商场开启人脸识别摄像头,信息被“无感”收集;小区启用人脸识别门禁系统,不同意不让进;APP捆绑授权强制索取人脸信息,不确认不让用……现在,这些行为都有可能构成侵害自然人人格权益。针对人脸识别信息利用方式的“野蛮生长”,最高人民法院发布规定并于近日在全国施行,对经营场所滥用人脸识别技术、小区“刷脸”进门等问题进行规范。那么,什么样的行为构成滥用人脸识别信息呢?普通群众又该如何维权?

提问1:“人脸信息”在法律上如何界定?

北京市第一中级人民法院法官解读:“脸面”对于一个人的重要性是不言而喻的,人脸信息首先涉及到个人的肖像,其次还包括了健康、年龄、心理等其他信息,一旦泄露或遭受侵权,将会给个人的尊严、隐私、平等等权利带来严重影响。那么,作为个人核心隐私的“脸面”,如何在法律上定性呢?

我国民法典对个人信息保护做出规定,所谓个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息等。人脸信息作为生物识别信息的一种,自然属于民法典保护的个人信息范畴。

最高人民法院发布的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《规定》)正是对使用人脸识别技术处理个人信息问题的细化,对人脸识别所涉及的信息范围、主要场景、处理流程均予以回应,为公众获得全面司法保护奠定了基础。其中,第一条明确,处理“人脸信息”和“基于人脸识别技术生成的人脸信息”均是需要规制的对象。我们通常认为“人脸信息”是利用照相技术所抓取的原始人脸图像,但实际上基于原始人脸图像生成的人脸信息,同样属于《规定》所规范的对象,比如将人脸图像按照一定算法生成的编码以及其他特征数据等,均属于“人脸信息”。

《规定》所应用的场景不仅包括宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等公共场所,还包括了小区物业和线上应用场景。此外,《规定》规制的是人脸信息处理的全流程,即收集、存储、使用、加工、传输、提供、公开等。

提问2:商家、物业、APP的哪些行为违法?

北京市第一中级人民法院法官解读:1、经营门店“无感式”收集人脸信息违法。今年“3.15晚会”曝光了某些知名企业的门店在未经同意的情况下,擅自采集进店消费者人脸信息,这些商家利用上述信息进行消费者性别、年龄、购买情况甚至心理的数据分析,目的在于针对不同的消费者采取不同的营销策略。无独有偶,某地还出现个别房地产开发商对目标客户进行人脸识别和分析,导致客户“戴头盔看房”的奇葩现象。

对于这种“看人下菜碟”的行为,《规定》第二条中明确指出,在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析的情形属于侵害自然人人格权益的行为。因此,商家不仅不应违法使用采集到的人脸识别数据与存储的人脸识别数据进行验证、辨识,而且更不应违法使用人脸识别数据分析个人的年龄、健康、情绪、心理等具有个人特征的信息。

2、物业强制要求验证人脸信息进出小区违法。有的小区默默装上了人脸识别系统,并告知业主必须通过人脸识别才能进入小区。针对此种情形,《规定》第十条明确规定:“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。”因此,小区物业企业无权要求业主将人脸识别作为进出小区的唯一验证方式,物业管理者如使用人脸识别门禁系统,在录入和使用人脸信息时应当征得业主或者物业使用人的明示同意,对于不同意将人脸识别信息作为唯一验证方式的,小区物业应当提供替代性验证方式。

3、应用程序捆绑授权、强迫同意索取人脸信息违法。很多人在使用APP时可能都会遇到以下情况:一是要求用户同意APP处理其人脸信息才提供服务,否则立即闪退;二是以其他类型的授权,比如读取照片权限捆绑人脸信息权限来获取用户的同意。

针对上述“强取”行为,《规定》第四条指出,即使信息处理者已经获得自然人关于处理其人脸信息的同意,只要信息处理者有以下情形之一:要求自然人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外;信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的;强迫或者变相强迫自然人同意处理其人脸信息的其他情形,自然人的同意并不妨碍对信息处理者违法行为的追责。

4、泄露、篡改、丢失人脸信息违法。人脸信息并非完全被禁止收集,但是信息处理者要保证安全。因为人脸信息属于高度敏感的个人信息,其生物识别属性强、重复利用次数多,一旦泄露将会对个人的人身和财产安全造成极大危害。因此,对于人脸信息的收集、存储、使用、加工、传输、提供的全流程均应时刻注意信息的泄露、篡改和丢失问题。对此,《规定》中也明确指出,信息处理者未采取应有的技术措施或者其他必要措施确保收集、存储的人脸信息安全,致使人脸信息泄露、篡改、丢失以及违反法律、行政法规的规定或者双方的约定,向他人提供人脸信息的情形,均构成侵害人格权益的行为。

提问3:遇商家“索脸”要注意什么?

北京市第一中级人民法院法官解读:利用人脸信息实施的侵害行为防不胜防,那么,普通消费者在面临商家等索取人脸信息时应该把握哪些关键点呢?

首先是“公示”规则。一般来说,信息主体的知情同意是信息处理者处理个人信息的合法来源。确保信息主体对个人信息享有信息自决权,首当其冲的就是确保知情权,知情不仅是同意的前提,也是避免对个人信息滥用的基础。

《规定》第二条第二项指出,未公开处理人脸信息的规则或者未明示处理的目的、方式、范围,人民法院应当认定属于侵害自然人人格权益的行为。当面临商家等信息处理者索取人脸信息时,一定要求商家将如何处理人脸信息等规则予以公开。如遇到未公开或未明示等情形,信息处理者就可能构成侵犯人格权益。

其次,“单独同意”与“强迫同意无效”规则。信息主体对个人信息享有信息自决权的另一个重要条件就是确保信息主体的同意权。“公示”规则解决的是知情问题;而“单独同意”规则解决的是同意问题。

所谓“单独同意”,是指个人能够自主、自由、独立地对人脸信息作出同意。换句话说,对人脸信息的处理,不能与其他个人信息的处理混在一起,获得“一揽子同意”。对此,《规定》第二条第三项指出,基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意,人民法院应当认定属于侵害自然人人格权益的行为。

以前我们常常遇到这种情况,即关于处理人脸信息的同意混合在冗长的隐私政策以及其他条款中,无法达到真正的知情同意效果。今后,在需要调用人脸识别信息的应用程序首次开启这一功能时,不得将同意条款穿插在其他条款中,而应该通过弹窗或其他专门页面的形式仅对同意获取人脸信息的条款予以单独展示,用户必须通过点击“同意”等主动性动作来表达同意处理个人信息的意愿。

如果遇到点击“不同意”APP就不允许使用的情形,即符合上文所说的违法情形之一,属于个人没有其他选择的困境,在非自愿条件下作出的个人同意。这时,即使信息主体点击了“同意”,也不能视为人脸信息处理者获得了真正的同意和有效授权,这是“单独同意”规则的延伸,即“强迫同意无效”规则。《规定》第四条明确:“有下列情形之一,信息处理者以已征得自然人或者其监护人同意为由抗辩的,人民法院不予支持:信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外;信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的;强迫或者变相强迫自然人同意处理其人脸信息的其他情形。”对于信息处理者采取不当方式强迫或者变相强迫自然人同意处理其人脸信息的,应予禁止。

最后,“无期限限制、不可撤销等格式条款无效”规则。考虑到信息处理者一般是通过格式条款的方式来获取信息主体的同意,这种格式条款在很大程度上剥夺了信息主体的自决权,因此有必要加以限制。《规定》第十一条指出:“信息处理者采用格式条款与自然人订立合同,要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利,该自然人依据民法典第四百九十七条请求确认格式条款无效的,人民法院依法予以支持。”

要求信息主体授予无期限限制、不可撤销、可任意转授权等处理人脸信息的权利的条款,明显属于民法典中所规定的“提供格式条款一方不合理地免除或者减轻其责任、加重对方责任、限制对方主要权利”的情形,应属无效。

提问4:滥用人脸识别技术要担何责?

北京市第一中级人民法院法官解读:《规定》还从人格权和侵权责任角度明确了滥用人脸识别技术处理人脸信息的性质和责任,以及从物业服务、格式条款效力、违约责任承担等角度对滥用人脸识别技术处理人脸信息进行了规定。因此,信息处理者滥用人脸识别技术有可能构成人格权侵权责任、合同违约责任等。在侵权责任框架中,自然人受侵害的权益既包括个人信息权益,也包括肖像权、隐私权、名誉权等人格权及财产权;在违约责任框架中,自然人可以按照约定请求信息处理者承担相应违约责任,同时可以要求信息处理者删除人脸信息。

关于赔偿的范围,被侵权人可以向侵权人主张侵犯其人格权益导致的财产损失,还可以主张对侵权行为进行调查、取证的合理费用,甚至可以将合理的律师费用计算在赔偿范围内。

(原标题:人脸信息被“无感”收集如何维权?遇商家这样“索脸”可拒绝)

(记者 袁京)

推荐内容