王希胜律师 发表于 2021-8-23 13:58:58

关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定

最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定
法释〔2021〕15号
(2021年6月8日最高人民法院审判委员会第1841次会议通过,自2021年8月1日起施行)
  为正确审理使用人脸识别技术处理个人信息相关民事案件,保护当事人合法权益,促进数字经济健康发展,根据《中华人民共和国民法典》《中华人民共和国网络安全法》《中华人民共和国消费者权益保护法》《中华人民共和国电子商务法》《中华人民共和国民事诉讼法》等法律的规定,结合审判实践,制定本规定。
  第一条 因信息处理者违反法律、行政法规的规定或者双方的约定使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息所引起的民事案件,适用本规定。
  人脸信息的处理包括人脸信息的收集、存储、使用、加工、传输、提供、公开等。
  本规定所称人脸信息属于民法典第一千零三十四条规定的“生物识别信息”。
  第二条 信息处理者处理人脸信息有下列情形之一的,人民法院应当认定属于侵害自然人人格权益的行为:
  (一)在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析;
  (二)未公开处理人脸信息的规则或者未明示处理的目的、方式、范围;
  (三)基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意;
  (四)违反信息处理者明示或者双方约定的处理人脸信息的目的、方式、范围等;
  (五)未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全,致使人脸信息泄露、篡改、丢失;
  (六)违反法律、行政法规的规定或者双方的约定,向他人提供人脸信息;
  (七)违背公序良俗处理人脸信息;
  (八)违反合法、正当、必要原则处理人脸信息的其他情形。
  第三条 人民法院认定信息处理者承担侵害自然人人格权益的民事责任,应当适用民法典第九百九十八条的规定,并结合案件具体情况综合考量受害人是否为未成年人、告知同意情况以及信息处理的必要程度等因素。
  第四条 有下列情形之一,信息处理者以已征得自然人或者其监护人同意为由抗辩的,人民法院不予支持:
  (一)信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外;
  (二)信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的;
  (三)强迫或者变相强迫自然人同意处理其人脸信息的其他情形。
  第五条 有下列情形之一,信息处理者主张其不承担民事责任的,人民法院依法予以支持:
  (一)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息的;
  (二)为维护公共安全,依据国家有关规定在公共场所使用人脸识别技术的;
  (三)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息的;
  (四)在自然人或者其监护人同意的范围内合理处理人脸信息的;
  (五)符合法律、行政法规规定的其他情形。
  第六条 当事人请求信息处理者承担民事责任的,人民法院应当依据民事诉讼法第六十四条及《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》第九十条、第九十一条,《最高人民法院关于民事诉讼证据的若干规定》的相关规定确定双方当事人的举证责任。
  信息处理者主张其行为符合民法典第一千零三十五条第一款规定情形的,应当就此所依据的事实承担举证责任。
  信息处理者主张其不承担民事责任的,应当就其行为符合本规定第五条规定的情形承担举证责任。
  第七条 多个信息处理者处理人脸信息侵害自然人人格权益,该自然人主张多个信息处理者按照过错程度和造成损害结果的大小承担侵权责任的,人民法院依法予以支持;符合民法典第一千一百六十八条、第一千一百六十九条第一款、第一千一百七十条、第一千一百七十一条等规定的相应情形,该自然人主张多个信息处理者承担连带责任的,人民法院依法予以支持。
  信息处理者利用网络服务处理人脸信息侵害自然人人格权益的,适用民法典第一千一百九十五条、第一千一百九十六条、第一千一百九十七条等规定。
  第八条 信息处理者处理人脸信息侵害自然人人格权益造成财产损失,该自然人依据民法典第一千一百八十二条主张财产损害赔偿的,人民法院依法予以支持。
  自然人为制止侵权行为所支付的合理开支,可以认定为民法典第一千一百八十二条规定的财产损失。合理开支包括该自然人或者委托代理人对侵权行为进行调查、取证的合理费用。人民法院根据当事人的请求和具体案情,可以将合理的律师费用计算在赔偿范围内。
  第九条 自然人有证据证明信息处理者使用人脸识别技术正在实施或者即将实施侵害其隐私权或者其他人格权益的行为,不及时制止将使其合法权益受到难以弥补的损害,向人民法院申请采取责令信息处理者停止有关行为的措施的,人民法院可以根据案件具体情况依法作出人格权侵害禁令。
  第十条 物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。
  物业服务企业或者其他建筑物管理人存在本规定第二条规定的情形,当事人请求物业服务企业或者其他建筑物管理人承担侵权责任的,人民法院依法予以支持。
  第十一条 信息处理者采用格式条款与自然人订立合同,要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利,该自然人依据民法典第四百九十七条请求确认格式条款无效的,人民法院依法予以支持。
  第十二条 信息处理者违反约定处理自然人的人脸信息,该自然人请求其承担违约责任的,人民法院依法予以支持。该自然人请求信息处理者承担违约责任时,请求删除人脸信息的,人民法院依法予以支持;信息处理者以双方未对人脸信息的删除作出约定为由抗辩的,人民法院不予支持。
  第十三条 基于同一信息处理者处理人脸信息侵害自然人人格权益发生的纠纷,多个受害人分别向同一人民法院起诉的,经当事人同意,人民法院可以合并审理。
  第十四条 信息处理者处理人脸信息的行为符合民事诉讼法第五十五条、消费者权益保护法第四十七条或者其他法律关于民事公益诉讼的相关规定,法律规定的机关和有关组织提起民事公益诉讼的,人民法院应予受理。
  第十五条 自然人死亡后,信息处理者违反法律、行政法规的规定或者双方的约定处理人脸信息,死者的近亲属依据民法典第九百九十四条请求信息处理者承担民事责任的,适用本规定。
  第十六条 本规定自2021年8月1日起施行。
  信息处理者使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息的行为发生在本规定施行前的,不适用本规定。

王希胜律师 发表于 2021-8-23 14:11:51


《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》的理解与适用
作者:郭锋 陈龙业 贾玉慧 张音
作者单位:最高人民法院
目次
一、《规定》起草的背景
二、《规定》的起草过程
三、《规定》的基本原则
四、《规定》的主要内容
为正确审理使用人脸识别技术处理个人信息相关民事案件,保护当事人合法权益,促进数字经济健康发展,2021年6月8日,最高人民法院审判委员会第1841次会议审议通过了最高人民法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(法释〔2021〕15号,以下简称《规定》),自2021年8月1日起施行。本文就《规定》的起草背景、起草过程及重点条文进行说明,便于广大法官准确理解和适用。
一、《规定》起草的背景
人脸识别技术是指通过对人脸信息的自动化处理,实现验证个人身份、辨识特定自然人或者预测分析个人特征等目的的一项生物识别技术。人脸识别是人工智能的重要应用。近年来,随着信息技术飞速发展,人脸识别逐步渗透到人们生活的方方面面,大到智慧城市建设,小到手机客户端的登录解锁,都能见到人脸识别的应用。在国境边防、公共交通、城市治安、疫情防控等诸多领域,人脸识别技术发挥着巨大作用。
在为社会生活带来便利的同时,人脸识别技术所带来的个人信息保护问题也日益凸显,一些经营者滥用人脸识别技术侵害自然人合法权益的事件频发,引发社会公众的普遍关注和担忧。
比如,有些知名门店使用无感式人脸识别技术,在未经同意的情况下擅自采集消费者人脸信息,分析消费者的性别、年龄、心情等,进而采取不同营销策略。
又如,有些物业服务企业强制将人脸识别作为业主出入小区或者单元门的唯一验证方式,要求业主录入人脸并绑定相关个人信息,未经识别的业主不得进入小区。
再如,部分线上平台或者应用软件强制索取用户的人脸信息,还有的卖家在社交平台和网站公开售卖人脸识别视频、买卖人脸信息等。因人脸信息等身份信息泄露导致被贷款、被诈骗,隐私权、名誉权被侵害等现象也多有发生,甚至还有一些犯罪分子利用非法获取的身份证照片等个人信息制作成动态视频,破解人脸识别验证程序,实施窃取财产、虚开增值税普通发票等犯罪行为。
上述行为严重损害自然人的人格权益,侵害其人身、财产等合法权益,破坏社会秩序,亟待规制。
人脸信息属于敏感个人信息中的生物识别信息,是生物识别信息中社交属性最强、最易采集的个人信息,具有唯一性和不可更改性,一旦泄露将对个人的人身和财产安全造成极大危害,甚至还可能威胁公共安全。
据APP专项治理工作组去年发布的《人脸识别应用公众调研报告》显示,在2万多名受访者中,94.07%的受访者用过人脸识别技术,64.39%的受访者认为人脸识别技术有被滥用的趋势,30.86%的受访者已经因为人脸信息泄露、滥用等遭受损失或者隐私被侵犯。
这段时间,人脸识别成为热门词汇,社会公众对人脸识别技术滥用的担心不断增加,强化人脸信息保护的呼声日益高涨。
党中央高度重视个人信息保护工作。习近平总书记多次强调,要坚持网络安全为人民、网络安全靠人民,保障个人信息安全,维护公民在网络空间的合法权益,对加强个人信息保护工作提出明确要求。
最高人民法院深入学习贯彻习近平法治思想,立足人民群众现实需求,以问题为导向,充分发挥审判职能作用,主动回应人民关切和期待,严格依照民法典、网络安全法、消费者权益保护法、电子商务法、民事诉讼法等法律,吸收个人信息保护立法有关经验成果,在充分调研基础上制定了本司法解释,对人脸信息提供司法保护。
二、《规定》的起草过程
为及时对滥用人脸识别问题作出司法统一规定,最高人民法院专门成立了起草小组,紧锣密鼓地开展涉人脸识别司法解释的调研起草工作。
今年3月中旬,起草小组向全国各高级法院下发通知征集意见、建议,并与个人信息保护领域专家学者进行深入探讨。在认真梳理各高院意见、专家学者意见和国内外相关资料的基础上,构建了司法解释整体框架,拟定了需重点解决的问题清单。
3月底到4月初,起草小组先后在江苏高院、北京互联网法院进行调研座谈,听取全国部分高院和北京市三级法院部分审判业务专家意见,形成司法解释初稿。
4月8日,在最高法院机关召开专项工作小组会,起草小组各成员单位对司法解释初稿逐条进行研究论证。
4月中下旬,起草小组又分别在上海、四川召开全国部分法院座谈会,听取审判一线法官的意见建议,并委托地方法院就小区物业安装人脸识别门禁等问题开展实地调研。
为确保司法解释质量,起草小组又组织召开了专家论证会,邀请全国人大常委会法工委、中央网信办、人民大学、清华大学等单位的有关负责同志、专家学者以及部分审判业务专家参加论证。
起草过程中,起草小组始终与全国人大常委会法工委、中央网信办等单位保持常态化沟通,及时研究解决重点难点问题。形成征求意见稿后,广泛征求全国人大常委会法工委、中央政法委、中央网信办、公安部、最高检察院、司法部、工信部、市场监管总局等中央有关单位以及国内知名专家学者的意见、建议。在认真吸收各方意见、建议基础上,形成送审稿,提请审委会审议。
此后,起草小组又根据审委会决议对司法解释部分条文表述进行修改完善,并征求中央宣传部意见,再次征求全国人大常委会法工委意见。中央宣传部、全国人大常委会法工委回函均表示无不同意见。可以说,在全国人大常委会法工委的全程指导下,在中央有关部门的大力支持下,《规定》认真参考、吸收各方面意见和建议,是理论界和实务界共同智慧的结晶。
三、《规定》的基本原则
《规定》的起草,始终坚持4个原则:
一是以人民为中心,回应群众所急所盼。人脸识别技术为人民群众的生活带来了便利,而该技术的滥用不同程度侵害了人民群众的合法权益,引发了社会的普遍关注和担忧。《规定》的起草,始终坚持以习近平法治思想为指导,牢牢站稳人民立场,积极回应技术滥用这一群众所急所盼的问题,切实加强权益保护。通过对滥用人脸识别问题作出统一司法规定,充分发挥裁判引领作用,实现好、维护好最广大人民群众的根本利益。
二是坚持问题导向,聚焦重点领域。《规定》并非限制人脸识别技术的使用,而是限制人脸识别技术的滥用。《规定》坚持以问题为导向,对人脸识别技术滥用的主要场景进行梳理。比如,经营场所擅自使用远距离、无感式人脸识别技术,小区物业强制刷脸,部分应用软件强制索取用户人脸信息等,这是人脸识别技术滥用的重点领域,严重影响人民群众的“人脸安全”,甚至引发集体焦虑。对于上述问题,《规定》均提出针对性的司法解决方案。
三是严格依照法律规定,切实符合司法规律。对生物识别信息等敏感个人信息的规制,是一个系统工程。在个人信息保护法以及相关行政法规出台前,起草涉人脸识别司法解释需要注意与立法、行政执法的衔接,做到不缺位、不越位。《规定》的起草坚持用足用好民法典等现有法律规定,为规制人脸识别技术滥用提供清晰的法律适用指引;秉持审慎原则,对于应由法律或者行政法规作出规定的未予涉及,同时使用“违反法律、行政法规规定”等表述,为与有关法律、行政法规的规定有机衔接预留接口。
四是强化权益保护,注重价值平衡。《规定》将人脸信息等人格权益的保护作为重点,通过明确侵权行为样态、责任承担、举证责任、财产损失范围界定等规则,多角度遏制侵害自然人人格权益的行为。同时,《规定》也十分注重价值平衡,通过细化免责事由、引入动态系统论、明确不溯及既往等,妥善处理好个人利益和公共利益、惩戒侵权行为和促进数字经济发展之间的关系,促进个人信息合法合理使用和数字经济健康发展。
四、《规定》的主要内容
《规定》共16条,主要从适用范围、侵权责任、合同规则、诉讼程序等方面对滥用人脸识别问题作出规定。
(一)关于适用范围
《规定》第1条第1款明确了本司法解释的适用范围。正确理解该款,需注意以下几点:
首先,该款明确界定使用人脸识别技术处理个人信息相关民事案件的外延,具体是指信息处理者违反法律、行政法规的规定或者双方的约定,使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息所引起的民事案件。
之所以将处理基于人脸识别技术生成的人脸信息也纳入调整范围,主要是因为人脸信息的处理包括人脸信息的收集、存储、使用、加工、传输、提供、公开等,处理环节较多、流程较长,实践中往往存在多个信息处理者,如将适用范围限定为使用人脸识别技术处理人脸信息,无法涵盖有些信息处理者并未使用人脸识别技术而只是在后端处理基于人脸识别技术所生成的人脸信息的情形,不利于对人脸信息的全流程保护。
其次,《规定》仅适用于平等民事主体之间因使用人脸识别技术处理人脸信息所引起的相关民事案件。对于国家机关、承担行政职能的法定机构因履行法定职责使用人脸识别技术所引起的行政案件,对于非平等民事主体之间使用人脸识别技术引发的纠纷案件,不适用本《规定》。
第三,该款并未限定侵害权益类型和民事责任类型,因此《规定》涉及的责任承担既包括侵权责任,也包括违约责任,受侵害的权益既包括个人信息权益,也包括肖像权、隐私权、名誉权等人格权以及财产权。
除此之外,《规定》第15条还明确了自然人死亡后,信息处理者违反法律、行政法规的规定或者双方的约定处理人脸信息,死者的近亲属依据民法典第九百九十四条请求信息处理者承担民事责任的,也要适用本《规定》。
还需要说明的是,《规定》只是针对该领域重点问题进行规定,所牵涉其他问题,法律和其他司法解释已有明确规定,故未作重复规定。在审理此类纠纷时,要注意《规定》与法律、其他司法解释之间的衔接配套。
(二)关于人脸信息的界定
“人脸信息”是《规定》中的一个重要概念。
根据民法典第一千零三十四条的规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
2020年国家标准《个人信息安全规范》(GB/T35273-2020)以及即将审议通过的个人信息保护法将个人信息进行了分类,包括敏感个人信息和一般个人信息。其中,生物识别信息属于敏感个人信息范畴。个人信息保护法(草案)专门对敏感个人信息作了特殊规定,以强化对敏感个人信息的保护力度。
《个人信息安全规范》对敏感个人信息中的生物识别信息进行了列举,包括个人基因、指纹、声纹、掌纹、虹膜、面部识别特征等信息。
遵循民法典规定,结合个人信息保护立法精神和国家标准,同时参考欧盟GDPR等域外规定,《规定》使用了“人脸信息”这个概念。
从种属上看,《规定》中所称“人脸信息”属于民法典第一千零三十四条规定的“生物识别信息”,属于个人信息保护法(草案)中的“敏感个人信息”。
从外延上看,人脸信息不仅包括人脸识别技术通过算法生成的人脸特征数据,还包括人脸识别技术所抓取的原始人脸图像。
相较于其他概念,《规定》使用“人脸信息”的概念,不仅符合人脸识别技术所牵涉的个人信息,也更有利于全面保护人民群众的人格权益。
实践中需要注意的是,对原始人脸图像的侵害,既可能是因违反个人信息处理规则而侵害个人信息权益,也可能构成因对肖像的不当使用而侵害自然人的肖像权,要根据所侵害的权益,分别适用民法典人格权编的相关规定。
(三)关于侵害自然人人格权益的典型行为
《规定》第2条将几类典型行为明确认定为属于侵害自然人人格权益的行为。现对重点情形介绍如下:
1.关于在经营场所、公共场所使用人脸识别技术的行为
使用远距离、无感式的人脸识别技术擅自采集人脸信息,是人脸识别技术滥用的典型样态,引发社会公众普遍质疑。
从域外经验看,美国加州的旧金山、奥克兰、萨默维尔和华盛顿均对远距离、无感式人脸信息采集和使用持否定态度。欧盟2021年4月所公布的《人工智能条例草案》将公共场所的远程生物识别(RBI)系统列为人工智能的高风险应用类型,原则上限定为查找失踪儿童、预防犯罪或恐怖袭击、侦查犯罪等用途。
《规定》第2条第(1)项明确,“在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析”属于侵害自然人人格权益的行为。
正确理解该项规定,需注意以下几点:
首先,本项采取的是场景式列举,主要针对在经营场所、公共场所采取人脸识别技术进行人脸辨识、人脸分析等现象进行规定,与本条其他项所列情形有所不同。
其次,在经营场所、公共场所处理人脸信息必须遵守现行法律、行政法规对个人信息处理的规定。
民法典第一千零三十五条、第一千零三十六条规定了个人信息的处理规则和免责事由,《规定》对上述规则和事由予以细化。
从告知同意层面看,除法律、行政法规另有规定外,在经营场所、公共场所使用人脸识别技术处理人脸信息,无论是人脸验证(人脸验证是指将采集的人脸识别数据与已存储的特定自然人的人脸识别数据进行1:1比对,以确认特定自然人是否为其所声明的身份。一般而言,人脸验证主要应用于需要比对真实身份的场景,比如机场、车站的人证比对,线上支付环境中的人脸验证等,要求相对较高,管理较为规范)、人脸辨识(人脸辨识是指将采集的人脸识别数据与已存储的指定范围内的人脸识别数据进行1:N比对,以识别特定自然人。人脸辨识的应用场景较为广泛,技术层面也容易实现,比如公园入园、居民小区门禁、商场无感式人脸识别辨识特定客户或者中介等)还是人脸分析(人脸分析是指通过分析人脸图像,预测评估个人年龄、健康、天赋、情绪、工作或者学习专注度等个人特征的活动。人脸分析可能会引发个人歧视,侵害人格尊严),均应征得自然人或者其监护人的单独同意。
故线下门店等在经营场所未经自然人单独同意擅自使用人脸识别技术处理人脸信息的行为,属于侵害自然人人格权益的行为。
第三,要注意本项与《规定》第5条第(2)项的衔接。根据民法典第一千零三十六条的规定,为维护公共利益或者自然人合法权益,合理实施的其他行为,信息处理者不承担民事责任。《规定》第5条对民法典上述规定中的公共利益予以细化,明确“为维护公共安全,依据国家有关规定在公共场所使用人脸识别技术的”,不承担民事责任。该规定也与个人信息保护法(草案)第二十七条的立法精神相一致。
2.关于违反单独同意的行为
告知同意规则,也称知情同意规则,是指任何组织或个人在处理个人信息时都应当对信息主体即其个人信息被处理的自然人进行告知,并在取得同意后方可从事相应的个人信息处理活动,否则处理行为即属违法,除非法律、行政法规另有规定。
无论是民法典还是网络安全法,都规定了告知同意规则。
然而,实践中的人脸识别应用存在各种不规范做法,使得个人同意往往流于形式。
人脸信息属于高度敏感的个人信息,也是生物识别信息中社交属性最强、最易采集的个人信息,一旦泄露,将对个人的人身和财产安全造成极大危害。
因此,在告知同意上,有必要设定较高标准,以确保个人在充分知情的前提下,考虑对自身权益的后果进而作出同意,让个人充分参与到人脸信息处理的决策之中。
《规定》在民法典第一千零三十五条的基础上,充分吸收个人信息保护立法重要成果,进一步将第一千零三十五条的“同意”细化为“单独同意”,即:信息处理者在征得个人同意时,必须就人脸信息处理活动单独取得个人的同意,不能通过一揽子告知同意等方式征得个人同意,否则处理人脸信息的行为属于侵害人格权益的行为。
需要注意的是,单独同意规则只适用于基于个人同意处理人脸信息的情形,对于法律、行政法规所规定的不需要征得个人同意的情形,不适用这一规则。
3.《规定》第2条所列其他情形
《规定》第2条所列其他情形均系对民法典规定的细化。
其中,第(7)项之所以对违背公序良俗处理人脸信息的行为予以规定,主要是考虑到信息处理者使用深度伪造等人脸生成技术,违背公序良俗,恶意毁损他人名誉的事件时有发生,对他人人格权益造成严重侵害。结合人脸生成技术所带来的系列问题,对使用人脸识别技术专门予以强调,也为加强人脸信息司法保护预留了空间。
第(8)项以“违反合法、正当、必要原则处理人脸信息的其他情形”进行兜底,与民法典第一千零三十五条的规定精神保持一致,并保证了逻辑的周延性。
(四)关于动态系统论的适用
保护人格权是尊重和保护人格尊严的要求,但是,如果对人格权的保护过于绝对和宽泛,则难免会产生与其他权利的冲突。
人格权保护的价值并非在所有情形中总是一般性地、抽象地高于其他价值,而必须在个案和具体情形中对所有这些价值进行综合权衡。
民法典第九百九十八条引入动态系统论,有利于协调人格利益与其他价值的冲突,强化人格权的保护。
为妥善平衡人脸信息保护和其他权利之间的关系,《规定》第3条也引入动态系统论,在民法典第九百九十八条的基础上,对侵害人脸信息责任认定的考量因素予以进一步细化,增加告知同意情况以及信息处理行为的必要程度等因素,充分考量信息主体以及信息处理者的实际情况,合理认定民事责任。
在此需要强调的是,伴随着人脸识别应用场景越来越广泛,未成年人的人脸信息被采集的场景也越来越多,既有线上的,也有线下的。
比如,商场、小区、公园等场所安装的人脸识别系统,手机上带有人脸识别功能的APP软件,互联网上需要进行人脸验证的平台,等等。
由于未成年人身心发育尚未成熟,社会阅历有限,个人信息保护意识相对淡薄,加之对新生事物较为好奇,其人脸信息被采集的概率相对较大。
未成年人的人脸信息一旦泄露,侵权影响甚至可能伴随其一生,特别是技术歧视或算法偏见所导致的不公平待遇,会直接影响未成年人的人格发展。
从比较法的角度看,欧盟GDPR、美国儿童网上隐私保护法等对未成年人个人信息保护也作出了特别规定。其中,法国对采集儿童人脸信息持极其慎重的态度,例如,以控制校园进出为目的而实施针对儿童的人脸识别是被明确禁止的。
结合我国当前未成年人人脸信息保护现状,《规定》明确将受害人是否未成年人作为责任认定特殊考量因素,对于违法处理未成年人人脸信息的,在责任承担时依法予以从重从严,确保未成年人人脸信息依法得到特别保护,呵护未成年人健康成长。
(五)关于强迫同意无效规则的适用
基于个人同意处理人脸信息的,个人同意是信息处理活动的合法性基础。只要信息处理者不超出个人同意的范围,原则上该行为就不构成侵权行为。
自愿原则是民法典的基本原则之一,个人的同意必须基于自愿而作出,特别是对人脸信息的处理,不能带有任何强迫因素。
调研中发现,一些APP往往使用人脸识别技术将非必要的人脸信息作为提供产品或服务的前提条件,不同意就无法继续安装或使用该应用程序;还有的信息处理者以与其他授权捆绑等方式,强迫或者变相强迫自然人同意处理其人脸信息。
这种通过模式设计强制索取人脸信息的行为,导致自然人无法单独对人脸信息作出自愿同意,或者被迫同意处理其本不愿提供且非必要的人脸信息。这是当前公众感受最深、反映最强烈的问题,也是维权较难的问题。
为强化人脸信息保护,防止信息处理者对人脸信息的不当采集,《规定》第4条对处理人脸信息的有效同意采取从严认定的思路。
对于信息处理者采取与其他授权捆绑、不点击同意就不提供服务等方式强迫或者变相强迫自然人同意处理其人脸信息,信息处理者据此认为其已征得相应同意的,人民法院不予支持。[从比较法的角度看,欧盟 GDPR中的“同意”也必须是“自由、具体、知情、清晰无误”作出的同意,欧盟将违反自由(freely-given)的同意认定为无效同意]
在适用本条时需要注意以下几个问题:
第一,本条适用的前提仅限于基于个人同意处理人脸信息的情形。
第二,当事人针对信息处理者通过强迫同意采集人脸信息,以信息处理者侵害其人格权益为由向人民法院提起诉讼的,人民法院依法予以受理。
第三,本条中“提供产品或者服务所必需”不仅包括事实上的必需,也包括法律、行政法规或者规章有特别规定的情形。
第四,本条规定不仅适用于线上应用,对于需要告知同意的线下场景也同样适用。
(六)关于免责条款
“保护当事人合法权益,促进数字经济健康发展”是《规定》的制定宗旨。《规定》在起草过程中紧紧围绕这一宗旨,既注重权益保护,又注重价值平衡。
《规定》第5条对民法典第九百九十九条及第一千零三十六条进行细化。
其中,根据民法典第九百九十九条,明确规定“为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息的”,不承担民事责任;
根据民法典第一千零三十六条第(一)项,明确规定“在自然人或者其监护人同意的范围内合理处理人脸信息的”,不承担民事责任。
考虑到人脸识别在疫情防控、寻找失踪儿童、打击违法犯罪、维护公共安全等方面发挥着巨大作用,《规定》将民法典第一千零三十六条第(三)项的“维护公共利益或者该自然人合法权益”细化为两种情形:
一是为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息的;
二是为维护公共安全,依据国家有关规定在公共场所使用人脸识别技术的。符合上述情形的,不承担民事责任。
民法典第一千零三十六条第(二)项还规定了一个免责事由,即“合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外”。
《规定》第5条之所以没有将民法典第一千零三十六条第(二)项细化,主要是考虑人脸信息作为敏感个人信息,在保护力度上要比一般个人信息强,对于自然人自行公开的人脸图片或者视频资料,信息处理者在未征得该自然人同意的情况下使用人脸识别技术处理这些图像,超出了合理的范畴,且对其自然人人格权益有重大影响,故不符合第一千零三十六条第(二)项所规定情形。
当然,在个案中确实存在处理人脸信息符合民法典第一千零三十六条第(二)项规定情形的,可以依据《规定》第5条第(5)项“符合法律、行政法规规定的其他情形”,引向适用民法典的这一规定。
(七)关于举证责任分配
信息处理者使用人脸识别技术处理人脸信息侵害人格权益相关纠纷的举证责任分配,应当遵循民事诉讼法及相关司法解释的一般性规定。
但由于人脸识别技术具有较强的技术性和专业性,实践中,使用人脸识别技术处理人脸信息的有关证据一般均由信息处理者掌握,加之信息主体对于信息处理者如何处理信息并不了解,让信息主体承担信息处理者信息处理行为违法的证明责任,将面临知识和信息上的障碍。
有鉴于此,个人信息保护法(草案)采取了过错推定原则,将过错要件的举证责任倒置给信息处理者。
由于归责原则和举证责任倒置具有法定性,在个人信息保护法正式施行前,信息处理者使用人脸识别技术侵害自然人人格权益的案件,能否直接适用过错推定责任原则实行举证责任倒置值得研究。
我们认为,依据现有举证责任的法律适用规则,在用足现有规定特别是民法典第一千零三十五条、第一千零三十六条等规定的基础上,充分考虑双方当事人经济实力不对等、信息不对称等因素,在举证责任分配上科以信息处理者更多的举证责任是可行、合理的。
据此,《规定》第6条第2款规定:“信息处理者主张其行为符合民法典第一千零三十五条第一款规定情形的,应当就此所依据的事实承担举证责任”。
(八)小区物业不得将人脸识别作为出入小区的唯一验证方式
《规定》起草过程中,我们对小区物业使用人脸识别门禁系统问题进行了专门调研,发现各地小区安装人脸识别设备的原因较为复杂,且安装人脸识别设备是否属于民法典第二百七十八条第(九)项所规定的“有关共有和共同管理权利的其他重大事项”存在一定争议,实践中做法不一,有待进一步积累司法经验。
调研中也发现,群众关心小区物业安装人脸识别设备,集中在强制刷脸的问题上。实践中,部分小区物业强制要求居民录入人脸信息,并将人脸识别作为出入小区的唯一验证方式,这种行为违反了告知同意原则,群众质疑声较大。
有鉴于此,《规定》第10条专门对小区物业强制刷脸问题予以规定。
人脸信息属于敏感个人信息,小区物业对人脸信息的采集、使用必须依法征得业主或者物业使用人的同意。只有业主或者物业使用人自愿同意使用人脸识别,对人脸信息的采集、使用才有了合法性基础。小区物业不能以智能化管理为由,侵害相关居民的人格权益。
为此,《规定》第10条第1款规定:“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。”
根据这一规定,小区物业在使用人脸识别门禁系统录入人脸信息时,应当征得业主或者物业使用人的同意。不同意的业主或者物业使用人,可以向人民法院起诉要求物业服务企业或者其他建筑物管理人提供替代性验证方式。
(九)其他内容
除上述重点条款外,《规定》还对如下内容进行明确:
1.多个信息处理者侵权责任的承担
由于人脸信息的处理链条较长,往往涉及多个信息处理者,第7条依据民法典相关规定对多个信息处理者侵权责任进行法律适用指引。
需要注意的是,第2款的前提是“信息处理者利用网络服务”,而不是“信息处理者利用网络”,“网络服务”在这里专指“他人所提供的网络服务”,不包括“信息处理者利用自身网络”的情形。
2.合理界定财产损失范围
除适用民法典第一千一百八十二条外,考虑到侵害人脸信息可能并无具体财产损失,但被侵权人为维权支付的相关费用却较大,如果不赔偿,将会造成被侵权人维权成本过高、侵权人违法成本较小的不平衡状态。第8条明确被侵权人为制止侵权行为所支付的合理开支以及合理的律师费用可作为财产损失请求赔偿。
3.明确特定格式条款无效
对于信息处理者通过采用格式条款与自然人订立合同,要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利的,此类条款应属于民法典第四百九十七条第(二)项所规定的“提供格式条款一方不合理地免除或者减轻其责任、加重对方责任、限制对方主要权利”的情形,《规定》第11条对其效力予以否定性评价,以防止一些商家滥用格式条款,规范人脸信息处理活动。
4.细化违约删除规则
《规定》第12条在民法典第一千零三十七条基础上明确:无论对人脸信息的删除是否有约定,信息处理者违反约定处理自然人的人脸信息,该自然人请求信息处理者承担违约责任时,请求删除人脸信息的,人民法院依法予以支持。
5.积极倡导民事公益诉讼
由于实践中受害者分散、个人维权成本高、举证能力有限等因素,个人提起诉讼维权的情况相对较少,而公益诉讼制度能够有效弥补这一不足。结合人民法院审理个人信息民事公益诉讼相关实践,《规定》第14条对涉人脸信息民事公益诉讼予以规定。

页: [1]
查看完整版本: 关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定