今年3·15消费者权益日,央视曝光了多家知名企业在门店中安装摄像头,在客户并不知情的情况下,肆意收集客户人脸信息并利用的市场乱象,该消息一经公布即引起轩然大波。愤怒之余,公众更多地是产生了对个人信息不安全的强烈恐慌。这是因为当下人脸信息已不仅代表着每个人的单纯面部特征,其更是直接关系到个人财产安全、人身安全,以及社会评价等内容的密码锁,一旦遭到泄露或非法使用,将可能给个人带来不可逆转的严重后果。
作为被点名的商家之一,科勒卫浴于第二天进行了回应,其宣称采集的人脸数据仅做统计到店人数使用,而不会对相关信息进行保存、分析和转移,同时已安排相关门店连夜拆除该摄像设备,或做断电下线处理。除此以外,科勒卫浴并未因该行为受到任何行政处罚或其他实质性损失。
这正是目前人脸信息安全保护现状的体现,尽管人脸识别技术已被广泛使用,渗透到了民众生活的方方面面,但实际上关于这一处理行为的规定以及违法违规收集使用人脸信息的行为将面临的后果却仍缺乏足够细致的规范指引。
在这一背景下,最高院于昨日(2021年7月28日)发布的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称“关于人脸识别技术的若干规定”或“规定”)具有重要意义,其将直接为司法实践处理相关案件提供指导依据、为公众维护自身在人脸信息这一重要敏感个人信息上的权益提供参照,同时也对人脸信息处理者行为的合法合规性提出了更高要求。
因此,无论是个人,亦或作为信息处理者的经营者,都十分有必要对这一规定的具体内容进行深入了解。
一
《规定》出台前的监管制度
首先,在了解《规定》的具体内容之前,需要对已有的相关法律制度建立基本了解,才更有助于我们识别《规定》的创新性与突破所在。
在本规定出台之前,关于人脸信息处理行为的监管方式大多是通过人身权益、个人信息、消费者权益等内容在进行保护,总体上而言,针对人脸信息这一特殊对象的专门性规定较少。
(一)《民法典》的相关规定
其中《民法典》主要通过第四编人格权编的相关内容为人脸信息的安全提供法律保护。
其一是肖像权,肖像是指通过影像、雕塑、绘画等方式在一定载体上所反映的特定自然人可以被识别的外部形象。肖像权作为民事主体人格权的重要组成部分,受到法律保护,任何组织或个人不得侵害,法律对自然人的肖像权权利内容、合理使用要求以及保护方式予以了规定;
其二是关于个人信息保护的规定。根据第一千零三十五条的要求,处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并满足征得相关自然人或监护人同意、事先公开处理信息规则、明示处理信息的目的、方式和范围,以及不违反法律、行政法规的规定和双方的约定等前提条件。
(二)《个人信息保护法》、《网络安全法》、《消费者权益保护法》等法律的相关规定
尚在征求意见的《个人信息保护法(草案)》则通过敏感个人信息的规定对人脸信息提供保护。
首先《个人信息保护法》要求处理人脸信息应符合处理一般个人信息的基本要求,如收集个人信息的服务提供者应当向用户明示并取得同意,且要求收集、使用个人信息的过程,应当遵循合法、正当、必要的原则,以及必须公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。对于与其服务无关的个人信息,不得收集。另外,信息处理者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。信息处理者还应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。
除此以外,针对敏感个人信息,该法还特别要求信息的处理者必须具有特定的目的和充分的必要性,且基于个人同意和知情处理信息的必要性以及对个人影响的前提下,才能对敏感个人信息进行处理。
与《个人信息保护法》大致相同,《网络安全法》和《消费者权益保护法》也对于经营者收集、使用、存储消费者个人信息的行为进行了相似规定,主要的区别在于规范的主体类型,以及具体应用场景有所不同。
(三)国家标准《信息安全技术人脸识别数据安全要求》的相关规定
除去上述法律法规,目前正在征求意见的国家标准《信息安全技术 人脸识别数据安全要求》对于人脸信息数据处理的行为进行了更为细化规范。相较前者,这是首部专门针对“人脸识别数据安全”的国家标准,其内容更具有针对性。
该文件主要针对人脸验证、人脸辨识和人脸分析三种人脸图像处理场景下的信息安全进行规范,其目的在于解决人脸数据滥采、泄露或丢失,以及过度存储、使用等问题。
其中在数据收集方面,国标要求开展人脸验证或人脸辨识时,应具有必要性,即非人脸识别方式的安全性或便捷性显著低于人脸识别方式,通过其他方式无法替代以达到相同效果;同时人脸识别数据仅限用于身份识别,而不得用于包括但不限于评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等其他目的。另外,数据控制者还应提供非人脸识别的身份识别方式,供数据主体选择使用,不得强制性要求用户提供人脸数据,也不得因用户不同意收集人脸识别数据而拒绝其使用基本业务功能。
关于数据的存储和使用,国标则要求数据控制者仅可存储人脸识别数据,而对于人脸图像,除非经过数据主体单独书面授权同意外不得存储,相关人脸图像应在完成验证或辨识后立即删除。
另外,此次拟出台的国标还对进行人脸识别的数据控制者提出了技术资质门槛,要求其应具备相应的数据安全防护和个人信息保护能力,包括能够通过生成可更新、不可逆、不可链接的人脸特征,以及加密存储和传输人脸识别数据,采用物理或逻辑隔离方式分别存储人脸识别数据和个人身份信息等技术达到保障人脸信息安全的目的。
二
《规定》的亮点与创新性内容
相较于现有法律法规及国标中的内容,在此基础之上,《关于人脸识别技术的若干规定》的亮点和创新之处主要如下:
(一)明确规定侵害自然人人格权益的人脸信息处理行为类型
根据第二条,《规定》以列举的方式明确了几类应被认定为侵害自然人人格权益的人脸信息处理行为,其中包括“在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析,人民法院应当认定构成侵害自然人人格权益”,另外根据第十条第二款,如物业服务企业或者其他建筑物管理人存在第二条相同情形的,当事人同样有权请求物业服务企业或者其他建筑物管理人承担侵权责任。这一规定直接指涉文章开头3·15晚会上披露的市场乱象,对于相关不合法行为具有有力威慑作用。
(二)强制要求就收集人脸信息取得用户单独同意
由于众多商家或服务提供者在向用户提供服务时,往往采用《服务协议》、《用户政策》等“一揽子”授权方式获取用户知情同意,导致用户只要想使用产品或服务即实际上无法拒绝授权,这一捆绑授权方式进而变相限制了用户的选择权。针对这一行为,《规定》第二条第三款和第四条进行了精准打击,首先即明确要求人民法院应将未基于个人或者其监护人同意处理人脸信息,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意的行为直接认定为侵害自然人人格权益;同时还排除了信息处理者以自然人同意作为其以授权捆绑方式要求自然人同意处理人脸信息的抗辩事由。
这两项规定的结合将实际发挥强制要求信息处理者赋予自然人单独选择是否提供人脸信息的权利,而不再能通过“打包同意”的方式规避用户的明示同意,其影响十分重大。
(三)提供多种诉讼救济手段
1. 有权申请人格权侵害禁令
根据《规定》第九条,自然人有证据证明信息处理者使用人脸识别技术正在实施或者即将实施侵害其隐私权或者其他人格权益的行为,不及时制止将使其合法权益受到难以弥补的损害,向人民法院申请采取责令信息处理者停止有关行为的措施的,人民法院可以根据案件具体情况依法作出人格权侵害禁令。由于泄露、非法使用人脸信息的侵权行为往往可能造成不可逆的严重后果,如需要等待整体诉讼流程结束,判决结果做出后才能获得救济的方式具有滞后性,这一规定将给予个人更便捷、快速和提前的干预手段,以更有效保障自身的合法权益。
2. 直接认定“无期限限制、不可撤销、可任意转授权”的格式条款约定无效
根据第十一条,信息处理者采用格式条款与自然人订立合同,要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利,该自然人依据民法典第四百九十七条请求确认格式条款无效的,人民法院依法予以支持。
这一规定将有力打击实务中不少应用程序,如人脸相机通过格式条款过分索权的行为,针对无限制要求用户授权数据处理者收集、存储、使用、传输,乃至公开用户人脸信息的约定,用户将不再需要承担证明相关条款无效的责任。
3. 行使删除权无需事先进行约定
根据第十二条,信息处理者违反约定处理自然人的人脸信息,该自然人请求其承担违约责任的,人民法院依法予以支持。该自然人请求信息处理者承担违约责任时,请求删除人脸信息的,人民法院依法予以支持;信息处理者以双方未对人脸信息的删除作出约定为由抗辩的,人民法院不予支持。该规定进一步明确,用户对于处理个人人脸信息的授权与权利的撤回均为法定权利,而无需通过约定才能行使。
4. 处理人脸信息的行为如涉及损害社会公共利益,可提起民事公益诉讼
根据第十四条,信息处理者处理人脸信息的行为如因损害众多用户的合法权益,已构成对社会公共利益的损害,法律规定的机关和有关组织可以向人民法院提起民事公益诉讼。
这一规定的意义在于,除污染环境、侵害消费者合法权益外,将侵害人脸信息明确作为一项案件类型,确认相关诉讼案件公众可以通过民事公益诉讼的方式获得救济。通过民事公益诉讼,将有效提高维权效率和大幅度降低个人维权成本,并通过同案同判的方式为类似违法处理个人信息的侵权或违约行为进行有力打击与有效遏制。
三
结语
随着“人脸识别第一案”于今年四月二审宣判,关于人脸信息处理行为合规性的监管进入到了全新的时代,民众越发注意通过诉讼手段维护自身有关人脸信息的合法权益,司法程序对于这一问题也开始逐步发挥干预和规范作用。在这一背景下,《规定》的出台正符合人民群众所急所盼,其中规定直击民众关于“人脸信息安全”所关心的诸多具体问题,具有重要的实务指导意义。尽管这一规定还只是对人脸信息安全保护的初探与尝试,但行远自弥,该规定对于司法实务中关于个人人脸信息安全的保护,以及企业处理人脸信息行为的合法合规性将发挥重要的引领作用。
声明:本微信文章仅为交流探讨之目的,不得视为广悦数据合规研究院或其律师出具的正式法律意见,任何仅依照本文的全部或部分内容而做出的行为及因此带来的后果均由行为人自行负责。如果您需要法律意见或有意就相关议题进一步交流,可以通过电子邮件与我们联系,E-mail:hlw@wjngh.cn 。