原标题:数据合规: “线上线下偷面色,檐边法院立新规” --最高人民法院关于人脸识别的规定的解析 来源:兰台律师事务所 作者:商事合规团队
作者:商事合规团队
引 言
2021年7月28日,最高人民法院召开新闻发布会,发布《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称“《规定》”),《规定》将于2021年8月1日起正式实施。正如最高人民法院在新闻发布会中所言,随着技术的发展和成熟,人脸识别逐步渗透到人们生活的方方面面。人脸识别技术发挥着巨大作用,但人脸识别技术所带来的个人信息保护问题也日益凸显。
相比于其他个人信息,人脸信息易采集、社交属性强、具有唯一性和不可篡改性,泄露后也会对个人的人身安全和财产安全造成极大损害[1],公众对于要求提供人脸信息的场景越来越敏感,“不刷脸不让进小区”、“带着头盔去看房”等涉及到人脸信息收集使用的争议常成为舆论热点,对人脸信息提供更为全面和细致的司法保护的声音也越来越强。
正是在这个背景下,最高人民法院发布了《规定》,《规定》内容不长,只有十六条,但其从司法裁判的角度对人脸信息的收集、使用、保护等作出了指引,为公众寻求个人信息权益保护提供了依据,更会深远地影响着个人信息处理者未来的经营行为。
本文将从整体性分析、重点条款解读和未来展望三方面对《规定》进行解析,以期可以更好地帮助读者理解《规定》及其带来的影响。
《规定》的整体性分析
首先,《规定》的第一条和第十六条分别明确了适用范围和时间。《规定》适用于在2021年8月1日起的,基于人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息引发的纠纷,而对于“处理”的范围,则明确涵盖了“收集、存储、使用、加工、传输、提供、公开”的数据全部的生命周期。
其次,《规定》的第二条、第三条、第四条、第五条、第十条、第十一条、第十二条则通过侵权责任和合同违约的角度,对人脸信息处理的合法边界进行了明确,其中包括有效告知、责任豁免、提供替代方式等可能对企业使用人脸识别技术产生实质性影响的条款。
最后,在《规定》的第六条、第七条、第八条、第九条、第十三条、第十四条、第十五条,则明确了在出现争议时的救济路径,以及举证责任分配、责任承担等条款,为未来与人脸信息和人脸识别技术相关的争议解决提供了程序性指引。
《规定》的重点条款解读
【重点一】
第二条第(一)款:信息处理者处理人脸信息有下列情形之一的,人民法院应当认定属于侵害自然人人格权益的行为:
(一)在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析;
【应用场景】如宾馆在入住前强制要求人脸识别认证、商场为统计客流进行客流量的精细化分析而采集进入商场的客户人脸信息、房地产销售商通过识别人脸信息,与该客户的报备信息进行比对,并基于此向分销商结算佣金等场景。
【条文解读】个人信息的收集,既包括线上收集,也包括线下收集。随着科技的发展,越来越多的商业模式从线下搬到的线上,使得线上应用场景看起来反而成为了个人信息收集的“本源”,使得人们忽视了很多线下的行为模式,其实,相比于使用时APP收集人脸信息,在公共场合、经营场所进行的人脸采集更为隐蔽,因此,本款特别明确了违法违规使用人脸识别技术属于侵权行为。但本款并未禁止所有在公共场合使用人脸识别的场景,而是严格限定在了“法律、行政法规”允许的范围内。
《规定》的第五条规定了例外情况,在第五条所限的范围内,如为应对突发公共卫生事件、紧急情况下为保护自然人的生命健康和财产安全、为维护公共安全等情况,可以不承担侵权责任。
在法律、行政法规层面,考虑到人脸识别技术是一个相对较新的技术领域,相关法律法规更新较快,本款中并未明确具体的法律、行政法规规定,给与了后续立法的空间。《网络安全法》《消费者权益保护法》只概括地要求了收集信息需要遵循的合法、必要、正当性原则,但并未对人脸信息进行特别规定,而正在第二次征求意见的《个人信息保护法》(以下简称“《个人信息保护法(征求意见稿)》”)第二十七条[2]明确了在公共场所安装图像采集、个人身份识别设备,只能是基于维护公共安全所必需的目的。
【后续影响】在《规定》发布前,已有房地产销售企业使用人脸识别被行政处罚的案例,如宁波20家房地产公司因非法收集人脸行为合计被罚203万[3],未来违法违规使用人脸识别带来的不仅可能带来是行政处罚风险,也面临着更为明确的民事责任风险。而在《个人信息保护法》出台后,如对在公共场合使用人脸识别技术有了明确的目的限制后,企业可能更需审慎地审查使用人脸识别技术的目的,并根据《个人信息保护法(征求意见稿)》的要求调整业务模式,仅基于数据分析或商业利益而收集人脸信息可能不再被允许。
【重点二】
第二条第(三)款:基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意;
【应用场景】本款涉及到应用人脸识别技术的所有场景,无论是通过APP等互联网渠道,亦或是在线下的实体经营场所收集、获取人脸信息、以及通过分析人脸信息进行大数据分析、建立用户画像模型等。
【条文解读】“告知—同意”原则是个人信息保护的基础支点,《民法典》第一千零三十五条规定了,处理个人信息的,应征得该自然人或者其监护人同意。
一般来讲,“告知同意”可能存在三个层次:(1)被动同意,即信息处理者将处理信息的规则、目的、方式等向信息主体(自然人)释明,信息主体继续使用信息处理者提供的功能/服务等情境下,即视为同意;(2)主动同意,即在信息处理者将处理信息的规则等释明后,信息主体须有主动同意或授权的意思表示,如通过点选、勾选、签名等方式表示同意;(3)单独同意,在被动同意及主动同意中,信息处理者可以在同一文本中一并告知收集不同种类的个人信息,信息主体也可以通过一次点选动作同意信息处理者获取多种类的个人信息,但对于单独同意,尽管现在的法律法规尚未明确单独同意的具体要求和规则,即使从文义解释的角度,也需要信息处理者为特定种类的个人信息单独制作文本,明确收集该种类个人信息的规则、目的等,并获取独立的授权,避免一并告知和一并同意的情况。
在过去很长时间的实践中,对于通过点选同意隐私政策授权个人信息的处理一直被诟病,因为个人信息主体很难从动辄几十页的隐私政策获取有效信息,自然人点选同意后不知道自己被收集了哪些信息,企业会如何处理这些信息的情况并不罕见,因此对于可能给个人信息主体造成更大影响的个人敏感信息,《个人信息保护法(征求意见稿)》要求获取单独同意,而《规定》也是顺应这一立法趋势,明确了对于处理人脸信息的单独同意要求。
【后续影响】对于通过APP、小程序等互联网渠道获取人脸信息的经营者,在操作流程中增加弹窗、单独签字等方式获取个人信息主体的单独同意并非难事,但更重要的是如何平衡合规要求和用户体验,避免因反复提醒,不停地点选操作降低产品的使用感。
而对于在公共场所识别、采集人脸的经营者,本款的要求可能会造成更大的影响,现阶段通过张贴“已进入人脸识别区”、“本区域会采集人脸信息”等告知说明的方式已不足以满足合规要求,但在线下场所如何有效地获取个人单独同意则有待立法或司法实践的进一步明确。
【重点三】
第四条:有下列情形之一,信息处理者以已征得自然人或者其监护人同意为由抗辩的,人民法院不予支持:
(一)信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外;
(二)信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的;
(三)强迫或者变相强迫自然人同意处理其人脸信息的其他情形。
【应用场景】“人脸识别第一案”[4]中就涉及人脸信息采集的强制同意问题。杭州野生动物世界强制要求年卡用户使用人脸识别方式入园,未注册人脸识别的用户将无法正常入园,只有同意人脸识别,消费者才能享受到动物世界提供的服务。在一审判决中,尽管法院基于《合同法》认为杭州野生动物世界“刷脸”入园这一要约,未对郭兵发生法律效力,但对于采集人脸信息的行为本身,法院认为使用指纹识别、人脸识别等生物识别技术,以达到甄别年卡用户身份、提高年卡用户入园效率的目的,该行为本身符合“合法、正当、必要”三原则的要求。”但提供人脸信息,真的是看动物所必要的吗,一审法院的判决也因此引发了巨大争议。
【条文解读】在《规定》出台以前,《民法典》已有规定,处理个人信息的,应当遵循合法、正当、必要原则;《网络安全法》规定网络运营者不得收集与其提供的服务无关的个人信息,而《信息安全技术 个人信息安全规范》也要求收集个人信息的最小必要原则,即收集的个人信息的类型应与实现产品或服务的业务功能有直接关联;直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现。
但是《民法典》和《网络安全法》的规定过于原则,通过解释,可以拓展合法和必要性原则的边界,《信息安全技术 个人信息安全规范》作为国家标准,并不具有强制执行的效力,信息处理者仍会要求个人信息主体提供大量的个人信息,且均解释为“与提供服务相关”,考虑到个人信息主体作为自然人,与信息处理者巨大的地位差距,在信息处理者要求未提供信息无法使用后续服务或功能时,自然人很难合理的维护自己的权益。
因此,强制授权、捆绑授权等行为也是近期APP专项治理的重点检查领域,主管部门也发布了《常见类型移动互联网应用程序必要个人信息范围规定》明确常见类型APP可收集的必要个人信息范围。而《规定》在民事责任层面上对此进行了明确,收集人脸信息应基于“提供服务或产品所必需的”,否则仍存在民事侵权的责任风险。
【后续影响】对于信息处理者来说,在《规定》生效后,应按照一事一议的原则,审查需要处理人脸信息是否为提供产品或服务所必需的,尽管何为“必需”,仍存在一定的解释空间,但考虑对于强制授权的趋严的监管态度和裁判倾向,我们建议通过严格的因果关系进行判断,即不提供人脸信息,是否无法继续提供产品/服务。
在有些场景下答案相对明确,如登录时的认证、进入博物馆、动物园等场所,人脸识别并非是提供服务所必要的。
而在某些场景下,如银行的线上贷款业务,对于没有网银的自然人,人脸识别进行身份认证,是否是提供贷款服务所必须的,可能还需要司法实践的进一步明确。
未来展望
最高人民法院副院长杨万明在新闻发布会中说,“个人信息,特别是敏感个人信息,关系到每个人的人格尊严,强化个人信息司法保护,符合人民群众所急所盼,也是人民法院的工作重点”。《规定》为未来因侵犯个人信息而产生的民事诉讼提供了更为明确的依据,而随着已两经征求意见的《个人信息保护法》在不久的将来即将出台,我国对个人信息保护的法律框架已经基本搭成,后续细分领域的立法也会愈加完善,将从法律依据、司法裁判、行业监管多层次全方面的保护公民个人信息。而对于作为信息处理者的企业来说,靠不加节制收集个人信息地“野蛮生长”时代已经过去,如何在大数据时代通过合规路径进行发展可能会决定着企业的未来。
参考文件
[1]最高法就《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》的新闻发布会
[2]《个人信息保护法》第二十七条在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供,取得个人单独同意的除外。
[3]“亮剑2021”消费安全综合执法行动典型案例
[4]郭兵与杭州野生动物世界有限公司服务合同纠纷案(2019)浙0111民初6971号
(声明:本文系作者授权新浪财经转载,文章仅代表作者观点,不代表新浪财经立场。)
