中国信通院解读人脸识别司法解释五大看点
The following article is from 可信人脸应用守护计划 Author 护脸计划
2021年7月28日,最高人民法院召开新闻发布会,发布了《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(下称“《人脸识别司法解释》”),该部司法解释将于今年8月1日起施行。随着人脸识别技术日益广泛应用于各种场景,该部司法解释的出台一方面为司法机关审理涉及人脸识别的新类型案件提供指导;另一方面也为使用人脸识别技术的企业给出指引。
《人脸识别司法解释》承袭了《民法典》对个人信息的界定,进一步明确“人脸信息”属于“生物识别信息”。结合《个人信息保护法(草案二次审议稿)》,对于作为敏感个人信息的个人生物特征信息,个人信息处理者应当遵守更为严格的处理规则。此外,《人脸识别司法解释》沿革了《民法典》中对于“处理”的定义,处理包括对信息的收集、存储、使用、加工、传输、提供、公开等行为。
《人脸识别司法解释》第二条规定了七种处理人脸信息构成侵害人格权益的具体情形,并规定了以“合法、正当、必要原则”处理人脸信息的兜底条款。
根据《人脸识别司法解释》第2条第3款的规定,对于宾馆、商场等经营场所、公共场所,信息处理者违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析的,则侵害自然人人格权益。
譬如,信息处理者在未经用户同意而采集人脸信息将不被允许,信息处理者在用户同意收集人脸信息但未同意进行情绪化识别等分析时,如果擅自对自然人进行画像,并提供个性化推荐等服务,则侵害人格权益。
《人脸识别司法解释》第2条第3款明确引入单独同意原则,规定信息处理者在征得个人同意时,必须就人脸信息处理活动单独取得个人的同意。也即,信息处理者仅通过一揽子告知同意的方式征得个人同意处理人脸信息系侵害人格权益的行为。
此外,为强化人脸信息保护,防止信息处理者对人脸信息的不当采集,《人脸识别司法解释》第4条对处理人脸信息的有效同意采取从严认定的思路。对于“不同意就不提供服务”、“与其他授权捆绑”等强迫或者变相强迫等不合理手段取得用户同意从而处理用户人脸信息的,并不免除其责任。
根据《人脸识别司法解释》第2条第5款的规定,信息处理者未采取必要的技术措施或其他安全防护措施保障收集、存储人脸信息安全的,从而导致人脸信息泄露、篡改、丢失,也系侵犯自然人人格权的行为。
该条规定沿袭了《网络安全法》第四十二条对网络运营者采取技术措施的要求,但是仍未明确信息处理者应有技术措施的具体要求,但是对信息处理者提升网络安全措施、完善内部合规提出了明确要求。由此可见,最高法在司法解释中已经明确指引信息处理者将安全防护技术措施与数据保护的合规措施相结合。
《人脸识别司法解释》第10条第1款规定小区物业等建筑物管理人必须为业主或者物业使用人提供除人脸识别以外的其他出入物业服务区域的验证方式。该条借鉴了《杭州市物业管理条例(修订草案)》中不得强制业主“刷脸”的相关规定。人脸信息属于敏感个人信息,小区物业对人脸信息的采集、使用必须依法征得业主或者物业使用人的自愿同意。
此外,为规范小区物业或其他管理人,防止其将人脸信息泄露或者侵害业主隐私,第10条第2款进一步明确,对于物业服务企业或者其他建筑物管理人存在第2条规定的侵害自然人人格权益的行为,物业服务企业或者其他建筑物管理人需要承担侵权责任,该条旨在全面保护业主及其他物业使用人的人脸信息。
人脸识别技术在个人信息保护层面以及安全防护层面所面临的风险和挑战,引发了社会的持续关注和讨论。如何更好地平衡创新发展和风险防范成为重要的研究议题,《人脸识别司法解释》的出台,无疑从法律适用层面给人脸识别技术应用提供了很好的参考和指引。中国信通院云大所发起“护脸计划”以来,已经形成了《人脸识别系统通用可信能力要求》,构建了威胁情报共享机制并发布“护脸计划·安全动态”等,旨在联合业界打造可信人脸应用实践范式。
当前,人脸识别技术和具体业务场景深度结合,人脸安全防护问题和人脸数据保护问题深度交织在一起,并且技术和业务仍在快速的发展和演进中,这就更需要从体系化的视角开展相应的治理工作。
“护脸计划”将在现有法律法规、标准规范等框架下,不断推进相关研究工作,加快编写《人脸识别安全防护和人脸数据合规操作指引(拟)》等研究报告,为人脸识别相关企业构建全链路安全以及合规处理人脸数据提供参考依据,促进人脸识别产业的健康发展。
刘 硕 13426019405,
liushuo1@caict.ac.cn
呼娜英 15321699969,
hunaying@caict.ac.cn
010203