規制人臉識別之路仍任重道遠 ——從“中國人臉識別第一案”談起
本文轉自【中國律師網】;
近日,被譽為“中國人臉識別第一案”的一審判決塵埃落定,備受爭議的人臉識別相關合法性事宜在判決中獲得回應,一審法院最終支持了原告郭某的部分訴訟請求。該案喚醒社會大眾對人臉識別等生物特徵的個人信息保護之重視,警示信息收集者、處理者審慎使用生物信息等方面意義重大,為我國個人信息保護添上濃墨重彩的一筆。下面筆者對本案作出梳理及法律分析,以供大家交流、學習。
一、“中國人臉識別第一案”的基本情況及爭議焦點
(一)案情介紹
2019年4月27日,郭某陪伴妻兒到某野生動物世界(下稱動物園)遊玩時,購買了一張動物園的雙人年卡,確定是以指紋識別方式入園,並留存了郭某及其妻子的姓名、身份證號碼、電話號碼等,同時錄入了指紋、拍照。後該動物園引進人臉識別技術,並將之用於年卡用户的入園檢票。郭某隨後收到動物園發來的一則短信,告知未經啓用人臉識別將無法入園。郭某不同意被採集人臉信息,要求退卡、退費,但遭到拒絕。於是原告郭某對被告杭州野生動物世界有限公司(下稱野生動物公司)提起訴訟。
2020年11月20日,杭州市富陽區人民法院(下稱一審法院)就本案公開開庭,並宣判如下:被告野生動物公司賠償原告郭某合同利益損失及交通費共計人民幣1038元,刪除原告郭某辦理指紋年卡時提交的包括照片在內的面部特徵信息,同時駁回原告郭某提出的確認動物園店堂告示、短信通知中相關內容無效等其他訴訟請求。
(二)裁判要旨
本案原、被告雙方因購買遊園年卡而形成服務合同關係,後因入園方式變更引發糾紛,其爭議焦點實為對經營者處理消費者個人信息,尤其是指紋和人臉等個人生物識別信息行為的評價和規範問題。我國現行法律規定雖未禁止個人信息在消費領域的收集、使用,但強調對個人信息處理過程中的監督和管理,即:個人信息的收集要遵循合法、正當、必要的原則以及徵得當事人的同意;個人信息的利用要遵循確保安全原則,不得泄露、出售或者非法向他人提供;個人信息被侵害時,經營者需承擔相應的侵權責任。本案一審法院作出上述判決,其裁決依據主要有:
第一,消費者知情權與個人信息自主決定權,未受侵害。本案中,郭某在辦理年卡時,系自行決定提供指紋等個人信息而成為年卡客户的。野生動物公司未對消費者作出不公平、不合理的其他規定,因此客户的消費知情權和對個人信息的自主決定權並未受到侵害。
第二,野生動物公司單方變更合同,屬違約行為。野生動物公司在經營活動中使用指紋識別、人臉識別等生物識別技術,其行為本身並未違反前述法律規定的原則要求。但是,野生動物公司在合同履約期間,將原指紋識別入園方式變更為人臉識別方式,屬於單方變更合同,該做法不構成雙方合同內容,對原告郭某不具有法律效力,因此郭某作為守約方,有權要求野生動物公司承擔相應法律責任。
第三,野生動物公司採集原告照片信息,不具有正當性。 原告郭某在辦理年卡時,合同約定以指紋識別方式入園,動物園採集郭某及其妻子的照片信息,超出了法律意義上的必要原則,故不具有正當性。
第四,一審法院在審理過程中,未發現野生動物公司對原告郭某實施欺詐行為。
(三)爭議焦點
由於案涉人臉識別技術在國內並無先例,本案也被稱為“中國人臉識別第一案”。雖然本案案情並不複雜,卻涉及人臉識別技術不可濫用的原則。在筆者看來,任何技術都不全然安全和完美,科技應以人們美好生活為導向,在實踐中不斷完善。可是,從本案延伸出來的法律對個人信息保護的規制問題卻值得深思,個人信息收集要遵循合法、正當、必要的原則,可到底何種情況下可以收集人臉識別信息?如何界定自然人對個人信息的“知情”範圍?我們能否拒絕密佈大街小巷的攝像對人臉的採集分析呢?
二、人臉識別技術的法律規制
人臉識別技術主要來源生物特徵加密技術基礎上發展而來的,具有無接觸、交互性強、高效迅速、符合人類識別習慣等特徵。簡言之,人臉識別技術可以通過面部特徵的分析精準地確定個體身份信息,只要你的臉暴露在識別系統,就能精準地識別你的身份信息,應用上具有超高的便利價值。我國人臉識別技術主要應用領域有: 一是支付領域。例如支付寶的“刷臉購物”;二是教育領域。如考場中識別考生的身份,杜絕替考等違法違規行為,肅清考風;三是公共安全領域。在車站、廣場等人流密集場所用以統計人流量,防止擁堵、踩踏等事件發生;四是司法安防領域。通過人臉識別狙擊犯罪嫌疑人的行蹤,使其難逃法網。
可見,人臉識別的應用日益廣泛,那麼有關人臉識別的規定如何?筆者通過梳理涉及照片採集和生物信息採集之法律規制,主要包括《居民身份證法》《護照法》《出入境管理法》《反恐怖主義法》《網絡安全法》《信息安全技術個人信息安全規範》等規定。但是,上述規定並沒有涉及到人臉識別,且規定也過於簡單,缺乏統一的適用標準,可以説現行立法對人臉識別信息的行政監管尚存空白。事實上,人臉屬於典型的個人信息,人臉識別信息因其不可更改性、無接觸性,一旦發生泄露或是被非法提供、濫用的,極易危害到消費者人身安全和財產安全,必須對人臉信息予以保護。
三、案件評析
目前,一審法院已作出前述民事判決,後續各方當事人是否提起上訴,本案是否進入二審法院審理,我們將繼續關注案件的進展。在筆者看來,根據檢索到的公開信息,一審法院並未進一步對被告收集個人信息的正當性、必要性範圍進行論述。僅從合同來看, 一審法院認為雙方已經就指紋入園方式達成合意,後續野生動物公司單方變更為人臉識別是超過必要的,即一審法院是以違約行為作出判決結果,當然合法合理。但一審法院並未對野生動物公司要求刷臉的正當性做出法律評價,甚至在民事判決中認為,野生動物公司在經營中使用指紋識別、人臉識別等生物技術的行為並未違反前述法律規定。而現實司空見慣的是,某些企業和APP在提供服務時直接要求“刷臉”通過,並且在合同中予以明確約定,消費者迫於無奈也同意了。換個場景,如果本案動物園在辦卡時就要求“刷臉入園”,並且郭某也同意,又會出現何種審理結果呢? 此時就回到爭議的焦點,那就是不同主體收集、使用人臉信息的合法性、正當性和必要性邊界到底在哪裏?
首先,關於信息採集的目的。隨着我國對個人信息保護的重視,個人信息立法正快馬加鞭。如即將於2021年1月1日施行的《民法典》就明確規定個人信息受法律保護。其中,對於公共利益實施新聞報道、輿論監督等可以合理使用個人的姓名、肖像等信息。正在緊鑼密鼓草擬的《個人信息保護法(草案)》第27條也規定“在公共場所安裝圖像採集、個人身份識別設備,應當為維護公共安全所必需的。”可見,以公共利益為目的採集個人信息具有法定的合理性和正當性,如前述提到人臉識別應用於司法安防領域。但是對於公共利益以外的目的,比如僅是為了購物消費,其正當性、必要性如何界定。筆者認為,應當遵循最小比例的原則,人臉識別不是不能用,而是能不用就不用,具體情況可結合實際的情形、可供選擇的途徑等進行綜合判斷。比如“小區刷臉入園”,一張門禁卡可以解決的事情,又是否必須得“用臉”呢?
其次,關於信息採集主體。《民法典》第111條明確規定任何組織或個人收集個人信息的,應依法獲取並確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。可見,法律並未對信息採集的主體作出限制,只是通過增設義務來規制,明確規定合法、正當和必要的原則。第一,採集信息應取得本人的同意,但法律、行政法規另有規定除外,即“我的臉我做主!”其次,應公開處理信息的規則及明示處理信息的目的、方式和範圍,比如人臉識別的目的、應用範圍及儲存方式等。最後,以兼顧法律強制性和意思自治為落腳,不得違反法律、行政法規規定和雙方約定。該規定無疑對採集者提出了更高的要求,但又顯得過於抽象。另一方面,這也是圍繞自然人的同意權、知情權和保密權展開的。對此,《民法典》還特別規定政府等行政職能管理部門、醫院等特殊主體對個人信息保護的義務,不得泄露個人信息。否則,不管是個人還是其他組織,都將可能構成侵權。
最後,關於信息風險防範。技術創新的本質是改變生活方式,服務於消費者,但前提條件是不能損害消費者利益,更不能突破法律的底線。從技術服務的應然目的,保護個人信息正當性、必要性要做好個人信息的風險防範。具體而言,包括科技企業在內的信息採集者,應當自覺堅守倫理道德,加強技術管控和審核力度,保護用户人臉信息。對於用户來説,應提高個人信息保護意識,切勿貪圖一時之快,要根據實際需求的必要性提供信息,在權益受損時及時維權。只有在企業自律自覺的配合下,通過立法進行監管,在發展科學技術與個人信息保護達到最佳的平衡點,既不會限制高新技術的發展,又能夠保護好個人信息權益。
四、小結
“中國人臉識別第一案”雖然屬於普通民事合同糾紛,但卻備受社會各界關注,這是在大數據、人工智能、5G時代帶來技術進步同時,又給我們個人信息安全帶來不安和焦慮。隨着科技的發展,對各種應用場景的人臉識別規範仍將任重道遠,包括人臉信息、指紋等生物信息的人格權益,均應受到法律的保護和規制。
(作者:林木明,廣東卓凡律師事務所)