人脸识别司法解释发布后,对律师办案有何指引?
以下文章来源于地产法律评论 ,作者陈洁 葛静芳
《个人信息保护法》还未正式出台,最高院于7月28日就高调发布了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《规定》)。
从发布会内容来看,《规定》在制定过程中,“得到了全国人大常委会法工委的全程指导,得到了中央政法委、中宣部、中央网信办、公安部、最高检、司法部、工信部、市场监管总局等中央有关单位的大力支持,得到法学理论界的支持帮助”,可见,本次规定的出台,是对司法实践迫切需求的回应,也是在立法滞后的背景下的一种变通。甚至于,最高院层面的规范,在司法实践中的指导作用可能更为直接有效。
本次《规定》共十六个条文,但每一条都分别对应不同的主题,包括适用范围、溯及力、侵权行为、责任承担等,既涉及实体,也包括程序,具体如图:
本文将结合此前人脸识别领域的相关规定,对《规定》内容进行简要归纳,希望对你有所帮助。
”
人脸识别领域适用范围
法条链接:第一条
人脸信息的处理包括人脸信息的收集、存储、使用、加工、传输、提供、公开等。
本规定所称人脸信息属于民法典第一千零三十四条规定的“生物识别信息”。
本规定的适用范围系“因信息处理者违反法律、行政法规的规定或者双方的约定使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息所引起的民事案件”。
其中,“处理”包括人脸信息的收集、存储、使用、加工、传输、提供、公开等各个环节。而“信息”则涵盖了“使用人脸识别技术处理人脸信息”和“处理基于人脸识别技术生成的人脸信息”两类。
需要注意的是后者,“人脸信息”与“基于人脸识别技术生成的人脸信息”从概念上有所不同,参考《信息安全技术 人脸识别数据安全要求(征求意见稿)》的相关内容,本条的“信息”应当至少包括人脸图像、人脸识别技术生成的人脸特征及人脸识别数据。
1. 人脸图像 Face Image
自然人脸部信息的模拟或数字表示。(注:人脸图像可通过设备收集,也可对视频、数字照片等进行处理后获得,主要包括可见光图像、非可见光图像(如红外图像)、三维图像等。)
2. 人脸特征 Face Feature
从数据主体的人脸图像提取的反映数据主体的参数。
3. 人脸识别数据 Face Recognition Data
人脸图像及其处理得到的,可单独与其他信息结合识别特定自然人或特定自然人身份的数据。
常见的侵权场景
法条链接:第二条、第十条
(一)在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析;
(二)未公开处理人脸信息的规则或者未明示处理的目的、方式、范围;
(三)基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意;
(四)违反信息处理者明示或者双方约定的处理人脸信息的目的、方式、范围等;
(五)未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全,致使人脸信息泄露、篡改、丢失;
(六)违反法律、行政法规的规定或者双方的约定,向他人提供人脸信息;
(七)违背公序良俗处理人脸信息;
(八)违反合法、正当、必要原则处理人脸信息的其他情形。
第十条 物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。
物业服务企业或者其他建筑物管理人存在本规定第二条规定的情形,当事人请求物业服务企业或者其他建筑物管理人承担侵权责任的,人民法院依法予以支持。
如果泛泛而言,信息处理者可能会因违反法律、违反行政法规和违反约定而侵害自然人人格权益。而现有的法律,如《民法典》、《网络安全法》、《数据安全法》,也只是采用了较为概括的立法方式。
因此,本条款的细化还有赖于此后立法的不断完善。目前,国家信安标委发布的《信息安全技术人脸识别数据安全要求(征求意见稿)》显然还不属于法律或行政法规的范畴,因此仅能作为参考使用。
值得注意的是,在现有立法框架下,《规定》专门明确了几个常见的侵权场景,例如公共场所人脸识别问题,物业服务企业或者其他建筑物管理人不能仅以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式的问题,这两点都很好的回应了司法实践中的需求,但同时也存在未尽之处。
例如公共场所人脸识别的问题,在第二条第一款第(一)项中提到了人脸验证、人脸辨识、人脸分析三个概念,但并未给出准确的定义。前述三个概念虽然在《信息安全技术 人脸识别数据安全要求(征求意见稿)》有相应定义,但因规范层级较低,也并不属于法律或行政法规的范畴,所以难以直接适用。
1. 人脸验证
将采集的人脸识别数据与存储的特定自然人的人脸识别数据进行比对(1:1比对),以确认特定自然人是否为其所声明的身份。典型应用包括机场、火车站的人证比对,移动智能终端的人脸解锁功能等。此类场景应满足本文件的基本安全要求、安全处理要求和安全管理要求。
2. 人脸辨识
将采集的人脸识别数据与已存储的指定范围内的人脸识别数据进行比对(1:N比对),以识别特定自然人。典型应用包括公园入园、居民小区门禁等。此类场景应满足本文件的基本安全要求、安全处理要求和安全管理要求。
3. 人脸分析
不开展人脸验证或人脸辨识,仅对采集的人脸图像进行统计、检测或特征分析。典型应用包括公共场所人流量统计、体温检测、图片美化等。此类场景应遵循GB/T35273-2020、GB/T·AAAAA-AAAA《网络数据活动安全要求》的要求处理人脸图像。
另外,公共场所的人脸识别是否侵害自然人人格权益,还需要结合《规定》第五条的免责事由进行确定。对于商场、娱乐场所,通常情况下很难适用免责条款,这也回应了今年315晚会报道和“人脸识别第一案”中凸显的问题。但对于火车站、机场、银行等场所,可能就会涉及更多的公共利益成分,两者之间的界限尚待进一步明确。
- 3 -
法条链接:第二条、第四条、第十一条
(一)在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析;
(二)未公开处理人脸信息的规则或者未明示处理的目的、方式、范围;
(三)基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意;
(四)违反信息处理者明示或者双方约定的处理人脸信息的目的、方式、范围等;
(五)未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全,致使人脸信息泄露、篡改、丢失;
(六)违反法律、行政法规的规定或者双方的约定,向他人提供人脸信息;
(七)违背公序良俗处理人脸信息;
(八)违反合法、正当、必要原则处理人脸信息的其他情形。
第四条 有下列情形之一,信息处理者以已征得自然人或者其监护人同意为由抗辩的,人民法院不予支持:
(一)信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外;
(二)信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的;
(三)强迫或者变相强迫自然人同意处理其人脸信息的其他情形。
第十一条 信息处理者采用格式条款与自然人订立合同,要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利,该自然人依据民法典第四百九十七条请求确认格式条款无效的,人民法院依法予以支持。
信息主体的同意也是个人信息保护的重要议题。并且在人脸识别领域,《规定》相较于现行立法而言,规定地更为详细。
一方面,信息处理者基于个人同意处理人脸信息的,需要自然人或其监护人的单独同意和书面同意,强调了同意的具体形式;另一方面,《规定》也明确了同意原则的例外情形。
从形式上来说,禁止信息处理者强迫或变相强迫自然人同意处理人脸信息。主要列举了两种情形:
1. 信息处理者要求自然人同意处理其人脸信息才提供产品或者服务,但是处理人脸信息并非提供产品或者服务所必需;
2. 信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息。
从内容上看,信息处理者采用格式条款与自然人订立合同,要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利,该格式条款无效。
法条链接:第五条
(一)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息的;
(二)为维护公共安全,依据国家有关规定在公共场所使用人脸识别技术的;
(三)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息的;
(四)在自然人或者其监护人同意的范围内合理处理人脸信息的;
(五)符合法律、行政法规规定的其他情形。
根据现行立法,《民法典》第一千零三十六条规定的免责情形有三种:
1. 在该自然人或者其监护人同意的范围内合理实施的行为;
2. 合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;
3. 为维护公共利益或者该自然人合法权益,合理实施的其他行为。
而本次规定第五条对于前述免责情形中的涉及“公共利益”的部分进行了细化,包括:
1. 为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息的;
2. 为维护公共安全,依据国家有关规定在公共场所使用人脸识别技术的;
3. 为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息的。
- 5 -
法条链接:第六条、第八条、第九条、第十四条
信息处理者主张其行为符合民法典第一千零三十五条第一款规定情形的,应当就此所依据的事实承担举证责任。
信息处理者主张其不承担民事责任的,应当就其行为符合本规定第五条规定的情形承担举证责任。
第八条 信息处理者处理人脸信息侵害自然人人格权益造成财产损失,该自然人依据民法典第一千一百八十二条主张财产损害赔偿的,人民法院依法予以支持。
自然人为制止侵权行为所支付的合理开支,可以认定为民法典第一千一百八十二条规定的财产损失。合理开支包括该自然人或者委托代理人对侵权行为进行调查、取证的合理费用。人民法院根据当事人的请求和具体案情,可以将合理的律师费用计算在赔偿范围内。
第九条 自然人有证据证明信息处理者使用人脸识别技术正在实施或者即将实施侵害其隐私权或者其他人格权益的行为,不及时制止将使其合法权益受到难以弥补的损害,向人民法院申请采取责令信息处理者停止有关行为的措施的,人民法院可以根据案件具体情况依法作出人格权侵害禁令。
第十四条 信息处理者处理人脸信息的行为符合民事诉讼法第五十五条、消费者权益保护法第四十七条或者其他法律关于民事公益诉讼的相关规定,法律规定的机关和有关组织提起民事公益诉讼的,人民法院应予受理。
除实体方面,《规定》也就人脸识别领域的程序性问题做了规定。结合最高院新闻发布会的介绍,该部分“充分考虑双方当事人的经济实力不对等、专业信息不对称等因素”,对于信息主体的维权给予了适当倾斜。例如,举证责任方面,尽管并未明确举证责任倒置,但第六条的表述显然对于信息处理者提出了自证清白的要求。
此外,侵权人的维权成本也被纳入考虑范围之内。“人脸识别第一案”中,法院最终的生效判决也只是判令被告赔偿合同利益和交通费用损失1038元,同时删除原告办理指纹年卡时提交的包括照片在内的面部特征信息。可见,此类案件的损失通常难以量化,且数额较小。规定确认将信息主体的维权成本作为财产损失,可一定程度上减轻其维权成本。
另外,民事公益诉讼的引入和诉前禁令的明确也同样在制度上提供了便利,节省了地方法院论证、探索的成本。前述举措的落地,我们会持续跟进和关注。