近日,天津市第一中级人民法院二审判决的人脸识别纠纷案受到社会关注。该案并非是人脸识别纠纷的第一起案件,2019年杭州市就发生了被称为“人脸识别第一案”的郭兵诉杭州野生动物世界有限公司服务合同纠纷案。相比而言,天津人脸识别纠纷案显然是更典型的使用人脸识别技术处理个人信息的民事案件。因为,一方面,现实生活中有很多小区在疫情防控期间采取了人脸识别技术来管控小区的人员出入,因此本案具有很广泛的代表性;另一方面,本案也涉及到个人信息保护法领域的一些重要问题,值得关注和思考,如人脸信息是隐私还是个人信息?何种情况下利用人脸识别技术处理个人信息是合法的等。
人脸信息是隐私还是个人信息
个人信息是指,以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。人脸信息就是自然人的面部特征信息,属于生物识别信息之一。故此,人脸信息当然是个人信息。依据《民法典》与《个人信息保护法》,自然人就其人脸信息等个人信息享有个人信息权益,受到法律的保护。在天津人脸识别纠纷案中,两审法院之所以有不同的判决,根本原因在于对人脸信息究竟是隐私还是个人信息存在认识上的不同。
依据《民法典》第1032条第2款,隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。自然人的私密信息属于隐私,该私密信息可能是个人信息,也可能不是个人信息。如果人脸信息被认定为个人信息中的私密信息的话,那么依据《民法典》第1034条第3款,“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”
显然,人脸信息仅仅是个人信息,而不属于私密信息。所谓私密信息是指自然人不愿为他人知晓的信息,这些信息一旦未经自然人同意被他人知晓或公开,将会侵害自然人的私生活安宁、私生活自主乃至人格尊严。只有这样的信息才属于私密信息,如自然人的健康信息、婚姻信息、家庭信息、财产信息、犯罪记录、人生经历、嗜好、性取向等。人脸信息暴露于外,除非自然人隐居荒无人烟之处或者通过美容而改头换面,否则他(她)在社会交往中是无法隐藏或不愿他人知晓其脸部特征信息的。因为,人们在日常社会交往中必须通过脸部特征来识别特定的自然人,人与人之间的交流也需要借助面部表情加以实现。故此,人脸信息当然不属于私密信息,不是隐私。
故此,本案的案由应确定为 “个人信息保护纠纷”,而非“隐私权纠纷”。
人脸信息属于敏感的个人信息
人脸信息不仅属于个人信息,还属于敏感的个人信息。
《个人信息保护法》第28条第1款规定:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”该款中的生物识别信息,是指关于自然人的身体、生理或行为特征的信息, 包括人脸、指纹、声纹、掌纹、基因、虹膜、耳廓等信息。《最高人民法院关于审理使用人脸识别技术处理个人信息等相关民事案件适用法律若干问题的规定》(以下简称“人脸识别司法解释”)第1条第3款明确规定:“本规定所称人脸信息属于民法典第一千零三十四条规定的‘生物识别信息’。”
生物识别信息是与特定的自然人唯一对应的,并且难以或无法改变的。数据化的个人生物特征可以被永久性使用。生物识别信息既可以看作是关于某个自然人的个人信息的内容,也可以看作是一个信息与该自然人的关联,例如,张三的指纹这一生物识别信息既可以说是张三的指纹,也可以说与张三有关(如张三曾触摸过某物品而在其上留下了指纹)。因此,生物识别信息可以作为身份识别指标,用于识别特定的自然人。特别是随着人脸识别等生物识别技术的发展,个人生物特征这一信息可以很容易获取并被用于验证、识别和分析特定的自然人,从而形成对个人的全面监控(边沁所谓的“圆形监狱”),侵害人格尊严、损害人格自由,对个人的人身权益、财产权益造成损害。故此,人脸信息等个人生物识别信息属于敏感的个人信息。
对于处理敏感的个人信息,我国《个人信息保护法》作出了严格的规定,包括:首先,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。其次,处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。再次,个人信息处理者处理敏感个人信息的,除《个人信息保护法》第17条第1款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响,除非依照《个人信息保护法》的规定可以不向个人告知。最后,个人信息处理者处理敏感个人信息的,应当事前进行个人信息保护影响评估,并对处理情况进行记录。
利用人脸识别技术属于个人信息处理活动
人脸识别(facial recognition),通俗地说,就是使用面部识别或确认个人身份的方法。专业地说,就是指自动处理包含个人面部的数字图像,以便对这些个人进行识别、认证/验证或分类。人脸识别技术属于生物识别技术一类,其他的还包括语音识别、指纹识别、虹膜识别等。人脸识别技术实际上包含了一系列的技术,可以为实现不同的目的而执行不同的任务。总的来说,人脸识别的功能就是验证、识别与分类等三种。所谓验证,也称身份验证,属于“一对一的比对”,即通过比较两个生物特征识别模板以确定两张图像上显示的人是否是同一个人。识别功能属于“一对多的比对”,在个体识别的情况下,该功能的实现是通过将一个人的面部图像模板与存储在数据库中的许多其他模板进行比较,以确定他或她的图像是否存储在那里。分类功能也称“匹配一般特征”,是指除了验证和识别外,面部识别技术还用于提取有关个人特征的信息。故此,分类也被称为“面部分析”。
现代社会中的人脸识别技术被广泛运用于很多场景,从日常生活中的解锁手机、电脑等设备,登录网上银行,电子支付,到出入境安全检查、机场与车站的乘客身份验证、执法部门的侦查犯罪等。总的来说,人脸识别的主要应用领域就是安全应用、医疗保健、产品服务营销等三大领域。天津人脸识别纠纷案就是将人脸识别技术用于防疫期间管控小区出入人员,通过人脸识别技术的身份验证功能,来确定进入小区的人员属于小区的业主或者物业使用人。
依据《民法典》第1035条第2款以及《个人信息保护法》第4条第2款,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。“人脸识别司法解释”第1条第2款也明确规定:“人脸信息的处理包括人脸信息的收集、存储、使用、加工、传输、提供、公开等。”故此,无论在哪一种场景下,也不管发挥人脸识别技术的何种功能,只要是对个人信息进行了收集、存储、使用、加工等活动,就属于使用人脸识别技术处理个人信息。此种个人信息处理活动必须严格遵守《民法典》《个人信息保护法》等法律法规的规定。
处理人脸信息必须有合法性根据
自然人对其个人信息享有个人信息权益,个人信息处理者要处理人脸信息等个人信息,其处理行为必须具有合法性根据,否则就是侵害个人信息权益的违法行为,必须依法承担法律责任。依据《民法典》第1035条、第1036条以及《个人信息保护法》第13条的规定,处理个人信息的合法性根据分为两大类:
一是,取得个人的同意,即取得自然人或者其监护人的同意。具体到处理人脸识别信息,处理者不仅要取得同意,而且还必须取得自然人或者其监护人的单独同意。单独同意的要求本质上就是法律强制要求个人信息处理者将个人针对某类处理活动作出的同意与对其他的处理活动作出的同意予以区分、凸显出来。这就意味着,个人信息处理者在取得个人同意的时候,既不能将需要取得同意的个人信息处理活动的内容与其他信息混在一起,也不能将处理目的、处理方式和个人信息种类等不同的个人信息处理活动混在一起概括取得个人的同意。处理者必须就法律所规定的特定类型的个人信息处理活动专门取得个人的同意。
二是,符合法律、行政法规规定的情形,从而不需要取得个人的同意。如为订立、履行个人作为一方当事人的合同所必须,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必须;为履行法定职责或者法定义务所必须;为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必须;为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息等。
在天津的人脸识别案中,二审法院认为,物业公司基于涉案小区人员密集、安全防范难度较大的情况,在征得业主及物业使用人同意的情形下,于2020年2月启用人脸识别系统作为业主及物业使用人出入验证方式,能够更精准识别出入小区人员,在新冠肺炎疫情防控中发挥了较大作用,并不违反法律规定。笔者认为,这一观点并无道理。
首先,个人信息权益属于人格权益,不得转让、继承,也不得放弃,故此,该权益只能由自然人自行行使,也就是说,必须由自然人自己作出同意即单独同意的表示。物业公司不能以小区业主大会或业主委员会决定的方式来决定业主的个人信息权益的行使。
再次,人脸识别系统在疫情防控中发挥了较大的作用,不等于在使用人脸识别技术处理业主的个人信息的行为就是合法行为。或有人认为,疫情防控属于《个人信息保护法》第13条第1款第4项规定的为应对突发公共卫生事件所必须的情形。对此,笔者认为,新冠肺炎疫情的发生属于突发公共卫生事件,但即便如此,也并不意味当然可以不取得个人的单独同意就以人脸识别技术处理人脸信息。
《个人信息保护法》第5条规定,处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。物业公司为了管控小区人员出入,有很多种方式,如可以发放出入证、门禁卡或者核查身份证等方式,人脸识别只是可以采用的方式之一,绝不是唯一、必须的方式。然而,本案中,物业公司将人脸识别作为出入小区的唯一验证方式,就等于如果不同意,业主或物业使用人就无法进出小区,因此,物业公司的行为就是胁迫业主必须同意处理人脸信息,明显违反了个人信息保护法的合法、正当和诚信原则。
依据“人脸识别司法解释”第4条,处理者强迫或者变相强迫自然人同意处理其人脸信息的情形的,不得以已征得自然人或者其监护人同意作为抗辩事由。也正因如此,该解释第10条第1款还明确规定,物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。
综上所述,本案二审法院认定物业公司处理人脸信息不违反法律,并不妥当。当然,其判令物业公司必须提供人脸识别之外的其他合理验证方式则是正确的。
(清华大学法学院教授、博士生导师 : 程啸)