逐條解讀人臉識別司法解釋

逐條解讀人臉識別司法解釋（附關(guān)聯(lián)條文對照表）隨著信息技術(shù)迅速發(fā)展，人臉識別技術(shù)逐步滲透到人們生活的方方面面。在為社會生活帶來便利的同時，人臉識別技術(shù)所帶來的個人信息保護(hù)問題也日益突出。一些經(jīng)營者濫用人臉識別技術(shù)侵害自然人合法權(quán)益的事件頻發(fā)，引發(fā)社會公眾的普遍關(guān)注和擔(dān)憂。2021年7月28日上午，最高人民法院召開新聞發(fā)布會，發(fā)布《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》（以下簡稱《規(guī)定》）。最高人民法院出臺該規(guī)定對指導(dǎo)各級人民法院正確審理相關(guān)案件、統(tǒng)一裁判標(biāo)準(zhǔn)、維護(hù)法律統(tǒng)一正確實施、實現(xiàn)高質(zhì)量司法，具有重要的現(xiàn)實意義。《規(guī)定》制定宗旨為“保護(hù)當(dāng)事人合法權(quán)益，促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展。”在價值平衡上，主要處理好兩個方面：一是個人利益和公共利益的平衡，二是個人權(quán)益保護(hù)和數(shù)字經(jīng)濟(jì)發(fā)展的平衡，在規(guī)范信息處理活動的同時，兼顧促進(jìn)數(shù)字科技的發(fā)展。人臉信息屬于個人敏感信息，一旦泄露將對個人的人身和財產(chǎn)安全造成極大危害，甚至還可能威脅公共安全。人臉信息保護(hù)是一項綜合工程，需要從刑事、民事、行政等多個維度進(jìn)行綜合治理，《刑法》《民法典》《網(wǎng)絡(luò)安全法》《個人信息保護(hù)法（草案二次審議稿）》（以下簡稱《個保法（草案）》）《電子商務(wù)法》《消費(fèi)者權(quán)益保護(hù)法》《未成年人保護(hù)法》等多部法律綜合規(guī)制，政府、司法機(jī)關(guān)、行業(yè)協(xié)會等多部門協(xié)同發(fā)揮作用。《規(guī)定》主要從民事責(zé)任角度，規(guī)定了處理平等民事主體之間因使用人臉識別技術(shù)處理人臉信息所引發(fā)糾紛的裁判規(guī)則。為了和大家分享學(xué)習(xí)體會，本文對《規(guī)定》進(jìn)行逐條解讀。解讀僅代表個人觀點(diǎn)。條文解讀

第一條【適用范圍】因信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定使用人臉識別技術(shù)處理人臉信息、處理基于人臉識別技術(shù)生成的人臉信息所引起的民事案件，適用本規(guī)定。人臉信息的處理包括人臉信息的收集、存儲、使用、加工、傳輸、提供、公開等。本規(guī)定所稱人臉信息屬于民法典第一千零三十四條規(guī)定的“生物識別信息”?！窘庾x】本條明確了《規(guī)定》適用范圍。1.《規(guī)定》適用于平等民事主體之間因使用人臉識別技術(shù)處理人臉信息所引起的相關(guān)民事糾紛。2.信息處理者使用人臉識別技術(shù)處理人臉信息，或者雖然沒有使用人臉識別技術(shù)但是處理基于人臉識別技術(shù)生成的人臉信息，均屬于《規(guī)定》的適用范圍。3.涉及的責(zé)任承擔(dān)既包括侵權(quán)責(zé)任，也包括違約責(zé)任，受侵害的權(quán)益既包括個人信息權(quán)益，也包括肖像權(quán)、隱私權(quán)、名譽(yù)權(quán)等人格權(quán)以及財產(chǎn)權(quán)。自然人可以要求信息處理者承擔(dān)違約責(zé)任或者侵權(quán)責(zé)任。在發(fā)生責(zé)任競合時，自然人可以選擇提起違約之訴或者侵權(quán)之訴。但應(yīng)當(dāng)注意到，違約責(zé)任和侵權(quán)責(zé)任在構(gòu)成要件、舉證責(zé)任上存在差異。通說認(rèn)為，違約責(zé)任是無過錯責(zé)任，其構(gòu)成要件為違約行為、損害后果和因果關(guān)系。侵權(quán)責(zé)任構(gòu)成要件為過錯、侵權(quán)行為、因果關(guān)系和損害結(jié)果。4.本條第二款根據(jù)《民法典》第一千零三十五條第二款關(guān)于個人信息處理方式的規(guī)定，明確人臉信息的處理包括人臉信息的收集、存儲、使用、加工、傳輸、提供、公開等。5.本條第三款明確人臉信息屬于“生物識別信息”。6.關(guān)于適用場景問題。最高人民法院在《規(guī)定》的新聞發(fā)布會上明確，《規(guī)定》不僅適用于線上應(yīng)用，對于線下場景也同樣適用。7.《規(guī)定》作為審理個人信息民事糾紛案件的第一部司法解釋，不僅對審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件提供了依據(jù)，同時對處理其他個人信息相關(guān)案件具有重要參考意義。第二條【侵權(quán)認(rèn)定】信息處理者處理人臉信息有下列情形之一的，人民法院應(yīng)當(dāng)認(rèn)定屬于侵害自然人人格權(quán)益的行為：（一）在賓館、商場、銀行、車站、機(jī)場、體育場館、娛樂場所等經(jīng)營場所、公共場所違反法律、行政法規(guī)的規(guī)定使用人臉識別技術(shù)進(jìn)行人臉驗證、辨識或者分析；（二）未公開處理人臉信息的規(guī)則或者未明示處理的目的、方式、范圍；（三）基于個人同意處理人臉信息的，未征得自然人或者其監(jiān)護(hù)人的單獨(dú)同意，或者未按照法律、行政法規(guī)的規(guī)定征得自然人或者其監(jiān)護(hù)人的書面同意；（四）違反信息處理者明示或者雙方約定的處理人臉信息的目的、方式、范圍等；（五）未采取應(yīng)有的技術(shù)措施或者其他必要措施確保其收集、存儲的人臉信息安全，致使人臉信息泄露、篡改、丟失；（六）違反法律、行政法規(guī)的規(guī)定或者雙方的約定，向他人提供人臉信息；（七）違背公序良俗處理人臉信息；（八）違反合法、正當(dāng)、必要原則處理人臉信息的其他情形。

【解讀】本條規(guī)定了信息處理者處理人臉信息侵害自然人人格權(quán)益行為的認(rèn)定標(biāo)準(zhǔn)。1.《民法典》第一千零三十五條第一款從正面規(guī)定了處理個人信息的原則和條件，即應(yīng)遵循“合法、正當(dāng)、必要原則”，并構(gòu)建了以“告知—同意”為核心的處理個人信息的行為規(guī)范。人臉信息作為自然人生物識別信息，屬于敏感信息，告知-同意規(guī)則要求：（1）信息處理者應(yīng)當(dāng)向個人告知處理敏感個人信息的必要性以及對個人的影響。（2）信息處理者應(yīng)當(dāng)取得個人或其監(jiān)護(hù)人（以下統(tǒng)稱個人）的單獨(dú)同意。法律、行政法規(guī)規(guī)定處理敏感個人信息應(yīng)當(dāng)取得書面同意的，從其規(guī)定。所謂單獨(dú)同意，是指信息處理者在征得個人同意時，必須就人臉信息處理活動單獨(dú)取得個人的同意，而非通過一攬子告知同意等方式征得個人同意。（3）法律、行政法規(guī)對處理敏感個人信息規(guī)定應(yīng)當(dāng)取得相關(guān)行政許可或者作出其他限制的，從其規(guī)定。（《個保法（草案）》第二十七條、第三十條、第三十一條、第三十二條）本條主要從反面以“例示+兜底”的方式，規(guī)定處理人臉信息不符合上述原則和條件，侵害自然人人格權(quán)益的具體情形。2.第一項是特定場所使用人臉識別技術(shù)是否構(gòu)成侵權(quán)的認(rèn)定標(biāo)準(zhǔn)，判斷的依據(jù)是行為是否具有合法性，即使用人臉識別技術(shù)是否有法律、行政法規(guī)上的依據(jù)。對于適格行為主體的認(rèn)定，可參考《民法典》第一千一百九十八條關(guān)于安全保障義務(wù)人的規(guī)定，即指特定場所的經(jīng)營者、管理者。該項解釋主要是規(guī)制特定場所濫用人臉識別技術(shù)處理人臉信息的突出問題。如，線下商店安裝人臉識別攝像頭，在顧客不知情的情況下，采集顧客人臉信息，并以獲取的海量人臉信息建立顧客檔案，用于分析顧客的行動軌跡、判斷顧客的消費(fèi)能力。第二項是人臉識別技術(shù)使用者未履行告知義務(wù)情形下構(gòu)成侵權(quán)的認(rèn)定標(biāo)準(zhǔn)。根據(jù)《民法典》第一千零三十五條第一款第二、三項規(guī)定，處理人臉信息應(yīng)當(dāng)公開、透明。公開透明原則是指信息處理者在處理個人信息時應(yīng)當(dāng)公開處理信息的規(guī)則，并明示處理信息的目的、方式和范圍，確保信息主體享有知情權(quán)。公開透明原則是信息主體知情同意的保障，只有讓信息主體充分知悉和了解處理個人信息的規(guī)則、目的、方式和范圍，了解個人信息被處理的后果和可能的影響，才可以確保信息主體的意思判斷是自主、真實和合理的。[1]另外，公開透明原則也要求信息處理者的“公開”應(yīng)采取通俗易懂、簡潔明了的語言，確保信息主體充分的知悉和了解。第三項是未征得個人同意處理人臉信息是否構(gòu)成侵權(quán)的認(rèn)定標(biāo)準(zhǔn)。《民法典》第一千零三十五條第一款第一項是對信息主體知情同意的基本規(guī)定。本項在此基礎(chǔ)上進(jìn)一步規(guī)定，處理人臉信息需要征得自然人或其監(jiān)護(hù)人的單獨(dú)同意，在法律、行政法規(guī)有規(guī)定時，需征得書面同意。單獨(dú)同意和書面同意的要求與《個保法（草案）》保持一致。處理個人信息應(yīng)當(dāng)遵守合法性原則，合法性的依據(jù)主要來源于兩個方面：一是法律法規(guī)的明確規(guī)定；二是信息主體的同意。本條規(guī)定了處理人臉信息的單獨(dú)同意和書面同意規(guī)則。同時，《民法典》第一千零三十五條第一款第一項規(guī)定了除外情形，即在法律、行政法規(guī)另有規(guī)定的情況下，無需征得個人單獨(dú)同意即可處理人臉信息。這是指無需取得信息主體同意即可處理個人信息的例外情形，但這些例外必須由法律、行政法規(guī)作出明確規(guī)定，例如《民法典》第一千零三十六條規(guī)定的免責(zé)情形和《個保法（草案）》第十三條第一款第二項至第七項規(guī)定的無需征得個人同意的情形。第四項是人臉信息處理者違反明示或者約定義務(wù)情形下構(gòu)成侵權(quán)的認(rèn)定標(biāo)準(zhǔn)。根據(jù)《民法典》第一千零三十五條第一款第四項，處理人臉信息應(yīng)當(dāng)符合法律、行政法規(guī)的規(guī)定和雙方的約定。知情同意是處理個人信息的前提條件，當(dāng)事人的約定是信息處理者處理個人信息的范圍和界限，信息處理者違反雙方約定的目的、方式和范圍處理個人信息的行為，不僅是違約行為，同時也是侵犯信息主體個人權(quán)益的侵權(quán)行為。

第五項是信息處理者未履行人臉信息安全保護(hù)義務(wù)情形下構(gòu)成侵權(quán)的認(rèn)定標(biāo)準(zhǔn)。實踐中，因為信息處理者未履行對個人信息的安全保護(hù)義務(wù)，導(dǎo)致個人信息泄漏的事件時有發(fā)生。根據(jù)《民法典》第一千零三十八條第二款規(guī)定，人臉信息處理者應(yīng)履行安全保護(hù)義務(wù)，采取技術(shù)措施和其他必要措施確保其收集、存儲的個人信息安全。信息處理者未盡到安全保護(hù)義務(wù)應(yīng)承當(dāng)相應(yīng)的侵權(quán)責(zé)任。是否采取了技術(shù)措施和其他必要措施的認(rèn)定，在實踐中可以參照《信息安全技術(shù)個人信息安全規(guī)范》（GB/T35273-2020）第六條關(guān)于個人敏感信息的存儲要求，即采取加密、匿名化處理、分開存儲、僅存儲摘要信息、及時刪除等必要措施，確保個人信息安全。同時，在發(fā)生或可能發(fā)生個人信息泄漏、篡改、丟失的情況下，信息處理者應(yīng)當(dāng)及時采取補(bǔ)救措施，按照規(guī)定告知自然人并向有關(guān)主管部門報告。第六項是向他人提供人臉信息情形下構(gòu)成侵權(quán)的認(rèn)定標(biāo)準(zhǔn)。根據(jù)《民法典》第一千零三十八條第一款第一句，未經(jīng)自然人同意不得向他人非法提供其個人信息。這是對信息處理者“不得非法向他人提供”的要求?！斑`反法律、行政法規(guī)規(guī)定或者雙方的約定向他人提供人臉信息”主要是指人臉信息數(shù)據(jù)的技術(shù)處理、轉(zhuǎn)讓，以及第三方接入。[2]“向他人提供”屬于《規(guī)定》第一條中明確的“處理”行為，向他人提供人臉信息需要征得自然人的單獨(dú)同意。即便征得了自然人同意向他人提供人臉信息，信息處理者仍要履行其處理個人信息的其他義務(wù)，比如告知義務(wù)、安全保護(hù)義務(wù)等。第七項是對《民法典》第八條規(guī)定的回應(yīng)。第八條將公序良俗確定為民法的基本原則，人臉信息技術(shù)應(yīng)用主體亦應(yīng)遵循。實踐中違反公序良俗濫用人臉信息技術(shù)的，因其行為違反民法的基本原則具有非法性。第八項是兜底條款。合法、正當(dāng)、必要，是認(rèn)定人臉信息技術(shù)使用行為違法的基本原則。同時，隨著信息科技的發(fā)展，人臉信息應(yīng)用的場景將越來越廣泛、豐富，對于法律和《規(guī)定》未予明確的人臉識別技術(shù)使用情形是否構(gòu)成侵權(quán)，應(yīng)以合法、正當(dāng)、必要原則進(jìn)行衡量。即，合法、正當(dāng)、必要原則是法無明文規(guī)定情形下認(rèn)定人臉信息使用行為是否構(gòu)成侵權(quán)的原則性標(biāo)準(zhǔn)。第三條【侵權(quán)民事責(zé)任】人民法院認(rèn)定信息處理者承擔(dān)侵害自然人人格權(quán)益的民事責(zé)任，應(yīng)當(dāng)適用民法典第九百九十八條的規(guī)定，并結(jié)合案件具體情況綜合考量受害人是否為未成年人、告知同意情況以及信息處理的必要程度等因素。

【解讀】本條主要規(guī)定認(rèn)定人臉信息處理者承擔(dān)民事責(zé)任時的考量因素。1.《民法典》第九百九十八條體現(xiàn)了不同類型人格權(quán)的民事責(zé)任認(rèn)定的體系化規(guī)范。在人格權(quán)中，生命權(quán)、身體權(quán)、健康權(quán)等物質(zhì)性人格權(quán)益處于基礎(chǔ)性地位。肖像權(quán)、隱私權(quán)、個人信息等精神性人格權(quán)，與之相比，權(quán)利位階較低，并且精神性人格權(quán)往往與公共利益和其他價值產(chǎn)生沖突，比如個人信息與公共安全，肖像權(quán)、名譽(yù)權(quán)與言論自由等。由此，民事責(zé)任的認(rèn)定上法律作了區(qū)分。對于物質(zhì)性人格權(quán)益損害采取填補(bǔ)原則，主要適用侵權(quán)責(zé)任編的損害賠償規(guī)定；對于精神性人格權(quán)益損害則采用動態(tài)系統(tǒng)論，適用第九百九十八條規(guī)定的不同考量因素，由法官在具體案件中進(jìn)行各因素間的互動綜合考量，以確定最終具體的責(zé)任承擔(dān)。2.本條針對使用人臉信息識別技術(shù)侵權(quán)的特點(diǎn)，細(xì)化了“受害人是否為未成年人”“告知同意情況”“信息處理的必要程度”三個考量因素。其中，結(jié)合當(dāng)前未成年人人臉信息保護(hù)現(xiàn)狀，堅持最有利于未成年人的原則，明確將“受害人是否未成年人”作為責(zé)任認(rèn)定特殊考量因素，這是對我國立法強(qiáng)化保護(hù)未成年人個人信息的司法回應(yīng)。為加強(qiáng)對濫用未成年人人臉信息亂象的治理，對于違法處理未成年人人臉信息的，在確定責(zé)任承擔(dān)時依法應(yīng)予從重，確保未成年人人臉信息得到特別保護(hù)。第四條【強(qiáng)迫同意無效】有下列情形之一，信息處理者以已征得自然人或者其監(jiān)護(hù)人同意為由抗辯的，人民法院不予支持：（一）信息處理者要求自然人同意處理其人臉信息才提供產(chǎn)品或者服務(wù)的，但是處理人臉信息屬于提供產(chǎn)品或者服務(wù)所必需的除外；（二）信息處理者以與其他授權(quán)捆綁等方式要求自然人同意處理其人臉信息的；（三）強(qiáng)迫或者變相強(qiáng)迫自然人同意處理其人臉信息的其他情形。

【解讀】本條規(guī)定了強(qiáng)迫同意無效原則，對處理人臉信息的有效同意采取從嚴(yán)認(rèn)定的司法態(tài)度。1.處理人臉信息的基本原則是“告知—同意”?；趥€人同意處理人臉信息的，個人單獨(dú)同意是信息處理活動的合法性基礎(chǔ)。同意應(yīng)當(dāng)遵循自愿原則。有效同意應(yīng)當(dāng)是在自然人充分知情的前提下自愿作出。由此要求：（1）自然人知情。信息處理者在取得自然人同意授權(quán)處理人臉信息時，應(yīng)當(dāng)以顯著方式、清晰易懂的語言向個人告知：1)個人信息處理者的身份和聯(lián)系方式；2)個人信息的處理目的、處理方式，處理的個人信息種類、保存期限等；3）告知處理敏感個人信息的必要性以及對個人的影響。（《個保法（草案）》第十八條、第三十一條）（2）自然人自愿。民法上的自愿原則要求民事主體按照自己的意思設(shè)立、變更、終止民事法律關(guān)系，不受他人非法干涉。具體到處理人臉信息的“同意”，要求自然人按照自己的真實意思作出同意，信息處理者不得強(qiáng)迫或變相強(qiáng)迫。2.本條對于實踐中多發(fā)的信息處理者違反自愿原則獲取自然人同意處理其人臉信息的情形，如“與其他授權(quán)捆綁”“不點(diǎn)擊同意就不提供服務(wù)”等，認(rèn)為同意無效，不能成為信息處理者合法處理信息的抗辯。同時以第三項設(shè)立兜底條款，規(guī)定凡是強(qiáng)迫或者變相強(qiáng)迫獲取的自然人同意，均為無效。第五條【免責(zé)事由】有下列情形之一，信息處理者主張其不承擔(dān)民事責(zé)任的，人民法院依法予以支持：（一）為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財產(chǎn)安全所必需而處理人臉信息的；（二）為維護(hù)公共安全，依據(jù)國家有關(guān)規(guī)定在公共場所使用人臉識別技術(shù)的；（三）為公共利益實施新聞報道、輿論監(jiān)督等行為在合理的范圍內(nèi)處理人臉信息的；（四）在自然人或者其監(jiān)護(hù)人同意的范圍內(nèi)合理處理人臉信息的；（五）符合法律、行政法規(guī)規(guī)定的其他情形。

【解讀】本條明確了處理人臉信息的免責(zé)事由。1.本條是對《民法典》第九百九十九條確立的合理使用規(guī)則的具體運(yùn)用，是對第一千零三十六條的細(xì)化，吸收了《個保法（草案）》的立法精神，合理平衡個人利益和公共利益。作為“知情—同意”的例外，信息處理者為了公共利益和個人權(quán)益保護(hù)，或者在法律法規(guī)有明確規(guī)定的情況下，處理人臉信息可以提出免責(zé)抗辯。免責(zé)事由分為兩類，一是合理使用抗辯（本條第一、二、三項），即信息處理者可主張其處理人臉信息的行為屬于合理使用范圍；二是合法使用抗辯（本條第四、五項），即信息處理者可主張其處理人臉信息的行為符合法律、行政法規(guī)的規(guī)定或者是在個人同意范圍內(nèi)實施。2.人臉信息屬于個人敏感信息，為防止信息處理者濫用免責(zé)事由，對于處理人臉信息的免責(zé)事由應(yīng)當(dāng)從嚴(yán)限定。在援引合理使用抗辯時，其行為應(yīng)當(dāng)符合比例原則，綜合衡量處理個人信息行為的妥當(dāng)性、必要性和均衡性；在援引合法使用抗辯時，其行為應(yīng)當(dāng)符合法律法規(guī)的明確規(guī)定或自然人明確同意的范圍，綜合衡量行為的合法性、合約性。本條第一項是對《民法典》第一千零三十六條第三項“公共利益和該自然人合法利益”的細(xì)化，免責(zé)情形限于：（1）目的是為了應(yīng)對突發(fā)公共衛(wèi)生和緊急情況下為保護(hù)自然人的生命健康和財產(chǎn)安全情形；（2）人臉信息處理應(yīng)當(dāng)是為了實現(xiàn)上述目的所必需，且（3）應(yīng)限于實現(xiàn)上述目的最小范圍內(nèi)，不能借此肆意收集、過度處理自然人的人臉信息。本條第二項明確了在公共場所使用人臉識別技術(shù)的限度，應(yīng)限于：維護(hù)公共安全且符合國家有關(guān)規(guī)定，此處規(guī)定并不限于法律、行政法規(guī)范圍，也包括規(guī)章等。本條第三項援用《民法典》第九百九十九條規(guī)定，允許為了公共利益實施新聞報道、輿論監(jiān)督等行為在合理的范圍內(nèi)處理人臉信息。本條第四項與《民法典》第一千零三十六條第一項規(guī)定保持一致。在自然人知情同意的情況下，在其同意范圍內(nèi)處理人臉信息的行為具有合法性，不構(gòu)成侵權(quán)。本條第五項為法律依據(jù)抗辯。依據(jù)法律和行政法規(guī)規(guī)定處理自然人人臉信息的，行為具有合法性，不構(gòu)成侵權(quán)。此免責(zé)事由應(yīng)限定于法律和行政法規(guī)規(guī)定的框架之內(nèi)。3.關(guān)于“自然人公開的人臉信息”可否作為信息處理者的免責(zé)事由。根據(jù)《民法典》第一千零三十六條第二項規(guī)定，合理處理自然人自行公開的或者其他已經(jīng)合法公開的信息，是行為人的免責(zé)事由。但是考慮到人臉信息對個人權(quán)益影響重大，對于自然人自行公開的人臉信息，仍應(yīng)當(dāng)予以保護(hù)，信息處理者未經(jīng)自然人授權(quán)同意處理人臉信息的，應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。4.應(yīng)當(dāng)注意的是，即便存在免責(zé)事由，信息處理者仍應(yīng)當(dāng)在必要、合理的范圍內(nèi)處理人臉信息并履行相關(guān)義務(wù)，比如安全保護(hù)義務(wù)等。處理人臉信息不合理，侵害自然人權(quán)益的，仍應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。

第六條【舉證責(zé)任】當(dāng)事人請求信息處理者承擔(dān)民事責(zé)任的，人民法院應(yīng)當(dāng)依據(jù)民事訴訟法第六十四條及《最高人民法院關(guān)于適用〈中華人民共和國民事訴訟法〉的解釋》第九十條、第九十一條，《最高人民法院關(guān)于民事訴訟證據(jù)的若干規(guī)定》的相關(guān)規(guī)定確定雙方當(dāng)事人的舉證責(zé)任。信息處理者主張其行為符合民法典第一千零三十五條第一款規(guī)定情形的，應(yīng)當(dāng)就此所依據(jù)的事實承擔(dān)舉證責(zé)任。信息處理者主張其不承擔(dān)民事責(zé)任的，應(yīng)當(dāng)就其行為符合本規(guī)定第五條規(guī)定的情形承擔(dān)舉證責(zé)任。

【解讀】本條規(guī)定了雙方舉證責(zé)任的分配。1.目前對個人信息侵權(quán)行為屬于過錯責(zé)任原則還是過錯推定責(zé)任原則，法律并無明確規(guī)定。[3]如認(rèn)為信息處理者處理人臉信息侵害自然人人格和財產(chǎn)權(quán)益屬于過錯責(zé)任，則根據(jù)“誰主張、誰舉證”的原則，在過錯侵權(quán)中一般由被侵權(quán)人證明行為人存在侵權(quán)行為、損害結(jié)果、因果關(guān)系和主觀過錯，行為人證明侵權(quán)不成立或者行為存在免責(zé)事由。本條依據(jù)現(xiàn)行舉證責(zé)任的法律適用規(guī)則，根據(jù)《民法典》第一千零三十五條、第一千零三十六條等規(guī)定，充分考慮雙方當(dāng)事人的經(jīng)濟(jì)實力不對等、專業(yè)信息不對稱等因素，在舉證責(zé)任分配上課以信息處理者更多的舉證責(zé)任，適用舉證責(zé)任倒置規(guī)則，由信息處理者證明其行為符合《民法典》第一千零三十五條的規(guī)定，證明其行為具有合法性。2.主觀過錯要件的認(rèn)定一般采取客觀化標(biāo)準(zhǔn)。法律、行政法規(guī)等對信息處理者處理個人信息行為規(guī)定了明確的條件，如信息處理者未按照法律、行政法規(guī)和雙方約定處理人臉信息，即可認(rèn)為信息處理者主觀存在過錯。根據(jù)該條舉證責(zé)任分配情況，實際上是基于損害事實，推定信息處理者行為存在過錯并對其自身沒有過錯承擔(dān)舉證責(zé)任。在一定程度上，可認(rèn)為《規(guī)定》明確了侵犯個人人臉信息行為的侵權(quán)責(zé)任適用過錯推定原則。但該規(guī)則是否可以類推適用其他侵害個人敏感信息行為，仍有討論的空間。3.在證明標(biāo)準(zhǔn)上《規(guī)定》并未作出明確規(guī)定。因此，證明標(biāo)準(zhǔn)應(yīng)適用《最高人民法院關(guān)于適用〈中華人民共和國民事訴訟法〉的解釋》（以下簡稱《民事訴訟法解釋》）第一百零八條確立的“高度蓋然性”標(biāo)準(zhǔn)。

第七條【共同侵權(quán)】多個信息處理者處理人臉信息侵害自然人人格權(quán)益，該自然人主張多個信息處理者按照過錯程度和造成損害結(jié)果的大小承擔(dān)侵權(quán)責(zé)任的，人民法院依法予以支持；符合民法典第一千一百六十八條、第一千一百六十九條第一款、第一千一百七十條、第一千一百七十一條等規(guī)定的相應(yīng)情形，該自然人主張多個信息處理者承擔(dān)連帶責(zé)任的，人民法院依法予以支持。信息處理者利用網(wǎng)絡(luò)服務(wù)處理人臉信息侵害自然人人格權(quán)益的，適用民法典第一千一百九十五條、第一千一百九十六條、第一千一百九十七條等規(guī)定。

【解讀】本條規(guī)定了多個信息處理者侵權(quán)責(zé)任的承擔(dān)。1.人臉信息處理涉及收集、存儲、使用、加工、傳輸、提供、公開等多個環(huán)節(jié)、多個信息處理者。當(dāng)人臉信息泄漏時，可能存在多個侵權(quán)者，存在多因一果或者多因多果，如何認(rèn)定各個信息處理者之間的責(zé)任，存在事實認(rèn)定和責(zé)任認(rèn)定上的難點(diǎn)。2.本條第一款規(guī)定了多個信息處理者處理人臉信息發(fā)生損害時，適用《民法典》關(guān)于共同侵權(quán)的相關(guān)規(guī)定予以處理。具體包括：（1）共同加害行為。二人以上共同實施侵權(quán)行為，造成他人損害的，承擔(dān)連帶責(zé)任。此處共同包括共同故意、共同過失、故意和過失的結(jié)合。（2）共同危險行為。二人以上實施危及他人人身、財產(chǎn)安全的行為，其中一人或者數(shù)人的行為造成他人損害，能夠確定具體侵權(quán)人的，由侵權(quán)人承擔(dān)責(zé)任；不能確定具體侵權(quán)人的，行為人承擔(dān)連帶責(zé)任。（3）無意思聯(lián)絡(luò)數(shù)人侵權(quán)。二人以上分別實施侵權(quán)行為造成同一損害，每個人的侵權(quán)行為都足以造成全部損害的，行為人承擔(dān)連帶責(zé)任。二人以上分別實施侵權(quán)行為造成同一損害，能夠確定責(zé)任大小的，各自承擔(dān)相應(yīng)的責(zé)任；難以確定責(zé)任大小的，平均承擔(dān)責(zé)任。3.本條第二款規(guī)定了信息處理者利用網(wǎng)絡(luò)服務(wù)處理人臉信息時應(yīng)適用《民法典》關(guān)于網(wǎng)絡(luò)侵權(quán)的一般規(guī)則，包括通知-刪除規(guī)則（避風(fēng)港規(guī)則）（第一千一百九十五條）、反通知規(guī)則（第一千一百九十六條）、紅旗規(guī)則（第一千一百九十七條）。具體包括：（1）通知—刪除規(guī)則。網(wǎng)絡(luò)用戶利用網(wǎng)絡(luò)服務(wù)實施侵權(quán)行為的，權(quán)利人有權(quán)通知網(wǎng)絡(luò)服務(wù)提供者采取刪除、屏蔽、斷開鏈接等必要措施。網(wǎng)絡(luò)服務(wù)提供者接到通知后，應(yīng)當(dāng)及時將該通知轉(zhuǎn)送相關(guān)網(wǎng)絡(luò)用戶，并根據(jù)構(gòu)成侵權(quán)的初步證據(jù)和服務(wù)類型采取必要措施，未及時采取必要措施的，對損害的擴(kuò)大部分與該網(wǎng)絡(luò)用戶承擔(dān)連帶責(zé)任。（2）反通知規(guī)則。網(wǎng)絡(luò)用戶接到轉(zhuǎn)送通知后，可以向網(wǎng)絡(luò)服務(wù)提供者提交不存在侵權(quán)行為的聲明。網(wǎng)絡(luò)服務(wù)提供者接到聲明后，應(yīng)當(dāng)將該聲明轉(zhuǎn)送發(fā)出通知的權(quán)利人，并告知其可以向有關(guān)部門投訴或者向人民法院提起訴訟。網(wǎng)絡(luò)服務(wù)提供者在轉(zhuǎn)送聲明到達(dá)權(quán)利人后的合理期限內(nèi)，未收到權(quán)利人已經(jīng)投訴或者提起訴訟通知的，應(yīng)當(dāng)及時終止所采取的措施。（3）紅旗規(guī)則。網(wǎng)絡(luò)服務(wù)提供者知道或者應(yīng)當(dāng)知道網(wǎng)絡(luò)用戶利用其網(wǎng)絡(luò)服務(wù)侵害他人民事權(quán)益，未采取必要措施的，與該網(wǎng)絡(luò)用戶承擔(dān)連帶責(zé)任。

第八條【財產(chǎn)損害賠償】信息處理者處理人臉信息侵害自然人人格權(quán)益造成財產(chǎn)損失，該自然人依據(jù)民法典第一千一百八十二條主張財產(chǎn)損害賠償?shù)?，人民法院依法予以支持。自然人為制止侵?quán)行為所支付的合理開支，可以認(rèn)定為民法典第一千一百八十二條規(guī)定的財產(chǎn)損失。合理開支包括該自然人或者委托代理人對侵權(quán)行為進(jìn)行調(diào)查、取證的合理費(fèi)用。人民法院根據(jù)當(dāng)事人的請求和具體案情，可以將合理的律師費(fèi)用計算在賠償范圍內(nèi)。

【解讀】本條規(guī)定了自然人因人臉信息受到侵害導(dǎo)致財產(chǎn)損失時的損害賠償請求權(quán)及財產(chǎn)損失范圍的界定標(biāo)準(zhǔn)。1.自然人因人臉信息受到侵害導(dǎo)致財產(chǎn)損失時的，除可以依據(jù)《民法典》第九百九十五條關(guān)于人格權(quán)請求權(quán)的規(guī)定要求信息處理者承擔(dān)停止侵害、排除妨礙、消除危險、消除影響、恢復(fù)名譽(yù)、賠禮道歉等民事責(zé)任外，還可依據(jù)《民法典》第一千一百八十二條主張財產(chǎn)損害賠償。2.財產(chǎn)損失的認(rèn)定依據(jù)為《民法典》第一千一百八十二條，按照被侵權(quán)人受到的損失或者侵權(quán)人因此獲得的利益進(jìn)行確定。同時，考慮到此類侵權(quán)的專業(yè)性強(qiáng)、自然人維權(quán)成本高，為了更好地保護(hù)自然人的個人信息權(quán)益，本條第二款將自然人為了維權(quán)所支出的合理費(fèi)用，包括調(diào)查取證費(fèi)用、合理的律師費(fèi)用計入賠償范圍。3.此處的財產(chǎn)損失既包括直接損失，也包括間接損失。比如實踐中因人臉信息被泄漏后，被他人盜用導(dǎo)致個人財產(chǎn)損失；人臉信息被非法交易后，個人維權(quán)所產(chǎn)生的財產(chǎn)支出。無論是直接損失還是間接損失，都需要由被侵權(quán)人證明侵權(quán)行為和損失之間存在因果關(guān)系，即被侵權(quán)人需要證明責(zé)任成立的因果關(guān)系和責(zé)任范圍的因果關(guān)系。4.實踐中，被侵權(quán)人往往難以證明財產(chǎn)損失，或者侵權(quán)人所獲的的利益難以認(rèn)定，此時人民法院應(yīng)根據(jù)實際情況確定賠償數(shù)額，具體可以參照《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》（以下簡稱《網(wǎng)絡(luò)信息規(guī)定》）第十二條第二款規(guī)定，根據(jù)具體案情在50萬元以下的范圍內(nèi)確定賠償數(shù)額。5.關(guān)于精神損害賠償，《規(guī)定》并未明確。依據(jù)《民法典》第一千一百八十三條，人臉信息作為人格權(quán)益的一種，自然人因人臉信息受到侵害而造成嚴(yán)重精神損害時，應(yīng)當(dāng)有權(quán)請求精神損害賠償。同時，根據(jù)《民法典》第九百九十六條規(guī)定，被侵權(quán)人提起違約之訴，要求信息處理者承擔(dān)違約責(zé)任的，不影響其同時請求精神損害賠償。

第九條【人格權(quán)侵害禁令】自然人有證據(jù)證明信息處理者使用人臉識別技術(shù)正在實施或者即將實施侵害其隱私權(quán)或者其他人格權(quán)益的行為，不及時制止將使其合法權(quán)益受到難以彌補(bǔ)的損害，向人民法院申請采取責(zé)令信息處理者停止有關(guān)行為的措施的，人民法院可以根據(jù)案件具體情況依法作出人格權(quán)侵害禁令。

【解讀】本條是關(guān)于人格權(quán)侵害禁令的適用。1.本條的依據(jù)是《民法典》第九百九十七條?！睹穹ǖ洹肥状我?guī)定了人格權(quán)侵害禁令制度，因為人格權(quán)益一旦遭到侵害，特別是在網(wǎng)絡(luò)時代，極易造成不可控、不可逆的損害，人格權(quán)侵害禁令制度可以預(yù)防侵權(quán)或及時制止侵權(quán)，有助于加強(qiáng)對人格權(quán)益的保護(hù)?！兑?guī)定》進(jìn)一步明確對使用人臉識別技術(shù)正在實施或者即將實施侵害他人人格權(quán)益的行為適用人格權(quán)侵害禁令制度，彰顯了司法對人臉信息施以最完善保護(hù)的態(tài)度。2.人格權(quán)侵害禁令在此種場合的適用需滿足以下條件：（1）信息處理者使用人臉識別技術(shù)正在實施或者即將實施侵害其隱私權(quán)或者其他人格權(quán)益的行為；（2）不及時制止將使自然人的合法權(quán)益造成難以彌補(bǔ)的損害，即是否具有緊迫性；（3）自然人有初步證據(jù)證明信息處理者正在實施或者即將實施侵害其隱私權(quán)或則其他人格權(quán)益的行為；（4）自然人向人民法院提出申請。參考北京市首例“人格權(quán)禁令案”[4]，申請人需要提供：（1）申請人的身份證明；（2）申請人的人格權(quán)益存在被侵害的初步證據(jù)，包括行為人未經(jīng)同意收集其個人人臉信息，違反約定處理個人人臉信息等；（3）行為人即將實施侵權(quán)行為或者其侵權(quán)行為仍處于持續(xù)狀態(tài)。[5]3.證明標(biāo)準(zhǔn)。依據(jù)本條規(guī)定，自然人需有證據(jù)證明信息處理者使用人臉識別技術(shù)正在實施或者即將實施侵害其隱私權(quán)或者其他人格權(quán)益的行為。但自然人需要證明到何種程度，采取何種證明標(biāo)準(zhǔn)，本條并未明確?？紤]到此種情況較為緊急，如對申請人苛以較重證明負(fù)擔(dān)，不利于制度作用的發(fā)揮。王利明教授認(rèn)為，此處證明標(biāo)準(zhǔn)應(yīng)當(dāng)采納“蓋然性”標(biāo)準(zhǔn)，即只要當(dāng)事人證明他人行為可能造成損害或有損害之虞，就應(yīng)當(dāng)認(rèn)定達(dá)到了相應(yīng)的證明標(biāo)準(zhǔn)，并不要求必須達(dá)到本案訴訟的證明標(biāo)準(zhǔn)，即《最高人民法院關(guān)于適用<中華人民共和國民事訴訟法>的解釋》(以下簡稱《民事訴訟法司法解釋》)第一百零八條規(guī)定的“高度蓋然性”標(biāo)準(zhǔn)。[6]如在北京市“首例人格權(quán)禁令案”中，法院經(jīng)審查認(rèn)為，申請人提交的“優(yōu)勢證據(jù)”證明了行為人正在實施侵犯申請人名譽(yù)權(quán)的行為，故支持當(dāng)事人請求。法院在審查時，需綜合考慮個人權(quán)益受損害的程度和緊迫性，依據(jù)利益衡量原則，合理平衡各方當(dāng)事人利益，既要維護(hù)自然人的信息權(quán)益，又要保障信息處理者正當(dāng)?shù)男畔⑻幚砝?。[7]第十條【人臉識別出入驗證】物業(yè)服務(wù)企業(yè)或者其他建筑物管理人以人臉識別作為業(yè)主或者物業(yè)使用人出入物業(yè)服務(wù)區(qū)域的唯一驗證方式，不同意的業(yè)主或者物業(yè)使用人請求其提供其他合理驗證方式的，人民法院依法予以支持。物業(yè)服務(wù)企業(yè)或者其他建筑物管理人存在本規(guī)定第二條規(guī)定的情形，當(dāng)事人請求物業(yè)服務(wù)企業(yè)或者其他建筑物管理人承擔(dān)侵權(quán)責(zé)任的，人民法院依法予以支持。

【解讀】本條對于物業(yè)服務(wù)企業(yè)或者其他建筑物管理人使用“人臉識別門禁”技術(shù)予以規(guī)制。人臉識別門禁系統(tǒng)進(jìn)入小區(qū)漸成趨勢，有的甚至將人臉識別作為唯一的出入小區(qū)驗證方式，引發(fā)了業(yè)主對人臉信息泄漏的擔(dān)憂，以致因抗拒“刷臉”與物業(yè)服務(wù)企業(yè)產(chǎn)生激烈沖突。社會上嚴(yán)禁物業(yè)強(qiáng)迫業(yè)主使用人臉識別門禁的呼聲日高?！逗贾菔形飿I(yè)管理條例》作為全國首個禁止物業(yè)強(qiáng)制進(jìn)行人臉識別的地方條例，明確規(guī)定物業(yè)服務(wù)人不得強(qiáng)制業(yè)主、非業(yè)主使用人通過提供人臉、指紋等生物信息方式進(jìn)入物業(yè)管理區(qū)域或者使用共有部分，不得泄露個人信息、強(qiáng)制購買其提供或者指定的商品或者服務(wù)以及其他侵害業(yè)主、非業(yè)主使用人的人身、財產(chǎn)權(quán)利的行為。此次，《規(guī)定》以專門的條款明確物業(yè)使用人臉識別門禁的規(guī)則，是司法關(guān)注民生，積極參與社會治理的體現(xiàn)。1.在物業(yè)管理便利性、效率性需求和業(yè)主人臉信息權(quán)益的沖突上，應(yīng)嚴(yán)格以“告知-同意”作為劃分權(quán)利邊界的規(guī)則。物業(yè)服務(wù)企業(yè)充分的告知和業(yè)主的自愿同意，是物業(yè)服務(wù)企業(yè)或其他建筑物管理人使用“人臉識別”作為出入物業(yè)服務(wù)區(qū)域驗證方式的合法性基礎(chǔ)。小區(qū)物業(yè)對人臉信息的采集和使用必須依法征得業(yè)主和物業(yè)使用人的同意。對于不同意的業(yè)主和物業(yè)使用人應(yīng)當(dāng)提供其他合理驗證方式。2.如小區(qū)物業(yè)未征得業(yè)主和物業(yè)使用人同意，存在擅自使用人臉識別技術(shù)收集人臉信息，泄漏業(yè)主和物業(yè)使用人人臉信息等符合《規(guī)定》第二條規(guī)定的情形，業(yè)主和物業(yè)使用人可以要求物業(yè)服務(wù)企業(yè)承擔(dān)民事責(zé)任，包括損害賠償、刪除人臉信息、提供其他合理驗證方式等。

第十一條【格式條款效力】信息處理者采用格式條款與自然人訂立合同，要求自然人授予其無期限限制、不可撤銷、可任意轉(zhuǎn)授權(quán)等處理人臉信息的權(quán)利，該自然人依據(jù)民法典第四百九十七條請求確認(rèn)格式條款無效的，人民法院依法予以支持。

【解讀】本條規(guī)定了處理人臉信息授權(quán)的格式條款效力。立法規(guī)制格式條款的基本價值在于維護(hù)當(dāng)事人之間的公平?！睹穹ǖ洹返谒陌倬攀鶙l、第四百九十七條和第四百九十八條分別規(guī)定了格式條款的訂立規(guī)則、無效情形、解釋規(guī)則。本條主要細(xì)化了處理人臉信息授權(quán)的格式條款無效的情形，針對信息處理者濫用格式條款，要求自然人無期限授權(quán)、不可撤銷授權(quán)、可任意轉(zhuǎn)授權(quán)等嚴(yán)重?fù)p害自然人權(quán)益的情形，規(guī)定為無效條款。1.《民法典》第四百九十七條規(guī)定了三種格式條款無效的情形：（1）具有《民法典》規(guī)定的民事法律行為無效的情形；（2）提供格式條款一方不合理地免除或者減輕其責(zé)任、加重對方責(zé)任、限制對方主要權(quán)利；（3）提供格式條款一方排除對方主要權(quán)利。實踐中，自然人相較于信息處理者處于弱勢地位，人臉信息事關(guān)個人重大人身利益，信息處理者利用格式條款要求自然人授權(quán)其無期限限制、不可撤銷、可任意轉(zhuǎn)授權(quán)對人臉信息進(jìn)行處理，相當(dāng)于要求自然人放棄人臉信息的相關(guān)權(quán)益，無限擴(kuò)張了信息處理者的免責(zé)事由，顯然屬于上述第二、三種情形，嚴(yán)重侵害了自然人合法權(quán)益，故本條明確規(guī)定上述三種格式條款無效。2.除上述三種無效情形外，信息處理者作為格式條款的提供者，當(dāng)合同具有民事法律行為無效情形、免責(zé)條款無效情形，或者信息處理者存在其他不合理地免除或減輕其責(zé)任、加重自然人責(zé)任、限制自然人主要權(quán)利及排除自然人主要權(quán)利的其他情形時，自然人可以請求確認(rèn)格式條款無效。3.在合同訂立階段，依據(jù)《民法典》第四百九十六條規(guī)定，作為格式條款提供者，信息處理者應(yīng)當(dāng)履行提示說明義務(wù)。即采取合理的方式提示自然人注意免除或者減輕其責(zé)任等與自然人有重大利害關(guān)系的條款，并按照自然人的要求，對該條款予以說明。信息處理者如未盡到提示或者說明義務(wù)，致使自然人沒有注意或者理解與其有重大利害關(guān)系的條款的，自然人可以主張該條款不成為合同內(nèi)容。4.根據(jù)《民法典》第四百九十八條規(guī)定，對格式條款的理解發(fā)生爭議的，應(yīng)當(dāng)按照通常理解予以解釋；對格式條款有兩種以上解釋的，應(yīng)當(dāng)作出不利于信息處理者一方的解釋；格式條款和非格式條款不一致的，應(yīng)當(dāng)采用非格式條款。

第十二條【違約責(zé)任】信息處理者違反約定處理自然人的人臉信息，該自然人請求其承擔(dān)違約責(zé)任的，人民法院依法予以支持。該自然人請求信息處理者承擔(dān)違約責(zé)任時，請求刪除人臉信息的，人民法院依法予以支持；信息處理者以雙方未對人臉信息的刪除作出約定為由抗辯的，人民法院不予支持。

【解讀】本條規(guī)定了信息處理者違約情況下自然人的救濟(jì)方式。本條明確在信息處理者違反約定處理自然人的人臉信息情況下，構(gòu)成請求權(quán)競合；無論自然人作出何種請求選擇，都要秉持謹(jǐn)慎處理和嚴(yán)格保護(hù)的司法理念。人臉信息權(quán)益具有絕對權(quán)屬性，立法多以強(qiáng)制性規(guī)范加以保護(hù)，不允許當(dāng)事人通過協(xié)議排除適用，協(xié)議中未明確約定的，應(yīng)依據(jù)法律的直接規(guī)定加以保護(hù)。因此在信息處理者責(zé)任方式的承擔(dān)上，要系統(tǒng)化考慮自然人的權(quán)利來源，做到全面保護(hù)。一方面，自然人的權(quán)利來源于合同的約定，自然人可以請求信息處理者履行相應(yīng)的給付義務(wù)，包括主給付義務(wù)、從給付義務(wù)和附隨義務(wù)，當(dāng)信息處理者未履行或未完全履行合同約定時，當(dāng)事人可以請求其承擔(dān)違約責(zé)任；另一方面，自然人的權(quán)利來源于法律的明確規(guī)定，法律明確規(guī)定了信息處理者應(yīng)當(dāng)承擔(dān)的法定義務(wù)和自然人享有的法定權(quán)利，比如根據(jù)《民法典》第一千零三十七條規(guī)定，自然人享有人臉信息的查閱、復(fù)制權(quán)和更正權(quán)、刪除權(quán)；根據(jù)《民法典》第一千零三十八條、第一千零三十九條規(guī)定，信息處理者負(fù)有對個人人臉信息的安全保護(hù)義務(wù)等，這些都可作為自然人訴請的請求權(quán)基礎(chǔ)。1.個人信息權(quán)益作為人身權(quán)具有絕對權(quán)的屬性，在信息處理者違反法律、行政法規(guī)或者雙方的約定時，比如未經(jīng)自然人同意收集個人信息、超出約定范圍處理個人信息等情形下，自然人有權(quán)要求信息處理者及時刪除。2.本條吸收了“人臉識別第一案”的司法經(jīng)驗[8]，明確了在違約之訴中，自然人也可主張行使刪除權(quán)，要求信息處理者刪除其人臉信息，該權(quán)利的行使不以雙方約定為前提。3.刪除權(quán)的適用條件。本條未對刪除權(quán)的適用條件作出具體規(guī)定，實踐中可參考《個保法（草案）》第四十七條的相關(guān)規(guī)定：有下列情形之一的，個人信息處理者應(yīng)當(dāng)主動刪除個人信息；個人信息處理者未刪除的，個人有權(quán)請求刪除：(一)處理目的已實現(xiàn)或者為實現(xiàn)處理目的不再必要；(二)個人信息處理者停止提供產(chǎn)品或者服務(wù)，或者保存期限已屆滿；(三)個人撤回同意；(四)個人信息處理者違反法律、行政法規(guī)或者違反約定處理個人信息；(五)法律、行政法規(guī)規(guī)定的其他情形。法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個人信息從技術(shù)上難以實現(xiàn)的，個人信息處理者應(yīng)當(dāng)停止除存儲和采取必要的安全保護(hù)措施之外的處理。

第十三條【合并審理】基于同一信息處理者處理人臉信息侵害自然人人格權(quán)益發(fā)生的糾紛，多個受害人分別向同一人民法院起訴的，經(jīng)當(dāng)事人同意，人民法院可以合并審理。

【解讀】本條規(guī)定了涉人臉識別技術(shù)人格權(quán)益糾紛案件合并審理的適用條件。1.人臉識別技術(shù)應(yīng)用的實踐中，往往是一個信息處理者對應(yīng)多個特定或不特定的自然人，在發(fā)生糾紛時，權(quán)利人眾多。在此情況下，合并審理可以高效解決同類案件，避免類案不同判，節(jié)省司法資源。2.《中華人民共和國民事訴訟法》（以下簡稱《民事訴訟法》）第五十二條規(guī)定，當(dāng)事人一方或者雙方為二人以上，其訴訟標(biāo)的是共同的，或者訴訟標(biāo)的是同一種類、經(jīng)當(dāng)事人同意的，法院可以合并審理。據(jù)此，涉人臉識別技術(shù)人格權(quán)益糾紛在符合下列條件時，經(jīng)當(dāng)事人同意，法院可以合并審理：（1）當(dāng)事人一方為同一信息處理者；（2）訴訟標(biāo)的是共同的或者為同一種類。3.由于涉人臉識別技術(shù)人格權(quán)益糾紛案件一般受損害方人數(shù)眾多，為方便自然人維權(quán)，適用代表人訴訟制度具有必要性和合理性[9]，可由當(dāng)事人一方推選訴訟代表人參加訴訟。訴訟代表人參加訴訟程序上適用《民事訴訟法》《民事訴訟法司法解釋》的相關(guān)規(guī)定。

第十四條【民事公益訴訟】信息處理者處理人臉信息的行為符合民事訴訟法第五十五條、消費(fèi)者權(quán)益保護(hù)法第四十七條或者其他法律關(guān)于民事公益訴訟的相關(guān)規(guī)定，法律規(guī)定的機(jī)關(guān)和有關(guān)組織提起民事公益訴訟的，人民法院應(yīng)予受理。

【解讀】本條是關(guān)于涉人臉信息民事公益訴訟的規(guī)定。1.民事公益訴訟的適用范圍由法律明確規(guī)定。根據(jù)《民事訴訟法》第五十五條規(guī)定，對污染環(huán)境、侵害眾多消費(fèi)者合法權(quán)益等損害社會公共利益的行為，可適用民事公益訴訟。在人臉識別技術(shù)應(yīng)用場景和使用數(shù)量日益增多的背景下，侵權(quán)行為往往涉及較大規(guī)模的自然人群體，觸及社會公共利益，并且自然人個人維權(quán)成本高、舉證能力有限，為了維護(hù)該技術(shù)應(yīng)用領(lǐng)域的社會公共利益，更好地保護(hù)自然人的個人信息權(quán)益，同時，與《個保法（草案）》第六十九條相銜接，本條規(guī)定將信息處理者處理人臉信息的侵權(quán)行為納入公益訴訟范圍，其中“符合民事訴訟法第五十五條、消費(fèi)者權(quán)益保護(hù)法第四十七條或者其他法律關(guān)于民事公益訴訟的相關(guān)規(guī)定”，應(yīng)當(dāng)理解為提起民事公益訴訟的前提是涉人臉信息的侵權(quán)行為侵害了眾多自然人合法權(quán)益，不僅損害了自然人的私益，而且損害了社會公共利益。2.提起民事公益訴訟的主體由法律明確規(guī)定。根據(jù)《民事訴訟法》第五十五條、《消費(fèi)者權(quán)益保護(hù)法》第四十七條、《最高人民法院關(guān)于審理消費(fèi)民事公益訴訟案件適用法律若干問題的解釋》第一條的規(guī)定，可以向人民法院提起涉人臉信息民事公益訴訟的機(jī)關(guān)和有關(guān)組織包括：中國消費(fèi)者協(xié)會；省、自治區(qū)、直轄市設(shè)立的消費(fèi)者協(xié)會；法律規(guī)定或者全國人大及其常委會授權(quán)的機(jī)關(guān)和社會組織?！秱€保法（草案）》第六十九條規(guī)定，人民檢察院、履行個人信息保護(hù)職責(zé)的部門和國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟。檢察機(jī)關(guān)在其他機(jī)關(guān)和組織不提起訴訟時，承擔(dān)公益訴訟人身份。其他機(jī)關(guān)和組織提起訴訟的，檢察機(jī)關(guān)起支持起訴作用。3.涉人臉信息民事公益訴訟案件的審理，還應(yīng)遵守《最高人民法院關(guān)于審理消費(fèi)民事公益訴訟案件適用法律若干問題的解釋》《最高人民法院、最高人民檢察院關(guān)于檢察公益訴訟案件適用法律若干問題的解釋》的相關(guān)規(guī)定。

第十五條【死者人臉信息權(quán)益保護(hù)】自然人死亡后，信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理人臉信息，死者的近親屬依據(jù)民法典第九百九十四條請求信息處理者承擔(dān)民事責(zé)任的，適用本規(guī)定。

【解讀】本條規(guī)定了對死者人臉信息權(quán)益的保護(hù)。1.本條與《民法典》第九百九十四條、《個保法（草案）》第四十九條的精神一脈相承?！睹穹ǖ洹返诰虐倬攀臈l確立了死者人格利益保護(hù)的規(guī)則，規(guī)定死者的姓名、肖像、名譽(yù)、榮譽(yù)、隱私、遺體等受到侵害的，其近親屬有權(quán)請求行為人承擔(dān)民事責(zé)任。鑒于死者人臉信息的不當(dāng)使用會引起對死者名譽(yù)、隱私等人格權(quán)益、財產(chǎn)權(quán)益的損害，《規(guī)定》明確將人臉信息納入死者人格利益保護(hù)范圍，使涉人臉信息相關(guān)權(quán)益保護(hù)由自然人生前延展至死后，為死者人格利益提供了更加周全的保護(hù)，充分體現(xiàn)了尊重死者人格利益的立法精神，也為實踐中依據(jù)《民法典》第九百九十四條的基本原則保護(hù)死者的其他個人敏感信息提供了參考。2.關(guān)于保護(hù)死者人臉信息權(quán)益的權(quán)利行使順位。依據(jù)《民法典》第九百九十四條、第一千零四十五條的規(guī)定，死者的配偶、子女、父母有權(quán)依法請求信息處理者承擔(dān)民事責(zé)任；死者沒有配偶、子女且父母已經(jīng)死亡的，死者的兄弟姐妹、祖父母、外祖父母、孫子女、外孫子女有權(quán)依法請求信息處理者承擔(dān)民事責(zé)任。

第十六條【時間效力】本規(guī)定自2021年8月1日起施行。信息處理者使用人臉識別技術(shù)處理人臉信息、處理基于人臉識別技術(shù)生成的人臉信息的行為發(fā)生在本規(guī)定施行前的，不適用本規(guī)定。

【解讀】本條明確了《規(guī)定》的時間效力。為了維護(hù)法的安定性，同時考慮到促進(jìn)數(shù)字經(jīng)濟(jì)健康發(fā)展的司法職能，《規(guī)定》明確堅持不溯既往原則，對于信息處理者使用人臉識別技術(shù)處理人臉信息、處理基于人臉識別技術(shù)生成的人臉信息的行為發(fā)生在本規(guī)定施行前的，不適用本規(guī)定。但對于侵權(quán)行為發(fā)生在《規(guī)定》施行之前，持續(xù)到《規(guī)定》施行之后的，應(yīng)當(dāng)適用《規(guī)定》。1.法律銜接問題。為了做好與《個保法》的銜接，《個保法（草案）》中的立法精神在《規(guī)定》中多有體現(xiàn)。《個保法》正式實施以后，也將對《規(guī)定》的理解和適用產(chǎn)生一定的影響。2.法律適用問題。關(guān)于個人信息保護(hù)，除了民法典和《個保法》外，其他法律也多有涉及，比如《未成年人保護(hù)法》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《消費(fèi)者權(quán)益保護(hù)法》等都有特別規(guī)定，適用時依據(jù)特別法優(yōu)先于一般法、新法優(yōu)于舊法原則，優(yōu)先適用特別法、新法。[1]黃薇主編：《中華人民共和國民法典人格權(quán)編解讀》，中國法制出版社2020年7月第1版，第218頁。[2]最高人民法院民法典貫徹實施工作領(lǐng)導(dǎo)小組主編：《中華人民共和國民法典人格權(quán)編理解與適用》，人民法院出版社2020年7月第1版，第396頁。[3]最高人民法院民法典貫徹實施工作領(lǐng)導(dǎo)小組主編：《中華人民共和國民法典人格權(quán)編理解與適用》，人民法院出版社2020年7月第1版，第381頁。[4]北京市海淀區(qū)人民法院（2016）京0108民初5515號行為保全裁定書；北京市海淀區(qū)人民法院（2016）京0108民初5515號復(fù)議決定書。[5]最高人民法院司法案例研究院編：《民法典新規(guī)則案例適用》，中國法制出版社2020年11月版，第243頁。[6]參見王利明：《論侵害人格權(quán)的訴前禁令制度》，載《財經(jīng)法學(xué)》2019年第4期，第12頁。[7]最高人民法院司法案例研究院編：《民法典新規(guī)則案例適用》，中國法制出版社2020年11月版，第246頁。[8]在“人臉識別第一案”中，二審法院認(rèn)為，野生動物世界欲將其已收集的照片激活處理為人臉識別信息，超出事前收集目的，違反了正當(dāng)性原則，故應(yīng)當(dāng)刪除郭兵辦卡時提交的包括照片在內(nèi)的面部特征信息。鑒于野生動物世界停止使用指紋識別閘機(jī)，致使原約定的入園服務(wù)方式無法實現(xiàn)，亦應(yīng)當(dāng)刪除郭兵的指紋識別信息。據(jù)此，二審在原判決的基礎(chǔ)上增判野生動物世界刪除郭兵辦理指紋年卡時提交的指紋識別信息。[9]通過集體訴訟方式進(jìn)行維權(quán)在個人信息保護(hù)領(lǐng)域也有先例，參考Facebook侵犯用戶隱私案的集體訴訟。據(jù)媒體報道，美國社交網(wǎng)絡(luò)公司Facebook于2020年11月26日表示，同意支付6.5億美元，以解決因其在伊利諾伊州使用人臉識別技術(shù)而遭遇的用戶集體訴訟。

附：《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》關(guān)聯(lián)法條《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》

關(guān)聯(lián)法條第一條因信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定使用人臉識別技術(shù)處理人臉信息、處理基于人臉識別技術(shù)生成的人臉信息所引起的民事案件，適用本規(guī)定。

人臉信息的處理包括人臉信息的收集、存儲、使用、加工、傳輸、提供、公開等。

本規(guī)定所稱人臉信息屬于民法典第一千零三十四條規(guī)定的“生物識別信息”?！久穹ǖ洹康谝磺Я闳臈l自然人的個人信息受法律保護(hù)。

個人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。

個人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個人信息保護(hù)的規(guī)定。第二條信息處理者處理人臉信息有下列情形之一的，人民法院應(yīng)當(dāng)認(rèn)定屬于侵害自然人人格權(quán)益的行為：

（一）在賓館、商場、銀行、車站、機(jī)場、體育場館、娛樂場所等經(jīng)營場所、公共場所違反法律、行政法規(guī)的規(guī)定使用人臉識別技術(shù)進(jìn)行人臉驗證、辨識或者分析；

（二）未公開處理人臉信息的規(guī)則或者未明示處理的目的、方式、范圍；

（三）基于個人同意處理人臉信息的，未征得自然人或者其監(jiān)護(hù)人的單獨(dú)同意，或者未按照法律、行政法規(guī)的規(guī)定征得自然人或者其監(jiān)護(hù)人的書面同意；

（四）違反信息處理者明示或者雙方約定的處理人臉信息的目的、方式、范圍等；

（五）未采取應(yīng)有的技術(shù)措施或者其他必要措施確保其收集、存儲的人臉信息安全，致使人臉信息泄露、篡改、丟失；

（六）違反法律、行政法規(guī)的規(guī)定或者雙方的約定，向他人提供人臉信息；

（七）違背公序良俗處理人臉信息；

（八）違反合法、正當(dāng)、必要原則處理人臉信息的其他情形?！久穹ǖ洹康谝磺Я闳鍡l處理個人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理，并符合下列條件：

（一）征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外；

（二）公開處理信息的規(guī)則；

（三）明示處理信息的目的、方式和范圍；

（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定。

個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。第三條人民法院認(rèn)定信息處理者承擔(dān)侵害自然人人格權(quán)益的民事責(zé)任，應(yīng)當(dāng)適用民法典第九百九十八條的規(guī)定，并結(jié)合案件具體情況綜合考量受害人是否為未成年人、告知同意情況以及信息處理的必要程度等因素?！久穹ǖ洹康诰虐倬攀藯l認(rèn)定行為人承擔(dān)侵害除生命權(quán)、身體權(quán)和健康權(quán)外的人格權(quán)的民事責(zé)任，應(yīng)當(dāng)考慮行為人和受害人的職業(yè)、影響范圍、過錯程度，以及行為的目的、方式、后果等因素。第四條有下列情形之一，信息處理者以已征得自然人或者其監(jiān)護(hù)人同意為由抗辯的，人民法院不予支持：

（一）信息處理者要求自然人同意處理其人臉信息才提供產(chǎn)品或者服務(wù)的，但是處理人臉信息屬于提供產(chǎn)品或者服務(wù)所必需的除外；

（二）信息處理者以與其他授權(quán)捆綁等方式要求自然人同意處理其人臉信息的；

（三）強(qiáng)迫或者變相強(qiáng)迫自然人同意處理其人臉信息的其他情形。【民法典】第一千零三十五條處理個人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理，并符合下列條件：

（一）征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外；

（二）公開處理信息的規(guī)則；

（三）明示處理信息的目的、方式和范圍；

（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定。

個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。第五條有下列情形之一，信息處理者主張其不承擔(dān)民事責(zé)任的，人民法院依法予以支持：

（一）為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財產(chǎn)安全所必需而處理人臉信息的；

（二）為維護(hù)公共安全，依據(jù)國家有關(guān)規(guī)定在公共場所使用人臉識別技術(shù)的；

（三）為公共利益實施新聞報道、輿論監(jiān)督等行為在合理的范圍內(nèi)處理人臉信息的；

（四）在自然人或者其監(jiān)護(hù)人同意的范圍內(nèi)合理處理人臉信息的；

（五）符合法律、行政法規(guī)規(guī)定的其他情形?！久穹ǖ洹康诰虐倬攀艞l為公共利益實施新聞報道、輿論監(jiān)督等行為的，可以合理使用民事主體的姓名、名稱、肖像、個人信息等；使用不合理侵害民事主體人格權(quán)的，應(yīng)當(dāng)依法承擔(dān)民事責(zé)任。

第一千零三十六條處理個人信息，有下列情形之一的，行為人不承擔(dān)民事責(zé)任：

（一）在該自然人或者其監(jiān)護(hù)人同意的范圍內(nèi)合理實施的行為；

（二）合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外；

（三）為維護(hù)公共利益或者該自然人合法權(quán)益，合理實施的其他行為。第六條當(dāng)事人請求信息處理者承擔(dān)民事責(zé)任的，人民法院應(yīng)當(dāng)依據(jù)民事訴訟法第六十四條及《最高人民法院關(guān)于適用〈中華人民共和國民事訴訟法〉的解釋》第九十條、第九十一條，《最高人民法院關(guān)于民事訴訟證據(jù)的若干規(guī)定》的相關(guān)規(guī)定確定雙方當(dāng)事人的舉證責(zé)任。

信息處理者主張其行為符合民法典第一千零三十五條第一款規(guī)定情形的，應(yīng)當(dāng)就此所依據(jù)的事實承擔(dān)舉證責(zé)任。

信息處理者主張其不承擔(dān)民事責(zé)任的，應(yīng)當(dāng)就其行為符合本規(guī)定第五條規(guī)定的情形承擔(dān)舉證責(zé)任?！久穹ǖ洹康谝磺Я闳鍡l處理個人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理，并符合下列條件：

（一）征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外；

（二）公開處理信息的規(guī)則；

（三）明示處理信息的目的、方式和范圍；

（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定。

個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。

【民事訴訟法】第六十四條當(dāng)事人對自己提出的主張，有責(zé)任提供證據(jù)。

當(dāng)事人及其訴訟代理人因客觀原因不能自行收集的證據(jù)，或者人民法院認(rèn)為審理案件需要的證據(jù)，人民法院應(yīng)當(dāng)調(diào)查收集。

人民法院應(yīng)當(dāng)按照法定程序，全面地、客觀地審查核實證據(jù)。

【最高人民法院關(guān)于適用〈中華人民共和國民事訴訟法〉的解釋】第九十條當(dāng)事人對自己提出的訴訟請求所依據(jù)的事實或者反駁對方訴訟請求所依據(jù)的事實，應(yīng)當(dāng)提供證據(jù)加以證明，但法律另有規(guī)定的除外。

在作出判決前，當(dāng)事人未能提供證據(jù)或者證據(jù)不足以證明其事實主張的，由負(fù)有舉證證明責(zé)任的當(dāng)事人承擔(dān)不利的后果。

【最高人民法院關(guān)于適用〈中華人民共和國民事訴訟法〉的解釋】第九十一條人民法院應(yīng)當(dāng)依照下列原則確定舉證證明責(zé)任的承擔(dān)，但法律另有規(guī)定的除外：

（一）主張法律關(guān)系存在的當(dāng)事人，應(yīng)當(dāng)對產(chǎn)生該法律關(guān)系的基本事實承擔(dān)舉證證明責(zé)任；

（二）主張法律關(guān)系變更、消滅或者權(quán)利受到妨害的當(dāng)事人，應(yīng)當(dāng)對該法律關(guān)系變更、消滅或者權(quán)利受到妨害的基本事實承擔(dān)舉證證明責(zé)任。第七條多個信息處理者處理人臉信息侵害自然人人格權(quán)益，該自然人主張多個信息處理者按照過錯程度和造成損害結(jié)果的大小承擔(dān)侵權(quán)責(zé)任的，人民法院依法予以支持；符合民法典第一千一百六十八條、第一千一百六十九條第一款、第一千一百七十條、第一千一百七十一條等規(guī)定的相應(yīng)情形，該自然人主張多個信息處理者承擔(dān)連帶責(zé)任的，人民法院依法予以支持。

信息處理者利用網(wǎng)絡(luò)服務(wù)處理人臉信息侵害自然人人格權(quán)益的，適用民法典第一千一百九十五條、第一千一百九十六條、第一千一百九十七條等規(guī)定。【民法典】第一千一百六十八條二人以上共同實施侵權(quán)行為，造成他人損害的，應(yīng)當(dāng)承擔(dān)連帶責(zé)任。

【民法典】第一千一百六十九條教唆、幫助他人實施侵權(quán)行為的，應(yīng)當(dāng)與行為人承擔(dān)連帶責(zé)任。

【民法典】第一千一百七十條二人以上實施危及他人人身、財產(chǎn)安全的行為，其中一人或者數(shù)人的行為造成他人損害，能夠確定具體侵權(quán)人的，由侵權(quán)人承擔(dān)責(zé)任；不能確定具體侵權(quán)人的，行為人承擔(dān)連帶責(zé)任。

【民法典】第一千一百七十一條二人以上分別實施侵權(quán)行為造成同一損害，每個人的侵權(quán)行為都足以造成全部損害的，行為人承擔(dān)連帶責(zé)任。

【民法典】第一千一百九十五條網(wǎng)絡(luò)用戶利用網(wǎng)絡(luò)服務(wù)實施侵權(quán)行為的，權(quán)利人有權(quán)通知網(wǎng)絡(luò)服務(wù)提供者采取刪除、屏蔽、斷開鏈接等必要措施。通知應(yīng)當(dāng)包括構(gòu)成侵權(quán)的初步證據(jù)及權(quán)利人的真實身份信息。

網(wǎng)絡(luò)服務(wù)提供者接到通知后，應(yīng)當(dāng)及時將該通知轉(zhuǎn)送相關(guān)網(wǎng)絡(luò)用戶，并根據(jù)構(gòu)成侵權(quán)的初步證據(jù)和服務(wù)類型采取必要措施；未及時采取必要措施的，對損害的擴(kuò)大部分與該網(wǎng)絡(luò)用戶承擔(dān)連帶責(zé)任。

權(quán)利人因錯誤通知造成網(wǎng)絡(luò)用戶或者網(wǎng)絡(luò)服務(wù)提供者損害的，應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。法律另有規(guī)定的，依照其規(guī)定