2021-07-30 15:13:15 来源:中国周刊
作者:王讷敏
海华永泰律师事务所 律师
2021年7月28日,最高人民法院发布了《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称“人脸识别技术司法解释”),回应了当前人脸识别技术应用过程中,对于个人信息权益的侵犯的问题。根据最高院公布的数据,自民法典实施以来的六个月,全国各级法院以个人信息保护纠纷案由立案的民事一审案件共192件,而2017年6月至2021年6月的四年间,全国法院新收侵犯公民个人信息刑事案件10059件,平均每半年收案约1257件。既然侵犯个人信息的刑事犯罪处于高发态势,可以预见未达到刑事犯罪标准的侵犯个人信息行为亦可能处于较高水平。结合对比个人信息保护纠纷的民事案件立案数量和侵犯公民个人信息刑事案件的立案数量相差近10倍,不难发现,在个人信息纠纷保护的民事诉讼领域内司法实践较少。而侵犯公民个人信息刑事案件的收案数量,一定程度上也有赖于最高院、最高检于2017年5月9日发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。因此,最高院此次公布的《人脸识别技术司法解释》,有效的填补了这一空白,为该领域民事案件司法实践提供了有力的支持。
《人脸识别技术司法解释》确定了如下几个主要规则:
一、
敏感个人信息单独同意规则
根据《民法典》第一千零三十五条,处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外。实践过程中,个人信息处理者往往通过一次性一揽子同意的方式,将一般的个人信息(如性别、年龄等)和敏感个人信息(如人脸识别数据、指纹信息等)统归为一个同意。然而,同意数据处理者收集性别信息和隐私信息的维度显然是不一样的,一次性同意的结果可能是该等同意未必是自然人的真实意思表示。因此,单独同意规则的建立能够有效地保护自然人在个人信息“同意”层面的选择权。
局限于人脸识别技术本身,《人脸识别技术司法解释》仅将人脸识别信息定义为敏感个人信息从而确定人脸识别信息应当适用单独同意规则。但这一规定的基础逻辑是敏感个人信息应当适用单独同意规则。在《个人信息保护法(草案)》第二十九条第二款中,对敏感个人信息定义如下:
“敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。”
未来,对于符合敏感个人信息标准的信息,再无进一步法律规定的情况下,也应当参照适用“单独同意规则”。
二、
强迫同意无效规则
自愿原则是民法典的基本原则(民法典第五条),自然人做出 “同意”的意思表示应当是自愿作出的,否则当然无效。虽然最高院在说明《人脸识别技术司法解释》时,将第四条确定的规则称之为“强迫同意无效规则”,但实际上,是对当前人脸识别技术应用中,哪些“同意”属于自然人非自愿作出的进行的界定,即(1)信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的;(2)信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的;(3)强迫或者变相强迫自然人同意处理其人脸信息的其他情形。通过最后一款的兜底条款亦不难看出,《人脸识别技术司法解释》第四条是对《民法典》第五条的具体应用。
因此,任何个人信息的收集,只要自然人做出的“同意”是强迫的(包括变相强迫、捆绑等形式),就可以解释为违反《民法典》的第五条自愿原则而无效。这也是此次司法解释的一大亮点。
对于信息处理者而言,以往采取的“不点击同意就不提供服务”等模式未来将不被法院所支持,即使取得了自然人的同意亦会被认定为无效,而应承担侵犯个人信息的责任。
三、
个人信息保护的人格权禁令
《民法典》在第九百九十七条首次设立了人格权禁令制度,“民事主体有证据证明行为人正在实施或者即将实施侵害其人格权的违法行为,不及时制止将使其合法权益受到难以弥补的损害的,有权依法向人民法院申请采取责令行为人停止有关行为的措施。”最高院在此次《人脸识别技术司法解释》中,对人格权禁令制度在个人信息保护中的适用做出了进一步解释。
虽然《民法典》将个人信息保护纳入了人格权编,但个人信息并非向其他人格权一样冠以权利之名,而属于一种人格权益。程啸教授认为,人格权不等同于人格权益,因此将人格权禁令无限制地扩大到全部的人格权益将“抹杀人格权与受保护的人格利益的区分”。而且,自然人是否享有该等人格权益本身就可能存在争议,因此人格权禁令不宜扩大至保护强度较弱的人格利益。笔者赞同上述观点,并认为《人脸识别技术司法解释》属于将人脸识别技术引发的个人信息权益列为了可以适用人格权禁令的范畴,并不等同于所有的个人信息权益或敏感个人信息的个人信息权益均可适用人格权禁令。人格权禁令作为一种高效便捷的工具,应当谨防被滥用的风险。
四、
物业不得强制使用人脸识别
与其他领域对人脸识别技术应用做出限制不同的是,在小区或其他建筑物物业公司使用人脸识别作为验证识别方式,本次司法解释未明确予以限制。既未要求物业公司取得业主大会同意或者多数居民同意方能设立人脸识别门禁系统,也未要求小区居民明确同意后方可采集人脸信息。
首先,人脸信息的采集和适用必然适用《人脸识别技术司法解释》第二条及第四条的规定,因此小区居民有权拒绝物业公司的人脸采集要求。对于拒绝的情形,最高院明确规定了物业公司应当提供其他合理验证方式。
经笔者查询,在上海,小区人脸识别系统是“智慧公安微卡口建设的重要项目之一,建设费用由政府全额支付。该系统与公安直接联网,通过人脸抓拍、人脸识别门禁、智能分析、联网报警等系统的联动,能够大大提升门禁系统的安全等级;同时,可以为案件破获提供重要线索,针对逃犯等特殊群体,该系统第一时间直接向警方报警。
因此,根据各地规定和政策不同,采用人脸识别作为出入物业服务区域的识别系统可能属于《人脸识别技术司法解释》第五条的范畴,而无需事先取得同意。考虑到部分物业使用的人脸识别设备并未和公安机关等联网,物业公司将人脸识别作为唯一出入手段将不可避免的变相导致了强迫同意的发生,因此《人脸识别技术司法解释》第十条既符合现实情形,又达到了有效保护人格权益平衡。
人脸识别技术体现的是科技的进步,对人脸识别技术的应用的确能够实现智能化管理,提高效率。法律应当允许拥抱新科技,但也确有必要保护和尊重基本的人格权利和权益。在数据经济蓬勃发展的今天,限制数据的收集和流动也必然会影响数据经济的发展。因此,如何平衡惩戒侵权和鼓励数字科技发展之间的关系成为立法者的难题。根据高富平教授的观点,个人信息的安全使用比关注个人信息的收集重要,而且保护个人信息并不是保护个人信息的控制权而是保护个体就其个人信息的法益。此次最高院出台的《人脸识别技术司法解释》也着力于个人数据的安全使用以及个人信息法益,通过对个人信息权益的保障,规范人脸识别数据的收集、使用和流通,以此促进数据经济的健康发展。作为最高院在民法典生效后关于个人信息保护方面出台的第一部司法解释,有着重大意义。
专题统筹:秦前松
编辑:海洋