极目新闻记者聂丽娟
通讯员蔡蕾
物业强制“刷脸”算违法、未成年人刷脸必须获得监护人同意、公共场所不得随意使用人脸技术……8月1日,最高人民法院发布的关于《审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《规定》)正式实施。
从此,“刷脸”有了法律保护,便捷和安全隐患并存的人脸识别技术,让市民有了司法“保护伞”。就此,极目新闻记者请法学专家就新规进行了解读,并采访了部分市民发现,多数市民对于人脸识别这项技术的安全性心存隐患。
人脸识别滥用催生新规出台
“人脸识别,绝对不仅仅就是刷个脸,验证个身份信息那么简单。”8月10日,湖北省高院法官叶宇介绍,近年来,随着信息技术飞速发展,人脸识别逐渐渗透到人们生活的方方面面,从手机解锁到电脑笔记本开机,从小区门禁到银行存款的领取、以及手机支付等,都可以通过人脸识别“刷脸”来完成。然而人脸识别技术给人们带来便利的同时,也带来了安全隐患。
极目新闻记者采访了解到,据媒体去年发布的《人脸识别应用公众调研报告》显示,在2万多名受访者中,94.07%的受访者用过人脸识别技术,64.39%的受访者认为人脸识别技术有被滥用的趋势,30.86%受访者已经因为人脸信息泄露、滥用等遭受损失或者隐私被侵犯。
强化人脸信息保护的呼声日益高涨,年7月28日,最高人民法院最高院召开新闻发布会,发布了《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《规定》)。
《规定》针对实践中反映较为突出的人脸识别技术被滥用问题,从侵权责任、合同规则以及诉讼程序等方面规定了16个条文。
经营场所滥用人脸识别构成侵权
有些知名门店使用“无感式”人脸识别技术,在未经同意的情况下擅自采集消费者人脸信息,分析消费者的性别、年龄、心情等,进而采取不同营销策略。
湖北省高院法官叶宇向极目新闻记者介绍,此次《规定》第二条第一款规定指出,专门针对宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所,违反使用人脸识别技术进行人脸验证、辨识或者分析的行为进行规范。一旦这些公共场所滥用人脸识别,人民法院将认定其行为构成为侵害自然人人格权益。
“人脸信息属于敏感个人信息中的生物识别信息,是生物识别信息中社交属性最强、最易采集的个人信息,具有唯一性和不可更改性,一旦泄露将对个人的人身和财产安全造成极大危害。”最高法在充分调研基础上,专门对上述经营场所做出了要求和规定。叶宇说。
这意味着,在经营场所、公共场所使用人脸识别技术,应主要是为维护公共安全等之所需。
物业不得强制业主“刷脸”
随着科技进步,众多小区物业小区积极拥抱新科技,纷纷采用人脸识别管理门禁系统,物业认为,这样既方便又能提高效率。只是,这些小区物业小区忽视了一个更为重要的问题:当自己手握海量个人信息时,能否保证这些信息不被泄露,不被盗用?此外,还有小区物业,甚至强制要求居民录入人脸信息,并将人脸识别作为出入小区的唯一验证方式。
对此,《规定》第10条第1款专门规定:“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。”另外,为更好规范物业服务企业或者其他管理人,防止其将人脸信息泄露或者侵害业主、或物业使用人隐私,第10条第2款又进一步明确:“物业服务企业或者其他建筑物管理人存在本规定第二条规定的情形,当事人请求物业服务企业或者其他建筑物管理人承担侵权责任的,人民法院依法予以支持。”这样就对业主及其他物业使用人的人脸信息形成全面保护。
人脸信息属于敏感个人信息,小区物业对人脸信息的采集、使用必须依法征得业主或者物业使用人的同意。只有业主或者物业使用人自愿同意使用人脸识别,对人脸信息的采集、使用才有了合法性基础。最高人民法院研究室副主任郭锋此前表示,根据这一规定,小区物业在使用人脸识别门禁系统录入人脸信息时,应征得业主或者物业使用人的同意,对于不同意的,小区物业应当提供替代性验证方式,不得侵害业主或物业使用人的人格权益和其他合法权益。
通过APP授权捆绑强制采集人脸信息无效
一段时间,不少市民打开手机,下载部分移动应用程序APP时,会遭遇被动强制索取非必要个人信息的问题。移动应用程序企业,通过一揽子授权、与其他授权捆绑、“不点击同意就不提供服务”等方式,获取用户个人的信息。这些共同遭遇是很多用户的痛点,也是维权的难点。
为强化人脸信息保护,防止信息处理者对人脸信息的不当采集。对此,《规定》根据民法典第条,明确了以下处理人脸信息的规则:
一是单独同意规则。《规定》第2条第3项引入单独同意规则,即:信息处理者在征得个人同意时,必须就人脸信息处理活动单独取得个人的同意,不能通过一揽子告知同意等方式征得个人同意。
二是强迫同意无效规则。《规定》第4条对处理人脸信息的有效同意采取从严认定的思路。对于信息处理者采取“与其他授权捆绑”、“不点击同意就不提供服务”等方式强迫或者变相强迫自然人同意处理其人脸信息的,信息处理者据此认为其已征得相应同意的,人民法院不予支持。第4条的规定不仅适用于线上应用,对于需要告知同意的线下场景也同样适用。
“特别是对人脸信息的处理,不能带有任何强迫因素。”叶宇表示,如果信息处理者采取“与其他授权捆绑”、“不点击同意就不提供服务”等模式,会导致自然人无法单独对人脸信息作出自愿同意,或者被迫同意处理其本不欲提供且非必要的人脸信息。
处理未成年人人脸信息须征得监护人同意
伴随着人脸识别应用场景越来越广泛,未成年人的人脸信息被采集的场景也越来越多。未成年人的人脸信息一旦泄露,不利侵权影响甚至可能伴随其一生。因此,新的司法解释对未成年人的人脸信息保护进行了专门规定。
据了解,我国未成年人保护法、网络安全法等法律对未成年人的网络保护作出了专门规定:如信息处理者处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意;未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的,信息处理者应当及时采取措施予以更正、删除。
此次新规,坚持最有利于未成年人原则,从司法审判层面加强对未成年人人脸信息的保护。第2条第3项的规定,信息处理者处理未成年人人脸信息的,必须征得其监护人的单独同意。关于具体年龄,可依据未成年人保护法、网络安全法以及将来的个人信息保护法进行认定。
华中科技大学法学院腾锐副教授认为,从责任认定角度看,该新规结合当前未成年人人脸信息保护现状,明确将“受害人是否为未成年人”作为责任认定的特殊考量因素,对于违法处理未成年人人脸信息的,在责任承担时依法予以从重从严,确保未成年人人脸信息依法得到特别保护,呵护未成年人健康成长。
人脸识别大规模落地,应用于安防、金融等日常生活的重要场景,却因不断引发个人信息安全等问题,让人产生一种不安全感。
滥用人脸识别案件频发
人脸识别不同于虹膜识别和指纹识别,市民在不知情下,非接触式被动“录脸”,刷脸产生的风险,不容易被当事人发现。
年5月,浙江省某市场监管局接到举报,顾客在楼盘看房时,商家私下使用人脸识别抓取看房人人脸信息。监管人员现场接举报,赶往楼盘现场,查获用于人脸抓拍的摄像头5个,后登录该公司使用的人脸识别系统,共查获涉嫌侵权的人脸识别数据条。房地产开发有限公司负责人解释,私自抓取人脸识别数据,是为了通过安装和使用人脸识别系统用以界定客户来源,商业用途不言而喻。
还有不法分子通过人脸识别牟利。中国裁判文书网,一起关于人脸识别的刑事判决书显示:年1月至8月间,韩某等四人先后在多个县市的超市内,以顾客购物满一定金额可获赠礼品为名,要求顾客在领取礼品时提供姓名、身份证号码,并采集当事人人脸的方式,然后在顾客不知情的情况下,将非法获取的公民个人信息注册成为某公司开发运营的借贷宝APP用户,共计注册成功1万2千多个账户,每注册成功一个借贷宝APP用户,就能获取20元至40元不等的报酬。
未成年人的个人信息保护意识较弱,也极易产生安全隐患。年10月17日,湖北恩施巴东警方破获一起人脸识别网络诈骗案,犯罪分子落网交代,他们打着收购游戏账号、送装备、解除游戏限制之类的幌子,在网上选择小孩玩家为目标,因为小孩玩家单纯,玩游戏的手机一般都是家长的,几乎每个