被商家、物業強制要求人臉識別，該如何規範？如何維權？

商場開啟人臉識別攝像頭，資訊被“無感”收集；小區啟用人臉識別門禁系統，不同意不讓進；APP捆綁授權強制索取人臉資訊，不確認不讓用……商家、物業、APP的哪些行為違法？

針對人臉識別資訊利用方式的“野蠻生長”，最高人民法院釋出規定並於近日在全國施行，對經營場所濫用人臉識別技術、小區“刷臉”進門等問題進行規範。那麼，什麼行為構成濫用人臉識別資訊？普通群眾又該如何維權？

“人臉資訊”在法律上如何界定？

近年來，人臉識別技術廣泛應用於移動支付、裝置解鎖、資料分析等場景，給人們的工作和生活帶來了巨大的便利，但資訊處理者對於人臉資訊的瘋狂採集和無序管理，引發了公眾對於隱私和資料安全的擔憂。人臉資訊首先涉及個人的肖像，其次還包括健康、年齡、心理等資訊，一旦洩露或遭受侵權，將會給個人的尊嚴、隱私、平等等權利帶來嚴重影響。

北京一中院法官認為，我國《民法典》對個人資訊保護做出規定，所謂個人資訊，是指以電子或者其他方式記錄的能夠單獨或者與其他資訊結合識別特定自然人的各種資訊，包括自然人的姓名、出生日期、身份證件號碼、生物識別資訊等。人臉資訊作為生物識別資訊的一種，自然屬於民法典保護的個人資訊範疇。

最高人民法院釋出的《關於審理使用人臉識別技術處理個人資訊相關民事案件適用法律若干問題的規定》第一條明確，處理“人臉資訊”和“基於人臉識別技術生成的人臉資訊”均是需規制的物件。

該《規定》所應用的場景不僅包括賓館、商場、銀行、車站、機場、體育場館、娛樂場所等公共場所，還包括小區物業和線上應用場景。《規定》規制的是人臉資訊處理的全流程，即收集、儲存、使用、加工、傳輸、提供、公開等。

經營門店“無感式”收集人臉資訊違法

前不久一些知名企業的門店被曝擅自採集進店消費者人臉資訊，商家利用上述資訊進行消費者性別、年齡、購買情況甚至心理的資料分析，目的在於針對不同的消費者採取不同的營銷策略。個別房地產開發商對目標客戶進行人臉識別和分析，導致客戶“戴頭盔看房”的奇葩現象。

對於這種“看人下菜碟”的行為，該《規定》第二條中明確指出，在賓館、商場、銀行、車站、機場、體育場館、娛樂場所等經營場所、公共場所違反法律、行政法規的規定使用人臉識別技術進行人臉驗證、辨識或者分析的情形屬於侵害自然人人格權益的行為。因此，商家不僅不應違法使用採集到的人臉識別資料與儲存的人臉識別資料進行驗證、辨識，而且更不應違法使用人臉識別資料分析個人的年齡、健康、情緒、心理等具有個人特徵的資訊。

物業強制要求驗證人臉資訊進出小區違法

有的小區裝上人臉識別系統，告知業主必須透過人臉識別才能進入小區。針對此種情形，該《規定》第十條明確規定：“物業服務企業或者其他建築物管理人以人臉識別作為業主或者物業使用人出入物業服務區域的唯一驗證方式，不同意的業主或者物業使用人請求其提供其他合理驗證方式的，人民法院依法予以支援。”

因此，小區物業無權要求業主將人臉識別作為進出小區的唯一驗證方式，物業管理者如使用人臉識別門禁系統，在錄入和使用人臉資訊時應徵得業主或物業使用人的明示同意，對於不同意將人臉識別資訊作為唯一驗證方式的，小區物業應提供替代性驗證方式。

應用程式捆綁授權、強迫同意索取人臉資訊違法

很多人使用APP時可能遇到以下情況：要求使用者同意APP處理其人臉資訊才提供服務，否則立即閃退；以其他型別的授權，如讀取照片許可權捆綁人臉資訊許可權來獲取使用者的同意。

針對上述“強取”行為，《規定》第四條指出，即使資訊處理者已經獲得自然人關於處理其人臉資訊的同意，只要資訊處理者有以下情形之一：要求自然人同意處理其人臉資訊才提供產品或者服務的，但是處理人臉資訊屬於提供產品或者服務所必需的除外；資訊處理者以與其他授權捆綁等方式要求自然人同意處理其人臉資訊的；強迫或者變相強迫自然人同意處理其人臉資訊的其他情形，自然人的同意並不妨礙對資訊處理者違法行為的追責。

洩露、篡改、丟失人臉資訊違法

人臉資訊並非完全被禁止收集，但資訊處理者要保證安全。人臉資訊屬於高度敏感的個人資訊，一旦洩露將會對個人的人身和財產安全造成極大危害。

對此，該《規定》中明確指出，資訊處理者未採取應有的技術措施或其他必要措施確保收集、儲存的人臉資訊保安，致使人臉資訊洩露、篡改、丟失以及違反法律、行政法規的規定或者雙方的約定，向他人提供人臉資訊的情形，均構成侵害人格權益的行為。

遇商家“索臉”要注意什麼？

首先是“公示”規則。該《規定》第二條第二項指出，未公開處理人臉資訊的規則或者未明示處理的目的、方式、範圍，法院應認定屬於侵害自然人人格權益的行為。面臨商家等資訊處理者索取人臉資訊時，一定要求商家公開如何處理人臉資訊等規則。若遇未公開或未明示等情形，資訊處理者就可能構成侵犯人格權益。

其次，“單獨同意”與“強迫同意無效”規則。《規定》第二條第三項指出，基於個人同意處理人臉資訊的，未徵得自然人或者其監護人的單獨同意，或者未按照法律、行政法規的規定徵得自然人或者其監護人的書面同意，人民法院應當認定屬於侵害自然人人格權益的行為。

今後，需呼叫人臉識別資訊的應用程式首次開啟這一功能時，不得將同意條款穿插在其他條款中，獲得“一攬子同意”，而應透過彈窗或其他專門頁面的形式僅對同意獲取人臉資訊的條款予以單獨展示。

若遇點選“不同意”APP就不允許使用的情形，即符合上述違法情形之一。即使資訊主體點選了“同意”，也不能視為人臉資訊處理者獲得了真正的同意和有效授權。《規定》第四條明確：“有下列情形之一，資訊處理者以已徵得自然人或者其監護人同意為由抗辯的，人民法院不予支援：資訊處理者要求自然人同意處理其人臉資訊才提供產品或者服務的，但是處理人臉資訊屬於提供產品或者服務所必需的除外；資訊處理者以與其他授權捆綁等方式要求自然人同意處理其人臉資訊的；強迫或者變相強迫自然人同意處理其人臉資訊的其他情形。”對於資訊處理者採取不當方式強迫或變相強迫自然人同意處理其人臉資訊的，應予禁止。

最後，“無期限限制、不可撤銷等格式條款無效”規則。《規定》第十一條指出：“資訊處理者採用格式條款與自然人訂立合同，要求自然人授予其無期限限制、不可撤銷、可任意轉授權等處理人臉資訊的權利，該自然人依據民法典第四百九十七條請求確認格式條款無效的，人民法院依法予以支援。”

要求資訊主體授予無期限限制、不可撤銷、可任意轉授權等處理人臉資訊的權利的條款，屬於民法典中規定的“提供格式條款一方不合理地免除或者減輕其責任、加重對方責任、限制對方主要權利”的情形，應屬無效。

濫用人臉識別技術要擔何責？

此外，資訊處理者濫用人臉識別技術可能構成人格權侵權責任、合同違約責任等。在侵權責任框架中，自然人受侵害的權益既包括個人資訊權益，也包括肖像權、隱私權、名譽權等人格權及財產權；在違約責任框架中，自然人可按照約定請求資訊處理者承擔相應違約責任，同時可要求資訊處理者刪除人臉資訊。

關於賠償的範圍，被侵權人可以向侵權人主張侵犯其人格權益導致的財產損失，還可主張對侵權行為進行調查、取證的合理費用，甚至可將合理的律師費用計算在賠償範圍內。

編輯 王雯淼

流程編輯 吳越