《個人信息保護法》背景下談收集個人生物識別信息的保護---從“人臉識別第一案”談起

發(fā)布日期:2021-09-10 15:22 信息來源:中心

       2021年8月20日,全國人大常委會表決通過了《個人信息保護法》(簡稱《個保法》),該法將于2021年11月1日起施行?!秱€保法》在立法層面有很多的亮點,其中之一是關于“敏感個人信息的處理規(guī)則”,在《個保法》通過之前,實務中已有關于“人臉識別”的司法判決。此外,最高人民法院(以下簡稱“最高院”)亦于2021年6月8日公布了《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規(guī)定》(以下簡稱《規(guī)定》)。

       本文中,筆者立足于《個保法》《規(guī)定》,以“人臉識別第一案”為切入點,淺析收集個人生物識別信息的保護。

       一、“臉識別第一案”基本案情

       2019年4月27日,郭某購買野生動物世界雙人年卡,留存相關個人身份信息,并錄入指紋和拍照。后野生動物世界將年卡入園方式由指紋識別調整為人臉識別,并向郭某發(fā)送短信通知相關事宜,要求其進行人臉激活,雙方協商未果,遂引發(fā)本案糾紛。

       郭某的訴訟請求中包括請求認定“年卡辦理流程”告示中的“掃描指紋后激活年卡”“憑年卡及指紋正常使用”內容無效;“年卡使用說明”告示中的“持卡人游覽園區(qū)時需同時驗證年卡及指紋入園”“人臉注冊激活領取年卡”“憑年卡及人臉掃描入園”及“持卡人游覽園區(qū)時需同時驗證人臉識別及年卡入園”內容無效;此外,郭某還請求法院判決刪除其辦理指紋年卡時提交的包括照片在內的面部特征信息。

       2020年11月20日,杭州市富陽區(qū)人民法院作出一審判決,判令野生動物世界刪除郭某辦理指紋年卡時提交的包括照片在內的面部特征信息;駁回郭某要求確認店堂告示、短信通知中相關內容無效等其他訴訟請求。[見浙江省杭州市富陽區(qū)人民法院(2019)浙0111民初6971號民事判決書。]郭某與野生動物世界均不服,向杭州中院提起上訴。

       杭州中院審理認為,郭某在知悉野生動物世界指紋識別店堂告示內容的情況下,自主作出辦理年卡的決定并提供相關個人信息,該店堂告示對雙方均具約束力,且不符合格式條款無效的法定情形;而人臉識別店堂告示并非雙方的合同條款,對郭某不發(fā)生效力。野生動物世界為游客游覽提供了不同入園方式的選擇,郭某知情同意后辦理指紋年卡,其選擇權未受到侵害。野生動物世界亦不存在欺詐行為,但其單方變更入園方式構成違約,應承擔違約責任。野生動物世界欲將其已收集的照片激活處理為人臉識別信息,超出事前收集目的,違反了正當性原則,故應當刪除郭某辦卡時提交的包括照片在內的面部特征信息。鑒于野生動物世界停止使用指紋識別閘機,致使原約定的入園服務方式無法實現,亦應當刪除郭某的指紋識別信息。據此,二審在原判決的基礎上增判野生動物世界刪除郭某辦理指紋年卡時提交的指紋識別信息。

       該案被稱為“人臉識別第一案”,從審判邏輯并結合原告的訴請,引發(fā)核心關注的問題有兩個:1.商家收集消費者“生物識別信息”合理性邊界在哪里?2.商家是否可以以消費者不予提供個人信息而拒絕交易?

       二、《個保法》中關于收集個人信息的相關規(guī)定

筆者將《個保法》中涉及個人信息處理的條款梳理羅列如下:

序號

條款

內容

1

第五條

處理個人信息應當遵循合法、正當、必要和誠信原則,不得通過誤導、欺詐、脅迫等方式處理個人信息。

2

第六條

處理個人信息應當具有明確、合理的目的,并應當與處理目的直接相關,采取對個人權益影響最小的方式。

3

第七條

處理個人信息應當遵循公開、透明原則,公開個人信息處理規(guī)則,明示處理的目的、方式和范圍。

4

第十三條

符合下列情形之一的,個人信息處理者方可處理個人信息:

(一)取得個人的同意;

(二)為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需;

(三)為履行法定職責或者法定義務所必需;

(四)為應對突發(fā)公共衛(wèi)生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需;

(五)為公共利益實施新聞報道、輿論監(jiān)督等行為,在合理的范圍內處理個人信息;

(六)依照本法規(guī)定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息;

(七)法律、行政法規(guī)規(guī)定的其他情形。

依照本法其他有關規(guī)定,處理個人信息應當取得個人同意,但是有前款第二項至第七項規(guī)定情形的,不需取得個人同意。

5

第十四條

基于個人同意處理個人信息的,該同意應當由個人在充分知情的前提下自愿、明確作出。法律、行政法規(guī)規(guī)定處理個人信息應當取得個人單獨同意或者書面同意的,從其規(guī)定。

個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更的,應當重新取得個人同意。

6

第十五條

基于個人同意處理個人信息的,個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式。

個人撤回同意,不影響撤回前基于個人同意已進行的個人信息處理活動的效力。

7

第十六條

個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產品或者服務;處理個人信息屬于提供產品或者服務所必需的除外。

8

第二十八條

敏感個人信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。

只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息。

9

第二十九條

處理敏感個人信息應當取得個人的單獨同意;法律、行政法規(guī)規(guī)定處理敏感個人信息應當取得書面同意的,從其規(guī)定。

10

第三十條

個人信息處理者處理敏感個人信息的,除本法第十七條第一款規(guī)定的事項外,還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響;依照本法規(guī)定可以不向個人告知的除外。

        綜上可知,根據《個保法》規(guī)定,收集個人信息應遵守“合法,正當,必要、自愿”等原則;收集如“人臉信息”等“生物識別信息”時,個人信息處理者須遵守更高的標準,即“具有特定的目的和充分的必要性”。關于“特定的目的”,筆者認為是對信息使用范圍的強制性要求;關于如何認定“充分的必要性”法律沒有給出更為詳盡的解釋,再加之審判經驗的指導也有限,那么如何認定收集消費者生物識別信息具有“充分的必要性”?以及商家是否可以以消費者不予提供個人信息而拒絕交易?是實務中亟待解決的問題。

 

三、如何認定收集生物識別信息具有“充分的必要性”

如上文所述,《個保法》規(guī)定收集生物識別信息須具有“充分的必要性”。探討“充分必要性”與否的前提是對標具體問題,以解決該問題為導向。在“人臉識別第一案”中一審法院認定:“野生動物世界基于年卡用戶可在有效期內無限次入園暢游的實際情況,使用指紋識別、人臉識別等生物識別技術,以達到甄別年卡用戶身份、提高年卡用戶入園效率的目的,該行為本身符合前述法律規(guī)定的‘合法、正當、必要’三原則的要求”,據此一審法院認為,消費者提供生物識別信息對于解決核對入園人員身份及快速入園這兩個問題上具有必要性。

我們不能簡單粗暴的說法院上述觀點是錯漏的,因為提供個人信息確實是對解決上述問題起到了作用,究其根本是“問題”出錯,而非“解決方案”。筆者認為,對標核心問題是深層刨析“充分的必要性”內涵的關鍵。

具體到本案中,核心問題是實現消費者進園參觀。為解決這個問題,首先要解決的是甄別消費者身份這個問題,為解決這個問題收集生物識別信息具有充分的必要性嗎?顯而易見,答案是否定的,出示身份證等能證明身份材料即可。第二個要解決的問題確認消費者是否購買門票?為解決這個問題收集生物識別信息具有充分的必要性嗎?答案同樣是否定的,因為消費者可以通過出示票據、游園卡甚至是消費記錄的方式自證。因此,筆者認為,在本案中收集生物識別信息不符合《個保法》中關于收集生物識別信息須具有“充分的必要性”這一內涵。

關于一審法院提到的解決“快速進園”問題,筆者認為是極其下位的問題,探討為解決該問題應采取何種方式的必要性是非常細枝末節(jié)的事情,無傷大雅。人們對于社會生活秩序、規(guī)則是一定要有合理接納空間,就如買咖啡、給汽車加油、超市結賬等都要排隊等待,確實是付出了時間成本,但這是參與社會生活的成本,其存在本身具有必然性和客觀性,故站在能否實現“快速進園”這一微觀、單一問題視角辨析收集生物識別信息的必要性會造成舍本逐末的結果。 

綜上,筆者人為,認定收集消費者生物識別信息是否具有充分的必要性的關鍵在于判斷此類信息對于實現核心消費目的有無根本性影響;如無,則必要性。就如本案中,消費者的核心消費目的在于進園參觀游玩,如上文所述,實現該目的不以消費者必須提供生物識別信息為唯一條件,因此在該案中野生動物園收集消費個人生物識別信息的行為不具備充分的必要性。

四、商家是否可以以消費者不予提供個人信息而拒絕交易

在本案中,園方將收集消費者個人信息作為交易條件,具體表現為“憑年卡及指紋正常使用”“憑年卡及人臉掃描入園”等入園參觀規(guī)則。

《個保法》第十三條規(guī)定“符合下列情形之一的,個人信息處理者方可處理個人信息:

。。。。。(二)為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需;。。。。”

第十六條規(guī)定,“個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產品或者服務;處理個人信息屬于提供產品或者服務所必需的除外。”

《規(guī)定》第四條規(guī)定:“有下列情形之一,信息處理者以已征得自然人或者其監(jiān)護人同意為由抗辯的,人民法院不予支持:

(一)信息處理者要求自然人同意處理其人臉信息才提供產品或者服務的,但是處理人臉信息屬于提供產品或者服務所必需的除外;

(二)信息處理者以與其他授權捆綁等方式要求自然人同意處理其人臉信息的;

(三)強迫或者變相強迫自然人同意處理其人臉信息的其他情形。”

根據《個保法》《規(guī)定》可知,提供服務與收集個人信息之間是相互剝離的,也就是說不能將收集個人信息作為交易條件,除具有“必要性”。如果將收集個人信息作為交易條件,那就意味著是對消費者變相的“強制”,這與上文所列《個保法確立的“自愿”原則亦相悖。

 四、商家是否可以以消費者不予提供個人信息而拒絕交易

此外,筆者還注意到,早在《個保法》通過前,工信部已針對上述“強制消費者提供個人信息”的“數據霸權”行為予以打擊。2021年4月23日,工信部向社會通報了93家存在侵害用戶權益行為APP企業(yè)的名單,其中有多家家存在“APP強制、頻繁、過度索取權限”的問題,關于“APP強制、頻繁、過度索取權限”工信部給出明確的范圍,即:“APP強制、頻繁、過度索取權限。重點整治APP安裝、運行和使用相關功能時,非服務所必需或無合理應用場景下,用戶拒絕相關授權申請后,應用自動退出或關閉的行為。”也就是上文中所述的“數據霸權”行為,由此可見此類霸權行為具有普遍性,如不加以抵制將會造成數據、信息巨頭企業(yè)的快速形成,形成后又會反制于消費者強迫交易,形成惡性循環(huán),最終使得信息保護成為空談。

五、用個人信息換取優(yōu)惠交易條件本質上是“欺詐”行為

日常生活中,在我們購物時候商家會說“加會員,有優(yōu)惠”,而成為會員的過程就是個人信息不斷給出的過程。

在上述案件中,筆者注意野生動物園抗辯稱:“原告在野生動物世界年卡中心辦理年卡時,實際上有兩個選擇,即所有游客在野生動物世界入園有兩個選擇,一個是按正常價格購買門票,另一個是辦理年卡。原告在已經享有知情權的情形下,是決定提供個人生物識別信息,冒著可能泄漏的風險,來享受雙人無限次入園只須花費1360元的優(yōu)惠價格,還是謹守個人信息安全,按照每人每次220元的正常門票價格去支付全額費用,完全取決于原告的個人價值取向。在完全擁有充分自主選擇權的情形下,原告的選擇是同意提供個人生物識別信息,換取雙人年卡的消費優(yōu)惠。”

無論是上述添加會員或者是本案中的年卡辦理,背后都是同一套“商業(yè)誘餌”邏輯。個人信息的根源性權屬屬于消費者,消費者可以自由處分,但用個人信息換取價格優(yōu)惠的不正當之處在于,其運作模式是依托于“信息不對稱”。

個人信息保護在我國處于剛起步階段,這一點相較傳統重視保護個人信息的歐洲迥然,這就意味著個人信息保護意識的認知度、普及度在我國都處于非常初級的階段。筆者相信有很多的消費者并不明白提供個人信息成為會員意味著什么,他們把目光和注意力更多的是投向“優(yōu)惠”這個誘餌,獲取“優(yōu)惠”是他們提供信息的動機,這就是筆者所稱的“信息不對稱”,正是這種不對稱實際上促成了提供、收集信息,這種不對稱因其本質上是一種“欺詐”。

此外,筆者還注意到,工信部2020年7月24日公布的“工業(yè)和信息化部關于開展縱深推進APP侵害用戶權益專項整治行動的通知”中明確將“欺騙誤導用戶提供個人信息”作為重點整頓對象,關于“欺騙誤導用戶提供個人信息”工信部給出的定義是“非服務所必需或無合理場景,通過積分、獎勵、優(yōu)惠等方式欺騙誤導用戶提供身份證號碼以及個人生物特征信息的行為”由此可見,此類通過“欺哄”方式獲取消費者信息的方式已經是非常普遍,值得引起我們的關注。

筆者欣喜的發(fā)現,在《個保法》中對上述不誠信行為亦予以了規(guī)制,這是立法的價值取向,是驅動保護個人信息的源頭活水。

 

 

 

特別鳴謝:北京高文律師事務所  

                                                                                                                                       沙仁高娃律師