最高法发布司法解释规范人脸识别应用
今日,最高人民法院正式发布《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《规定》)。
据悉,这部司法解释,是人民法院深入贯彻习近平法治思想,坚持以人民为中心,维护自然人人格权益,保护人民群众“人脸”安全的重要规范性文件;是人民法院切实实施民法典,服务构建新发展格局,强化个人信息司法保护,促进数字经济健康发展的有力司法举措。这部司法解释的颁布实施,对最高人民法院指导各级人民法院正确审理相关案件、统一裁判标准、维护法律统一正确实施、实现高质量司法,具有重要而现实的意义。
制定出台《规定》的背景
人脸识别是人工智能的重要应用。近年来,随着信息技术飞速发展,人脸识别逐步渗透到人们生活的方方面面。大到智慧城市建设,小到手机客户端的登录解锁,都能见到人脸识别的应用。在国境边防、公共交通、城市治安、疫情防控等诸多领域,人脸识别技术发挥着巨大作用。
在为社会生活带来便利的同时,人脸识别技术所带来的个人信息保护问题也日益凸显。一些经营者滥用人脸识别技术侵害自然人合法权益的事件频发,引发社会公众的普遍关注和担忧。比如,有些知名门店使用“无感式”人脸识别技术在未经同意的情况下擅自采集消费者人脸信息,分析消费者的性别、年龄、心情等,进而采取不同营销策略。
又如,有些物业服务企业强制将人脸识别作为业主出入小区或者单元门的唯一验证方式,要求业主录入人脸并绑定相关个人信息,未经识别的业主不得进入小区。再如,部分线上平台或者应用软件强制索取用户的人脸信息,还有的卖家在社交平台和网站公开售卖人脸识别视频、买卖人脸信息等。因人脸信息等身份信息泄露导致“被贷款”“被诈骗”和隐私权、名誉权被侵害等问题也多有发生。甚至还有一些犯罪分子利用非法获取的身份证照片等个人信息制作成动态视频,破解人脸识别验证程序,实施窃取财产、虚开增值税普通发票等犯罪行为。上述行为严重损害自然人的人格权益,侵害其人身、财产等合法权益,破坏社会秩序,亟待进行规制。
人脸信息属于敏感个人信息中的生物识别信息,是生物识别信息中社交属性最强、最易采集的个人信息,具有唯一性和不可更改性,一旦泄露将对个人的人身和财产安全造成极大危害,甚至还可能威胁公共安全。据APP专项治理工作组去年发布的《人脸识别应用公众调研报告》显示,在2万多名受访者中,94.07%的受访者用过人脸识别技术,64.39%的受访者认为人脸识别技术有被滥用的趋势,30.86%受访者已经因为人脸信息泄露、滥用等遭受损失或者隐私被侵犯。这段时间,人脸识别成为热门词汇,社会公众对人脸识别技术滥用的担心不断增加,强化人脸信息保护的呼声日益高涨。
党中央高度重视个人信息保护工作。习近平总书记多次强调,要坚持网络安全为人民、网络安全靠人民,保障个人信息安全,维护公民在网络空间的合法权益,对加强个人信息保护工作提出明确要求。最高人民法院深入学习贯彻习近平法治思想,立足人民群众的现实需求,以问题为导向,充分发挥审判职能作用,主动回应人民关切和期待,严格依照《民法典》《网络安全法》《消费者权益保护法》《电子商务法》《民事诉讼法》等法律,吸收个人信息保护立法有关经验成果,在充分调研基础上制定了本司法解释,对人脸信息提供司法保护。
《规定》的主要内容
《规定》的起草,以习近平法治思想为指导,严格遵循民法典人格权编及相关法律的规定精神,坚持问题导向、需求导向,针对实践中反映较为突出的问题,从侵权责任、合同规则以及诉讼程序等方面规定了16个条文。现将重点内容介绍如下:
(一)关于适用范围 。《规定》第1条对适用范围做了明确规定。首先,《规定》适用于平等民事主体之间因使用人脸识别技术处理人脸信息所引起的相关民事纠纷。其次,信息处理者使用人脸识别技术处理人脸信息,或者虽然没有使用人脸识别技术但是处理基于人脸识别技术生成的人脸信息,均属于《规定》的适用范围。再次,涉及的责任承担既包括侵权责任,也包括违约责任,受侵害的权益既包括个人信息权益,也包括肖像权、隐私权、名誉权等人格权以及财产权。
(二)从人格权和侵权责任角度作出规定 。《规定》第2条至第9条主要从人格权和侵权责任角度明确了滥用人脸识别技术处理人脸信息行为的性质和责任。其中,第2条规定了侵害自然人人格权益行为的认定,针对今年“3.15晚会”所曝光的线下门店在经营场所滥用人脸识别技术进行人脸辨识、人脸分析等行为,以及社会反映强烈的几类典型行为,该条均予以列举,明确将之界定为侵害自然人人格权益的行为。针对部分商家采用一次概括授权、与其他授权捆绑、“不同意就不提供服务”等不合理手段处理自然人人脸信息的,第2条和第4条明确,处理自然人的人脸信息,必须征得自然人或者其监护人的单独同意;对于违反单独同意,或者强迫、变相强迫自然人同意处理其人脸信息的,构成侵害自然人人格权益的行为。第5条对民法典第1036条进行细化,明确了处理人脸信息的免责事由;第6条至第9条分别规定了举证责任、多个信息处理者侵权责任的承担、财产损失的范围界定以及人格权侵害禁令的适用等。
(三)从合同角度对重点问题予以回应 。《规定》第10条至第12条,主要从物业服务、格式条款效力、违约责任承担等角度对人民群众普遍关心的问题予以回应。针对物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式的,第10条明确,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。针对信息处理者通过采用格式条款与自然人订立合同,要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利的,第11条规定,自然人依据民法典第497条请求确认格式条款无效的,人民法院依法予以支持。第12条对自然人请求信息处理者承担违约责任并删除其人脸信息的情形作了规定。
此外,《规定》第13条、第14条,对相关诉讼程序进行细化规定。第15条至第16条,对涉及个人信息的死者人格利益保护、本司法解释的施行日期以及溯及力作出明确规定。
答记者问:
最高人民法院出台《规定》,是如何兼顾权益保护和价值平衡的?
最高人民法院副院长杨万明 :出台这个《规定》主要是对滥用人脸识别问题作出司法统一规定。“保护当事人合法权益,促进数字经济健康发展”是本《规定》的制定宗旨。《规定》在起草过程中紧紧围绕这一宗旨,既注重权益保护,又注重价值平衡。
在权益保护方面,除了刚才介绍的内容之外,《规定》还在如下方面强化对人脸信息的司法保护: 一是合理分配举证责任 。《规定》第6条依据现有举证责任的法律适用规则,以及民法典1035、1036等规定内容,充分考虑双方当事人的经济实力不对等、专业信息不对称等因素,在举证责任分配上课以信息处理者更多的举证责任。 二是合理界定财产损失范围 。除适用民法典1182条外,考虑到侵害人脸信息可能并无具体财产损失,但被侵权人为维权支付的相关费用却较大,如果不赔偿,将会造成被侵权人维权成本过高,侵权人违法成本较小的不平衡状态。第8条明确被侵权人为制止侵权行为所支付的合理开支以及合理的律师费用可作为财产损失请求赔偿。 三是积极倡导民事公益诉讼 。由于实践中受害者分散、个人维权成本高、举证能力有限等因素,个人提起诉讼维权的情况相对较少,而公益诉讼制度能够有效弥补这一不足。结合人民法院审理个人信息民事公益诉讼相关实践,《规定》第14条对涉人脸信息民事公益诉讼予以明确规定。
在价值平衡方面,一是注重个人利益和公共利益的平衡 。在依法保护自然人人脸信息的同时,第5条在吸收个人信息保护法立法精神的基础上,对民法典第1036条规定进行了细化,明确规定了使用人脸识别不承担民事责任的情形,比如,为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息的;再如,为维护公共安全,依据国家有关规定在公共场所使用人脸识别技术的,等等。同时,第5条通过“兜底条款”的规定,将其他免责事由适用引向民法典等法律。 二是注重惩戒侵权行为和促进数字经济发展的平衡 。《规定》充分考量人脸识别技术的积极作用,一方面规范信息处理活动,保护敏感个人信息,另一方面注重促进数字经济健康发展,保护人脸识别技术的合法应用。为了避免对信息处理者课以过重责任,妥善处理好惩戒侵权和鼓励数字科技发展之间的关系,《规定》第16条明确了本司法解释不溯及既往的基本规则,即:对于信息处理者使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息的行为发生在本规定施行前的,不适用本规定。
关于未成年人的人脸信息,《规定》是如何进行保护的?
最高人民法院研究室副主任郭锋 :习近平总书记指出:“全社会都要了解少年儿童、尊重少年儿童、关心少年儿童、服务少年儿童,为少年儿童提供良好社会环境。”“对损害少年儿童权益、破坏少年儿童身心健康的言行,要坚决防止和依法打击。”未成年人是国家的未来、民族的希望。未成年人的健康成长,关系亿万家庭的幸福安宁,关系社会的和谐稳定。
伴随着人脸识别应用场景越来越广泛,未成年人的人脸信息被采集的场景也越来越多,既有线上的,也有线下的。比如,商场、小区、学校等场所安装的人脸识别系统,手机上带有人脸识别功能的APP软件,互联网上需要进行人脸验证的平台,等等。由于未成年人身心发育尚未成熟,社会阅历有限,个人信息保护意识相对淡薄,加之对新生事物较为好奇,其人脸信息被采集的概率相对较大。据团中央最近发布的《2020年全国未成年人互联网使用情况研究报告》显示,2020年我国未成年网民规模达到1.83亿,个人信息未经允许在网上被公开的比例为4.9%。在这些个人信息中,人脸信息具有唯一性和不可更改性,我们可以换手机、可以换密码、可以换住址,但是我们没法“换脸”。未成年人的人脸信息一旦泄露,侵权影响甚至可能伴随其一生,特别是技术歧视或算法偏见所导致的不公平待遇,会直接影响未成年人的人格发展。
我国《未成年人保护法》《网络安全法》等法律对未成年人的网络保护作出了专门规定:如信息处理者处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意;未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的,信息处理者应当及时采取措施予以更正、删除,等等。从比较法的角度看,欧盟GDPR、美国《儿童网上隐私保护法》等对未成年人个人信息保护也作出了特别规定。
《规定》坚持最有利于未成年人原则,从司法审判层面加强对未成年人人脸信息的保护。按照告知同意原则,第2条第3项规定,信息处理者处理未成年人人脸信息的,必须征得其监护人的单独同意。关于具体年龄,可依据《未成年人保护法》《网络安全法》以及将来的《个人信息保护法》进行认定。从责任认定角度看,第3条在民法典第998条的基础上,对侵害人脸信息责任认定的考量因素予以细化,结合当前未成年人人脸信息保护现状,明确将“受害人是否未成年人”作为责任认定特殊考量因素,对于违法处理未成年人人脸信息的,在责任承担时依法予以从重从严,确保未成年人人脸信息依法得到特别保护,呵护未成年人健康成长。
当前,部分小区使用人脸识别门禁系统,引发了社会热议。《规定》第10条对此予以回应,能否详细介绍一下制定本条的考量因素?
最高人民法院研究室副主任郭锋 :关于部分小区使用人脸识别门禁系统的问题,我们一直在关注,前期也做了一些调研。伴随着人脸识别技术应用场景的不断丰富,一些小区引入人脸识别系统,用“刷脸”代替“刷卡”,可以说,这是新形势下小区物业管理的一种创新模式。当前,社会各界对此有不同看法。有意见认为,将人脸识别作为住户身份验证方式,是一种智能化管理,可以更精准识别出入小区人员,让小区管理更安全、更高效。也有意见认为,在录入人脸信息时,小区物业要求人脸信息和详细住址、身份信息相绑定,这些信息一旦泄露,可能给个人隐私造成损害。
调研中发现,群众关心小区物业安装人脸识别设备,集中在强制“刷脸”的问题上。人脸信息属于敏感个人信息,小区物业对人脸信息的采集、使用必须依法征得业主或者物业使用人的同意。只有业主或者物业使用人自愿同意使用人脸识别,对人脸信息的采集、使用才有了合法性基础。实践中,部分小区物业强制要求居民录入人脸信息,并将人脸识别作为出入小区的唯一验证方式,这种行为违反“告知同意”原则,群众质疑声较大。我们应该拥抱新科技,但同时也要尊重人格权益。小区物业不能以智能化管理为由,侵害居民人格权益。为此,《规定》第10条第1款专门规定:“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。”根据这一规定,小区物业在使用人脸识别门禁系统录入人脸信息时,应当征得业主或者物业使用人的同意,对于不同意的,小区物业应当提供替代性验证方式,不得侵害业主或物业使用人的人格权益和其他合法权益。
另外,为更好规范物业服务企业或者其他管理人,防止其将人脸信息泄露或者侵害业主或物业使用人隐私,第10条第2款又进一步明确:“物业服务企业或者其他建筑物管理人存在本规定第二条规定的情形,当事人请求物业服务企业或者其他建筑物管理人承担侵权责任的,人民法院依法予以支持。”这样就对业主及其他物业使用人的人脸信息形成全面保护。
当前,一些APP通过捆绑授权等不合理方式强制索取个人信息的现象较为突出。对此,《规定》是如何采取司法对策的?
最高人民法院研究室民事处处长陈龙业 :一段时间以来,部分移动应用程序(APP)通过一揽子授权、与其他授权捆绑、“不点击同意就不提供服务”等方式强制索取非必要个人信息的问题比较突出,这既是广大用户的痛点,也是维权的难点。
为从司法角度规范此类行为,更好保护人民群众合法权益,《规定》根据民法典第1035条,在吸收个人信息保护立法精神、借鉴域外做法的基础上,明确了以下处理人脸信息的规则:
一是单独同意规则 。由于人脸信息属于敏感个人信息,处理活动对个人权益影响重大,因此,在告知同意上,有必要设定较高标准,以确保个人在充分知情的前提下,合理考虑对自己权益的后果而作出同意。《规定》第2条第3项引入单独同意规则,即:信息处理者在征得个人同意时,必须就人脸信息处理活动单独取得个人的同意,不能通过一揽子告知同意等方式征得个人同意。
二是强迫同意无效规则。 基于个人同意处理人脸信息的,个人同意是信息处理活动的合法性基础。只要信息处理者不超出自然人同意的范围,原则上该行为就不构成侵权行为。自愿原则是民法典的基本原则之一,个人的同意必须是基于自愿而作出。特别是对人脸信息的处理,不能带有任何强迫因素。如果信息处理者采取“与其他授权捆绑”、“不点击同意就不提供服务”等做法,会导致自然人无法单独对人脸信息作出自愿同意,或者被迫同意处理其本不愿提供且非必要的人脸信息。为强化人脸信息保护,防止信息处理者对人脸信息的不当采集,《规定》第4条对处理人脸信息的有效同意采取从严认定的思路。对于信息处理者采取“与其他授权捆绑”、“不点击同意就不提供服务”等方式强迫或者变相强迫自然人同意处理其人脸信息的,信息处理者据此认为其已征得相应同意的,人民法院不予支持。第4条的规定不仅适用于线上应用,对于需要告知同意的线下场景也同样适用。
下一步,最高人民法院在个人信息保护方面还将采取哪些举措?
最高人民法院副院长杨万明 :个人信息保护关系到广大人民群众的切身利益,关系到数字经济的健康发展。最高人民法院将始终坚持以人民为中心,系统谋划,整体推进,持之以恒抓好个人信息司法保护各项工作。重点抓好以下几方面工作:
一是将个人信息司法保护融入民法典贯彻实施工作当中 。我们将认真贯彻落实习近平总书记重要讲话精神,不断加强涉及人格权保护特别是个人信息保护的民事审判工作和监督指导工作,积极回应社会关切。将个人信息保护作为民法典教育培训、普法宣传的重要内容,指导广大法官不断提高依法审理涉个人信息保护纠纷案件的司法能力和水平;采取喜闻乐见的形式,让民法典关于个人信息保护的规定精神真正走进人民群众心里。
二是全力配合做好《个人信息保护法》立法工作 。立足人民法院工作职责,不断总结审判实践经验,紧紧围绕个人信息保护法草案内容,积极向立法机关建言献策。《个人信息保护法》颁布后,人民法院将认真做好贯彻实施工作,确保《个人信息保护法》的新精神、新理念在审判执行工作中落地落实落细。
三是切实加强个人信息司法保护的统一法律适用工作 。我们将紧紧围绕民法典规定精神,坚持问题导向,加大调研力度,及时制定或完善其他个人信息保护民事司法解释。充分发挥一个案例胜过一打文件的优势,加大个人信息保护方面的指导性案例、典型案例发布力度,切实加强对下业务指导。开展个人信息司法保护专项调研,密切关注司法实践中个人信息保护所遇到的新情况、新问题,认真总结提炼规律性、经验性成果,确保法律规则的统一正确适用。
四是持续加强对个人信息刑事犯罪的打击力度 。全国法院要保持高压态势,坚持依法严惩不放松,进一步加强对相关案件的审判工作,通过依法严惩侵犯公民个人信息及相关犯罪,切实维护人民群众的个人信息安全和财产、人身权益,促进完善国家和社会治理。
责任编辑:蔺弦弦