返回列表
人脸识别系列解读(一)丨人脸识别司法解释要点解读
2021-07-26

背景介绍

从“人脸识别第一案”到成为315晚会“头号公敌”,人脸识别这一若干年前只存在于科幻作品中的概念因其所带来的诸如个人信息泄露、威胁个人隐私等问题,迅速“落地生根”成为了个人信息保护领域无法回避的问题。对于如何保护人脸这一无法舍弃的“人格面具”,最高人民法院于2021年7月28日召开新闻发布会发布了《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下称“规定”)这一司法解释,对实践中有关人脸识别的热点、痛点问题作出总结式规定,这也是目前单独针对“人脸识别”这一个人生物特征信息的最高层级的法律文件。

一、重点条款

二、重点解读

1.适用范围及时效问题

《规定》在第1条对人脸识别进行了概念界定,并明示“人脸信息属于民法典第1034条规定的‘生物识别信息’”。第16条则对时效问题作出规定“信息处理者使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息的行为发生在本规定施行前的,不适用本规定。”

对于生物识别信息规定在包括《网络安全法》《民法典》《个人信息保护法(草案)》《个人信息安全规范》等多部法律法规之中,但对于该概念的具体范围并未在法律层面有所明确,仅在《信息安全技术 个人信息安全规范》这一推荐性标准中明确生物识别信息包括面部识别信息,虽然面部识别信息属于生物识别信息顺理成章,但对其单独在具有法律效力层级的司法解释中予以明确,仍然可以看到国家在司法层面对人脸识别这一问题的重视程度。

另外,《规定》还明确信息处理者使用人脸识别技术处理人脸信息,或者虽然没有使用人脸识别技术但是处理基于人脸识别技术生成的人脸信息,均属于《规定》的适用范围。

2.明确处理人脸信息侵害人格权益情形及免责事由

《规定》分别在第2条规定了处理人脸信息侵害自然人人格权益的8种情形,之后在第5条规定了处理人脸信息的5种免责事由,可以理解为是对人脸识别信息处理者课以的若干具体义务。

其中值得注意的是在第2条第1款明确了如果违反法律行政法规规定在“宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所”进行人脸信息处理行为,属于侵害自然人人格权益的行为。该规定的前提是违反法律和行政法规,目前除《规定》外并无法律和行政法规对人脸识别这一问题单独进行规定,但是首先人脸信息作为个人生物识别信息属于个人信息的范畴,因此适用关于个人信息保护的一般规定,另外根据《个人信息保护法(草案)》第29条规定,生物特征信息属于敏感个人信息,《信息安全技术 个人信息安全规范》中也做出了相似的规定,因此对于对于人脸信息处理行为同样适用关于敏感个人信息处理行为的一般规定,因此我们认为,在关于人脸识别信息处理行为进一步的规定出台之前,数据处理者可按照一般个人信息以及敏感个人信息保护的要求进行。

另外,《规定》中列举的5种适用人脸识别的免责事由可以通过公共利益和合理范围内使用这两组关键词句进行理解,而第5条第2款规定的免责情形需注意要同时满足维护公共安全的目的以及符合国家有关规定

3.告知同意原则的单独适用

《规定》第2条第3款规定,对于“未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意”的人脸信息处理行为属于侵害自然人人格权益的行为。

因此可以明确,人脸信息的处理需要征得自然人的单独同意,而对于未成年人或者无民事行为能力人则需要征得其监护人的单独同意。根据最高院新闻发布会的内容,该规定可以说是对早前315晚会曝光的使用“无感式”人脸识别技术在未经同意的情况下擅自采集消费者人脸信息问题;部分线上平台或者应用软件强制索取用户的人脸信息;通过用户协议或者隐私协议“打包式”收集用户人脸信息的回应。

早前在《个人信息保护法(草案)》第30条就规定,对于敏感个人信息的处理需要取得个人信息主体的单独同意,但《个人信息保护法(草案)》还未最终颁布实施,境外如美国 《伊利诺伊州生物信息隐私法案》中就明确处理生物识别数据必须基于书面同意,包括纸质或电子的形式,以保障信息主体通过“主动行为”,在形式上更为明确地表达对个人信息的决定。

对于“同意”本身而言,《个人信息保护法(草案)》中提到了“同意”、“单独同意”和“书面同意”(典型的要求书面同意的场景如医学临床试验、采集人类遗传资源、向征信机构查询个人信息、向第三人提供寄递用户信息、医学临床试验等。可以看到,在对自然人人格和财产权益可能产生重大影响时会被要求征得自然人书面同意)三种,对于这三者而言,“书面同意”可以被认为是进行“同意”行为的一种形式,可以理解为《民法典》135条规定的采用书面形式进行的民事法律行为,而“单独同意”则是从数据处理者角度出发规定的如何获取“同意”的一种方式,两者都统摄于“同意”这一概念。设置“单独同意”的目的显然是希望对于人脸识别的信息处理,信息主体可以通过对处理规则的独立识别作出更为理性的判断,其目的是为了保障信息主体对自身人脸识别信息的知情权和决定权,虽然对于如何进行单独同意,本次《规定》并没有明确规定,在《个人信息保护法(草案)》以及《信息安全技术 个人信息告知同意指南(草案)》中也只是对“告知”的方式予以说明,但在人脸识别信息处理过程中,以《规定》明示的立法目的为导向作为人脸识别信息的处理原则是应有之举。

4.明确物业服务中人脸识别的使用问题

对于物业服务中人脸识别的问题一直是学界和实务界讨论的热点话题。早前北京市民于某就因小区速通门无法对其人脸识别而对其进行撞击行为,最终被北京市公安局丰台分局岳各庄派出所制止。可以理解的是,业主对于交出“人脸”换取回家资格这件事上感到疑惑和挣扎,《光明日报》曾刊发评论文章,点评江苏省常州市部分社区强制居民“刷脸进小区”的争议事件。文章称,争议的导火线,或许正是对门禁系统的强制推行触碰了信息被采集者的敏感神经,而信息的不透明、不对称加剧了被采集者的安全焦虑。毕竟,安全问题的解决并不取决于安保水平与能力最高的部门或企业,而是取决于其中水平最低与能力最差的。如果允许不同种类、层级的单位、组织随意收集自然人人脸识别信息,毫无疑问是埋下了一颗颗数据泄露滥用的地雷。实际上,在此前四川省、杭州市物业管理条例的修改草案中就已经将不得强制对业主进行人脸识别纳入其中。

本次《规定》在第10条明确业主或者物业使用人有权拒绝人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,并有权在物业服务企业或者其他建筑物管理人违反《规定》第2条规定时,请求其承担侵权责任。此前《深圳经济特区数据条例》第19条也规定,对于数据处理者在处理生物识别数据时,应当提供处理其他非生物识别数据的替代方案。一系列规定的出台落地说明居住小区无权以智能信息化管理为由,侵害居民人格权益,我们在拥抱新技术的同时,更要尊重个体人格权益。

5.诉讼成本的合理分配

首先对于举证责任,《规定》第6条从现有举证责任的法律适用规则出发,结合《民法典》第1035、1036条等规定内容,在充分考虑双方当事人经济实力不对等、专业信息不对称等因素的基础上,在举证责任分配上,要求信息处理者承担更多的举证责任,这和《个人信息保护法(草案)》第65条施加给个人信息处理者的过错推定责任在立法思路上保持一致。

其次,对于诉讼经济成本的问题,《规定》考虑到“侵害人脸信息可能并无具体财产损失,但被侵权人为维权支付的相关费用却较大,如果不赔偿,将会造成被侵权人维权成本过高,侵权人违法成本较小的不平衡状态”的问题,在第8条明确被侵权人为制止侵权行为所支付的合理开支以及合理的律师费用可作为财产损失请求赔偿

最后,关于人脸信息民事案件的公益诉讼,《规定》在第14条予以明确规定,这也成为了信息主体对其个人信息进行救济的最有力渠道,此前《深圳经济特区数据条例》也对关于数据公益诉讼的内容进行了规定,可以合理推断个人信息保护领域将成为未来公益诉讼的重点内容。

6.对于合同场景下的人脸识别进行了回应

根据《规定》第11条规定,自然人依据《民法典》第497条请求确认格式条款无效的,人民法院依法予以支持。而对于出现类似通过设置格式条款违反约定处理自然人人脸信息的,信息处理者还应承担删除该人脸信息的责任。

除上述重点内容外,本次《规定》还对诸如自然人死亡后对其人脸识别信息侵权行为的处理、强迫获得同意或者通过捆绑获得用户同意、多个信息处理者侵权责任承担等事项作出了规定,值得仔细研读。

三、小结

本次《规定》一方面是对过往有关人脸识别问题的一个阶段式的总结,对在地方和国家标准中已经落地实施的既有政策做了总结式的规定,仍有不足尚未明确,例如对“人脸信息”等基础概念没有明确定义、对于数据处理者如何在处理人脸识别时获取单独同意的方式没有明确,对于信息处理者应当采取必要技术措施以保障人脸识别信息安全的标准同样也没有明示。但道阻且长,行则将至,《规定》的阶段性成果总结辅之以即将出台的《个人信息保护法》和已经出台的各类法律法规和国家标准有助于我国对于个人信息打造保护闭环,保障信息主体对于自身信息享有的数据权益。我们接下来也会对上述《规定》中尚未明确的问题以及实践中关于人脸识别信息处理的热点问题进行系列解读,敬请期待。

作者:侯天赐

审稿:梁艳芬 许瑞凤

 

 

 

 

返回列表
人脸识别系列解读(一)丨人脸识别司法解释要点解读
2021-07-26

背景介绍

从“人脸识别第一案”到成为315晚会“头号公敌”,人脸识别这一若干年前只存在于科幻作品中的概念因其所带来的诸如个人信息泄露、威胁个人隐私等问题,迅速“落地生根”成为了个人信息保护领域无法回避的问题。对于如何保护人脸这一无法舍弃的“人格面具”,最高人民法院于2021年7月28日召开新闻发布会发布了《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下称“规定”)这一司法解释,对实践中有关人脸识别的热点、痛点问题作出总结式规定,这也是目前单独针对“人脸识别”这一个人生物特征信息的最高层级的法律文件。

一、重点条款

二、重点解读

1.适用范围及时效问题

《规定》在第1条对人脸识别进行了概念界定,并明示“人脸信息属于民法典第1034条规定的‘生物识别信息’”。第16条则对时效问题作出规定“信息处理者使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息的行为发生在本规定施行前的,不适用本规定。”

对于生物识别信息规定在包括《网络安全法》《民法典》《个人信息保护法(草案)》《个人信息安全规范》等多部法律法规之中,但对于该概念的具体范围并未在法律层面有所明确,仅在《信息安全技术 个人信息安全规范》这一推荐性标准中明确生物识别信息包括面部识别信息,虽然面部识别信息属于生物识别信息顺理成章,但对其单独在具有法律效力层级的司法解释中予以明确,仍然可以看到国家在司法层面对人脸识别这一问题的重视程度。

另外,《规定》还明确信息处理者使用人脸识别技术处理人脸信息,或者虽然没有使用人脸识别技术但是处理基于人脸识别技术生成的人脸信息,均属于《规定》的适用范围。

2.明确处理人脸信息侵害人格权益情形及免责事由

《规定》分别在第2条规定了处理人脸信息侵害自然人人格权益的8种情形,之后在第5条规定了处理人脸信息的5种免责事由,可以理解为是对人脸识别信息处理者课以的若干具体义务。

其中值得注意的是在第2条第1款明确了如果违反法律行政法规规定在“宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所”进行人脸信息处理行为,属于侵害自然人人格权益的行为。该规定的前提是违反法律和行政法规,目前除《规定》外并无法律和行政法规对人脸识别这一问题单独进行规定,但是首先人脸信息作为个人生物识别信息属于个人信息的范畴,因此适用关于个人信息保护的一般规定,另外根据《个人信息保护法(草案)》第29条规定,生物特征信息属于敏感个人信息,《信息安全技术 个人信息安全规范》中也做出了相似的规定,因此对于对于人脸信息处理行为同样适用关于敏感个人信息处理行为的一般规定,因此我们认为,在关于人脸识别信息处理行为进一步的规定出台之前,数据处理者可按照一般个人信息以及敏感个人信息保护的要求进行。

另外,《规定》中列举的5种适用人脸识别的免责事由可以通过公共利益和合理范围内使用这两组关键词句进行理解,而第5条第2款规定的免责情形需注意要同时满足维护公共安全的目的以及符合国家有关规定

3.告知同意原则的单独适用

《规定》第2条第3款规定,对于“未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意”的人脸信息处理行为属于侵害自然人人格权益的行为。

因此可以明确,人脸信息的处理需要征得自然人的单独同意,而对于未成年人或者无民事行为能力人则需要征得其监护人的单独同意。根据最高院新闻发布会的内容,该规定可以说是对早前315晚会曝光的使用“无感式”人脸识别技术在未经同意的情况下擅自采集消费者人脸信息问题;部分线上平台或者应用软件强制索取用户的人脸信息;通过用户协议或者隐私协议“打包式”收集用户人脸信息的回应。

早前在《个人信息保护法(草案)》第30条就规定,对于敏感个人信息的处理需要取得个人信息主体的单独同意,但《个人信息保护法(草案)》还未最终颁布实施,境外如美国 《伊利诺伊州生物信息隐私法案》中就明确处理生物识别数据必须基于书面同意,包括纸质或电子的形式,以保障信息主体通过“主动行为”,在形式上更为明确地表达对个人信息的决定。

对于“同意”本身而言,《个人信息保护法(草案)》中提到了“同意”、“单独同意”和“书面同意”(典型的要求书面同意的场景如医学临床试验、采集人类遗传资源、向征信机构查询个人信息、向第三人提供寄递用户信息、医学临床试验等。可以看到,在对自然人人格和财产权益可能产生重大影响时会被要求征得自然人书面同意)三种,对于这三者而言,“书面同意”可以被认为是进行“同意”行为的一种形式,可以理解为《民法典》135条规定的采用书面形式进行的民事法律行为,而“单独同意”则是从数据处理者角度出发规定的如何获取“同意”的一种方式,两者都统摄于“同意”这一概念。设置“单独同意”的目的显然是希望对于人脸识别的信息处理,信息主体可以通过对处理规则的独立识别作出更为理性的判断,其目的是为了保障信息主体对自身人脸识别信息的知情权和决定权,虽然对于如何进行单独同意,本次《规定》并没有明确规定,在《个人信息保护法(草案)》以及《信息安全技术 个人信息告知同意指南(草案)》中也只是对“告知”的方式予以说明,但在人脸识别信息处理过程中,以《规定》明示的立法目的为导向作为人脸识别信息的处理原则是应有之举。

4.明确物业服务中人脸识别的使用问题

对于物业服务中人脸识别的问题一直是学界和实务界讨论的热点话题。早前北京市民于某就因小区速通门无法对其人脸识别而对其进行撞击行为,最终被北京市公安局丰台分局岳各庄派出所制止。可以理解的是,业主对于交出“人脸”换取回家资格这件事上感到疑惑和挣扎,《光明日报》曾刊发评论文章,点评江苏省常州市部分社区强制居民“刷脸进小区”的争议事件。文章称,争议的导火线,或许正是对门禁系统的强制推行触碰了信息被采集者的敏感神经,而信息的不透明、不对称加剧了被采集者的安全焦虑。毕竟,安全问题的解决并不取决于安保水平与能力最高的部门或企业,而是取决于其中水平最低与能力最差的。如果允许不同种类、层级的单位、组织随意收集自然人人脸识别信息,毫无疑问是埋下了一颗颗数据泄露滥用的地雷。实际上,在此前四川省、杭州市物业管理条例的修改草案中就已经将不得强制对业主进行人脸识别纳入其中。

本次《规定》在第10条明确业主或者物业使用人有权拒绝人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,并有权在物业服务企业或者其他建筑物管理人违反《规定》第2条规定时,请求其承担侵权责任。此前《深圳经济特区数据条例》第19条也规定,对于数据处理者在处理生物识别数据时,应当提供处理其他非生物识别数据的替代方案。一系列规定的出台落地说明居住小区无权以智能信息化管理为由,侵害居民人格权益,我们在拥抱新技术的同时,更要尊重个体人格权益。

5.诉讼成本的合理分配

首先对于举证责任,《规定》第6条从现有举证责任的法律适用规则出发,结合《民法典》第1035、1036条等规定内容,在充分考虑双方当事人经济实力不对等、专业信息不对称等因素的基础上,在举证责任分配上,要求信息处理者承担更多的举证责任,这和《个人信息保护法(草案)》第65条施加给个人信息处理者的过错推定责任在立法思路上保持一致。

其次,对于诉讼经济成本的问题,《规定》考虑到“侵害人脸信息可能并无具体财产损失,但被侵权人为维权支付的相关费用却较大,如果不赔偿,将会造成被侵权人维权成本过高,侵权人违法成本较小的不平衡状态”的问题,在第8条明确被侵权人为制止侵权行为所支付的合理开支以及合理的律师费用可作为财产损失请求赔偿

最后,关于人脸信息民事案件的公益诉讼,《规定》在第14条予以明确规定,这也成为了信息主体对其个人信息进行救济的最有力渠道,此前《深圳经济特区数据条例》也对关于数据公益诉讼的内容进行了规定,可以合理推断个人信息保护领域将成为未来公益诉讼的重点内容。

6.对于合同场景下的人脸识别进行了回应

根据《规定》第11条规定,自然人依据《民法典》第497条请求确认格式条款无效的,人民法院依法予以支持。而对于出现类似通过设置格式条款违反约定处理自然人人脸信息的,信息处理者还应承担删除该人脸信息的责任。

除上述重点内容外,本次《规定》还对诸如自然人死亡后对其人脸识别信息侵权行为的处理、强迫获得同意或者通过捆绑获得用户同意、多个信息处理者侵权责任承担等事项作出了规定,值得仔细研读。

三、小结

本次《规定》一方面是对过往有关人脸识别问题的一个阶段式的总结,对在地方和国家标准中已经落地实施的既有政策做了总结式的规定,仍有不足尚未明确,例如对“人脸信息”等基础概念没有明确定义、对于数据处理者如何在处理人脸识别时获取单独同意的方式没有明确,对于信息处理者应当采取必要技术措施以保障人脸识别信息安全的标准同样也没有明示。但道阻且长,行则将至,《规定》的阶段性成果总结辅之以即将出台的《个人信息保护法》和已经出台的各类法律法规和国家标准有助于我国对于个人信息打造保护闭环,保障信息主体对于自身信息享有的数据权益。我们接下来也会对上述《规定》中尚未明确的问题以及实践中关于人脸识别信息处理的热点问题进行系列解读,敬请期待。

作者:侯天赐

审稿:梁艳芬 许瑞凤