商场开启人脸识别摄像头,信息被“无感”收集;小区启用人脸识别门禁系统,不同意不让进;APP捆绑授权强制索取人脸信息,不确认不让用……商家、物业、APP的哪些行为违法?
针对人脸识别信息利用方式的“野蛮生长”,最高人民法院发布规定并于近日在全国施行,对经营场所滥用人脸识别技术、小区“刷脸”进门等问题进行规范。那么,什么行为构成滥用人脸识别信息?普通群众又该如何维权?
“人脸信息”在法律上如何界定?
近年来,人脸识别技术广泛应用于移动支付、设备解锁、数据分析等场景,给人们的工作和生活带来了巨大的便利,但信息处理者对于人脸信息的疯狂采集和无序管理,引发了公众对于隐私和数据安全的担忧。人脸信息首先涉及个人的肖像,其次还包括健康、年龄、心理等信息,一旦泄露或遭受侵权,将会给个人的尊严、隐私、平等等权利带来严重影响。
北京一中院法官认为,我国《民法典》对个人信息保护做出规定,所谓个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息等。人脸信息作为生物识别信息的一种,自然属于民法典保护的个人信息范畴。
最高人民法院发布的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第一条明确,处理“人脸信息”和“基于人脸识别技术生成的人脸信息”均是需规制的对象。
该《规定》所应用的场景不仅包括宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等公共场所,还包括小区物业和线上应用场景。《规定》规制的是人脸信息处理的全流程,即收集、存储、使用、加工、传输、提供、公开等。
经营门店“无感式”收集人脸信息违法
前不久一些知名企业的门店被曝擅自采集进店消费者人脸信息,商家利用上述信息进行消费者性别、年龄、购买情况甚至心理的数据分析,目的在于针对不同的消费者采取不同的营销策略。个别房地产开发商对目标客户进行人脸识别和分析,导致客户“戴头盔看房”的奇葩现象。
对于这种“看人下菜碟”的行为,该《规定》第二条中明确指出,在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析的情形属于侵害自然人人格权益的行为。因此,商家不仅不应违法使用采集到的人脸识别数据与存储的人脸识别数据进行验证、辨识,而且更不应违法使用人脸识别数据分析个人的年龄、健康、情绪、心理等具有个人特征的信息。
物业强制要求验证人脸信息进出小区违法
有的小区装上人脸识别系统,告知业主必须通过人脸识别才能进入小区。针对此种情形,该《规定》第十条明确规定:“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。”
因此,小区物业无权要求业主将人脸识别作为进出小区的唯一验证方式,物业管理者如使用人脸识别门禁系统,在录入和使用人脸信息时应征得业主或物业使用人的明示同意,对于不同意将人脸识别信息作为唯一验证方式的,小区物业应提供替代性验证方式。
应用程序捆绑授权、强迫同意索取人脸信息违法
很多人使用APP时可能遇到以下情况:要求用户同意APP处理其人脸信息才提供服务,否则立即闪退;以其他类型的授权,如读取照片权限捆绑人脸信息权限来获取用户的同意。
针对上述“强取”行为,《规定》第四条指出,即使信息处理者已经获得自然人关于处理其人脸信息的同意,只要信息处理者有以下情形之一:要求自然人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外;信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的;强迫或者变相强迫自然人同意处理其人脸信息的其他情形,自然人的同意并不妨碍对信息处理者违法行为的追责。
泄露、篡改、丢失人脸信息违法
人脸信息并非完全被禁止收集,但信息处理者要保证安全。人脸信息属于高度敏感的个人信息,一旦泄露将会对个人的人身和财产安全造成极大危害。
对此,该《规定》中明确指出,信息处理者未采取应有的技术措施或其他必要措施确保收集、存储的人脸信息安全,致使人脸信息泄露、篡改、丢失以及违反法律、行政法规的规定或者双方的约定,向他人提供人脸信息的情形,均构成侵害人格权益的行为。
遇商家“索脸”要注意什么?
首先是“公示”规则。该《规定》第二条第二项指出,未公开处理人脸信息的规则或者未明示处理的目的、方式、范围,法院应认定属于侵害自然人人格权益的行为。面临商家等信息处理者索取人脸信息时,一定要求商家公开如何处理人脸信息等规则。若遇未公开或未明示等情形,信息处理者就可能构成侵犯人格权益。
其次,“单独同意”与“强迫同意无效”规则。《规定》第二条第三项指出,基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意,人民法院应当认定属于侵害自然人人格权益的行为。
今后,需调用人脸识别信息的应用程序首次开启这一功能时,不得将同意条款穿插在其他条款中,获得“一揽子同意”,而应通过弹窗或其他专门页面的形式仅对同意获取人脸信息的条款予以单独展示。
若遇点击“不同意”APP就不允许使用的情形,即符合上述违法情形之一。即使信息主体点击了“同意”,也不能视为人脸信息处理者获得了真正的同意和有效授权。《规定》第四条明确:“有下列情形之一,信息处理者以已征得自然人或者其监护人同意为由抗辩的,人民法院不予支持:信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外;信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的;强迫或者变相强迫自然人同意处理其人脸信息的其他情形。”对于信息处理者采取不当方式强迫或变相强迫自然人同意处理其人脸信息的,应予禁止。
最后,“无期限限制、不可撤销等格式条款无效”规则。《规定》第十一条指出:“信息处理者采用格式条款与自然人订立合同,要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利,该自然人依据民法典第四百九十七条请求确认格式条款无效的,人民法院依法予以支持。”
要求信息主体授予无期限限制、不可撤销、可任意转授权等处理人脸信息的权利的条款,属于民法典中规定的“提供格式条款一方不合理地免除或者减轻其责任、加重对方责任、限制对方主要权利”的情形,应属无效。
滥用人脸识别技术要担何责?
此外,信息处理者滥用人脸识别技术可能构成人格权侵权责任、合同违约责任等。在侵权责任框架中,自然人受侵害的权益既包括个人信息权益,也包括肖像权、隐私权、名誉权等人格权及财产权;在违约责任框架中,自然人可按照约定请求信息处理者承担相应违约责任,同时可要求信息处理者删除人脸信息。
关于赔偿的范围,被侵权人可以向侵权人主张侵犯其人格权益导致的财产损失,还可主张对侵权行为进行调查、取证的合理费用,甚至可将合理的律师费用计算在赔偿范围内。
