本文转自【中国律师网】;
近日,被誉为“中国人脸识别第一案”的一审判决尘埃落定,备受争议的人脸识别相关合法性事宜在判决中获得回应,一审法院最终支持了原告郭某的部分诉讼请求。该案唤醒社会大众对人脸识别等生物特征的个人信息保护之重视,警示信息收集者、处理者审慎使用生物信息等方面意义重大,为我国个人信息保护添上浓墨重彩的一笔。下面笔者对本案作出梳理及法律分析,以供大家交流、学习。
一、“中国人脸识别第一案”的基本情况及争议焦点
(一)案情介绍
2019年4月27日,郭某陪伴妻儿到某野生动物世界(下称动物园)游玩时,购买了一张动物园的双人年卡,确定是以指纹识别方式入园,并留存了郭某及其妻子的姓名、身份证号码、电话号码等,同时录入了指纹、拍照。后该动物园引进人脸识别技术,并将之用于年卡用户的入园检票。郭某随后收到动物园发来的一则短信,告知未经启用人脸识别将无法入园。郭某不同意被采集人脸信息,要求退卡、退费,但遭到拒绝。于是原告郭某对被告杭州野生动物世界有限公司(下称野生动物公司)提起诉讼。
2020年11月20日,杭州市富阳区人民法院(下称一审法院)就本案公开开庭,并宣判如下:被告野生动物公司赔偿原告郭某合同利益损失及交通费共计人民币1038元,删除原告郭某办理指纹年卡时提交的包括照片在内的面部特征信息,同时驳回原告郭某提出的确认动物园店堂告示、短信通知中相关内容无效等其他诉讼请求。
(二)裁判要旨
本案原、被告双方因购买游园年卡而形成服务合同关系,后因入园方式变更引发纠纷,其争议焦点实为对经营者处理消费者个人信息,尤其是指纹和人脸等个人生物识别信息行为的评价和规范问题。我国现行法律规定虽未禁止个人信息在消费领域的收集、使用,但强调对个人信息处理过程中的监督和管理,即:个人信息的收集要遵循合法、正当、必要的原则以及征得当事人的同意;个人信息的利用要遵循确保安全原则,不得泄露、出售或者非法向他人提供;个人信息被侵害时,经营者需承担相应的侵权责任。本案一审法院作出上述判决,其裁决依据主要有:
第一,消费者知情权与个人信息自主决定权,未受侵害。本案中,郭某在办理年卡时,系自行决定提供指纹等个人信息而成为年卡客户的。野生动物公司未对消费者作出不公平、不合理的其他规定,因此客户的消费知情权和对个人信息的自主决定权并未受到侵害。
第二,野生动物公司单方变更合同,属违约行为。野生动物公司在经营活动中使用指纹识别、人脸识别等生物识别技术,其行为本身并未违反前述法律规定的原则要求。但是,野生动物公司在合同履约期间,将原指纹识别入园方式变更为人脸识别方式,属于单方变更合同,该做法不构成双方合同内容,对原告郭某不具有法律效力,因此郭某作为守约方,有权要求野生动物公司承担相应法律责任。
第三,野生动物公司采集原告照片信息,不具有正当性。 原告郭某在办理年卡时,合同约定以指纹识别方式入园,动物园采集郭某及其妻子的照片信息,超出了法律意义上的必要原则,故不具有正当性。
第四,一审法院在审理过程中,未发现野生动物公司对原告郭某实施欺诈行为。
(三)争议焦点
由于案涉人脸识别技术在国内并无先例,本案也被称为“中国人脸识别第一案”。虽然本案案情并不复杂,却涉及人脸识别技术不可滥用的原则。在笔者看来,任何技术都不全然安全和完美,科技应以人们美好生活为导向,在实践中不断完善。可是,从本案延伸出来的法律对个人信息保护的规制问题却值得深思,个人信息收集要遵循合法、正当、必要的原则,可到底何种情况下可以收集人脸识别信息?如何界定自然人对个人信息的“知情”范围?我们能否拒绝密布大街小巷的摄像对人脸的采集分析呢?
二、人脸识别技术的法律规制
人脸识别技术主要来源生物特征加密技术基础上发展而来的,具有无接触、交互性强、高效迅速、符合人类识别习惯等特征。简言之,人脸识别技术可以通过面部特征的分析精准地确定个体身份信息,只要你的脸暴露在识别系统,就能精准地识别你的身份信息,应用上具有超高的便利价值。我国人脸识别技术主要应用领域有: 一是支付领域。例如支付宝的“刷脸购物”;二是教育领域。如考场中识别考生的身份,杜绝替考等违法违规行为,肃清考风;三是公共安全领域。在车站、广场等人流密集场所用以统计人流量,防止拥堵、踩踏等事件发生;四是司法安防领域。通过人脸识别狙击犯罪嫌疑人的行踪,使其难逃法网。
可见,人脸识别的应用日益广泛,那么有关人脸识别的规定如何?笔者通过梳理涉及照片采集和生物信息采集之法律规制,主要包括《居民身份证法》《护照法》《出入境管理法》《反恐怖主义法》《网络安全法》《信息安全技术个人信息安全规范》等规定。但是,上述规定并没有涉及到人脸识别,且规定也过于简单,缺乏统一的适用标准,可以说现行立法对人脸识别信息的行政监管尚存空白。事实上,人脸属于典型的个人信息,人脸识别信息因其不可更改性、无接触性,一旦发生泄露或是被非法提供、滥用的,极易危害到消费者人身安全和财产安全,必须对人脸信息予以保护。
三、案件评析
目前,一审法院已作出前述民事判决,后续各方当事人是否提起上诉,本案是否进入二审法院审理,我们将继续关注案件的进展。在笔者看来,根据检索到的公开信息,一审法院并未进一步对被告收集个人信息的正当性、必要性范围进行论述。仅从合同来看, 一审法院认为双方已经就指纹入园方式达成合意,后续野生动物公司单方变更为人脸识别是超过必要的,即一审法院是以违约行为作出判决结果,当然合法合理。但一审法院并未对野生动物公司要求刷脸的正当性做出法律评价,甚至在民事判决中认为,野生动物公司在经营中使用指纹识别、人脸识别等生物技术的行为并未违反前述法律规定。而现实司空见惯的是,某些企业和APP在提供服务时直接要求“刷脸”通过,并且在合同中予以明确约定,消费者迫于无奈也同意了。换个场景,如果本案动物园在办卡时就要求“刷脸入园”,并且郭某也同意,又会出现何种审理结果呢? 此时就回到争议的焦点,那就是不同主体收集、使用人脸信息的合法性、正当性和必要性边界到底在哪里?
首先,关于信息采集的目的。随着我国对个人信息保护的重视,个人信息立法正快马加鞭。如即将于2021年1月1日施行的《民法典》就明确规定个人信息受法律保护。其中,对于公共利益实施新闻报道、舆论监督等可以合理使用个人的姓名、肖像等信息。正在紧锣密鼓草拟的《个人信息保护法(草案)》第27条也规定“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需的。”可见,以公共利益为目的采集个人信息具有法定的合理性和正当性,如前述提到人脸识别应用于司法安防领域。但是对于公共利益以外的目的,比如仅是为了购物消费,其正当性、必要性如何界定。笔者认为,应当遵循最小比例的原则,人脸识别不是不能用,而是能不用就不用,具体情况可结合实际的情形、可供选择的途径等进行综合判断。比如“小区刷脸入园”,一张门禁卡可以解决的事情,又是否必须得“用脸”呢?
其次,关于信息采集主体。《民法典》第111条明确规定任何组织或个人收集个人信息的,应依法获取并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。可见,法律并未对信息采集的主体作出限制,只是通过增设义务来规制,明确规定合法、正当和必要的原则。第一,采集信息应取得本人的同意,但法律、行政法规另有规定除外,即“我的脸我做主!”其次,应公开处理信息的规则及明示处理信息的目的、方式和范围,比如人脸识别的目的、应用范围及储存方式等。最后,以兼顾法律强制性和意思自治为落脚,不得违反法律、行政法规规定和双方约定。该规定无疑对采集者提出了更高的要求,但又显得过于抽象。另一方面,这也是围绕自然人的同意权、知情权和保密权展开的。对此,《民法典》还特别规定政府等行政职能管理部门、医院等特殊主体对个人信息保护的义务,不得泄露个人信息。否则,不管是个人还是其他组织,都将可能构成侵权。
最后,关于信息风险防范。技术创新的本质是改变生活方式,服务于消费者,但前提条件是不能损害消费者利益,更不能突破法律的底线。从技术服务的应然目的,保护个人信息正当性、必要性要做好个人信息的风险防范。具体而言,包括科技企业在内的信息采集者,应当自觉坚守伦理道德,加强技术管控和审核力度,保护用户人脸信息。对于用户来说,应提高个人信息保护意识,切勿贪图一时之快,要根据实际需求的必要性提供信息,在权益受损时及时维权。只有在企业自律自觉的配合下,通过立法进行监管,在发展科学技术与个人信息保护达到最佳的平衡点,既不会限制高新技术的发展,又能够保护好个人信息权益。
四、小结
“中国人脸识别第一案”虽然属于普通民事合同纠纷,但却备受社会各界关注,这是在大数据、人工智能、5G时代带来技术进步同时,又给我们个人信息安全带来不安和焦虑。随着科技的发展,对各种应用场景的人脸识别规范仍将任重道远,包括人脸信息、指纹等生物信息的人格权益,均应受到法律的保护和规制。
(作者:林木明,广东卓凡律师事务所)