人脸信息有别于一般信息，属于敏感信息，必须权利人“明确同意”才可收集。

以公共利益为限制标准，防范人脸识别被滥用

人脸信息是个人核心隐私，也是个人敏感信息。人脸信息不仅涉及个人肖像，还包括身体、健康、年龄、种族等信息，甚至可能包括个人的心理信息。

并且，人脸信息广泛涉及个人其他私密信息。比如，有些银行账户和人脸信息进行绑定、关联。因此，一旦人脸信息被泄露，或被不法分子违法共享、转让，会造成严重后果。因此，对于人脸识别被滥用的现象，确实应该引起高度的关注。

人脸信息属于敏感信息，必须权利人“明确同意”才能进行采集，如果权利人没有明确同意，则必须要基于公共利益的需要才能收集。

现在人脸识别之所以被滥用，是因为有些使用已经明显超出公共利益范畴。虽然公共利益的解释可能会比较宽泛，但还是有特定内涵，比如为了公共安全、保护个人生命财产安全等，都属于公共利益的范围；而出于商业目的或盈利目的，则不属于公共利益范围。在“人脸识别第一案”中，动物园就属于商业机构，其收集很难说是为了公共利益。

因此，未经权利人“明确同意”的采集，应该符合公共利益的需要。这可能是防范人脸识别技术被滥用最重要的规则。并非所有的机构都能够进行人脸识别信息的收集。

人脸信息属于个人敏感信息，要用户明确同意

保护人脸信息，首先要认真遵守贯彻好《民法典》对人的信息保护的应用。《民法典》第1035条明确收集信息应当坚持合法、正当、必要原则，坚持最小化原则，能不收集尽量不收集，能少收集尽量少收集。这里自然也涉及人脸信息保护的规范问题。

同时，《民法典》第1038条也明确规定这些信息不得擅自转让、共享；在共享时要再次取得权利人的同意，除非已进行匿名化处理。但即便如此，相关方也要负起安全维护职责。

此外，对于人脸信息的保护，仅仅依靠《民法典》还不够，还要通过正在制定的《个人信息保护法》来加强保护，特别是以下几方面，要格外关注。

首先是个人敏感信息的概念。《民法典》没有提到个人敏感信息的概念，是因为《民法典》只是规定了一般信息的保护规则，不可能规定得非常详尽，需要在《个人信息保护法》中作出规定。

其次是“同意”的方式。一般信息的收集处理规则，《民法典》中用的是“同意”。这可以采取默示同意方式，也可以采取明示同意方式。但人脸信息有别于一般信息，属于敏感信息。对于敏感信息不能泛泛地采用默示同意方式，除非是为了公共利益的需要，必须权利人“明确同意”才可收集。并且，在此之前还要有告知义务，使权利人详细知道搜集的信息是要干什么，做什么用途。

所以，建议在《个人信息保护法》中可以针对人脸信息，进一步要求明确同意，这样可能更有利于保护人脸信息。

第三，要加强对未成年人人脸信息的保护。采集未成人人脸信息，必须要取得其监护人同意。

第四，要严格限制人脸信息的共享。如果收集方要与他人共享人脸信息，须取得权利人的明确同意。只有进行第二次的“明确同意”，才能更好地保护人脸信息。

最后，要强化对采集人脸信息的安全维护。如果没有建立相应的维护措施，这些信息一旦被泄露，后果很严重。因此，从法律层面上看，不仅迫切需要确立安全维护的义务，而且对没有尽到义务、导致大面积信息泄露、对权利人造成损害的有关单位，应该明确承担相应的责任。

人脸信息属于隐私权，应该强调保护而非利用

从全世界范围来看，法律层面上处理个人信息，都要面对两个问题，一是对个人信息进行保护，二是在保护的同时又要注重对个人信息的利用。

可以说，在法律层面上如何平衡好个人信息的保护与利用的关系，是各国个人信息保护法制定时需要考虑的最大问题。

在我国《民法典》的制定过程中，就反复讨论、平衡两者的关系。如果保护过度会影响个人信息的利用，影响数据产业的发展，甚至影响技术的发展。但如果保护门槛太低，对个人人格权益的保护也是非常不利的。

因此，现在《民法典》中的“个人信息保护”后面没有跟着一个“权”字，主要就是担心如果将个人信息提升到人格权层面，会不会使得其保护程度过高，影响和妨碍了信息的利用。并且，在《民法典》中，个人信息和隐私是区别对待的，隐私保护程度要比个人信息更高。

人脸信息比较特殊，与一般个人信息有所不同，涉及隐私和个人信息的交叉。人脸信息不仅是个人信息，实际上还包括个人核心隐私。所以，人脸信息应该成为隐私权的重要组成部分。

我更倾向于将人脸信息等敏感信息与一般的信息保护进行区别对待，在如何平衡“利用与保护”两者关系时，人脸信息要更注重保护，而其他非敏感信息则是更多地强调“利用”。

☐王利明（中国人民大学一级教授、中国法学会副会长、民法学会会长）