“人臉識別第一案”的啓示:個人信息保護與新技術應用需平衡
原標題:“人臉識別第一案”的啓示與警示:個人信息保護與新技術應用需平衡 | 法理辨析
文/李俊慧
打響行業規範第一槍?
“人臉識別第一案”迎來終審判決。
2021年4月9日,浙江省杭州市中級人民法院(以下簡稱杭州中院)就郭兵與杭州野生動物世界有限公司(以下簡稱杭州野生動物世界)服務合同糾紛二審案件,依法公開宣判。
二審在原判決的基礎上,增判杭州野生動物世界刪除郭兵辦理指紋年卡時提交的指紋識別信息。
作爲《民法典》施行以來,因人臉識別技術應用引發的訴訟“第一案”,伴隨該案件的二審終審判決出臺,該案件確認一些的權利救濟方式、司法保護措施和業務操作細則,將爲人臉識別技術及相關設備的應用和規範發揮指引性作用。
1
糾紛回溯:超範圍使用個人信息和強迫升級是爭議焦點
2019年4月27日,郭兵購買杭州野生動物世界雙人年卡,留存相關個人身份信息,並錄入指紋和拍照。後杭州野生動物世界將年卡入園方式由指紋識別調整爲人臉識別,並向郭兵發送短信通知相關事宜,要求其進行人臉激活,雙方協商未果,遂引發本案糾紛。
2020年11月20日,杭州市富陽區人民法院作出一審判決,判令杭州野生動物世界賠償郭兵合同利益損失及交通費共計1038元;刪除郭兵辦理指紋年卡時提交的包括照片在內的面部特徵信息;駁回郭兵要求確認店堂告示、短信通知中相關內容無效等其他訴訟請求。郭兵與杭州野生動物世界均不服,向杭州中院提起上訴。
2020年12月11日,杭州中院立案受理該案,並於同年12月29日公開開庭進行審理。2021年4月9日,杭州中院做出了二審判決。
回溯郭兵與杭州野生動物世界之間的糾紛,究其根源主要有二:
其一是杭州野生動物世界未事先獲得用戶授權,擬將其收集的用戶人臉信息用於人臉識別系統或設備使用;
其二是杭州野生動物世界在採用新技術、新設備過程中,未給用戶留足過渡週期,有“強迫”升級的嫌疑。
應該說,“人臉識別第一案”對相關主體對人臉信息、指紋信息等個人生物特徵信息實施或開展收集、使用、存儲等個人信息處理時,所應擔負的義務予以了明確和釐清。
根據《民法典》第一千零三十四條的規定,個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。
其中,指紋和麪部特徵信息通常被認爲屬於生物識別信息範疇的個人信息。
因此,對於此類個人信息的處理,就需要遵循《民法典》及《網絡安全法》等與個人信息保護相關的規定。
2
處理義務:合法、正當、必要是前提,不超限度是關鍵
按照《民法典》第一千零三十五條的規定,對個人信息的處理行爲或手段,包括對個人信息的收集、存儲、使用、加工、傳輸、提供、公開等七種行爲。
其中,信息處理者所需承擔的禁止性義務,包括:不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。
而對於按照合法、正當、必要原則進行個人信息處理時,需承擔不得過度處理義務,並符合單獨授權、規則公開和透明等要求。
簡單說,在遵循合法、正當、必要原則前提下,對個人信息過度處理的,屬於違法行爲,對個人信息的處理不滿足單獨授權、規則公開和透明等要求的,也構成違法。
其中,所謂“過度”處理,包括:在七種處理行爲中,有超過必要限度處理、超範圍處理或超限制處理等情形。
比如,類似郭兵訴杭州野生動物世界一案中,杭州野生動物將留存的用戶照片,未經用戶允許用以人臉識別系統使用等。
此外,類似僅獲得了個人信息收集等單一處理行爲授權,但超範圍或超限制對個人信息進行了存儲、使用、加工、傳輸和公開等多種處理行爲。
值得關注的是,面部特徵信息和肖像具有“一體兩面”的性質或特點,用戶肖像被採集,也就相當於用戶的面部特徵信息被採集了。
因此,如果採集過用戶肖像的企業或平臺,也就相當於採集了用戶的面部特徵信息,那麼,後續對於此類信息的處理,如果涉及到應用到人臉識別場景中的,需要單獨獲取用戶的授權。
3
借鑑啓示:個人信息使用環節規則明細,存儲等其處理行爲待規範
當前,具有肖像採集功能的設備或應用,已經在很多領域被廣泛使用。
在安防和防疫管理領域,已有支持測溫功能的人臉識別門禁系統,也有支持測溫功能的安檢設備等等。
在類似在線銀行業務辦理中,爲了確認系本人操作,也有采用人臉識別技術,需要即時採集面部特徵信息,和後臺留存信息進行比對確認。
此外,基於人臉識別技術也催生了不少隱形的新“巨頭”,比如曠視科技、商湯科技等等。
這些主要的人臉識別技術企業或廠商,在建立相應的模型、形成相應的算法,固化相應的技術時,都需要使用的人臉圖片或面部特徵信息。
那麼,這些公司對面部特徵信息的收集、存儲、使用、加工等處理行爲是否遵照《民法典》單獨獲得了用戶的授權或同意,都是值得關注的問題。
整體來看,人臉識別技術和設備應用,屬於典型的“使用先於規範”、“應用先於立法”。
從加強個人信息保護的角度來看,對於此類產品的規範管理,既要從源頭的生產許可介入,也要從安裝使用環節加以規範。
既要對單一設備或系統的信息採集合規性予以審視,也要對同一廠商所有設備聯網及後臺上傳或回傳信息的行爲予以監管。
而對於平臺從某種業務獲取了用戶生物特徵信息,未經用戶單獨同意又用於其他業務的做法,也需要逐步加強規範。
簡單說,在採集或收集個人信息之後,對個人信息的進行存儲、使用、加工、傳輸、提供、公開等任一處理行爲,是否允許一次性概括性同意,還是必須逐項逐次獲得同意,這些都需要儘快明確規則。
在“人臉識別第一案” (即郭兵訴杭州野生動物世界一案)中,原告及法院主要圍繞留存肖像用於人臉識別和留存指紋信息刪除等展開。
對於採集之後,進一步實施類似存儲、加工、傳輸、提供和公開等處理行爲時,應予如何規範尚未給予回應,這也就需要相關部門在做好人臉識別技術應用和設備管理方面提前謀劃,做好技術標準和監管規範的制定。
從這個角度來看,“人臉識別第一案”終審判決的出臺,只是打響了人臉識別技術應用或設備實現規範管理的“第一槍”。
