最高法发布人脸识别新规:保住你的脸,到底有多难?
2021/7/29 8:53:17  点击率[254]  评论[0]
【法宝引证码】
    【学科类别】网络法
    【出处】微信公众号:周公观娱
    【写作时间】2021年
    【中文关键字】最高法;人脸识别;个人信息保护
    【全文】

      8:00,你用face ID解锁手机,看到新闻说警方结合“天眼”系统和人脸识别技术抓获了一名逃犯。
     
      9:30,你到达公司,刷脸通过了这栋高级写字楼的闸机。
     
      12:00,你跟同事一起吃午餐,结账时使用了某APP的刷脸支付功能。
     
      15:00,你去某高校参加一个论坛,发现也需要提前预约、录入信息才能刷脸进入学校。
     
      19:00,你跟朋友一起去看演唱会,主办方为了打击黄牛票,要求实名购票、刷脸入场。
     
      23:00,你回到住所,收到了小区即将安装人脸识别门禁系统的通知……
     
      回到20年前,以上描述可能是科幻电影的场景,到今天却已经成为了很多人生活中的寻常一幕。人脸识别确实解决了一些问题,但新的问题又随之出现:身份识别信息等隐私被泄露,“被贷款”“被诈骗”和隐私权、名誉权被侵害等问题多有发生,引起了大家的警惕和国家的重视。
     
      就在昨天,最高人民法院发布《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(下称“《规定》”),明确了滥用人脸识别技术处理人脸信息行为的性质和责任,从物业服务、格式条款效力、违约责任承担等角度对人民群众普遍关心的问题予以回应,并且对相关诉讼程序进行了细化规定。
     
      针对人脸识别专门出了一个司法解释,国家对此的重视可见一斑。人脸信息到底有多么重要而脆弱?法律和实践为此作出了多少努力?此次的《规定》又有哪些亮点?让笔者一一道来。
     
      1.人脸信息:敏感,重要,又容易受伤害
     
      人脸信息属于敏感个人信息中的生物识别信息,是生物识别信息中社交属性最强、最易采集的个人信息,具有唯一性和不可更改性,一旦泄露将对个人的人身和财产安全造成极大危害,甚至还可能威胁公共安全。
     
      首先,人脸信息可以直接识别到个人。每个人的人脸信息都是独特的,且难以更改,无需结合其他信息就可以直接识别到个人。
     
      其次,人脸信息的采集性成本极低,个人无法拒绝。现实中,只需使用摄像头自动抓拍就可以大量采集人脸信息,无须人工操作,甚至无须被采集者配合(如在机场、车站等采集的信息)。例如前段时间,有些商家使用“无感式”人脸识别技术,在未经同意的情况下擅自采集消费者人脸信息,分析消费者的性别、年龄、心情,引起了大家的热议。
     
      最后,人脸信息具有不可匿名性。不同于访问记录、通话记录等可以实现匿名化的信息,人脸信息无法去身份化或匿名化。因此,人脸信息一旦大规模泄露,造成的损害后果更为严重。
     
      其实,早在2014年,就曾经发生过一起利用人脸识别技术进行的诈骗案,受害者之一还是知名演员赵薇的老公黄有龙,足以说明人脸信息的脆弱性。
     
      2014年,黄有龙的司机冒充黄有龙前往公证处,通过人脸识别技术办理了委托公证证明,委托另一人将黄有龙名下的、当时价值两千多万的豪宅卖给了武女士。黄有龙因此被武女士诉上法庭,要求腾退、交付房屋。
     
      一审法院认为,司机的行为构成表见代理,买卖合同有效,判令黄有龙将房屋交付给武女士。黄有龙提出上诉,二审法院裁定该案涉及刑事案件,撤销一审判决,发回一审法院重审。
     
      黄有龙的司机是怎么通过公证处的人脸识别的?根据一审法院查明的事实,前往公证处的冒牌“黄有龙”拍摄的照片及与身份证照片的人脸比对结果验证分值为0.629043,验证通过。公证处已经撤销了相应的公证书,但黄有龙能否保住豪宅还是未知数。
     
      虽然这个案件已经过去好几年了,现在录入人脸识别信息需要点头、眨眼等,甚至会识别虹膜。但是不法分子总能找到漏洞,例如最近,就有犯罪分子利用非法获取的身份证照片等个人信息制作成动态视频,破解人脸识别的验证程序。要保住我们的脸,看来还是道阻且长啊!
     
      2.保住你的脸,一直有人在努力
     
      对人脸识别相关风险的警惕和防范,是一个全球化的问题。
     
      美国于2019年颁布了《商业人脸识别隐私法案》,禁止在未获得用户明确同意的情况下对其进行人脸识别。旧金山市通过了《停止秘密监视条例》,禁止该市多个部门使用人脸识别技术;随后美国马萨诸塞州萨默维尔市和加利福尼亚州的奥克兰市也相继通过了类似法案/条例,禁止相关政府部门使用人脸识别技术。
     
      欧盟2021年4月所公布的《人工智能条例草案》将公共场所的远程生物识别(RBI)系统列为人工智能的高风险应用类型,原则上限定为查找失踪儿童、预防犯罪或恐怖袭击、侦查犯罪等用途。
     
      此次《规定》发布之前,我国目前尚未有专门针对人脸识别技术的法律规定,但对于“个人信息”的保护和使用,有《民法总则》《刑法》《网络安全法》《消费者权益保护法》《电商法》《互联网个人信息安全保护指南》等法律法规进行相应规制。
     
      例如,根据《民法总则》第一百一十一条、《刑法》第二百五十三条之一“侵犯公民个人信息罪”等规定,违反相关法律法规收集、利用公民个人信息的,不但可能构成对公民个人信息权利的侵犯,亦有可能构成刑法项下所规定的“侵犯公民个人信息罪”。
     
      但人脸识别所收集的面容信息是否属于个人信息范畴?诸如《民法总则》《刑法》一类较高位阶的法律中并未对“个人信息”有明晰定义,但近年来,侵犯公民个人信息犯罪高发,而且与电信网络诈骗、敲诈勒索、绑架等犯罪呈合流态势,最高人民法院、最高人民检察院发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,其中五十三条之一规定:
     
      “公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”
     
      该等表述揭示了个人信息的核心特征之一即是“可识别性”,而面容信息当然满足此等定义。因此,普遍认为个人信息的法律框架也适用于人脸识别领域。也即,违法收集、利用、存储公民面容信息的,也需要承担侵权责任甚至刑事责任。
     
      除了国家层面的努力之外,也有不少公民在用自己的努力对抗新技术的风险,同时呼唤社会对此的关注。广受关注的“人脸识别第一案”就是鲜明的例子。
     
      2019年10月,浙江理工大学的郭老师一纸诉状,将杭州野生动物世界告上了法庭。原来,郭老师此前在杭州野生动物世界办理了一张年卡,原本只用指纹就可以入园,但最近却被动物园通知,年卡持有者必须到园录入人脸信息,之后凭借人脸识别才能入园。
     
      郭老师一怒之下,向杭州市富阳区人民法院提起诉讼,认为动物园强行升级为人脸识别入园的行为,违反了《消费者权益保护法》的相关规定。
     
      今年4月,二审法院判决杭州野生动物世界赔偿郭老师合同利益损失及交通费共计1038元;删除郭兵办理指纹年卡时提交的包括照片在内的面部特征信息,以及指纹识别信息。
     
      但与此同时,就郭老师要求确认动物园店堂告示、短信通知中关于“未注册人脸识别用户将无法正常入园”等内容无效的诉讼请求,法院并未支持。为此,郭老师又向浙江省高级人民法院提出了再审申请,就在几周前已被法院受理。
     
      3.《规定》的亮点:全方位保障你的“脸”
     
      如前所述,《规定》是我国专门针对人脸识别应用进行规制的第一部法律文件,具有里程碑式的重要意义。针对此前法律的空白和实践的痛点,《规定》都作出了回应:
     
      1. 知情同意权和自主权的有效保障
     
      《规定》第二条第三款对人脸信息的处理强调必须获得信息主体的单独同意或书面同意。第四条进一步规定,有下列情形之一,信息处理者以已征得自然人或者其监护人同意为由抗辩的,人民法院不予支持:
     
      (一)信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外;
     
      (二)信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的;
     
      (三)强迫或者变相强迫自然人同意处理其人脸信息的其他情形。
     
      此外,第十条规定:物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。
     
      信息主体的同意通常是免责的关键前提之一。但实践中,不少APP都会要求用户同意复杂的用户和隐私协议方可使用,也有一些小区、景点等采取了人脸识别作为进入相关区域的唯一验证方式。这些情形中,我们其实没有选择的权利,“知情-同意”实质上是一句空话,不应视为对人脸信息处理真正给予了同意和有效授权。
     
      《规定》对这些情形进行了细化,对于违反单独同意,或者强迫、变相强迫自然人同意处理其人脸信息的,构成侵害自然人人格权益的行为。如果郭老师的案子发生在《规定》生效之后,结果可能就会有所不同了。
     
      2. 个人利益与公共利益的平衡
     
      在依法保护自然人人脸信息的同时,《规定》第五条在吸收《个人信息保护法》立法精神的基础上,对《民法典》第一千零三十六条规定进行了细化,明确规定了使用人脸识别不承担民事责任的情形,以实现个人利益和公共利益的平衡。这些免责情形包括:
     
      (一)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息的;
     
      (二)为维护公共安全,依据国家有关规定在公共场所使用人脸识别技术的;
     
      (三)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息的;
     
      (四)在自然人或者其监护人同意的范围内合理处理人脸信息的;
     
      (五)符合法律、行政法规规定的其他情形。
     
      3. 司法救济的倾斜
     
      一方面,现实中,个人信息侵权案件多为个人起诉企业,双方的经济实力不对等、专业信息不对称。《规定》充分考虑到了这些因素,在举证责任分配上课以信息处理者更多的举证责任。
     
      另一方面,除适用民法典第一千一百八十二条外,考虑到侵害人脸信息可能并无具体财产损失,但被侵权人为维权支付的相关费用却较大,如果不赔偿,将会造成被侵权人维权成本过高,侵权人违法成本较小的不平衡状态。《规定》第八条明确,被侵权人为制止侵权行为所支付的合理开支以及合理的律师费用可作为财产损失请求赔偿。
     
      客观而言,人脸识别技术确实在国境边防、公共交通、城市治安、疫情防控等诸多领域,都发挥着巨大作用,也为我们的生活带来了切实的便利。
     
      纵观人类历史,科技的发展经常领先于社会普遍观念和制度,但我们总能一次次进行相应的革新,跟上科技的脚步。因此,大可不必谈“人脸识别”而色变,我们需要做的,就是不断探索和完善制度,让技术“带着镣铐跳舞”,能在守住法律和道德底线的同时,也将技术引向规范的发展轨道,让技术带来更多的想象,更多的社会发展机会。

    【作者简介】
    陈冠琪,作者单位:北京金诚同达律师事务所

    本网站文章仅代表作者个人观点,不代表本网站的观点与看法。
    转载请注明出自北大法律信息网
0
北大法律信息网
www.chinalawinfo.com
法律动态
网站简介
合作意向
网站地图
隐私政策
版权声明
北大法宝
www.pkulaw.cn
法宝动态
法宝优势
经典客户
免费试用
产品服务
专业定制
购买指南
邮件订阅
法律会刊
北大英华
www.pkulaw.com
英华简介
主要业务
产品列表
英华网站
联系我们
用户反馈
返回顶部
二维码