7月28日,最高人民法院发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《规定》),对人脸识别的应用场景、使用目的、责任认定等层面做出规范。 目前,在机场、酒店、银行等场景,人脸识别已经逐渐普及,而在售楼处、商场等地,无感知的人脸识别也悄然兴起,其引发的争议甚至登上了“3·15晚会”。 北京理工大学法学院教授、国家标准《个人信息安全规范》编制组组长洪延青表示,无论是民法典还是网络安全法,都将个人同意作为个人信息处理首要合法性基础。然而,实践中的人脸识别应用存在各种不规范做法,使得个人同意往往流于形式。而《规定》在民法典第一千零三十五条的基础上,充分吸收个人信息保护立法重要成果,进一步将“同意”细化为“单独同意”,目的在于对人脸信息提供增强式保护,让个人更加充分地参与到人脸信息处理的决策之中。 “3·15晚会”曝光个案被界定为侵害自然人人格权益行为 最高人民法院副院长杨万明在《规定》新闻发布会上指出,这部司法解释的颁布实施,对最高人民法院指导各级人民法院正确审理相关案件、统一裁判标准、维护法律统一正确实施、实现高质量司法,具有重要而现实的意义。 杨万明表示,民法典颁布后,最高人民法院对《民事案件案由规定》进行了修正,新增了个人信息保护纠纷案由。民法典施行以来,截止到6月30日,各级人民法院正式以个人信息保护纠纷案由立案的一审案件192件,审结103件。“人脸识别第一案”也于今年4月9日二审宣判,依法保护自然人人脸信息等生物识别信息。随着民法典贯彻实施的不断深入、《个人信息保护法》即将颁布实施,人民法院将进一步通过司法裁判筑起保卫人民群众个人信息权益的坚强司法屏障。 据了解,人脸识别是人工智能的重要应用。大到智慧城市建设,小到手机客户端的登录解锁,都能见到人脸识别的应用。但在为社会生活带来便利的同时,人脸识别技术所带来的个人信息保护问题也日益凸显。如有些知名门店使用“无感式”人脸识别技术在未经同意的情况下擅自采集消费者人脸信息,分析消费者的性别、年龄、心情等,进而采取不同营销策略;有些物业服务企业强制将人脸识别作为业主出入小区或者单元门的唯一验证方式,要求业主录入人脸并绑定相关个人信息,未经识别的业主不得进入小区;部分线上平台或者应用软件强制索取用户的人脸信息,还有的卖家在社交平台和网站公开售卖人脸识别视频、买卖人脸信息等。因人脸信息等身份信息泄露导致“被贷款”“被诈骗”和隐私权、名誉权被侵害等问题也多有发生。 杨万明表示,《规定》针对实践中反映较为突出的问题,从侵权责任、合同规则以及诉讼程序等方面规定了16个条文。其中,《规定》第2条至第9条主要从人格权和侵权责任角度明确了滥用人脸识别技术处理人脸信息行为的性质和责任。 据杨万明介绍,《规定》第2条规定了侵害自然人人格权益行为的认定,针对今年“3·15晚会”所曝光的线下门店在经营场所滥用人脸识别技术进行人脸辨识、人脸分析等行为,以及社会反映强烈的几类典型行为,该条均予以列举,明确将之界定为侵害自然人人格权益的行为。针对部分商家采用一次概括授权、与其他授权捆绑、“不同意就不提供服务”等不合理手段处理自然人人脸信息的,第2条和第4条明确,处理自然人的人脸信息,必须征得自然人或者其监护人的单独同意;对于违反单独同意,或者强迫、变相强迫自然人同意处理其人脸信息的,构成侵害自然人人格权益的行为。第5条对民法典第1036条进行细化,明确了处理人脸信息的免责事由;第6条至第9条分别规定了举证责任、多个信息处理者侵权责任的承担、财产损失的范围界定以及人格权侵害禁令的适用等。 人脸信息不得“无感知收集”、“一揽子收集”、“强迫收集” 在洪延青看来,无论是民法典还是网络安全法,都将个人同意作为个人信息处理首要合法性基础。然而,实践中的人脸识别应用存在各种不规范做法,使得个人同意往往流于形式。 目前,常见的情况包括:“无感知被收集”,即进入人脸识别区域却毫无所知,自然人的人脸信息未经任何告知和同意就直接被收集;“一揽子收集”,即将人脸识别技术的使用和人脸信息的处理规则,与其他个人信息的授权和处理规则,一同写在隐私政策或者用户协议中,一次性征得用户同意,用户根本没有对人脸信息处理的选择权;“强迫收集”,即当人脸信息并非产品或服务的必要信息时,强制要求个人接受人脸识别才能安装或继续使用具体的产品或服务,既不符合自愿原则,还违反了“合法、正当、必要”原则。 洪延青表示,《规定》在民法典第一千零三十五条的基础上,充分吸收个人信息保护立法重要成果,进一步将“同意”细化为“单独同意”,目的在于对人脸信息提供增强式保护,让个人更加充分地参与到人脸信息处理的决策之中。 根据《规定》第二条,基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意的,应当认定属于侵害自然人人格权益的行为。 洪延青称,所谓“单独同意”,是指对人脸信息的处理行为及其规则,个人能够独立于其他个人信息处理行为及规则自由地作出同意。换句话说,对人脸信息的处理,不能与其他个人信息的处理合并在一起获得个人的同意。在充分知情、自愿、明确、单独等要素的有力支撑下,“单独同意”能够有效遏制人脸识别技术的使用乱象。 “客观上而言,任何技术都存在风险,人脸识别技术的风险很大程度不在于该项技术本身,而在于人为应用。该技术的持续稳定发展需要严密科学的规则来保驾护航,通过明确信息处理者的立场边界、规制违法滥用行为,能够促进良性生态系统的形成。面对当前人脸识别问题亟待规制的现状,《规定》的及时出台将人脸信息等个人信息权益的保护落实到可操作层面,为下一步法律层面规范个人信息处理活动、促进数字经济健康发展提供了良好的司法实践样本。”洪延青表示。