前言
“人脸识别”作为人工智能的应用之一,近些年随着技术发展,已逐步渗透到日常生活的方方面面。
大到疫情防控、城市治安,小到手机客户端的登录解锁,都能见到人脸识别的应用,但也引发了一系列个人信息保护问题。一些经营者滥用人脸识别技术侵害自然人合法权益的事件频发,比如,有些知名门店使用“无感式”人脸识别技术在未经同意的情况下擅自采集消费者人脸信息,分析消费者的性别、年龄、心情等,进而采取不同营销策略。又如,有些物业服务企业强制将人脸识别作为业主出入小区或者单元门的唯一验证方式,要求业主录入人脸并绑定相关个人信息,未经识别的业主不得进入小区。社会公众对人脸识别技术滥用的担心不断增加,强化人脸信息保护的呼声日益高涨。
在此背景下,最高人民法院此前发布了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《规定》),对如何规范人脸识别技术的应用提供了司法指导。本文将结合《信息安全技术 个人信息安全规范》(以下简称《个安规范》)、《信息安全技术 人脸识别数据安全要求(征求意见稿)》(以下简称《人脸识别要求》)对该《规定》进行解读,并就相关企业进行合规建议。
一、将人脸信息界定为“生物识别信息”
《规定》第一条第三款规定,本规定所称人脸信息属于民法典第一千零三十四条规定的“生物识别信息”。
人脸信息属于敏感个人信息中的生物识别信息,是生物识别信息中社交属性最强、最易采集的个人信息,具有唯一性和不可更改性,一旦泄露将对个人的人身和财产安全造成极大危害,甚至还可能威胁公共安全。本次《规定》将人脸信息界定为生物识别信息,意味着所有对生物识别信息和个人敏感信息的规制都可适用于人脸信息。
《信息安全技术 个人信息安全规范》(以下简称《个安规范》)第6.3条规定了个人信息控制者在对个人敏感信息传输和存储时的要求,包括在传输和存储个人敏感信息时,采用加密等安全措施;将个人生物识别信息应与个人身份信息分开存储且原则上不应存储原始个人生物识别信息(如样本、图像等),但可仅存储个人生物识别信息的摘要信息,或在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能,或在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。
而在个人信息共享、转让问题上,《个安规范》要求个人生物识别信息原则上不应共享、转让。但个人信息控制者确因业务需要,确需共享、转让的,应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。
而在个人信息公开披露方面,《个安规范》反对任何情况下的公开披露个人生物识别信息,公安部的《互联网个人信息安全保护指南》也规定“不得公开披露个人生物识别信息“。
但本次最高法的《规定》并未对“人脸信息”进行界定。《信息安全技术 人脸识别数据安全要求(征求意见稿)》(以下简称《人脸识别要求》)提出了“人脸图像”、“人脸特征”与“人脸识别数据”三个概念范畴。但本次《规定》是否对此划分予以肯定仍有待于后续司法工作的开展。
3.1人脸图像 face image**自然人脸部信息的模拟或数字表示。 注:人脸图像可通过设备收集,也可对视频、数字照片等进行处理后获得,主要包括可见光图像、非可见光图像(如红外图像)、三维图像等。 3.2人脸特征 face feature**从数据主体的人脸图像提取的反映数据主体的参数。 3.3人脸识别数据 face recognition data**人脸图像及其处理得到的,可单独或与其他信息结合识别特定自然人或特定自然人身份的数据。
二、明确了人脸信息处理者处理人脸信息的规则
一段时间以来,部分移动应用程序(APP)通过一揽子授权、与其他授权捆绑、“不点击同意就不提供服务”等方式强制索取非必要个人信息的问题比较突出。为从司法角度规范此类行为,《规定》根据民法典第1035条,在吸收个人信息保护立法精神、借鉴域外做法的基础上,明确了以下处理人脸信息的规则:
1.单独同意规则
第二条信息处理者处理人脸信息有下列情形之一的,人民法院应当认定属于侵害自然人人格权益的行为: (三)基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意;
《规定》第2条第3项引入单独同意规则,即信息处理者在征得个人同意时,必须就人脸信息处理活动单独取得个人的同意,不能通过一揽子告知同意等方式征得个人同意。
最高法在答记者问时表示,人脸信息属于敏感个人信息,处理活动对个人权益影响重大,因此,在告知同意上,有必要设定较高标准,以确保个人在充分知情的前提下,合理考虑对自己权益的后果而作出同意。
2.强迫同意无效规则
第四条**有下列情形之一,信息处理者以已征得自然人或者其监护人同意为由抗辩的,人民法院不予支持:** (一)信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外; (二)信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的; (三)强迫或者变相强迫自然人同意处理其人脸信息的其他情形。
自愿原则是民法典的基本原则之一,个人的同意必须是基于自愿而作出。特别是对人脸信息的处理,不能带有任何强迫因素。如果信息处理者采取“与其他授权捆绑”、“不点击同意就不提供服务”等做法,会导致自然人无法单独对人脸信息作出自愿同意,或者被迫同意处理其本不愿提供且非必要的人脸信息。信息处理者超出提供产品或者服务所必需的范畴获得的授权同意,人民法院对此不予认可。而基于个人同意处理人脸信息的,只要信息处理者不超出自然人同意的范围,原则上该行为就不构成侵权行为。
而对于信息处理者采取“与其他授权捆绑”、“不点击同意就不提供服务”等方式强迫或者变相强迫自然人同意处理其人脸信息的,《规定》对此采取从严认定的思路。信息处理者据此认为其已征得相应同意的,人民法院不予支持。
同时,最高法在答记者问时明确表示《规定》第4条不仅适用于线上应用,对于需要告知同意的线下场景也同样适用。
三、对强制刷脸说“不”
第十条 物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。
物业服务企业或者其他建筑物管理人存在本规定第二条规定的情形,当事人请求物业服务企业或者其他建筑物管理人承担侵权责任的,人民法院依法予以支持。
伴随着人脸识别技术应用场景的不断丰富,一些小区引入人脸识别系统,用“刷脸”代替“刷卡”。实践中,存在部分小区物业强制要求居民录入人脸信息,并将人脸识别作为出入小区的唯一验证方式,这种行为违反“告知同意”原则。对于此问题,本次《规定》作出了回应。
本次《规定》明确小区物业在使用人脸识别门禁系统录入人脸信息时,应当征得业主或者物业使用人的同意,而对于不同意的业主或物业使用人,小区物业应当提供替代性验证方式,不得侵害业主或物业使用人的人格权益和其他合法权益。
倘若物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式的,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。
同时,如果物业服务企业或者其他建筑物管理人存在下列情形的,属于侵害自然人人格权益的侵权行为,当事人请求物业服务企业或者其他建筑物管理人承担侵权责任的,人民法院依法予以支持。
未公开处理人脸信息的规则或者未明示处理的目的、方式、范围; 违反信息处理者明示或者双方约定的处理人脸信息的目的、方式、范围等; 未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全,致使人脸信息泄露、篡改、丢失; 违反法律、行政法规的规定或者双方的约定,向他人提供人脸信息; 违背公序良俗处理人脸信息; 违反合法、正当、必要原则处理人脸信息的其他情形。
四、加强对未成年人人脸信息的保护
伴随着人脸识别应用场景越来越广泛,未成年人的人脸信息被采集的场景也越来越多,既有线上的,如,商场、小区、学校等场所安装的人脸识别系统,也有线下的,如手机上带有人脸识别功能的APP软件,互联网上需要进行人脸验证的平台等等。倘若未成年人的人脸信息一旦泄露,侵权影响甚至可能伴随其一生,特别是技术歧视或算法偏见所导致的不公平待遇,会直接影响未成年人的人格发展。对于这一问题,本次《规定》则从司法审判层面加强对未成年人人脸信息的保护。
第二条信息处理者处理人脸信息有下列情形之一的,人民法院应当认定属于侵害自然人人格权益的行为: (三)基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意;
按照告知同意原则,《规定》第2条第3项明确了信息处理者处理未成年人人脸信息的,必须征得其监护人的单独同意。
而关于具体年龄,《人脸识别要求》的征求意见稿规定,原则上不应使用人脸识别方式对不满十四周岁的未成年人进行身份识别;而最高法在答记者问时表示可依据《未成年人保护法》《网络安全法》以及将来的《个人信息保护法》进行认定。
第三条人民法院认定信息处理者承担侵害自然人人格权益的民事责任,应当适用民法典第九百九十八条的规定,并结合案件具体情况综合考量受害人是否为未成年人、告知同意情况以及信息处理的必要程度等因素。
而在侵权责任认定方面,《规定》第3条在民法典第998条的基础上,对侵害人脸信息责任认定的考量因素予以细化,结合当前未成年人人脸信息保护现状,明确将“受害人是否未成年人”作为责任认定特殊考量因素,对于违法处理未成年人人脸信息的,在责任承担时依法予以从重从严。
五、明确格式条款的效力
第十一条信息处理者采用格式条款与自然人订立合同,要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利,该自然人依据民法典第四百九十七条请求确认格式条款无效的,人民法院依法予以支持。
针对信息处理者通过采用格式条款与自然人订立合同,要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利的,第11条规定,自然人依据民法典第497条请求确认格式条款无效的,人民法院依法予以支持。
六、合规建议
本次最高法针对人脸识别问题颁布的规定涵盖了近期群众关心的热点问题,所涉及的主体也相当广泛,具体如物业服务企业或者其他建筑物管理人,广泛如人脸信息处理者,其行为与纠纷均有可能落入该《规定》的适用范围。其中需要值得注意的是对于“人脸信息处理者”的界定,根据文义解释与立法目的,凡是以人脸信息处理为内容的企业均属于此“人脸信息处理者”。
在实践中,人脸识别服务多由以“人脸识别”为业务内容的人工智能公司或互联网公司的有关业务部门提供。其所提供的人脸识别技术服务内容,既涉及SaaS部署、私有化部署,也包括提供SDK产品或运营与终端对接的人脸识别软件,不同的技术服务对于人脸信息的处理程度存在高低之别,监管机关对此应有所区别。
而为了应对不断加码的安全合规要求,我们对上述企业提出如下建议,以供参考。
完善隐私协议,公开处理人脸信息的规则或者明示处理的目的、方式、范围,并确保处理人脸信息时得到单独授权;
接入第三方人脸识别SDK时应当进行信息公示,同时应保证API和SDK等技术工具的安全;
人脸信息与个人身份信息分开存储,且不存储原始人脸信息(如人脸图像等);
不存储原始个人生物识别信息(如人脸识别底图、签到人脸照片等),或是仅存储人脸的摘要信息,或是在人脸信息采集终端中直接使用人脸识别信息实现身份识别、认证等功能,或在使用面部识别特征实现识别身份、认证等功能后删除可提取人脸识别信息的原始图像。
因业务需要确需共享、转让人脸信息, 应单独向人脸信息主体告知目的、涉及的人脸识别信息类型、数据接收方的具体身份和数据安全能力等,并征得信息主体的明示同意。