文/李汶龙

2021年8月1日开始，人脸识别治理在中国将开启新的篇章。令人意外的是，首先翻开这一页的并不是人大，而是最高院。《个人信息保护法》还未进行三读，最高院于2021年7月28日发布了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（下称《规定》），对人脸识别诸多适用情景予以了非常细致的规定。

最高院这次旨在为既有法律提供确定性。但仔细观察，《规定》很多内容受到《个人信息保护法》（或者说GDPR）的直接影响。这些内容无法直接从《民法典》的表述中推演出来；即便可以，在措辞上不会如此高度一致。以笔者观察，目前也没有出现自成体系且与《个人信息保护法》高度一致的案例法规则。有观点认为这次“司法解释”没有超出既有法律的范围，我认为并非如此。下文我将详述为什么这次的新规定超出了《民法典》关于人格权和隐私权的要求，甚至超越了数据隐私的框架，且不失为一件好事。考虑到《民法典》关于个人信息保护的规定结构混杂，我在本文中讨论数据保护问题时主要以GDPR作为参考模板。

解构最高院这次的新规定，主要可分成四个部分

1 《民法典》在个人信息保护语境中的落实和细化

2 提前确认《个人信息保护法》当中关于合法性基础（GDPR第6条）和数据保护原则（GDPR第5条）的内容

3 对郭兵案中出现的若干缔约问题予以明确

4 民事诉讼法中关于责任分配和举证责任等问题的确认

这里还要提及第5点，虽然可能并非是法官们的初衷，这部规定在一定程度上已经超越了目前《个人信息保护法》的条文，甚至超越了数据保护的框架。想必很多人会提及法官造法的问题，但是我觉得在结果上是一件好事，文末我会回到这个主题。

下面我将逐一讨论这五个面向。由于诉讼程序和举证责任部分的规定比较详细且提供了很好的法律确定性，包括控制者承担举证责任 [六]、多个控制者可以存在连带责任 [七]、合并审理 [十三]、公益诉讼 [十四]、死者亲属代理 [十五]、不溯及既往 [十六]，我在这里不再赘述。 
 

《民法典》的重述和细化

此次《规定》主要解释《民法典》中关于人格权、隐私权、个人信息保护（权）等内容，看上去理所应当，不存在正当性的问题。但是，我在之前的文章中提到过这样一种尴尬：民法典没有篇幅能够系统展开个人信息保护规则的铺陈，但仍囊括了一些不粗不细，随意摘取 (cherry-pick) 的规则。第1035条同时涵盖数据保护的合法性基础（部分）、数据保护原则（部分）、知情同意制度、透明度要求，还有个人信息处理的概念定义（没有其他定义）就可见一斑。“母法”如此设定，会给日后《个人信息保护法》出台带来结构上的局限，也带来了如果两部法律出现不一致的情况如何解读的难题。此次最高院在个人信息保护法尚未出台之时就解释《民法典》中个人信息保护的部分，无疑深化了这一问题。

《规定》对《民法典》在人脸识别语境的落实和适用（包括相关规范的确认）都是有益的，这里不提。《规定》还延续了《民法典》人格权章固有的诸多问题，这里也不提。我主要想提的问题是《民法典》中并没有表现出的两个数据保护内在逻辑，其一是数据处理的合法性基础，其二是一般数据与敏感数据的分野。

首先，数据处理（尤其是敏感数据处理）除了知情同意之外，是否还存在其他的合法基础？《民法典》在这个问题上没有明确，甚至有将知情同意作为唯一数据处理合法基础的倾向。其次，生物识别数据等敏感数据保护程度会比一般数据更高，这个区别也反映在合法性基础上。一般数据处理除了寻求同意之外还有“正当利益”、“合同履行”等替代基础，但在敏感数据处理上替代合法性基础的范围会极大的限缩。

置于人脸识别的语境当中，这两个内在逻辑同时指向一个问题，也即人脸识别技术的使用能否不经数据主体同意？能否以合同履行或者缔约作为数据处理合法基础？《个人信息保护法》（二读稿）在这个问题上基本遵循GDPR第9条的体例。有趣的是，立法者或许认为第9条设定的数十条例外过于细碎不易仿效，因此完全弃之不用，仅留下逻辑上比较清晰的（单独）同意（注：GDPR的表述是明示同意，而单独同意基于 Planet 49 的判决属于所有知情同意情形中都需要满足的要求）。《规定》在这些问题上似乎没有过多考量，一方面默认许可人脸识别技术可以通过缔结合同的方式合法展开。另一方面，由于《民法典》中没有关于知情同意有效性及条件的要求，《规定》没有考虑到在有些情形下根本无法在动态公共环境中获取知情同意的问题。

个人信息保护规则的提前落地

《规定》序言提及多部既有法律，但唯独没提《个人信息保护法》。仔细阅读其内容，很多都已经在落实或者细化个保法。可以说《规定》除了明确《民法典》中的若干适用规则，还在《个人信息保护法》未生效之前就提前确认了生物识别信息处理的原则（GDPR第5条）和合法性基础（GDPR第6条）。

这样的操作历史上曾出现过。在GDPR尚未生效之际，欧盟法院在Google Spain案件率先认定了存在被遗忘权，所依据的是GDPR的前身——1995年数据保护条令。在很多面向上《民法典》甚至是《个人信息保护法》都形似这部上世纪的欧盟法。许多如今已经细化的制度在这部条令当中仅是寥寥数字，草草勾勒。民法典也是如此，就个人信息保护问题有提及但一带而过，留下许多可以解释的空间。最高院恰好利用了这一空间，通过司法解释形成规则。而且，在法典尚未生效之时，很多地方法院就已经开始适用《民法典》中个人信息保护部分作为分析框架，我之前的案例评述中有提及。

关于《个人信息保护法》内容在《规定》中提前确认，除了上述关于合同履行作为法律基础的问题外，我在这里主要提及两点。首先，《规定》第四条关于同意的前提设定非常严密，理论上可以排除掉所有的 dark patterns，标准甚至比GDPR加上既有欧洲法院判决还高，这一点非常值得肯定，在法律确定性上世界领先。第二，《规定》使用“人脸数据”的概念不严谨也不技术中立。既然《民法典》已经设立了“生物识别信息”的定义，《规定》理应效仿。生物识别技术的发展在未来会涵盖声音、体态、瞳孔、甚至味道等下一代生物识别特征。将《规定》限于人脸数据（甚至不包括面部特征和微表情）无疑会使其稳定性和延续性减弱。技术中立是科技立法的根本，无论是司法还是立法机关在创设规则时都应竭力遵循，确保法律是面向未来的。

超越个人信息法

提前确定《个人信息保护法》内容之外，《规定》实际上在多个面向已经超越了数据保护的范畴。有些是对人格权章其他资源的延伸，而有些则是对当下乱象直接的司法回应。从结果上来说这些新内容会加强数据保护的程度或个人对生物识别数据处理的控制。

首先是选择不参与的权利 (opt out)，这一点在《个人信息保护法》的语境中没有明确。在这一点上，即便是GDPR，在存在合法性处理数据基础的前提下也未必赋予个人选择不参与的权利。第22条理论上赋予数据主体不受机器决策的影响，但适用条件过于繁复，在实践中可操作性有限。中国能够创设这样的规则，跟治理问题爆发于小区安装人脸识别摄像头关联紧密，提供替代验证方式因而成为了主要焦点问题。

其次是人格权侵害禁令，理论上可以比对GDPR中第18条关于限制数据处理权，《个人信息保护法》第44条有移植。限制数据处理权遵循数据处理正当的逻辑，适用情形限于数据准确性核实、数据处理不合法但数据主体拒绝删除数据等。将人格权侵害禁令延伸到生物识别数据处理语境当中，可以让数据主体基于存在“不可弥补的伤害”限制数据处理。如此拓宽了限制处理权的范围，很大程度上弥补了这一权利有限的适用范围。

最后，《规定》第12条还提到生物识别数据删除（权）的问题，很明显是对郭兵案的一种回应。如此安排对于保护个人而言无疑是有利的，但是，违约会直接导致人脸信息删除的法律依据为何并不清晰。对比被遗忘权（《个人信息保护法》第47条予以借鉴），数据删除都存在特定事由，例如目的已实现，撤回同意、行使拒绝权 (right to object) 等等。《规定》第12条将删除数据作为违约责任的一部分，机理为何需要论证。有趣的是，与GDPR第17条不同，《个人信息保护法》第47(5)条存在兜底条款，因此理论上可以将《规定》认定为其他情形。

郭兵案

《规定》还涵盖了郭兵案中涉及到的合同有效性、数据删除、因诉讼产生合理开支等问题。比较可以发现《规定》实际上比郭兵案更进一步，很多案情中不存在的面向，诸如合同中提及人脸识别条款、双方约定使用人脸识别信息使用等情形，在《规定》中都提供了法律确定性。策略诉讼能够如此迅速地得到司法肯认，令人欣喜。

更深远的影响

《规定》还在“基础架构”的层面上强化了数据保护，具体而言有三个面向值得注意。

首先，《规定》以人格权（《民法典》第989-901条）为法律基础，而非较狭窄地讨论个人信息保护抑或隐私权。概念上，人格是一个非常宽泛的概念，隐私仅是其中的一部分。近代人权立法很多都以保护人格或者尊严作为主旨。如此设定将很大程度上拓宽包括范围，虽然尚且无法达到欧盟基本权利宪章的范畴（因为《民法典》对于人格权的定义较为狭窄，没有明示涵盖很多基本权利），但理论上这样的架构会让宪法第33-38条中规定的诸多基本权利受到的威胁都有法律应对（注：歧视问题较为模糊，宪法中仅涉及了民族歧视和宗教歧视的问题）。

其次，《规定》第2条将合法性基础问题和个人信息保护原则问题置于一处讨论。虽然看上去只是体例的重新安排，但实践中数据保护原则往往不易直接适用，将原则规则化无疑会提高保护程度。因此，《规定》很大程度上激活了原则的直接适用，明确违背原则直接构成人格权侵权。

再次，《规则》充分利用了《民法典》中的其他资源为个人信息保护所用，属于法典化带来的一个福利（当然法典化也使得个人信息保护规则存在概念虚化的问题）。除上文提到人格权侵害禁令外，《规定》第二条还提到了公序良俗原则。目前暂时不确定这一条款在何语境当中适用于人脸识别，但势必会拓宽认定数据处理违法的基础，因此理论上提升数据保护程度。

普通法

熟悉GDPR内容的读者都清楚，中国立法者在法律移植时削去了许多落实法律制度的细节，而这些细致规则恰恰是GDPR的价值所在（其目的之一在于激活数据保护条令中很多宽泛但不具有操作性的制度）。在立法者只交付空壳的情况下，法律规则的落实和形塑完全依赖于司法。

立法者选择将规则雕刻等复杂立法技术工作全部交由法官处理，而最高院此次出台《规定》恰恰展现出完全全然不同的姿态。《规定》无论从规则质量、缜密程度，以及法律确定性上都非常出色，一改之前规则设定犹抱琵琶半遮面的风格，而且超越数据保护框架提供全面的法律保护。

当然，这次《规定》的出台可能会引发很多关于正当性的讨论，或者说“法官造法”还是人民（代表）造法的问题。法律秩序和正当性的问题可以交由宪法学者讨论。

仅从数据保护的角度观察，存在这样一种内部张力和对抗是有益的，有助于突破立法阻力。与此同时，法官的经验、对确定性的追求以及和立法机构的互动多有助于规则的形塑、演进和优化。

一定程度上，最高院出台《规定》很像是欧美国家的“普通法”。这一法律传统中，法律很长一段时间是由具备丰富法律知识的法官创设，法官所说的内容即法律，规则在判例中发展。当然，普通法传统在英国和美国当代社会也存在诸多变迁，进入法治和人权社会之后普通法的存在空间也逐渐被限缩，由现代立法逐渐蚕食。但普通法有其优点，由于性质较为灵活有利于应对新的社会（科技）变化。在中国，虽然法律（框架）主要由人民（代表）创设，但实际运作规则多是由法官形成。在立法往往掣肘，无法进入细致规则设计之时，司法进步主义能够弥补这样的空白实属好事。美国是否能够人脸识别使用违法 (BIPA) 能否进行公益诉讼的问题就持续了很久，而我国最高院这次的规定在很多问题上都提供了非常清楚的法律确定性，实际上非常高效。

结语

评论《规定》，我们可以采用法律人内部视角，认为法律应当如何遵循程序和角色分工，确保内部和谐有序。但我们也可以采取另外一种视角，去客观分析不同规则制定者之间的互动和博弈，以及这一过程中制定出的规则多大程度能够发挥效用，解决问题。作为实用主义者，我始终趋于后者。法律叫什么不重要，谁制定也是其次，关键在于发挥法律应当发挥的功用。最高院此次展现出了规则制定者应有的姿态；直接、明确、肯定。在《个人信息保护法》出台前虽然只能使用间接资源，但《规定》发挥了其最大功用。其文本所展现出的缜密思考、法律确定性以及保护公民的初衷都非常值得肯定。虽然无法完全超越《民法典》和《个人信息保护法》的规范框架仍有所不逮（我会在今年的网络法治三十人论坛上展开这一问题，摘要目录见下），但《规定》彰显法治之光无疑。