無論是《網(wǎng)絡安全法》還是《民法典》，都將個人同意作為個人信息處理首要合法性基礎。但現(xiàn)實中，面對隨處可見的人臉識別應用，個人的同意往往變得流于形式。常見的情況包括：“無感知被收集”，即進入人臉識別區(qū)域卻毫無所知，個人的人臉信息未經任何告知和同意而直接被收集，這其中也包括即便提示存在人臉識別應用，但往往看到提示時個人的人臉信息已經被收集；“捆綁收集”，即將人臉識別技術的使用和人臉信息的處理規(guī)則，與其他個人信息處理規(guī)則，一同寫在產品或服務的隱私政策中，一次性征得用戶同意，個人失去了選擇是否同意人臉信息收集的機會；“強迫收集”，即強迫當人臉信息并不是產品或服務所必需時，要求個人接受人臉識別才能使用或繼續(xù)使用具體的產品或服務，也包括強迫接受人臉識別才能進入某個區(qū)域或建筑等。

　　面對這些讓個人自主選擇同意“失去意義”的行為，《人臉識別技術問題若干規(guī)定》旗幟鮮明地提出“單獨同意”和特定情況下的“書面同意”——“基于個人同意處理人臉信息的，未征得自然人或者其監(jiān)護人的單獨同意，或者未按照法律、行政法規(guī)的規(guī)定征得自然人或者其監(jiān)護人的書面同意”，“人民法院應當認定為構成侵害人格權益的行為”。

　　如何理解“單獨同意”？這個概念首次出現(xiàn)于我國《個人信息保護法》的草案一次和二次審議稿之中。我國《個人信息保護法》之所以提出“單獨同意”，目的在于對特定個人信息處理行為和特定個人信息類型提供增強式保護，讓個人更加充分地參與到個人信息處理的決策之中。2020年版的國家標準《個人信息安全規(guī)范》在根據(jù)《個人信息保護法》一審稿進行修訂的過程中，也吸納了單獨同意的要求?！秱€人信息安全規(guī)范》第5.4（C）的規(guī)定，收集個人生物識別信息前，應單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和范圍，以及存儲時間等規(guī)則，并征得個人信息主體的明示同意。

　　現(xiàn)在對“單獨同意”的要求做進一步的分解。

　　具體來說，《個人信息保護法》一審和二審草案規(guī)定，“處理個人信息的同意，應當由個人在充分知情的前提下自愿、明確作出?！痹诖嘶A上，“單獨同意”特別強調了“單獨”，即對特定的個人信息處理行為及其規(guī)則，個人能夠獨立于其他個人信息處理行為及規(guī)則，作出自主意思表示。換句話說，法律要求獲得單獨同意的個人信息處理行為（如向他人提供、公開等），不應與其他個人信息處理行為合并在一起獲得個人的同意；法律要求獲得單獨同意方可處理的個人信息類型（如敏感個人信息），不應與針對其他類型的個人信息處理合并在一起獲得個人的同意。

　　由于人臉信息屬于“生物識別信息”，在我國《個人信息保護法》中屬于敏感個人信息的范疇，因此《人臉識別技術問題若干規(guī)定》自然對其處理提出了單獨同意的要求。

　　從前文分析可知，我國《個人信息保護法》的同意和單獨同意，以及《人臉識別技術問題若干規(guī)定》里的同意和單獨同意，目的是為了保障《個人信息保護法》中“個人對其個人信息的處理享有知情權、決定權，有權限制或者拒絕他人對其個人信息進行處理”的規(guī)定。

　　與我國規(guī)定類似的，歐盟《通用數(shù)據(jù)保護條例》也明確數(shù)據(jù)主體的同意是指“數(shù)據(jù)主體通過書面聲明或經由一個清楚確定的動作，表示同意對其個人數(shù)據(jù)進行處理。該意愿表達應是自愿的（freely given）、特定的（specific）、知情的（informed）、明確的（unambiguous）”。

　　充分知情、自愿、明確、單獨構成了單獨同意的四個要件。具體來說，例如通過人臉識別技術解鎖手機終端，手機終端廠商可在用戶首次開啟人臉識別功能時，通過彈窗或跳轉專門頁面的形式同步告知該功能的信息處理規(guī)則（以滿足“充分知情”的要求）；該規(guī)則應僅包含對人臉識別功能及其信息處理規(guī)則的描述而不包括對其他不相關事項的描述（以滿足“單獨”的要求）；用戶通過點擊“同意”或“已知悉，并繼續(xù)使用”等主動性動作清楚地表達自己的意愿（以滿足“明確”的要求）；即便用戶在閱讀信息處理規(guī)則后選擇不開啟該功能，但仍然可以通過設置數(shù)字密碼、手勢密碼等方式，或直接繼續(xù)使用手機終端的其他功能（以滿足“自愿”的要求）。當然，手機終端廠商對人臉識別功能信息處理規(guī)則的要求，仍然必須遵守必要原則，不應將不是實現(xiàn)功能所必需的信息收集和處理行為“私藏”于其中。

　　一般來說，需要個人主動配合以完成人臉識別的應用，可依循的實現(xiàn)“單獨同意”的指引相對清晰。對于無需個人主動配合的人臉識別應用，符合“單獨同意”的高強度要求較為困難，但并非不可能。例如人臉識別設備覆蓋的區(qū)域，應當有明確的、易于識別的邊界標識（例如通過虛線標識），并在個人進入覆蓋區(qū)域前通過聲音、文字提示等形式予以告知，并在覆蓋區(qū)域五米內張貼公開告示、二維碼、網(wǎng)址鏈接，傳單柜臺等形式，向個人提供人臉識別功能及其信息處理規(guī)則的完整描述。在滿足充分知情、明確的要求后，應當特別注意不應將人臉識別設備覆蓋區(qū)域設置成進入、通過某個建筑、場所的必經之處，否則將違反自愿和單獨的要求。現(xiàn)實中如果上述要求難以滿足，且不屬于法律法規(guī)規(guī)定的可以豁免的情形，則信息處理者應考慮棄用無需主動配合的技術方案，改用需要個人主動配合的模式。

　　因此，在充分知情、自愿、明確、單獨等限定的有力支撐下，“單獨同意”能夠效遏制人臉識別技術的使用亂象。首先，“單獨同意”能夠破除“無感知被收集”的情況，因為“單獨同意”首先就要求個人充分知情。而且因為“單獨同意”要求個人是自愿做出同意的決定，且對于基于同意的個人信息處理活動，個人有權撤回此前授予的同意。再次，“單獨同意”能夠破除“捆綁收集”的情況，因為人臉信息處理的同意應當與其他的個人信息處理行為區(qū)分開，并分別征得個人的同意，因此個人就獲得了單獨對人臉信息處理做出同意與否的決定。最后，“單獨同意”能夠破除“強迫收集”的情況，即在個人獲得單獨對人臉信息處理與否做出決定的機會時，當人臉信息不屬于提供產品或者服務所必需的，個人自然就能夠拒絕而不影響產品或服務使用。同樣，對于強迫人臉識別才能進入某區(qū)域或建筑的情況，《人臉識別技術問題若干規(guī)定》在第十條專門規(guī)定，“物業(yè)服務企業(yè)或者其他建筑物管理人以人臉識別作為業(yè)主或者物業(yè)使用人出入物業(yè)服務區(qū)域的唯一驗證方式，不同意的業(yè)主或者物業(yè)使用人請求其提供其他合理驗證方式的，人民法院依法予以支持”。