人脸信息的重要用途之一便是人脸识别,人脸识别技术已被广泛应用于社会生活,大到智慧城市的建设,小到手机等APP应用的登录解锁,其在金融、电商、安保、娱乐等诸多领域都发挥着巨大作用。人脸识别因高效便捷且成本低廉而被作为密码使用,但是从网络安全角度看,其生物特征有悖用户可随时更改密码的基本原则,并不适合作为唯一安全验证方式。
实践中利用技术或规则漏洞的违法犯罪活动日益加剧,违规收集使用人脸信息的情形比比皆是。在“315”晚会上,央视曝光了多家企业未经告知私自通过监控摄像头搜集消费者人脸信息,涉事企业包含科勒卫浴、宝马、Max Mara等多家知名企业。为利用好人脸识别这把双刃剑,有必要厘清其法律属性,溯及实践问题的根源,进而有针对性地加以规制和解决。
“人脸识别是一种基于人的面部特征信息进行身份识别的生物特征识别技术。”人脸识别技术通过采集、存储、分析、识别人的面部特征信息,达到识别身份的目的。人脸识别信息通常包括两个部分,一是人脸原始图像,二是人脸数字特征信息。前者属于人脸识别技术处理人脸信息,获取原始图像,后者属于处理基于人脸识别技术生成的人脸信息,即通过技术将原始图像转化成的数字特征信息。二者均系“使用人脸识别技术处理个人信息相关民事案件”范围。
首先
,人脸信息系个人信息。其足以单独或者与其他信息结合,用以识别特定自然人的身份,故而属于《个人信息保护法》第4条所界定的个人信息。当然,若对人脸信息匿名化处理,如打马赛克等,则其不具有可识别性,不属于个人信息。
其次
,人脸信息属于个人生物识别信息。欧盟《通用数据条例》(GDPR)将个人生物识别数据定义为经由特定技术处理和获取的有关自然人身体、生理或行为特征的个人数据,并且该个人数据能够识别或确认特定自然人。人脸信息正是基于大数据、人工智能等特定技术处理和获取,与自然人脸部生理特征有关,可以确认自然人的独特身份的个人数据。
最后
,人脸信息系敏感个人信息。人脸信息属于“数字人权”,具有唯一性、永久性和不可替代性,一旦被泄露或者非法使用,将引发无底线的算法歧视、无节制的追踪监视、无下限的不信任和提防等不良后果,损害人格尊严,且人脸识别广泛应用于金融支付,人脸信息被盗用,必然危害财产及金融安全,因此属于《个人信息保护法》第28条规定的敏感个人信息。
人脸信息是否属于私密信息,进而依据《民法典》第1034条第2款适用人格权中的有关隐私权的规定,尚存争议。肯定说认为,个人生物识别信息包含身体、生理及行为特征,具有高度私密性,关乎人格尊严,包括人脸信息在内的个人生物识别信息属于私密信息。否定说认为,私密信息的标准在于客观上具有私密性、主观上不愿为他人知晓以及是否涉及隐私利益。人脸信息不具有客观私密性,且出于日常交往需要,人们常袒露面部,也不符合主观不愿为他人所知晓的要求,因此不属于私密信息。交叠关系说认为,个人信息与隐私权相互关联又有所区别,包括人脸信息在内的个人信息与隐私权之间存在交叠关系。无论采何种学说,问题的核心在于人脸信息保护适用何种法律规范。
可以肯定的是,人脸信息包含人格利益,具有人格利益属性。人脸是社会交往不可或缺的生物表征,承载着社会身份、地位,甚至与传统观念中的“面子”挂钩。《民法典》人格权编具体条款中“等权利”“人格利益”之表述实质上确定了中国民法体系中人格权利保护的开放性。在此背景下,人脸信息的可识别利益,显而易见是《民法典》所确认的信息空间人格权益,因为该类信息直接影响自然人对识别自身身份可能性的控制能力。《人脸识别技术处理个人信息若干规定》第2条至第9条亦从人格权益和侵权责任角度,界定滥用人脸识别技术处理人脸信息行为的性质和责任。第2条以“列举+兜底”的方式明示几类典型行为,明确将非法使用人脸信息界定为侵害自然人人格权益的行为。
(一)禁止性法律规范层级低导致区域执法问题
《人脸识别技术处理个人信息若干规定》第2条明确界定利用人脸识别技术处理个人信息的侵权行为,第1项和第6项均提及“违反法律、行政法规的规定”,实则系引致条款,须根据其他关于人脸信息的法律、行政法规判定侵权行为。
在行政法领域,目前并无专门针对人脸识别的法律、行政法规,仅有各地出台的地方性法规。2021年《深圳经济特区公共安全视频图像信息系统管理条例(草案)》明确禁止在旅馆客房、医院病房、医院检查室、集体宿舍、公共浴室、卫生间、更衣室、哺乳室等可能泄露公民隐私的场所和区域安装系统。禁止利用采获信息非法进行基于人像、人体及车牌等敏感信息的个人身份识别,上述敏感信息用于公共传播时,除法律另有规定外,应当匿名化处理。该条例禁止公共场所采集的信息非法用于人脸识别,且公共传播时须匿名化处理,消除可识别性,本质上不属于传播人脸信息。2020年《天津市社会信用条例》第16条规定,市场信用信息提供单位不得采集自然人的生物识别信息。该条禁止采集的生物识别信息包括人脸信息,市场信用信息是市场主体守法、履约状况的客观数据和资料,与生物识别信息关联不大,符合必要原则。2022年修订的《杭州市物业管理条例》第50条第2款规定物业服务人不得强制以人脸识别等方式进入物业管理区域或者使用共有部分。随着老旧小区改造及物业现代化建设,“刷脸”进小区适用广泛,以人脸识别作为门禁方式便于小区物业管理。考虑到人脸信息泄露风险,实际生活不愿“刷脸”的居民很多,上述条例则为业主拒绝小区“刷脸”门禁提供法律支撑。
但是,纵观上述条例,存在以下问题:其一,均属地方性法规,位阶低于法律和行政法规,无法作为《人脸识别技术处理个人信息若干规定》中“违反法律、行政法规”的判断依据。其二,覆盖领域不同且狭小,《深圳经济特区公共安全视频图像信息系统管理条例(草案)》主要规范公共场所,《天津市社会信用条例》旨在构建社会信用信息,《杭州市物业管理条例》则着眼于小区物业管理和服务。其三,分散于深圳、天津、杭州各地,仅适用于各自行政区域内执法。如此种种,无疑导致法律规范对人脸信息保护力度不足、范围不广以及区域执法等深层次问题。
(二)处罚标准不明导致无法有效威慑违法行为
《个人信息保护法》第66条规定,违法处理个人信息的责任主体,视情节严重程度,可能会受到没收违法所得、罚款、暂停相关业务或者停业整顿、吊销相关业务许可或者吊销营业执照等相应处罚,直接负责的主管人员和其他责任人员也面临相应数额罚款。该法第71条规定,企业违反法律规定,可能受到治安管理处罚甚至承担刑事责任。根据《个人信息保护法》第60条、《网络安全法》第8条、《数据安全法》第6条的规定,国家网信部门、国务院有关部门以及县级以上地方人民政府有关部门为承担个人信息保护职责的部门,电信、公安、国安、交通、金融、自然资源、卫生健康、教育、科技部门等同样是网络安全、数据安全监管部门。极易导致多部门执法问题。
然而,各部法律中违法情节认定标准并不明确,交由行政执法机关自由裁量,导致各地行政机关执法不一。如上海小鹏汽车销售服务有限公司因向第三方公司购买22台人脸识别摄像设备于2021年1月至2021年6月期间非法采集、上传人脸照片431623张,被上海市徐汇区市场监管局处以罚款10万元。2021年4月18日至2021年10月14日期间,禹州某售楼部共抓拍案例全量到访图片及录像数据124200条,客户认证记录180条,未明示收集、使用信息的目的、方式和范围,被处罚金20万元。前者非法采集、上传人脸照片40余万张,仅罚款10万元,后者抓拍图片、录像及非法认证记录12万余条,却罚款20万元,信息数量不足前者三分之一,罚金较前者翻一番,各地执法不一可见一斑。进而衍生出如何计量人脸信息价值问题,以及如何衡量非法采集人脸信息数量与罚款数额之间的关系,径行按比例细化,抑或综合考量其他因素,其他因素又为何种因素,何以具体综合考量,均有不明之处。当罚金与非法采集人脸信息所获利益不对等,甚至远低于利益时,巨大的套利空间将诱发相关主体的侥幸心理,难以有效遏制甚至助长人脸信息识别领域的违法行为。
(三)公权力约束规范不明诱发相关法律风险
为保障公共安全,公共机关早期仅使用身份证件识别公民个人身份,之后应用人脸识别技术,发挥其事后追踪、提供证据的功能,如通过比对人脸信息与犯罪信息数据库,快速锁定犯罪嫌疑人。该行为系在公共场所开展的基于安全的大规模执法或者侦查行为,须公众认知和配合,并不侵犯人脸信息。公权力借助无处不在的摄像头和人脸识别技术不断扩张,虽利于遏制不法行为,但是无形中也限缩私权利的空间,公权力与私权利处于此消彼长的矛盾状态。化解矛盾的关键在于合理界定公权力侵入私权利的范围,即规范公共机关收集人脸信息的适用情形。
当前我国关于公权力主体收集人脸信息的规范尚不明确,实践中人脸识别无差别地适用于刑事违法行为和普通违法行为,如追逃重犯嫌疑人、交通肇事乃至交通违章等,导致各类违法行为分级不明,在普通刑事违法以及普通其他违法行为中,公权力过度侵扰私权利。欧盟《人工智能监管提案》第19条规定,出于执法目的,在公共空间使用AI系统对自然人进行“实时”远程生物识别,被认为侵犯有关人员的权利和自由,因为它可能影响大部分人的私生活,引起被持续监控的感觉,并间接妨碍人们行使集会自由和其他基本权利。禁止将这些系统用于执法目的,除非这些系统的使用对于实现重大公共利益是绝对必要的,其重要性大于风险。这些情况包括:寻找犯罪的潜在受害者,包括失踪儿童;对自然人的生命或人身安全的特定威胁,或特定恐怖袭击威胁;如果理事会第2002/584/JHA号框架决定所述刑事犯罪在相关成员国可判处至少3年的最长监禁或拘留,并且根据该成员国的法律规定,可对这些刑事犯罪的犯罪人或嫌疑人进行侦查、定位、鉴定或起诉。根据国内法对监禁判决或拘留令设定门槛,有助于确保只有达到一定严重程度的犯罪才有可能允许使用“实时”远程生物识别系统。欧盟将公权力使用人脸识别的情形限于严重刑事犯罪,或许可结合我国实际情况,借鉴一二。
(一)用户与平台地位不平等导致同意原则失灵
《个人信息保护法》第14条和《民法典》第1035条构建了以“告知—同意”为核心的个人信息处理规则。告知同意原则又称知情同意原则,指信息业者应当充分告知信息主体有关个人信息被收集、处理和利用的情况,并征得信息主体的明确同意。但是,实践中用户和平台地位不平等,平台方以提供免费服务而占据优势地位,用户为免费使用相关服务而处于劣势地位,导致处理人脸信息时知情同意原则失灵,主要表现为违背公开透明原则、单独同意规则以及禁止强迫规则。
告知是处理人脸信息的前提,遵循公开透明原则。根据《民法典》第1035条第1款第2项和第3项、《个人信息保护法》第7条和第48条、《人脸识别技术处理个人信息若干规定》第2条第4项,处理人脸信息应当严守公开透明原则,明示目的、方式和范围,且个人有权要求处理者解释说明个人信息处理规则。故而,明示处理人脸信息的方式,应当采用尽量简洁、清晰易懂的语言描述,便于个人查阅和保存,至于内容涉及重要事项的,应当采用显著的标识性方式提请个人注意。但是,从目前APP应用实践看,个人信息处理者普遍采取弹窗隐私政策或将隐私政策置于页面底端的方式,以概括同意结合特定例外的形式,明示个人信息处理规则。隐私政策的公开透明机制存在的问题较为集中,主要表现为内容冗长、专业性极强、未清晰详细说明处理规则、收集的用户个人信息发生变化时特别是收集内容已涉及个人敏感信息未及时将相应的隐私政策通知用户。如在手机应用市场里下载的5款下载量过亿次的App,平均每款App需要用户“阅读并同意”的内容约27万字,且其中夹杂大量生涩难懂的法律术语,关涉用户权益的条款则语焉不详。2021年,新京智库对78款在应用商店排名靠前的热门APP进行调研,其中67款APP具有人脸识别功能,而隐私政策条款中未提及人脸识别的应用数量高达百分之五十。但超过70%的用户很少或从未阅读隐私协议且忽略协议内容的更新提示。相较于一般个人信息,人脸信息作为敏感个人信息,关乎个人人格尊严,应当予以严格保护,处理人脸信息遵循单独同意规则。《个人信息保护法》第29条在一般知情同意规则的基础上,要求人脸信息主体作出单独同意。《人脸识别技术处理个人信息若干规定》第2条第3项规定,未经单独同意处理人脸信息,属于侵害自然人人格权益的行为。信息处理者不得以一揽子告知的方式,将人脸信息与一般个人信息一并告知信息主体,而应当采取分别单独告知方式。单独同意条款也应当特殊显示,采用足以引起用户注意的方式,例如加粗、变换颜色、字体等途径。同时,同意内容应当避免概括同意或者批量同意,用户接受单独同意的选项不应默认勾选,而交由信息主体主动勾选。但是,实践中同意的模式设计多种多样,单独同意和概括同意之间难以界定,如在同一界面显示多个告知文件,分别涉及人脸信息处理及一般信息处理,为优化用户体验和提高效率,用户可一键勾选或者单独勾选,究竟属于单独同意还是概括同意。多样的现实生活不存在标准模式,也导致实践中别有用心者规避单独同意规则。如某宝APP的登录验证和支付指令验证环节均开通了人脸识别,但其仅在隐私政策中通过字体加粗的形式告知用户“脸部图像或者视频属于您的个人敏感信息”,并未就该个人敏感信息的处理做任何单独同意处理。
同意保障个人信息自决权,处理人脸信息禁止强迫同意。《个人信息保护法》未规定同意瑕疵和非自愿同意的法律后果。根据《网络交易监督管理办法》第13条第2款和《人脸识别技术处理个人信息若干规定》第4条,信息处理者不得强迫或者变相强迫个人同意处理人脸信息,具体方式包括与其他授权捆绑、停止安装使用等。强迫或者变相强迫同意,有悖信息主体的真实意愿,其效果相当于未取得同意。但是,实践中APP运营商在用户协议中采用“要么同意要么不得使用”的“霸王条款”强迫用户同意处理人脸信息。南都记者抽取了十款金融类、人脸识别类、医疗健康类App进行测评,三成被测App存在强制授权处理人脸信息问题。
(二)民事救济损害难认定
民事私益诉讼是对人脸信息受侵害当事人最为直接的救济方式。民法典颁布后,《民事案件案由规定》新增个人信息保护纠纷案由,司法实践中涌现出大量案件。如郭长城与东方黑马资本管理(北京)有限公司个人信息保护纠纷一案,又如广州唯品会电子商务有限公司、周彦聪个人信息保护纠纷案。但司法实践对人脸信息的保护尚处于摸索阶段,人脸信息领域相关案例少,较为典型的有“人脸识别第一案”郭兵诉杭州野生动物世界有限公司服务合同纠纷案、人脸识别装置侵害邻居隐私权案。
民事私益诉讼对处理人脸信息不法行为的规制效果并不显著。一方面,基于侵权责任构成要件,救济当事人的前提是存有损害事实,对于损害采“实害说”还是“非实害说”存在争议。侵犯人脸信息很少产生实际损害,更多表现为信息泄露的外部风险和担心信息泄露的内部焦虑。如在郭兵诉杭州野生动物世界有限公司服务合同纠纷案中,园方将入园方式由指纹识别调整为人脸识别,难谓人脸识别侵害了郭兵何种权益,法院以收集人脸信息超出目的,违反正当性原则,判令删除信息。即使人脸信息侵权的风险转化为实际损害,也可能是“多因一果”,难以认定信息处理者的责任份额,导致私益诉讼成本和收益不均衡。另一方面,企业利用互联网技术以及平台商业模式加强对人脸信息数据的掌控力,企业与个人之间的不平等地位导致基于平等关系救济的民事责任难以充分发挥效用。人脸识别技术跨区域广、专业性强,作为信息主体的个人难以证明作为信息处理者的企业存在侵权行为。即使规定个人信息保护侵权采过错推定原则,但是普通自然人并未掌握相关专业技术且无法调查企业内部信息保护运行机制,针对企业利用优势地位主张未实施违法行为或已尽到合理注意义务,难以收集固定证据以提出反证。
(三)监护人同意规则有虚置风险
共青团中央发布的《2020年全国未成年人互联网使用情况研究报告》显示,2020年我国未成年网民规模达到1.83亿,个人信息未经允许在网上被公开的比例为4.9%。未成年人心智尚未成熟,在纷繁复杂的网络空间极易受迷惑、欺骗,加之“触网”低龄化趋势明显,个人信息易被侵害,从而影响其身心健康,甚至严重威胁人格尊严和人身安全。为强化未成年人个人信息保护,相关法律法规作出相应规定。《儿童个人信息网络保护规定》第2条以14周岁为标准界定“儿童”范围,将14周岁以下未成年人归于儿童群体。第8条进而要求运营者设置专门规则,指定专人负责。《未成年人保护法》第72条第1款,以监护人同意的方式强化对14周岁以下未成年人个人信息保护。《个人信息保护法》第31条沿袭该规定,第28条将其信息纳入敏感个人信息以进一步强化保护。可见,14周岁系强化未成年人个人信息保护的年龄标准,14周岁以上的未成年人与成年人信息保护一致,14周岁以下未成年人的个人信息系敏感个人信息,处理其信息须经监护人同意。
问题在于,其一,监护人同意机制存在虚置风险。未成年人可借用他人身份注册账号,规避软件对年龄的强制要求。监护人对自身个人信息已自顾不暇,更疲于应对海量的未成年人个人信息授权确认,加之心理上的边际递减效应,对“同意”的谨慎程度越来越低。此外,个人信息处理者通过邮件、人工电话、人脸识别等验证监护人身份,耗费巨额人力物力成本,很多小型互联网企业无法承受。在这种情况下,监护人同意机制容易被虚置化,无法真正保障未成年人的个人信息安全。其二,以14周岁作为强化保护年龄标准是否妥当。尽管14周岁以上的未成年人对个人信息已有一定保护意识,但其容易不顾后果地暴露过多个人信息。若缺乏正确引导以及严格保护,极易成为个人信息泄露的重灾地。将年龄划定为14周岁的立法模式,能否在尊重未成年人自主权与个人信息保护之间达到巧妙平衡,尚待实践检验。
