最高法关于规范人脸识别的司法解释解读

人脸信息属于敏感个人信息中的生物识别信息,是生物识别信息中社交属性最强、最易采集的个人信息,具有唯一性和不可更改性,一旦泄露将对个人人身财产安全造成极大危害,甚至可能威胁公共安全。

7月28日,最高人民法院发布《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,着力维护自然人人格权益,保护人民群众“人脸”安全。

《规定》如何兼顾权益保护和价值平衡?部分小区使用人脸识别门禁系统引发社会热议,《规定》如何回应?一些App通过捆绑授权等不合理方式强制索取个人信息,《规定》将采取哪些司法对策?针对上述问题,最高人民法院副院长杨万明,最高法研究室副主任郭锋、研究室民事处处长陈龙业分别回答了记者提问。

  注重平衡惩戒侵权和产业发展

记者:最高法出台《规定》是如何兼顾权益保护和价值平衡的?

杨万明:出台这个《规定》主要是对滥用人脸识别问题作出司法统一规定。“保护当事人合法权益,促进数字经济健康发展”是本《规定》的制定宗旨。《规定》在起草过程中紧紧围绕这一宗旨,既注重权益保护,又注重价值平衡。

在权益保护方面,除明确“处理自然人的人脸信息,必须征得自然人或者其监护人的单独同意”等内容外,《规定》还在如下方面强化对人脸信息的司法保护。

首先是合理分配举证责任。《规定》第6条依据现有举证责任的法律适用规则,以及民法典规定内容,充分考虑双方当事人的经济实力不对等、专业信息不对称等因素,在举证责任分配上课以信息处理者更多的举证责任。

其次是合理界定财产损失范围。除适用民法典第1182条外,考虑到侵害人脸信息可能并无具体财产损失,但被侵权人为维权支付的相关费用却较大,如不赔偿,将会造成被侵权人维权成本过高、侵权人违法成本较小的不平衡状态。第8条明确被侵权人为制止侵权行为所支付的合理开支以及合理的律师费用可作为财产损失请求赔偿。

最后是积极倡导民事公益诉讼。由于实践中受害者分散、个人维权成本高、举证能力有限等因素,个人提起诉讼维权的情况相对较少,而公益诉讼制度能够有效弥补这一不足。结合人民法院审理个人信息民事公益诉讼相关实践,《规定》第14条对涉人脸信息民事公益诉讼予以明确规定。

在价值平衡方面,一是注重个人利益和公共利益的平衡。在依法保护自然人人脸信息的同时,第5条在吸收个人信息保护法立法精神的基础上,对民法典第1036条规定进行了细化,明确规定了使用人脸识别不承担民事责任的情形,如为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息的;再如,为维护公共安全,依据国家有关规定在公共场所使用人脸识别技术的等。同时,第5条通过“兜底条款”的规定,将其他免责事由适用引向民法典等法律。

二是注重惩戒侵权行为和促进数字经济发展的平衡。《规定》充分考量人脸识别技术的积极作用,一方面规范信息处理活动,保护敏感个人信息,另一方面注重促进数字经济健康发展,保障人脸识别技术的合法应用。

为避免对信息处理者课以过重责任,妥善处理好惩戒侵权和鼓励数字科技发展之间的关系,《规定》第16条明确本司法解释不溯及既往的基本规则,即:对于信息处理者使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息的行为发生在本规定施行前的,不适用本规定。

对业主等人脸信息形成全面保护

记者:当前,部分小区使用人脸识别门禁系统,引发社会热议。《规定》第10条对此予以回应,能否详细介绍下制定本条的考量因素?

郭锋:我们一直在关注这个问题,前期也做了一些调研。调研中发现,群众关心小区物业安装人脸识别设备,集中在强制“刷脸”的问题上。

人脸信息属于敏感个人信息,小区物业对人脸信息的采集、使用必须依法征得业主或者物业使用人的同意。只有业主或者物业使用人自愿同意使用人脸识别,对人脸信息的采集、使用才有了合法性基础。实践中,部分小区物业强制要求居民录入人脸信息,并将人脸识别作为出入小区的唯一验证方式,这种行为违反“告知同意”原则,群众质疑声较大。小区物业不能以智能化管理为由,侵害居民人格权益。

为此,《规定》第10条第1款专门规定:“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。”根据这一规定,小区物业在使用人脸识别门禁系统录入人脸信息时,应当征得业主或者物业使用人的同意,对于不同意的,小区物业应当提供替代性验证方式,不得侵害业主或物业使用人的人格权益和其他合法权益。

此外,为更好规范物业服务企业或者其他管理人,防止其将人脸信息泄露或者侵害业主或物业使用人隐私,第10条第2款又进一步明确:“物业服务企业或者其他建筑物管理人存在本规定第二条规定的情形,当事人请求物业服务企业或者其他建筑物管理人承担侵权责任的,人民法院依法予以支持。”这样就对业主及其他物业使用人的人脸信息形成全面保护。

 防止对人脸信息不当采集

记者:当前,一些App通过捆绑授权等不合理方式强制索取个人信息的现象较为突出。对此,《规定》是如何采取司法对策的?

陈龙业:一段时间以来,部分移动应用程序(App)通过一揽子授权、与其他授权捆绑、“不点击同意就不提供服务”等方式强制索取非必要个人信息的问题比较突出,这既是广大用户的痛点,也是维权的难点。

为从司法角度规范此类行为,更好保护人民群众合法权益,《规定》根据民法典第1035条,在吸收个人信息保护立法精神、借鉴域外做法的基础上,明确了以下处理人脸信息的规则。

首先是单独同意规则。由于人脸信息属于敏感个人信息,处理活动对个人权益影响重大,因此,在告知同意上,有必要设定较高标准,以确保个人在充分知情的前提下,合理考虑对自己权益的后果而作出同意。《规定》第2条第3项引入单独同意规则,即:信息处理者在征得个人同意时,必须就人脸信息处理活动单独取得个人的同意,不能通过一揽子告知同意等方式征得个人同意。

其次是强迫同意无效规则。基于个人同意处理人脸信息的,个人同意是信息处理活动的合法性基础。只要信息处理者不超出自然人同意的范围,原则上该行为就不构成侵权行为。自愿原则是民法典的基本原则之一,个人的同意必须是基于自愿而作出。特别是对人脸信息的处理,不能带有任何强迫因素。如果信息处理者采取“与其他授权捆绑”“不点击同意就不提供服务”等做法,会导致自然人无法单独对人脸信息作出自愿同意,或者被迫同意处理其本不愿提供且非必要的人脸信息。

为强化人脸信息保护,防止信息处理者对人脸信息的不当采集,《规定》第4条对处理人脸信息的有效同意采取从严认定的思路。对于信息处理者采取“与其他授权捆绑”“不点击同意就不提供服务”等方式强迫或者变相强迫自然人同意处理其人脸信息的,信息处理者据此认为其已征得相应同意的,人民法院不予支持。第4条的规定不仅适用于线上应用,对于需要告知同意的线下场景也同样适用。