前言

随着人工智能技术的发展，人脸识别技术在现实生活中被广泛采纳。科学技术的发展同时裹挟着风险。人脸识别技术可谓是双刃剑，在给人们带来了众多生活便利的同时，其安全性也持续受到社会公众的质疑，其风险需要法律进行规制。人脸信息因其便携性、身份的可识别性而具有巨大的经济效益，但是巨大价值的背后隐藏的是较大的风险隐患。在理论界和实务界对人脸识别相关问题的探讨可谓是争论不休、纷争不止，在用工实践中，刷脸进门、刷脸打卡等科技赋能的员工管理方式屡见不鲜。如何在利用人脸识别技术的同时规避其风险所在，如何使企业用工管理更具合法性以及合规性，成为企业所关注的重要话题。本文将从人脸识别在实务中的风险隐患要点出发，梳理与人脸识别相关的法律规范，以推动企业对人脸识别合规的贯彻落实。

一、人脸识别风险隐患之概述

人脸识别技术是人工智能时代的一种全新的表现形式。人脸识别，亦称为人像识别、面部识别，是基于人的脸部特征信息进行身份识别的一种生物识别技术。具体而言，人脸识别是用摄像机或摄像头采集含有人脸的图像或视频流，并自动在图像中检测和跟踪人脸，进而对检测到的人脸进行脸部识别的一系列相关技术。人脸识别属于个人信息的范畴。个人信息是指以电子或者其他方式记录的已识别或者可识别的自然人有关的各种信息。当前，人脸识别的主要应用的场景是网络监控与身份验证，这无疑是打开个人信息的一把关键性钥匙，公民个人信息也因此被置于高度风险之地。

人脸识别技术下的风险隐患主要体现在以下几个方面：第一，隐私风险提升。人脸信息属于个人敏感信息的范畴，其间接涉及公民的重要隐私。当人脸所携带的信息与它所出现的时空信息相结合时，就能破解和侵犯个人隐私。① 由于人脸识别信息的唯一性、不可更换性，人们无法换脸。人脸信息一旦泄露，即便采取法律手段维权成功，也难以恢复被泄露之前的原状。第二，安全风险上升。人脸识别技术特点之一是“ 非受控制性”，这意味着人脸信息一旦被收集，信息控制者对人脸信息使用将脱离信息主体控制领域，从而加剧人脸信息存在被滥用的风险。随着风险社会的到来，人脸信息的难以控制性势必会将这种被滥用的风险现实化。可谓说，一旦人脸识别信息的保护机制失效，就可能引发诸多侵权风险，这是在信息社会人脸识别技术的法律风险所在。第三，社会风险加剧。人脸信息不仅属于数据信息，它还扮演人们身份识别的主要角色，辐射至人格权与财产权的个人保护，这就加剧了社会风险。在数据保管环节中，由于缺乏完善的保密机制，容易发生数据泄露事件。技术控制者在收集人脸信息后，往往对数据库疏于管理，因低强度保密措施而遭受黑客攻击，发生数据泄露，从而造成不可逆转的人身损失和财产损失。

二、人脸识别法律规范之梳理

《中华人民共和国民法典》《个人信息保护法》《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》等法律均对人脸识别在采集、处理、保护等方面的内容作了详细的规定。对人脸识别信息法律规范的梳理，为企业进行人脸识别的合规管理提供了明确的方案指引。

1.单独获得员工同意

《民法典》第一千零三十五条规定“处理个人信息的，应当遵循合法、正当、必要原则，征得该自然人或者其监护人同意。”《个人信息保护法》第十四条规定“基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。”从以上法律条款可知，企业在获取个人信息时应获得员工的单独同意。人脸识别涉及个人敏感信息，企业需要给予员工选择权，同样需要获得员工的单独同意。企业应以显著方式、清晰易懂的语言真实、准确、完整地向员工告知下列事项：个人信息处理者的名称或者姓名和联系方式；个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；个人行使权利的方式和程序；法律、行政法规规定应当告知的其他事项。②

2.不宜采用格式条款

《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第十一条规定“信息处理者采用格式条款与自然人订立合同，要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利，该自然人依据民法典第四百九十七条请求确认格式条款无效的，人民法院依法予以支持。”从上述法律条款可知，企业与员工订立个人信息采集、处理告知书与同意书时，不宜采取格式条款。因为要求自然人授予无期限限制、不可撤销、可任意转授权等处理人脸信息权利的格式条款无效。

3.应同时提供其他验证方式

《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第十条规定“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式，不同意的业主或者物业使用人请求其提供其他合理验证方式的，人民法院依法予以支持。”由以上法律条款可知，企业在对员工管理采取人脸识别的验证方式时，应同时提高其他验证方式。因此，建议仅仅支持员工通过“人脸识别”进入办公区域的企业，应当结合验指纹、刷门禁卡等方式进入办公区域。

4.举证责任一般由企业承担

《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第六条规定“信息处理者主张其行为符合民法典第一千零三十五条第一款规定情形的，应当就此所依据的事实承担举证责任。信息处理者主张其不承担民事责任的，应当就其行为符合本规定第五条规定的情形承担举证责任。”由上述法律条款可知，在个人信息纠纷中，一般由企业承担举证责任。由于处理人脸信息过程中，信息处理者（即企业）一般处于优势地位，本条款对企业的举证责任提出了严格的要求。因此，建议企业应及时注意证据的记录和保存。在获取员工单独同意或者书面同意等事项留存足够的书面证据，避免诉讼时证据灭失。

5.法律责任的承担

《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第十二条规定“信息处理者违反约定处理自然人的人脸信息，该自然人请求其承担违约责任的，人民法院依法予以支持。”《个人信息保护法》第六十九条规定“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。”由以上法律条款可知，一旦企业处理员工的人脸信息不当，就会承担违约责任或者侵权责任。因此，为避免企业承担相应的法律责任，应提高重视员工人脸信息的意识，应加强人脸信息的合规建设。

三、人脸识别合规管理之建议

通过对上述人脸信息的风险隐患和法律规定的详情介绍，提示企业在安装人脸识别系统时应保持审慎的态度，建立系统完备的合规体系并落地实施，才能最大化控制相关法律风险所在。企业在对员工的人脸信息采集前、采集中以及采集后的环节中，均具有不同的注意事项。

1.采集前，企业应树立合规意识

对企业而言，在对员工进行人脸信息采集之前，在全公司层面树立个人信息保护的观念是必不可少的。近些年来，企业因违规收集、使用个人信息受到行政处罚的案例司空见惯，更有甚者因违反国家有关规定，向他人出售或者提供公民个人信息触犯刑法红线，进而走上违法犯罪的道路。企业不仅要充分意识到人脸信息的重要价值，还要认识到人脸信息保护的重要性。人脸信息蕴含着巨大的价值，得到妥善利用可以对用人单位正常的经营管理产生有利的影响。但与此同时，企业一旦对人脸信息管理产生疏漏，就会对其声誉、经营等产生不利的影响。企业应当未雨绸缪，从过去由企业主导用工管理的方式逐步向遵循合法、正当的原则处理人脸信息的方式转变，逐步明晰企业用工管理权与员工人脸信息保护的边界，以期寻求其中的平衡。

2.采集中，企业应向员工明示。

企业在对员工的人脸信息进行采集的过程中，企业应向员工明示。首先，企业应全面梳理企业内部运行和用工过程中使用到人脸识别技术的场景。例如，企业需要明确人脸识别是网络监控中使用，还是在员工考勤时使用，抑或是两者兼有之。其次，尽快形成“单独”“书面”告知的文件并要求员工签署。例如，公司为员工考勤在安装人脸识别系统之前，应告知员工并征得员工同意，出具个人信息告知书和同意书要求员工签署。再次，进一步采取“明示”的手段将人脸信息的处理规则进行公示，公开透明化才能使员工知悉自己人脸信息的使用领域和不能使用领域。最后，对有关人员（HR、法务、员工）进行相应政策法规的普及与培训。企业还应当通过加大培训宣传等方式将个人信息保护的相应政策深入贯彻到每一位员工，只有这样才能防微杜渐。

3.采集后，企业应强化数据保护。

企业在对员工的人脸信息的进行采集后，在储存的过程中应强化对数据加密级别和脱敏层级，避免数据泄露。企业未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全，致使人脸信息泄露、篡改、丢失的行为，属于侵害自然人人格权益的行为，其行为造成的财产损失，员工主张财产损害赔偿的，人民法院依法予以支持。③ 为避免因数据库信息的泄露，给企业员工造成人身损失和财产损失，增加企业的管理困难以及招致侵权诉讼的麻烦。企业应加大信息数据库建设的资金投入，派驻专门的人才对人脸信息数据储存、保护以及建设全程把关、跟进。

结语

人脸信息保护的先相关法律法规出台，更会激励社会民众维权意识的高度觉醒与维权行动的具体落实。企业作为员工人脸信息的收集者、存储者、使用者，必须按照法律规定进行处理和保护，这对企业而言是前所未有的挑战。企业重视员工人脸信息保护，将人脸信息合规处理纳入企业合规体系之中，这是信息和数据时代的重要注意事项。企业只有重视员工的人脸信息的保护、完善企业的用工管理、加强人脸识别的合规建设，才能防止或者减少法律风险的发生。

注释

1、石 超、张蓓洁：《人脸识别个人信息的倾斜保护》，载《中国科技论坛》2022年第4期，第147页。

2、《个人信息保护法》第十七条 个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：

（一）个人信息处理者的名称或者姓名和联系方式；

（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

（三）个人行使本法规定权利的方式和程序；

（四）法律、行政法规规定应当告知的其他事项。

3、《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第二条 信息处理者处理人脸信息有下列情形之一的，人民法院应当认定属于侵害自然人人格权益的行为：

（一）在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析；

（二）未公开处理人脸信息的规则或者未明示处理的目的、方式、范围；

（三）基于个人同意处理人脸信息的，未征得自然人或者其监护人的单独同意，或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意；

（四）违反信息处理者明示或者双方约定的处理人脸信息的目的、方式、范围等；

（五）未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全，致使人脸信息泄露、篡改、丢失；

（六）违反法律、行政法规的规定或者双方的约定，向他人提供人脸信息；

（七）违背公序良俗处理人脸信息；

（八）违反合法、正当、必要原则处理人脸信息的其他情形。

张佳

北京市盈科（南京）律师事务所股权高级合伙人、涉外与争议解决法律事务部主任

英国曼彻斯特大学University of Manchester知识产权法法律硕士、西北政法大学法学学士。江苏省省级涉外律师人才库成员、江苏省司法厅合法性审查“国际贸易及自贸区管理组”专家库专家、东南大学法学院硕士研究生校外导师、并选派参加江苏省青年律师千人领军人才训练营、被选派参加南京市律协“涉外律师领军人才培训”。

擅长领域：国际贸易、公司投融资、企业合规。

韩瑞瑞

北京市盈科（南京）律师事务所涉外与争议解决法律事务部律师助理

南京师范大学法学硕士

擅长领域：国际贸易、非诉业务、民商事诉讼。

*附件列表(点击下载)

责任编辑：李娟




南京市律师协会微信公众账号