你的“臉面”誰作主? —《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》解讀
作者:吳衛明 張成器 吳櫻 2021-08-02前言
2021年7月28日,最高人民法院召開新聞發布會,發布《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》(以下簡稱《規定》),《規定》于2021年8月1日生效。在《中華人民共和國民法典》(以下簡稱《民法典》)《中華人民共和國民事訴訟法》(以下簡稱《民事訴訟法》)等主要法律的基礎上,《規定》針對人臉識別技術的推廣使用中涉嫌侵犯信息主體人格權的情形以及相應的民事權益救濟進行了全面的規定。筆者認為,《規定》有以下亮點:
一、明確了廣泛的人臉信息保護的適用場景 《規定》第二條第(一)項明確,除傳統移動應用程序(以下簡稱“App”)中處理人臉信息的場景之外,線下的“賓館、商場、銀行、車站、機場、體育場館、娛樂場所等經營場所、公共場所”同樣適用《規定》關于人臉識別技術使用的規制。 近年來,相比于受到重點監管的各類App,線下場景中人臉信息被強制索取的情形尤為引發關注。著名的“人臉識別第一案”---郭某訴杭州野生動物世界有限公司服務合同糾紛案[1]就是典型一例。除此之外,不少商家被爆出通過“無感式”識別技術采集用戶人臉信息用于精準營銷等商業目的,均有較大可能存在“授權捆綁”甚至未經過授權的情形。 《規定》第二條第(一)項中提及,“違反法律、行政法規的規定使用人臉識別技術進行人臉驗證、辨識或者分析”,截至目前,尚無已經生效的相關法律或行政法規。2021年6月公布的《中華人民共和國個人信息保護法(草案)》二次審議稿(以下簡稱《個人信息保護法(草案)》)針對公共場所的人臉圖像采集,在第二十七條規定:“在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,并設置顯著的提示標識。所收集的個人圖像、個人身份特征信息只能用于維護公共安全的目的,不得公開或者向他人提供,取得個人單獨同意的除外。”據此,若《個人信息保護法(草案)》最終通過審議并生效,在經營場所、公共場所將人臉識別技術用于除公共安全之外的目的,無疑將受到極大的限制。 二、確立了對未成年人人臉信息的特別保護 2020年10月修訂的《中華人民共和國未成年人保護法》(以下簡稱《未成年人保護法》)非常重視對未成年人的個人信息保護。該法第七十二條規定:“信息處理者處理不滿十四周歲未成年人個人信息的,應當征得未成年人的父母或者其他監護人同意;未成年人、父母或者其他監護人要求信息處理者更正、刪除未成年人個人信息的,信息處理者應當及時采取措施予以更正、刪除。”同年修訂的《信息安全技術 個人信息安全規范》(GB/T 35273-2020)(以下簡稱《個人信息安全規范》)第3.2條則是將14周歲以下(含)兒童的個人信息列入個人敏感信息,賦予了極高的保護標準。 隨著人臉識別應用場景日趨多樣,未成年人的人臉信息被違法采集、使用或以其他方式非法處理的情形也越來越多。未成年人的人臉信息一旦泄露,侵權影響甚至可能伴隨其一生。秉承《民法典》及《未成年人保護法》的精神,在事前規制的層面,《規定》第二條第(三)項明確,信息處理者處理未成年人人臉信息的,必須征得其監護人的單獨同意。從事后的民事責任認定層面,《規定》第三條結合當前未成年人人臉信息保護現狀,明確將“受害人是否未成年人”作為責任認定特殊考量因素,對于違法處理未成年人人臉信息的,在責任承擔時依法從重從嚴,從而確保未成年人人臉信息得到特別保護。 三、確立了人臉信息處理的“單獨同意”規則和“強迫同意無效”規則 《規定》第二條第(三)項規定了人臉信息處理的“單獨同意”規則:“信息處理者在征得個人同意時,必須就人臉信息處理活動單獨取得個人的同意,不能通過一攬子告知同意等方式征得個人同意。” 一直以來,部分App通過一攬子授權、與其他授權捆綁、拒絕提供服務等方式強制索取非必要個人信息的問題比較突出。對此,《個人信息安全規范》第5.4條“收集個人信息時的授權同意”已經明確了收集個人生物識別信息前應當獲得信息主體的“單獨同意”,即:(個人信息控制者)應單獨向個人信息主體告知收集、使用生物識別信息的目的、方式和范圍,以及存儲時間等規則,并征得個人信息主體的明示同意。 立法層面,《民法典》第一千零三十四條把包括人臉信息在內的“生物識別信息”歸于個人信息之列。《個人信息保護法(草案)》則進一步把“個人生物特征”列入敏感個人信息的范疇,并在該法第三十條明確:“基于個人同意處理敏感信息的,個人信息處理者應當取得個人的單獨同意。” 在《個人信息保護法(草案)》尚未經立法機關通過的情況下,最高院從民事司法的角度提出針對人臉信息收集的“單獨同意”原則,有助于更好保護人民群眾合法權益。如前所述,人臉信息屬于敏感個人信息,處理活動對個人權益影響重大,因此,《規定》在一般告知同意的基礎上,設定了更高的標準,以確保個人信息主體在對自身人臉信息將被處理這一情況充分知情的前提下,合理考慮該等處理可能對自己權益產生的影響從而作出是否同意的意思表示。 針對信息處理者拒不履行“單獨同意”規則的情形,《規定》第四條明確了具體的救濟途徑:“有下列情形之一,信息處理者以已征得自然人或者其監護人同意為由抗辯的,人民法院不予支持:(一)信息處理者要求自然人同意處理其人臉信息才提供產品或者服務的,但是處理人臉信息屬于提供產品或者服務所必需的除外;(二)信息處理者以與其他授權捆綁等方式要求自然人同意處理其人臉信息的;(三)強迫或者變相強迫自然人同意處理其人臉信息的其他情形。” 自愿原則是《民法典》的基本原則之一,個人對于自身個人信息處理的同意必須是基于自愿而作出。如果信息處理者采取“與其他授權捆綁”或“不點擊同意就不提供服務”等做法,會導致自然人無法單獨對人臉信息的處理作出自愿同意,或者被迫同意處理其本不愿提供且非必要的人臉信息,這有悖于《民法典》的自愿原則,也有悖于前述“單獨同意”的規則,故而無法作為民事爭議中有效的抗辯理由。 四、合理分配舉證責任 《規定》第六條規定:“信息處理者主張其行為符合民法典第一千零三十五條第一款[2]規定情形的,應當就此所依據的事實承擔舉證責任。信息處理者主張其不承擔民事責任的,應當就其行為符合本規定第五條規定的情形承擔舉證責任。” 最高院依據《民法典》第一千零三十五條之規定以及現有《民事訴訟法》及有關司法解釋規定的舉證責任規則,在充分考慮雙方當事人的經濟實力不對等、專業信息不對稱等因素的前提下,在信息處理者主張已經按照法律、行政法規之規定獲取信息主體關于人臉信息處理的單獨同意,抑或主張存在《規定》第五條的免責情形時,對信息處理者加以更多的舉證責任。《規定》的實施將推動信息處理者進一步完善業務流程,提高存證意識與存證能力,以應對未來可能發生的民事爭議。同時,也有助于降低個人信息主體的維權成本和難度,以更好地保護個人信息主體的合法權益。 五、降低合理維權成本,倡導民事公益訴訟 《規定》第八條第一款明確,“信息處理者處理人臉信息侵害自然人人格權益造成財產損失,該自然人依據民法典第一千一百八十二條[3]主張財產損害賠償的,人民法院依法予以支持。”同時,該條第二款明確支持合理的維權費用和律師費,即“自然人為制止侵權行為所支付的合理開支,可以認定為民法典第一千一百八十二條規定的財產損失。合理開支包括該自然人或者委托代理人對侵權行為進行調查、取證的合理費用。人民法院根據當事人的請求和具體案情,可以將合理的律師費用計算在賠償范圍內。” 考慮到侵害人臉信息造成被侵權人的具體財產損失往往金額有限,但被侵權人因為維權支付的相關費用卻可能較大,如侵權人不作賠償,將會造成被侵權人維權成本過高、侵權人違法成本較小的失衡狀態,不利于被侵權人積極主張權利,且縱容侵權人借助優勢地位繼續使用人臉識別技術實施侵權行為。因此,《規定》將制止侵權行為的合理開支,以及合理的調查、取證費用和合理的律師費納入到賠償范圍中,此舉將在一定程度上緩解信息處理者與個人信息主體間力量的不平等,以及信息主體維權成本過高的窘境。 當前的法律與司法解釋對于律師費的支持情形較為少見,且除了交通事故類案件,惡意訴訟、虛假訴訟類案件以及知識產權侵權類案件、不正當競爭類案件之外,對于律師費的支持往往以合同約定為基礎。《規定》第八條中并未強調人臉信息侵權人與被侵權人之間必須存在合同關系,這對于一些線下的、“無感”的人臉識別侵權行為無疑是有力的震懾。 盡管如此,由于人臉識別侵權案件中被侵權人分散、個人維權成本高、舉證能力有限,且考慮到爭議雙方的力量懸殊以及司法程序的曠日持久,即使《規定》支持勝訴后合理的維權開支由侵權人承擔,也難以激發被侵權人提起訴訟維權的積極性。基于此,《規定》引入了民事公益訴訟制度,能夠很好解決前述個人維權貴、維權難、維權慢的痛點。《規定》第十四條規定:“信息處理者處理人臉信息的行為符合民事訴訟法第五十五條[4]、消費者權益保護法第四十七條[5]或者其他法律關于民事公益訴訟的相關規定,法律規定的機關和有關組織提起民事公益訴訟的,人民法院應予受理。” 六、關注業主等人臉信息,形成全面保護 生活中,部分小區使用人臉識別門禁系統作為小區出入的唯一驗證方式。盡管人臉識別門禁系統在一定程度上能夠防止陌生人隨意進出,確保業主安全,但人臉信息屬于敏感個人信息,物業對人臉信息的采集、使用必須依法征得業主或者物業使用人的同意,如此才具備合法性。 針對實踐中物業服務企業強勢要求居民接受人臉識別門禁系統的違法行為,《規定》第十條第一款規定:“物業服務企業或者其他建筑物管理人以人臉識別作為業主或者物業使用人出入物業服務區域的唯一驗證方式,不同意的業主或者物業使用人請求其提供其他合理驗證方式的,人民法院依法予以支持。”根據這一規定,小區物業在使用人臉識別門禁系統錄入人臉信息時,應當征得業主或者物業使用人的同意,對于不同意的,小區物業應當提供替代性驗證方式,不得以確保小區安全為由侵害業主或物業使用人有關人臉信息的人格權益和其他合法權益。 此外,為更好規范物業服務企業或者其他管理人,防止其將人臉信息泄露、篡改或者以其他方式侵害業主或物業使用人人格權益,《規定》第十條第二款又進一步明確:“物業服務企業或者其他建筑物管理人存在本規定第二條規定的情形,當事人請求物業服務企業或者其他建筑物管理人承擔侵權責任的,人民法院依法予以支持。”由此,《規定》對物業服務企業形成了全面的約束,當業主及其他物業使用人的人臉信息受到物業服務企業的侵害時,能夠據此得到有效救濟。 七、結論 《規定》在《民法典》、《民事訴訟法》、《未成年人保護法》等現有法律的基礎上,從解決民事爭議、保護民事權益的角度,對人臉信息有關民事爭議的處理中涉及的適用場景、適用對象、授權同意、舉證責任、維權支持等要素進行了全面的規定。同時,《規定》也為未來出臺的《個人信息保護法》在民事爭議解決中的適用預留了空間。《規定》的出臺,將有效統一各級法院面對人臉信息及人臉識別技術適用的相關案件時的裁判標準,更有利于保障人民群眾人格權益,也有利于推動企業依法處理人臉信息,促進數字經濟健康發展。 參考文獻 [1]案號:(2019)浙0111民初6971號 [2] 《中華人民共和國民法典》 第一千零三十五條 處理個人信息的,應當遵循合法、正當、必要原則,不得過度處理,并符合下列條件: (一)征得該自然人或者其監護人同意,但是法律、行政法規另有規定的除外; (二)公開處理信息的規則; (三)明示處理信息的目的、方式和范圍; (四)不違反法律、行政法規的規定和雙方的約定。 個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。 [3] 《中華人民共和國民法典》 第一千一百八十二條 侵害他人人身權益造成財產損失的,按照被侵權人因此受到的損失或者侵權人因此獲得的利益賠償;被侵權人因此受到的損失以及侵權人因此獲得的利益難以確定,被侵權人和侵權人就賠償數額協商不一致,向人民法院提起訴訟的,由人民法院根據實際情況確定賠償數額。 [4] 《中華人民共和國民事訴訟法》 第五十五條 對污染環境、侵害眾多消費者合法權益等損害社會公共利益的行為,法律規定的機關和有關組織可以向人民法院提起訴訟。 人民檢察院在履行職責中發現破壞生態環境和資源保護、食品藥品安全領域侵害眾多消費者合法權益等損害社會公共利益的行為,在沒有前款規定的機關和組織或者前款規定的機關和組織不提起訴訟的情況下,可以向人民法院提起訴訟。前款規定的機關或者組織提起訴訟的,人民檢察院可以支持起訴。 [5] 《中華人民共和國消費者權益保護法》 第四十七條 對侵害眾多消費者合法權益的行為,中國消費者協會以及在省、自治區、直轄市設立的消費者協會,可以向人民法院提起訴訟。
