《规定》第二条第（一）项明确，除传统移动应用程序（以下简称“App”）中处理人脸信息的场景之外，线下的“宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所”同样适用《规定》关于人脸识别技术使用的规制。

近年来，相比于受到重点监管的各类App，线下场景中人脸信息被强制索取的情形尤为引发关注。著名的“人脸识别第一案”---郭某诉杭州野生动物世界有限公司服务合同纠纷案[1]就是典型一例。除此之外，不少商家被爆出通过“无感式”识别技术采集用户人脸信息用于精准营销等商业目的，均有较大可能存在“授权捆绑”甚至未经过授权的情形。

《规定》第二条第（一）项中提及，“违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析”，截至目前，尚无已经生效的相关法律或行政法规。2021年6月公布的《中华人民共和国个人信息保护法（草案）》二次审议稿（以下简称《个人信息保护法（草案）》）针对公共场所的人脸图像采集，在第二十七条规定：“在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的，不得公开或者向他人提供，取得个人单独同意的除外。”据此，若《个人信息保护法（草案）》最终通过审议并生效，在经营场所、公共场所将人脸识别技术用于除公共安全之外的目的，无疑将受到极大的限制。

2020年10月修订的《中华人民共和国未成年人保护法》（以下简称《未成年人保护法》）非常重视对未成年人的个人信息保护。该法第七十二条规定：“信息处理者处理不满十四周岁未成年人个人信息的，应当征得未成年人的父母或者其他监护人同意；未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的，信息处理者应当及时采取措施予以更正、删除。”同年修订的《信息安全技术 个人信息安全规范》（GB/T 35273-2020）（以下简称《个人信息安全规范》）第3.2条则是将14周岁以下（含）儿童的个人信息列入个人敏感信息，赋予了极高的保护标准。

随着人脸识别应用场景日趋多样，未成年人的人脸信息被违法采集、使用或以其他方式非法处理的情形也越来越多。未成年人的人脸信息一旦泄露，侵权影响甚至可能伴随其一生。秉承《民法典》及《未成年人保护法》的精神，在事前规制的层面，《规定》第二条第（三）项明确，信息处理者处理未成年人人脸信息的，必须征得其监护人的单独同意。从事后的民事责任认定层面，《规定》第三条结合当前未成年人人脸信息保护现状，明确将“受害人是否未成年人”作为责任认定特殊考量因素，对于违法处理未成年人人脸信息的，在责任承担时依法从重从严，从而确保未成年人人脸信息得到特别保护。

《规定》第二条第（三）项规定了人脸信息处理的“单独同意”规则：“信息处理者在征得个人同意时，必须就人脸信息处理活动单独取得个人的同意，不能通过一揽子告知同意等方式征得个人同意。”

一直以来，部分App通过一揽子授权、与其他授权捆绑、拒绝提供服务等方式强制索取非必要个人信息的问题比较突出。对此，《个人信息安全规范》第5.4条“收集个人信息时的授权同意”已经明确了收集个人生物识别信息前应当获得信息主体的“单独同意”，即：（个人信息控制者）应单独向个人信息主体告知收集、使用生物识别信息的目的、方式和范围，以及存储时间等规则，并征得个人信息主体的明示同意。

立法层面，《民法典》第一千零三十四条把包括人脸信息在内的“生物识别信息”归于个人信息之列。《个人信息保护法（草案）》则进一步把“个人生物特征”列入敏感个人信息的范畴，并在该法第三十条明确：“基于个人同意处理敏感信息的，个人信息处理者应当取得个人的单独同意。”

在《个人信息保护法（草案）》尚未经立法机关通过的情况下，最高院从民事司法的角度提出针对人脸信息收集的“单独同意”原则，有助于更好保护人民群众合法权益。如前所述，人脸信息属于敏感个人信息，处理活动对个人权益影响重大，因此，《规定》在一般告知同意的基础上，设定了更高的标准，以确保个人信息主体在对自身人脸信息将被处理这一情况充分知情的前提下，合理考虑该等处理可能对自己权益产生的影响从而作出是否同意的意思表示。

针对信息处理者拒不履行“单独同意”规则的情形，《规定》第四条明确了具体的救济途径：“有下列情形之一，信息处理者以已征得自然人或者其监护人同意为由抗辩的，人民法院不予支持：（一）信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的，但是处理人脸信息属于提供产品或者服务所必需的除外；（二）信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的；（三）强迫或者变相强迫自然人同意处理其人脸信息的其他情形。”

自愿原则是《民法典》的基本原则之一，个人对于自身个人信息处理的同意必须是基于自愿而作出。如果信息处理者采取“与其他授权捆绑”或“不点击同意就不提供服务”等做法，会导致自然人无法单独对人脸信息的处理作出自愿同意，或者被迫同意处理其本不愿提供且非必要的人脸信息，这有悖于《民法典》的自愿原则，也有悖于前述“单独同意”的规则，故而无法作为民事争议中有效的抗辩理由。

《规定》第六条规定：“信息处理者主张其行为符合民法典第一千零三十五条第一款[2]规定情形的，应当就此所依据的事实承担举证责任。信息处理者主张其不承担民事责任的，应当就其行为符合本规定第五条规定的情形承担举证责任。”

最高院依据《民法典》第一千零三十五条之规定以及现有《民事诉讼法》及有关司法解释规定的举证责任规则，在充分考虑双方当事人的经济实力不对等、专业信息不对称等因素的前提下，在信息处理者主张已经按照法律、行政法规之规定获取信息主体关于人脸信息处理的单独同意，抑或主张存在《规定》第五条的免责情形时，对信息处理者加以更多的举证责任。《规定》的实施将推动信息处理者进一步完善业务流程，提高存证意识与存证能力，以应对未来可能发生的民事争议。同时，也有助于降低个人信息主体的维权成本和难度，以更好地保护个人信息主体的合法权益。

《规定》第八条第一款明确，“信息处理者处理人脸信息侵害自然人人格权益造成财产损失，该自然人依据民法典第一千一百八十二条[3]主张财产损害赔偿的，人民法院依法予以支持。”同时，该条第二款明确支持合理的维权费用和律师费，即“自然人为制止侵权行为所支付的合理开支，可以认定为民法典第一千一百八十二条规定的财产损失。合理开支包括该自然人或者委托代理人对侵权行为进行调查、取证的合理费用。人民法院根据当事人的请求和具体案情，可以将合理的律师费用计算在赔偿范围内。”

考虑到侵害人脸信息造成被侵权人的具体财产损失往往金额有限，但被侵权人因为维权支付的相关费用却可能较大，如侵权人不作赔偿，将会造成被侵权人维权成本过高、侵权人违法成本较小的失衡状态，不利于被侵权人积极主张权利，且纵容侵权人借助优势地位继续使用人脸识别技术实施侵权行为。因此，《规定》将制止侵权行为的合理开支，以及合理的调查、取证费用和合理的律师费纳入到赔偿范围中，此举将在一定程度上缓解信息处理者与个人信息主体间力量的不平等，以及信息主体维权成本过高的窘境。

当前的法律与司法解释对于律师费的支持情形较为少见，且除了交通事故类案件，恶意诉讼、虚假诉讼类案件以及知识产权侵权类案件、不正当竞争类案件之外，对于律师费的支持往往以合同约定为基础。《规定》第八条中并未强调人脸信息侵权人与被侵权人之间必须存在合同关系，这对于一些线下的、“无感”的人脸识别侵权行为无疑是有力的震慑。

尽管如此，由于人脸识别侵权案件中被侵权人分散、个人维权成本高、举证能力有限，且考虑到争议双方的力量悬殊以及司法程序的旷日持久，即使《规定》支持胜诉后合理的维权开支由侵权人承担，也难以激发被侵权人提起诉讼维权的积极性。基于此，《规定》引入了民事公益诉讼制度，能够很好解决前述个人维权贵、维权难、维权慢的痛点。《规定》第十四条规定：“信息处理者处理人脸信息的行为符合民事诉讼法第五十五条[4]、消费者权益保护法第四十七条[5]或者其他法律关于民事公益诉讼的相关规定，法律规定的机关和有关组织提起民事公益诉讼的，人民法院应予受理。”

生活中，部分小区使用人脸识别门禁系统作为小区出入的唯一验证方式。尽管人脸识别门禁系统在一定程度上能够防止陌生人随意进出，确保业主安全，但人脸信息属于敏感个人信息，物业对人脸信息的采集、使用必须依法征得业主或者物业使用人的同意，如此才具备合法性。

针对实践中物业服务企业强势要求居民接受人脸识别门禁系统的违法行为，《规定》第十条第一款规定：“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式，不同意的业主或者物业使用人请求其提供其他合理验证方式的，人民法院依法予以支持。”根据这一规定，小区物业在使用人脸识别门禁系统录入人脸信息时，应当征得业主或者物业使用人的同意，对于不同意的，小区物业应当提供替代性验证方式，不得以确保小区安全为由侵害业主或物业使用人有关人脸信息的人格权益和其他合法权益。

此外，为更好规范物业服务企业或者其他管理人，防止其将人脸信息泄露、篡改或者以其他方式侵害业主或物业使用人人格权益，《规定》第十条第二款又进一步明确：“物业服务企业或者其他建筑物管理人存在本规定第二条规定的情形，当事人请求物业服务企业或者其他建筑物管理人承担侵权责任的，人民法院依法予以支持。”由此，《规定》对物业服务企业形成了全面的约束，当业主及其他物业使用人的人脸信息受到物业服务企业的侵害时，能够据此得到有效救济。

《规定》在《民法典》、《民事诉讼法》、《未成年人保护法》等现有法律的基础上，从解决民事争议、保护民事权益的角度，对人脸信息有关民事争议的处理中涉及的适用场景、适用对象、授权同意、举证责任、维权支持等要素进行了全面的规定。同时，《规定》也为未来出台的《个人信息保护法》在民事争议解决中的适用预留了空间。《规定》的出台，将有效统一各级法院面对人脸信息及人脸识别技术适用的相关案件时的裁判标准，更有利于保障人民群众人格权益，也有利于推动企业依法处理人脸信息，促进数字经济健康发展。