随着市场精细化程度的深入,人脸识别技术的应用已呈纵深化趋势,不仅普遍存在于刷脸支付、人脸搜索等智能终端应用,而且被广泛应用于社会活动各类领域,并逐渐渗透至社会生活的方方面面。在享受经济社会发展带来便捷红利的同时,我们谁都不希望自己成为“透明人”,个人信息被不熟知的人或领域知晓,但是对此法律保护的范围和力度又是如何呢?
案例介绍:
2019年4月27日,郭兵一家前往杭州野生动物园游玩时购买了一张双人年卡。时隔不久,该动物园在未与郭兵协商也未征得其同意的情况下,短信要求年卡用户进行人脸识别注册,如不注册将无法入园,也无法办理退卡退费手续。郭兵(下称“原告”)以杭州野生动物世界有限公司(下称“被告”)变相强制收集人脸识别信息侵害用户合法权益为由,依据《网络安全法》及《消费者权益保护法》等相关法律规定提起诉讼。2020年11月20日,杭州市富阳区人民法院一审公开审理本案,法院支持了原告的部分诉讼请求。
法院判决认定“被告基于年卡用户可在有效期内无限次入园畅游的实际情况,使用指纹识别、人脸识别等生物数据识别技术,以达到甄别年卡用户身份、提高年卡用户入园效率的目的,该行为本身符合法律规定的‘合法、正当、必要’三原则的要求。”原告郭兵对这一判决结果并不满意,提出上诉。二审法院杭州中院认为,野生动物世界单方面将指纹识别入园变更为人脸识别入园构成违约;欲将收集的照片运用至人脸识别,超出事前收集目的,存在侵害郭兵面部特征信息之人格利益的可能与危险。不过,一审法院对郭兵未支持的诉求,二审法院同样大部分未予支持。
案例所涉法律疑难点:
判决书对动物园收集被告照片信息未告知将用于人脸识别的行为本身是否构成侵权,对被告收集人脸信息范围的正当性、必要性没有做出认定,但为什么认定动物园违约并且具有存在侵权的可能危险,却又不支持原告诉求这一结果?这归结于我国人脸技术使用存在的必要性、合法性、合理性,法律对此既做出保护规定,又作出限制性规定。
一、作为隐私权的人脸识别在法律上的地位
1、法律保护的范围
我国现行立法体例中,没有专门对人脸识别做出法律上的定义,人脸识别信息归在个人信息下,同属隐私权,与其他具体权利共同构成人格权范畴,包括生命健康、姓名、肖像、名誉、荣誉、信用、隐私等权利,这些权利属绝对权,它的义务义务是权利人以外的所有其他自然人、法人和非法人组织。这些义务主体负有对他人隐私不可侵犯的义务,不得以任何方式进行刺探、侵扰、泄露、公开等,违反这些义务构成对权利的侵害,应当承担民事责任。
具体表现在以下几个地方:
首先,《民法典》在人格权编第六章规定了隐私权和个人信息保护,第1032第一款规定:自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。第1033条规定了侵犯隐私权的具体行为,在《民法典》其他章节内确立了一般个人信息的收集、存储、使用、加工、传输、提供、公开应遵守第1035条的规定,明示处理信息除征得当事人的同意外,还要出示采取的规则、目的、方式和范围;范围涵盖个人信息的收集、存储、使用、加工、传输、提供、公开等。该范围与《网络安全法》和《加强网络信息保护的决定》的规定相一致,针对网络运营者收集、使用个人信息,也应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。同时,网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
第二、个人信息权益保护的是自然人的人格利益。根据民法典第九百九十条第二款规定:“除前款规定的人格权外,自然人享有基于人身自由、人格尊严产生的其他人格权益。”可以将自然人的个人信息权益归入自然人基于人身自由、人格尊严产生的其他人格权益。民法典第一千零三十七条和第一千零二十九条对个人信息权益的具体内容作出了规定。
第三、寻求侵权责任法律保护
根据《侵权责任法》第二十一条【预防性侵权请求权】侵权行为危及他人人身、财产安全的,被侵权人可以请求侵权人承担停止侵害、排除妨碍、消除危险等侵权责任。
2、法律保护的局限和难度
(1)权利的法定让渡
经济快速发展,社会经济活动脚步变得飞快,作为个体的我们在享受信息技术发展红利的同时,也应当对个人信息的合理收集和利用保持适度的容忍,即需要让渡部分权利,《民法典》第一千零三十六条对个人权利的保护上也做出一定的限制规定,即除权利人同意外,为促进社会公共利益且在必要范围内、为维护公共利益或者该自然人合法权益,合理实施的其他行为。包括学校、科研机构等基于公共利益为学术研究或者统计的目的,经自然人书面同意,且公开的方式不足以识别特定自然人;自然人自行在网络上公开的信息或者其他已合法公开的个人信息等。
(2)法律保护的难度
同普通侵权类案件相比,抛开正当、合法、合理的收集因素外,个人信息在被违法或不当收集或泄露的行为本身,还只是侵权的一个环节,动物园仅收集信息,尚不足以构成完整的侵权要件。对于已经造成了实质性损害的,涉及归责原则和举证责任分配问题,以侵犯隐私权主张权利;但对尚没有实质性损害、却已使被侵权人处于一种不稳定的状态之中的,还属社会生活中普遍的样态,如以尚未造成损害之前、以个人信息权益、隐私权等未来可能遭受损害为由要求对方承担侵权责任,从诉讼策略来看,未受到实质损害的被泄露信息者多以侵犯隐私权为由要求精神损害赔偿,目前存在争议,笔者认为还属于“纸质的权利”,无法在实践中获得法律的切实保护,因为个人精神或心理波动程度不同,在法律上追求保护的程度和强度也不同,不同裁判者对个人信息也有着不同的裁判偏好,个人信息被侵犯后所遭受的精神损害目前还没有上位到从全社会总体水平上高度来看待。
民法典第1037条规定:“自然人有权向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施;自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。”第1038、1039条规定了信息收集者的义务,但却没有规定造成泄密的补救措施和赔偿责任,从中可以看出,对于没有结果的侵权,还无法实现实际意义上的补救。
三、个人信息保护的有效途径
人脸识别信息具有特殊性和高度敏感性,技术上存在非接触性,能够隐蔽地获取人脸信息并能将其与个人身份、偏好、位置、财产等信息关联,仅以侵权责任为据行使保护权,并不是所有的人都愿意看到的方式,更多的时候还是希望能从源头加以解决,在现有法律规定有限的情形下,我认为,最好的办法应该从合同法律关系着眼考虑,因为任何权利的保护,只要不是违反法律强制性规范的,约定大于法定,不包括合同法定的义务之外(比如和电脑维修人员之间建立的是服务合同,但维修人获悉电脑主人在电脑中存储了大量的敏感个人信息,如果维修人将这些敏感个人信息泄露,导致电脑主人权益受到了损害,应承担损害赔偿责任,此类不是约定赔偿,属法定赔偿,但要权利的范围仍受损害事实结果限制。)存在约定的保护力度要远大过出现结果的亡羊补牢要理想得多。合同约定的条款,可以最大程度满足违约金请求权。约定个人信息保护条款的合同中,如果约定了违约金,则当一方当事人违反个人信息保护条款时,需要按照合同的约定承担违约金责任,且不以是否实际造成损害为前提。
1.虽然很多时候存在于一方以社会公共事务角色出现,但绝大多数双方行为本质上都是合同关系,个人与之在达成意向时,有权做出价值层面的判断和选择,比如在办理游乐园、健身房、公园年卡或年票时,出现“人脸技术识别”等单方条款,当认为类似“人脸识别技术”运用可能会存在侵犯个人隐私权时,需要我们做出权利比较的价值判断。
2.有些民事行为双方在订立合同时,可以设立专门的个人信息保护条款。比如,在健康体检、医美服务类合同中,双方可约定:最终形成的综合体检报告资料存放于专门的隐私保管箱,除顾客本人持身份证可以开箱查阅、复制外,其他任何人都无权查阅该报告资料。合同成立生效后,如果该健康体检服务机构并未将体检报告资料放入专门的隐私保管箱,而只是放置到普通的文件柜中,则应认为其违反了双方合同中的个人信息保护条款,顾客本人有权请求该健康体检机构按照个人信息保护条款的内容履行高级别的保管义务。在此,顾客向相关机构主张权利的请求权基础是民法典第八章“违约责任”相关内容,可以获得赔偿。
