近年来,人脸识别技术迅速发展,刷脸进门、刷脸支付等广泛运用,给我们的日常生活带来相当多的便利。然而,便利的背后隐藏着个人信息泄露、个人人格权益被侵害、个人财产权益受损等风险,严重侵害了使用者的合法权益。
近年来,人脸识别技术迅速发展,刷脸进门、刷脸支付等广泛运用,给我们的日常生活带来相当多的便利。然而,便利的背后隐藏着个人信息泄露、个人人格权益被侵害、个人财产权益受损等风险,严重侵害了使用者的合法权益。7月28日,最高人民法院发布了《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《规定》),以法治力量保障个人信息安全。
明确人脸信息的人格权属性
古往今来,人脸识别一直是一种通用身份标识符,人们通过对面部信息进行识别来寻找同类,通过“认脸”而“认人”,人脸具有重要的身份属性与社会属性。如今,随着新型数字基础设施的全面推进,人脸识别技术迎来了大规模应用,社会成员获得了继身份证之后新的可信身份证明和通用标识符,数字时代的人脸信息持续体现出强烈的人格权属性与身份法律制度属性。
刷脸时代,人脸信息被抓取后,在系统中生成数据信息,成为识别与被识别的工具。由此,未经当事人真正知情同意的“刷脸”行为成为一种对当事人人格权益的侵害,技术抓取了每个人特有的人脸信息,导致人脸背后的人格因素及其所承载的个人尊严等价值被稀释。人脸识别技术,将一个个具有独立人格、享有人格尊严的人,转化为一串串的数字和符码,将人异化为物,成为一行行在数据库里的数据。信息处理者轻而易举识别人脸获取数据,而每个活生生的人被贬损的则是作为一个人的尊严等人格权益。
为了明确人脸信息的人格权属性,充分尊重和保障每个人的人格权益,《规定》第2条“信息处理者处理人脸信息有下列情形之一的,人民法院应当认定属于侵害自然人人格权益的行为”,明确了人脸信息的人格权属性与处理人脸信息的合法、正当、必要原则,列举了侵害自然人人格权益的行为;第3条“人民法院认定信息处理者承担侵害自然人人格权益的民事责任,应当适用民法典第九百九十八条的规定”,通过援引《民法典》第998条关于精神性人格权的规定,在第7条、第8条、第9条、第13条多次强调人脸信息的人格权属性,无不彰显着《规定》对人格权的尊重。
规范人脸识别技术的应用场景
在商业应用领域,人脸识别技术作为当下迅速迭代发展的新型技术,其技术的专业性远远超过社会大众的普遍认知,信息处理的手段也更为多元,目的也更为动态,人脸识别可以应用于何种场景,在处理过程中是否一直符合初始目的?一系列问题值得深思。
当前,除APP大量使用人脸识别技术外,线下的人脸识别也较为广泛。以“中国人脸识别第一案”为例,杭州某野生动物世界因更改系统,将原指纹入园方式更改为“刷脸”入园,此举引发纠纷。经审理,法院判决野生动物世界删除原告提交的承载面部特征信息的资料。从实际使用看,该野生动物世界原本的指纹入园方式已经可以实现游客入园管理,不经游客同意,统一采用“刷脸”方式入园的合理性、必要性是值得考量的。
基于合理、正当、必要的原则,《规定》明确并限缩了人脸识别的应用场景。第2条规定了处理人脸信息的各类侵权情形,在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所等不得违反法律、行政法规的规定使用人脸识别技术;第10条规定了物业服务企业或者其他建筑物管理人,不得以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式。根据上述规定,未来与我们生活息息相关的各类场景将不得强制要求使用人脸识别技术,诸如“3·15”晚会曝光的人脸识别滥用现象将得到有效遏制。
当然,人脸识别作为新科技,我们也应积极拥抱,《规定》第5条明确了在应对公共卫生事件、维护国家安全、为公共利益实施新闻报道、自然人或监护人同意的范围内处理人脸信息时,信息处理者有权处理人脸信息,充分肯定了人脸识别技术对维护公共利益的积极作用,但也明确了应当遵循“必要原则”“合理使用原则”。
一揽子“告知同意”不再“万能”
APP的用户协议中,“告知同意”往往成为信息处理者的免死金牌,仿佛经过“告知同意”,一切人脸识别都可以理直气壮地进行,披着“告知同意”的外衣,肆意滥用人脸识别技术,利用优势地位非法收集用户人脸信息、侵害用户隐私权。
为保护“告知同意”下个人的人脸信息安全,规制信息处理者利用模糊的“告知同意”,误导个人同意其过度处理人脸信息,《规定》第2条坚持单独同意原则,规定“基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意”属于侵害人格权益的行为,意味着信息处理者在征得个人同意时,不得一概而论地征得个人对信息处理的同意,还应就人脸信息的处理活动征得单独同意,必须“一事一议”。
为规制信息处理者利用其应用软件的优势地位,强迫或变相强迫个人不得不同意其过度处理人脸信息,《规定》第4条明确,信息处理者一律不得采用“不同意就不提供服务”等方式拒绝对不提供人脸信息的个人提供服务。此外,在第11条明确信息处理者不得在格式条款中,要求个人授予其无期限限制、不可撤销、可任意转授权等过度处理人脸信息的权利,防范信息处理者过度索权的发生。
彰显对未成年人的关爱
伴随着人脸识别应用场景越来越广泛,未成年人的人脸信息被采集的场景也越来越多,商场、小区、学校等场所安装人脸识别系统已成为普遍现象,未成年人常用的APP往往也要求人脸识别认证。然而,由于未成年人身心发育尚未成熟,加之个人信息保护意识相对淡薄,其人脸信息极易被APP侵害。与其他手机号、密码、住址等个人信息不同,人脸信息具有唯一性和不可更改性。一旦未成年人的人脸信息被侵害,甚至被用于不法用途,侵权的危害将伴随其一生,特别是技术歧视或算法偏见所导致的不公平待遇,会直接影响未成年人的人格发展。
《规定》体现了对未成年人的关爱,从司法层面加强对未成年人人脸信息的保护。第2条规定,信息处理者处理未成年人人脸信息的,必须征得其监护人的单独同意;第3条规定,认定侵害自然人人格权益时,应综合考量受害人是否为未成年人。
当今技术发展日新月异,“刷脸”已经日渐向更为广泛的领域拓展。可以预见的是,人脸识别技术在深度和广度上都将进一步延展。在享受技术带来的便捷红利时,人脸识别的法律风险也不容忽视。《规定》坚持问题导向、需求导向,聚焦社会关切的人脸识别技术,针对实践中反映较为突出的问题,通过16个条文进行了规定,贯彻了《民法典》尊重和保障人权的精神,构筑人脸信息安全的“护城河”,进一步推进数字经济持续健康发展。