人脸识别是人工智能的重要应用。在为社会生活带来便利的同时,人脸识别技术所带来的个人信息保护问题也日益凸显。
7月28日,最高人民法院举行新闻发布会,发布《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(下称《规定》)。
人脸识别技术滥用严重
一些经营者滥用人脸识别技术侵害自然人合法权益的事件频发,引发社会公众的普遍关注和担忧。
比如,有些知名门店使用“无感式”人脸识别技术在未经同意的情况下擅自采集消费者人脸信息,分析消费者的性别、年龄、心情等,进而采取不同营销策略。
又如,有些物业服务企业强制将人脸识别作为业主出入小区或者单元门的唯一验证方式,要求业主录入人脸并绑定相关个人信息,未经识别的业主不得进入小区。
再如,部分线上平台或者应用软件强制索取用户的人脸信息,还有的卖家在社交平台和网站公开售卖人脸识别视频、买卖人脸信息等。
因人脸信息等身份信息泄露导致“被贷款”“被诈骗”和隐私权、名誉权被侵害等问题也多有发生。
甚至还有一些犯罪分子利用非法获取的身份证照片等个人信息制作成动态视频,破解人脸识别验证程序,实施窃取财产、虚开增值税普通发票等犯罪行为。
最高人民法院副院长杨万明称,上述行为严重损害自然人的人格权益,侵害其人身、财产等合法权益,破坏社会秩序,亟待进行规制。
杨万明指出,人脸信息属于敏感个人信息中的生物识别信息,是生物识别信息中社交属性最强、最易采集的个人信息,具有唯一性和不可更改性,一旦泄露将对个人的人身和财产安全造成极大危害,甚至还可能威胁公共安全。
据APP专项治理工作组去年发布的《人脸识别应用公众调研报告》显示,在2万多名受访者中,94.07%的受访者用过人脸识别技术,64.39%的受访者认为人脸识别技术有被滥用的趋势,30.86%受访者已经因为人脸信息泄露、滥用等遭受损失或者隐私被侵犯。
禁止小区物业强制“刷脸”
当前,部分小区使用人脸识别门禁系统,引发了社会热议。《规定》对此予以回应,这有怎样的考量因素?
最高人民法院研究室副主任郭锋介绍,调研中发现,群众关心小区物业安装人脸识别设备,集中在强制“刷脸”的问题上。人脸信息属于敏感个人信息,小区物业对人脸信息的采集、使用必须依法征得业主或者物业使用人的同意。只有业主或者物业使用人自愿同意使用人脸识别,对人脸信息的采集、使用才有了合法性基础。
他介绍,实践中,部分小区物业强制要求居民录入人脸信息,并将人脸识别作为出入小区的唯一验证方式,这种行为违反“告知同意”原则,群众质疑声较大。
“小区物业不能以智能化管理为由,侵害居民人格权益。”郭锋说。为此,《规定》专门规定:“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。”
根据这一规定,小区物业在使用人脸识别门禁系统录入人脸信息时,应当征得业主或者物业使用人的同意,对于不同意的,小区物业应当提供替代性验证方式,不得侵害业主或物业使用人的人格权益和其他合法权益。
另外,为更好规范物业服务企业或者其他管理人,防止其将人脸信息泄露或者侵害业主或物业使用人隐私,《规定》又进一步明确:“物业服务企业或者其他建筑物管理人存在本规定第二条规定的情形,当事人请求物业服务企业或者其他建筑物管理人承担侵权责任的,人民法院依法予以支持。”这样就对业主及其他物业使用人的人脸信息形成全面保护。
APP“刷脸”必须单独同意
当前,一些APP通过捆绑授权等不合理方式强制索取个人信息的现象较为突出。对此,《规定》是如何采取司法对策的?
最高人民法院研究室民事处处长陈龙业介绍,《规定》明确了以下处理人脸信息的规则:
一是单独同意规则。由于人脸信息属于敏感个人信息,处理活动对个人权益影响重大,因此,在告知同意上,有必要设定较高标准,以确保个人在充分知情的前提下,合理考虑对自己权益的后果而作出同意。
《规定》引入单独同意规则,即:信息处理者在征得个人同意时,必须就人脸信息处理活动单独取得个人的同意,不能通过一揽子告知同意等方式征得个人同意。
二是强迫同意无效规则。基于个人同意处理人脸信息的,个人同意是信息处理活动的合法性基础。只要信息处理者不超出自然人同意的范围,原则上该行为就不构成侵权行为。自愿原则是民法典的基本原则之一,个人的同意必须是基于自愿而作出。特别是对人脸信息的处理,不能带有任何强迫因素。
如果信息处理者采取“与其他授权捆绑”、“不点击同意就不提供服务”等做法,会导致自然人无法单独对人脸信息作出自愿同意,或者被迫同意处理其本不愿提供且非必要的人脸信息。
《规定》对处理人脸信息的有效同意采取从严认定的思路。对于信息处理者采取“与其他授权捆绑”、“不点击同意就不提供服务”等方式强迫或者变相强迫自然人同意处理其人脸信息的,信息处理者据此认为其已征得相应同意的,人民法院不予支持。该规定不仅适用于线上应用,对于需要告知同意的线下场景也同样适用。
必须征得监护人单独同意
关于未成年人的人脸信息,《规定》是如何进行保护的?
最高人民法院研究室副主任郭锋介绍,《规定》坚持最有利于未成年人原则,从司法审判层面加强对未成年人人脸信息的保护。按照告知同意原则,规定信息处理者处理未成年人人脸信息的,必须征得其监护人的单独同意。
关于具体年龄,可依据《未成年人保护法》《网络安全法》以及将来的《个人信息保护法》进行认定。
从责任认定角度看,对侵害人脸信息责任认定的考量因素予以细化,结合当前未成年人人脸信息保护现状,明确将“受害人是否未成年人”作为责任认定特殊考量因素,对于违法处理未成年人人脸信息的,在责任承担时依法予以从重从严,确保未成年人人脸信息依法得到特别保护,呵护未成年人健康成长。
哪些情形“刷脸”不侵权
杨万明介绍,《规定》既注重权益保护,又注重价值平衡。
在价值平衡方面,一是注重个人利益和公共利益的平衡。在依法保护自然人人脸信息的同时,也明确规定了使用人脸识别不承担民事责任的情形,比如,为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息的;再如,为维护公共安全,依据国家有关规定在公共场所使用人脸识别技术的,等等。
二是注重惩戒侵权行为和促进数字经济发展的平衡。《规定》充分考量人脸识别技术的积极作用,一方面规范信息处理活动,保护敏感个人信息,另一方面注重促进数字经济健康发展,保护人脸识别技术的合法应用。
为了避免对信息处理者课以过重责任,妥善处理好惩戒侵权和鼓励数字科技发展之间的关系,《规定》明确了本司法解释不溯及既往的基本规则,即:对于信息处理者使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息的行为发生在本规定施行前的,不适用本规定。