人脸识别技术是基于人的脸部特征,用摄像机或摄像头收集含有人脸的图像或视频流,并自动在图像或视频流中检测和跟踪人脸,进而对检测到的人脸进行脸部识别的一系列相关技术。
随着科学技术的迅猛发展,人脸识别技术在生活中的应用越来越广泛。在金融领域中,人脸识别技术可以实现远程银行开户、身份核验、刷脸支付等;在安防领域,人脸识别技术可以实现学校、商场、住宅等刷脸闸机通行;在商业领域中,人脸识别技术可以通过对人脸的特征识别和归纳能力,将客户的性别、年龄等作为商业需求的对应特征,有针对性地向客户实时推送感兴趣的内容,为商家进行目标客户群导流和精准销售等。
NO.1
非法使用人脸识别技术常见的法律责任
(一)承担民事责任
1.经营者违反双方约定处理信息,侵犯了消费者的个人信息,消费者有权要求经营者删除与其违约情形相对应的个人信息
被称为“人脸识别第一案”的郭某诉杭州野生动物世界有限公司服务合同纠纷案【案号:(2020)浙01民终10940号】中,动物园要求郭某改为人脸识别的验证方式方能入园。郭某认为动物园的该行为侵犯其合法权益,诉至法院要求动物园赔偿损失及删除指纹等特征信息。二审法院认为:野生动物世界要求郭某激活人脸识别,超出事前收集目的,且存在侵害郭某面部特征信息之人格利益的可能与危险,故应当删除郭某办卡时提交的包括照片在内的面部特征信息。最终判决野生动物世界赔偿郭某合同利益损失及删除郭某办理指纹年卡时提交的识别信息。
2.邻里近距离安装人脸识别装置可构成侵犯隐私权
最高人民法院发布民法典颁布后人格权司法保护典型民事案例之八——人脸识别装置侵害邻居隐私权案中,被告为随时监测住宅周边,在其入户门上安装一款采用人脸识别技术、可自动拍摄视频并存储的可视门铃,位置正对原告等前栋楼多家住户的卧室和阳台。原告认为该行为侵犯其隐私,诉至法院。
上海市青浦区人民法院经审理认为,被告虽是在自有空间内安装可视门铃,但设备拍摄的范围超出其自有领域,摄入了原告的住宅。可视门铃能通过人脸识别、后台操控双重模式启动拍摄,并可长期录制视频并存储,加之原、被告长期近距离相处,都为辨认影像提供了可能,以此获取住宅内的私密信息和行为现实可行,原告的生活安宁确实将受到侵扰。因此,被告的安装行为已侵害了原告的隐私权。法院支持了原告要求被告拆除可视门铃的诉讼请求。
(二)承担行政责任
1.商家在提供服务过程中违法收集、过度收集客户的个人信息,未能准确、清晰说明所收集个人信息处理目的
2022年7月21日,国家互联网办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长CEO程维、总裁柳青各处人民币100万元罚款。其中,滴滴的违法违规行为包括过度收集乘客人脸识别信息1.07亿条。
2.开发商在各大楼盘售楼部安装具有人脸识别功能的摄像头对进入售楼部的人员进行人脸抓拍,但未告知消费者且取得消费者同意
(1)佛山市市场监督管理局于2021年7月7日作出的佛市监执监处字〔2021〕103号行政处罚决定书,对佛山某某置业有限公司作出罚款340000元的决定。该公司的违法行为表现在:在售楼部安装人脸识别高清摄像头等,现场未发现有任何关于售楼部区域内自动收集人脸信息的提示性标语,涉嫌侵害消费者个人信息。
(2)佛山市顺德区市场监督管理局于2021年6月21日作出的顺市监一队罚字〔2021〕16号行政处罚决定书,对佛山某某某岭房地产有限公司作出警告及罚款160000元的决定。违法行为表现在:当事人通过某某人脸信息识别系统收集进入售楼部大厅的消费者人脸识别信息,但不能提供证据证明明示收集、使用消费者人脸信息的目的、方式和范围,且未经消费者同意。即使自2021年4月8日在接待中心入口处摆了展示架,展示架上标识信息“关于某某某项目接待中心现场收集人脸信息的告知”,此告知虽已说明了当事人收集、使用消费者人脸信息的目的、方式和范围,但未经消费者同意。
(三)承担刑事责任
信息处理者使用人脸识别技术收集人脸信息用于非法目的,侵犯了公民的个人信息,应承担相应的刑事责任。
在刘某成侵犯公民个人信息罪案【案号:(2022)粤0117刑初38号】中,被告人向买家收集需要解封的游戏账号并通过向上家购买人脸动态识别视频,突破游戏的人脸识别系统,从中非法获利。最终被认定侵犯公民个人信息罪,被判处有期徒刑六个月,缓刑一年。
NO.2
人脸信息处理应遵循的法律规则
第一千零三十五条 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”
从法律定义来看,人脸信息属于个人信息保护范畴。我国法律法规并未将人脸信息视为一项单独的权利客体,而是将其作为一种人格利益加以保护,因此在实践中还可能适用其他人格权保护的规定。此外,《个人信息保护法》出台后,根据《个人信息保护法》第二十八条并结合《信息安全技术 个人信息安全规范》附录A的规定,可明确,人脸信息属于敏感个人信息中的生物识别信息。
根据《民法典》第一千零三十五条的规定并结合《个人信息保护法》第五条、第六条、第七条、第十四条、第十七条、第二十九条、第三十条的规定,人脸信息处理者在收集处理信息时应遵循以下规则:
1. 应当遵循合法、正当、必要原则,不得过度收集处理。2. 循公开、透明原则。处理时应当取得个人单独同意,该同意应当由个人在充分知情的前提下自愿、明确作出,必要时还须取得书面同意。3. 在处理前应当告知被处理者下列事项:(1)处理者的名称或者姓名和联系方式;(2)处理目的、处理方式,处理的个人信息种类、保存期限;(3)行使《个人信息保护法》规定权利的方式和程序;(4)处理的必要性以及对个人权益的影响,法律另有规定的除外。
NO.3
如何理解处理人脸信息应遵循的规则
(一)在人脸信息的收集阶段,应当遵循公开、透明原则,取得被处理者的单独同意。
在实践中,大部分处理者在收集时并不会告知处理者而是采用一种较为隐秘的手段将被处理者的人脸信息收集并加以利用或者使用人脸识别技术将非必要的人脸信息作为提供产品或服务的前提条件,违背了公开、透明原则。
人脸信息处理者收集时应取得被处理者的单独同意,值得注意的是,告知并不等同于同意。因通过人脸识别系统收集信息一般是在公共场所中进行,因此以在公共场所收集人脸信息为例。在《信息安全技术个人信息告知同意指南(征求意见稿)》附录D中规定,“告知”的方式可以通过在汽车站、火车站、地铁站、机场、商场、店铺入口显著处张贴告知,例如:本商场/店铺安装有人脸识别系统,以便进行…………(说明使用范围)我们承诺会保护您的人脸等信息安全,详情可向前台咨询或扫描二维码。或者可以在摄像头安装显著处张贴告知,例如:此摄像头用于人脸识别,以便实现…………(说明使用范围)我们承诺会保护您的人脸等信息安全,详情可向前台咨询或扫描二维码。
而“同意”则可以通过当个人信息主体拒绝在公共场所收集其个人信息时,相关公共场所提供不收集个人信息的选择方案,例如,不通过人脸识别的支付方式/进入方式;不成为会员的购买方式等。若人脸识别技术服务协议中以用户同意应用人脸识别技术应用协议作为获得服务的条件的条款,用户的该项同意可视为“无效”。
(二)在人脸信息的使用阶段,为防止不当利用,应遵循合法、正当、必要原则
“合法”,顾名思义是指信息处理者使用人脸信息时应符合我国《民法典》《个人信息保护法》等法律法规的相关规定。“正当”,是指信息处理者在使用人脸信息时须有正当的目的,如以实现某一产品的功能或服务为目的且使用权限应仅限于用户的授权范围,禁止“超范围”使用用户人脸信息。“必要”是指信息处理者所使用人脸信息的类型应与实现产品或服务的业务功能有直接关联;直接关联是指没有上述人脸信息的参与,产品或服务的功能无法实现。同时,“必要”还表现在:人脸识别技术系统原则上不应存储原始个人生物识别信息(如肖像照片),仅存储算法处理后的摘要信息。在对信息收集后及利用完毕后,应即根据“最小化”的个人信息保护原则,缩短面部识别特征的生命周期,通过减少数据的收集达到降低人脸识别技术的法律风险的目的。
(三)在对人脸信息进行流转前,信息处理者应向被处理者履行相应的告知义务。
根据前述规定,处理者处理信息前履行告知义务,可有效避免擅自流转人脸信息情况的发生。实践中,信息处理者会擅自将其所获得的人脸信息与其他主体共享,损害用户的合法利益。例如,用户在某一平台上授权该平台获取其人脸信息并在授权范围内使用,但往往会出现其他平台在未得到用户同意的情况下共享该信息。而随之出现的便是其他平台根据该人脸信息分析用户的性别、年龄后,有指向性地向用户推送商品、服务,甚至出现“大数据杀熟”的情况。
《中华人民共和国民法典》
第一千零三十五条 【个人信息处理的原则】处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
《中华人民共和国个人信息保护法》
第五条 处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
第七条 处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形。
依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。
第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。
第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
第三十条 个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。
第三十一条 个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。
个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。
《中华人民共和国网络安全法》
第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”
根据上述法律法规的规定,我们可以总结出,收集者在收集消费者个人信息中需要遵循以下原则:
(一)收集的信息应当符合合法、正当、必要的原则;
(二)征得被收集者的同意,并告知被收集者信息所使用的范围;
(三)若被收集者不同意以分享人脸识别信息的方式来获取服务,应提供其他可选择的方式。
《中华人民共和国消费者权益保护法》
第二十九条 经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。”
韦金梅 律师
业务领域:企业合规、房地产领域争议解决

