大數據時代背景下,人臉識別技術被廣泛應用,為人民的生產生活帶來便利的同時,人臉資訊的不當採集及使用也時有發生,為個人隱私權、肖像權、財產安全、公共安全帶來風險和威脅,引發了諸多爭議。2021年7月27日,最高人民法院發佈了《關於審理使用人臉識別技術處理個人資訊相關民事案件適用法律若干問題的規定》(於2021年8月1日起施行,以下簡稱“《人臉識別司法解釋》”),對違法處理人臉資訊的行為及救濟進行了規定。2021年8月20日,全國人大常委會發佈了《中華人民共和國個人資訊保護法》(於2021年11月1日起施行,以下簡稱“《個人資訊保護法》”),從法律層面完善了相關個人資訊的處理規則。此外,相關配套性規定及地方性規定也陸續出臺中。鑒於此,本文將立足於人臉識別技術處理個人資訊的相關法律法規,探析在應用人臉識別技術處理個人資訊時的相關法律風險及其防範措施,為相關個人資訊處理者提供參考。
一、人臉資訊的性質
我國現行法律規定中,暫未明確“人臉資訊”的相關法律定義,其含義及內容可參照相關國家標準1,但在《人臉識別司法解釋》中,已將“人臉資訊”歸為《中華人民共和國民法典》(以下簡稱“《民法典》”)第一千零三十四條2規定的“生物識別資訊”。《個人資訊保護法》第二十八條3將“生物識別資訊”列為了“敏感個人資訊”,並規定了敏感個人資訊的專門處理規則。故個人資訊處理者對人臉資訊的處理(包括收集、存儲、使用、加工、傳輸、提供、公開等)除遵守一般個人資訊的相關規定外,還應遵守“生物識別資訊”及“敏感個人資訊”的相關規定。
二、侵害人臉資訊可能面臨的法律責任
2021年4月9日,全國“人臉識別第一案”【(2020)浙01民終10940號】在杭州中院二審判決。在該案中,原告郭某購買了被告杭州野生動物世界年卡,留存相關個人身份資訊,並錄入指紋和拍照。後野生動物世界將年卡入園方式由指紋識別調整為人臉識別,並要求郭某進行人臉啟動。郭某認為人臉資訊屬於高度敏感個人隱私,不同意接受人臉識別,故起訴野生動物世界,提出刪除其個人資訊、退卡等訴訟請求。該案的二審判決維持一審判決第一項第二項,即判決野生動物世界賠償郭某合同利益損失及交通費共計1038元,判決生效十日內履行;同時判決野生動物世界刪除郭某辦理指紋年卡時提交的包括照片在內的面部特徵資訊,以及指紋識別資訊。在該案中,案件的起因、爭議焦點都圍繞被告動物世界收集人臉資訊的行為展開,但“人臉識別第一案”案件審理時,《個人資訊保護法》、《民法典》等法律法規尚未生效,法律規則體系中不存在明確的“個人資訊”的概念,故該案的判決依據主要集中於肖像權、隱私權以及消費者知情權的相關規定。
此外,實務中還有大量的人臉識別相關的行政處罰案件。不少房屋銷售活動中,房屋銷售方在房屋銷售現場使用人臉識別攝像頭等設備,對到訪消費者進行人臉抓拍、比對以進行相關費用的結算。行政監管部門通常以違反《消費者權益保護法》、《侵害消費者權益行為處罰辦法》等相關規定予以處罰(如行政處罰決定書文號:吳市監處〔2021〕496號、杭江市督局市監罰處〔2021〕32105151號、順市監一隊罰字〔2021〕16號等)。根據《個人資訊保護法》,人臉資訊作為敏感個人資訊受到更嚴格的保護,若個人資訊處理者發生擅自收集或不當處理人臉資訊等侵權行為,有可能承擔民事、行政、刑事方面的法律責任。就民事責任而言,如果個人資訊處理者侵害自然人人格權、違反相關規定處理個人資訊等行為,被侵權者可依據《民法典》、《個人資訊保護法》、《消費者權益保護法》、《人臉識別司法解釋》等相關規定請求個人資訊處理者承擔相關法律責任。就行政責任而言,根據《全國人大常務委員會關於加強網路資訊保護的決定》、《消費者權益保護法》、《侵害消費者權益行為處罰辦法》等規定,如果企業侵害消費者的個人資訊權益,可能會受到監管部門的相關行政處罰。就刑事責任而言,《最高人民法院、最高人民檢察院關於辦理侵犯公民個人資訊刑事案件適用法律若干問題的解釋》對侵犯公民個人資訊犯罪的法律適用和定罪量刑作了系統規定。
三、人臉識別技術處理個人資訊的法律風險防範
基於人臉資訊的性質,在相關規定中對人臉資訊的處理有著特殊的規定,建議個人資訊處理者處理人臉資訊時留意相關要求,防範相關法律風險:
(一)人臉資訊收集/處理前
1.個人資訊保護影響評估
因人臉資訊屬於敏感個人資訊,根據《個人資訊保護法》第五十五條、第五十六條等相關規定,個人資訊處理者應當留意在事前進行個人資訊保護影響評估,並對處理情況進行記錄,個人資訊保護影響評估應當包括下列內容:個人資訊的處理目的、處理方式等是否合法、正當、必要;對個人權益的影響及安全風險;所採取的保護措施是否合法、有效並與風險程度相適應。此外,個人資訊保護影響評估報告和處理情況記錄應當至少保存三年。
2.妥為告知用戶相關資訊
根據《個人資訊保護法》第十七條,個人資訊處理者在收集人臉資訊前,應告知用戶個人資訊處理者的名稱及聯繫方式,公開處理人臉資訊的規則,明示處理的目的、方式、範圍等。此外,根據《個人資訊保護法》第三十條規定的敏感個人資訊的處理規則,個人資訊處理者還應當向個人告知處理人臉資訊的必要性以及對個人權益的影響。在實踐中建議個人資訊處理者在告知書或告示欄中完善告知的內容並盡可能詳盡。
3.妥為取得用戶的單獨同意
因人臉資訊屬於敏感個人資訊,根據《個人資訊保護法》第二十九條,處理敏感個人資訊前應當取得用戶的“單獨同意”4,值得注意的是,此處的“單獨同意”,不得通過一攬子告知同意等方式(如線下採用統一告知書條款、線上採用統一的隱私政策等)征得個人同意,個人資訊處理者應採用以增強告知的方式取得用戶的單獨同意。具體而言,線下可採用單獨的同意書等形式,線上使用單獨的彈窗或單獨設置相關頁面供用戶主動勾選相關選項、填寫相關內容等形式。具體形式應根據個人資訊處理者的自身情況及處理的具體事項予以考慮及設置。
(二)人臉資訊處理時
1.儘量採用多種身份驗證方式
根據《人臉識別司法解釋》第十條,物業服務企業或者其他建築物管理人以人臉識別作為業主或者物業使用人出入物業服務區域的唯一驗證方式,不同意的業主或者物業使用人有權請求其提供其他合理驗證方式。因此,禁止了實踐中強制用戶接受人臉識別系統的行為,個人資訊處理者除提供人臉識別技術外,可提供其他身份核驗方式,如二維碼、門禁卡、出入證等。對此,上海市人民代表大會常務委員會於2021年11月25日發佈並於2022年1月1日正式生效的《上海市數據條例》第二十三條規定進一步明確了相關場所,即在上海市商場、超市、公園、景區、公共文化體育場館、賓館等公共場所,以及居住社區、商務樓宇等區域,不得以圖像採集、個人身份識別技術作為出入該場所或者區域的唯一驗證方式。
2.公共場所收集的人臉資訊應僅用於維護公共安全
根據《個人資訊保護法》第二十六條,在公共場所安裝人臉識別設備應當為維護公共安全所必需,遵守國家有關規定,並設置顯著的提示標識。所收集的個人圖像、身份識別資訊只能用於維護公共安全的目的,不得用於其他目的,但取得個人單獨同意的除外。因此,在實踐中個人資訊處理者若要公共場所收集的人臉資訊用於數據分析、比對等,應當額外取得用戶的單獨同意。
3.人臉資訊應單獨儲存
鑒於人臉資訊屬於個人敏感資訊,根據《個人資訊安全規範》,個人資訊處理者將人臉資訊與其他個人資訊分開存儲,採取應有的技術措施或者其他必要措施,確保其收集、存儲的人臉資訊安全。
(三)人臉資訊處理後
個人資訊處理者在處理人臉資訊後,建議妥為記錄與留存相關的合規措施,這是基於《個人資訊保護法》第六十九條規定的過錯推定責任,即處理個人資訊侵害個人資訊權益造成損害,個人資訊處理者不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任,因此個人資訊處理者須重視對合規措施落實情況的記錄與留存,以便在發生糾紛時能夠有效地進行合規自證。
[1] 參見於2022年5月1日生效的《法庭科學 人臉圖像相似度檢驗技術規範》(GA/T 1949-2021),其中規定了“人臉圖像”、“人臉特徵”、“人臉圖像特徵”等相關定義。以及《安防人臉識別應用系統第2部分:人臉圖像數據》GA/T 922.2-2011)規定了“人臉記錄數據”等相關定義。
[2] 《民法典》第一千零三十四條:“自然人的個人資訊受法律保護。個人資訊是以電子或者其他方式記錄的能夠單獨或者與其他資訊結合識別特定自然人的各種資訊,包括自然人的姓名、出生日期、身份證件號碼、生物識別資訊、住址、電話號碼、電子郵箱、健康資訊、行蹤資訊等。
個人資訊中的私密信息,適用有關隱私權的規定;沒有規定的,適用有關個人資訊保護的規定。”
[3] 《個人資訊保護法》第二十八條:“敏感個人資訊是一旦洩露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人資訊,包括生物識別、宗教信仰、特定身份、醫療健康、金融帳戶、行蹤軌跡等資訊,以及不滿十四周歲未成年人的個人資訊。只有在具有特定的目的和充分的必要性,並採取嚴格保護措施的情形下,個人資訊處理者方可處理敏感個人資訊。”
[4] 根據《個人資訊保護法》相關規定,下列五種情形需取得用戶單獨同意:(1)向其他個人資訊處理者提供其處理的個人資訊的;(2)個人資訊處理者公開其處理的個人資訊;(3)在公共場所安裝圖像採集、個人身份識別設備,處理個人資訊非用於維護公共安全的;(4)處理敏感個人資訊;(5)向境外提供個人資訊。
免責及版權申明
本文章僅為交流之目的,不構成李偉斌律師事務所任何形式的法律意見。歡迎轉發本文章。如需轉載或引用本文章的內容,請注明文章來源。
