首个规制人脸识别法律文件出炉!信息处理者压力增大

日期:07-29
人脸识别信息处理智慧城市

来运/合规科技研究院(ID:ComplianceTech)

作者/王俊编辑/周上祺于珊

近年来,人脸识别逐步渗透到人们生活的方方面面,大到智慧城市建设,小到手机客户端的登录解锁,都能见到人脸识别的应用。在带来便利的同时,人脸识别技术所带来的个人信息保护问题也日益凸显。无论是线上还是线下场景,其滥用情况屡屡进入公众舆论场。

7月28日,最高人民法院发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《规定》),对人脸识别的应用场景、使用目的、责任认定等层面做出规范。

中国人民大学法学院教授、民商事法律科学研究中心执行主任石佳友告诉记者,《规定》是我国专门针对人脸识别应用进行规制的第一部法律文件,具有里程碑意义。

《规定》明确,宾馆、商场、银行等场所滥用人脸信息属侵权;处理未成年人人脸信息需征得监护人单独同意;禁止小区物业强制“刷脸”......这些条款对此前人脸识别应用争议较大的场景进行了回应。

并且,对信息处理者课以更多的举证责任。浙江垦丁律师事务所主任律师表示,由于人脸识别案件专业性、举证能力等限制,用户维权难,举证责任适当向信息处理者倾斜有助于更好的查明案件事实,充分保障用户的合法权益。

公共场所人脸识别应用被约束

人脸信息属于敏感个人信息中的生物识别信息,是生物识别信息中社交属性最强、最易采集的个人信息,具有唯一性和不可更改性,一旦泄露将对个人的人身和财产安全造成极大危害,甚至还可能威胁公共安全。

据APP专项治理工作组去年发布的《人脸识别应用公众调研报告》显示,在2万多名受访者中,94.07%的受访者用过人脸识别技术,64.39%的受访者认为人脸识别技术有被滥用的趋势,30.86%受访者已经因为人脸信息泄露、滥用等遭受损失或者隐私被侵犯。

相较于线上场景,对线下场景的人脸识别信息采集约束更为复杂。

今年3月网信办、工信部等四部门明确常见39类App必要个人信息范围,人脸信息不在这39类App必要信息收集范围内,可见线上场景约束的相关规章政策陆续布局。

但是线下场景广泛并且难以察觉。浙江垦丁律师事务所主任律师张延来告诉21世纪经济报道记者,人脸信息采集是非接触性的、隐蔽的。

央视3·15晚会上,报道了包括科勒卫浴、宝马、江苏大剧院在内的20多个知名品牌或机构,在门店内安装人脸识别摄像头,在未经消费者知情的情况下,窃取消费者人脸信息,标注顾客第几次到店、男女、年龄等信息,从而进行营销分析。

在《规定》第二条列举的人脸识别应用的主要侵权类型中,第一款便是:在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析。应当认定属于侵害自然人人格权益的行为。

这意味着《规定》适用于所有公共场所的人脸识别应用。

并且,《规定》第二条还要求,基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意的,应当认定属于侵害自然人人格权益的行为。

单独同意是指必须就特定的事项单独告知权利人并取得其同意,《规定》中强调单独同意,能够保障个人对其人脸信息的处理享有知情权、决定权。

北京理工大学法学院教授、国家标准《个人信息安全规范》编制组组长洪延青撰文称,“单独同意”能够破除“无感知被收集”的情形。除法律另有规定以及《规定》所列免责事由外,“单独同意”能够遏制在宾馆、商场、娱乐场所等经营场所、公共场所,在未征得客户单独同意的情况下,以无感知的人脸识别完成人脸辨识、人脸分析等社会反映强烈的问题。

信息处理者举证责任压力增大

在人脸识别的线下应用场景中,小区物业安装人脸识别设备强制“刷脸”,屡屡被诟病。人脸信息属于敏感个人信息,小区物业对人脸信息的采集、使用必须依法征得业主或者物业使用人的同意。只有业主或者物业使用人自愿同意使用人脸识别,对人脸信息的采集、使用才有了合法性基础。

最高人民法院研究室副主任郭锋介绍称,实践中,部分小区物业强制要求居民录入人脸信息,并将人脸识别作为出入小区的唯一验证方式,这种行为违反“告知同意”原则,群众质疑声较大。“小区物业不能以智能化管理为由,侵害居民人格权益。”郭锋说。

为此,《规定》专门规定:“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。”

根据这一规定,小区物业在使用人脸识别门禁系统录入人脸信息时,应当征得业主或者物业使用人的同意,对于不同意的,小区物业应当提供替代性验证方式,不得侵害业主或物业使用人的人格权益和其他合法权益。

张延来表示,物业刷脸在规制实践中存在强制刷脸、欺诈刷脸和信息安全难以保障等问题,司法解释后续的落实还依赖于受侵害的业主积极维权,法院提高判赔金额。

实践中,维权并非易事。《规定》的第六条充分考虑双方当事人的经济实力不对等、专业信息不对称等因素,在举证责任分配上课以信息处理者更多的举证责任。

“在个人信息维权案件中,由于案件的专业性、举证能力等限制,用户维权难,举证责任适当向信息处理者倾斜有助于更好的查明案件事实,充分保障用户的合法权益。”张延来说。

未成年人脸信息处理要求高游戏等产业将受影响

《规定》对未成年人的人脸信息保护也做出了回应。

石佳友告诉记者,由于人脸识别技术无差异无接触信息采集的方式,人脸识别应用过程中无法区分被采集者的年龄,因此不可避免地会涉及大量未成年人人脸信息,未成年人使用带有人脸识别功能的APP软件的现象十分普遍。

根据团中央最近发布的《2020年全国未成年人互联网使用情况研究报告》显示,2020年我国未成年网民规模达到1.83亿,个人信息未经允许在网上被公开的比例为4.9%。

石佳友表示,如果未成年人的人脸信息泄露或被侵权,其影响将可能伴随一生,特别是技术歧视或算法偏见所导致的不公平待遇,会直接严重影响未成年人在未来对社会生活的融入和人格的自由发展。

此次《规定》明确,信息处理者处理未成年人人脸信息的,必须征得其监护人的单独同意。

张延来解释称,未成年人是行为能力受到限制或者无行为能力的人,依照法律规定行为能力受到限制的未成年人只能进行与他的年龄、智力相适应的民事活动,其他民事活动由他的父母或其他监护人等法定代理人代理,或者征得法定代理人的同意,人脸信息作为敏感个人信息,其授权由于关系到人身和财产等重大利益,应该要监护人进行同意。

目前未成年人人脸信息应用主要用于游戏、教育培训等场景。“处理未成年人人脸信息需征得监护人单独同意”,张延来认为,这一要求对所有依法可以使用未成年人面部信息的产业都会产生影响。

从责任认定角度看,《规定》还对侵害人脸信息责任认定的考量因素予以细化,结合当前未成年人人脸信息保护现状,明确将“受害人是否未成年人”作为责任认定特殊考量因素,对于违法处理未成年人人脸信息的,在责任承担时依法予以从重从严,确保未成年人人脸信息依法得到特别保护。

信息处理者应及时更改不合理条款

在实践中,人脸信息的使用往往以合同的形式来规制,但在合同存在不合理的情况下,用户如何维权?

《规定》第十一条要求:信息处理者采用格式条款与自然人订立合同,要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利,该自然人依据民法典第四百九十七条请求确认格式条款无效的,人民法院依法予以支持。

张延来解释称,“无期限限制、不可撤销、可任意转授权”等格式条款内容本来就应被认定无效,此次司法解释对这种情形给予了更明确的否定态度,信息处理者应该第一时间对照自己的条款进行修改。

北京市安理律师事务所高级合伙人王新锐也表示,从格式条款的角度来说,“不可撤销”等都属于不合理地免除或者减轻其责任、加重对方责任、限制对方主要权利。“如果可以随意合同约定放弃法律赋予给个人的权利,那个人权利很容易被架空。“

此外,值得关注的是《规定》第十二条规定:“信息处理者违反约定处理自然人的人脸信息,该自然人请求其承担违约责任的,人民法院依法予以支持。该自然人请求信息处理者承担违约责任时,请求删除人脸信息的,人民法院依法予以支持;信息处理者以双方未对人脸信息的删除作出约定为由抗辩的,人民法院不予支持。”

石佳友表示,这意味着即使在合同法的框架内审理涉人脸识别纠纷,信息主体亦可主张其行使其删除权,要求处理者依法删除此前所收集存储的人脸信息。这对于有效保护权利人的人脸信息尤其具有特殊的重要价值。

IDC:2021Q1中国云市场规模超300亿 阿里云第一、腾讯华为位列二三 B站杀入餐饮,投了上海一家网红汉堡店
相关阅读: