息是否具有特定的目的和充分的必要性；

（三）是否限于实现目的所必需的准度、精度及距离要求；

（四）采取的保护措施是否合法有效并与风险程度相适应；

（五）发生或者可能发生人脸信息泄露、篡改、丢失、毁损或者被非法获取、非法利用的风险以及可能造成的危害；

（六）可能对个人权益带来的损害和影响，以及降低不利影响的措施是否有效。

4.采取应有的安全措施

根据《个人信息保护法》、《人脸识别司法解释》等，均规定了处理人脸识别信息的前提需采取严格的保障措施。若未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全，致使人脸信息泄露、篡改等，则会侵害自然人的合法权利。本次《管理办法》再次重申了相应的要求，具体如下：

5.向网信部门备案

本次《管理办法》第十六条就何种情况下需要备案以及需要准备哪些备案材料进行了明确。该条款提出“在公共场所使用人脸识别技术，或者存储超过1万人人脸信息的人脸识别技术使用者，应当在30个工作日内向所属地市级以上网信部门备案。”备案应当提交的内容涵盖了处理人脸信息的必要性说明；人脸信息的处理目的、处理方式和安全保护措施；人脸信息的处理规则和操作规程以及个人信息保护影响评估报告等。

因此，建议满足上述两项条件之一的人脸识别技术使用者密切关注网信办后续发布的备案渠道以及具体的备案细则，待《管理办法》正式实施后，及时完成相应的备案工作。

但是，对于非公共场所使用人脸识别技术，在完成识别后立即删除人脸识别信息的，不对人脸信息进行储存的，根据《管理办法》的规定原则上无需进行备案。因此，建议企业非必要时不对人脸信息进行储存，除了无需履行备案义务外，降低自身保存的敏感个人信息量也可以有效防止网络安全保护等级的上升，大幅度降低企业合规成本，也能防止可能存在的黑客攻击、信息泄露等带来的潜在风险。

6.特定场所的合规要求

《人脸识别司法解释》明确了在公共场合收集个人信息时，如未明确按照法律法规的要求使用人脸识别技术进行人脸验证、辨识或者分析，则存在侵权行为，《管理办法》进一步明确了不同场所进行人脸识别的要求。

三、民事责任的承担与举证责任

关于人脸识别信息处理的法律责任以及诉讼中的举证责任等，已在《个人信息保护法》和《人脸识别司法解释》中均有细化的规定。

（1）就信息处理者应承担的侵权责任和违约责任进行了明确

《人脸识别司法解释》明确规定了信息处理者处理哪些人脸信息的情形属于侵害自然人人格权益的行为。人民法院认定信息处理者承担侵害自然人人格权益的民事责任，应当适用《民法典》第九百九十八条的规定，并结合案件具体情况综合考量受害人是否为未成年人、告知同意情况以及信息处理的必要程度等因素。

针对侵权责任部分，《人脸识别司法解释》第7条对信息处理者按照何种过错程度和损害结果的大小承担何种侵权责任进行了细化，并明确了何种情况下使用信息处理者会承担连带责任。

针对违约责任部分，《人脸识别司法解释》第11条规定了信息处理者采用格式条与自然人订立合同时可能造成格式条款无效的情形以及后果，并进一步规定了信息处理者违反约定处理自然人的人脸信息，该自然人请求信息处理者承担违约责任和/或请求删除人脸信息的，人民法院依法予以支持；信息处理者以双方未对人脸信息的删除做出约定为由抗辩的，人民法院不予支持。

（2）明确信息处理者的举证责任

《个人信息保护法》第六十九条第一款规定，个人信息者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

在实践中，被侵权的个人信息主体常因为举证难而难以得到有效的权益保护。为了使对被侵权的个人信息主体得到更好的救济，因此规定了对于个人信息处理者的过错推定原则。《人脸识别司法解释》第6条同时明确了信息处理者举证责任倒置义务，信息处理者主张其行为符合《民法典》第一千零三十五条第一款规定情形的，应当就此所依据的事实承担举证责任。信息处理者主张其不承担民事责任的，应当就其行为符合本规定《人脸识别司法解释》第5条规定的情形承担举证责任。

因此，相关企业开展人脸信息处理活动时，若未取得个人信息主体的单独同意，或未保留相关处理记录、未履行个人信息保护法所规定的完善内部管理规则、采取加密及去标识化技术措施等的安全保护义务，则难以证明其开展的处理活动合法合规，在未来可能产生的诉讼中存在较高风险。

结语

随着人脸识别技术的不断发展，我国关于人脸识别技术的立法体系日趋成熟，但因人脸识别技术被监管机构处罚的案例不胜枚举。截至2023年8月25日，通过威科先行搜索“人脸识别”显示，行政处罚的数量高达1124件。若《管理规定》正式出台，必然会使人脸识别技术的应用进入强监管时代，届时人脸识别技术使用者以及相关产品、服务提供者均会受到相应的法律约束。相关企业在应用人脸识别技术时应当保持审慎态度，同时建议相关企业提前充分了解本次《管理规定》所提出的相关要求并进行自查，确保满足本《管理规定》中的特殊合规要求，以免因整改不及时带来的合规风险与法律责任。此外，伴随人脸识别领域法律法规以及监管政策的不断更新，建议企业还紧跟法律法规以及监管政策的变化趋势，及时完善自身合规体系的建设。

本文内容仅代表作者个人观点，依据作者个人对法律、案例以及结合自身经验而形成，不对其准确性做完全的保证，不代表申浩律师事务所的法律意见或对法律的解读。

本文为申浩律师事务所律师原创，版权归署名的作者所有，转载须经作者本人同意。本文可通过微信转发功能全文无修改之转发，不允许通过复制等方式全部或部分的方式于其他账号中的再次发表。

如您需要法律意见或其他专家意见，应当向具有相关资格的专业人士寻求专业的法律帮助。