活动邀请
Shairk INT团队出品,本文贡献者包括宋海新、彭凯、周晨黠、陈婷婷、许中华、郑文洁,均供职于金诚同达律师事务所。
引言
镜头恐惧越来越成为一个社会关切。起初,它是关于“监控视频”的激烈讨论,公共权与私权“博弈”其间,公私之间的那条界线,开始有商事主体介入其中,进而引发公众困惑与质疑。其后,近年来的网络安全、数据安全、个人信息保护话题热度攀升,愈发具象化的公众生活场景被摄像头所渗透,伴之信息泄露事件时有发生、摄像头的识别营销功能叠加等,终在今年的3.15晚会引爆了公众情绪:
谁在偷我的“脸”?
至此,人脸识别技术在司法领域的探讨被提上日程,其与《民法典》个人信息保护相关条款、即将三审的《个人信息保护法》等息息相关,又易引发民事责任新型问题,哪些行为应当被认定为非法处理自然人面部特征信息?损害结果有哪些?侵权责任承担采取哪种归责原则?举证责任如何分配?多个信息处理者如何承担责任?深度伪造、AI换脸引发的侵权救济?同时侵害肖像权、名誉权情形下的责任承担?死者面部特征信息使用引发的侵权救济?细思多有困扰与难点,亟需司法关注与回应。
于是,TA来了。
2021年7月28日,最高人民法院公开发布《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(法释〔2021〕15号,以下简称“《规定》”),人脸识别领域迎来首部专门的司法解释。需要指出的是,7月28日仅为《规定》的公开发布日期,其正式发布日期为2021年7月27日,生效日期为2021年8月1日。
《规定》全文共十六条,条文数量不多,但信息量极其丰富。为了帮助大家快速理解《规定》的重点内容,我们梳理了与《规定》有关的十二个重点问题,供读者参考。
图1
Q1
《规定》的适用范围如何?
简言之,《规定》对人脸信息提供了全方面、多层次、强有力的司法保护。
Q2
侵害人格利益的行为有哪些?
图2
以上七种具体情形囊括了受控环境(需信息主体参与及配合)和非受控环境下人脸识别的应用场景。《规定》在认定这些情形属于侵害自然人人格权益行为的同时,明确了其可诉性,即只要存在其中一种或几种情形,自然人即可依据《中华人民共和国民法典》《中华人民共和国民事诉讼法》等法律规定提起民事诉讼。其中,尤其应予以关注的是处理人脸识别信息应征得单独同意或书面同意。对此,我们将在Q3中展开探讨。
Q3
如何获得单独同意/书面同意?
“单独同意”、“书面同意”首次相关的表述见于《信息安全技术 个人信息安全规范》(GB/T 35273-2020,以下简称“《个人信息安全规范》”),正式单独使用该等表述首见于《个人信息保护法(草案)》。
在理解“单独同意”、“书面同意”之前,我们先来看一下人脸信息在《个人信息安全规范》《个人信息保护法(草案)》《个人信息保护法(草案二审稿)》项下的相关界定。
《个人信息安全规范》第5.4c)条规定:
收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意;注:个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。
《个人信息安全规范》第9.2i条规定:
个人生物识别信息原则上不应共享、转让。因业务需要,确需共享、转让的,应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。
根据《个人信息保护法(草案)》第二十九条第二款,结合《民法典》《个人信息安全规范》等法律法规和国家标准的规定,人脸信息应属该款规定的个人生物特征,进而属于《个人信息保护法(草案)》项下规定的“敏感个人信息”。该规定在《个人信息保护法(草案二审稿)》第二十九条得以全部沿用,未作修改。
在了解了人脸信息的界定后,我们接下来一起看一下与人脸信息直接相关的“单独同意”或“书面同意”的规定。
该等规定首见于《个人信息保护法(草案)》第三十条,其规定:
“基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。”
该规定在《个人信息保护法(草案二审稿)》第三十条亦得以全部沿用,未作修改。
1、“单独同意”的理解与把握
从“单独同意”的实现看,此前相当一部分App仅通过《隐私政策》获得处理人脸信息同意的方式,难以论证获得了单独同意。建议在用户首次使用人脸识别功能时,一并采取如下合规安排:
(1)通过单独弹窗等方式;
(2)借助《人脸识别信息处理规则》等专门文本向用户告知人脸识别的处理规则;
(3)通过用户手动点击确认、主动勾选等方式获得用户的明示同意。
此外,如果人脸信息并非必须收集的个人信息或者并非只能通过人脸识别的方式实现验证等目的,应为用户提供替代选项,在用户拒绝人脸识别功能时确保可以通过替代选项完成验证等,进而可以正常使用业务功能。 以App登陆为例,可以通过刷脸登陆、指纹登陆、手势密码登陆等进行身份验证并在验证通过的情况下正常使用App。
2、“书面同意”的理解与把握
从“书面同意”的实现看,如果法律、行政法规规定处理人脸信息应征得书面同意的,应获得自然人或者其监护人的书面同意。从初步理解的角度,这里的“书面同意”可能指向用户手动签署纸质文件、用户主动发送邮件表达同意等方式。
Q4
影响民事责任大小的因素有哪些?
图3
从影响责任大小的因素可以看出,处理人脸识别信息的对象、处理过程的合规程度以及造成的结果,将直接影响民事责任的大小。在处理过的一些个人纠纷案件中,我们发现部分企业的合规程度不容乐观,这为己方的抗辩和举证都带来了较大的负面影响,相对较为被动。为此,我们将在Q12为大家提供针对性、系统性的合规建议,供企业参考。
Q5
获得同意就“高枕无忧”了吗?
诚然,同意是我国现行法律框架下处理个人信息的主要合法基础。但处理人脸信息的同意应是基于真实意思表示的自愿的同意。
根据《规定》第四条,如果强迫或者变相强迫自然人同意处理其人脸信息,该等情形下的同意并非信息主体的真实意思表示故不被认可,不能作为企业处理人脸信息的合法性基础,该等抗辩将不予支持。
除兜底规定外,这里的强迫或者变相强迫同意处理人脸信息,主要包括除必需外不同意就不能用、捆绑授权等方式要求同意。实践中相应的违法违规情形并不少见,存在该等问题的企业应及时整改。
Q6
免责事由包括哪些?
图4
相较于《民法典》第1036条,《规定》对免责事由的细化和调整主要在于进一步强化了个人利益和公共利益的平衡,明确了应对突发公共卫生事件、维护公共安全等处理人脸信息情形下的免责。
当然,需要强调的是,免责事由本身,即决定了该等情形原本应具有违法性,只不过通过该条的规定明确了违法阻却事由,对其进行了免责。而且,该条规定多处使用“合理”作为限定语,但如何界定是否“合理”,存在较大的不确定性,可能要根据个案进行具体判定。
因此,企业需要避免对免责事由的过分依赖,而应主要依据《民法典》第1035、《网络安全法》第41条等法律的规定,通过取得处理个人信息合法性基础的方式来处理个人信息。否则一旦无法适用该条规定,违法性相对应的后果,就是企业需要承担相应的法律责任。
Q7
举证责任如何分配?
对于企业而言,为完成这样的举证责任,不仅要做好人脸信息相关的合规安排,还要做好相应的“留痕”,确保能够证明已经采取了符合法律法规规定的处理人脸信息的合规措施或者能够适用免责事由,否则可能承担举证不能的不利后果。
Q8
责任范围包括哪些?
1、财产损害赔偿的范围?
从财产损害赔偿看,其更多的在于对财产损失的补偿,适用的是《民法典》第1182条这一人格权益损害赔偿的一般性规定。其适用如下:被侵权人因此受到的损失或者侵权人因此获得的利益可以确定的,按照该等金额赔偿;二者均难以确定且争议双方协商不成的,由法院根据实际情况确定赔偿数额。
2、合理维权费用能够支持吗?
在人脸信息相关纠纷、个人信息纠纷等案件中,其可能都会存在一个特点,即侵害人脸信息、个人信息并无具体的财产损失,相关获益可能也难以直接计算。但是,自然人为了开展维权工作,其支付的费用可能会比较大,而维权成本也会在相当程度上影响维权意愿。
鉴于此,除适用《民法典》第1182条外,《规定》明确被侵权人为制止侵权行为所支付的合理开支以及合理的律师费用可作为财产损失请求赔偿。这里的“合理开支”主要包括维权人或者其委托代理人对侵权行为进行调查、取证的费用,且该等费用的具体项目及金额在合理范围内。例如,从理解的角度,维权人为了调查所必需而支出的差旅费等,可能可以纳入这里所说的“对侵权行为进行调查、取证的合理费用”。
3、是否可以主张精神损害赔偿吗?
《规定》未对精神损害赔偿作出直接规定,那么还可以主张精神损害赔偿吗?
答案是肯定的,在符合特定条件的情况下可以主张精神损害赔偿。
《民法典》第1183条对侵害自然人人身权益的精神损害赔偿进行了原则性的规定,《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释(2020修正)》对精神损害赔偿作出了细化规定。
举例来说,如果人脸信息的处理侵犯了自然人的隐私权,那么,被侵权人在提起民事诉讼时就可以依据《民法典》第1183条等规定主张精神损害赔偿。
Q9
格式条款无效如何适用?
《规定》第十一条特别指出,“信息处理者采用格式条款与自然人订立合同,要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利,该自然人依据民法典第四百九十七条请求确认格式条款无效的,人民法院依法予以支持。”该条所引的《民法典》第四百九十七条所规定的格式条款无效的三类情形中,“不合理地免除或者减轻其责任、加重对方责任、限制对方主要权利”以及“排除对方主要权利”是最有可能符合人脸识别场景的。
格式条款在人脸信息使用过程中是非常常见和普遍的现象,意味着绝大部分人脸信息的授权条款都很可能被纳入格式条款的范围内。虽然该条款依然为引致条款,但其所指明的“要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利”这一情形将被落入不合理地限制甚至排除自然人在该事项上主要权利的范畴,并进而可能导致此类约定无效。
在实践中,相较于在格式合同中直接规定要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利,更为常见的是处理方未告知自然人将在多长期限内存储人脸信息、如何撤销人脸信息以及如何将人脸信息共享给第三方等内容,并进而导致自然人相应权利的落空,这些问题与强制索取同意一样,是目前急需改善的合规痛点。
Q10
可以主张违约责任吗?
答案是肯定的。
《规定》第十二条特别指出,“信息处理者违反约定处理自然人的人脸信息,该自然人请求其承担违约责任的,人民法院依法予以支持。该自然人请求信息处理者承担违约责任时,请求删除人脸信息的,人民法院依法予以支持;信息处理者以双方未对人脸信息的删除作出约定为由抗辩的,人民法院不予支持。”
值得注意的是,《网络安全法》第四十三条已经规定,“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息”,《GB/T 35273-2020 信息安全技术 个人信息安全规范》中也有类似规定。在此基础上,《规定》第十二条特别将删除人脸信息作为违约责任的承担方式之一,一方面这种违约责任的规定方式较为特殊、值得关注,另一方面也在一定程度上再次宣示了企业的合规义务。
除了第十二条的明确规定外,《规定》通篇将“双方约定”纳入判断是否侵害自然人人格权益的考量标准,亦说明自然人通过合同关系主张信息处理者承担违约责任的可行性。
Q11
《规定》有溯及力吗?
先说答案,没有溯及力。
《规定》第十六条第一款明确了其生效日期为2021年8月1日,第二款明确了在《规定》施行之前发生的人脸信息处理行为不适用《规定》。换言之,自2021年8月1日起发生的人脸信息处理行为,如侵害自然人人格权益,适用《规定》。
这也是对“法不溯及既往”这一基本原则的遵守和沿用。
Q12
企业应如何应对?
对于企业而言,应立即对照《规定》,迅速、深入、有效开展人脸信息的合规安排,以减少因违法违规处理人脸信息侵犯自然人人格权益而引起相关纠纷,更好地迎接《个人信息保护法》的到来。
具体应对建议主要包括:
结 语
往期精彩回顾