刷脸进站?她把铁路公司告了!
“刷脸进火车站”已经成为日常性操作,但被置于《个人信息保护法》《民法典》的法律天平之上,这样的操作真的没有问题吗?算不算“偷脸”呢?贵州的汪女士为大家较了个真,并且从法院讨来说法。
2021年11月25日,汪女士购票后,在贵阳东站进站时,按要求需要手持身份证、摘掉口罩刷脸进站。之后,她认为此举构成对其个人信息的侵害,于是向法院状告中国铁路成都局集团有限公司。2023年4月27日,成都铁路运输中级法院审理了此案,这也是全国首例公共交通领域使用人脸识别技术引发的个人信息侵权案件。
最终一审法院驳回汪女士有关“判令被告停止违法采集个人人脸信息”等诉请,不过,要求乘客刷脸虽不构成侵权,但是告知存在缺陷。
这个看起来有些“各打五十大板”的判决,其实有效倒逼了铁路系统向公众讲清楚,一直没有向公众原原本本交代的事——铁路刷走的那些“脸”,到底用到哪里去?
在这次诉讼中,铁路方面作为被告,拿出了中国铁道科学研究院对核验闸机人脸比对流程的说明,强调“刷脸过程中”,是“对比”证件照片和现场采集的乘客现场照片,“整个比对流程均离线完成,不保存任何照片”。
人脸是公民重要的生物识别信息,也是人格权的重要组成部分,一旦“丢脸”后果严重,法律必须保护“我的脸,我做主”的原则,更防止我们的脸被企业“不问而取”。
《民法典》及《个人信息保护法》都规定:收集公民个人信息要满足必要性原则;处理包括人脸在内的敏感个人信息,应当取得个人的单独同意。所谓“单独同意”是说,不能把关于脸的授权放在密密麻麻的卖票的格式合同里搞“打包同意”,必须单列出来征得同意。
这一次的“第一案”的判决厘定了公民个人信息保护和公共安全的边界,特别是明确铁路部门告知上的不足。
首先,判决明确铁路部门要求刷脸是有“尚方宝剑”的。目前,《反恐怖主义法》《铁路安全管理条例》等有关法规,授权铁路运输企业有基于维护公共安全对乘客进行“票、人、证”的核实。但是,这是铁路部门得到了法律授权,不是任何单位、小区都可以要求刷脸。
所以在诉讼中,铁路方面还特意强调,他们的刷脸是“对比”,有别于公众所熟悉的动物园刷脸入园、小区刷脸进门,而且还特别强调铁路的“闸机不具备储存功能”,这样一来也就意味着,铁路部门不需要按《个人信息保护法》对于收集来的个人信息承担相应存储、保护的义务。
其次,哪怕有公共安全的“尚方宝剑”,判决依然认为,这没有豁免铁路部门告知、提示义务,因为这同样也是法律规定。《个人信息保护法》第十七条规定:个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称。
所以,这次判决之后,法院直接向铁路部门送达了司法建议书。中国国家铁路集团有限公司复函表示,立即推动全国铁路运输企业及时采取更新网站、优化设备等措施,履行人脸信息采集告知义务。
感谢汪女士对自己的“脸”较真,个人信息保护需要有人经常敲钟,法律之光才能更好照进生活当中。
南方都市报(nddaily)、N视频报道
南都评论(作者:沈彬)