2021年8月1日起,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称“司法解释”)正式实施。这是我国首个关于人脸识别适用民事法律问题的法律文件,对个人信息权利保护与平台责任界定,都具有重要指导性意义。
从两年前“人脸识别第一案”,到今年3·15晚会曝光的知名门店非法采集人脸数据事件,再到滥用人脸信息的大数据杀熟,人脸信息已经成为公众最为关心的敏感信息。人脸信息之所以重要,原因在于其不仅是人的面部肖像特征,而且还与个人的金融信息、身份信息、行为信息等密切相关。
尽管人脸信息对自然人如此重要,但其法律性质仍然是民事权利,也就是说,如果自然人自己事先同意授权,那么,信息处理者就会合法采集并使用这些信息。从实践看,信息处理者拿到我们事先的“同意”似乎并不困难,要么直截了当通过“用户协议”的方式获取,要么耍点花招通过与其他权利“捆绑”、作为提供服务的“对价”拿到,再或者在一些特殊情况下通过欺骗、强迫,或变相强迫等方式获取“同意”。
从“同意权”角度看,民法典等其他法律仅明确了人脸信息作为个人信息的组成部分,获取自然人同意是最重要的合法使用要件之一,但没有明确,以非法方式获取同意的类型维权问题。毫无疑问,这些后续问题,无论是对人脸识别法律规制,还是对自然人合法权利保护来说都是最重要的。
司法解释规定,信息处理者在获取自然人同意授权前,应明示人脸信息处理规则,以及使用目的、方式和范围。自然人同意的前提,应该是建立在信息处理者充分告知,权利人充分知情的基础上,如果信息处理者连规则都不明说,这种事先同意授权当然属于违法行为。
比如,我们在使用某款App时,经常会遇到需要进行人脸识别的情况,很多情况下,App平台仅告知需要识别的目的,使用方式和范围都没有明确告知。按照司法解释规定,信息处理者缺乏充分告知所取得的同意授权,属于侵权行为。
比如“人脸识别第一案”中,权利人在购买年票时,经营者没有明确需经过人脸识别才能入园,后来经营者以店堂告示的方式告知权利人,只能通过人脸识别才能进园游览。这种方式既不能表示获取了权利人的同意,也没有告知权利人完整的信息使用范围和方式,当然不属于合法授权。
我们经常遇到一些网络小说、网络游戏和视频服务,用户想要获取更多的服务就必须在已经完成注册信息基础上进行人脸识别,这是典型的以网络服务换取用户人脸信息的行为。司法解释明文规定,除非人脸信息属于产品或服务必需之外,其他用人脸信息“换取”服务或产品的行为都是侵权行为。这种行为既违反了商业伦理,也违反了司法解释,即便事先得到用户同意,也不影响侵权责任的承担。反过来看,如果某款游戏为了依法建立的防沉迷系统,需要使用者的人脸信息,因其合法目的,在充分告知和监护人的同意下获取使用者的人脸信息就属于合法行为。
实践中,我们也经常遭遇一些强迫索权,或者与其他权利捆绑授权的情况,如果用户不同意,就无法享受一些特定服务。比如,在一些小区需要人脸识别进入、一些售卖亭只能使用人脸识别支付、购买某项产品或服务需要绑定人脸信息、注册某些服务需要人脸信息等等。用户为了实现交易需求,不得已进行了“违心”授权。按照司法解释规定,以上这些授权都因存在捆绑、强迫或变相强迫等情况归于侵权类型。事后,权利人既可以向信息处理者提出删除要求,也可以向法院提起侵权之诉。
必须强调,信息处理者所获得人脸信息的授权,不存在“永久性”授权,其期限应与接受产品或服务期限契合,任何超过期限范围的授权,或者超越使用目的的授权,以及违反个人信息合法性、正当性和必要性范围的授权同意,都属于违法行为。该怎么对人脸识别说“不同意”,司法解释给予我们的法制工具要学会充分使用。(作者:朱巍,系中国政法大学副教授)