與“人臉識別”有關的法律問題
漫畫 孟憲東
隨著互聯網的飛速發展,人臉識別技術被應用于生活各個角落,從手機解鎖到上班“打卡”,我們的臉幾乎每天都在被各式各樣的設備掃描,這也意味著我們的個人信息和隱私在不斷地暴露。近兩年,關于人臉識別引發的一系列問題也引起了公眾的關注。從今年3·15晚會曝光的多家知名商店安裝人臉識別攝像頭,到杭州市中院審理的人臉識別第一案,讓個人隱私保護再次成為焦點話題,那么個人信息(包括生物識別信息)的收集、使用怎樣才算是合法、正當、必要的呢?什么情況下才可以進行生物識別信息的收集?在事先不告知的情況下收集是不是違法的呢? 法律支持 張盈律師事務所
如何合法使用個人信息
根據《民法典》第111條的規定,“自然人的個人信息受法律保護。任何組織或者個人需要獲取他人個人信息的,應當依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。”這里的“個人信息”,指的是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。
此外,《網絡安全法》《消費者權益保護法》《關于加強網絡信息保護的決定》等法律法規也對個人信息的收集予以法律規制。《消費者權益保護法》第29條規定,“經營者收集、使用消費者個人信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和范圍,并經消費者同意。經營者收集、使用消費者個人信息,應當公開其收集、使用規則,不得違反法律、法規的規定和雙方的約定收集、使用信息”。《關于加強網絡信息保護的決定》第2條規定,“網絡服務提供者和其他企業事業單位在業務活動中收集、使用公民個人電子信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意,不得違反法律、法規的規定和雙方的約定收集、使用信息。”可見,對于收集、使用個人信息我國現行法律法規應當遵循的基本原則,即合法、正當、必要的三原則。
如何合法收集個人信息
根據2021年4月29日發布的《個人信息保護法(草案二次審議稿)征求意見》,對于個人信息的收集應當注意如下幾點:
首先,處理個人信息應當具有明確、合理的目的,并應當限于實現處理目的所必要的最小范圍、采取對個人權益影響最小的方式,不得進行與處理目的無關的個人信息處理。
其次,處理個人信息應當遵循公開、透明的原則,公開個人信息處理規則,明示處理的目的、方式和范圍。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。
再次,收集個人信息應當取得個人的同意,即應當由個人在充分知情的前提下自愿、明確作出,但是為履行法定職責或者法定義務所必需、為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需、為公共利益實施新聞報道、輿論監督等行為,在合理的范圍內處理個人信息等情形除外。
最后,個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言向個人告知下列事項:1.個人信息處理者的身份和聯系方式;2.個人信息的處理目的、處理方式,處理的個人信息種類、保存期限;3.個人行使本法規定權利的方式和程序等法律、行政法規規定應當告知的其他事項。
事先不告知采集個人信息
涉嫌違法
2021年4月9日,杭州“人臉識別第一案”二審判決結果“出爐”,杭州市中級人民法院判決野生動物世界賠償郭某合同利益損失及交通費共計1038元,刪除郭某辦理指紋年卡時提交的包括照片在內的面部特征信息;駁回郭某提出的確認野生動物世界店堂告示、短信通知中相關內容無效等其他訴訟請求。
2019年4月27日,郭某與妻子向野生動物世界購買雙人年卡,并留存相關個人身份信息、拍攝照片及錄入指紋。后野生動物世界向包括郭某在內的年卡消費者群發短信,表示將入園方式由指紋識別變更為人臉識別,要求客戶進行人臉激活,遂引發本案糾紛。
杭州中院審理認為,郭某在知悉野生動物世界指紋識別店堂告示內容的情況下,自主作出辦理年卡的決定并提供相關個人信息,該店堂告示對雙方均具約束力,且不符合格式條款無效的法定情形;而人臉識別店堂告示并非雙方的合同條款,對郭某不發生效力。野生動物世界為游客游覽提供了不同入園方式的選擇,郭某知情同意后辦理指紋年卡,其選擇權未受到侵害。野生動物世界亦不存在欺詐行為,但其單方變更入園方式構成違約,應承擔違約責任。一審法院判決野生動物世界賠償郭某合同利益損失678元、交通費360元均屬適當。野生動物世界欲將其已收集的照片激活處理為人臉識別信息,超出事前收集目的,違反了正當性原則,故應當刪除郭某辦卡時提交的包括照片在內的面部特征信息。鑒于野生動物世界停止使用指紋識別閘機,致使原約定的入園服務方式無法實現,亦應當刪除郭某的指紋識別信息。
根據《侵害消費者權益行為處罰辦法》第11條的規定,經營者收集、使用消費者個人信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和范圍,并經消費者同意。且經營者不得有下列行為:1.未經消費者同意,收集、使用消費者個人信息;2.泄露、出售或者非法向他人提供所收集的消費者個人信息;3.未經消費者同意或者請求,或者消費者明確表示拒絕,向其發送商業性信息。否則根據情節嚴重程度,可能面臨警告、沒收違法所得、處以違法所得一倍以上十倍以下的罰款,沒有違法所得的,處以五十萬元以下的罰款等處罰。情節嚴重的,將被責令停業整頓、吊銷營業執照。
