抢在“个人信息保护法”颁布前发布“人脸识别技术”司法解释,表明“人脸信息滥用”极为严峻。本文来自微信公众号:财经E法(ID:CAIJINGELAW),作者:殷继,原文标题:《最高法立规:要“刷脸”,先得用户同意》,头图来自:视觉中国


7月28日上午,最高人民法院召开新闻发布会,发布《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》的司法解释(下称《规定》),该《规定》以16个条文对涉及“人脸识别技术”相关案件在侵权责任、合同规则以及诉讼程序方面的法律适用作出规定。其中明确规定,信息处理者若以捆绑、强迫自然人同意等手段获得授权,法院不予以支持。


“部分线上平台或者应用软件强制索取用户的人脸信息,还有的卖家在社交平台和网站公开售卖人脸识别视频、买卖人脸信息等,因人脸信息等身份信息泄露导致‘被贷款’‘被诈骗’和隐私权、名誉权被侵害等问题也多有发生。”最高人民法院副院长杨万明在发布上表示,人脸识别技术所带来的个人信息保护问题日益凸显,一些经营者滥用人脸识别技术侵害自然人合法权益的事件频发,引发社会公众的普遍关注和担忧。


根据App专项治理工作组2020年发布的《人脸识别应用公众调研报告》显示,在2万多名受访者中,94.07%的受访者用过人脸识别技术,64.39%的受访者认为人脸识别技术有被滥用的趋势,30.86%受访者已经因为人脸信息泄露、滥用等遭受损失或者隐私被侵犯。


杨万明表示,“人脸信息属于敏感个人信息中的生物识别信息,是生物识别信息中社交属性最强、最易采集的个人信息,具有唯一性和不可更改性,一旦泄露将对个人的人身和财产安全造成极大危害,甚至还可能威胁公共安全。”


根据《规定》第一条,“人脸信息”属于民法典第1034条规定的“生物识别信息”,而人脸信息的处理包括人脸信息的收集、存储、使用、加工、传输、提供、公开等。这意味着,在任何的人脸信息处理环节中因侵权、违约产生的民事案件都将适用这一司法解释。


另外,第二条规定了侵害自然人人格权益行为的认定,针对今年“3.15晚会”所曝光的线下门店在经营场所滥用人脸识别技术进行人脸辨识、人脸分析等行为,以及社会反映强烈的几类典型行为予以列举。在如宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所使用人脸技术识别不得违反法律、行政法规的规定。


依据2021年1月1日正式实施的《民法典》第一千零三十五条明确规定,处理个人信息,应征得该自然人或者其监护人同意。法律作出的例外规定,即“免除同意”的情形,仅限定在涉及公共卫生、公共安全、公共利益等极少数情形中。


《规定》在第二条和第四条中进一步明确,获得用户授权同意应当是“单独的”且“非变相强迫的”。这意味着,互联网企业在App的《隐私政策》中放置“收集、处理用户人脸信息”的条款,且通过“捆绑式同意”要求用户勾选同意,将不再具有“合法性基础”。 


第五条对民法典第1036条进行细化,明确了处理人脸信息的免责事由;第六条至第九条分别规定了举证责任、多个信息处理者侵权责任的承担、财产损失的范围界定以及人格权侵害禁令的适用等。


国内“人脸识别第一案”(杭州市民郭兵诉杭州野生动物世界有限公司)的原告代理律师——浙江垦丁律师事务所主任律师张延来对此表示道:“在《个人信息保护法》呼之欲出的形势之下,最高院发布《规定》表明了在司法层面对于人脸信息加强保护的态度,相信后续法院在个案中适用《规定》作出的判决将会让‘人脸信息处理行为’的边界更加明晰。”


“互联网行业应当对《规定》高度重视,该《规定》可视为对互联网行业在人脸信息合规使用层面作出的具体指导,企业也可能因民事个案的败诉而需要对自身的合规措施作出调整,从这两方面来说都是具有积极意义的。”张延来对此表示道,“往往企业在民事案件中败诉的判赔金额小于行政处罚金额。”


8月17日至8月20日,十三届全国人大常委会将召开第三十次会议,届时,《个人信息保护法》(草案)将提交第三次审议,一旦表决通过将会正式颁布。从目前的《个人信息保护法》(草案二次审议稿)来看,违法处理个人信息的组织,将面临的最高行政处罚金额为“5000万元或上一年度营业额5%”。


“最高院抢在《个人信息保护法》颁布前发布《规定》,表明了‘人脸信息滥用’产生的危害亟待解决。”上海交通大学数据法律研究中心执行主任何渊表示,“这短期对整个产业发展有压制作用,特别是做提供人脸识别算法的厂商以及相关互联网行业,但长期来看,将有利于整个行业健康发展。”


何渊认为,“过去有的互联网企业追求数据的“大而全”,将人脸信息作为企业的“数据资产”,但现在需要重新获得用户的单独授权同意,这将会倒逼企业在处理用户个人信息时进一步符合‘最小化原则’。”


另外,在《规定》第4条第1款规定,“信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外。”但什么是“必需的”需要收集人脸信息的产品或者服务呢?


国家网信办、工信部、公安部、市场监督总局(下称“四部委”)联合制定了《常见类型移动互联网应用程序必要个人信息范围规定》,从其中所列举的39类常见类型App所收集的必要个人信息范围来看,如地图导航类、网络约车类、即时通讯类等大多用户日常使用的App,收集人脸信息都不在“必要范围”之内。


“在保障国家安全和打击犯罪等场景中收集人脸信息是‘必需的’,但大多商业使用场景中则是‘不必需的’。”何渊认为,“企业应当尊重用户个人信息权益,不应在隐私政策中模糊说明收集目的进行捆绑式同意,应当改变用户个人信息属于‘企业资产’的逻辑,以此获得用户的尊重及好感度。”


本文来自微信公众号:财经E法(ID:CAIJINGELAW),作者:殷继