汪靖欢 李向前 许嘉琳 陈梓钦 甘正浩
华南理工大学法学院(知识产权学院) 510006
摘要:
人脸识别技术目前已经得到广泛运用,本文以刘嘉龙与沈榕人格权纠纷案为例,探究了这一技术在个人信息权领域内产生的法律问题,并尝试为其提出解决方案。
关键词:个人信息权、人脸识别技术、个人信息保护法
一、研究背景
目前,人脸识别技术使用的广泛性与其法律规制程度之间发生了背离,因而产生了较大的法律风险。在《人脸识别落地场景观察报告》[ 《人脸识别落地场景观察报告(2019 年)》显示,在个人信息泄露频发的态势下,超过七成的民众对网络运营者的安全保障能力存有疑问,担心人脸数据泄露。在有关的安全隐患中,79.31%的受访者担心系统运营者安全能力欠缺导致人脸信息泄露,65.17%的人担心换脸视频等网络虚假信息增多,49.57%的人担心不法分子利用伪造信息实施诈骗或盗刷。]中,大部分受访者均流露出对于人脸识别技术的滥用会导致个人信息泄露的担忧。
人脸信息在各类公私主体的收集使用中存在着不可小觑的隐私风险,严重程度足以损害人格权利与尊严。并且人脸识别技术一旦被滥用,则可能威胁到的不只是个人权利、自由、安全,随之而来的数据安全、隐私泄露等问题亦不容忽视。因此,有必要厘清人脸识别技术应用的边界。与此同时,亟需在保障面部信息与技术进步之间找到平衡点,采取积极可靠的策略,从而切实保障公民的面部信息安全,以求实现科学技术发展与各方权益保障的平衡。
二、人脸识别技术应用中损害公民个人信息权的各类情形分析
1.人脸识别技术应用侵害公民个人信息权案例分析
笔者在裁判文书网中以“人脸识别”为关键词,人格权纠纷为案由检索到30件相关案例;其中以“刘嘉龙与沈榕人格权纠纷案”[ “刘嘉龙与沈榕人格权纠纷案”一审判决书案号为(2019)京0102民初17657号,二审民事判决书案号为(2020)京02民终1641号。]最具有代表性。
该案中被告与原告系邻居;被告在其门上安装了具有人脸识别功能的智能门铃(下简称智能门铃)。原告认为该智能门铃录制了其家庭成员面部影像及家中摆设信息,侵犯了其隐私,故诉请法院要求被告拆除其门上安装的智能门铃并删除其中保存的原告人脸信息数据。被告则辩称智能门铃经合法途径购买且仅可拍摄两家门前的公共区域,并未非法录制原告的人脸信息,侵犯原告的权利。经审理,法院认为原告诉称被告安装的智能门铃侵害其权利却未提交充分证据,该智能门铃无法录制原告屋内摆设等信息,而仅可录制被告门前公共区域内人员的面部影像和出入家门的信息;且上述信息48小时后便自动删除。由此,法院认为原告的诉讼请求证据不足而不予支持。笔者认为,考虑到个人信息权的客体不仅包括个人隐私,亦包括自然人的一般信息,故本案中被告安装的智能门铃,未经许可录制并保存原告及其家属的面部影像和出入家门的信息实际上侵犯了原告的个人信息权。
而在二审中,原告的诉讼请求则得到了法院的支持。二审法院查明的事实虽与一审法院基本一致,但其认为原告进出门必须经过被告家门。被告安装在家门外的具有人脸识别功能的门铃虽然仅可拍摄到两家门口的公共区域,但其可录制并保存原告及其家属的面部影像及出入家门的形成信息;这使得被告未经许可采集并保存了原告及其家属的出行规律和家庭成员流动状况等个人信息,对原告及其家属的正常生活产生了一定影响。由此,二审法院支持原告要求被告拆除智能门铃的诉讼请求,但以证据不足为由不支持原告要求被告删除智能门铃记录的影像资料的诉讼请求。该案一审法院及二审法院依据基本相同的事实而做出近乎相反的判决结果。笔者认为,这是由于两审法院对于个人信息范围的认定不同,一审法院对于个人信息的认定局限于敏感信息的范围,二审法院则合理考虑到被告安装的人脸识别智能门铃持续地记录原告及其家属的面部影像、进出其家庭人员影像的一般信息会影响原告正常的、安宁的生活。由此可见,人脸识别技术在应用过程中会产生一系列法律问题,笔者将在下文对此进行揭示和分析。
2.人脸识别技术应用产生的法律问题
由上述案例可见,在人脸识别技术的应用中可能会产生涉及个人信息权的法律问题,即利用人脸识别技术采集个人信息缺乏法律的严格规制的问题。这不仅直接表现为对他人个人信息权的侵害行为,而且包括可能引起若干种侵权行为的法律风险。
具体而言,可利用人脸识别技术采集个人信息的主体、内容及传播方式缺乏法律的严格规制。首先,人脸识别技术产生了滥用的趋势,且部分人脸识别技术使用者在采集个人信息时并未经过个人信息被采集者同意,亦非两者签订协议中约定的必须流程;由此加剧了个人信息权被侵害的法律风险。其次,理论上虽然认为人脸识别技术采集的个人信息内容即为被采集信息者的面部影像;但实践中存在被采集信息者外的第三人的面部影像被误采集的情形,这显然是在未经第三人许可的情况下采集其个人信息,直接侵害了其个人信息权。人脸识别技术中的信息采集通常以摄像头自动拍摄为手段,在整个采集过程中被采集对象往往毫无察觉,从而错失判断风险并明确表达同意或拒绝的机会[[[]石佳友,刘思齐.人脸识别技术中的个人信息保护——兼论动态同意模式的建构[J].财经法学,2021(02):60-78.]]。再次,人脸识别设备录制的个人信息通常存储在该设备的内存空间中,在部分情况下这些个人信息会上传至网络服务器中存储;在此情形下通过人脸识别技术采集的个人信息有被复制和传播的风险。但当前应用人脸识别技术采集的信息的传播方式仍缺乏法律的严格规制。国内也相应催生出“过脸”这种黑灰产业,利用人脸信息和窃取、收买的个人数据在网上进行注册虚假账号、侵害公民虚拟财产等不法行为[[[] 文铭,刘博.人脸识别技术应用中的法律规制研究[J].科技与法律,2020(04):77-85.]]。
综上所述,当前人脸识别技术应用中存在一系列涉及个人信息权的法律问题,且这些问题法律缺乏有效的规制措施,这损害了公民对其个人信息所享有的应然权利。为此,笔者拟在下文对上述因人脸识别应用产生的法律问题提出解决方案。
四、解决方案
本文认为,目前应当主要在法律制度的层面上努力地解决人脸识别技术在实际应用中产生的消极影响,而重点应当放在对个人信息的范围界定、人脸识别技术的不同应用主体和人脸识别技术应用内容的规定上。
从上述案例可以看出,在人脸识别的案例中,司法主体对个人信息这一概念的界定和划分起到了至关重要的作用,而如不在法律中对个人信息的概念与范围作更详细以及更确切的界定,便会导致不同审判者给出不同的解答之局面,因此需要尽快对《个人信息保护法》中的相关法条进行完善,如在法律中确实难以作出十分细致的规定来适应实践的情况,便应当尽快出台司法解释,对人脸识别案件的审判给出指引。
在主体方面,主要包括了公权力机构、相关企业以及个人。本文首先关注的个人领域产生的法律问题,人脸识别技术的应用应当遵循意思自治原则或者说是知情同意原则。这代表着着公民个人信息自决的重要性,同样也是为了维护个人自主性这一在私法领域不可打破的原则。[[] 见田野.大数据时代知情同意原则的困境与出路——以生物资料库的个人信息保护为例[J].法制与社会发展,2018(6): 111.]这便要求涉事双方当事人的相互告知、平等协商,最重要的是合同的签订与应用,在合同中对人脸信息的收集、运用、储存和双方在该过程中的双方当事人的权利和义务作详细的约定。其次是作为人脸信息使用方的相关企业,虽说当双方主体是企业和个人时,在形式上两者是平等的个体,但在实际上企业是绝对强势的一方,而个人是绝对弱势的一方,因此在法律上需要限缩企业的权利并为其设置必要的义务,以保障个人的人脸信息不至于被滥用。最后是公权力机构,与其他行政行为相类似,公权力机关需要运用人脸识别技术时,应当遵守合法性原则和比例原则,并设置事前审批,事后审查的机制,以确保公权力机关不会滥用权力而损害公众利益。
在内容方面,主要是指关于收集、储存、使用和删除相关人脸信息的处理过程,法律需要为这些过程所需要注意的细节,使用者所需要承担的义务作出更详细的规定。值得一提的是,可以将民法典第1037条第2款的规定理解成公民享有个人信息删除权,因此删除这一环节作为人脸信息的最末节还需要引起一定的关注。[ 民法典第1037条第2款规定,“自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。”删除权也可以理解为是人格权请求权中的排除妨害或停止侵碍。]“自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。”删除权也可以理解为是人格权请求权中的排除妨害或停止侵碍。