人脸识别:我的脸,不是你想拿就拿
(本文首发于InternetLawReview,授权紫金财经发布,转载请注明来源) 围绕人脸识别系统的恰当使用,清华大学法学院教授劳东燕阻止自家小区物业公司安装人脸识别系统的维权经历广为人知。
(本文首发于Internet Law Review,授权紫金财经发布,转载请注明来源)
围绕人脸识别系统的恰当使用,清华大学法学院教授劳东燕阻止自家小区物业公司安装人脸识别系统的维权经历广为人知。
如果人脸数据被泄露、被滥用,不仅不会改善社会治安,反而可能使相关的违法犯罪活动激增。普通民众需要辨别人脸识别合法使用的边界,并了解如何维权。今日《互联网法律评论》刊发特约专家、北京权佑律师事务所执行主任林丽鸿律师的专业分析。
人脸识别技术近年来逐渐普遍。从机场、火车站等公共设施入口,到小区门禁,办公场所入口,从学校、商场,再到公安系统APP里的人脸验证,以及交通道路中的摄像头,人脸识别往往在不经意间走进人们的生活,记录下的却是对个人而言最为敏感的个人面部信息。
人脸识别的设置,哪些是合法的,哪些又属于人脸识别技术的滥用?面对个人隐私受到侵害的情形,一般民众能够通过什么样的渠道维护自身利益?
01 基本原则:搜集人脸识别信息,需要个人的明确同意
近年来,我国法律法规中逐渐将个人信息保护提到了极为重要的位置。
《民法典》人格权编中专门辟出一章,对隐私权与个人信息保护进行专门的规定。2021年11月施行的《个人信息保护法》(以下简称“《个保法》”)与同年8月施行的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称“《规定》”)明确了人脸识别信息属于“敏感个人信息”,要求“只有在具有特定的目的和充分的必要性,并在个人完全知情并明确同意的情形下,个人信息处理者方可处理敏感个人信息”。
根据《个保法》的规定,处理敏感个人信息应当取得个人的单独同意;如果法律、行政法规规定需要书面同意的,还需要取得书面同意。个人除了要获知信息处理者的名称、姓名和联系方式、信息处理的目的、处理方式、处理的信息种类和保存时限外,还应被告知搜集人脸识别信息的必要性以及对个人权益的影响。而且对不满十四周岁未成年人个人信息的,应当取得未成年人监护人的同意。
总结起来,上述法律法规对搜集、储存、使用人脸识别信息的要求:
一是知情,即搜集、使用信息一方需要公开其处理信息的规则,明示处理信息的目的、方式和范围;
二是同意,即需要取得被搜集信息一方的个别的、明示的同意;
三是,处理人脸识别信息,需要具有特定的目的和充分必要性。
总的原则是合法、正当且必要。根据《规定》第二条,没有获得个人同意的情况下处理人脸信息,如果不属于《规定》第五条列举的几种不需要个人同意的特殊情况,则属于对人格权的侵犯。
在一些应用人脸识别的APP中,商家往往通过捆绑协议的方式,获得用户的同意。
《规定》预计到这样的情况,规定了如果商家要求用户同意搜集人脸信息才提供服务,或者通过捆绑授权等方式,以及其他强迫或变相强迫的方式获取用户同意搜集人脸信息,除非搜集信息为提供产品或服务所必需,则这样的同意都是无效的。该规定的核心思想是防止信息处理者变相强迫自然人同意其搜集使用人脸识别。并且,如商家采用格式条款与用户订立合同,要求用户授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利,该格式条款可被法院认定无效。
现实中,用人单位出于考勤方便等考虑,安装人脸识别系统。如果安装此系统并未征求劳动者单独的同意,且没有其他考勤的手段作为选择,因为使用人脸识别计考勤并不能证明为考勤的必要手段,事实上这种情形属于对人脸识别技术的滥用。
物业门禁使用人脸识别问题,曾一度成为社会热点,也关系每一个普通民众。《规定》专门针对物业门禁问题做了特别规定,要求物业公司如以人脸识别作为业主或者租户出入物业服务区域的唯一验证方式,不同意的业主或者租户可以请求其提供其他合理验证方式。
02 公共场合搜集是否合法?
近年来,车站、机场、商场以及交通路口,人脸识别越来越普遍。公共场合的人脸识别由于涉及群体行为,也格外敏感。更有商家以人脸识别技术获取消费行为大数据,可能存在对个人隐私的另一种深度介入。
公共场合如何设置人脸识别才合法?根据《个保法》规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。因此,如某商户将人脸识别系统放置于公共场合,以商业的目的搜集人脸的行为,则违反上述规定,属于对人脸识别的滥用。但机场、车站进行的身份验证,由于属于维护公共安全的目的,设置人脸识别本身是合法的。
同时,基于公共利益等目的,在一些被严格限定的特殊中,处理人脸识别信息不需要个人的同意:
(一)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息的;
(二)为维护公共安全,依据国家有关规定在公共场所使用人脸识别技术的;
(三)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息的。
因而,疫情中的流行病学调查而进行的人脸识别,公共交通工具入口的人脸识别,大型文体活动场所进行的人脸识别,如是遵照相关国家规定进行的,即使未取得个人的单独同意,也不属于人脸识别的滥用。
03 人脸识别滥用侵权的法律责任
《规定》第二条对处理人脸识别信息侵犯人格权的情形做了一一列举。
包括:
不能“在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析”;
未公开处理人脸信息的规则和目的、方式、范围,或公开了但未按照公开的目的、方式、范围进行处理;
未征得自然人或者其监护人的单独同意;
违反信息处理者明示或者双方约定的处理人脸信息的目的、方式、范围等;
未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全,致使人脸信息泄露、篡改、丢失;违反法律、行政法规的规定或者双方的约定,向他人提供人脸信息;
违背公序良俗处理人脸信息;
违反合法、正当、必要原则处理人脸信息的其他情形。
对于人脸识别信息给个人造成的损失,个人可要求信息处理者承担侵权责任。如信息处理者违反了关于人脸信息处理的约定,个人可要求信息处理者承担违约责任。并且,一旦信息处理者违约,个人便可请求其删除相关人脸信息,无论双方是否对删除人脸信息有约定。为制止侵权和进行调查取证而花费的费用,可以算入损失中要求侵权方进行赔偿。
另外,如个人能证明滥用人脸识别技术对人格权侵害的行为不及时制止将使其合法权益受到难以弥补的损害,可以向法院申请采取责令信息处理者停止有关行为的措施的,法院可视具体情况作出人格权侵害禁令,制止侵权行为。
《规定》还确认了,死者的人脸信息如果存在滥用的情形,死者的近亲属也可以依据《民法典》死者的姓名、肖像、名誉、荣誉、隐私、遗体等受到侵害的,其近亲属有权依法请求行为人承担民事责任的规定,要求赔偿。
然而对个人而言,搜集人脸信息这样的隐私权的侵害往往难以明确损失,且个人相对于信息处理者而言一般处于劣势。如果这项侵权行为已危及多人,这时个人可以选择加入已经启动的集体诉讼,也可以向社会公益组织或检察院申请启动民事公益诉讼。
不过,比起时间和金钱成本较高的诉讼途径,普通民众如遇到并非特别严重的人脸识别侵权行为,可以先向消费者协会或者行政主管机构进行投诉,往往可以更快速有效地解决问题。(作者:林丽鸿《互联网法律评论》特约专家 北京权佑律师事务所执行主任、资深律师)