作者:金茂律师事务所 万波 律师 王书玥 律师助理
一、前言
随着科技的发展,人脸识别技术进一步普及,在人们的生活中随处可见该技术的运用。但这一技术在给我们的生活带来便利的同时,也给个人信息保护带来了挑战。今年4月9日,“人脸识别第一案”在杭州中院终审宣判,维持了一审中要求被告杭州野生动物世界赔偿原告郭兵合同利益损失及交通费,删除原告办理指纹年卡时提交的包括照片在内的面部特征信息的判决,并增判被告删除原告提交的指纹识别信息。这一生效判决的作出,体现了我国对生物识别信息保护的决心,积极保卫人民群众的个人信息权益。
自《民法典》实施以来,截至6月30日,各级人民法院正式以个人信息保护纠纷案由立案的一审案件192件;2017年6月至2021年6月,全国法院新收侵犯公民个人信息刑事案件10059件。可见,侵犯公民个人信息的案件量在近几年显著增长。
7月28日,最高人民法院召开新闻发布会,发布了《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《规定》)。《规定》严格依照《民法典》《网络安全法》《消费者权益保护法》《电子商务法》《民事诉讼法》等法律,并结合审判实践,对人脸信息提供司法保护。
《规定》自今年8月1日开始实施。
二、亮点解读
(一)明确人脸信息处理规则
《民法典》在第一千零三十五条确立了个人信息处理的原则——合法、正当、必要原则。而根据信安标委发布的《信息安全技术 个人信息安全规范》(GB/T 35273—2020)中的规定,面部识别特征属于个人生物识别信息,属于个人敏感信息的范畴。虽然在《个人信息保护法(草案二审稿)》中,对敏感个人信息的处理规则进行了专节规定,但目前尚未有生效的法律法规对人脸信息这一敏感个人信息的处理规则作出细化规定。而《规定》首次从司法角度明确规定了处理人脸信息的同意规则,可以更好地保护人民群众的合法权益。
1、单独同意规则
《规定》的第二条第三项,在获取个人信息的“告知—同意”规则的基础上,规定信息处理者在征得个人同意时,必须就人脸信息处理活动单独取得个人的同意。即,不能通过获取个人信息主体的概括授权的方式来征得个人同意。
2、强迫同意无效规则
《规定》的第四条规定了自然人在各种情形下被迫同意信息处理者处理其人脸信息,会导致自然人无法单独对人脸信息作出自愿同意,从而导致信息处理者所获取的“同意”无效化。同时,该法条体现了从严认定对处理人脸信息的有效同意的导向,旨在全方位强化人脸信息的保护。
(二)商家不得强制索取非必要的个人信息
最高人民法院副院长杨万明在发布会上介绍称,针对今年央视“3·15晚会”所曝光的线下门店在经营场所滥用人脸识别技术进行人脸辨识、人脸分析等行为,《规定》第二条明确,在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析,应当认定属于侵害自然人人格权益的行为。
现下一些商家利用人脸识别技术,识别用户表情、情绪和目的,通过AI计算、结合大数据分析,来制定、调整自己的营销策略。在今年的“3.15晚会”上,对一些线下门店在经营场所滥用人脸识别技术进行人脸辨识、人脸分析等行为也进行了曝光。在一般情况下,这一过程不会获取个人的“单独同意”,消费者进入这些经营场所的同时并不会意识到自己的人脸信息已经被商家识别和分析。根据《民法典》中个人信息处保护的相关规定以及《规定》的第二条,此类未取得个人的同意就获取人脸信息的行为,存在极大的侵害自然人个人权益的风险。
类似的,在《个人信息保护法(草案二审稿)》的第二十五条规定:“利用个人信息进行自动化决策,应当保证决策的透明度和结果公平合理。通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”可见,在即将颁布的《个人信息保护法》中,针对商家的“自动化决策”行为,进行了更为严格的限制,人脸信息作为敏感个人信息,理应受到更为严格的保护,避免被滥用。
(三)物业不得将人脸识别作为进出小区的唯一验证方式
一些小区物业,将“刷脸”作为进出小区的唯一验证方式,不仅违反获取人脸信息的“单独同意”原则,还存在“强迫同意”的嫌疑,显然这一做法侵害了小区居民的人格权益。针对这一现象,《规定》在第十条进行了专门规定:“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。”这是最高法回应社会关切的体现。
(四)获取未成年人的人脸信息必须征得监护人的单独同意
随着《未成年人保护法》于今年6月1日的正式生效,越来越多的目光集中到了“未成年人”这一特殊群体的保护上。在《个人信息保护法(草案二审稿)》的第十五条中规定:“个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。”这一规定正是对未成年人的权益进行特别保护的体现。
最高人民法院研究室副主任郭锋在发布会上表示,对于违法处理未成年人人脸信息的,在责任承担时依法予以从重从严,确保未成年人人脸信息依法得到特别保护。《规定》坚持最有利于未成年人原则,从司法审判层面加强对未成年人人脸信息的保护。按照告知同意原则,规定信息处理者处理未成年人人脸信息的,必须征得其监护人的单独同意。
(五)人格权侵害禁令
在《民法典》第九百九十七条,首次对“人格权行为禁令”作出了规定:“民事主体有证据证明行为人正在实施或者即将实施侵害其人格权的违法行为,不及时制止将使其合法权益受到难以弥补的损害的,有权依法向人民法院申请采取责令行为人停止有关行为的措施。”在此基础上,《规定》在第九条针对“人格权侵害禁令”的适用进行了细化,明确正在或即将受到侵害的权益为自然人的“隐私权或其他人格权益”,并将《民法典》中的人民法院采取的“责令行为”细化为“作出人格权侵害禁令”,进一步体现了司法权威下对公民人格权的保护。
(六)五类处理人脸信息的免责情形
在《民法典》第一千零三十六条规定的处理个人信息免责事由的基础上,《规定》同样明确了五类处理人脸信息的免责情形:
1、为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息的;
2、为维护公共安全,依据国家有关规定在公共场所使用人脸识别技术的;
3、为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息的;
4、在自然人或者其监护人同意的范围内合理处理人脸信息的;
5、符合法律、行政法规规定的其他情形。
三、小结
如今,人工智能(AI)、大数据、人脸识别等技术,早已逐渐融入了我们的生活。先进的科学技术在给我们的生活带来便利的同时,也使得我们的个人信息暴露在各种风险之下,各类我们所能知悉的、抑或并没有意识到的侵权行为正在不断发生。为更好地保护公民的个人信息权益,我国陆续制定了相关法律法规。如自2017年6月1日起生效的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号),在今年1月1日生效的《民法典》中也将个人信息相关权益归入人格权,进行明确保护。
人脸信息作为敏感个人信息中的生物识别信息,一旦泄露极有可能对个人的人身和财产安全造成极大的危害,因此,相较于一般个人信息而言,其理应受到更为严格的保护,对信息处理者处理人脸信息作出严格限制。本《规定》的制定旨在加强个人信息的保护,针对社会关切的人脸识别信息滥用的问题作出了回应,明晰人脸识别案件司法的裁判规则。结合现已生效的《网络安全法》《民法典》,即将生效的《数据安全法》,以及诸如《信息安全技术 个人信息安全规范》(GB/T 35273—2020)等国家标准,已经进入草案二审稿并即将颁布的《个人信息保护法》等等一系列法律法规,我国对个人信息保护的司法体系将会日益完善,遏止个人信息滥用的行为,进一步保护公民的合法权益。