作者:王欣 欧玉洁 王丹阳 金杜律师事务所争议解决部

一、引言

近日,最高人民法院发布通知,于2021年8月1日起施行《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《规定》),该规定作为保护“人脸”安全的又一坚盾,与《民法典》《侵权责任法》《消费者权益保护法》《侵害消费者权益行为处罚办法》等一起构建了保护“人脸”安全的防线。

伴随人工智能技术的迅速发展,人脸识别的具体应用也逐渐普及,在智慧城市、金融、安防、疫情防控等诸多领域,人脸识别技术均开始发挥巨大的作用。作为最为准确的生物识别信息之一,人脸信息一旦泄露,对个人的人身、财产乃至社会管理、公共安全所带来的危害都将是巨大的。这使得人们在享受人脸识别技术所带来便利的同时,愈发关注人脸信息的安全与保护问题,人脸识别技术的过度使用也不断引发人们反思。去年年底,一则“带着头盔去看房”的视频引爆网络,开发商销售现场涉嫌滥用人脸识别技术的现象也引发了持续的讨论。

以房屋销售现场应用人脸识别技术为例,以下我们将就《规定》的相关重点内容进行解读。

二、重点内容解读

除传统肖像权保护规范之外,人脸信息已经作为个人生物识别信息被纳入个人信息范畴,有关个人信息保护的规范,均可适用于人脸信息保护。

我国《民法典》于第四编人格权中专门设置第六章“隐私权和个人信息保护”,对自然人的“人脸”信息安全作出了相关规定:(1)个人信息包括了生物识别信息(即包含了“人脸”信息);(2)个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等;(3)处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:①征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外②公开处理信息的规则③明示处理信息的目的、方式和范围等;(4)处理个人信息的免责情形;(5)信息处理者负有采取技术措施确保其收集、存储的个人信息安全的防泄漏义务。[1]

《消费者权益保护法》[2]《侵害消费者权益行为处罚办法》[3]中,针对经营者收集、使用消费者个人信息应当遵循的原则、应当履行的前置程序、经营者的禁止性行为、消费者个人信息的概念也进行了规定。

但以上法律规定中,均未将“人脸”信息作明确列举,人脸信息虽具有独特的识别性、准确性以及广泛的可应用性,与其他个人信息相比,并未引发立法者的专门的关注。

目前,我国正式的《个人信息保护法》尚未出台,2021年04月29日发布的《个人信息保护法(草案二次审议稿)》(下称“草案”)则创设性的提出了敏感信息的概念,人脸信息作为最具有个人生物特征的信息之一,被纳入敏感个人信息范畴,对其处理需严格遵循草案第二章第二节中“敏感个人信息的处理规则”[4]。此外,该草案还要求国家网信部门统筹协调有关部门针对敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准[5]。本次《规定》,延续了前述《民法典》《消费者权益保护法》中关于个人信息的收集、处理原则、处理个人信息的免责情形、信息处理者的防泄漏义务等相关规定;但其以人脸识别技术作为标题关键词,着重突出了人脸信息的保护。从《规定》内容来看,我们认为下述内容尤为值得关注:

(一)《规定》第二条第一项创设性的列举了属于侵害自然人人格权益的行为之一为“在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析”,其将经营场所这一类的地点进行了突出。

(二)《规定》第三条、第十二条等分别规定了信息处理者违反规定或约定时应承担的侵权责任或违约责任,以司法解释的明确规定的方式,释明了信息处理者的相关法律责任,后续纠纷中适用法律责任时将更加明确。

(三)《规定》第四条以列举的形式明确了信息处理者以已征得自然人或者其监护人同意抗辩属于无效抗辩的常见情形:(1)信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外;(2)信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的;(3)强迫或者变相强迫自然人同意处理其人脸信息的其他情形。

(四)《规定》第六条对信息处理者的举证责任进行了规定,即原则上仍遵循“谁主张、谁举证”的举证规则,但若信息处理者主张其系遵循合法、正当、必要原则处理个人信息,或主张其不承担民事责任的,其应对此承担举证责任。

(五)《规定》第八条第二款规定了信息处理者侵权时,被侵权人财产损失的范围,除一般的为制止侵权行为所支付的合理开支外,还包括了调查、举证费用及合理范围内的律师费用。鉴于一般情况下,调查费用、律师费用等并不会被纳入财产损失的范围,而《规定》对上述费用的列举,将在未来的司法审判中,加大对上述费用的支持力度,进而更有利于保护相关自然人的个人信息。

(六)《规定》第十一条规定了人脸识别领域中信息处理者订立的可能属于无效格式条款的类型,包括但不限于“要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利”,也就是说,信息处理者需避免上述条款出现在其与自然人订立的使用人脸信息的相关格式条款中,以免被认定为无效。

三、《规定》对房屋销售现场人脸识别技术应用的影响

目前,开发商房屋销售现场人脸识别技术的主要应用场景,系用于购房客户分类。房产销售多通过两种渠道,其一是购房人自然到访,其二是通过中介机构带访。就带访购房人而言,开发商每成交一套房屋,需向中介机构支付不菲佣金,且由于中介渠道走量更大,往往可以拿到价格优惠。故为争取更多自然到访客户,防止中介机构“截客”,开发商利用人脸识别系统来辨别客户首次到访情况的现象十分普遍。

由于具体操作上的不规范,在《规定》出台之前,基于《民法典》《消费者权益保护法》《侵害消费者权益行为处罚办法》等相关法律法规,已有开发商因销售现场滥用人脸识别技术而遭受行政处罚的多起案例发生:

1、宁波某公司行政处罚案。宁波某置业公司为了确认客户是否是系分销商介绍而来,于2019年5月14日开始安装和使用人脸抓拍系统。通过分销商介绍而来的客户,分销商会提前将客户信息向该公司进行报备,该报备信息上传系统。通过分销商介绍的客户正式签订购房合同时,该公司通过人脸认证机对客户人脸生物识别信息和身份证信息进行集中采集,系统自动将之前与该客户相关的报备信息、历次到访售楼处所摄取的人脸生物识别信息归集至该客户名下,如该客户首次到访售楼处时间与分销商报备时间对应符合,该公司据此向分销商结算佣金。该公司虽然在其售楼处入口贴了标识信息“您已进入监控采集区域”,但未明示收集、使用信息的目的、方式和范围,并未经客户同意。后该公司因侵害消费者依法得到保护的个人信息权利被宁波市市场监督管理局处以行政处罚。[6]

2、杭州某置业公司案。为促进销售,该公司开展了全民营销、老带新奖励、中介分销转介营销活动,并于2020年11月通过安装摄像头人脸抓拍系统识别区分案场访客的来源。在购房人签订购房买卖合同时,该公司通过购房人身份证信息和再次人脸识别,匹配出其首次到访时间、到访次数等信息,用来区分购房者的来源渠道,并据此与分销商或推荐人结算佣金奖励。杭州市上城区市场监管局认为,该公司虽在其售楼处通过告示牌表明将会采集人脸及个人信息用于查询来访记录和签约管理,但未明示收集、使用信息的真实目的和范围,采集人脸信息的过程也未经消费者同意,违反了《消费者权益保护法》相关规定,故对其责令改正并罚款25万元[7]

此前,包括昆明、惠州、天津、杭州等多地已出台相关文件,要求包括房屋销售场所在内的区域规范人脸识别系统使用行为。

部分省市发布关于规范人脸识别系统使用行为的通知
发布时间 地区 通知主要内容 规范使用区域
2021年4月1日 昆明[8]

1、不得强制消费者通过指纹、人脸识别等方式进入商品房销售场所或使用公共设施设备。

2、确有必要使用人脸识别系统的,房地产开发企业应当明确表示人脸识别区域及个人信息采集使用用途,未经消费者本人同意,不得使用人脸识别系统进行信息采集。

——昆明市住房和城乡建设局《关于规范商品房销售场所人脸识别系统使用行为的通知》

房产销售场所
2021年 惠州[9]

1、未征得消费者本人书面同意,不得使用人脸识别系统收集消费者的人脸信息。

2、若需采集人脸信息须获得消费者本人签署的同意书,并向消费者明示收集和使用信息的目的、方式、范围等内容。

3、要求开发企业须于4月9日完成人脸识别系统安装排查工作,并报属地房屋销售管理部门备案。

4、开发企业应在4月15日前将先前非法采集的人脸信息彻底删除,并将删除整改情况报属地房屋销售管理部门备案。

——惠州市住房和城乡建设局《关于规范商品房销售场所使用人脸识别系统的通知》

2020年12月1日 天津[10]

1、市场信用信息提供单位采集自然人信息的,应当经本人同意并约定用途,法律、行政法规另有规定的除外。

2、市场信用信息提供单位不得采集自然人的宗教信仰、血型、疾病和病史、生物识别信息以及法律、行政法规规定禁止采集的其他个人信息。

——天津市人大常委会《天津市社会信用条例》

全行业
2020年10月28日 杭州[11]

物业服务人不得强制业主通过指纹、人脸识别等生物信息方式进入物业管理区域、公共通行区域或者使用共用设施设备。

——杭州市人大常委会《杭州市物业管理条例(修订草案)》

小区物业

由上述案例及规定可以看出,销售现场未按规定使用人脸识别,需承担一定的行政责任。本次《规定》作为适用于平等民事主体之间因使用人脸识别技术处理人脸信息所引起的相关民事纠纷的统一司法规定,则主要从民事责任(侵权责任、违约责任)角度明确了滥用人脸识别技术处理人脸信息行为的性质和责任,为民事主体追究相关主体滥用人脸识别技术、不当处理人脸信息等行为的责任提供了实操指引。

(一)从侵权责任的角度

《规定》第二条首先列举了信息处理者构成侵害人格权益的不当处理人脸信息的行为;在开发商等信息处理者因不当使用人脸识别技术已然构成侵害人格权益行为的情况下,《规定》第三条更进一步,明确了在认定信息处理者应承担的责任时,所需考虑的具体因素,包括需关注受害人是否为未成年;《规定》第八条更进一步,就侵权行为造成财产损失的情形下,规定信息处理者应赔偿受害人的财产损失,该等损失包括受害人为制止侵权行为所支付的合理开支(如调查、取证的合理费用,合理的律师费用等)。

此外,《规定》第四、五条分别列举了信息处理者不得予以免责或可以免责的情形,第六条则分配了信息处理者与受害人双方的举证责任,第七条为多人侵权的责任承担,第九条规定了人格权侵害禁令的适用情况。

可以说,本次《规定》从侵权责任的角度,对信息处理者不当行为追责的法律适用提供了体系化的解释。具体到房地产企业于销售现场时的常见操作而言,鉴于处理人脸信息并非现场销售商品房所必需,下列行为在适用《规定》时将被认定为侵权:(1)于销售现场门口列示指示牌,载明进入销售现场即视为同意接受人脸信息收集等的条款;(2)房地产企业将接受人脸识别与销售或推介行为捆绑,或者将人脸识别嵌入销售环节、使接受人脸识别成为销售环节的前置条件的。

依循本次《规定》,购房人或其他被不当人脸识别、被不当处理人脸信息的自然人,均可据此要求开发商承担民事责任。

(二)从违约责任的角度

《规定》第十一条、第十二条分别就人脸信息格式条款的效力、信息处理者违反约定处理人脸信息的违约责任作出规定。

截至目前,我们暂未发现开发商以签订格式条款的方式主张购房人已授权其使用人脸识别技术或处理人脸信息的案例。但随着《规定》将《民法典》中关于自然人“同意”处理个人信息的条件进一步明确为自然人或其监护人的“单独同意”,不排除开发商为继续使用购房人人脸信息而与购房人签订格式合同的情形。根据《规定》第十一条,开发商在格式合同中要求购房人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利的,购房人可主张该等条款无效;根据《规定》第十二条,开发商违反约定处理人脸信息时,购房人可要求其承担删除人脸信息等违约责任。

值得一提的是,包括侵害人脸信息等个人信息权益的纠纷中,“由于实践中受害者分散、个人维权成本高、举证能力有限等因素,个人提起诉讼维权的情况相对较少”。[12]最高院认为,公益诉讼制度能够有效弥补这一不足,故本次《规定》积极倡导了民事公益诉讼。结合《民事诉讼法》第五十五条[13]、《消费者权益保护法》第四十七条[14]等相关规定,若开发商滥用人脸识别技术或有其他不当处理人脸信息行为,并构成对众多消费者个人信息权益的侵害的,有关机关或组织可能将提起公益诉讼。

四、对销售现场人脸识别的建议

如前所述,开发商在销售现场使用人脸识别技术时可能面临行政处罚及民事追责的风险,为尽可能减少该等风险,我们建议:

(一)遵守合法、正当、必要原则

个人信息收集、使用所应当遵守的合法、正当、必要原则,首先确立于《全国人民代表大会常务委员会关于加强网络信息保护的决定》[15]中,其后,《网络安全法》第41条[16]、《消费者权益保护法》第29条、《民法典》第1035条也均延续了这一原则,合法、正当、必要原则,已成为个人信息处理的基本原则。

需要特别提示的是,合法原则既要求收集、处理信息的主体合法(如法律授权机关或经信息主体同意授权的机构等),也要求收集、处理个人信息的手段必须合法。开发商在使用人脸识别技术时,应当基于自然人或其监护人的同意,应当尽到相关公示公开义务,并遵循有关人脸信息收集、处理的技术规范与行为规范。

(二)告知购房人等自然人并征得其单独同意

开发商具体应用人脸识别技术时,不仅应主动告知相关自然人销售现场将存在人脸识别系统,还应明确告知其人脸识别的目的、方式、范围,公开处理人脸信息的规则。在完整、如实履行前述告知义务后,开发商还应征得相关自然人对其使用人脸识别技术等人脸信息处理行为的单独的同意,如取得相关自然人的书面授权、书面同意的承诺等,但如该等书面文件系开发商拟定的格式条款,则开发商还应尽到注意、提示等义务并避免使用“要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利”或类似内容。

在购房人不同意开发商收集、处理其人脸信息时,开发商不得擅自进行收集、处理。

(三)确保人脸信息安全

开发商获取自然人人脸信息后,需采取必要措施,对相关数据进行妥善的保管与保护。即使人脸信息的泄露、篡改、毁损等情况的发生,系由第三方攻击开发商的数据传输、存储系统而造成,开发商因传输、存储相关数据的技术规范未达到必要的标准(如《信息安全技术个人信息安全规范》等),亦应当承担侵害个人信息的侵权责任。

(四)关注监管态势

人脸信息属于具有个人生物特征的敏感个人信息,随着其在金融、安防等领域的逐步应用,保护人脸信息对保护个人财产、安全的重要性愈加突显,个人对人脸信息的重视程度必然逐渐加强,相关主管部门的监督亦可能呈趋严态势。开发商如需在其销售现场这一涉及众多自然人的经营场所内使用人脸识别技术的,不仅应当关注人脸信息等个人信息保护立法进展,关注房地产行业内主管部门发布的行政规范,还应当关注人脸信息保护的相关技术性规范、规则及标准,并随之及时进行调整,避免承担不利的后果。

[1] 相关条款如下:

《民法典》第一百一十一条 自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。

第一千零三十四条 自然人的个人信息受法律保护。

个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。

第一千零三十五条 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:

(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;

(二)公开处理信息的规则;

(三)明示处理信息的目的、方式和范围;

(四)不违反法律、行政法规的规定和双方的约定。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

第一千零三十六条 处理个人信息,有下列情形之一的,行为人不承担民事责任:

(一)在该自然人或者其监护人同意的范围内合理实施的行为;

(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;

(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。

第一千零三十七条 自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。

自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。

第一千零三十八条 信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。

信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。

第一千零三十九条 国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。

[2] 《消费者权益保护法》第二十九条 经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。

经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。

[3] 《侵害消费者权益行为处罚办法》第十一条 经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者不得有下列行为:

(一)未经消费者同意,收集、使用消费者个人信息;

(二)泄露、出售或者非法向他人提供所收集的消费者个人信息;

(三)未经消费者同意或者请求,或者消费者明确表示拒绝,向其发送商业性信息。

前款中的消费者个人信息是指经营者在提供商品或者服务活动中收集的消费者姓名、性别、职业、出生日期、身份证件号码、住址、联系方式、收入和财产状况、健康状况、消费情况等能够单独或者与其他信息结合识别消费者的信息。

[4] 《个人信息保护法(草案二次审议稿)》第二十九条 个人信息处理者具有特定的目的和充分的必要

性, 方可处理敏感个人信息。      敏感个人信息是一旦泄露或者非法使用, 可能导致个人受到歧视或者人身、 财产安全受到严重危害的个人信息, 包括种族、民族、 宗教信仰、 个人生物特征、 医疗健康、 金融账户、 个人行踪等信息。

[5] 《个人信息保护法(草案二次审议稿)》第六十一条 国家网信部门统筹协调有关部门依据本法推进

下列个人信息保护工作:(一) 制定个人信息保护具体规则、 标准;(二) 针对敏感个人信息以及人脸识别、 人工智能等新技术、新应用, 制定专门的个人信息保护规则、 标准;(三) 支持研究开发安全、 方便的电子身份认证技术;(四) 推进个人信息保护社会化服务体系建设, 支持有关机构开展个人信息保护评估、 认证服务。

[6]浙江政务服务网:https://www.zjzwfw.gov.cn

[7]杭州新闻中心:https://hznews.hangzhou.com.cn/

[8] 人民网:http://yn.people.com.cn/n2/2021/0408/c372451-34664826.html

[9] 腾讯网:https://new.qq.com/omn/20210408/20210408A0D0WS00.html

[10] 天津人大:http://www.tjrd.gov.cn/flfg/system/2020/12/07/030018650.shtml

[11] 杭州人大:http://www.hzrd.gov.cn/zxzx/wsgg/202012/t20201231_789626.html

[12] 2021年7月28日《最高法相关负责人就审理使用人脸识别技术处理个人信息相关民事案件的司法解释回答记者提问》

[13] 《民事诉讼法》第五十五条 对污染环境、侵害众多消费者合法权益等损害社会公共利益的行为,法律规定的机关和有关组织可以向人民法院提起诉讼。     人民检察院在履行职责中发现破坏生态环境和资源保护、食品药品安全领域侵害众多消费者合法权益等损害社会公共利益的行为,在没有前款规定的机关和组织或者前款规定的机关和组织不提起诉讼的情况下,可以向人民法院提起诉讼。前款规定的机关或者组织提起诉讼的,人民检察院可以支持起诉。

[14] 《消费者权益保护法》第四十七条  对侵害众多消费者合法权益的行为,中国消费者协会以及在省、自治区、直辖市设立的消费者协会,可以向人民法院提起诉讼。

[15] 《全国人民代表大会常务委员会关于加强网络信息保护的决定》第二条 网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。

网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。

[16] 《网络安全法》第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。