最高院關(guān)于人臉識別的司法解釋,對企業(yè)的影響與合規(guī)建議
責(zé)編:gltian |2021-09-06 09:53:24
前言
“人臉識別”作為人工智能的應(yīng)用之一,近些年隨著技術(shù)發(fā)展,已逐步滲透到日常生活的方方面面。
大到疫情防控、城市治安,小到手機客戶端的登錄解鎖,都能見到人臉識別的應(yīng)用,但也引發(fā)了一系列個人信息保護問題。一些經(jīng)營者濫用人臉識別技術(shù)侵害自然人合法權(quán)益的事件頻發(fā),比如,有些知名門店使用“無感式”人臉識別技術(shù)在未經(jīng)同意的情況下擅自采集消費者人臉信息,分析消費者的性別、年齡、心情等,進而采取不同營銷策略。又如,有些物業(yè)服務(wù)企業(yè)強制將人臉識別作為業(yè)主出入小區(qū)或者單元門的唯一驗證方式,要求業(yè)主錄入人臉并綁定相關(guān)個人信息,未經(jīng)識別的業(yè)主不得進入小區(qū)。社會公眾對人臉識別技術(shù)濫用的擔(dān)心不斷增加,強化人臉信息保護的呼聲日益高漲。
在此背景下,最高人民法院此前發(fā)布了《關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》(以下簡稱《規(guī)定》),對如何規(guī)范人臉識別技術(shù)的應(yīng)用提供了司法指導(dǎo)。本文將結(jié)合《信息安全技術(shù) 個人信息安全規(guī)范》(以下簡稱《個安規(guī)范》)、《信息安全技術(shù) 人臉識別數(shù)據(jù)安全要求(征求意見稿)》(以下簡稱《人臉識別要求》)對該《規(guī)定》進行解讀,并就相關(guān)企業(yè)進行合規(guī)建議。
一、將人臉信息界定為“生物識別信息”
《規(guī)定》第一條第三款規(guī)定,本規(guī)定所稱人臉信息屬于民法典第一千零三十四條規(guī)定的“生物識別信息”。
人臉信息屬于敏感個人信息中的生物識別信息,是生物識別信息中社交屬性最強、最易采集的個人信息,具有唯一性和不可更改性,一旦泄露將對個人的人身和財產(chǎn)安全造成極大危害,甚至還可能威脅公共安全。本次《規(guī)定》將人臉信息界定為生物識別信息,意味著所有對生物識別信息和個人敏感信息的規(guī)制都可適用于人臉信息。
《信息安全技術(shù) 個人信息安全規(guī)范》(以下簡稱《個安規(guī)范》)第6.3條規(guī)定了個人信息控制者在對個人敏感信息傳輸和存儲時的要求,包括在傳輸和存儲個人敏感信息時,采用加密等安全措施;將個人生物識別信息應(yīng)與個人身份信息分開存儲且原則上不應(yīng)存儲原始個人生物識別信息(如樣本、圖像等),但可僅存儲個人生物識別信息的摘要信息,或在采集終端中直接使用個人生物識別信息實現(xiàn)身份識別、認證等功能,或在使用面部識別特征、指紋、掌紋、虹膜等實現(xiàn)識別身份、認證等功能后刪除可提取個人生物識別信息的原始圖像。
而在個人信息共享、轉(zhuǎn)讓問題上,《個安規(guī)范》要求個人生物識別信息原則上不應(yīng)共享、轉(zhuǎn)讓。但個人信息控制者確因業(yè)務(wù)需要,確需共享、轉(zhuǎn)讓的,應(yīng)單獨向個人信息主體告知目的、涉及的個人生物識別信息類型、數(shù)據(jù)接收方的具體身份和數(shù)據(jù)安全能力等,并征得個人信息主體的明示同意。
而在個人信息公開披露方面,《個安規(guī)范》反對任何情況下的公開披露個人生物識別信息,公安部的《互聯(lián)網(wǎng)個人信息安全保護指南》也規(guī)定“不得公開披露個人生物識別信息“。
但本次最高法的《規(guī)定》并未對“人臉信息”進行界定。《信息安全技術(shù) 人臉識別數(shù)據(jù)安全要求(征求意見稿)》(以下簡稱《人臉識別要求》)提出了“人臉圖像”、“人臉特征”與“人臉識別數(shù)據(jù)”三個概念范疇。但本次《規(guī)定》是否對此劃分予以肯定仍有待于后續(xù)司法工作的開展。
3.1 人臉圖像 face image自然人臉部信息的模擬或數(shù)字表示。
注:人臉圖像可通過設(shè)備收集,也可對視頻、數(shù)字照片等進行處理后獲得,主要包括可見光圖像、非可見光圖像(如紅外圖像)、三維圖像等。
3.2 人臉特征 face feature從數(shù)據(jù)主體的人臉圖像提取的反映數(shù)據(jù)主體的參數(shù)。
3.3 人臉識別數(shù)據(jù) face recognition data人臉圖像及其處理得到的,可單獨或與其他信息結(jié)合識別特定自然人或特定自然人身份的數(shù)據(jù)。
二、明確了人臉信息處理者處理人臉信息的規(guī)則
一段時間以來,部分移動應(yīng)用程序(APP)通過一攬子授權(quán)、與其他授權(quán)捆綁、“不點擊同意就不提供服務(wù)”等方式強制索取非必要個人信息的問題比較突出。為從司法角度規(guī)范此類行為,《規(guī)定》根據(jù)民法典第1035條,在吸收個人信息保護立法精神、借鑒域外做法的基礎(chǔ)上,明確了以下處理人臉信息的規(guī)則:
1.單獨同意規(guī)則
第二條信息處理者處理人臉信息有下列情形之一的,人民法院應(yīng)當(dāng)認定屬于侵害自然人人格權(quán)益的行為:
(三)基于個人同意處理人臉信息的,未征得自然人或者其監(jiān)護人的單獨同意,或者未按照法律、行政法規(guī)的規(guī)定征得自然人或者其監(jiān)護人的書面同意;
《規(guī)定》第2條第3項引入單獨同意規(guī)則,即信息處理者在征得個人同意時,必須就人臉信息處理活動單獨取得個人的同意,不能通過一攬子告知同意等方式征得個人同意。
最高法在答記者問時表示,人臉信息屬于敏感個人信息,處理活動對個人權(quán)益影響重大,因此,在告知同意上,有必要設(shè)定較高標(biāo)準,以確保個人在充分知情的前提下,合理考慮對自己權(quán)益的后果而作出同意。
2.強迫同意無效規(guī)則
第四條有下列情形之一,信息處理者以已征得自然人或者其監(jiān)護人同意為由抗辯的,人民法院不予支持:
(一)信息處理者要求自然人同意處理其人臉信息才提供產(chǎn)品或者服務(wù)的,但是處理人臉信息屬于提供產(chǎn)品或者服務(wù)所必需的除外;
(二)信息處理者以與其他授權(quán)捆綁等方式要求自然人同意處理其人臉信息的;
(三)強迫或者變相強迫自然人同意處理其人臉信息的其他情形。
自愿原則是民法典的基本原則之一,個人的同意必須是基于自愿而作出。特別是對人臉信息的處理,不能帶有任何強迫因素。如果信息處理者采取“與其他授權(quán)捆綁”、“不點擊同意就不提供服務(wù)”等做法,會導(dǎo)致自然人無法單獨對人臉信息作出自愿同意,或者被迫同意處理其本不愿提供且非必要的人臉信息。信息處理者超出提供產(chǎn)品或者服務(wù)所必需的范疇獲得的授權(quán)同意,人民法院對此不予認可。而基于個人同意處理人臉信息的,只要信息處理者不超出自然人同意的范圍,原則上該行為就不構(gòu)成侵權(quán)行為。
而對于信息處理者采取“與其他授權(quán)捆綁”、“不點擊同意就不提供服務(wù)”等方式強迫或者變相強迫自然人同意處理其人臉信息的,《規(guī)定》對此采取從嚴認定的思路。信息處理者據(jù)此認為其已征得相應(yīng)同意的,人民法院不予支持。
同時,最高法在答記者問時明確表示《規(guī)定》第4條不僅適用于線上應(yīng)用,對于需要告知同意的線下場景也同樣適用。
三、對強制刷臉說“不”
第十條 物業(yè)服務(wù)企業(yè)或者其他建筑物管理人以人臉識別作為業(yè)主或者物業(yè)使用人出入物業(yè)服務(wù)區(qū)域的唯一驗證方式,不同意的業(yè)主或者物業(yè)使用人請求其提供其他合理驗證方式的,人民法院依法予以支持。
物業(yè)服務(wù)企業(yè)或者其他建筑物管理人存在本規(guī)定第二條規(guī)定的情形,當(dāng)事人請求物業(yè)服務(wù)企業(yè)或者其他建筑物管理人承擔(dān)侵權(quán)責(zé)任的,人民法院依法予以支持。
伴隨著人臉識別技術(shù)應(yīng)用場景的不斷豐富,一些小區(qū)引入人臉識別系統(tǒng),用“刷臉”代替“刷卡”。實踐中,存在部分小區(qū)物業(yè)強制要求居民錄入人臉信息,并將人臉識別作為出入小區(qū)的唯一驗證方式,這種行為違反“告知同意”原則。對于此問題,本次《規(guī)定》作出了回應(yīng)。
本次《規(guī)定》明確小區(qū)物業(yè)在使用人臉識別門禁系統(tǒng)錄入人臉信息時,應(yīng)當(dāng)征得業(yè)主或者物業(yè)使用人的同意,而對于不同意的業(yè)主或物業(yè)使用人,小區(qū)物業(yè)應(yīng)當(dāng)提供替代性驗證方式,不得侵害業(yè)主或物業(yè)使用人的人格權(quán)益和其他合法權(quán)益。
倘若物業(yè)服務(wù)企業(yè)或者其他建筑物管理人以人臉識別作為業(yè)主或者物業(yè)使用人出入物業(yè)服務(wù)區(qū)域的唯一驗證方式的,不同意的業(yè)主或者物業(yè)使用人請求其提供其他合理驗證方式的,人民法院依法予以支持。
同時,如果物業(yè)服務(wù)企業(yè)或者其他建筑物管理人存在下列情形的,屬于侵害自然人人格權(quán)益的侵權(quán)行為,當(dāng)事人請求物業(yè)服務(wù)企業(yè)或者其他建筑物管理人承擔(dān)侵權(quán)責(zé)任的,人民法院依法予以支持。
1.未公開處理人臉信息的規(guī)則或者未明示處理的目的、方式、范圍;
2.違反信息處理者明示或者雙方約定的處理人臉信息的目的、方式、范圍等;
3.未采取應(yīng)有的技術(shù)措施或者其他必要措施確保其收集、存儲的人臉信息安全,致使人臉信息泄露、篡改、丟失;
4.違反法律、行政法規(guī)的規(guī)定或者雙方的約定,向他人提供人臉信息;
5.違背公序良俗處理人臉信息;
6.違反合法、正當(dāng)、必要原則處理人臉信息的其他情形。
四、加強對未成年人人臉信息的保護
伴隨著人臉識別應(yīng)用場景越來越廣泛,未成年人的人臉信息被采集的場景也越來越多,既有線上的,如,商場、小區(qū)、學(xué)校等場所安裝的人臉識別系統(tǒng),也有線下的,如手機上帶有人臉識別功能的APP軟件,互聯(lián)網(wǎng)上需要進行人臉驗證的平臺等等。倘若未成年人的人臉信息一旦泄露,侵權(quán)影響甚至可能伴隨其一生,特別是技術(shù)歧視或算法偏見所導(dǎo)致的不公平待遇,會直接影響未成年人的人格發(fā)展。對于這一問題,本次《規(guī)定》則從司法審判層面加強對未成年人人臉信息的保護。
第二條信息處理者處理人臉信息有下列情形之一的,人民法院應(yīng)當(dāng)認定屬于侵害自然人人格權(quán)益的行為:
(三)基于個人同意處理人臉信息的,未征得自然人或者其監(jiān)護人的單獨同意,或者未按照法律、行政法規(guī)的規(guī)定征得自然人或者其監(jiān)護人的書面同意;
按照告知同意原則,《規(guī)定》第2條第3項明確了信息處理者處理未成年人人臉信息的,必須征得其監(jiān)護人的單獨同意。
而關(guān)于具體年齡,《人臉識別要求》的征求意見稿規(guī)定,原則上不應(yīng)使用人臉識別方式對不滿十四周歲的未成年人進行身份識別;而最高法在答記者問時表示可依據(jù)《未成年人保護法》《網(wǎng)絡(luò)安全法》以及將來的《個人信息保護法》進行認定。
第三條人民法院認定信息處理者承擔(dān)侵害自然人人格權(quán)益的民事責(zé)任,應(yīng)當(dāng)適用民法典第九百九十八條的規(guī)定,并結(jié)合案件具體情況綜合考量受害人是否為未成年人、告知同意情況以及信息處理的必要程度等因素。
而在侵權(quán)責(zé)任認定方面,《規(guī)定》第3條在民法典第998條的基礎(chǔ)上,對侵害人臉信息責(zé)任認定的考量因素予以細化,結(jié)合當(dāng)前未成年人人臉信息保護現(xiàn)狀,明確將“受害人是否未成年人”作為責(zé)任認定特殊考量因素,對于違法處理未成年人人臉信息的,在責(zé)任承擔(dān)時依法予以從重從嚴。
五、明確格式條款的效力
第十一條信息處理者采用格式條款與自然人訂立合同,要求自然人授予其無期限限制、不可撤銷、可任意轉(zhuǎn)授權(quán)等處理人臉信息的權(quán)利,該自然人依據(jù)民法典第四百九十七條請求確認格式條款無效的,人民法院依法予以支持。
針對信息處理者通過采用格式條款與自然人訂立合同,要求自然人授予其無期限限制、不可撤銷、可任意轉(zhuǎn)授權(quán)等處理人臉信息的權(quán)利的,第11條規(guī)定,自然人依據(jù)民法典第497條請求確認格式條款無效的,人民法院依法予以支持。
六、合規(guī)建議
本次最高法針對人臉識別問題頒布的規(guī)定涵蓋了近期群眾關(guān)心的熱點問題,所涉及的主體也相當(dāng)廣泛,具體如物業(yè)服務(wù)企業(yè)或者其他建筑物管理人,廣泛如人臉信息處理者,其行為與糾紛均有可能落入該《規(guī)定》的適用范圍。其中需要值得注意的是對于“人臉信息處理者”的界定,根據(jù)文義解釋與立法目的,凡是以人臉信息處理為內(nèi)容的企業(yè)均屬于此“人臉信息處理者”。
在實踐中,人臉識別服務(wù)多由以“人臉識別”為業(yè)務(wù)內(nèi)容的人工智能公司或互聯(lián)網(wǎng)公司的有關(guān)業(yè)務(wù)部門提供。其所提供的人臉識別技術(shù)服務(wù)內(nèi)容,既涉及SaaS部署、私有化部署,也包括提供SDK產(chǎn)品或運營與終端對接的人臉識別軟件,不同的技術(shù)服務(wù)對于人臉信息的處理程度存在高低之別,監(jiān)管機關(guān)對此應(yīng)有所區(qū)別。
而為了應(yīng)對不斷加碼的安全合規(guī)要求,我們對上述企業(yè)提出如下建議,以供參考。
1.完善隱私協(xié)議,公開處理人臉信息的規(guī)則或者明示處理的目的、方式、范圍,并確保處理人臉信息時得到單獨授權(quán);
2.接入第三方人臉識別SDK時應(yīng)當(dāng)進行信息公示,同時應(yīng)保證API和SDK等技術(shù)工具的安全;
3.人臉信息與個人身份信息分開存儲,且不存儲原始人臉信息(如人臉圖像等);
4.不存儲原始個人生物識別信息(如人臉識別底圖、簽到人臉照片等),或是僅存儲人臉的摘要信息,或是在人臉信息采集終端中直接使用人臉識別信息實現(xiàn)身份識別、認證等功能,或在使用面部識別特征實現(xiàn)識別身份、認證等功能后刪除可提取人臉識別信息的原始圖像。
5.因業(yè)務(wù)需要確需共享、轉(zhuǎn)讓人臉信息, 應(yīng)單獨向人臉信息主體告知目的、涉及的人臉識別信息類型、數(shù)據(jù)接收方的具體身份和數(shù)據(jù)安全能力等,并征得信息主體的明示同意。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧