最高法副院长杨万明介绍,最高法在充分调研基础上制定了《规定》,对人脸信息提供司法保护,明确规定,在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所,违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析,应当认定属于侵害自然人人格权益的行为。
《规定》要求,应用程序不得强制索取非必要个人信息。长期以来,部分移动应用程序通过一揽子授权、与其他授权捆绑、“不点击同意就不提供服务”等方式强制索取非必要个人信息的问题突出。对此,《规定》明确了此类处理人脸信息的新规则,由于人脸信息属于敏感个人信息,处理活动对个人权益影响重大,因此在告知同意上,有必要设定较高标准,以确保个人在充分知情的前提下,合理考虑对自己权益的后果而作出同意。
《规定》引入单独同意规则,即:信息处理者在征得个人同意时,必须就人脸信息处理活动单独取得个人的同意,而不能通过一揽子告知同意等方式征得个人的同意。个人同意是信息处理活动的合法性基础。只要处理者不超出自然人同意的范围,原则上该行为就不构成侵权行为。
《规定》专门将“受害人是否是未成年人”作为动态考量因素,明确将“受害人是否未成年人”作为责任认定特殊考量因素,对于违法处理未成年人人脸信息的,承担责任时,依法予以从重从严,确保未成年人的人脸信息依法得到特别保护,呵护未成年人健康成长。
《规定》坚持最有利于未成年人原则,从司法审判层面加强对未成年人人脸信息的保护。按照告知同意原则,规定信息处理者处理未成年人人脸信息的,必须征得其监护人的单独同意,关于具体年龄,可依据未成年人保护法、网络安全法以及正在制定中的个人信息保护法进行认定。从责任认定角度看,结合当前未成年人人脸信息保护现状,《规定》在民法典相关规定的基础上,对侵害人脸信息责任认定的考量因素予以细化。