CN English中文ItalianoFrançais

浅谈人脸信息保护中的告知同意规则

发布日期:2021-08-20 18:25:09浏览:






广悦律师事务所重磅推出的关于金融、财经领域法律服务的栏目,由银行与金融团队研究总结刊发。专栏内容包括重大疑难金融借款纠纷、信托纠纷、保理纠纷、汇票纠纷、不良资产处置、投融资并购交易,以及金融企业风险控制及处理等各个方面。


广悦律师事务所银行与金融团队业务领域全面覆盖华南地区,并辐射到西南、华东、华中、华北及东北地区,现服务或曾服务的客户类型涵盖商业银行、全牌照金融控股集团、互联网金融企业、资产管理公司等,多年来为多家商业银行及其他金融机构提供定制化、精品化、全方位的金融法律服务。


目录

引言


一、 告知同意规则及其在个人信息保护相关法律中的规定


二、如何做到“合法告知”?

(一)告知的方式及内容

(二)告知的例外


三、何为“有效同意”?

(一)明示同意

(二)《人脸识别若干规定》亮点之“单独同意规则”与“强迫同意无效规则”

(三)同意规则的例外

(四)同意的例外并不一定免除告知义务


四、告知同意规则在我国“人脸识别第一案”中的适用

(一) 指纹识别告示内容:一审判决认定未违反告知同意规则

(二) 人脸识别告示内容:一审法院未直接审查其合法性

(三)实践中应对此类案件中的告知同意问题时可采取的思路


结语


参考文献



前言
近年来,随着信息技术飞速发展,人脸识别技术逐步渗透到人们生活的各个角落。人脸识别技术在诸多领域发挥着巨大作用的同时,也存在可能被滥用的情况,其所带来的个人信息保护问题日益凸显。从2021年央视“3·15”晚会曝光多家知名企业在门店安装人脸识别摄像头违规收集顾客信息,到我国“人脸识别第一案”,人脸识别的数据滥用与信息安全问题一直备受关注。


在此背景下,为正确审理使用人脸识别技术处理个人信息相关民事案件,保护当事人合法权益以及促进数字经济健康发展,最高人民法院于2021年7月27日发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称“《人脸识别若干规定》”或“《规定》”)。在《规定》出台前,关于个人信息保护的现行规定主要见于《民法典》、《消费者权益保护法》、《网络安全法》中,但针对人脸信息的专门性规定较为鲜见,相关民事裁判规则也不甚清晰。《规定》的出台,对各级法院在审理人脸识别相关案件时统一裁判标准具有重要现实意义。《规定》在《民法典》等现行法律法规的基础上,进一步明确了处理人脸信息的规则。


在《民法典》、《消费者权益保护法》、《网络安全法》等与个人信息保护相关的法律法规中,对处理个人信息行为的规制均存在共通的原则如“合法、正当、必要”原则等。除此之外,“告知同意规则”也同样体现于与个人信息保护的相关法律规定中。《规定》在与上述法律一脉相承的基础上,进一步深化了在处理人脸信息时适用告知同意规则的具体标准,如规定“单独同意规则”、“强迫同意无效规则”等,与即将出台的《个人信息保护法》相呼应。


本文将围绕告知同意规则,结合《人脸识别若干规定》等相关法律法规及我国“人脸识别第一案”的判决情况,分析该规则在人脸信息保护中的适用情况。



告知同意规则及其在个人信息保护相关法律中的规定


我国在《民法典》、《网络安全法》和《消费者权益保护法》等多部法律中都对公民个人信息处理的原则与条件进行规定,要求相关主体在处理公民个人信息(包括:公民个人信息的收集、存储、使用、加工、传输、提供、公开等)时,除了应当遵循合法、正当、必要的原则外,还应明示收集、使用信息的目的、方式和范围,并经个人的同意,也即须遵守“告知同意规则”。


告知同意规则,也称“知情同意规则”,是指任何组织或个人在处理个人信息时都应当对信息主体即其个人信息被处理的自然人进行告知,并在取得同意后方可从事相应的个人信息处理活动,否则该等处理行为即属违法,除非法律另有规定。[1]此规则的目的在于,信息处理者将自己处理个人信息的目的、用途、后果告知信息主体,使信息主体出于自身的意志,同意信息处理者的请求,从而强调对人格独立性与自主性的尊重。[2]告知同意规则包含了“告知规则”与“同意规则”,二者紧密联系,不可分割。没有告知,自然人无法就其个人信息被处理作出同意与否的表示;即便告知了,但没有充分、清晰的告知,自然人作出的同意也并非真实有效的同意。反之,虽然充分、清晰地告知,却未取得自然人的同意,对个人信息的处理也是非法的,侵害了个人信息权益。[3]


我国个人信息保护方面的现行法律明确采取了告知同意规则。2012 年的《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条规定:“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”。《网络安全法》第 41 条第 1 款规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”《消费者权益保护法》第二十九条规定:“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息”。《民法典》第1035条第1款规定:“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。”《个人信息保护法(草案一审稿)》第13条曾将作为基本原则的告知同意规则与其他例外情形并列,但是《个人信息保护法(草案二审稿)》对第13条进行了修改,该条增加了一款,即“依照本法其他有关规定,处理个人信息应当取得个人同意,但有前款第二项至第七项规定情形的,不需取得个人同意,”如此一来,就凸显了告知同意规则在个人信息处理活动中基本规则的地位,即取得同意是原则,不需要取得同意是例外。[4]


如何做到“合法告知”?


告知同意规则旨在保护个人的知情权和对自身信息的决定权(自决权)。“知情”和“做出决定”的前提在于个体已经得到信息处理者的充分告知。因此,告知环节是处理个人信息行为的“起点”。那么,具体要如何做才属于“合法告知”?


(一)告知的方式及内容

关于处理人脸信息之主体的具体告知义务,《规定》承袭了《民法典》等现行法律的相关规定,采用了“公开处理人脸信息的规则”“明示处理的目的、方式、范围”的表述,并未进一步对告知方式、内容等进行详细规定。但是,《个人信息保护法(草案二审稿)》中对告知义务作出了更为详细的规定:“第十八条个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言向个人告知下列事项: (一)个人信息处理者的身份和联系方式; (二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限; (三)个人行使本法规定权利的方式和程序; (四)法律、行政法规规定应当告知的其他事项。”


告知的模糊会导致同意的不自由。信息处理者多会通过用户隐私政策、隐私协议等方式,告知信息主体个人信息的处理情况,但此类模式的告知,可能不能使用户真正理解隐私政策的含义。在绝大多数情况下,非出于特殊目的,用户不会详细阅读信息处理者提供的隐私政策,而直接选择同意或接受。即使阅读隐私政策,绝大多数隐私政策不仅使用极小的字体,还篇幅冗长,人为地制造了阅读的障碍,且隐私政策中无实质作用的条款过多,使得宣示性效果大于实质性作用。用户的知识水平存在客观差异,而信息处理者为了转移合规风险,往往用专业化、模糊化的用语来描述收集个人信息的目的、用途,在不具有专业知识的情况下,信息主体可能无法正确理解用语和条款的含义。[5]因此,《个人信息保护法(草案二审稿)》明确要求信息处理者须采用“显著方式、清晰易懂的语言”向个人告知。


值得注意的是,《App违法违规收集使用个人信息行为认定方法》对App运营者收集个人信息的行为作出了更为详尽的规定。其中,在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则、隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版、有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等,均被列为“未公开收集使用规则”或“未明示收集使用个人信息的目的、方式和范围”的违法行为。


另外,由于人脸信息是个人生物特征信息,属于“敏感个人信息”,因此处理人脸信息还需遵循更高要求——《个人信息保护法(草案二审稿)》第三十一条:“个人信息处理者处理敏感个人信息的,除本法第十八条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人的影响。”个人信息处理者向他人提供其处理的个人信息的,还应当向个人告知接收方的身份、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。


(二)告知的例外

《个人信息保护法(草案二审稿)》第十九条及第三十五条规定了告知规则的例外:“个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条规定的事项。”“国家机关为履行法定职责处理个人信息,应当依照本法规定向个人告知并取得其同意;法律、行政法规规定应当保密,或者告知、取得同意将妨碍国家机关履行法定职责的除外。”也即是说,《个人信息保护法(草案)》中告知义务的例外情形可以分为三类:一,法律、行政法规规定应当保密的情形;二,法律、行政法规规定不需要告知的情形;三,告知将妨碍国家机关履行法定职责的情形。[6]


在这三种情形中,虽然信息处理者均被免除了告知义务,但性质有所不同。在第一种情形中,若信息处理者将本该依法予以保密的内容告知信息主体,则该告知行为将违反法定的保密义务,属违法行为。法律、行政法规规定应当保密的情形是非常明确的,主要是基于侦查犯罪、反恐怖主义等维护公共安全、国家安全等社会公共利益和国家利益的考虑而规定信息处理者的保密义务。[7]在第二种情形中,信息处理者不负有保密义务,可以自由选择告知或不告知,笔者认为这种例外情形有较大可能是为了节约告知成本。第三种情形与前两种情形的不同之处在于,“告知将妨碍国家机关履行法定职责的情形”并不需以法律或行政法规的明确规定为前提,也即是说,信息处理者(在此情形中通常为国家机关)在一定程度上享有判断告知行为是否将妨碍国家机关履责的“自由裁量权”。


何为“有效同意”?


(一)明示同意

在互联网技术快速发展的今天,一般个人无法“洞悉”自己每一条信息的走向,大多数人正在默示同意的情况下生活在个人信息日益透明化的环境中。[8]默示同意相较于明示同意的优势在于不需要信息主体以明确的方式表示自身的意思,只要主体不明确反对即可进行信息的处理行为。但即使仅需要信息主体的默示同意也要进行充分的告知,由此可能产生两个问题:第一,信息处理者会忽略告知这一过程,预先为信息主体作出“同意”信息处理的选择,从而跳过信息主体自决的过程;第二,信息处理者虽然进行了告知,但告知不充分,或者限制信息主体的同意撤销权,此时知情同意规则将成为单纯的“告知”规则。[9]


《民法典》、《网络安全法》及《人脸识别若干规定》中均未明文规定处理个人信息包括人脸信息需要取得个体的“明示”同意。但是,《个人信息保护法(草案二审稿)》第十四条规定:“处理个人信息的同意,应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。”从该条文义来看,个体作出的同意之意思表述应采取明示的方式方属有效。


另外,《App违法违规收集使用个人信息行为认定方法》第三条规定:“以下行为可被认定为‘未经用户同意收集使用个人信息’:……4.以默认选择同意隐私政策等非明示方式征求用户同意”。


因此,从《个人信息保护法(草案二审稿)》及相关现行法规的规定来看,明示同意或将成为界定同意是否有效的重要标准之一。


(二)《人脸识别若干规定》亮点之“单独同意规则”与“强迫同意无效规则”


1、单独同意规则

在人脸信息处理问题上,《规定》第二条规定:“信息处理者处理人脸信息有下列情形之一的,人民法院应当认定属于侵害自然人人格权益的行为:……(三)基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意”。


《规定》关于“单独同意规则”的规定可谓一大亮点,进一步细化了《民法典》等现行法律中关于同意规则的原则性规定,与即将出台的《个人信息保护法》相呼应。《个人信息保护法(草案二审稿)》第三十条规定:“基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。”


最高法相关负责人就该《规定》答记者问时表示:“由于人脸信息属于敏感个人信息,处理活动对个人权益影响重大,因此,在告知同意上,有必要设定较高标准,以确保个人在充分知情的前提下,合理考虑对自己权益的后果而作出同意。《规定》第2条第3项引入单独同意规则,即:信息处理者在征得个人同意时,必须就人脸信息处理活动单独取得个人的同意,不能通过一揽子告知同意等方式征得个人同意。”[10]


2、强迫同意无效规则

若拒绝不自由,则同意无价值。近来,一些App通过捆绑授权等不合理方式强制索取个人信息的现象较为突出。《规定》对此亦作出了回应——其另一大亮点在于引入了“强迫同意无效规则”。第四条规定:“有下列情形之一,信息处理者以已征得自然人或者其监护人同意为由抗辩的,人民法院不予支持:(一)信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外;(二)信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的;(三)强迫或者变相强迫自然人同意处理其人脸信息的其他情形。”


对此新规,最高法负责人在答记者问时明确表示:“自愿原则是民法典的基本原则之一,个人的同意必须是基于自愿而作出。特别是对人脸信息的处理,不能带有任何强迫因素。如果信息处理者采取‘与其他授权捆绑’、‘不点击同意就不提供服务’等做法,会导致自然人无法单独对人脸信息作出自愿同意,或者被迫同意处理其本不愿提供且非必要的人脸信息。为强化人脸信息保护,防止信息处理者对人脸信息的不当采集,《规定》第4条对处理人脸信息的有效同意采取从严认定的思路。对于信息处理者采取‘与其他授权捆绑’、‘不点击同意就不提供服务’等方式强迫或者变相强迫自然人同意处理其人脸信息的,信息处理者据此认为其已征得相应同意的,人民法院不予支持。第4条的规定不仅适用于线上应用,对于需要告知同意的线下场景也同样适用。”[11]


(三)同意规则的例外

《个人信息保护法(草案二审稿)》第十三条规定了同意规则的例外情形:“……(二)为订立或者履行个人作为一方当事人的合同所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)依照本法规定在合理的范围内处理已公开的个人信息;(六)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(七)法律、行政法规规定的其他情形。依照本法其他有关规定,处理个人信息应当取得个人同意, 但有前款第二项至第七项规定情形的,不需取得个人同意。”《人脸识别若干规定》第五条中亦规定了人脸信息处理之同意规则的例外情形,如“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息的;为维护公共安全,依据国家有关规定在公共场所使用人脸识别技术的;为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息的”等,与《个人信息保护法(草案二审稿)》相呼应。


从上述条文可见,“同意之例外”情形尤其强调对公共利益的保护。如前文所述,告知同意规则旨在保护信息主体对其个人信息的自决权,强调对人格独立性与自主性的尊重,其中同意规则尤其体现出私法领域中的意思自治原则。但在个体的人格利益之外,个人信息处理过程还可能牵涉诸多同样应当得到法律规范保护的利益,这其中既有公共利益,也有其他社会个体的利益,这些利益有着不同的取向,很可能与自然人的人格利益在个人信息处理的节点发生冲突。[12]明确个体同意外的其他信息处理合法性基础,体现出在不同利益冲突之下的价值衡量取向。当认定公共利益或其他社会个体的利益在冲突中应得到优先考量时,即催生出告知同意原则的例外——其他应受法律保护之价值的存在,亦是个体信息处理的合法性基础。[13]相较而言,《个人信息保护法(草案二审稿)》中对告知规则之例外情形的规定较为明确——其中两种例外情形均需以法律或行政法规的具体规定为前提。但是从《个人信息保护法(草案二审稿)》及《人脸识别若干规定》中规定的几种同意之例外情形来看,其中存在较多需要结合具体情形进行特别界定的概念,例如“必需”、“紧急情况”、“合理的范围”、“公共利益”及“公共安全”等。因此,要判断某种情形是否属于前述“同意规则之例外”,还需结合实际情况进行判断,更加考验司法实践中在面对个人利益与公共利益冲突时的价值平衡之道。


(四)同意的例外并不一定免除告知义务

告知是取得同意的前提,不满足法定要求的告知将导致同意无效,但告知义务并非依附于个体同意而存在。“同意”的例外并不必然导致“告知”的例外。虽然《个人信息保护法(草案二审稿)》同样规定了在特定情形下可以未经同意即处理个人信息,但并不代表这些情况下同时免除了告知义务。例如,该法草案第十三条规定在“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需”的情形下处理个人信息可以不需取得个人同意,但第十九条第二款同时规定“紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。”


也就是说,处理者即便基于法律、行政法规规定的情形处理个人信息,虽然不需要取得个人的同意,但是仍然要履行告知义务。之所以在无须个人同意的个人信息处理活动中,原则上也必须适用告知规则,使处理者负有告知义务,根本原因在于要贯彻落实公开透明原则,保护个人对个人信息处理的知情权。[14]


告知同意规则在我国“人脸识别第一案”中的适用


2021年4月9日,历时近两年的国内“人脸识别第一案”(郭兵与杭州野生动物世界有限公司服务合同纠纷案)在杭州市中级人民法院二审宣判。相对于一审判决,二审法院增判杭州野生动物世界删除指纹识别信息,但同样驳回郭兵提出的确认杭州野生动物世界店堂告示、短信通知中相关内容无效等其他诉讼请求。对此结果,郭兵在接受记者采访时表示,一审二审判决结果均回避了杭州野生动物世界是否违法收集和使用个人信息这一核心事实,这是他提起再审的主要原因,希望浙江省高级人民法院能够对这一核心问题定性。[15]


在一审程序中,原告郭兵要求确认被告杭州野生动物世界相关告示和短信通知中“扫描指纹后激活年卡”“凭年卡及指纹正常使用”“持卡人游览园区时需同时验证年卡及指纹入园”“请未进行人脸激活的年卡用户携带实体卡至年卡中心激活”“园区年卡系统已升级为人脸识别入园,原指纹识别已取消,即日起,未注册人脸识别的用户将无法正常入园”“人脸注册激活领取年卡”“凭年卡及人脸扫描入园”“持卡人游览园区时需同时验证人脸识别及年卡入园”等内容无效。[16]一审法院对上述请求均予以驳回,但该判决中对指纹识别与人脸识别相关请求的判决所依据的理由各有不同——


(一)指纹识别告示内容:一审判决认定未违反告知同意规则

一审法院认为:“本案中,野生动物世界基于年卡用户可在有效期内无限次入园畅游的实际情况,使用指纹识别、人脸识别等生物识别技术,以达到甄别年卡用户身份、提高年卡用户入园效率的目的,该行为本身符合前述法律规定的“合法、正当、必要”三原则的要求。郭兵办理年卡时,野生动物世界的店堂告示以醒目的文字告知购卡人需要提供包括指纹在内的部分个人信息,郭兵自行决定提供该信息成为年卡客户。该店堂告示内容保障了郭兵的消费知情权和对个人信息的自主决定权,未作出排除或者限制消费者权利、减轻或者免除经营者责任、加重消费者责任等对消费者不公平、不合理的规定,不属于《消费者权益保护法》第二十六条第三款规定的因含有上述内容导致无效的情形”,[17]故法院据此驳回了郭兵关于认定指纹识别告示内容无效的诉讼请求。


就法律依据而言,一审法院对指纹识别告示内容的合法性审查依据主要依据的是《消费者权益保护法》中“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意”的规定。在告知同意方面,法院认为野生动物世界的店堂告示“以醒目的文字告知购卡人需要提供包括指纹在内的部分个人信息,郭兵自行决定提供该信息成为年卡客户。该店堂告示内容保障了郭兵的消费知情权和对个人信息的自主决定权”,未违反告知同意规则。关于野生动物世界收集使用郭兵的指纹信息是否符合“合法、正当、必要”原则先在所不论,但就该行为是否符合告知同意规则,笔者认为有待商榷。


在本案中,一审判决中认定野生动物世界收集指纹信息符合告知义务之履行的主要理由是该店堂告示采用了“醒目的文字”予以告知。但是,如前文所述,“合法告知”不仅要做到“告知方式合法”,告知的内容也当合法。即便不讨论《民法典》及《个人信息保护法(草案)》中关于告知内容的规定,仅依据法院判决引用的《消费者权益保护法》,商家履行告知义务时也应当“明示收集、使用信息的目的、方式和范围”。然而在此案中,野生动物世界相关告示和短信通知中仅告知“扫描指纹后激活年卡”“凭年卡及指纹正常使用”“持卡人游览园区时需同时验证年卡及指纹入园”,无法看出其已明确告知处理信息的“目的、方式和范围”,尚不能看出其已尽到完全的告知义务。若告知不充分,那么郭兵“自行决定提供该信息成为年卡客户”可能并不构成“有效同意”。


(二)人脸识别告示内容:一审法院未直接审查其合法性

关于郭兵提出的要求确认商家店堂告示及短信通知中关于人脸识别的内容无效的诉讼请求,一审法院认为在郭兵与商家已经达成采取指纹识别入园方式之合意的情况下,商家在履行合同期间拟将入园方式变更为人脸识别属单方变更合同的行为,该短信的内容对郭兵而言属于新的要约。鉴于郭兵明确表示不同意变更为人脸识别入园方式,即未针对该要约作出承诺,故双方并未就人脸识别入园方式达成合意,即未成立新的合同。据此,一审法院认为该店堂告示内容未成为郭兵与野生动物世界之间的合同条款,对郭兵不发生法律效力,郭兵对该店堂告示不具有法律上的直接利害关系,其要求确认涉人脸识别的短信通知和店堂告示内容无效不符合《民事诉讼法》第一百一十九条第一项的规定,故不予支持。[18]


一审法院以郭兵与人脸识别告示不存在直接利害关系为由,未对商家告示及短信的内容进行合法性审查。若我们单纯从该告示及短信内容来看,其内容与前述关于指纹识别的信息内容并无太大区别,故其可能同样存在未完全告知使用目的、方式及范围的情形。另外,告示中“即日起,未注册人脸识别的用户将无法正常入园”的相关陈述是否构成“强迫同意”,亦值得探讨。从《人脸识别若干规定》来看,信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,若处理人脸信息不属于提供产品或者服务所必需,则可能构成“强迫同意”情形。因此,若本案中商家无法证明人脸信息属于入园之必需信息,则其收集使用人脸信息的行为可能违法。


(三)实践中应对此类案件中的告知同意问题时可采取的思路

随着人脸识别技术的不断发展应用,未来必将有越来越多与人脸信息保护相关的案件涌现。虽然一审法院在“人脸识别第一案”中引用的法律依据主要是《消费者权益保护法》,但随着《人脸识别若干规定》等相关法律法规的出台,《个人信息保护法》也三审在即,人脸信息保护的力度将逐渐加强,其规则也将不断细化和完善。因此在应对此类案件时,首先应密切关注相关法律法规的更新和变化情况。


具体到人脸识别案件中告知同意规则的适用问题,可采取的思路如下:先结合实际情况判断信息处理者是否具有告知义务,若有,其告知方式及内容是否符合法律规定,再进一步判断信息主体是否已经针对告知内容作出有效同意(不需要取得同意的情形除外)。此“告知”与“同意”的规则其实与判断合同是否成立的“要约”与“承诺”规则类似,关键在于判断双方是否已就人脸信息处理达成合意。若已经达成合意,则下一步需判断的是信息处理者是否严格在信息主体同意的范围之内处理相关信息。需要注意的是,由于人脸信息属于个人敏感信息范畴,针对人脸信息的告知同意规则也更加严格。目前《人脸识别若干规定》已经出台,该司法解释对诸如“捆绑授权”、“不点击同意就不提供服务”等情形作出了相应规制,在实践中应对相关案件时亦当密切留意此类常见情形。


笔者总结告知同意规则的判断流程如下:



结语


本文围绕告知同意规则,结合现行法律规定及即将出台的《个人信息保护法》对《人脸识别若干规定》的亮点及人脸识别等个人信息相关的处理规则进行了探讨。虽然告知同意规则属于个人信息保护领域的重要规则之一,但它并不能涵盖一切。在《民法典》等现行法律中,明确规定处理个人信息还应遵循“合法、正当、必要”原则,在《个人信息保护法(草案二审稿)》中,还进一步采取了与公法中的“比例原则”相类似的“应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式”等规则。正如一些观点指出:“信息主体的同意并非信息处理者免责的正当性基础,尽管《民法典》第1036条规定,在信息主体同意范围内合理实施的处理行为不承担民事责任,但显然侵权行为不在免责范围之内。知情同意规则并非不受限制,通信自由、隐私权保护制度、正当目的原则、必要原则等均对知情同意规则的适用有一定的限制,信息主体的同意并不能阻却处理者行为的违法性,因此,即使在获取了同意的情况下,信息处理者可能仍要承担侵权责任。”[19]


因此,告知同意原则只是个人信息保护领域的适用规则之一,但同时也是不可或缺的规则。通过整理从《网络安全法》《民法典》等到《人脸识别若干规定》《个人信息保护法(草案)》等相关法律法规的立法进程,不难发现个人信息的保护在我国愈发被重视,国家对其保护的力度也逐渐加强。个人信息相关条款被列入《民法典》的“人格权编”,表明对个人信息的保护关系着对人的价值及人格尊严的重视。在立法活动和法律实践过程中,人的价值和尊严体现在:人应当被作为目的本身,而非被当成某种工具或手段。因此,随着信息技术的飞速发展,个人信息的保护也应当与时俱进。但是,与此同时,也正如最高法相关负责人就《规定》答记者问时所言,个人信息的保护涉及到个人利益与公共利益的平衡,亦涉及到注重惩戒侵权行为和促进数字经济发展的平衡,其中的“平衡度”可能需要在不断的立法与司法实践中去更新和把握,以尊重个体通过私人自治的方式以实现个人信息在技术平台、商业利益和社会需求等维度的力量平衡。[20]


注释:

[1]王利明、程啸、朱虎: 《中华人民共和国民法典人格权编释义》,中国法制出版社 2020 年版,第 419 页。

[2]马新彦、张传才:《知情同意规则的现实困境与对策检视》,载于《上海政法学院学报(法治论丛)》1-11页,第2页。

[3]程啸: 《论我国个人信息保护法中的个人信息处理规则》,载于《清华法学》2021年第3期55-73页,第61页。

[4]程啸: 《论我国个人信息保护法中的个人信息处理规则》,载于《清华法学》2021年第3期55-73页,第62页。

[5]马新彦、张传才:《知情同意规则的现实困境与对策检视》,载于《上海政法学院学报(法治论丛)》1-11页,第2页。

[6]程啸:《论个人信息处理者的告知义务》,载于《上海政法学院学报(法治论丛)》1-14页,第6-7页。

[7]程啸:《论个人信息处理者的告知义务》,载于《上海政法学院学报(法治论丛)》1-14页,第7页。

[8]王雪乔:《论欧盟 GDPR 中个人数据保护与“同意”细分》,载于《政法论丛》2019 年第 4 期136-146页,第137页。

[9]马新彦、张传才:《知情同意规则的现实困境与对策检视》,载于《上海政法学院学报(法治论丛)》1-11页,第3-4页。

[10]最高人民法院《最高法相关负责人就审理使用人脸识别技术处理个人信息相关民事案件的司法解释回答记者提问》

[11]最高人民法院《最高法相关负责人就审理使用人脸识别技术处理个人信息相关民事案件的司法解释回答记者提问》

[12]郑佳宁:《知情同意原则在信息采集中的适用与规则构建》,载于《东方法学》2020年第2期198-208页,第207页。

[13]郑佳宁:《知情同意原则在信息采集中的适用与规则构建》,载于《东方法学》2020年第2期198-208页,第207页。

[14]程啸:《论个人信息处理者的告知义务》,载于《上海政法学院学报(法治论丛)》1-14页,第3页。

[15]古其铮:《<“透明人”时代的个人信息保护>系列:国内人脸识别第一案始末》,载于《民主与法制》周刊2021年第25期,亦可见于

https://mp.weixin.qq.com/s/LUCJ1sFRv9hupw7DTL2gaw 

(最后访问时间:2021年8月7日)。

[16]郭兵与杭州野生动物世界有限公司服务合同纠纷一审民事判决书【案号:(2019)浙0111民初6971号】

[17]郭兵与杭州野生动物世界有限公司服务合同纠纷一审民事判决书【案号:(2019)浙0111民初6971号】。

[18]郭兵与杭州野生动物世界有限公司服务合同纠纷一审民事判决书【案号:(2019)浙0111民初6971号】

[19]马新彦、张传才:《知情同意规则的现实困境与对策检视》,载于《上海政法学院学报(法治论丛)》1-11页,第8页。

[20]范海潮、顾理平:《探寻平衡之道: 隐私保护中知情同意原则的实践困境与修正》,载于《新闻与传播研究》2021 年第 2 期70-85页,第70页。


参考文献

1.王利明、程啸、朱虎: 《中华人民共和国民法典人格权编释义》,中国法制出版社 2020 年版。
2.马新彦、张传才:《知情同意规则的现实困境与对策检视》,载于《上海政法学院学报(法治论丛)》1-11页。
3.程啸: 《论我国个人信息保护法中的个人信息处理规则》,载于《清华法学》2021年第3期55-73页。
4.程啸:《论个人信息处理者的告知义务》,载于《上海政法学院学报(法治论丛)》1-14页。
5.王雪乔:《论欧盟 GDPR 中个人数据保护与“同意”细分》,载于《政法论丛》2019 年第 4 期136-146页。
6.郑佳宁:《知情同意原则在信息采集中的适用与规则构建》,载于《东方法学》2020年第2期198-208页。
7.古其铮:《<“透明人”时代的个人信息保护>系列:国内人脸识别第一案始末》,载于《民主与法制》周刊2021年第25期,亦可见于
https://mp.weixin.qq.com/s/LUCJ1sFRv9hupw7DTL2gaw (最后访问时间:2021年8月7日)。
8. 郭兵与杭州野生动物世界有限公司服务合同纠纷一审民事判决书 【案号:(2019)浙0111民初6971号】。
9.范海潮、顾理平:《探寻平衡之道: 隐私保护中知情同意原则的实践困境与修正》,载于《新闻与传播研究》2021 年第 2 期70-85页。
10. 最高人民法院《最高法相关负责人就审理使用人脸识别技术处理个人信息相关民事案件的司法解释回答记者提问》


声明:本微信文章仅为交流探讨之目的,不得视为广悦律师事务所或其律师出具的正式法律意见,任何仅依照本文的全部或部分内容而做出的行为及因此带来的后果均由行为人自行负责。

分享到:

  • 免责声明
  • 隐私保护
  • 网站地图

Copyright 2020 广东广悦律师事务所. All Rights Reserved. 粤ICP备13002423号-2 Designed by Wanhu