強化人臉信息司法保護 為數字經濟信息安全保駕護航
不久前,最高人民法院發布《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》(以下簡稱《規定》),對濫用人臉識別問題作出司法統一規定。《規定》首次全面系統規定了人臉信息保護的裁判規則,為強化敏感個人信息保護提供了有效司法供給,為推動人臉識別技術健康發展注入了強大“綠色動力”,也為網絡文明建設匯聚了向上向善力量。
技術濫用現象突出人臉識別亟待規制
在數字經濟時代,信息的高效傳遞給社會生活帶來諸多便利,但也易引發個人信息泄露、濫用等多種信息安全問題,這已然成為備受關注的時代議題,人臉信息便是其中特殊問題之一。
個人信息可以分為一般個人信息和敏感個人信息。敏感個人信息是一旦泄露或者被非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿14周歲未成年人的個人信息。在這些敏感個人信息中,通過人臉識別技術所采集的人臉信息非常特殊,是生物識別信息中社交屬性最強、最易采集的個人信息,具有唯一性和不可更改性。人臉信息一旦泄露,將對個人的人身和財產安全造成極大危害,甚至還可能威脅公共安全。
人臉識別技術,是指通過對人臉信息的自動化處理,實現驗證個人身份、辨識特定自然人或者預測分析個人特征等目的的一項生物識別技術。人臉識別技術是現代網絡信息科技尤其是人工智能與大數據技術發展的產物。隨著云計算、大數據、物聯網、人工智能等互聯網技術發展,人臉識別技術憑借便捷、非接觸等優勢,在消費、金融、出行等社會各領域快速商業化普及。大到智慧城市建設,小到手機客戶端的登錄解鎖,都能見到人臉識別的應用。特別是在國境邊防、公共交通、城市治安、疫情防控等諸多領域,人臉識別技術發揮著巨大作用,有力推動精準治理,提高社會管理水平。
與此同時,濫用人臉識別技術侵害人民群眾合法權益的形勢也日益嚴峻,一些經營者濫用人臉識別技術侵害自然人人格權益以及財產權益的事件頻發,引發社會公眾的普遍關注和擔憂。比如,有些知名門店使用“無感式”人臉識別技術,在未經消費者同意的情況下擅自采集其人臉信息,分析消費者的性別、年齡、心情等,進而采取不同營銷策略。又如,有些物業服務企業強制將人臉識別作為業主出入小區或者單元門的唯一驗證方式,要求業主錄入人臉并綁定相關個人信息,未經識別的業主不得進入小區。再如,部分線上平臺或者應用軟件強制索取用戶的人臉信息,還有的賣家在社交平臺和網站公開售賣人臉識別視頻、買賣人臉信息等。因人臉信息等身份信息泄露導致“被貸款”“被詐騙”和隱私權、名譽權被侵害等問題也多有發生。甚至還有一些犯罪分子利用非法獲取的身份證照片等個人信息制作成動態視頻,破解人臉識別驗證程序,實施竊取財產、虛開增值稅普通發票等犯罪行為。
據App專項治理工作組2020年發布的《人臉識別應用公眾調研報告》,在2萬多名受訪者中,94.07%的受訪者用過人臉識別技術,64.39%的受訪者認為人臉識別技術有被濫用的趨勢,30.86%的受訪者已經因為人臉信息泄露、濫用等遭受損失或者隱私被侵犯。一段時間內,人臉識別成為熱門詞,社會公眾對人臉識別技術濫用的擔心不斷增加,規制濫用現象迫在眉睫。
明確人臉信息處理規則筑牢敏感信息安全防線
最高人民法院及時制定出臺《規定》,對濫用人臉識別問題作出司法統一規定,既為人民群眾維權提供了明確的裁判指引,也為相關信息處理者依法處理敏感個人信息提供了有效的行為指引。《規定》重點明確了如下規則:
(一)單獨同意規則
告知同意規則,也稱“知情同意規則”,是指任何組織或個人在處理個人信息時都應當對信息主體即其個人信息被處理的自然人進行告知,并在取得同意后方可從事相應的個人信息處理活動,否則處理行為即屬違法,除非法律另有規定。無論是民法典還是網絡安全法,都將個人同意作為個人信息處理首要合法性基礎。然而,實踐中人臉識別應用存在各種不規范做法,使得個人同意往往流于形式。人臉信息屬于高度敏感的個人信息,在告知同意上,有必要設定較高標準,以確保個人在充分知情的前提下,合理考慮對自己權益的影響而作出同意,讓個人更加充分地參與到人臉信息處理的決策之中。
《規定》在民法典第1035條的基礎上,充分吸收個人信息保護立法重要成果,進一步將“同意”細化為“單獨同意”,即:信息處理者在征得個人同意時,必須就人臉信息處理活動單獨取得個人同意,不能通過一攬子告知同意等方式征得個人同意,否則處理人臉信息的行為屬于侵害人格權益的行為。需要注意的是,單獨同意規則只適用于基于個人同意處理人臉信息的情形,對于法律、行政法規所規定的不需要征得個人同意的情形,不適用該規則。
(二)強迫同意無效規則
基于個人同意處理人臉信息的,個人同意是信息處理活動的合法性基礎。只要信息處理者不超出個人同意的范圍,原則上該行為就不構成侵權行為。自愿原則是民法典的基本原則之一,個人的同意必須基于自愿而作出。特別是對人臉信息的處理,不能帶有任何強迫因素。
調研發現,部分App往往將非必要的人臉信息作為提供產品或服務的前提條件,不同意就無法繼續安裝或使用該應用程序;還有的信息處理者以與其他授權捆綁等方式,強迫或者變相強迫自然人同意處理其人臉信息。對于這種通過模式設計強制索取人臉信息的現象,公眾感受最深、反映最強烈,但是維權較難。
為強化人臉信息保護,防止信息處理者對人臉信息的不當采集,《規定》充分吸收個人信息保護法(當時尚未正式施行)的立法精神,借鑒歐盟《通用數據保護條例》的做法,確立了人臉信息的“強迫同意無效規則”,對人臉信息有效同意采取從嚴認定的思路,對常見的違背自然人意愿強迫同意的情形進行列舉,并對其效力予以否定性評價。
《規定》第4條明確:“有下列情形之一,信息處理者以已征得自然人或者其監護人同意為由抗辯的,人民法院不予支持:(一)信息處理者要求自然人同意處理其人臉信息才提供產品或者服務的,但是處理人臉信息屬于提供產品或者服務所必需的除外;(二)信息處理者以與其他授權捆綁等方式要求自然人同意處理其人臉信息的;(三)強迫或者變相強迫自然人同意處理其人臉信息的其他情形。”
需要注意的是,第4條第1項還規定了例外情形:處理人臉信息屬于提供產品或者服務所必需的情形。也就是說,如果處理人臉信息屬于提供產品或者服務所必需,則信息處理者要求自然人同意處理其人臉信息才提供產品或者服務,不屬于強迫同意的范疇。所謂“處理人臉信息屬于提供產品或者服務所必需”,主要是指對于產品或者服務的提供而言,如果不處理該人臉信息就無法實現。如果處理人臉信息是出于其他目的,比如為了進一步完善產品的性能或者提升服務的品質,則不屬于為了提供產品或者服務所必需。除此之外,如果法律、行政法規以及規章明確規定需要對人臉信息進行處理才能提供相關產品或者服務的,也屬于“必需”的范疇。
(三)強化未成年人人臉信息保護
伴隨著人臉識別應用場景越來越廣泛,未成年人的人臉信息被采集的場景也越來越多,既有線上的,也有線下的。比如,商場、小區、學校等場所安裝的人臉識別系統,手機上帶有人臉識別功能的App軟件,互聯網上需要進行人臉驗證的平臺,等等。由于未成年人身心發育尚未成熟,社會閱歷有限,個人信息保護意識相對淡薄,加之對新生事物較為好奇,其人臉信息被采集的概率相對較大。未成年人的人臉信息一旦泄露,侵權影響甚至可能伴隨其一生,特別是技術歧視或算法偏見所導致的不公平待遇,會直接影響未成年人的人格發展。
從比較法的角度看,歐盟《通用數據保護條例》、美國《兒童網上隱私保護法》等對未成年人個人信息保護也作了特別規定。其中,法國對采集兒童人臉信息持極其慎重的態度,以控制校園進出為目的而實施針對兒童的人臉識別是被明確禁止的。結合我國當前未成年人人臉信息保護現狀,《規定》堅持最有利于未成年人原則,從司法審判層面加強對未成年人人臉信息的保護。
按照告知同意原則,第2條第3項規定,信息處理者處理未成年人人臉信息的,必須征得其監護人的單獨同意。關于具體年齡,可依據未成年人保護法、網絡安全法以及個人信息保護法進行認定。從責任認定角度看,第3條在民法典第998條的基礎上,對侵害人臉信息責任認定的考量因素予以細化,結合當前未成年人人臉信息保護現狀,明確將“受害人是否為未成年人”作為責任認定特殊考量因素,對于違法處理未成年人人臉信息的,在責任承擔時依法予以從重從嚴考量,確保未成年人人臉信息依法得到特別保護,呵護未成年人健康成長。
(四)小區物業不得強制進行人臉識別
在小區或者單元樓安裝人臉識別設備作為出入門禁,是當前人臉識別技術應用的一個重要場景。人臉識別技術用于住戶身份驗證,具有便捷、防偽度高、無接觸等優勢,作為一種智能化管理在部分地方得以推行,但由此引發的住戶個人信息泄露風險增大。調研發現,部分小區物業將人臉識別作為進入小區的唯一驗證方式,強制“刷臉”,群眾質疑聲音較大。人臉信息屬于敏感個人信息,小區物業對人臉信息的采集、使用,必須依法征得業主或者物業使用人的同意。只有業主或者物業使用人自愿同意使用人臉識別,對人臉信息的采集、使用才有合法性基礎。小區物業不能以智能化管理為由,侵害居民人格權益。
對此,《規定》第10條規定:“物業服務企業或者其他建筑物管理人以人臉識別作為業主或者物業使用人出入物業服務區域的唯一驗證方式,不同意的業主或者物業使用人請求其提供其他合理驗證方式的,人民法院依法予以支持。”根據該規定,小區物業使用人臉識別驗證方式進入小區的,應當就人臉信息收集和人臉識別驗證進入小區征得業主或者物業使用人的同意,如業主或者物業使用人不同意,則可以請求物業服務企業或者其他建筑物管理人提供其他合理的驗證方式。
注重多元價值平衡促進數字經濟健康發展
“保護當事人合法權益,促進數字經濟健康發展”是《規定》的制定宗旨。《規定》在起草過程中緊緊圍繞這一宗旨,既注重權益保護,又注重價值平衡。
一是注重個人利益和公共利益的平衡。在依法保護自然人人臉信息的同時,《規定》第5條在吸收個人信息保護法立法精神的基礎上,對民法典第1036條規定進行了細化,明確規定了使用人臉識別不承擔民事責任的情形。比如,為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需而處理人臉信息的;又如,為維護公共安全,依據國家有關規定在公共場所使用人臉識別技術的,等等。同時,第5條通過“兜底條款”的規定,將其他免責事由適用引向民法典等法律。
二是注重懲戒侵權行為和促進數字經濟發展的平衡。《規定》充分考量人臉識別技術的積極作用,一方面規范信息處理活動,保護敏感個人信息;另一方面注重促進數字經濟健康發展,保護人臉識別技術的合法應用。為了避免對信息處理者課以過重責任,妥善處理好懲戒侵權和鼓勵數字科技發展之間的關系,《規定》第16條明確了本司法解釋不溯及既往的基本規則,即:對于信息處理者使用人臉識別技術處理人臉信息、處理基于人臉識別技術生成的人臉信息的行為發生在本規定施行前的,不適用本規定。
《規定》是人民法院踐行網絡強國戰略的生動實踐,是信息時代精神文明建設的重要法治成果,不僅牢牢站穩了人民立場,也向世界宣告了中國司法在人格權保護方面的積極態度,具有里程碑式的重要意義。
