最高法发布司法解释 明确人脸识别技术处理个人信息相关法律问题
2021年6月8日,最高人民法院发布《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(法释〔2021〕15号,以下简称“《规定》”)。《规定》共16条,对人脸识别技术处理个人信息相关侵权责任、合同规则以及诉讼程序等方面进行了规范,并将于2021年8月1日起施行。
《规定》出台之前,我国相关法律法规对“人脸信息识别系统”相关重要法律问题的规定不够细化、明确,导致相关个人信息保护问题日益凸显,一些经营者甚至滥用人脸识别技术侵害他人合法权益,极大危害私人合法权益,甚至还可能威胁公共安全。《规定》明确界定了经人脸识别技术处理所获取个人信息的民事法律性质,详细规定了违反保护义务的具体情形和侵权责任成立承担的相关基本规则,并且提出了与个人信息权益密切相关的合同效力规则,在《民法典》的框架下对实践中争议纠纷比较集中、苗头性趋势性较为突出的重要问题进行了全面规范。
一、明确界定“人脸信息”的民事法律性质
《规定》出台之前,实践中一般会综合适用《民法典》中关于隐私权和个人信息权益保护的规定,处理涉及“人脸信息”的民事法律纠纷。如,某互联网二手交易平台网络服务合同纠纷案件中,原告向被告网络服务提供者申请公开涉嫌虚假发货的第三方卖家的个人信息,包括网络服务提供者采取人脸识别技术获取的“人脸信息”。法院经审理认为,涉案平台内注册的自然人用户依法享有知情权的同时亦享有隐私权。本案中,原告要求披露的对象,属于隐私权所保护的个人信息范畴。网络服务提供者在维护用户知情权的同时,进行信息披露应当兼顾对用户隐私权的保护。
《规定》第一条第三款规定,经由人脸识别技术处理所获取的“人脸信息”,属于《民法典》第一千零三十四条规定的“个人信息”。据此,人脸信息相关权益的保护应当适用《民法典》第一千零三十四条—第一千零三十九条的相关规定。
二、明确规定违反人脸信息相关权益保护法律义务的具体类型
《规定》出台之前,法院只能扩大解释甚至类推适用物权法相邻关系等规则,并综合运用利益衡量等分析方案,采取“一事一议”、“具体情况具体分析”的方式进行裁判,极易诱发“同案不同判”的不利情形。如,原告与被告系邻居关系,两家入户门相对,共用一条公共走廊。被告于其入户门左侧墙面上安装了一个可视门铃,该可视门铃带有摄像功能,可通过手机上的程序开启拍照、录像功能,拍摄范围及于原告出入户的必经位置。原告主张,被告在公共楼梯安装的可视门铃摄录、监控的功能强大,又具有人体移动智能侦测、人脸识别、红外夜视、云存储等诸多功能。由此,涉案可视门铃的存在明显侵犯了被上诉人及其家人的隐私权,对被上诉人的生活安宁造成侵扰,亦对被上诉人的人身财产安全构成一定隐患。法院经审理认为,考虑到目前其实际可视范围等因素,客观上并不能记录被原告一方进出住宅的信息,对原告可能产生的影响亦未超过合理的限度。同时,鉴于涉案门铃及挡板安装的位置及体积大小,其本身亦未对原告的通行、安全等相邻权利造成妨害。
《规定》第二条第一款第(一)项规定,在公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析的,属于侵害自然人人格权益的行为。据此,在公共场所设置的可视门铃、监控摄像头等安保设备所具备的人脸识别功能,必须处于符合法律、行政法规所规定的安全范畴之内。通过设置电子设备无限制逐一验证、辨识或者分析人脸信息的行为,属于侵权行为。
三、明确涉及“人脸信息”处理的格式条款的民事法律效力
《规定》出台之前,部分产品和服务的提供者,通过一揽子授权、与其他授权捆绑、“不点击同意就不提供服务”等方式强制索取“人脸信息”的处理授权,涉嫌侵害消费者的知情权和自主选择权。如,某商业银行开发上线网络贷款产品“闪电贷”。借款人通过网上个人银行或手机银行申请贷款,需填写贷款要素,勾选“本人已阅读并同意签署《额度借款合同》《资信数据查询授权书》”,进行人脸识别,输入银行卡绑定的手机号码获取的验证码以及收款卡的取款密码,提交提款申请。法院在认定借款人是自主申领贷款时认为,为签订和履行行为均在互联网上完成的金融借款合同纠纷。商业银行已采用人脸识别技术对借款人的真实身份进行核验,被告申请贷款使用的银行卡取款密码、银行卡绑定手机号码及手机验证码、电子银行登录密码等电子数据亦均由被告本人掌握,具有高度私密性,借款人亦依约偿还了部分贷款本息,故在无相反证据的情况下,可以确认《额度借款合同》由借款人本人签订,是借款人的真实意思表示。
《规定》第四条第一款规定,信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,或者,信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的,不属于已征得自然人或者其监护人的同意。据此,产品或者服务的提供者应当就人脸信息处理进行充分告知和个别授权,并且提供人脸信息识别之外其它的认证方式供消费者选择,否则将可能因为从事“与其他授权捆绑”、“不点击同意就不提供服务”等涉嫌强迫索取授权的行为,危害消费者意思表示的自由,导致消费者的授权无效。