摘 要:当前人脸识别信息存在非法采集、秘密比对、信息泄露等问题,严重侵犯公民基本权利。针对生物识别信息引发的法律问题,美国采取隐私权保护模式,欧盟采取数据权保护模式,二者都强调个人对自己生物识别信息的决定权。人脸识别信息自决权在内容上具有人身专属性和唯一性特点,在法律属性上强调权利人知情同意。我国《个人信息保护法》也尊重权利人的自我决定权,故人脸识别信息的权利属性是信息自决权这一新型权利。为加强对人脸识别信息自决权的保护,法律应通过保护权利人真实自由的同意,根据场景理论限制二次同意的范围,以及明确豁免例外,以保障人脸信息自决权的行使;同时将未经权利人同意收集人脸信息的行为扩大解释为无形损害,通过惩罚性赔偿的方式进行有效规制。
关键词:人脸识别信息;自决权;无形损害;《个人信息保护法》
李婕, 南通大学学报(社会科学版) 发表时间:2021-09-15
人脸识别技术广泛应用于政务办理、交通出行、网络消费等各个领域,同时引发了个人权利保护的担忧。随着“ZAO”换脸技术的应用,非法采集他人人脸信息、冒用他人人脸进行房屋过户等事件层出不穷,对个人信息、财产安全等重要权利造成严重威胁。2021 年 4 月 9 日,郭兵诉杭州野生动物世界有限公司二审判决明确提出“生物识别信息应当更加谨慎处理和严格保护”,并判决杭州野生动物世界有限公司删除郭兵的指纹识别信息。相较之下,当前我国法学界主要就人脸识别的技术特征[1]75、法律风险[2]106、国外人脸识别法律规定[3]52 等问题进行碎片化研究,尚未关注我国法律实践中人脸识别信息的权利属性与法律救济问题,如何立足中国国情探索生物信息自决权这一新型权利的构造与保护路径,既是理论突破,也是实践所需。
一、人脸识别技术对个人权利保护的挑战
大数据时代,人脸识别在图像收集、信息比对、信息流通等方面悄无声息地侵犯公民的个人权利, “个人画像”、背景调查的危害甚至相当于未经批准的刑事搜查。虽然我国《网络安全法》第四章规定了网络运营者收集信息的行为规范,但由于这些条款过于概括,根本无力阻止越演越烈的非法信息收集、流通等乱象,人脸识别技术滥用的后果也越加严重。具体而言,人脸识别对公民个人权利的挑战主要表现在以下方面。
1.非法采集,侵犯公民知情权
人脸识别技术的普及使得不法分子非法采集公民的人脸信息,自行建立数据库进行比对。例如,某商家在网络商城中公开出售 17 万条“人脸数据”,最终以“该商品已被下架”而不了了之;①售楼处偷偷采集看房者的人脸信息,用于确定客户佣金分配等事件层出不穷。司法实践中,很多 APP 在注册时强制对用户进行人脸信息采集,否则无法使用APP 功能——此时用户“同意”APP 软件收集自己的人脸信息实属无奈,这种变相非法采集公民人脸信息的行为同样侵犯了公民知情权。
2.秘密比对,侵犯公民隐私权
智能手机用户随便抓拍一张匿名人脸的照片上传到 Facebook 网站,网站将自动识别并提供最相近似照片的信息 (即 Facebook 的“标签建议”功能),而被拍照的人可能根本不知道她是被谁自动识别的。谷歌的 Project Glass 技术能够将手机拍摄照片的比对效果直接显示在镜片上,头戴“智能镜片” 者即便身处陌生人群,仍然能够随时了解他人的个人信息,此时被拍照者的职业、性格、教育背景、邮件地址等信息完全曝光在他人眼前。
3.信息泄露引发安全威胁
增强现实技术(Augmented Reality 简称“AR”)的发展促进数据联姻,特定的人脸信息与地理定位相结合很可能泄露身份者的信息,引发人身安全担忧。如 2011 年美国安全研究人员发现 iPad 和 iPhone 存储了用户“精确的地理位置”②,使得苹果公司能够时刻监控用户的行踪轨迹。其次,人脸信息泄露或伪造导致身份盗窃。个人的面部信息是作为算法存储的,这就导致了在特定数据库中更改算法的可能性,或信息可能会被泄露或从系统中被窃取,进而导致误认、冒充或身份盗窃。最后,人脸识别信息很可能被用于其他用途,即出现功能蠕变。美国曾出现个人同意提供照片以获得护照,但其人脸图像中的生物特征信息被用于执法、安全或情报目的的现象。[4]127 日常生活中,招聘单位告知应聘者采集人脸信息为了登记,却将人脸信息出卖给电信诈骗团伙,此时面试者的财产权将处于诈骗风险中。
二、国外人脸识别信息保护的经验分析
(一)欧美人脸识别信息保护模式考察
1.美国隐私权保护模式
美国伊利诺伊州 2008 年颁布《生物信息隐私法》(The Biometric Information Privacy Act,下文简称BIPA)明确提出,人脸识别具备“生物识别符”(bio- metric identifiers)和“生物信息”(biometric informa- tion)的双重特征;私人机构在收集个人生物信息之前应进行书面通知,并获得个人的同意,禁止私人机构对自己掌握的生物识别符或生物信息出售、租赁、交易等方式获利。随着网络技术的发展,美国参议院于 2019 年 3 月提出 《商业面部识别隐私法案》(Commercial Facial Recognition Privacy Act,下文简称 CFRPA)拟从联邦层面加以规定,禁止企业在未经个人允许的情况下向其使用人脸识别技术。《加利福尼亚 消 费 者 隐 私 法》(The California Consumer Privacy Act,下文简称 CCPA)也规定“个体的生理、生物学或行为特征……可单独或组合或与其他识别信息一起,以识别出某个特定的个人。生物信息包括但不限于虹膜、视网膜……和脸部的图像,从中可以提取一个识别符,例如脸纹(faceprint)……”“德怀尔诉美国运通公司案”中,法院明确提出未经同意使用他人肖像属于隐私侵权范畴。③美国对生物识别信息采取隐私权保护模式,主要根据宪法第四修正案中保护个人隐私权条款,强调个人对隐私信息的控制和使用,进而根据美国宪法第四修正案中保障的人身自由防止权利被侵犯。
2.欧盟数据权保护模式
欧盟颁布《通用数据条例》(General Data Pro- tection Regulation,下文简称 GDPR)将生物识别数据定性为个人敏感数据,要求人面部特征信息的收集需遵循“禁止处理”“明示同意”和“法定必要”原则,突出保护个人对自己数据的控制权。GDPR 还规定,对个人面部特征信息进行处理时,要遵守合法性、合理性、透明性原则以及目的限制等原则。针对人脸信息应用风险,2019 年欧盟基本权利局(European U- nion Agency for Fundamental Right 简称“FRA”)发布《人脸识别技术:执法中的基本权利考量》报告,强调人脸识别技术的开发和应用会对《欧盟基本权利宪章》第八条规定的“个人信息权”和《欧洲人权公约》第八条规定的“尊重私人生活自由”造成威胁,须遵循 GDPR 对个人敏感数据的保护条款,防止人脸识别信息滥用。具体而言,GDPR 要求“数据控制者收集信息和获取个人数据时应当履行事前通知义务”,赋予个人对数据使用、访问权,最后在第 35 条确立了数据保护影响评估制度以加强数据控制者的隐私风险管理责任意识。
(二)欧美生物识别信息保护之共同点
1.认可生物识别信息的“需保护性”。美国对生物识别信息采取隐私权保护模式,注重生物识别信息“不愿为他人知悉”的特点,欧盟将生物识别数据纳入敏感数据范畴,通过规制信息控制者和权利人两方面的行为对其进行保护,表明二者都意识到生物识别信息泄露可能引发的巨大风险,而这种巨大风险与个人的人身自由、财产安全密不可分,因此需要特别保护。Facebook 案件的判决指出,用户对其生物特征数据的隐私有合理的期望,因为用于收集数据的技术不仅仅是简单的增强,而是对个人隐私细节的侵犯。①
2.尊重生物识别信息权利人的主观意愿。生物识别信息具有强烈的人格特征,是个人身份的标识。除了国家强制要求出示个人身份的场合,个人有权决定是否公开身份、是否通过生物识别信息验证个人身份。美国《商业面部识别隐私法案》明确禁止私人机构在未经个人同意的情况下收集个人生物识别信息,欧盟 GDPR 第 13 条、14 条要求数据控制者履行收集个人敏感信息的通知义务以保障个人知情权,第 15 条规定“数据主体有权向控制者确认与其相关的个人数据是否正在被处理,以及有权要求访问与其相关的个人数据并获知详细信息”赋予个人访问权等都是尊重个人对自己生物识别信息收集、使用等主观意愿的体现。
(三)欧美生物识别信息保护之差异
1.生物识别信息权的权利属性与内容不同。美国将生物识别信息纳入隐私权保护范围,但隐私权无法对已经公开的生物识别信息全面保护。由于隐私权内容的不确定性,美国司法判例根据“场景理论”判断具体案件中权利人对个人信息的需保护性和期待,以平衡人身自由和国家权力。与之相对, GDPR 不区分公开与否通过数据权对生物识别信息进行全面保护,但无法对非数据形态的生物识别信息如个人肖像、虹膜素描等进行保护。因此,美国判例法传统能够结合具体案情对个案中生物识别信息是否属于隐私权保护的对象进行扩大解释,但欧盟奉行成文法主义无法对非数据形态的个人生物信息全面保护。
2.权利人对生物识别信息的控制程度不同。美国对生物识别信息采取隐私权保护模式,只能从消极防御的模式保护个人的生物识别信息不被侵害,并未赋予个人积极主动维护自己的生物识别信息的权利。欧盟 GDPR 强调个人对自己生物数据的控制权,通过规定个人对自己数据的知情权、访问权、查阅权、删除权等权利赋予个人积极主动维护自己数据的权利。因此,只有他人侵犯了个人的生物识别信息时,权利人才能在事后依据隐私权保护条款提起法律救济;但是在欧盟,只要个人发现自己的生物识别数据可能被非法利用,就有权在侵害发生前采取查阅、访问等方式维护个人的信息权利。
3.个人同意适用的领域不同。美国《生物信息隐私法》《商业面部识别隐私法案》都强调私人机构收集生物识别信息需权利人同意,而政府机构在维护公共利益时无需个人同意即可收集人脸信息;当个人发现生物识别信息被政府滥用时,可通过诉讼的方式请求法院保护自己的隐私权。欧盟 GDPR 则要求所有信息控制者在收集个人敏感信息时都必须履行告知义务,取得个人同意。除此之外,GDPR 还对不同成员国之间数据跨境流动做出规制,实际上限制了政府以概括的“公共利益”为由滥用公民个人数据的权力,对个人权利的保护更进一步。
三、人脸识别信息的权利属性之证成
人脸识别信息滥用引发了个人权利保护危机,生物识别信息如何根据自身特点进行有效的法律保护,首先需要厘清人脸识别信息的权利属性。从司法实践看,人脸识别过程包括采集个人人脸信息,信息存储、对比、得出结论的一系列过程,既包括原始的照片辨认类型,也包括人脸自动识别类型。人脸识别信息不同于普通隐私权、数据权、人格权,应定性为个人自决权这一新型权利。
(一)人脸识别信息权利属性的观点评述
1.隐私权说之不足。我国《民法典》明确规定了公民享有隐私权,属于人格权的范畴。隐私权是为了保护个人不愿为他人知悉的自己的隐秘事项,而人脸信息是个人呈现于外部的特征,本身不具有“保密性”特征,不符合隐私权的定义。此外,隐私权的目的是为了保护公民自由,我国法律并不认可非法使用生物识别信息侵犯公民个人自由。例如,陈某诉杭州市公安局西湖分局案中,陈某提出杭州市公安局西湖分局及其工作人员强制采集自己人体生物信息包括人脸头像三面照、十指指纹、双手掌纹、口腔唾液等行为属于限制人身自由的行政强制措施,要求确认无效并撤销。一审和二审法院均未支持陈某观点,认为采集人脸信息不属于限制自由的行政强制措施。①我国《民法典》第 1034 条明确规定“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”,也表明隐私权无法全面保护个人私密信息。传统隐私权的重心在于防范个人的私密信息被非法披露,并非强调主体对个人信息的控制、支配。《民法典》明确将个人信息与隐私权并列规定,表明个人信息是与隐私权不同的人格权类型,不能以隐私权指代人脸识别信息权。
2.数据权说之否定。人脸识别信息可能表现为照片、素描等非数据形式,数据说无法对这类形式表现的人脸识别信息进行保护,背离法律保护的初衷。其次,我国并未像欧盟那样通过个人数据立法对个人信息进行保护,因此,数据权说难以在我国法律规范中找到依据。最后,我国法律规范对人脸、指纹、 DNA 等采用“生物信息”进行表述,2017 年最高人民法院最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第 5 条第四项明确规定“健康生理信息”属于侵犯个人信息罪的保护范畴。《个人信息保护法》第 28 条明确规定“个人生物特征”属于敏感信息,故数据权说并不符合我国立法和实践的要求。
3.信息自决权之肯定。个人信息自决权说认为人脸识别信息具有人身专属性,个人有权决定自己的人脸信息使用情况,人脸识别信息等生物识别信息与个人的人身安全、财产权利息息相关,由于个人对自己的人身权益、财产权益具有处分权,因此尊重个人意愿是保障生物识别信息的关键。个人决定是否提供人脸识别信息、如何使用自己的人脸识别信息是他人利用人脸识别信息合法与否的重要标准。因此,王利明教授将个人信息权界定为一项独立的人格权——“信息自决权”[5]68。从法律依据看,个人信息自决权属于宪法上人格尊严的内容,也是《民法典》中一般人格权的体现之一。将人脸识别信息定性为个人自决权这一新型权利能够克服隐私权说和数据权说的不足,更加全面地保护个人权利。
(二)人脸信息自决权之新型权利证成
1.权利特点之新类型
(1)人脸识别信息具有强烈的个人身份属性、直接呈现性和高识别性特征。首先,个人身份属性强调生物识别信息特定环境下可以直接识别个人身份,有的可从呈现于体表的生物识别信息进行判断,如指纹、虹膜、面容;有的可根据自然存在于身体中的血液、DNA 等进行鉴定。直接呈现于体表的生物识别信息如人脸图像很容易通过被动式采样被秘密收集,从而其盗取难度在同类生物特征识别信息中较低。其次,个人专属性还表现为生物识别信息权的高识别性,即无需附加信息或与公共领域内其他信息进行比对,即可在特定环境中单独识别出特定个人。[6]139 因此,需根据适用环境判断生物信息自决权的行使。人脸识别是运用人工智能技术对人脸、指纹、虹膜等人体生物信息分析、对比、记录、形成模板,进而通过“一对一”或者“一对 N”比对,以解决实践中身份证、信用卡等可能存在的人证不统一的问题。由此可见,人脸信息只有在“用于识别自然人”的身份时,才属于《民法典》《个人信息保护法》保护的个人特殊敏感信息。去识别化的数据、虽属于被采集的个人基因信息但不用于识别特定自然人身份的信息,都不是“生物识别信息”。
(2)人脸信息等生物识别信息具有惟一性、不可变更性。每个人的面部特征都与其它自然人完全不同,具有惟一性和不可替换性。相对于手机号码、银行账号等传统个人信息,人脸信息具有不可变更性。尽管当前医学技术能够对个人的脸部、虹膜和指纹通过彻底整容、更换眼球和植皮等非常复杂和不可逆的方式进行变换,但变换后的生物特征仍可以由新的生物识别技术进行识别。正是由于这种不可变更性,一旦生物识别信息遭到泄露、盗窃或冒用等不法侵害,对信息主体可能会造成难以弥补的永久性的伤害和损失。因此,生物识别信息不可变更,不可补办。正是基于这一考虑,“百度公司与朱某隐私权纠纷案”的判决书指出,cookie“关键搜索词”不是个人信息,不属于个人信息保护的范围。①
(3)易受侵犯性。人脸不同于指纹、虹膜等生物特征需要专业设备才能进行收集,人脸是裸露于外部的个人形象,很容易被微型摄像机秘密收集,进而被用于非法目的。司法实践中,个人秘密偷拍他人肖像的行为、企业在工作场所安装摄像头偷拍客户肖像的现象屡禁不绝,个人常常不知道自己何时何处就置身于人脸识别技术的应用场景下。其次,由于国家对智能 APP 程序的规范并不健全,智能 APP 掌握的人脸信息很可能未经权利人同意被用于非法交易,埋下人脸信息被泄露或滥用的风险。
因此,人脸识别信息是人工智能时代具有高度易受侵犯性的“用于识别自然人身份的”新型个人信息权利,与欧美强调生物识别信息“需保护性”的特征相互印证。
2.权利法律属性之新类型
我国多部法律规定了个人信息权,刚刚颁布的《个人信息保护法》明确强调了“个人同意”才能收集、处理个人信息,即肯定了个人自决权这一个人信息权利的新类型。人脸信息自决权相较于传统信息权利,具有以下特点。
(1)人格权的新类型。《民法典》的人格权编将个人信息权与隐私权并列规定,表明个人信息权是一项独立的人格权。《个人信息保护法》规定一般个人信息权条款后,在第二节“敏感信息”第 29 条规定 “基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意”,提供了人脸信息自决权的法律依据。“人脸信息自决权是指权利主体自行决定是否以及在何种范围内披露、使他人知悉并利用自己人脸信息的权利,本质上是个体对自己信息的控制和支配权”[7]56,目的在于划定信息主体与其他主体之间的权利边界,赋予主体不受他人干涉而自主决定利用其信息的能力。根据《个人信息保护法》,人脸信息自决权这一新型人格权的法律内容包括同意权、撤回同意权、要求说明权、拒绝自动化决策权、查阅复制权、更正补充权、要求删除权等,目的都是为了“保护个人信息权益”。郭兵诉杭州野生动物园案件的判决书认为,野生动物世界的店堂告示以醒目的文字告知购卡人需要提供包括指纹在内的部分个人信息,郭兵自行决定提供该信息成为年卡客户。该店堂告示内容保障了郭兵的消费知情权和对个人信息的自主决定权。②
(2)以知情同意为核心的自决特征。人脸识别信息是个人人格尊严的重要体现,个人有权决定该信息的使用,这与欧美生物识别信息尊重权利人主观意愿的理念殊途同归。《个人信息保护法》第 26 条明确规定,公共场所收集个人图像、身份识别信息应取得个人单独同意,法律、行政法规另有规定的除外。我国《网络安全法》也明确规定在收集、使用或利用个人信息时原则上需经个人的同意。人脸信息自决权的个人决定性意味着个人一旦做出收集、处理人脸信息行为就要承担由此带来的风险。例如,智能 APP 程序在收集人脸信息前会询问“个人是否同意提供人脸信息”,在该程序没有提供替代身份验证选项的情况下,个人自决权名存实亡。此时个人若不同意 APP 收集自己的人脸信息就无法享有服务,这种被动同意提供人脸信息的设计是对个人决定自由的严重限制。Facebook 被指控在未经书面许可的情况下,从上传的照片中收集、使用和存储他们的生物特征识别码,就是对个人同意权利的侵犯。因此,个人信息自决权说认可人脸识别信息以图像、计算机数据、个人信息为存在形式,这一新型人格权的核心在于知情同意。
(3)调整非对等信息关系主体。现实中侵犯人脸识别信息权的往往是具有专业信息收集能力的商业主体或政府机构,个人很难与之对抗。德国个人信息自决权最初在“人口普查案”和“小普查案”中提出,针对国家对个人信息的威胁进行限制;[8]24 美国《加州消费者隐私法案》将适用企业限制在年收入 2500 万美元的公司,都表明个人信息自决权针对的是形成持续性不平等信息关系的收集者与处理者。由于传统民事关系调整平等主体之间的权利义务关系,传统宪法权利主要针对国家,而个人信息自决权中的知情同意、纠正权、删除权的行使既不属于平等民事主体之间的法律关系,也不同于个人与国家公权力之间的关系,而是属于特定信息关系中的新型权利义务关系。
四、我国人脸识别信息自决权法律保护之完善
从实践层面来看,我国对人脸识别信息自决权采取新型人格权保护模式,这种权宜之计无法有效保护个人生物识别信息自决权。根据《民法典》人格权编第 1036 条,行为人处理“自然人自然公开或其他已经合法公开的信息”不承担民事责任,除非该自然人明确拒绝或者处理该信息侵害其重大利益。人脸识别信息是个人裸露在外部的公开信息,但该信息涉及个人的人身自由、财产安全等重大利益,信息处理者应取得权利人同意后才能自行处置。司法实践中,非法收集、滥用人脸识别信息的现象屡禁不绝,主要原因在于其难以救济。
(一)法律保护人脸识别信息自决权的难点
1.违反“同意”难以认定损害。《个人信息保护法》并未规定未经同意收集他人敏感信息的损害后果。信息收集者将合法收集的个人身份信息用于其他目的而未再次告知时,权利人“知情权”“同意权” 等程序性权利违反无法认定为损害。这种情况下权利人的机会成本、精神损害是客观存在的,司法实践却无法将这种“预期利益损害”,甚至权利人难以证明的精神损害认定为损害。其次,违反权利人“同意” 收集人脸信息的行为会进一步侵害个人对自己人脸信息查阅复制、要求补正、删除等权利。例如,人脸识别技术在深度学习中不断改进,法律无法审查输入信息如何得出输出结论,利害关系人即便提出异议,也难以审查偏差结果和输出行为之间的因果关系,无法认定赔偿责任。《个人信息保护法》第 46 条规定了个人请求对信息进行补正的权利,但欧美的司法实践表明,人脸识别的对比结论在某些方面并不准确[9]1389,可见人脸识别信息对比出错的情况并非罕见。个人根本不知晓信息出错的情况下如何请求补正,导致其请求信息补正权名存实亡。
2.个案损害难以赔偿。首先,《民法典》第 995 条关于侵害人格权的民事责任承担方式包括停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉,人脸识别信息受害人无法据此主张损害赔偿。其次,侵害个人知情权、同意权的程序性违法行为难以根据《个人信息保护法》第 69 条“个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额”主张赔偿。郭兵诉杭州野生动物园案件中,判决认为“原告因不同意人脸识别而无法入园导致年卡费 1360 元作废的损失赔偿请求没有事实和法律依据”①。与之相对,欧盟成员国对个人信息保护时规定了“举证责任倒置”,即信息处理方能证明自己无过错时才可以不承担民事责任。如德国专门规定了公共机关对个人信息处理的“无过错责任”原则,即公共机关在规模化处理个人信息的过程中,即使无过错,但实际上给信息主体造成物质损害或非物质损害的,也需要承担损害赔偿责任。[10]173 如何根据人脸识别信息自决权的特征,探索并续造出中国特色的权利保护路径,是保障生物安全、维护个人权利的必要之举。
(二)我国人脸识别信息自决权法律保护之完善
人脸识别信息自决权的法律保护需贯穿信息收集、利用、救济的全过程,只有从源头上对“不履行告知义务”“非法收集”等程序性违法行为有效惩处,才能防止人脸信息泄露、非法利用乱象,确保权利主体自我决定权的实现。
1.有效同意之保障
为充分保障个人信息自决权,《信息安全技术个人信息安全规范》(以下简称《规范》)明确规定“收集个人敏感信息时的明示同意”②。针对人脸识别信息被秘密收集、非法转卖等现象,应通过保护权利人自由、真实的意愿确认同意的有效性,个人敏感信息再次利用时则需根据“场景理论”判断是否需要再次取得权利人同意。
(1)根据“真实”意愿排除“一揽子同意”
首先,收集人脸信息时提供多元替代选项。《规范》强调“不得欺诈、诱骗、强迫个人信息主体提供其个人信息”,这就要求收集人脸识别信息时应提供多元替代选项,以尊重个人意愿。无论政府部门为了 “维护公共安全”收集人脸识别信息,还是私人机构经个人同意收集人脸识别信息,都应提供身份验证的替代选项,以保障个人提供人脸信息的自我决定权。由于人脸信息具有易伪造等风险,并非身份验证的最佳、唯一选项。人脸识别信息很容易被伪造,人脸对比算法也会出现偏差,因此人脸信息提供便捷身份验证的同时也潜藏着出错风险,提供多元替代选项是保障信息安全的内在要求。而且身份验证的多元选项应具有可操作性,不能变相迫使个人进行人脸身份验证。例如,郭兵诉杭州野生动物园案件中,法院认为“野生动物世界要求年卡用户提供指纹识别、人脸识别等生物识别技术的行为符合‘合法、正当、必要’三原则的要求”,司法实践中,身份证、短信验证码、户籍证明等都是个人身份验证的方式,不得采用程序繁琐、不具操作实践性的替代选项,迫使权利人提供人脸信息。
其次,排除格式合同条款。排除格式合同条款是确保权利人对个人生物识别信息有效同意的必要之举。明示、有效的同意指同意需要针对特定目的,泛化的同意不是有效的同意。因此,信息收集者应当以容易理解的方式,使用清晰和平白的语言要求权利人对自己的生物识别信息做出书面同意;考虑到信息收集者相对于个人的优势地位,应排除信息收集者免责声明的法律效力。当前很多 APP 的网络服务条款或隐私协议对收集个人信息的目的多采取概括加列举的方式——往往仅列举出主要的使用范围,但在其后台仍对收集的个人信息进行额外处理。 Facebook 案中,《用户协议》规定用户通过创建账户并登录 Facebook 账户,就已经同意了该公司的隐私政策——不但这种字体狭小、内容繁琐的协议难以引起用户阅读的兴趣,而且这一通知只出现在用户的首次登录,之后主登录界面不再显示披露信息。① 这种使用格式条款告知用户收集人脸识别信息的风险从而间接转嫁责任的现象意味着不合理条款通常被隐藏在细节和法律术语中,实质上是利用优势地位“单方面”诱导对方同意合同条款,严重侵害了用户的知情权,阻止用户自由决定是否提供人脸信息进行身份验证。为充分保障个人的自我决定权,应杜绝以格式条款的方式告知权利人人脸信息采集的风险而规避责任的行为。
(2)根据“场景理论”限制“二次同意”的适用范围
司法实践中,个人敏感信息再次利用时是否需权利人“同意”的问题上,主要的争议问题在于信息收集使用的目的是否一致,可参考“场景理论”限制 “二次同意”的适用范围。
场景理论(又称“情境脉络完整性”理论),最初由美国学者尼森鲍姆(Helen Nissenbaum)教授提出[11]119,指个人信息原始收集时的具体语境应得到尊重,其后续传播及利用不得超出原初的情境脉络。《个人信息保护法》第 14 条规定“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意”。当个人已授权将自己的信息公布于网络后,第三人利用网络上公开的信息是否侵权,应当结合具体场景的多种因素具体判断。
人脸信息公开的对象和场景是判断信息“处理目的”是否变更的主要因素。“新浪微博诉脉脉抓取微博用户数据案”中,脉脉软件利用与新浪微博的合作关系,非法抓取、展示新浪微博用户信息(包括头像、名称、职业信息、教育信息、用户自定义标签及用户发布的微博内容)的行为是否违法,判决认为“新浪微博用户选择对公众公开个人信息,并不意味着可以未经新浪微博用户同意,获取用户头像信息、标签信息、职业信息、教育信息并展示在脉脉软件的人脉详情中”②,进而判决脉脉公司非法抓取用户个人信息的行为违法。“剑桥分析公司案”的判决也根据 “情境脉络完整性理论”认为,个人在网络上已公开的个人信息具有特定的对象(其他用户和好友)和场景(社交网络)。剑桥分析公司在未获得用户同意、且在完全不同的场景下利用这些信息,构成了对用户权利的侵犯。[12]71 与之相对,“人人网收购案”③中,人人网与作为收购方的多牛传媒同属社交网络平台,两者对于用户数据的使用场景相同、目的一致,用户个人信息从人人网流入多牛传媒符合“场景式”判断规则中“目的一致”的要求。
(3)豁免例外不违法。生物识别信息属于个人敏感信息,个人对其使用、处分具有决定权;但生物识别信息作为生物多样性的体现同时肩负社会责任,因此个人信息自决权的行使需要受到公共利益限制。《个人信息保护法》第 27 条规定“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识”。《民法典》第 999 条规定“为公共利益实施新闻报道、舆论监督等行为的,可以合理使用民事主体的姓名、名称、肖像、个人信息等”;《民法典》第 1020 条规定“为维护公共利益或者肖像权人合法权益,制作、使用、公开肖像权人的肖像的其他行为”可以不经肖像权人同意;《规范》第 5.4 条也规定“征得授权同意的例外”,规定与国家安全、公共利益、个体生命、财产等重大权益相关,或属于主体履行合同所必需,或为新闻报道、学术研究等目的收集使用个人信息不需要同意。最高人民法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第五条规定,有下列情形之一,信息处理者主张其不承担民事责任的,人民法院依法予以支持:(一)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息的;(二)为维护公共安全,依据国家有关规定在公共场所使用人脸识别技术的;(三)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息的;(四)在自然人或者其监护人同意的范围内合理处理人脸信息的;(五)符合法律、行政法规规定的其他情形。
(二)无形损害之扩大解释
未履行告知义务、未经权利人同意收集人脸信息的行为虽是程序性违法行为,但往往使权利人损失机会成本、导致期望落空等,这种违反法律的行为如何对人脸信息自决权造成实质损害,怎么进行法律救济,需要根据法学理论进行探索和阐释。
1.损害法律保护人格权的目的
正如《个人信息保护法》第 29 条指出的,敏感个人信息一旦泄露或非法使用将导致难以挽回的后果,因此重新审视人脸识别信息非法利用的权利侵害风险是保护个人信息自决权的必要之举。Face- book 案中的原告认为,当 Facebook 在未经他们同意的情况下生成、存储和使用他们的面部几何图形时,他们受到了具体的伤害。违反法律规定的“同意”而非法获取他人敏感信息这种程序性违法行为,如何造成权利的实质损害?
在违法收集、利用人脸信息行为的认定上, Spokeo,Inc.v.Robins①案明确指出“个人信息非法收集的程序性违法行为会导致无形损害,这种具体的损害违反了 BIPA 保护个人隐私的目的”。法院在无形损害的认定上分两个步骤:一是程序性违法行为是否违反了法律保护个人具体权益的目的,二是案件中具体的程序违法行为是否产生实际损害或存在损害这些利益的重大风险。②Van Patten v.Vertical Fitness Group 案③中,法院也确立了程序上的违反是对实体权利的侵犯,因为这种违反构成了事实上的伤害。未经权利人同意而擅自收集其敏感信息的行为违反了 BIPA 的意图和法规的具体要求——正如 Facebook 在没有通知用户和获得他们的书面许可的情况下创建了伊利诺伊州用户的面部生物识别模板那样——BIPA 的任何程序要素都服务于保护伊利诺伊州人的实质性隐私权的最终目的,因此违反 BIPA 的行为实际上是一种具体的损害。
2.侵害了个人对自己敏感信息的决定权、控制权
人脸信息自我决定权即“个人对有关其个人信息的控制”,未经权利人同意而收集其人脸信息的行为否定了权利人的自我决定权。Carpenter v.United States 案④的判决指出,面部识别技术能够收集高度详细的信息并用来解锁手机、支付账单,甚至这些详细的信息可以被用来上传到 Facebook 的数百万张照片中确定一个人的身份,并确定此人的位置—— 这都侵犯了权利人的自我决定权。Rosenbach v.Six Flags Entertainment Corp.案⑤中,母亲给孩子(未成年人) 买了一张去伊利诺伊州古尔尼市六旗游乐园的季票,公园要求未成年人必须扫描指纹才能进入公园并使用季票。但公园在未经原告或其父母书面许可的情况下收集了其生物特征数据,更没有透露他们将如何使用这些生物特征信息,也没有透露他们将存储这些信息多长时间。原告以公园违反 BIPA 第 15 节“私营公司以书面形式通知生物特征信息的所有者其信息正在被收集或存储、收集、存储或使用的目的,并获得所有者的书面许可”为由起诉。法院从法律、大众和历史的角度将本案中的受害者理解为“被否定自我决定权而被侵犯或剥夺合法权利”的人。因此,Rosenbach 案的未成年人在“没有知情的书面同意的情况下被收集了他的生物特征信息,剥夺了其对个人信息的控制权,让他受到了伤害”。这一案件的核心要义在于,未经个人同意收集其生物识别信息的行为,侵犯了其自我决定的自由和人格尊严,构成实质的权利侵犯。
3.基于权利侵害的紧迫性请求停止侵害禁令
未经权利人同意收集、使用其人脸识别信息的行为符合侵权责任要件,因为这一违法行为构成个人权益侵害重大的、紧迫的风险。由于人脸信息具有唯一性和不可补办性,“敏感个人信息一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害”,因此应根据《民法典》第 997 条 “民事主体有证据证明行为人正在实施或者即将实施侵害其人格权的违法行为,不及时制止将使其合法权益受到难以弥补的损害的,有权依法向人民法院申请采取责令行为人停止有关行为的措施”,要求他人停止侵害。美国 Beck v.McDonald 案①,以及 Bassett v.ABM Parking Services,Inc.案②都认可“处罚造成紧迫的法益侵害风险的行为”,但同时强调 “黑客入侵行为如果没有导致信息被违法使用,没有使用错误的或被盗的信息,身份被盗的风险是不存在的”“本案中被告仅仅是在程序上违反了打印信用卡账单收据的规定,并没有造成迫在眉睫的身份盗窃或欺诈风险”。人脸识别信息泄露具有不可挽回性,将导致个人的财产、自由处于未知他人利用的即时危险中,当个人丧失对人脸信息的控制权后,其查阅复制权、更正补充权、要求删除权等权利都因无法向相对人主张而难以实现。此时权利人应立即向法院起诉请求停止侵害,并要求已经收集自己人脸信息的机构删除人脸信息,以保护个人的人身权和财产权。
4.增设惩罚性赔偿条款以遏制商业不法行为
商业使用是非法收集人脸识别信息行为的重要原因,剥夺再犯资本是控制此类行为的有效措施。国外学者曾提出“数据财产权”的概念,认为对个人权利保护仅规定责任规则是不够的,还需要以财产规则进行保护。[13]2055 人脸识别信息泄露会致使个人的人身安全、财产安全陷入风险,如果法律仅从事后救济的方面进行惩罚,则无法未雨绸缪、遏制人脸识别信息非法收集行为。而遏制非法商业行为最有效的手段就是金钱处罚,才能从根源上剥夺再犯的资本和动机。
最高人民法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第八条规定“信息处理者处理人脸信息侵害自然人人格权益造成财产损失,该自然人依据民法典第 1182 条主张财产损害赔偿的,人民法院依法予以支持”。我国《个人信息保护法》第 66 条对违反本法规定处理个人信息者高额的行政罚款数额(拒不改正的,并处一百万元以下罚款;情节严重的,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款);我国《消费者权利保护法》第 50 条规定“消费者在接受服务时,其合法权益受到损害的,可以向服务者要求赔偿”。非法收集、利用个人人脸信息的行为侵犯了权利人的信息自决权,无异于 “偷走”其人脸信息,对这种行为进行惩罚性罚款以从根本上消除、减轻犯罪源头。人脸信息适用的相关领域如《民法典》《消费者权利保护法》《反不正当竞争法》等法律也应增设惩罚性赔偿条款以遏制非法收集人脸信息的商业行为。
五、结语
数字中国建设进程中,人脸识别信息等生物敏感信息的适用范围日益扩大,法律应与时俱进地提供保障与救济以增强个人信息保护的实践效果。“个人信息权是含有隐私内容但又超越隐私权的权利。”[14]2021 年 8 月 1 日施行的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》将侵害人脸信息的行为认定为侵害人格权的行为,但如何对人脸识别信息这一“个人敏感生物信息”进行强化保护、如何有效制止尚未造成物质损害的秘密抓拍等非法采集、利用人脸识别信息的行为,本文进行初步探索和论述。显然,《民法典》在个人敏感信息保护上尚有不足。[15] 随着《个人信息保护法》的实施,侵害人脸识别信息的问题会更加突出,如何衔接《个人信息保护法》《数据安全法》和《民法典》在个人敏感信息保护上的适用,仍需理论界不断关注。