太古观察:从“人脸识别技术”看个人信息保护的立法趋势
与其他安全验证功能所不同的是,人脸识别具有唯一性和不可更改性。人脸识别技术的出现,极大地便利了人们的生活,但该技术的普及也伴随着诸如数据泄露、隐私权被侵犯等各种潜在的数据安全问题。众多人脸信息作为全新的ID密匙已经突破传统的界限,新的规制路径亟待探索。
实习生林升对本文亦有贡献
人脸识别技术兴起与合规要求
人脸识别是基于人的脸部特征信息进行身份识别的一种生物特征识别技术,信息时代和移动互联网的发展促进了人脸识别技术的发展。人脸识别技术的流程主要包括四部分:人脸图像采集及检验、人脸图像预处理、人脸图像特征提取和人脸图像匹配与识别。
目前,人脸识别技术广泛的运用于门禁、支付、移动设备解锁和快速识别身份等领域。在人脸识别技术普及的同时,该技术同样存在如数据泄露、隐私权被侵犯等各种风险。与其他安全验证功能所不同的是,人脸识别具有唯一性和不可更改性。
在最高院最新发布的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称“《规定》”)中就明确了八种违规情形属于侵害自然人人格权益行为。
《规定》还明确了物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。
“人脸识别第一案”及相关争端
郭兵与杭州野生动物世界有限公司服务合同纠纷一案在前段时间审结。本案中野生动物世界在入园检验中将指纹识别强制性改为了人脸识别,这引发了原告郭兵的不满,以侵犯隐私权和服务合同违约为由向法院起诉。
经法院审理后认定,野生动物世界单方面强制游客入园刷脸属于“超出必要,不具有正当性”,即此案中人脸识别技术有越位不合规之嫌。最终法院判决原告郭兵胜诉,要求野生动物世界赔偿郭兵的损失,并删除郭兵办理指纹年卡时包括照片在内的所有面部特征,驳回了郭兵的其他诉讼请求。
我们通过裁判文书网的数据库检索发现,与人脸识别有关的争议呈上涨趋势,其所涉及的行业也以服务业为主。例如,有些知名门店使用“无感式”人脸识别技术在未经消费者同意的情况下擅自采集消费者人脸信息;有些物业服务企业强制将人脸识别作为业主出入小区或者单元门的唯一验证方式,部分线上平台或者应用软件强制索取用户的人脸信息,还有的卖家在社交平台和网站公开售卖人脸识别视频、买卖人脸信息等。
人脸识别所引发的法律思考
前不久,人脸识别时一定要穿衣服再次引发了人们对人脸识别的关注。
在人们的普遍认知里,人脸识别只需要识别人脸图像,不需要收集人脸以外的信息。但实际上,某些后台的确收集了摄像头能拍到的全部信息,如果你在人脸识别时不穿衣服,这些信息都将被收集到相关的后台。
就人脸识别技术本身而言,该技术在进行人脸识别时所提取的个人面部特征也涉及到公民的个人信息安全。在收集这些个人信息之前,信息收集者是否取得了个人同意,以及是否告知相关个人的信息使用范围,都需要引起我们的重视。换言之,我们不能因为觉得这个技术有趣、方便,就随意地使用以及随意地被收集数据。
我们知道,相关服务提供者对于个人信息的收集应当秉承“合法、正当、必要”的原则,并且要事先征得当事人同意,这也是人脸识别技术在实际应用中的准则和底线。对于违反准则和底线的事情,我们就需要拿起法律的武器,维护自己的合法权益。
“人脸识别”最新司法解释出台与相关法律保护
2021年7月28日,最高院发布了与人脸信息处理相关的《规定》,规定中认为,人脸信息的处理包括人脸信息的收集、存储、使用、加工、传输、提供、公开等,人脸信息属于《民法典》第一千零三十四条规定的“生物识别信息”。《规定》将于2021年8月1日起实施。
从制定依据来看,《规定》根据《中华人民共和国民法典》《中华人民共和国网络安全法》《中华人民共和国消费者权益保护法》《中华人民共和国电子商务法》和《中华人民共和国民事诉讼法》等法律的规定,结合审判实践制定。
《规定》从人脸信息相关纠纷中的举证责任分配、合理界定被侵权人的财产损害、降低被侵权人的维权成本、积极倡导民事公益诉讼、保护未成年人信息安全以及常见的人脸识别使用场景,多方面的、有针对性地强化了对于人脸信息安全的司法保护。
我们的观察
近年来,我国关于公民个人信息领域的立法工作在逐步推进,个人信息保护关系到广大人民群众的切身利益,也关系到数字经济的健康发展。
就规范“人脸识别技术”和“个人信息保护”的立法精神而言,都是在肯定新技术所起到的积极作用和所带来的积极影响前提下进行的。这些规定一方面规范了信息处理活动,起到了保护“人脸信息安全”和“个人信息安全”的作用,另一方面也在促进相关技术的健康发展,保护人脸识别等信息技术的合法应用。
就“人脸识别技术”的使用和处理合规而言,首先,信息处理者要保证其应用的合法性。其次,当事人知晓和同意是合法性之外的首要原则。再次,收集和使用目的要具有合理性,换言之就是人脸信息的处理应当限于实现处理目的所必要的最小范围,不得进行非必要的收集。
考虑到人脸信息的唯一性和不可更改性,我国一定会逐渐加强对人脸识别方面的立法和执法工作。我们在此也建议相关企业必须严格把控“人脸识别技术”中的合规要点,落实对公民个人信息的保护。对此,我们将保持关注。