明晰人脸识别案件司法裁判规则,推动AI行业规范发展——最高院人脸识别司法解释解读
作者:
陈际红 蔡鹏 陈煜烺
★导读★
2021年7月27日,最高人民法院发布《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称“《规定》”),自2021年8月1日起实施。
人脸识别是人工智能技术的重要应用,在为社会生活带来便利的同时,其所带来的个人信息保护问题也日益凸显。“3.15晚会”曝光人脸识别技术滥用乱象、“我国人脸识别第一案”中强制顾客激活人脸识别系统等,体现出人脸识别技术广泛应用与个人信息保护的矛盾日益尖锐。
对于人脸信息等个人信息的保护,我国存在民事、行政和刑事三种救济方式。我国过去长期以行政监管和刑事惩戒作为个人信息保护的主要规制手段,基于民事司法裁判的规制不清晰,原告举证责任难以实现等原因,导致以民事途径维护个人信息权益的司法实践并不顺畅。《规定》的出台,将激活人脸识别技术有关人脸信息保护案件的民事司法保护途径。
一.
明确人脸信息的属性
关于人脸信息的定义和法律属性,《规定》第一条第三款规定“本规定所称人脸信息属于民法典第一千零三十四条规定的‘生物识别信息’”。具体定义可参照国家标准《GB/T 38671-2020 信息安全技术 远程人脸识别系统技术要求》中对“人脸识别”的表述,即人脸识别技术中处理的“人脸信息”为能够识别个体身份的面部特征信息。
从法律属性上讲,笔者总结,因其能够识别个体身份,首先构成“个人信息”[1];其次,由于“人脸识别信息”为面部特征信息,可能包含有身体、健康、年龄、种族等多元信息,甚至可能包括个人的心理信息[2],因此构成“敏感个人信息”[3],具体则属于个人敏感信息中的“生物识别信息”[4]。各信息类型的关系可见下图。
点击图片查看大图
二.
设定人脸识别技术应用的合法边界
《规定》作为《民法典》人格权编配套的司法解释,其在规范逻辑上大体与《民法典》第一千零三十四条至第一千零三十八条相一致。同时,由于人脸信息本质上具有敏感个人信息的属性,故《规定》在为人脸识别技术划定司法边界时,与《网络安全法》以及即将出台的《个人信息保护法》等个人信息保护规则相互呼应,形成了具有体系一致性的司法裁判规则。
1. 明示处理个人信息的目的、方式、范围
规定 | 网络安全法 | 个人信息保护法(二审稿) |
第二条:信息处理者处理人脸信息有下列情形之一的,人民法院应当认定属于侵害自然人人格权益的行为:(二)未公开处理人脸信息的规则或者未明示处理的目的、方式、范围。 | 《网络安全法》第四十一条:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。 | 第七条:处理个人信息应当遵循公开、透明的原则,公开个人信息处理规则,明示处理的目的、方式和范围。 |
《规定》第二条第(二)项要求信息处理者应当公开处理人脸信息的规则,并且明示处理的目的、方式、范围。一方面,此项要求是个人信息处理基本原则[5]中“目的明确”和“公开透明”两项原则的体现,即要求信息处理者应当具有明确、清晰、具体的个人信息处理目的,并且应当以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,接受外部监督。同时,此项规定也是对于个人信息主体知情权的保障,从而确保个人信息主体的同意是其在完全知情的基础上作出的意愿表示。
实践中,此等明示义务通常以《个人信息保护政策》(又称《隐私政策》)等形式实现,根据《个人信息保护法(二审稿)》第十八条、三十一条,所应明示的内容至少包括:1)个人信息处理者的身份和联系方式;2)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;3)个人行使权利的方式和程序。同时,人脸信息作为敏感个人信息,信息处理者还应当向个人告知处理敏感个人信息的必要性以及对个人的影响。
2. 获得单独同意
规定 | 民法典 | 个人信息保护法(二审稿) |
第二条:信息处理者处理人脸信息有下列情形之一的,人民法院应当认定属于侵害自然人人格权益的行为:(三)基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意。 | 第一千零三十五条:处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外。 | 第三十条:基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。 |
无论是《民法典》还是《网络安全法》,都将个人同意作为个人信息处理首要合法性基础。然而,实践中人脸识别技术应用中各种不规范做法,使得个人同意往往流于形式。《规定》第二条第(三)项在《民法典》第一千零三十五条的基础上,考虑《个人信息保护法(二审稿)》的规定,进一步将“同意”细化为“单独同意”。“单独同意”目的在于对人脸信息提供增强式保护,让信息主体更加充分地参与到人脸信息处理的决策之中。从目的上讲,“单独同意”是为了保障个人对于其人脸信息的处理享有知情权、决定权,有权限制或拒绝他人对其个人信息进行处理。
欧盟《通用数据保护条例》明确数据主体的同意是指“数据主体通过书面声明或经由一个清楚确定的动作,表示同意对其个人数据进行处理。该意愿表达应是自愿的(freely given)、特定的(specific)、知情的(informed)、明确的(unambiguous)”。因此,也可借鉴此方式,将充分知情、自愿、明确、特定(单独)作为理解是否满足我国“单独同意”的四个要件。
基于此,“单独同意”首先应当确保收集的“可感知性”,个人充分知情,而不应与其他个人信息处理规则一并告知。其次,“单独同意”应当排除“捆绑授权”,即人脸信息处理的同意应当与其他的个人信息处理行为区分开,并分别征得个人的同意。最后,“单独同意”应当排除“强迫或变相强迫同意”的情况,如人脸信息不属于提供产品或者服务所必需的,个人在拒绝后对产品或服务的使用不应被影响或限制,这也是《规定》第四条[6]之规定的应有之义。
3. 采取技术措施及其他必要措施
规定 | 网络安全法 | 个人信息保护法(二审稿) |
第二条:信息处理者处理人脸信息有下列情形之一的,人民法院应当认定属于侵害自然人人格权益的行为:(五)未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全,致使人脸信息泄露、篡改、丢失。 | 第四十二条第二款:网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。 | 第五十一条:个人信息处理者应当根据个人信息的处理目 的、处理方式、个人信息的种类以及对个人的影响、可能存在的安全风险等,采取必要措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除。 |
《规定》第二条第(五)项要求信息处理者应当采取技术措施或者其他必要措施确保人脸信息安全,此等措施的具体要求可参照《信息安全技术 个人信息安全规范》[7]关于个人敏感信息的传输和存储要求予以执行。具体包括:
传输和存储人脸信息应采用加密等安全措施;
人脸信息应与个人身份信息分开存储;
原则上不应存储原始人脸信息(如样本、图像等),可采取的措施包括但不限于:1)仅存储人脸信息的摘要信息;2)在采集终端中直接使用人脸信息实现身份识别、认证等功能;3)在使用人脸识别特征实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。
4. 不得违法或违约向他人提供
《规定》第二条第(六)项将违反法律、行政法规和违约向他人提供人脸信息作为侵害自然人人格权益的法定情形。关于法律、行政法规对于向他人提供个人信息的要求可见《个人信息保护法(二审稿)》第二十四条,包括向个人告知接收方的身份、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。同时,《信息安全技术 个人信息安全规范》还要求提供个人敏感信息前,应告知数据接收方的身份和数据安全能力,企业在向关联方或第三方提供相应人脸信息前应予以遵循。
5. 责任豁免
在充分保护人脸信息的同时,《规定》通过建立责任豁免制度,为人脸识别技术的应用和发展留下空间,也为企业合规使用人脸识别技术以及处理基于人脸识别技术生成的人脸信息提供合法的路径指引。
《规定》第五条在吸收《个人信息保护法(二审稿)》立法精神的基础上,对民法典第一千零三十六条规定进行了细化,明确规定了使用人脸识别技术的责任豁免情形,包括:
为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
为维护公共安全,依据国家有关规定使用人脸识别技术;
为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息;
在自然人或者其监护人同意的范围内合理处理人脸信息。
同时,《规定》第七条第二款规定,信息处理者利用网络服务处理人脸信息侵害自然人人格权益的,适用《民法典》关于通知-删除规则的相应规定,笔者理解,这事实上也为网络服务提供者设置了网络环境下的责任豁免情形。
三.
设定三元救济路径:侵权、违约和公益诉讼
《规定》分别从侵权、违约和消费者公益诉讼三个层面形成了我国个人信息保护的三元规制路径,为个人信息主体实现人脸信息保护提供了有力的法律基础。其中,《规定》第二条至第九条主要从人格权和侵权责任角度明确了滥用人脸识别技术处理人脸信息行为的性质和责任;第十条至第十二条从合同角度对实践中涉及人脸识别的重点问题予以回应,包括物业服务、格式条款效力、违约责任承担等;第十四条则从民事公益诉讼的角度规定了信息处理者处理人脸信息的行为符合《民事诉讼法》《消费者权益保护法》等关于民事公益诉讼的相关规定时,法律规定的机关和有关组织可以提起民事公益诉讼。
此种三元规制体系的一大亮点在于,将违约作为与侵权救济同一位阶的救济手段,有利于保障当事人在起诉时选择最有利于保障自身合法权益的请求权基础。例如,相比于违约案件,在人格权侵权案件中,受害人的损失或侵权人的获利往往难以直接举证,受害人在主张赔偿额时可能面临举证不能的困境。通过设立违约责任,自然人可通过约定违约金以解决过去自然人在主张个人信息侵权之诉时赔偿额难以计算的困境。
关于人脸识别信息的民事救济路径,在“国内人脸识别第一案”[8]中,该案历经两审,法院在判决书分别从消费者权益保护、个人信息保护(侵权)和合同法角度进行论述,认定其应当承担单方变更入园方式的违约责任,以及超出事前收集目的激活已收集的照片的侵犯个人信息权益的相应责任。
四.
民事责任的裁量和承担
1. 民事责任形式及考量因素
首先,《规定》第二条将违法处理人脸信息认定为侵害自然人人格权益的行为,对此《民法典》第九百九十五条规定了一般侵害人格权应承担的停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉等责任形式。其次,《规定》第八和第九条分别明确了自然人有权主张财产损害赔偿及为制止侵权行为所支付的合理开支,同时对于特定情形下的侵害行为,自然人有权申请法院作出人格权侵害禁令。据此,对于侵害人脸信息的行为,可能承担的民事责任形式包括:
(1)停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉;(2)财产损害赔偿;(3)制止侵权行为的合理开支;(4)人格权侵害禁令。
同时,《规定》第三条明确了认定上述民事责任时应考量的因素,即适用民法典第九百九十八条[9]的规定,并结合案件具体情况综合考量受害人是否为未成年人、告知同意情况以及信息处理的必要程度等因素。其中,将受害人是否为未成年人作为重要考量因素,并在其他条款中要求处理未成年人人脸信息必须征得其监护人的单独同意,体现了《规定》坚持最有利于未成年人原则,对于违法处理未成年人人脸信息的,在责任承担时依法予以从重从严,确保未成年人人脸信息依法得到特别保护。
2. 合理分配举证责任
人脸识别技术应用领域往往存在消费者与经营者双方当事人经济实力不对等、信息不对称等问题,如果仅运用民事诉讼基本原则“谁主张积极事实,谁承担证明责任”,从形式上平等地适用于消费者领域的侵权举证责任分配,将无法最终实现当事人双方的实质平等。
基于此,《规定》第六条在依据现有一般举证责任法律适用规则的基础上,通过第六条第二款规定,“信息处理者主张其行为符合民法典第一千零三十五条第一款[10]规定情形的,应当就此所依据的事实承担举证责任。”第三款规定,“信息处理者主张其不承担民事责任的,应当就其行为符合本规定第五条[11]规定的情形承担举证责任。”进而在举证责任分配上课以信息处理者更多的举证责任。
五.
热点回应:人脸识别技术的典型争议场景
热点一:公共场所使用人脸识别技术
2021年“3·15”晚会调查发现一些企业在消费者不知情的情况下,违规利用人脸识别技术,通过监控摄像头追踪消费者行程,记录消费者信息,但并未明确告知顾客其人脸信息已被获取。被央视报道后,相关企业发布道歉声明,并表示已安排相关门店连夜拆除摄像设备,但相关事件引发公众对个人隐私的担忧。
针对此类场景,《规定》第二条规定,“信息处理者处理人脸信息有下列情形之一的,人民法院应当认定属于侵害自然人人格权益的行为:(一)在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析。”
首先,应明确该条该规定并非直接排除在经营场所、公共场所使用人脸识别技术的可能性,而是强调使用此等技术应当在不违反法律、行政法规的前提下进行。
与此同时,鉴于客观上公共场所采集的人脸信息数量巨大,法律法规对相关处理行为进行更严格的要求也是应有之义。因此,《个人信息保护法(二审稿)》第二十七条规定,“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供,取得个人单独同意的除外。”一方面,将收集信息的目的仅限于维护公共安全,同时,要求遵循“国家有关规定”,而非仅仅指法律、行政法规,这意味着规章等规范性文件以及相关国家标准、地方标准也将成为判断其合法性的重要参照。
热点二:强制索权、捆绑索权
以自2018年开始的App专项治理行动为抓手,App强制索权、过度索权、捆绑索权成为近期主管部门监管的重点领域。
App专项治理实施的行政监管或行政处罚手段有其局限性,基于此,要求App运营者直接对用户承担民事责任将有利于改变现状,《规定》第四条规定,信息处理者不得要求自然人同意处理其人脸信息才提供产品或者服务,除非处理人脸信息属于提供产品或者服务所必需;此外,信息处理者不得以授权捆绑、强迫或变相强迫等方式等方式要求自然人同意处理其人脸信息。
对于企业而言,在获取处理人脸信息权限时应当从整体上遵循知情同意和最小必要两项个人信息保护的基本原则。具体而言,以App为例,自2019年,全国信息安全标准化技术委员会、电信终端产业协会陆续发布《网络安全实践指南-移动互联网应用基本业务功能必要信息规范》《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》《App用户权益保护测评规范 权限索取行为》,以及包含《App收集使用个人信息最小必要评估规范 总则》等在内的17项评估规范,从权限的合理应用场景和信息收集最小必要要求等层面对App权限索取行为作出了相应要求。此外,网信办等四部门于2021年3月发布《常见类型移动互联网应用程序必要个人信息范围规定》,明确了常见类型App可收集的必要个人信息范围,可以作为企业合规运营App的良好参照。
热点三:物业服务以人脸识别作为唯一验证方式
近几年,部分小区使用人脸识别门禁系统的问题受到社会的广泛关注,用“刷脸”代替“刷卡”被认为是一种智能化管理的新模式。但由此引发的问题在于,在录入人脸信息时,小区物业往往同时要求人脸信息和详细住址、身份信息相绑定,这些信息一旦泄露,将可能给个人隐私造成难以弥补的损害。同时,人脸信息本质上属于个人信息,只有业主或者物业使用人自愿同意使用人脸识别,对人脸信息的采集、使用才有合法性基础。
据此,《规定》第十条第一款规定,“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。”根据该条及相关规定,小区物业在使用人脸识别门禁系统录入人脸信息时,应当征得业主或者物业使用人的单独同意,对于不同意的,小区物业应当提供替代性验证方式。
笔者理解,物业服务场景与“国内人脸识别第一案”的场景有所不同,在实践中物业合同通常由物业公司与业主委员会签订,此等合同较难被认定为消费者合同,进而难以适用消费者权益保护的视角进行调整,同时在物业合同中相关条款的细化程度往往并不高,难以明确物业服务企业以人脸识别作为唯一验证方式是否具有违法或违约性质。通过发布上述《规定》,业主或物业使用人将有权直接以“提供其他合理验证方式”作为诉讼请求,有利于改变此种现状。
结语
最高人民法院研究室副主任郭锋先生在新闻发布会上表示,“人脸信息具有唯一性和不可更改性,我们可以换手机、可以换密码、可以换住址,但是我们没法‘换脸’。人脸信息一旦泄露,侵权影响,包括技术歧视或算法偏见所导致的不公平待遇甚至可能伴随其一生。”
人脸识别技术是个人信息保护领域的重中之重,《规定》在民事领域划定了使用人脸识别技术的合法性边界,也留下了技术发展的空间。随着《民法典》贯彻实施的不断深入、《个人信息保护法》即将颁布实施,未来其他个人信息保护细分领域的裁判思路可见一斑。涉及人脸识别技术等AI企业应当迎接挑战,把握机遇,以合规路径响应人工智能时代的个人信息保护发展。
[注]
[1]《网络安全法》第七十六条。
《民法典》第一千零三十四条。
[2] 王利明:人脸信息是敏感信息和核心隐私应该强化保护,https://www.shupl.edu.cn/xbbjb/2021/0201/c2265a86508/page.htm。
[3]《信息安全技术 个人信息安全规范》附录B
个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
[4]《信息安全技术 个人信息安全规范》附录B——表B.1
[5]《信息安全技术 个人信息安全规范》4 个人信息安全基本原则
[6] 第四条 有下列情形之一,信息处理者以已征得自然人或者其监护人同意为由抗辩的,人民法院不予支持:
(一)信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外;
(二)信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的;
(三)强迫或者变相强迫自然人同意处理其人脸信息的其他情形。
[7]《信息安全技术 个人信息安全规范》6.3 个人敏感信息的传输和存储
[8] 案件具体情况参见(2019)浙0111民初6971号民事判决书。
[9]《民法典》第九百九十八条 认定行为人承担侵害除生命权、身体权和健康权外的人格权的民事责任,应当考虑行为人和受害人的职业、影响范围、过错程度,以及行为的目的、方式、后果等因素。
[10]《民法典》第一千零三十五条 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。
[11]《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第五条 有下列情形之一,信息处理者主张其不承担民事责任的,人民法院依法予以支持:
(一)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息的;
(二)为维护公共安全,依据国家有关规定在公共场所使用人脸识别技术的;
(三)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息的;
(四)在自然人或者其监护人同意的范围内合理处理人脸信息的;
(五)符合法律、行政法规规定的其他情形。
The End
作者简介
陈际红 律师
北京办公室 合伙人
业务领域:知识产权权利保护, 网络安全和数据保护, 反垄断和竞争法
特色行业类别:金融行业, 通讯与技术
蔡鹏 律师
北京办公室 合伙人
业务领域:网络安全和数据保护, 知识产权权利保护, 合规和反腐败
特色行业类别:通讯与技术, 健康与生命科学
陈煜烺
北京办公室 知识产权部
作者往期文章推荐
《激活网络安全审查制度 筑牢数据安全防火墙—— <网络安全审查办法(修订草案征求意见稿)>评析》
《欧盟个人数据传输的两项新工具(SCCs):历史演变、法律影响和应对策略》
《九万里风鹏正举:<数据安全法>已来,企业当如何乘风?》
《汽车数据强监管时代开启:<汽车数据安全管理若干规定>(征求意见稿)评析》
《天之未雨 绸缪牖户:企业如何实施个人信息安全影响评估?》
《简评<网络直播营销管理办法(试行)>》
《健康医疗企业IPO数据合规重点问题与应对(下)》
《健康医疗企业IPO数据合规重点问题与应对(上)》
《解读<网络交易监督管理办法>》
《网络安全与数据保护2020年度观察》
《新型电商的数据合规路径》
《EDPB<GDPR下数据控制者及数据处理者概念的指南>解读兼谈<个人信息保护法(草案)>关于处理者的定义》
《2020年APP个人信息治理工作启动,你需要关注的APP自评估指南的主要变化》
《<数据安全法(草案)>观察:构建我国基础性数据安全制度的开端》
《“抗疫”不忘数据合规:<个人金融信息保护技术规范>评析》
《疫情期间企业个人信息保护十问十答》
《App数据收集划定红线:<App违法违规收集使用个人信息行为认定方法>解析》
《网络平台法律责任的司法变化与应对——对最高人民法院涉网络和电商两个司法文件的解读》
《电子商务平台责任与消费者权益保护》
《电子商务领域的知识产权和数据保护》
《<电子商务法>实施后的执法、司法回顾及其趋势》
《<电子商务法>实施后的立法回顾及其趋势》
《新基建主题系列——移动互联网产品跨境出海的合规风险与对策》
《新基建主题系列——人工智能技术开发中的知识产权法律风险》
《不打无准备之仗——企业上市如何面对知识产权诉讼争议?(境外篇)》
《不打无准备之仗——企业上市如何应对知识产权诉讼争议?(境内篇)》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。