作為新型生物特征識別技術,人臉識別技術具有易收集性、無感知性、泛在性等特點,被廣泛運用在行政監管、公共服務、商業交易等各個領域。
當前,“人臉解鎖”“刷臉支付”“刷臉進出”已成為公眾生活的常態。人們在享受其給工作和生活帶來巨大便利的同時,也引發了國內外對隱私與數據安全問題的普遍關注:“人臉”采集和使用的邊界何在,如何更好規范人臉識別技術設置更為合理科學的規則,如何實現信息技術與人格利益之間的平衡,成為社會各界熱議的焦點。
在此背景下,最高人民法院出臺了《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》(以下簡稱《規定》),為人臉識別相關民事案件的審判提供了裁判指引,為人臉識別技術使用劃定了清晰邊界,為個人合法權益的保護構建了堅實壁壘。
一、《規定》涵蓋了使用人臉識別技術的主要場景、目的和環節
從概念層面看,《規定》所規范的對象是“使用人臉識別技術處理人臉信息”。從人民法院的司法裁判以及國家標準《個人信息安全規范》《人臉識別數據安全要求(征求意見稿)》等綜合觀之,“人臉信息”不僅包括人臉識別技術通過算法生成的人臉特征數據,還包括人臉識別技術所抓取的原始人臉圖像。《規定》使用“人臉信息”的概念,不僅符合人臉識別技術所牽涉的個人信息,也更有利于全面保護人民群眾的人格利益。
從應用場景層面看,《規定》涵蓋了人臉識別技術最常見的應用場景,如經營場所、公共場所、線上應用、物業服務等,從司法角度針對不同場景中人民群眾所普遍關心的問題予以界定和規制,體現了司法機關的問題導向和人民立場。
從使用目的層面看,《規定》全面涵蓋了使用人臉識別技術的三種基礎性目的:人臉驗證、人臉辨識和人臉分析。
其中,人臉驗證是將采集的人臉識別數據與存儲的特定自然人的人臉識別數據進行比對(1:1比對),以確認特定自然人是否為其所聲明的身份。以人臉驗證為目的而使用人臉識別技術的,主要集中于安檢、金融支付等重要領域,要求相對較高,管理較為規范。應用場景包括機場、火車站的人證比對,網絡支付環境中的人臉驗證等。
人臉辨識是將采集的人臉識別數據與已存儲的指定范圍內的人臉識別數據進行比對(1:N比對),以識別特定自然人。以人臉辨識為目的的人臉識別,應用場景較為廣泛,技術層面也相對容易實現,比如公園入園、居民小區門禁、商場通過“無感”式人臉識別辨識特定客戶或者中介等,實踐中容易因未征得個人同意而觸碰法律紅線。
人臉分析是指通過分析人臉圖像,預測評估個人年齡、健康、天賦、情緒、工作或者學習專注度等個人特征的活動。人臉分析可能會引發個人歧視,侵害人格尊嚴。部分國家對人臉分析持完全否定態度。
對于人臉識別的上述三種基礎性目的,《人臉識別數據安全要求(征求意見稿)》中也有涉及。
從處理環節層面看,《規定》將人臉信息的處理界定為人臉信息的收集、存儲、使用、加工、傳輸、提供、公開等,這與民法典第一千零三十五條的規定保持了一致。基于上述處理流程,《規定》通過不同條款完整覆蓋了人臉信息處理的全鏈條,例如事先告知、單獨同意、不得強迫同意、按約處理、安全存儲、違約刪除等。
總之,《規定》在全面深入總結人臉識別技術相關問題的基礎上,對人臉識別技術所涉信息范圍、主要場景、目的和環節均予以回應和規定,必將推動人臉信息的全面司法保護,也為規范人臉識別行業健康有序發展奠定良好基礎。
二、《規定》進一步壓實個人信息處理的合法性基礎
無論是民法典還是網絡安全法,都將個人同意作為個人信息處理首要合法性基礎。然而,實踐中的人臉識別應用存在各種不規范做法,使得個人同意往往流于形式。
常見的情況包括:“無感知被收集”,即進入人臉識別區域卻毫無所知,自然人的人臉信息未經任何告知和同意就直接被收集;“一攬子收集”,即將人臉識別技術的使用和人臉信息的處理規則,與其他個人信息的授權和處理規則,一同寫在隱私政策或者用戶協議中,一次性征得用戶同意,用戶根本沒有對人臉信息處理的選擇權;“強迫收集”,即當人臉信息并非產品或服務的必要信息時,強制要求個人接受人臉識別才能安裝或繼續使用具體的產品或服務,既不符合自愿原則,還違反了“合法、正當、必要”原則。
人臉信息屬于高度敏感的個人信息,也是生物識別信息中社交屬性最強、最易采集的個人信息,一旦泄露將對個人的人身和財產安全造成極大危害,甚至還可能威脅公共安全。因此,必須對此類敏感個人信息采取更嚴格的保護措施。
《規定》在民法典第一千零三十五條的基礎上,充分吸收個人信息保護立法重要成果,進一步將“同意”細化為“單獨同意”,目的在于對人臉信息提供增強式保護,讓個人更加充分地參與到人臉信息處理的決策之中。
根據《規定》第二條,基于個人同意處理人臉信息的,未征得自然人或者其監護人的單獨同意,或者未按照法律、行政法規的規定征得自然人或者其監護人的書面同意的,應當認定屬于侵害自然人人格權益的行為。
所謂“單獨同意”,是指對人臉信息的處理行為及其規則,個人能夠獨立于其他個人信息處理行為及規則自由地作出同意。換句話說,對人臉信息的處理,不能與其他個人信息的處理合并在一起獲得個人的同意。
根據國家標準《個人信息安全規范》第5.4(C)的規定,收集個人生物識別信息前,應單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和范圍,以及存儲時間等規則,并征得個人信息主體的明示同意。
國家標準《個人信息安全規范》自2020年10月1日實施以來,對規范人臉識別行業起到了積極作用。
三、“單獨同意”能夠有效規范人臉識別技術行業發展
從前文分析可知,單獨同意,目的是為了保障個人對其人臉信息的處理享有知情權、決定權,確保個人有權限制或者拒絕他人對其人臉信息進行處理。筆者認為,充分知情、自愿、明確、單獨構成了單獨同意的四個要件。在法律規定需要征得個人同意方可處理個人信息的場景下,采集人臉信息必須符合單獨同意的要求。
比如,具有人臉識別功能的應用程序,應用商可在用戶首次開啟人臉識別功能時,通過彈窗、跳轉專門頁面等形式同步告知該功能的信息處理規則(以滿足“充分知情”的要求);該規則應僅包含對人臉識別功能及其信息處理規則的描述而不包括對其他不相關事項的描述(以滿足“單獨”的要求);用戶通過點擊“同意”或“已知悉,并繼續使用”等主動性動作清楚地表達自己的意愿(以滿足“明確”的要求);如果人臉信息并不屬于該應用的必要個人信息,用戶在閱讀信息處理規則后,既可以選擇開啟該功能,也可以選擇不開啟該功能。如果選擇不開啟該功能,用戶仍然可以通過其他替代性方式繼續使用應用程序的其他功能(以滿足“自愿”的要求)。
當然,應用商對人臉識別功能信息處理規則的要求,必須遵守必要原則,不能將不是實現功能所必需的信息收集和處理行為“私藏”于其中。
在充分知情、自愿、明確、單獨等要素的有力支撐下,“單獨同意”能夠效遏制人臉識別技術的使用亂象。
首先,“單獨同意”能夠破除“無感知被收集”的情形。除法律另有規定以及《規定》所列免責事由外,“單獨同意”能夠遏制在賓館、商場、娛樂場所等經營場所、公共場所,在未征得客戶單獨同意的情況下,以無感知的人臉識別完成人臉辨識、人臉分析等社會反映強烈的問題。
其次,“單獨同意”能夠破除“一攬子授權”“捆綁授權”的情況,因為人臉信息處理的同意應當與其他的個人信息處理行為區分開,并分別征得個人的同意,個人因而獲得了單獨對人臉信息處理做出同意與否的決定,能夠遏制APP、應用程序、專用設備等將人臉識別與其他個人信息授權或其他事項授權進行捆綁,由用戶統一同意的情況。
再次,“單獨同意”能夠破除“強迫收集”的情形,在個人獲得單獨對人臉信息處理與否做出決定的機會時,當人臉信息不屬于提供產品或者服務所必需時,個人完全可以拒絕,且拒絕操作并不影響產品或服務使用。對于信息處理者雖然單獨告知,但卻采取其他技術手段強迫或者變相強迫收集人臉信息的,也屬于違反自愿原則的情形,結合《規定》第四條的規定,應為無效同意。在這種情況下,信息處理者繼續處理人臉信息的,個人可依法追究信息處理者的侵權責任。
客觀上而言,任何技術都存在風險,人臉識別技術的風險很大程度不在于該項技術本身,而在于人為應用。該技術的持續穩定發展需要嚴密科學的規則來保駕護航,通過明確信息處理者的立場邊界、規制違法濫用行為,能夠促進良性生態系統的形成。面對當前人臉識別問題亟待規制的現狀,《規定》的及時出臺將人臉信息等個人信息權益的保護落實到可操作層面,為下一步法律層面規范個人信息處理活動、促進數字經濟健康發展提供了良好的司法實踐樣本。
