北京京师(合肥)律师事务所主任朱政律师。他将结合民法典并以各地刚刚审判的第一案为例,为大家进行细致地解读。
一、案件回顾
2021年4月9日下午,全国“人脸识别第一案”在杭州中院二审判决。二审判决维持一审判决第一项第二项,即判决野生动物世界赔偿郭某合同利益损失及交通费共计1038元,判决生效十日内履行;同时判决野生动物世界删除郭某办理指纹年卡时提交的包括照片在内的面部特征信息,以及指纹识别信息。
本案的起因是,2019年4月,郭某支付1360元购买野生动物世界“畅游365天”双人年卡,确定指纹识别入园方式。郭某与其妻子留存了姓名、身份证号码、电话号码等,并录入指纹、拍照。2019年7月、10月,野生动物世界两次向郭某发送短信,通知年卡入园识别系统更换事宜,要求激活人脸识别系统,否则将无法正常入园。郭某认为人脸信息属于高度敏感个人隐私,不同意接受人脸识别,要求园方退卡。双方因协商未果,2019年10月28日,郭某向杭州市富阳区人民法院提起诉讼。
二、滥用人脸识别技术的法律责任
人脸识别技术是基于人的脸部特征,用摄像机或摄像头采集含有人脸的图像或视频,并自动在图像中检测和跟踪人脸,进而对检测到的人脸进行脸部识别的一系列相关技术。近年来,人脸识别技术普及度逐年大幅升高,加上该技术与其他生物特征识别技术相比,具有使用简单、获取方便、结果直观、非接触性验证及可扩展性良好等众多优势,已经被广泛地运用到金融、保险、教育、电子商务等领域,刷脸支付、刷脸开门、面容解锁的应用场景也越来越广泛。特别是自去年起在新冠肺炎疫情的大背景下,由于人脸识别设备可以与测温设备完美融合,在体温监测的同时,可以同步上传个人信息,与行程数据库、健康码数据库信息进行比对,准确识别通行人员是否为高风险人员,实现“一机二用”,使得相关设备快速地广泛运用于商场、办公楼、居民住宅等入口处。
然而,在技术便捷我们生活的同时,多起由人脸识别引发的纠纷为我们每个人敲响了警钟,由于面部特征具有终身唯一且无法改变的特点,一旦泄露,后果十分严重。2021年的3.15晚会,开篇就重点报道了科勒卫浴、宝马、MaxMara商店等安装人脸识别摄像头,搜集海量的人脸信息,该人脸识别摄像头可以在顾客不知情的情况下抓取包括性别、年龄在内的个人信息,进行精准营销,滥用人脸识别技术的势头愈演愈烈。因此,如何寻找到一个科技进步方便大众与个人隐私保护之间的平衡点,成为摆在政府和我们每个人面前的一道难题。
人脸识别信息属于“公民个人信息”的范畴,依法应当得到法律的保护,滥用人脸识别技术,可能面临较大的法律风险。我国《民法典》第一千零三十四条就明确规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。该规定明确将人脸信息为代表的生物识别信息纳入了个人信息的保护范畴,并规定了处理个人信息,应当遵循“合法、正当、必要”的原则。早在2017年实施的《网络安全法》第四十一条也规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
此外,2020年修订的《信息安全技术个人信息安全规范》中,特别新增了用户画像的使用限制、个人信息处理活动记录等多项内容,明确规定个人生物识别信息属于敏感信息,在收集前,需单独向用户告知收集、使用个人生物识别信息的目的、方式和范围以及存储时间等规则,并应征得用户的明示同意。该规范确定了个人信息在收集、存储、使用、共享、转让与公开披露等信息处理环节中的相关行为,旨在遏制个人信息泄露,最大程度地保护个人的合法权益和社会公众利益。
在刑事司法领域,滥用人脸识别技术,也会面临极大的法律风险,早在2015年颁布的《刑法修正案(九)》中,就扩大了侵犯公民个人信息罪的犯罪主体和个人信息的范围。2017年,针对个人信息保护领域出现的新形势和新情况,最高人民法院、最高人民检察院出台了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,其第一条就规定了“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
今年来,笔者欣喜地看到,人脸识别技术越来越多得到了主流媒体的广泛关注,也在司法领域得到了广泛的回应。据统计,目前,我国已有四十多部法律和部门规章、近百部地方性法规和规范性文件涉及人脸识别技术,共同规划了技术进步的“法治轨道”。目前,《个人信息保护法》、《数据安全法》已经列入全国人大常委会2020年度立法工作计划,工信部也正在制定的《app用户权益保护测评规范》。相信在不远的未来,随着配套制度的不断完善,人脸识别技术的使用规则将会得到进一步细化,为我们每个人筑牢起保护个人信息的法律之墙。
三、律师提醒
个人层面,要谨慎向来路不明的机构、企业及个人提供自己的个人信息,特别是人脸识别信息、指纹信息等不可变信息。在提供相关信息前,要仔细询问采集相关信息的原因和用途,是否有合法依据,以及相关企业数据安全的保护措施。在可以选择其他识别方式的情况下,建议选择刷卡、密码等可变识别方式,以保护自身的个人信息安全。针对不合理的强制性采集,应当事前拒绝或者在事后主动收集证据,并及时向互联网管理部门、工商部门、消费者保护协会、公安机关等相关机构进行投诉。如果因个人信息泄露受到人身、财产上的损害时,还可以通过刑事报案、民事诉讼等方式,追究相关责任人的法律责任。
企业层面,在遵守法律的基础上,要加强行业自律,规范需要采集用户个人信息的场合,解决目前突出的人脸识别信息“强制采集”的问题。在需要采集用户人脸识别信息等敏感信息的场合,应自觉提示并主动释明。在更新服务协议、新增识别方式时,应保留用户选择的权利,避免技术上或措施上的“一刀切”,确保协议能够在原模式下继续履行。此外,对于企业自身存储的用户个人信息,应本着合法、透明、适度的原则,强化对数据的加密级别和脱敏层级,避免数据泄露。
政府层面,在正确引导人脸识别技术相关的产业发展的同时,要加强监管力度,明确监管者和数据掌控者的责任,尽快解决目前在个人信息保护领域还存在的法律适用不统一、裁判尺度差别较大的问题,使得法律之间更加协调。同时,建议政府主导建设由政府监管、权威机构运营的数据存储中心,要求企业将收集的个人信息进行集中监管,解决目前人脸识别信息泄露较为严重的现状。此外,在推动新技术应用和新产业发展的同时,要健全人脸识别信息的合法获取机制,运用刑事、行政、民事等多种手段从源头上惩治信息的非法收集与贩卖行为,杜绝技术的“野蛮生长”,保护我们每个人的“脸面”安全。
作者简介:朱政,执业律师,北京京师(合肥)律师事务所主任,创始合伙人,国家高级经济师。现任安徽省律师协会常务理事、纪律委员会常务副主任,最高人民检察院和省级人民检察院民事、行政诉讼监督案件咨询专家,中华全国律师协会公司法专业委员会委员,安徽省高级人民法院、安徽省司法厅确定的安徽律师调解员,安徽省商会调解员,安徽省《民法典》讲师团成员。