查看原文
其他

法官和大V告诉你:怎样让刷脸既便利又安全

杨书培 李璇 最高人民法院司法案例研究院 2024-04-16

10月13日晚,@人民法院报 首次微博连麦直播,聚焦人脸识别话题#我脸由我不由天#,一起解读人脸识别典型案例,支招如何守护人脸安全。@杭法观微 @苏州吴中法院 办案法官与法律大V@法山叔 在线分享,人民法院新闻传媒总社记者李璇主持。


本次直播时长约40分钟,开播后一小时内累计观看次数达56.4万次,直播话题#我脸由我不由天#登上微博要闻榜互动反响热烈


连麦嘉宾:


“人脸识别第一案” 二审主审法官、浙江省杭州市中级人民法院法官韩圣超。


“不刷脸不让进小区”案 主审法官、江苏省苏州市吴中区人民法院法官杜荣尚。


微博知名法律大V @法山叔。


一、“人脸识别第一案”中消费者与动物园矛盾焦点是什么?如何结案?


@杭法观微:韩圣超

该案系因经营者收集、使用消费者生物识别信息验证身份引发的服务合同纠纷。消费者向动物园购买了双人年卡,留存相关个人身份信息,并录入指纹和拍照。之后动物园将年卡入园方式由指纹识别调整为人脸识别,并向消费者发送短信通知相关事宜,要求其进行人脸激活,双方协商未果,遂引发纠纷。


双方之间的矛盾焦点包括:店堂告示的效力应如何认定;动物园是否存在违约和欺诈行为;消费者能否要求动物园删除已收集的个人信息。


二审经审理认为:消费者在知悉动物园指纹识别店堂告示内容的情况下,自主作出办理指纹年卡的决定并提供相关个人信息,涉及指纹识别的店堂告示对双方均具约束力。年卡服务模式是动物园在保留传统单次购票入园方式基础上,基于自身商业经营需要所采取的营销方式。因年卡具有特定的人身属性,生物识别技术又具有准确度高、使用便捷等客观优势,故动物园通过店堂告示告知消费者办理年卡需收集、使用指纹信息用于入园身份验证。


消费者知情后同意办理指纹年卡,其选择权并未受到限制或侵害。故指纹识别店堂告示不符合格式条款无效的法定情形。而人脸识别店堂告示,系动物园针对指纹年卡升级后面向新办卡用户发出的要约,加之消费者并未同意激活人脸信息,故该店堂告示并非双方的合同条款,对消费者不发生效力。动物园未告知其他辅助入园方式等行为,不符合欺诈的构成要件。


但动物园擅自将入园方式由指纹识别变更为人脸识别,构成违约,应当赔偿消费者合同利益损失及合理的交通费损失。消费者在办卡时同意拍摄照片系为了配合指纹年卡的使用,嗣后动物园要求消费者激活人脸识别,实际上是欲利用收集的照片扩大信息处理范围,不仅超出事前收集目的,也表明其存在侵害消费者人格利益的可能与危险,故应当删除消费者办卡时提交的包括照片在内的人脸信息。


鉴于动物园停止使用指纹识别闸机,致使原约定的入园服务方式无法实现,亦应当删除与该项服务相对应的指纹信息。据此,二审在原判决删除人脸信息的基础上增判删除指纹信息。


需要说明的是,该案审理时,个人信息保护法正在起草,人脸识别司法解释尚未制定,该案是依据合同法、消费者权益保护法等现行法律作出的判决。


二、“不刷脸不让进小区”物业纠纷案件中业主的诉求是什么?最终如何结案?


@苏州吴中法院 杜荣尚

业主诉求是要求物业公司排除妨碍,提供除刷脸之外的其他非生物信息门禁系统,方便业主自由出入小区。


此案中,法院并没有采取“坐堂问案”方式,承办法官第一时间组织双方查勘了现场,详细了解了案件情况,根据当时刚刚通过的人脸识别司法解释第十条规定,业主的诉求具有事实和法律依据,要求物业公司进行改进。


物业公司在法院的介入下认识到自身存在违法情况,专门在人脸识别系统上增设了刷卡功能;之后,法院再次组织双方至现场完成了刷卡通行测试,同时物业公司当场将门禁卡交付给业主。双方握手言和,业主当场撤诉,至此案结事了。


三、女生爱自拍发照片,也会泄露个人信息?有哪些潜在风险?


@法山叔

首先,人脸是个人信息的一部分。根据民法典1034条的规定,受法律保护的个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,其中包括生物识别信息。而人脸信息就属于“生物识别信息”的范畴。因此,女生发自拍照片,其实就等于将个人的这部分生物识别信息进行了公开展示。


在社交平台发自拍也是有风险的。比如电视剧三叉戟中,民警的女儿在网上公开自己的照片被不法分子印成了招嫖小卡片,由此引发了很多误会;再比如现在有很多AI换脸app,明星的人脸也在非经同意的情况下频繁被换,诸如此类的素材很多人直接就摘取下来使用了。总而言之,当你将自己的人脸进行公开展示时,客观上,你就多了一份人脸信息被第三人未经授权进行使用的风险。


需要强调的是,在合法框架内上传自拍照片是每个人的基本权利,权衡要不要做一件事,不是看它有没有风险,而是看风险发生的概率和后果自己是否能接受。目前来看,我认为发自拍的风险总体是在可接受的范围内。


但随着人脸识别技术的不断运用,它开始进入诸多生活场景。比如进小区要人脸识别,支付要人脸识别,甚至开家门也可人脸识别。当人脸识别的应用场景越来越多时,一旦面部信息被他人盗用,随之产生的风险也就越来越大,并且这部分风险光靠法律是无法规避的。法律作为一种事后救济,有时很难防患于未然。所以此时企业更要对自己技术的成熟与升级承担产品责任。


四、信息处理者的哪些行为会被认定侵害人格权益呢?



@杭法观微:韩圣超

民法典规定处理个人信息应当遵循“合法、正当、必要原则”,并构建了以“告知—同意”为核心的处理个人信息的行为规范。个人信息保护法对处理个人信息的原则和规则作出了更加具体的规定,并以单独章节对敏感个人信息的处理规则作出规定,强化对敏感个人信息的保护。最高院制定了专门的人脸识别司法解释。结合上述法律、司法解释的规定,信息处理者处理人脸信息有下列情形之一的,应当认定属于侵害自然人人格权益的行为:


①在特定经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析;


实践中,宾馆、商场、银行、体育场馆、娱乐场所等场所滥用人脸识别技术处理人脸信息的问题较为突出。今年央视的3.15晚会中就曝光了多家知名品牌的线下商店安装人脸识别摄像头,在顾客不知情的情况下,采集顾客人脸信息,用于精准营销。一度冲上“热搜”的戴头盔看房案例也是类似情形,售楼处的摄像头并无任何关于人脸识别的提示。


②未公开处理人脸信息的规则或者未明示处理的目的、方式、范围;


公开透明原则是信息主体知情同意的保障,只有让信息主体充分知悉处理个人信息的规则、目的、方式和范围,了解个人信息被处理的后果和可能的影响,才可以确保信息主体的意思判断是自主、真实和合理的。


③基于个人同意处理人脸信息的,未征得信息主体的单独同意,或者未按照法律、行政法规的规定征得信息主体的书面同意;


单独同意是相对于概括同意、一揽子同意而言的,书面同意则是要求同意采取书面化的形式。


④违反信息处理者明示或者双方约定的处理人脸信息的目的、方式、范围等;


人脸识别第一案中,动物园欲将照片扩大处理范围,处理成人脸信息,即属于该类违法情形。


⑤未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全,致使人脸信息泄露、篡改、丢失;


比如,实践中,因为信息处理者未履行个人信息安全保障义务,导致个人信息泄漏的事件就时有发生。


⑥违反法律、行政法规的规定或者双方的约定,向他人提供人脸信息;


⑦违背公序良俗处理人脸信息;


⑧违反合法、正当、必要原则处理人脸信息的其他情形。


随着信息科技的发展,人脸信息应用的场景将越来越广泛,故法律作此兜底条款的规定。信息处理者使用人脸识别技术处理人脸信息,虽未落入上面列举的具体情形,但若违反合法、正当、必要原则,仍然会被认定为侵害自然人的人格权益。


五、个人信息保护法及人脸识别司法解释,如何规范人脸识别应用?


@法山叔

首先关于个人信息保护法,除了明确个人信息的概念外,其亮点一是明确了个人信息的处理规则和保护范围;二是对不同个人信息进行不同程度的保护。


比如在该法第二章中就明确规定了个人信息处理者要处理个人信息需取得个人的同意,且第十六条规定了,除非有关信息必需,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务。此前某些APP就有类似的霸王条款,用户若不同意提供个人信息,就不能使用APP,但现在这些招数就不好使了。


其次,个人信息保护法还将一部分个人信息明确为敏感个人信息。比如生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹,以及不满14周岁未成年人的信息;并规定只有在具有特定目的和充分必要性并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息,并且需要取得个人单独同意。这些都是个人信息法的亮点。


最高法人脸识别司法解释则主要对人脸识别案件进行具体司法工作指导,包括举证责任的承担方式、侵权者承担侵权责任的具体适用等内容。这样既为法院正确审理使用人脸识别技术处理个人信息明确了方向,同时也利于保护当事人合法权益,促进数字经济健康发展。


六、常见的人脸识别技术纠纷?


@苏州吴中法院:杜荣尚

目前人脸识别技术应用已经十分广泛,物业公司以人脸识别技术作为出入物业服务区域的验证方式就是典型的运用场景。类似各种场合都会采用人脸设别技术。


除此之外产生的纠纷,如今年“3.15”晚会曝光的,某些知名门店使用“无感式”人脸识别技术在未经同意的情况下擅自采集消费者人脸信息,分析消费者的性别、年龄、心情等,进而采取不同营销策略。


再如,部分线上平台或者应用软件强制索取用户的人脸信息,或采用格式条款与用户订立合同,要求用户授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利,这些都会引发纠纷。


七、APP强制采集人脸信息的“捆绑条款”是否侵犯用户权益?APP应当注意哪些边界?


@杭法观微:韩圣超

“与其他授权捆绑”“不点击同意就不提供服务”,实际上是信息处理者违反自愿原则获取自然人同意处理其人脸信息。最高法人脸识别司法解释第4条对此作出明确规定,强迫或者变相强迫自然人同意处理其人脸信息,不能成为信息处理者合法处理信息的抗辩,构成对用户权益的侵犯。


人脸信息作为自然人的生物识别信息,属于敏感个人信息范畴。相比其他生物识别信息而言,人脸信息呈现出敏感度高,采集方式多样、隐蔽和灵活的特性,不当使用将给公民的人身、财产带来不可预测的风险,更应当严格保护和谨慎处理。


手机APP使用人脸识别技术时,应当严格遵循相关法律法规和国家标准(比如个人信息保护法、人脸识别司法解释及个人信息安全规范等)。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,信息处理者方可处理人脸信息。


实践中,尤其要注意以下方面:


①评估人脸识别技术应用的必要性,个人身份核验准确性不会影响到个人重大利益或者社会公共利益的,可优先考虑不使用人脸识别技术;


不宜将人脸识别技术设置为唯一的身份核验手段,不应强制要求或频繁推荐用户开通基于人脸识别的相关功能;


③以显著方式、清晰易懂的语言向用户明示人脸信息处理的目的、方式、范围以及规则,并告知处理人脸信息的必要性以及对个人权益的影响;


④未经用户单独同意或法律法规授权,不得通过高清摄像头等擅自采集人脸信息


⑤采取必要的技术措施和组织措施保障人脸信息安全,防止人脸信息被非法处理以及发生泄露、毁损、丢失。


八、对未成年人人脸信息,法律是否有特殊保护?第三方在采集或使用的过程中应注意?



@法山叔:

针对未成年人人脸信息,法律确有特殊规定,且更加全面和严格。


比如个人信息保护法第二十八条明确规定了,未满14周岁的未成年人的个人信息属于敏感信息。据规定,必须在有特定目的和充分必要性前提下才能处理;并且,处理未满十四周岁未成年人个人信息的,应当制定专门的信息处理规则,还应当取得其父母或其他监护人的同意。


因此第三方在采集过程中需要注意两点:第一,防沉迷机制。在用户协议里对未满14周岁的未成年人有没有单独的条款约定;第二,有关条款除了未成年人本人认可外,其监护人是否认可。以上都是法律合规的要求。


九、人脸信息遭泄露、被非法使用,应如何收集证据并维权?



@苏州吴中法院:杜荣尚

法律依据有民法典有关人格权保护规定,人脸识别司法解释规定,以及即将施行的个人信息保护法规定。


可以向人民法院提起诉讼,也可以向履行个人信息保护职责的部门投诉、举报等。如自然人有证据证明信息处理者正在实施或即将实施侵害隐私或其他人格权益行为,不及时制止将使其合法权益受到难以弥补的损害,可以向人民法院申请人格权侵害禁令


由于人脸识别技术具有较强的技术性和专业性,实践中,使用人脸识别技术处理人脸信息的有关证据一般均由信息处理者掌握,而用户对于信息处理者如何处理信息并不了解,让用户承担信息处理者信息处理行为违法的证明责任,将面临知识和信息上的障碍。


因此个人信息保护法第六十九条规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。因此在收集证据时尽量能够掌握侵权方或交易对方主体信息,以便信息处理者说明自己是否存在过错。有时可以委托律师调查或进行公证,为此支出的合理费用,司法解释规定由侵权方承担。


十、怎样使用人脸识别技术不用担责?


@杭法观微:韩圣超

法律在规范个人信息处理活动、保护个人信息权益的同时,也鼓励促进个人信息的合理利用。作为“知情—同意”规则的例外,信息处理者为了公共利益和个人权益保护,或者在法律法规有明确规定的情况下,处理人脸信息可以不担责。


结合人脸识别司法解释第5条的规定,信息处理者使用人脸识别技术的免责事由主要包括以下几类情形:


①为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息的;


②为维护公共安全,依据国家有关规定在公共场所使用人脸识别技术的;


③为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息的;


④在自然人或者其监护人同意的范围内合理处理人脸信息的;


⑤符合法律、行政法规规定的其他情形。这是考虑到经济社会的发展和个人信息处理活动的复杂性,以兜底条款为未来留下弹性空间。


十一、如何保护好个人人脸信息?


@苏州吴中法院:杜荣尚

首先,充分认识人脸信息属于个人信息范畴并受法律保护,“脸面”属于敏感信息


其次,目前人脸识别技术还不是非常成熟。根据APP专项治理工作组发布的《人脸识别应用公众调研报告》显示,人脸信息泄露情况时常存在,还需树立必要的风险意识


再者,日常生活中应该谨慎使用、谨慎上传人脸信息。尽量选择安全的网络环境上网,警惕各类APP侵犯人脸信息情况,减少以“隐私换便利”上网习惯。即便使用软件拍照,尽量选择能够被监管到的软件。


作者:杨书培 视频:李璇





声明:本文来源“人民法院报”微信公众号,在此致谢!



编辑:朱   琳

排版:王文雅

审核:刘 畅


觉得内容还不错的话,给我点个“赞”和“在看”呗


继续滑动看下一个
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存