最高法发布司法解释,规范人脸识别应用;商家不得强制索取非必要个人信息
最高法:经营场所滥用人脸识别属侵权
7月28日,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《规定》)发布,对经营场所滥用人脸识别技术、小区“刷脸”进门等问题作出明确规定。其中明确,对于违反单独同意,或者强迫、变相强迫自然人同意处理其人脸信息的,构成侵害自然人人格权益的行为。
《规定》自8月1日起施行。
近年来个人信息保护案件办理情况
●2017年6月至2021年6月
全国法院新收侵犯公民个人信息刑事案件10059件,审结9743件,生效判决人数21726人,对3803名被告人判处三年以上有期徒刑,比例达17.50%。
●2021年1月1日至6月30日
各级人民法院正式以个人信息保护纠纷案由立案的一审案件192件,审结103件。
近年来,侵犯公民个人信息犯罪处于高发态势,社会危害严重。《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》施行以来,各级人民法院立足审判职能,依法惩治侵犯公民个人信息犯罪,案件数量显著增长。
随着民法典贯彻实施的不断深入、《个人信息保护法》即将颁布实施,人民法院将进一步通过司法裁判筑起保卫人民群众个人信息权益的坚强司法屏障。
五类情形处理人脸信息可免责
在何种情况下,处理人脸信息可以免责?《规定》明确有下列情形之一,信息处理者主张其不承担民事责任的,人民法院依法予以支持。
(一)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息的;
(二)为维护公共安全,依据国家有关规定在公共场所使用人脸识别技术的;
(三)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息的;
(四)在自然人或者其监护人同意的范围内合理处理人脸信息的;
(五)符合法律、行政法规规定的其他情形。 信息来源/最高法
焦点1
商家不得强制索取非必要个人信息
对于滥用人脸识别技术处理人脸信息行为的性质和责任,《规定》从人格权和侵权责任角度明确。
最高人民法院副院长杨万明介绍,针对今年央视“3·15晚会”所曝光的线下门店在经营场所滥用人脸识别技术进行人脸辨识、人脸分析等行为,《规定》第2条明确,在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析,应当认定属于侵害自然人人格权益的行为。
长期以来,部分商家采用一次概括授权、与其他授权捆绑、“不同意就不提供服务”等方式强制索取非必要个人信息的问题突出,这既是广大用户的痛点,也是维权的难点。对此,《规定》第2条和第4条明确,处理自然人的人脸信息,必须征得自然人或者其监护人的单独同意,而不能通过一揽子告知同意等方式征得个人的同意;对于违反单独同意,或者强迫、变相强迫自然人同意处理其人脸信息的,构成侵害自然人人格权益的行为。
《规定》还提出,自然人有证据证明信息处理者使用人脸识别技术正在实施或者即将实施侵害其隐私权或者其他人格权益的行为,不及时制止将使其合法权益受到难以弥补的损害,向人民法院申请采取责令信息处理者停止有关行为的措施的,人民法院可以根据案件具体情况依法作出人格权侵害禁令。
焦点2
物业不得强制将“刷脸”作为进小区唯一验证方式
对于有小区使用人脸识别门禁系统的问题,最高法研究室副主任郭锋在回答记者提问时表示,最高法一直关注这一问题,前期也做了一些调研。调研中发现,群众关心小区物业安装人脸识别设备,集中在强制“刷脸”的问题上。人脸信息属于敏感个人信息,小区物业对人脸信息的采集、使用必须依法征得业主或者物业使用人的同意。只有业主或者物业使用人自愿同意使用人脸识别,对人脸信息的采集、使用才有了合法性基础。
对小区物业将“刷脸”作为进出小区唯一验证方式的做法,郭锋表示,这种行为违反“告知同意”原则。小区物业不能以智能化管理为由,侵害居民人格权益。
为此,《规定》第10条第1款专门明确:“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。”
郭锋解释,根据这一规定,小区物业在使用人脸识别门禁系统录入人脸信息时,应当征得业主或者物业使用人的同意,对于不同意的,小区物业应当提供替代性验证方式,不得侵害业主或物业使用人的人格权益和其他合法权益。
焦点3
让未成年人“刷脸”须征得监护人单独同意
郭锋表示,对于违法处理未成年人人脸信息的,在责任承担时依法予以从重从严,确保未成年人人脸信息依法得到特别保护。
郭锋介绍,伴随着人脸识别应用场景越来越广泛,未成年人的人脸信息被采集的场景也越来越多,既有线上的,也有线下的。如商场、小区、学校等场所安装的人脸识别系统,手机上带有人脸识别功能的APP软件,互联网上需要进行人脸验证的平台等。
“在这些个人信息中,人脸信息具有唯一性和不可更改性,我们可以换手机、可以换密码、可以换住址,但是我们没法 ‘换脸’。”郭锋表示,未成年人的人脸信息一旦泄露,侵权影响甚至可能伴随其一生,特别是技术歧视或算法偏见所导致的不公平待遇,会直接影响未成年人的人格发展。
据介绍,我国《未成年人保护法》《网络安全法》等法律对未成年人的网络保护作出了专门规定:如信息处理者处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意;未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的,信息处理者应当及时采取措施予以更正、删除,等等。从比较法的角度看,欧盟GDPR、美国《儿童网上隐私保护法》等对未成年人个人信息保护也作出了特别规定。
郭锋说,《规定》坚持最有利于未成年人原则,从司法审判层面加强对未成年人人脸信息的保护。按照告知同意原则,规定信息处理者处理未成年人人脸信息的,必须征得其监护人的单独同意。
新京报记者 沙雪良