不久前,最高人民法院发布《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《规定》),对滥用人脸识别问题作出司法统一规定。《规定》首次全面系统规定了人脸信息保护的裁判规则,为强化敏感个人信息保护提供了有效司法供给,为推动人脸识别技术健康发展注入了强大“绿色动力”,也为网络文明建设汇聚了向上向善力量。

技术滥用现象突出人脸识别亟待规制

在数字经济时代,信息的高效传递给社会生活带来诸多便利,但也易引发个人信息泄露、滥用等多种信息安全问题,这已然成为备受关注的时代议题,人脸信息便是其中特殊问题之一。

个人信息可以分为一般个人信息和敏感个人信息。敏感个人信息是一旦泄露或者被非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满14周岁未成年人的个人信息。在这些敏感个人信息中,通过人脸识别技术所采集的人脸信息非常特殊,是生物识别信息中社交属性最强、最易采集的个人信息,具有唯一性和不可更改性。人脸信息一旦泄露,将对个人的人身和财产安全造成极大危害,甚至还可能威胁公共安全。

人脸识别技术,是指通过对人脸信息的自动化处理,实现验证个人身份、辨识特定自然人或者预测分析个人特征等目的的一项生物识别技术。人脸识别技术是现代网络信息科技尤其是人工智能与大数据技术发展的产物。随着云计算、大数据、物联网、人工智能等互联网技术发展,人脸识别技术凭借便捷、非接触等优势,在消费、金融、出行等社会各领域快速商业化普及。大到智慧城市建设,小到手机客户端的登录解锁,都能见到人脸识别的应用。特别是在国境边防、公共交通、城市治安、疫情防控等诸多领域,人脸识别技术发挥着巨大作用,有力推动精准治理,提高社会管理水平。

与此同时,滥用人脸识别技术侵害人民群众合法权益的形势也日益严峻,一些经营者滥用人脸识别技术侵害自然人人格权益以及财产权益的事件频发,引发社会公众的普遍关注和担忧。比如,有些知名门店使用“无感式”人脸识别技术,在未经消费者同意的情况下擅自采集其人脸信息,分析消费者的性别、年龄、心情等,进而采取不同营销策略。又如,有些物业服务企业强制将人脸识别作为业主出入小区或者单元门的唯一验证方式,要求业主录入人脸并绑定相关个人信息,未经识别的业主不得进入小区。再如,部分线上平台或者应用软件强制索取用户的人脸信息,还有的卖家在社交平台和网站公开售卖人脸识别视频、买卖人脸信息等。因人脸信息等身份信息泄露导致“被贷款”“被诈骗”和隐私权、名誉权被侵害等问题也多有发生。甚至还有一些犯罪分子利用非法获取的身份证照片等个人信息制作成动态视频,破解人脸识别验证程序,实施窃取财产、虚开增值税普通发票等犯罪行为。

据App专项治理工作组2020年发布的《人脸识别应用公众调研报告》,在2万多名受访者中,94.07%的受访者用过人脸识别技术,64.39%的受访者认为人脸识别技术有被滥用的趋势,30.86%的受访者已经因为人脸信息泄露、滥用等遭受损失或者隐私被侵犯。一段时间内,人脸识别成为热门词,社会公众对人脸识别技术滥用的担心不断增加,规制滥用现象迫在眉睫。

明确人脸信息处理规则筑牢敏感信息安全防线

最高人民法院及时制定出台《规定》,对滥用人脸识别问题作出司法统一规定,既为人民群众维权提供了明确的裁判指引,也为相关信息处理者依法处理敏感个人信息提供了有效的行为指引。《规定》重点明确了如下规则:

(一)单独同意规则

告知同意规则,也称“知情同意规则”,是指任何组织或个人在处理个人信息时都应当对信息主体即其个人信息被处理的自然人进行告知,并在取得同意后方可从事相应的个人信息处理活动,否则处理行为即属违法,除非法律另有规定。无论是民法典还是网络安全法,都将个人同意作为个人信息处理首要合法性基础。然而,实践中人脸识别应用存在各种不规范做法,使得个人同意往往流于形式。人脸信息属于高度敏感的个人信息,在告知同意上,有必要设定较高标准,以确保个人在充分知情的前提下,合理考虑对自己权益的影响而作出同意,让个人更加充分地参与到人脸信息处理的决策之中。

《规定》在民法典第1035条的基础上,充分吸收个人信息保护立法重要成果,进一步将“同意”细化为“单独同意”,即:信息处理者在征得个人同意时,必须就人脸信息处理活动单独取得个人同意,不能通过一揽子告知同意等方式征得个人同意,否则处理人脸信息的行为属于侵害人格权益的行为。需要注意的是,单独同意规则只适用于基于个人同意处理人脸信息的情形,对于法律、行政法规所规定的不需要征得个人同意的情形,不适用该规则。

(二)强迫同意无效规则

基于个人同意处理人脸信息的,个人同意是信息处理活动的合法性基础。只要信息处理者不超出个人同意的范围,原则上该行为就不构成侵权行为。自愿原则是民法典的基本原则之一,个人的同意必须基于自愿而作出。特别是对人脸信息的处理,不能带有任何强迫因素。

调研发现,部分App往往将非必要的人脸信息作为提供产品或服务的前提条件,不同意就无法继续安装或使用该应用程序;还有的信息处理者以与其他授权捆绑等方式,强迫或者变相强迫自然人同意处理其人脸信息。对于这种通过模式设计强制索取人脸信息的现象,公众感受最深、反映最强烈,但是维权较难。

为强化人脸信息保护,防止信息处理者对人脸信息的不当采集,《规定》充分吸收个人信息保护法(当时尚未正式施行)的立法精神,借鉴欧盟《通用数据保护条例》的做法,确立了人脸信息的“强迫同意无效规则”,对人脸信息有效同意采取从严认定的思路,对常见的违背自然人意愿强迫同意的情形进行列举,并对其效力予以否定性评价。

《规定》第4条明确:“有下列情形之一,信息处理者以已征得自然人或者其监护人同意为由抗辩的,人民法院不予支持:(一)信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外;(二)信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的;(三)强迫或者变相强迫自然人同意处理其人脸信息的其他情形。”

需要注意的是,第4条第1项还规定了例外情形:处理人脸信息属于提供产品或者服务所必需的情形。也就是说,如果处理人脸信息属于提供产品或者服务所必需,则信息处理者要求自然人同意处理其人脸信息才提供产品或者服务,不属于强迫同意的范畴。所谓“处理人脸信息属于提供产品或者服务所必需”,主要是指对于产品或者服务的提供而言,如果不处理该人脸信息就无法实现。如果处理人脸信息是出于其他目的,比如为了进一步完善产品的性能或者提升服务的品质,则不属于为了提供产品或者服务所必需。除此之外,如果法律、行政法规以及规章明确规定需要对人脸信息进行处理才能提供相关产品或者服务的,也属于“必需”的范畴。

(三)强化未成年人人脸信息保护

伴随着人脸识别应用场景越来越广泛,未成年人的人脸信息被采集的场景也越来越多,既有线上的,也有线下的。比如,商场、小区、学校等场所安装的人脸识别系统,手机上带有人脸识别功能的App软件,互联网上需要进行人脸验证的平台,等等。由于未成年人身心发育尚未成熟,社会阅历有限,个人信息保护意识相对淡薄,加之对新生事物较为好奇,其人脸信息被采集的概率相对较大。未成年人的人脸信息一旦泄露,侵权影响甚至可能伴随其一生,特别是技术歧视或算法偏见所导致的不公平待遇,会直接影响未成年人的人格发展。

从比较法的角度看,欧盟《通用数据保护条例》、美国《儿童网上隐私保护法》等对未成年人个人信息保护也作了特别规定。其中,法国对采集儿童人脸信息持极其慎重的态度,以控制校园进出为目的而实施针对儿童的人脸识别是被明确禁止的。结合我国当前未成年人人脸信息保护现状,《规定》坚持最有利于未成年人原则,从司法审判层面加强对未成年人人脸信息的保护。

按照告知同意原则,第2条第3项规定,信息处理者处理未成年人人脸信息的,必须征得其监护人的单独同意。关于具体年龄,可依据未成年人保护法、网络安全法以及个人信息保护法进行认定。从责任认定角度看,第3条在民法典第998条的基础上,对侵害人脸信息责任认定的考量因素予以细化,结合当前未成年人人脸信息保护现状,明确将“受害人是否为未成年人”作为责任认定特殊考量因素,对于违法处理未成年人人脸信息的,在责任承担时依法予以从重从严考量,确保未成年人人脸信息依法得到特别保护,呵护未成年人健康成长。

(四)小区物业不得强制进行人脸识别

在小区或者单元楼安装人脸识别设备作为出入门禁,是当前人脸识别技术应用的一个重要场景。人脸识别技术用于住户身份验证,具有便捷、防伪度高、无接触等优势,作为一种智能化管理在部分地方得以推行,但由此引发的住户个人信息泄露风险增大。调研发现,部分小区物业将人脸识别作为进入小区的唯一验证方式,强制“刷脸”,群众质疑声音较大。人脸信息属于敏感个人信息,小区物业对人脸信息的采集、使用,必须依法征得业主或者物业使用人的同意。只有业主或者物业使用人自愿同意使用人脸识别,对人脸信息的采集、使用才有合法性基础。小区物业不能以智能化管理为由,侵害居民人格权益。

对此,《规定》第10条规定:“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。”根据该规定,小区物业使用人脸识别验证方式进入小区的,应当就人脸信息收集和人脸识别验证进入小区征得业主或者物业使用人的同意,如业主或者物业使用人不同意,则可以请求物业服务企业或者其他建筑物管理人提供其他合理的验证方式。

注重多元价值平衡促进数字经济健康发展

“保护当事人合法权益,促进数字经济健康发展”是《规定》的制定宗旨。《规定》在起草过程中紧紧围绕这一宗旨,既注重权益保护,又注重价值平衡。

一是注重个人利益和公共利益的平衡。在依法保护自然人人脸信息的同时,《规定》第5条在吸收个人信息保护法立法精神的基础上,对民法典第1036条规定进行了细化,明确规定了使用人脸识别不承担民事责任的情形。比如,为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息的;又如,为维护公共安全,依据国家有关规定在公共场所使用人脸识别技术的,等等。同时,第5条通过“兜底条款”的规定,将其他免责事由适用引向民法典等法律。

二是注重惩戒侵权行为和促进数字经济发展的平衡。《规定》充分考量人脸识别技术的积极作用,一方面规范信息处理活动,保护敏感个人信息;另一方面注重促进数字经济健康发展,保护人脸识别技术的合法应用。为了避免对信息处理者课以过重责任,妥善处理好惩戒侵权和鼓励数字科技发展之间的关系,《规定》第16条明确了本司法解释不溯及既往的基本规则,即:对于信息处理者使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息的行为发生在本规定施行前的,不适用本规定。

《规定》是人民法院践行网络强国战略的生动实践,是信息时代精神文明建设的重要法治成果,不仅牢牢站稳了人民立场,也向世界宣告了中国司法在人格权保护方面的积极态度,具有里程碑式的重要意义。