作者 | 北京金诚同达律师事务所律师 刘宗鑫
来源 | 周公说娱微信公众号
上周五,备受关注的“中国人脸识别第一案”一审落锤。
法院最终支持了原告郭兵老师的部分诉求,判令被告杭州野生动物园赔偿郭老师合同利益损失及交通费共计1038元,删除郭老师办理指纹年卡时提交的包括照片在内的面部特征信息。
但与此同时,就郭老师要求确认动物园店堂告示、短信通知中关于“未注册人脸识别用户将无法正常入园”等内容无效的诉讼请求,法院并未支持。
(案件庭审现场)
郭老师在本案中取得胜诉,固然具有里程碑意义。但是,围绕人脸识别的诸多争议,绝非这一纸判决就能终结。
某种意义上说,本案并未触及人脸识别技术中一些更为核心的问题。法律该如何规制人脸识别,仍然任重道远。
01
“人脸识别第一案”始末
“人脸识别第一案”的案情并不复杂。
2019年4月,原告郭老师购买被告杭州野生动物世界年卡,确定使用指纹识别入园方式。郭老师留存了姓名、身份证号码、电话号码等,并录入指纹、拍照。后动物园将入园方式从指纹识别调整为人脸识别,并更换了店堂告示,还两次向郭老师发送短信,要求其激活人脸识别系统,否则将无法正常入园。
此后,双方就入园方式、退卡等相关事宜协商未果,郭老师遂提起诉讼,要求确认野生动物世界店堂告示、短信通知中相关内容无效,并要求赔偿年卡卡费、交通费,删除个人信息。
(动物园宣传告示)
杭州市富阳区法院审理后认为,动物园在经营活动中使用指纹识别、人脸识别等生物识别技术,其行为本身并未违反法律规定的原则要求。但是,在合同履行期间将原指纹识别方式变更为人脸识别方式,属于擅自变更合同的违约行为,应当承担法律责任。
法院同时认为,双方在办理年卡时,约定采用的是以指纹识别方式入园,动物园采集郭老师的照片信息,超出了法律意义上的必要原则要求,故不具有正当性。一审宣判,郭老师胜诉。
介绍完案情,笔者不禁感叹:不知何时开始,“刷脸”开始渗入每个人的生活。“刷脸”可以用支付宝付款、“刷脸”可以进小区、“刷脸”可以进健身房……如此种种,早已司空见惯。
但郭老师是个较真的人。他的胜诉不仅要回了自己的“脸”,更为类似维权案件树立了榜样。郭老师的坚持,值得称赞。
02
“人脸识别第一案”的遗憾
但在笔者看来,本案亦有不少遗憾之处。
根据检索到的公开信息,一审法院并未进一步对动物园收集个人信息的正当性、必要性范围进行论述或界定,或许是本案最大的遗憾。
法院在本案中认为:既然双方在办理年卡时约定采用指纹识别方式入园,那么动物园采集郭老师的照片信息就是不必要的,不具有正当性。
这样的论理,已经足以解决本案中的具体问题。但现实中更普遍的情况是,某些企业、某些APP一上来就要求你“刷脸”,他们在合同里对“刷脸”的要求写的很清楚,你也同意了——这样就万事大吉了吗?
换句话说,假如本案中动物园一开始就要求“刷脸入园”,郭老师也同意了。此时郭老师再起诉,能获得法院支持吗?
此时,我们就将面临一个绕不开的问题:不同主体收集、使用人脸信息的正当性、必要性边界,到底在哪里?
03
为什么人脸信息如此敏感?
由于人脸信息的特殊性,滥用这一信息会直接威胁到我们每个人的人身、财产安全。
首先,人脸信息可以直接识别到个人。每个人的人脸信息都是独特的,且难以更改,无需结合其他信息就可以直接识别到个人。
其次,人脸信息的采集性成本极低,个人无法拒绝。现实中,只需使用摄像头自动抓拍就可以大量采集人脸信息,无须人工操作,甚至无须被采集者配合(如在机场、车站等采集的信息)。
最后,人脸信息具有不可匿名性。不同于访问记录、通话记录等可以实现匿名化的信息,人脸信息无法去身份化或匿名化。因此,人脸信息一旦大规模泄露,造成的损害后果更为严重。
据报道,国内已经出现了“过脸”的黑灰产业,即利用相应的人脸信息和窃取、收买的个人数据在网上注册虚假账号、侵害公民虚拟财产。央视也曾报道,在某些网络交易平台上,只要花2元钱就能买到上千张人脸照片,而5000多张人脸照片标价还不到10元。
如不加以限制,总有一天不法分子会利用收买的人脸信息盗刷我们的银行卡、甚至从事其他违法犯罪活动,后果不堪设想。
04
进个动物园而已,有必要搞人脸识别吗?
正因为潜在后果严重,我国对于人脸信息等个人信息的收集、处理,确立了六个字的原则:合法、正当、必要。
即将生效的第1035条规定:
处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件: (一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外; (二)公开处理信息的规则; (三)明示处理信息的目的、方式和范围; (四)不违反法律、行政法规的规定和双方的约定
上个月刚刚发布的中也规定:
个人信息处理者应当对下列个人信息处理活动在事前进行风险评估,并对处理情况进行记录。风险评估的内容应当包括:个人信息的处理目的、处理方式等是否合法、正当、必要……
在“合法、正当、必要”的大原则之下,个案中正当性、必要性的边界是需要若干下位法规、司法案例、社会实践去充实、细化的。从实践中看,目前我国对人脸信息的收集、使用主要包括以下领域:
1、支付领域。例如金融APP支付前的身份验证,使用支付宝“刷脸购物”等;
2、教育领域。在某些大型考试中,采用人脸识别技术对考生身份进行验证,杜绝替考等违规现象;
3、公共安全领域。在车站、广场等人流密集场所通过人脸识别进行人流量统计,防止拥堵、踩踏等事件发生;
4、司法安防领域。使用人脸识别技术进行罪犯追踪、识别。曾震惊全国的北大弑母案嫌犯吴谢宇,就是在重庆机场被“天眼”系统识别,最终落网的。
笔者以为,收集人脸信息的正当性、必要性来源,一定是为了社会公共利益或者某种对公民个人殊为重要的法益,例如上述追捕逃犯、防止踩踏、确保账户安全等。只有为了保护某种位阶更高的法益,使收集、使用人脸信息成为不可替代的必要手段时,才可以说这种收集、使用的行为是正当、必要的。
但是,对于进动物园这一使用场景而言,即使不采用人脸识别,也可以使用诸如刷卡、刷身份证、手机短信验证等方式入园。为了追求入园的小小便利,要求游客上传敏感的人脸信息,似乎并不必要。
05
写在最后
笔者个人对于个人信息尤其是人脸信息的滥用是十分忧虑的。这并非因为笔者对这项技术的成熟程度没有信心,而是因为在大多数情况下:
我是真的不相信拿走这些信息的人,能够合法合规的使用、存储我的个人信息。
有相同担忧的,肯定不止笔者一个人。最近,清华大学法学院劳东燕教授的一次维权经历登上了热搜。原来,劳教授的小区统一安装人脸识别门禁系统,物业公司要求业主必须提供房产证、身份证、人脸识别信息。劳教授认为物业公司的行为并无法律依据,通过自己的努力,最终使物业公司放弃了收集业主人脸信息的计划。
在接受采访时,劳教授说到:
我最担心的是被收集的数据由谁保管,数据的安全问题。街道办主任说,数据使用局域网存储,也可以保存在政府部门的数据库中。问题是,即便他和我说了在哪里保管、如何保管,之后具体的实情如何,其实我们都是不清楚,无从了解的。 假如是小区内部来保管数据,物业人员或其他工作人员是否会滥用数据,以此牟取非法收益,我们不得而知。由于人脸数据不被允许商业化地使用,对企业来讲,就很难有动力在数据保护方面投入成本。而不在安保方面持续投入成本,人脸数据的安全就会很成问题。
笔者以为,由于部分商家随意泄露我们的手机号码,导致骚扰电话、电信诈骗层出不穷,已经成为屡禁不止的社会问题。如果每个人的人脸信息也像手机号码一样被泄露……后果令人细思恐极。
可喜的是,越来越多的人开始认识到人脸识别背后的风险,并付诸于行动。
今年4月,江苏省宿迁市一家健身中心因违法收集会员人脸照片信息,被宿迁市公安局宿豫分局责令限期整改,并处警告。这也是全国范围内,因违法收集人脸信息被处罚的案件首次公开曝光。
今年10月,杭州市人民代表大会常务委员会发布了关于《杭州市物业管理条例(修订草案)》的说明。条例新增了“不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备,保障业主对共用设施设备的正常使用权”等内容,或将成为中国首部明确写入人脸识别禁止性条款的地方性法规。
加上上周五宣判的人脸识别第一案,我们有理由相信,尽管对人脸信息的控制和合规之路任重道远,但至少,我们正持续走在一条正确的道路上。
-END-
责任编辑 | 李妍靓
审核人员 | 张文硕
获取更多信息
北大法宝
北大法律信息网
法宝学堂
法宝智能 |