近来,人脸识别技术大量应用,在为社会生活带来便利的同时,个人信息保护问题也日益凸显。7月28日,最高人民法院发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《规定》)。
《规定》明确规定,在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析,应当认定属于侵害自然人人格权益的行为。此外,对于物业要求“刷脸”进小区、App违法收集个人信息、未成年人信息保护等热点话题也作出回应。
“刷脸”不得成为进小区唯一方式
当前,不少小区将“刷脸”作为进入小区的门禁。物业通常将人脸信息与业主的身份信息、居住信息绑定,一旦泄露会发生严重的后果,此举引起被采集者的担忧,但拒绝“刷脸”可能就无法进入小区,对生活带来不便,与物业沟通不畅,维权不便。
“关于部分小区使用人脸识别门禁系统的问题,我们一直在关注,前期也做了一些调研。调研中发现,群众关心小区物业安装人脸识别设备,集中在强制‘刷脸’的问题上。”最高人民法院研究室副主任郭锋介绍。
人脸信息属于敏感个人信息。郭锋介绍,小区物业对人脸信息的采集、使用必须依法征得业主或者物业使用人的同意。实践中,部分小区物业强制要求居民录入人脸信息,并将人脸识别作为出入小区的唯一验证方式,这种行为违反“告知同意”原则。
为此,《规定》第10条第1款专门规定:“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。”
另外,为降低维权成本,《规定》中提到,自然人为制止侵权行为所支付的合理开支,可以认定为民法典第一千一百八十二条规定的财产损失。合理开支包括该自然人或者委托代理人对侵权行为进行调查、取证的合理费用。
“侵害公民个人信息的行为往往成本是非常低的,而维权行为成本却很高,比如取证费用、律师费用等。现在可以把它放在财产损失里面,相当于维权支出都可以要求对方来赔偿,变相增加了侵权行为人的侵权成本,也鼓励当事人与侵权行为作斗争。”宁人律师事务所金融与科技委员会副主任马军告诉北京商报记者。
处理未成年人人脸信息需监护人单独同意
除了线下场所中对人脸的采集,线上的人脸识别技术应用也越来越多。最高人民法院研究室民事处处长陈龙业谈道:“一段时间以来,部分App通过一揽子授权、与其他授权捆绑、‘不点击同意就不提供服务’等方式强制索取非必要个人信息的问题比较突出,这既是广大用户的痛点,也是维权的难点。”
对此,《规定》引入单独同意及强迫同意无效两大规则。即信息处理者在征得个人同意时,必须就人脸信息处理活动单独取得个人的同意,不能通过一揽子告知同意等方式征得个人同意,也不能超出自然人同意的范围。
“格式条款的效力认定问题以及个人信息的收集、使用边界,这两个是目前人脸识别相关案件审理中重点聚焦的两个问题。”盈科律师事务所刑事部主任高同武告诉记者,我国法律对于个人信息的采集需要符合“正当、合法、必要”三原则并征得当事人同意,在人脸识别案件审理中,仍需要法院在审理中综合生活常识、技术应用与个人信息保护做出判定,明确个人信息收集、使用的边界。
值得一提的是,未成年人的人脸信息被采集的场景也越来越多。据团中央最近发布的《2020年全国未成年人互联网使用情况研究报告》显示,2020年我国未成年网民规模达到1.83 亿,个人信息未经允许在网上被公开的比例为4.9%。在这些个人信息中,人脸信息具有唯一性和不可更改性。
我国《未成年人保护法》《网络安全法》等法律对未成年人的网络保护作出了专门规定。郭锋介绍,《规定》坚持最有利于未成年人原则,从司法审判层面加强对未成年人人脸信息的保护。按照告知同意原则,第2条第3项规定,信息处理者处理未成年人人脸信息的,必须征得其监护人的单独同意。
此外,《规定》明确将“受害人是否为未成年人”作为责任认定特殊考量因素,对于违法处理未成年人人脸信息的,在责任承担时依法予以从重从严,确保未成年人人脸信息依法得到特别保护,呵护未成年人健康成长。
北京商报记者注意到,在《规定》发布后,腾讯成长守护平台在微博上发文表示:“我们仅针对实名为成年人的部分账号,由于存在疑似未成年人行为特征,因此发起人脸验证,将相关加密信息与公安实名系统自动对比。如果是未成年人实名账号,会按照政策要求直接纳入防沉迷,不会触发人脸。”
“人脸识别第一案”已宣判
人脸识别滥用的危害不容忽视,但人脸识别技术对数字经济的发展也颇为关键。最高人民法院党组成员、副院长杨万明表示,《规定》注重惩戒侵权行为和促进数字经济发展的平衡。“《规定》充分考量人脸识别技术的积极作用,一方面规范信息处理活动,保护敏感个人信息,另一方面注重促进数字经济健康发展,保护人脸识别技术的合法应用。《规定》也明确了本司法解释不溯及既往的基本规则。”
近年来,我国日益重视对个人信息的保护。2010年7月1日侵权责任法实施以来,至2020年12月31日,人格权纠纷案件共1144628件。民法典颁布后,最高人民法院对《民事案件案由规定》进行了修正,新增了个人信息保护纠纷案由。民法典施行以来,截至6月30日,各级人民法院正式以个人信息保护纠纷案由立案的一审案件192件,审结103件。
备受关注的“人脸识别第一案”已于今年4月9日二审宣判。2019年4月,郭兵购买杭州野生动物世界双人年卡,留存相关个人身份信息,并录入指纹和拍照。后野生动物世界将年卡入园方式由指纹识别调整为人脸识别,并向郭兵发送短信通知相关事宜,要求其进行人脸激活,双方协商未果,遂引发纠纷。
4月9日,该案迎来终审判决,被告杭州野生动物世界被判删除原告郭兵办理指纹年卡时提交的包括照片在内的面部特征信息和指纹识别信息,并于判决生效之日起十日内履行完毕。
“此次司法解释对人脸识别相关问题做了非常具体、到位的规定。后续我认为更多个人信息保护部分的责任规定,比如大家经常遇到的骚扰短信、骚扰电话,都可以借鉴这份司法解释,并且我希望在《个人信息保护法》中,也能对一些侵权的行为作出具体的规定。”马军告诉记者。
据新华社消息,《个人信息保护法草案》将在8月17日至20日召开的十三届全国人大常委会第三十次会议上进行审议。杨万明表示,下一步,最高法将全力配合做好《个人信息保护法》立法工作,并切实加强个人信息司法保护的统一法律适用工作。
高同武建议,后续可以建立和完善“信用黑名单”制度。被采集人脸信息的主体可以援引《民法典》第496条和第497条有关格式条款的规定主张合同无效并向监管机构举报;监管机构应客观评估商业机构采集人脸信息的依据,将不当应用人脸识别技术的机构拉入“信用黑名单”,并可根据不同的违法程度实行罚款或市场禁入。需要收集、使用、保管人脸识别信息的行业可以就各行业采取类似积分管理办法,评分过低者,直接影响公司业务规模、市场信誉等。
北京商报记者 陶凤 王晨婷
(王治强 HF013)