最高院關于人臉識別的司法解釋,對企業的影響與合規建議
責編:gltian |2021-09-06 09:53:24
前言
“人臉識別”作為人工智能的應用之一,近些年隨著技術發展,已逐步滲透到日常生活的方方面面。
大到疫情防控、城市治安,小到手機客戶端的登錄解鎖,都能見到人臉識別的應用,但也引發了一系列個人信息保護問題。一些經營者濫用人臉識別技術侵害自然人合法權益的事件頻發,比如,有些知名門店使用“無感式”人臉識別技術在未經同意的情況下擅自采集消費者人臉信息,分析消費者的性別、年齡、心情等,進而采取不同營銷策略。又如,有些物業服務企業強制將人臉識別作為業主出入小區或者單元門的唯一驗證方式,要求業主錄入人臉并綁定相關個人信息,未經識別的業主不得進入小區。社會公眾對人臉識別技術濫用的擔心不斷增加,強化人臉信息保護的呼聲日益高漲。
在此背景下,最高人民法院此前發布了《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》(以下簡稱《規定》),對如何規范人臉識別技術的應用提供了司法指導。本文將結合《信息安全技術 個人信息安全規范》(以下簡稱《個安規范》)、《信息安全技術 人臉識別數據安全要求(征求意見稿)》(以下簡稱《人臉識別要求》)對該《規定》進行解讀,并就相關企業進行合規建議。
一、將人臉信息界定為“生物識別信息”
《規定》第一條第三款規定,本規定所稱人臉信息屬于民法典第一千零三十四條規定的“生物識別信息”。
人臉信息屬于敏感個人信息中的生物識別信息,是生物識別信息中社交屬性最強、最易采集的個人信息,具有唯一性和不可更改性,一旦泄露將對個人的人身和財產安全造成極大危害,甚至還可能威脅公共安全。本次《規定》將人臉信息界定為生物識別信息,意味著所有對生物識別信息和個人敏感信息的規制都可適用于人臉信息。
《信息安全技術 個人信息安全規范》(以下簡稱《個安規范》)第6.3條規定了個人信息控制者在對個人敏感信息傳輸和存儲時的要求,包括在傳輸和存儲個人敏感信息時,采用加密等安全措施;將個人生物識別信息應與個人身份信息分開存儲且原則上不應存儲原始個人生物識別信息(如樣本、圖像等),但可僅存儲個人生物識別信息的摘要信息,或在采集終端中直接使用個人生物識別信息實現身份識別、認證等功能,或在使用面部識別特征、指紋、掌紋、虹膜等實現識別身份、認證等功能后刪除可提取個人生物識別信息的原始圖像。
而在個人信息共享、轉讓問題上,《個安規范》要求個人生物識別信息原則上不應共享、轉讓。但個人信息控制者確因業務需要,確需共享、轉讓的,應單獨向個人信息主體告知目的、涉及的個人生物識別信息類型、數據接收方的具體身份和數據安全能力等,并征得個人信息主體的明示同意。
而在個人信息公開披露方面,《個安規范》反對任何情況下的公開披露個人生物識別信息,公安部的《互聯網個人信息安全保護指南》也規定“不得公開披露個人生物識別信息“。
但本次最高法的《規定》并未對“人臉信息”進行界定。《信息安全技術 人臉識別數據安全要求(征求意見稿)》(以下簡稱《人臉識別要求》)提出了“人臉圖像”、“人臉特征”與“人臉識別數據”三個概念范疇。但本次《規定》是否對此劃分予以肯定仍有待于后續司法工作的開展。
3.1 人臉圖像 face image自然人臉部信息的模擬或數字表示。
注:人臉圖像可通過設備收集,也可對視頻、數字照片等進行處理后獲得,主要包括可見光圖像、非可見光圖像(如紅外圖像)、三維圖像等。
3.2 人臉特征 face feature從數據主體的人臉圖像提取的反映數據主體的參數。
3.3 人臉識別數據 face recognition data人臉圖像及其處理得到的,可單獨或與其他信息結合識別特定自然人或特定自然人身份的數據。
二、明確了人臉信息處理者處理人臉信息的規則
一段時間以來,部分移動應用程序(APP)通過一攬子授權、與其他授權捆綁、“不點擊同意就不提供服務”等方式強制索取非必要個人信息的問題比較突出。為從司法角度規范此類行為,《規定》根據民法典第1035條,在吸收個人信息保護立法精神、借鑒域外做法的基礎上,明確了以下處理人臉信息的規則:
1.單獨同意規則
第二條信息處理者處理人臉信息有下列情形之一的,人民法院應當認定屬于侵害自然人人格權益的行為:
(三)基于個人同意處理人臉信息的,未征得自然人或者其監護人的單獨同意,或者未按照法律、行政法規的規定征得自然人或者其監護人的書面同意;
《規定》第2條第3項引入單獨同意規則,即信息處理者在征得個人同意時,必須就人臉信息處理活動單獨取得個人的同意,不能通過一攬子告知同意等方式征得個人同意。
最高法在答記者問時表示,人臉信息屬于敏感個人信息,處理活動對個人權益影響重大,因此,在告知同意上,有必要設定較高標準,以確保個人在充分知情的前提下,合理考慮對自己權益的后果而作出同意。
2.強迫同意無效規則
第四條有下列情形之一,信息處理者以已征得自然人或者其監護人同意為由抗辯的,人民法院不予支持:
(一)信息處理者要求自然人同意處理其人臉信息才提供產品或者服務的,但是處理人臉信息屬于提供產品或者服務所必需的除外;
(二)信息處理者以與其他授權捆綁等方式要求自然人同意處理其人臉信息的;
(三)強迫或者變相強迫自然人同意處理其人臉信息的其他情形。
自愿原則是民法典的基本原則之一,個人的同意必須是基于自愿而作出。特別是對人臉信息的處理,不能帶有任何強迫因素。如果信息處理者采取“與其他授權捆綁”、“不點擊同意就不提供服務”等做法,會導致自然人無法單獨對人臉信息作出自愿同意,或者被迫同意處理其本不愿提供且非必要的人臉信息。信息處理者超出提供產品或者服務所必需的范疇獲得的授權同意,人民法院對此不予認可。而基于個人同意處理人臉信息的,只要信息處理者不超出自然人同意的范圍,原則上該行為就不構成侵權行為。
而對于信息處理者采取“與其他授權捆綁”、“不點擊同意就不提供服務”等方式強迫或者變相強迫自然人同意處理其人臉信息的,《規定》對此采取從嚴認定的思路。信息處理者據此認為其已征得相應同意的,人民法院不予支持。
同時,最高法在答記者問時明確表示《規定》第4條不僅適用于線上應用,對于需要告知同意的線下場景也同樣適用。
三、對強制刷臉說“不”
第十條 物業服務企業或者其他建筑物管理人以人臉識別作為業主或者物業使用人出入物業服務區域的唯一驗證方式,不同意的業主或者物業使用人請求其提供其他合理驗證方式的,人民法院依法予以支持。
物業服務企業或者其他建筑物管理人存在本規定第二條規定的情形,當事人請求物業服務企業或者其他建筑物管理人承擔侵權責任的,人民法院依法予以支持。
伴隨著人臉識別技術應用場景的不斷豐富,一些小區引入人臉識別系統,用“刷臉”代替“刷卡”。實踐中,存在部分小區物業強制要求居民錄入人臉信息,并將人臉識別作為出入小區的唯一驗證方式,這種行為違反“告知同意”原則。對于此問題,本次《規定》作出了回應。
本次《規定》明確小區物業在使用人臉識別門禁系統錄入人臉信息時,應當征得業主或者物業使用人的同意,而對于不同意的業主或物業使用人,小區物業應當提供替代性驗證方式,不得侵害業主或物業使用人的人格權益和其他合法權益。
倘若物業服務企業或者其他建筑物管理人以人臉識別作為業主或者物業使用人出入物業服務區域的唯一驗證方式的,不同意的業主或者物業使用人請求其提供其他合理驗證方式的,人民法院依法予以支持。
同時,如果物業服務企業或者其他建筑物管理人存在下列情形的,屬于侵害自然人人格權益的侵權行為,當事人請求物業服務企業或者其他建筑物管理人承擔侵權責任的,人民法院依法予以支持。
1.未公開處理人臉信息的規則或者未明示處理的目的、方式、范圍;
2.違反信息處理者明示或者雙方約定的處理人臉信息的目的、方式、范圍等;
3.未采取應有的技術措施或者其他必要措施確保其收集、存儲的人臉信息安全,致使人臉信息泄露、篡改、丟失;
4.違反法律、行政法規的規定或者雙方的約定,向他人提供人臉信息;
5.違背公序良俗處理人臉信息;
6.違反合法、正當、必要原則處理人臉信息的其他情形。
四、加強對未成年人人臉信息的保護
伴隨著人臉識別應用場景越來越廣泛,未成年人的人臉信息被采集的場景也越來越多,既有線上的,如,商場、小區、學校等場所安裝的人臉識別系統,也有線下的,如手機上帶有人臉識別功能的APP軟件,互聯網上需要進行人臉驗證的平臺等等。倘若未成年人的人臉信息一旦泄露,侵權影響甚至可能伴隨其一生,特別是技術歧視或算法偏見所導致的不公平待遇,會直接影響未成年人的人格發展。對于這一問題,本次《規定》則從司法審判層面加強對未成年人人臉信息的保護。
第二條信息處理者處理人臉信息有下列情形之一的,人民法院應當認定屬于侵害自然人人格權益的行為:
(三)基于個人同意處理人臉信息的,未征得自然人或者其監護人的單獨同意,或者未按照法律、行政法規的規定征得自然人或者其監護人的書面同意;
按照告知同意原則,《規定》第2條第3項明確了信息處理者處理未成年人人臉信息的,必須征得其監護人的單獨同意。
而關于具體年齡,《人臉識別要求》的征求意見稿規定,原則上不應使用人臉識別方式對不滿十四周歲的未成年人進行身份識別;而最高法在答記者問時表示可依據《未成年人保護法》《網絡安全法》以及將來的《個人信息保護法》進行認定。
第三條人民法院認定信息處理者承擔侵害自然人人格權益的民事責任,應當適用民法典第九百九十八條的規定,并結合案件具體情況綜合考量受害人是否為未成年人、告知同意情況以及信息處理的必要程度等因素。
而在侵權責任認定方面,《規定》第3條在民法典第998條的基礎上,對侵害人臉信息責任認定的考量因素予以細化,結合當前未成年人人臉信息保護現狀,明確將“受害人是否未成年人”作為責任認定特殊考量因素,對于違法處理未成年人人臉信息的,在責任承擔時依法予以從重從嚴。
五、明確格式條款的效力
第十一條信息處理者采用格式條款與自然人訂立合同,要求自然人授予其無期限限制、不可撤銷、可任意轉授權等處理人臉信息的權利,該自然人依據民法典第四百九十七條請求確認格式條款無效的,人民法院依法予以支持。
針對信息處理者通過采用格式條款與自然人訂立合同,要求自然人授予其無期限限制、不可撤銷、可任意轉授權等處理人臉信息的權利的,第11條規定,自然人依據民法典第497條請求確認格式條款無效的,人民法院依法予以支持。
六、合規建議
本次最高法針對人臉識別問題頒布的規定涵蓋了近期群眾關心的熱點問題,所涉及的主體也相當廣泛,具體如物業服務企業或者其他建筑物管理人,廣泛如人臉信息處理者,其行為與糾紛均有可能落入該《規定》的適用范圍。其中需要值得注意的是對于“人臉信息處理者”的界定,根據文義解釋與立法目的,凡是以人臉信息處理為內容的企業均屬于此“人臉信息處理者”。
在實踐中,人臉識別服務多由以“人臉識別”為業務內容的人工智能公司或互聯網公司的有關業務部門提供。其所提供的人臉識別技術服務內容,既涉及SaaS部署、私有化部署,也包括提供SDK產品或運營與終端對接的人臉識別軟件,不同的技術服務對于人臉信息的處理程度存在高低之別,監管機關對此應有所區別。
而為了應對不斷加碼的安全合規要求,我們對上述企業提出如下建議,以供參考。
1.完善隱私協議,公開處理人臉信息的規則或者明示處理的目的、方式、范圍,并確保處理人臉信息時得到單獨授權;
2.接入第三方人臉識別SDK時應當進行信息公示,同時應保證API和SDK等技術工具的安全;
3.人臉信息與個人身份信息分開存儲,且不存儲原始人臉信息(如人臉圖像等);
4.不存儲原始個人生物識別信息(如人臉識別底圖、簽到人臉照片等),或是僅存儲人臉的摘要信息,或是在人臉信息采集終端中直接使用人臉識別信息實現身份識別、認證等功能,或在使用面部識別特征實現識別身份、認證等功能后刪除可提取人臉識別信息的原始圖像。
5.因業務需要確需共享、轉讓人臉信息, 應單獨向人臉信息主體告知目的、涉及的人臉識別信息類型、數據接收方的具體身份和數據安全能力等,并征得信息主體的明示同意。