记者 武晓莉 家住北京市石景山区杨庄某小区的刘女士一直对必须刷脸才能进小区耿耿于怀。她对记者说:“我回自己家还要刷脸,总感觉哪里不对,他们是不是不应该强制我?”
《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《规定》)日前发布,刘女士的疑问在其中有了明确的答案:物业不得强制将人脸识别作为出入小区的唯一验证方式。
《规定》对人脸识别进行了规范。明确宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析,应当认定属于侵害自然人人格权益的行为。
在科技高速发展的今天,以人脸识别为代表的个人生物信息识别应用野蛮生长,给个人信息安全造成了隐患。作为维护自然人人格权益、保护人民群众人脸信息安全的重要规范性文件,《规定》对人脸信息法律属性的界定、对采集储存使用的规范、侵权行为的性质以及纠纷处置的法律适用等,做了明确规定,给公民个人信息保护以法律保障。
刷脸纠纷频发引关注
忽如一夜春风来,不知从何时起,一个人的日常活动和刷脸结下了千丝万缕的联系——早上一睁眼,拿起手机,刷脸解锁;叫了个早点外卖,刷脸支付;进公司,刷脸打卡、刷脸测温;出差到机场,刷脸登机;住酒店,除提供身份证之外还要刷脸才能入住;去商场购物,门口都有无感应式刷脸;回家了,要通过人脸识别门禁才能进小区;如果网购,则常常被各种APP提醒开通人脸识别,甚至强制索取人脸信息……
到处都是摄像头,干什么都要刷脸,人脸识别正快速地渗透到我们生活的方方面面。但与此同时,人脸识别技术所带来的个人信息保护问题也日益凸显。人脸识别技术在诸多领域发挥着巨大作用的同时,也存在着过度收集、强制索取、违法使用等被滥用的情况。社交平台和网站公开售卖人脸识别视频和买卖人脸信息,因人脸信息等身份信息泄露导致“被贷款”“被诈骗”和隐私权、名誉权被侵害等问题时有发生,相关争议、处罚和诉讼不时见诸媒体。
从今年4月杭州市上杭区市场监管局对某售楼处违规收集、使用人脸识别信息行为开出罚单,到8月4日科勒公司因在2020年2月至2021年3月期间未经消费者同意擅自在门店安装摄像设备抓取人脸信息,被上海市静安区市场监督管理局罚款50万元并责令改正,经营者滥用人脸识别技术、侵害自然人合法权益的现象,引发了社会公众的普遍关注和担忧。
与此同时,司法实践也在不断探索信息化时代个人信息及隐私保护规则。在最高人民法院日前举办的新闻发布会上,最高人民法院副院长杨万明透露,《民法典》施行以来,截至6月30日,各级人民法院正式以个人信息保护纠纷案由立案的一审案件达192件,审结103件。
据杨万明介绍,“人脸识别第一案”于今年4月9日二审宣判,依法保护自然人人脸信息等生物识别信息。在刑事审判方面,侵犯公民个人信息犯罪近年来处于高发态势,且与电信网络诈骗、敲诈勒索、绑架等犯罪呈合流态势,社会危害严重。各级人民法院依法惩治侵犯公民个人信息犯罪,案件数量显著增长。据统计,2017年6月至2021年6月,全国法院新收侵犯公民个人信息刑事案件10059件,审结9743件,生效判决人数21726人,对3803名被告人判处三年以上有期徒刑。
人脸信息收集有原则
“目前,人脸识别、虹膜识别、指纹识别等人体信息识别技术野蛮生长并被随意滥用,很多人对此感到无奈,又困惑于这样一些问题:人脸识别行为是否具有正当性?是否合法?抗拒它是否正当合法?这些困惑都取决于人脸识别与身体权是什么关系。”复旦大学法学院教授孙笑侠撰文称。
孙笑侠认为,人脸识别属于人体生物信息采集和识别活动,包括对声纹、掌纹、基因、指纹、虹膜和面部特征的信息采集和识别。任何组织和个人对他人面部识别特征进行采集,都触及自然人的两个法定权利:个人身体权和个人信息权。
“区分个人信息的种类,尤其是将个人信息分成一般信息和敏感信息,其目的是为不同类型的个人信息确定不同的保护路径。”中国人民大学法学院教授、博士生导师朱虎说。《规定》界定了人脸信息属于个人信息中的敏感信息中的生物识别信息,同时确立了对人脸信息更为强化的保护路径。如规定收集人脸信息必须遵循特定目的和充分必要性原则、单独同意规则。《规定》明确,事前影响评估和记录规则,附加告知处理敏感个人信息的必要性以及对个人影响的规则,依照法律、行政法规获得行政许可的规则等等。这些都要求对人脸信息的保护,人民法院不仅应当适用《民法典》和特别法中有关个人信息保护的一般规则,依法从严保护人脸信息、明确信息处理者的义务,还应当适用有关敏感个人信息处理的特殊规则。
侵犯主体权益必追责
朱虎认为,由于人脸识别技术可在信息主体毫无感知且无须信息主体配合的情况下进行,因此更容易侵害信息主体的权益。人脸识别的应用场景可分为受控环境和非受控环境,这两种应用场景下使用人脸识别技术具有不同的合法性基础。个人信息处理的合法性基础要么是单纯的个人同意,要么同时需要法律、行政法规的规定。《规定》则提高了非受控环境下个人信息处理的合法性门槛。明确信息处理者在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析,属于侵害信息主体人格权益的情形。
因此,在公共场所使用人脸识别技术应当满足以下条件:为维护公共安全;遵守国家有关规定;设置显著的提示标识;除取得个人单独同意外,所收集的人脸识别信息只能用于维护公共安全的目的,不得用于其他目的。“显然,这将有力地遏制商家为了门店营销的目的而在自己的经营场所随意使用人脸识别技术。”朱虎说。
此外,主体认同也是人脸信息处理合法性的一个基础。孙笑侠撰文称,公民享有身体生物识别信息采集决定权,而身体信息隐私是需要现代法律加以确认和保障的权利。
“应当是由具有同意能力的个人在充分知情的前提下自愿、明确作出同意,而不是强迫或者变相强迫信息主体。”朱虎说。《规定》细化了强迫同意的情形:信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外;信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的;强迫或者变相强迫自然人同意处理其人脸信息的其他情形。基于此,在司法实践中,《规定》确立了强迫作出的同意不得作为抗辩事由的规则,区分了强迫对法律行为效力和对同意效力的不同影响。
“明确强迫同意无效,更有利于实现个人信息保护的规范目的。明确同意的目的是保护信息主体的合法权益免遭信息处理者的不法侵害,明确强迫同意直接无效而非可撤销意味着无须信息主体主张撤销就可直接认定为无效,有助于免除信息主体主张撤销的成本,更好地保护信息主体的合法权益。”朱虎说。
朱虎指出,从举证责任的分配上,《规定》还将举证责任分配给更容易提供证据证明其处理行为合法的信息处理者,更有利于保护个人合法权益的实现。此外,《规定》还确立了认定信息处理者民事责任的动态考量因素、免责事由、多数人侵权责任承担、财产损失的界定、禁令、合并审理、公益诉讼和死者人格利益保护等规则。
“新科技广泛、深入应用并密切贴近或紧逼个人的身体,这是一个广泛和严峻的事实,并且还会在广度和深度上继续发展。”孙笑侠撰文称,中国人在物质幸福感增强的今天,如果个人身体的完整性和行动自由被技术所侵害,那么这种幸福感的质量是下降的,是低级的。
业内人士一致认为,《规定》首次正式确立了审理使用人脸识别技术处理个人信息相关民事案件的全面且统一的法律适用规则意义重大,是以标准化、确定性的司法审理流程,来强化“侵犯人脸信息权益必被追责”的稳定预期。一方面,司法实践有了更可适用、操作性强的依据;另一方面,对侵犯人脸信息权益的一方是一种威慑,因为大概率会被严格认定、依法惩戒。对普通用户来说,强化了对人脸信息的保护,个人权益被侵犯的现状必然会大大改善。