近來,人臉識別技術大量應用,在為社會生活帶來便利的同時,個人信息保護問題也日益凸顯。7月28日,最高人民法院發布《關於審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》(以下簡稱《規定》)。
《規定》明確規定,在賓館、商場、銀行、車站、機場、體育場館、娛樂場所等經營場所、公共場所違反法律、行政法規的規定使用人臉識別技術進行人臉驗證、辨識或者分析,應當認定屬於侵害自然人人格權益的行為。此外,對於物業要求“刷臉”進小區、App違法收集個人信息、未成年人信息保護等熱點話題也作出回應。
“刷臉”不得成為進小區唯一方式
當前,不少小區將“刷臉”作為進入小區的門禁。物業通常將人臉信息與業主的身份信息、居住信息綁定,一旦泄露會發生嚴重的後果,此舉引起被採集者的擔憂,但拒絕“刷臉”可能就無法進入小區,對生活帶來不便,與物業溝通不暢,維權不便。
“關於部分小區使用人臉識別門禁系統的問題,我們一直在關注,前期也做了一些調研。調研中發現,群眾關心小區物業安裝人臉識別設備,集中在強制‘刷臉’的問題上。”最高人民法院研究室副主任郭鋒介紹。
人臉信息屬於敏感個人信息。郭鋒介紹,小區物業對人臉信息的採集、使用必須依法徵得業主或者物業使用人的同意。實踐中,部分小區物業強制要求居民錄入人臉信息,並將人臉識別作為出入小區的唯一驗證方式,這種行為違反“告知同意”原則。
為此,《規定》第10條第1款專門規定:“物業服務企業或者其他建築物管理人以人臉識別作為業主或者物業使用人出入物業服務區域的唯一驗證方式,不同意的業主或者物業使用人請求其提供其他合理驗證方式的,人民法院依法予以支持。”
另外,為降低維權成本,《規定》中提到,自然人為制止侵權行為所支付的合理開支,可以認定為民法典第一千一百八十二條規定的財產損失。合理開支包括該自然人或者委託代理人對侵權行為進行調查、取證的合理費用。
“侵害公民個人信息的行為往往成本是非常低的,而維權行為成本卻很高,比如取證費用、律師費用等。現在可以把它放在財產損失裡面,相當於維權支出都可以要求對方來賠償,變相增加了侵權行為人的侵權成本,也鼓勵當事人與侵權行為作鬥爭。”寧人律師事務所金融與科技委員會副主任馬軍告訴北京商報記者。
處理未成年人人臉信息
需監護人單獨同意
除了線下場所中對人臉的採集,線上的人臉識別技術應用也越來越多。最高人民法院研究室民事處處長陳龍業談道:“一段時間以來,部分App通過一攬子授權、與其他授權捆綁、‘不點擊同意就不提供服務’等方式強制索取非必要個人信息的問題比較突出,這既是廣大用戶的痛點,也是維權的難點。”
對此,《規定》引入單獨同意及強迫同意無效兩大規則。即信息處理者在徵得個人同意時,必須就人臉信息處理活動單獨取得個人的同意,不能通過一攬子告知同意等方式徵得個人同意,也不能超出自然人同意的範圍。
“格式條款的效力認定問題以及個人信息的收集、使用邊界,這兩個是目前人臉識別相關案件審理中重點聚焦的兩個問題。”盈科律師事務所刑事部主任高同武告訴記者,我國法律對於個人信息的採集需要符合“正當、合法、必要”三原則並徵得當事人同意,在人臉識別案件審理中,仍需要法院在審理中綜合生活常識、技術應用與個人信息保護做出判定,明確個人信息收集、使用的邊界。
值得一提的是,未成年人的人臉信息被採集的場景也越來越多。
據團中央最近發布的《2020年全國未成年人互聯網使用情況研究報告》顯示,2020年我國未成年網民規模達到1.83億,個人信息未經允許在網上被公開的比例為4.9%。在這些個人信息中,人臉信息具有唯一性和不可更改性。
我國《未成年人保護法》《網絡安全法》等法律對未成年人的網絡保護作出了專門規定。郭鋒介紹,《規定》堅持最有利於未成年人原則,從司法審判層面加強對未成年人人臉信息的保護。
按照告知同意原則,第2條第3項規定,信息處理者處理未成年人人臉信息的,必須徵得其監護人的單獨同意。
此外,《規定》明確將“受害人是否為未成年人”作為責任認定特殊考量因素,對於違法處理未成年人人臉信息的,在責任承擔時依法予以從重從嚴,確保未成年人人臉信息依法得到特別保護,呵護未成年人健康成長。
北京商報記者注意到,在《規定》發布后,騰訊成長守護平台在微博上發文表示:“我們僅針對實名為成年人的部分賬號,由於存在疑似未成年人行為特徵,因此發起人臉驗證,將相關加密信息與公安實名系統自動對比。如果是未成年人實名賬號,會按照政策要求直接納入防沉迷,不會觸發人臉。”
“人臉識別第一案”已宣判
人臉識別濫用的危害不容忽視,但人臉識別技術對數字經濟的發展也頗為關鍵。
最高人民法院黨組成員、副院長楊萬明表示,《規定》注重懲戒侵權行為和促進數字經濟發展的平衡。“《規定》充分考量人臉識別技術的積極作用,一方面規範信息處理活動,保護敏感個人信息,另一方面注重促進數字經濟健康發展,保護人臉識別技術的合法應用。《規定》也明確了本司法解釋不溯及既往的基本規則。”
近年來,我國日益重視對個人信息的保護。2010年7月1日侵權責任法實施以來,至2020年12月31日,人格權糾紛案件共1144628件。
民法典頒布后,最高人民法院對《民事案件案由規定》進行了修正,新增了個人信息保護糾紛案由。民法典施行以來,截至6月30日,各級人民法院正式以個人信息保護糾紛案由立案的一審案件192件,審結103件。
備受關注的“人臉識別第一案”已於今年4月9日二審宣判。2019年4月,郭兵購買杭州野生動物世界雙人年卡,留存相關個人身份信息,並錄入指紋和拍照。后野生動物世界將年卡入園方式由指紋識別調整為人臉識別,並向郭兵發送短信通知相關事宜,要求其進行人臉激活,雙方協商未果,遂引發糾紛。
4月9日,該案迎來終審判決,被告杭州野生動物世界被判刪除原告郭兵辦理指紋年卡時提交的包括照片在內的面部特徵信息和指紋識別信息,並於判決生效之日起十日內履行完畢。
“此次司法解釋對人臉識別相關問題做了非常具體、到位的規定。後續我認為更多個人信息保護部分的責任規定,比如大家經常遇到的騷擾短信、騷擾電話,都可以借鑒這份司法解釋,並且我希望在《個人信息保護法》中,也能對一些侵權的行為作出具體的規定。”馬軍告訴記者。
據新華社消息,《個人信息保護法草案》將在8月17日至20日召開的十三屆全國人大常委會第三十次會議上進行審議。楊萬明表示,下一步,最高法將全力配合做好《個人信息保護法》立法工作,並切實加強個人信息司法保護的統一法律適用工作。
高同武建議,後續可以建立和完善“信用黑名單”制度。被採集人臉信息的主體可以援引《民法典》第496條和第497條有關格式條款的規定主張合同無效並向監管機構舉報;監管機構應客觀評估商業機構採集人臉信息的依據,將不當應用人臉識別技術的機構拉入“信用黑名單”,並可根據不同的違法程度實行罰款或市場禁入。需要收集、使用、保管人臉識別信息的行業可以就各行業採取類似積分管理辦法,評分過低者,直接影響公司業務規模、市場信譽等。