商場開啟人臉識別攝像頭,信息被“無感”收集;小區(qū)啟用人臉識別門禁系統(tǒng),不同意不讓進;APP捆綁授權(quán)強制索取人臉信息,不確認不讓用……現(xiàn)在,這些行為都有可能構(gòu)成侵害自然人人格權(quán)益。針對人臉識別信息利用方式的“野蠻生長”,最高人民法院發(fā)布規(guī)定并于近日在全國施行,對經(jīng)營場所濫用人臉識別技術(shù)、小區(qū)“刷臉”進門等問題進行規(guī)范。那么,什么樣的行為構(gòu)成濫用人臉識別信息呢?普通群眾又該如何維權(quán)?
提問1_“人臉信息”在法律上如何界定?
北京市第一中級人民法院法官解讀_“臉面”對于一個人的重要性是不言而喻的,人臉信息首先涉及到個人的肖像,其次還包括了健康、年齡、心理等其他信息,一旦泄露或遭受侵權(quán),將會給個人的尊嚴、隱私、平等等權(quán)利帶來嚴重影響。那么,作為個人核心隱私的“臉面”,如何在法律上定性呢?
我國民法典對個人信息保護做出規(guī)定,所謂個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息等。人臉信息作為生物識別信息的一種,自然屬于民法典保護的個人信息范疇。
最高人民法院發(fā)布的《關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》(以下簡稱《規(guī)定》)正是對使用人臉識別技術(shù)處理個人信息問題的細化,對人臉識別所涉及的信息范圍、主要場景、處理流程均予以回應(yīng),為公眾獲得全面司法保護奠定了基礎(chǔ)。其中,第一條明確,處理“人臉信息”和“基于人臉識別技術(shù)生成的人臉信息”均是需要規(guī)制的對象。我們通常認為“人臉信息”是利用照相技術(shù)所抓取的原始人臉圖像,但實際上基于原始人臉圖像生成的人臉信息,同樣屬于《規(guī)定》所規(guī)范的對象,比如將人臉圖像按照一定算法生成的編碼以及其他特征數(shù)據(jù)等,均屬于“人臉信息”。
《規(guī)定》所應(yīng)用的場景不僅包括賓館、商場、銀行、車站、機場、體育場館、娛樂場所等公共場所,還包括了小區(qū)物業(yè)和線上應(yīng)用場景。此外,《規(guī)定》規(guī)制的是人臉信息處理的全流程,即收集、存儲、使用、加工、傳輸、提供、公開等。
提問2_商家、物業(yè)、APP的哪些行為違法?
北京市第一中級人民法院法官解讀_1、經(jīng)營門店“無感式”收集人臉信息違法。今年“3.15晚會”曝光了某些知名企業(yè)的門店在未經(jīng)同意的情況下,擅自采集進店消費者人臉信息,這些商家利用上述信息進行消費者性別、年齡、購買情況甚至心理的數(shù)據(jù)分析,目的在于針對不同的消費者采取不同的營銷策略。無獨有偶,某地還出現(xiàn)個別房地產(chǎn)開發(fā)商對目標客戶進行人臉識別和分析,導(dǎo)致客戶“戴頭盔看房”的奇葩現(xiàn)象。
對于這種“看人下菜碟”的行為,《規(guī)定》第二條中明確指出,在賓館、商場、銀行、車站、機場、體育場館、娛樂場所等經(jīng)營場所、公共場所違反法律、行政法規(guī)的規(guī)定使用人臉識別技術(shù)進行人臉驗證、辨識或者分析的情形屬于侵害自然人人格權(quán)益的行為。因此,商家不僅不應(yīng)違法使用采集到的人臉識別數(shù)據(jù)與存儲的人臉識別數(shù)據(jù)進行驗證、辨識,而且更不應(yīng)違法使用人臉識別數(shù)據(jù)分析個人的年齡、健康、情緒、心理等具有個人特征的信息。
2、物業(yè)強制要求驗證人臉信息進出小區(qū)違法。有的小區(qū)默默裝上了人臉識別系統(tǒng),并告知業(yè)主必須通過人臉識別才能進入小區(qū)。針對此種情形,《規(guī)定》第十條明確規(guī)定_“物業(yè)服務(wù)企業(yè)或者其他建筑物管理人以人臉識別作為業(yè)主或者物業(yè)使用人出入物業(yè)服務(wù)區(qū)域的唯一驗證方式,不同意的業(yè)主或者物業(yè)使用人請求其提供其他合理驗證方式的,人民法院依法予以支持。”因此,小區(qū)物業(yè)企業(yè)無權(quán)要求業(yè)主將人臉識別作為進出小區(qū)的唯一驗證方式,物業(yè)管理者如使用人臉識別門禁系統(tǒng),在錄入和使用人臉信息時應(yīng)當(dāng)征得業(yè)主或者物業(yè)使用人的明示同意,對于不同意將人臉識別信息作為唯一驗證方式的,小區(qū)物業(yè)應(yīng)當(dāng)提供替代性驗證方式。
3、應(yīng)用程序捆綁授權(quán)、強迫同意索取人臉信息違法。很多人在使用APP時可能都會遇到以下情況_一是要求用戶同意APP處理其人臉信息才提供服務(wù),否則立即閃退;二是以其他類型的授權(quán),比如讀取照片權(quán)限捆綁人臉信息權(quán)限來獲取用戶的同意。
針對上述“強取”行為,《規(guī)定》第四條指出,即使信息處理者已經(jīng)獲得自然人關(guān)于處理其人臉信息的同意,只要信息處理者有以下情形之一_要求自然人同意處理其人臉信息才提供產(chǎn)品或者服務(wù)的,但是處理人臉信息屬于提供產(chǎn)品或者服務(wù)所必需的除外;信息處理者以與其他授權(quán)捆綁等方式要求自然人同意處理其人臉信息的;強迫或者變相強迫自然人同意處理其人臉信息的其他情形,自然人的同意并不妨礙對信息處理者違法行為的追責(zé)。
4、泄露、篡改、丟失人臉信息違法。人臉信息并非完全被禁止收集,但是信息處理者要保證安全。因為人臉信息屬于高度敏感的個人信息,其生物識別屬性強、重復(fù)利用次數(shù)多,一旦泄露將會對個人的人身和財產(chǎn)安全造成極大危害。因此,對于人臉信息的收集、存儲、使用、加工、傳輸、提供的全流程均應(yīng)時刻注意信息的泄露、篡改和丟失問題。對此,《規(guī)定》中也明確指出,信息處理者未采取應(yīng)有的技術(shù)措施或者其他必要措施確保收集、存儲的人臉信息安全,致使人臉信息泄露、篡改、丟失以及違反法律、行政法規(guī)的規(guī)定或者雙方的約定,向他人提供人臉信息的情形,均構(gòu)成侵害人格權(quán)益的行為。
提問3_遇商家“索臉”要注意什么?
北京市第一中級人民法院法官解讀_利用人臉信息實施的侵害行為防不勝防,那么,普通消費者在面臨商家等索取人臉信息時應(yīng)該把握哪些關(guān)鍵點呢?
首先是“公示”規(guī)則。一般來說,信息主體的知情同意是信息處理者處理個人信息的合法來源。確保信息主體對個人信息享有信息自決權(quán),首當(dāng)其沖的就是確保知情權(quán),知情不僅是同意的前提,也是避免對個人信息濫用的基礎(chǔ)。
《規(guī)定》第二條第二項指出,未公開處理人臉信息的規(guī)則或者未明示處理的目的、方式、范圍,人民法院應(yīng)當(dāng)認定屬于侵害自然人人格權(quán)益的行為。當(dāng)面臨商家等信息處理者索取人臉信息時,一定要求商家將如何處理人臉信息等規(guī)則予以公開。如遇到未公開或未明示等情形,信息處理者就可能構(gòu)成侵犯人格權(quán)益。
其次,“單獨同意”與“強迫同意無效”規(guī)則。信息主體對個人信息享有信息自決權(quán)的另一個重要條件就是確保信息主體的同意權(quán)。“公示”規(guī)則解決的是知情問題;而“單獨同意”規(guī)則解決的是同意問題。
所謂“單獨同意”,是指個人能夠自主、自由、獨立地對人臉信息作出同意。換句話說,對人臉信息的處理,不能與其他個人信息的處理混在一起,獲得“一攬子同意”。對此,《規(guī)定》第二條第三項指出,基于個人同意處理人臉信息的,未征得自然人或者其監(jiān)護人的單獨同意,或者未按照法律、行政法規(guī)的規(guī)定征得自然人或者其監(jiān)護人的書面同意,人民法院應(yīng)當(dāng)認定屬于侵害自然人人格權(quán)益的行為。
以前我們常常遇到這種情況,即關(guān)于處理人臉信息的同意混合在冗長的隱私政策以及其他條款中,無法達到真正的知情同意效果。今后,在需要調(diào)用人臉識別信息的應(yīng)用程序首次開啟這一功能時,不得將同意條款穿插在其他條款中,而應(yīng)該通過彈窗或其他專門頁面的形式僅對同意獲取人臉信息的條款予以單獨展示,用戶必須通過點擊“同意”等主動性動作來表達同意處理個人信息的意愿。
如果遇到點擊“不同意”APP就不允許使用的情形,即符合上文所說的違法情形之一,屬于個人沒有其他選擇的困境,在非自愿條件下作出的個人同意。這時,即使信息主體點擊了“同意”,也不能視為人臉信息處理者獲得了真正的同意和有效授權(quán),這是“單獨同意”規(guī)則的延伸,即“強迫同意無效”規(guī)則。《規(guī)定》第四條明確_“有下列情形之一,信息處理者以已征得自然人或者其監(jiān)護人同意為由抗辯的,人民法院不予支持_信息處理者要求自然人同意處理其人臉信息才提供產(chǎn)品或者服務(wù)的,但是處理人臉信息屬于提供產(chǎn)品或者服務(wù)所必需的除外;信息處理者以與其他授權(quán)捆綁等方式要求自然人同意處理其人臉信息的;強迫或者變相強迫自然人同意處理其人臉信息的其他情形。”對于信息處理者采取不當(dāng)方式強迫或者變相強迫自然人同意處理其人臉信息的,應(yīng)予禁止。
最后,“無期限限制、不可撤銷等格式條款無效”規(guī)則。考慮到信息處理者一般是通過格式條款的方式來獲取信息主體的同意,這種格式條款在很大程度上剝奪了信息主體的自決權(quán),因此有必要加以限制。《規(guī)定》第十一條指出_“信息處理者采用格式條款與自然人訂立合同,要求自然人授予其無期限限制、不可撤銷、可任意轉(zhuǎn)授權(quán)等處理人臉信息的權(quán)利,該自然人依據(jù)民法典第四百九十七條請求確認格式條款無效的,人民法院依法予以支持。”
要求信息主體授予無期限限制、不可撤銷、可任意轉(zhuǎn)授權(quán)等處理人臉信息的權(quán)利的條款,明顯屬于民法典中所規(guī)定的“提供格式條款一方不合理地免除或者減輕其責(zé)任、加重對方責(zé)任、限制對方主要權(quán)利”的情形,應(yīng)屬無效。
提問4_濫用人臉識別技術(shù)要擔(dān)何責(zé)?
北京市第一中級人民法院法官解讀_《規(guī)定》還從人格權(quán)和侵權(quán)責(zé)任角度明確了濫用人臉識別技術(shù)處理人臉信息的性質(zhì)和責(zé)任,以及從物業(yè)服務(wù)、格式條款效力、違約責(zé)任承擔(dān)等角度對濫用人臉識別技術(shù)處理人臉信息進行了規(guī)定。因此,信息處理者濫用人臉識別技術(shù)有可能構(gòu)成人格權(quán)侵權(quán)責(zé)任、合同違約責(zé)任等。在侵權(quán)責(zé)任框架中,自然人受侵害的權(quán)益既包括個人信息權(quán)益,也包括肖像權(quán)、隱私權(quán)、名譽權(quán)等人格權(quán)及財產(chǎn)權(quán);在違約責(zé)任框架中,自然人可以按照約定請求信息處理者承擔(dān)相應(yīng)違約責(zé)任,同時可以要求信息處理者刪除人臉信息。
關(guān)于賠償?shù)姆秶磺謾?quán)人可以向侵權(quán)人主張侵犯其人格權(quán)益導(dǎo)致的財產(chǎn)損失,還可以主張對侵權(quán)行為進行調(diào)查、取證的合理費用,甚至可以將合理的律師費用計算在賠償范圍內(nèi)。
供圖_視覺我國
(原標題_人臉信息被“無感”收集如何維權(quán)?遇商家這樣“索臉”可拒絕)
來源_北京日報客戶端 | 發(fā)文人 袁京
流程編輯_u025
版權(quán)聲明_文本版權(quán)歸京報集團所有,未經(jīng)許可,不得轉(zhuǎn)載或改編。
