「人臉識別第一案」迎來終審判決。
2021年4月9日,浙江省杭州市中級人民法院(以下簡稱杭州中院)就郭兵與杭州野生動物世界有限公司(以下簡稱杭州野生動物世界)服務合同糾紛二審案件,依法公開宣判。
二審在原判決的基礎上,增判杭州野生動物世界刪除郭兵辦理指紋年卡時提交的指紋識別訊息。
作為大陸《民法典》施行以來,因人臉識別技術應用引發的訴訟「第一案」,伴隨該案件的二審終審判決出爐,該案件確認一些的權利救濟方式、司法保護措施和業務操作細則,將為人臉識別技術及相關設備的應用和規範發揮指引性作用。
糾紛回溯:超範圍使用個人訊息和強迫技術升級是爭議焦點
2019年4月27日,郭兵購買杭州野生動物世界雙人年卡,留存相關個人身份訊息,並錄入指紋和拍照。後杭州野生動物世界將年卡入園方式由指紋識別調整為人臉識別,並向郭兵發送簡訊通知相關事宜,要求其進行人臉激活,雙方協商未果,遂引發本案糾紛。
2020年11月20日,杭州市富陽區人民法院作出一審判決,判令杭州野生動物世界賠償郭兵合同利益損失及交通費共計人民幣1038元;刪除郭兵辦理指紋年卡時提交的包括照片在內的面部特徵訊息;駁回郭兵要求確認店堂告示、簡訊通知中相關內容無效等其他訴訟請求。郭兵與杭州野生動物世界均不服,向杭州中院提起上訴。
2020年12月11日,杭州中院立案受理該案,並於同年12月29日公開開庭進行審理。2021年4月9日,杭州中院做出了二審判決。
回溯郭兵與杭州野生動物世界之間的糾紛,究其根源主要有二:其一是杭州野生動物世界未事先獲得用戶授權,擬將其收集的用戶人臉訊息用於人臉識別系統或設備使用,其二是杭州野生動物世界在採用新技術、新設備過程中,未給用戶留足過渡週期,有「強迫」升級的嫌疑。
應該說,「人臉識別第一案」對相關主體對人臉訊息、指紋訊息等個人生物特徵訊息實施或開展收集、使用、存儲等個人訊息處理時,所應擔負的義務予以了明確和釐清。
根據大陸《民法典》第一千零三十四條的規定,個人訊息是以電子或者其他方式記錄的能夠單獨或者與其他訊息結合識別特定自然人的各種訊息,包括自然人的姓名、出生日期、身份證件號碼、生物識別訊息、住址、電話號碼、電子郵箱、健康訊息、行蹤訊息等。
其中,指紋和面部特徵訊息通常被認為屬生物識別訊息範疇的個人訊息。
因此,對於此類個人訊息的處理,就需要遵循大陸《民法典》及大陸《網絡安全法》等與個人訊息保護相關的規定。
處理義務:合法、正當、必要是前提,不超限度是關鍵
按照大陸《民法典》第一千零三十五條的規定,對個人訊息的處理行為或手段,包括對個人訊息的收集、存儲、使用、加工、傳輸、提供、公開等七種行為。
其中,訊息處理者所需承擔的禁止性義務,包括:不得非法收集、使用、加工、傳輸他人個人訊息,不得非法買賣、提供或者公開他人個人訊息。
而對於按照合法、正當、必要原則進行個人訊息處理時,需承擔不得過度處理義務,並符合單獨授權、規則公開和透明等要求。
簡單說,在遵循合法、正當、必要原則前提下,對個人訊息過度處理的,屬於違法行為,對個人訊息的處理不滿足單獨授權、規則公開和透明等要求的,也構成違法。
其中,所謂「過度」處理,包括:在七種處理行為中,有超過必要限度處理、超範圍處理或超限制處理等情形。
比如,類似郭兵訴杭州野生動物世界一案中,杭州野生動物將留存的用戶照片,未經用戶允許用以人臉識別系統使用等。
此外,類似僅獲得了個人訊息收集等單一處理行為授權,但超範圍或超限制對個人訊息進行了存儲、使用、加工、傳輸和公開等多種處理行為。
值得關注的是,面部特徵訊息和肖像具有「一體兩面」的性質或特點,用戶肖像被採集,也就相當於用戶的面部特徵訊息被採集了。
因此,如果採集過用戶肖像的企業或平台,也就相當於採集了用戶的面部特徵訊息,那麼,後續對於此類訊息的處理,如果涉及到應用到人臉識別場景中的,需要單獨獲取用戶的授權。
借鑒啟示:個人訊息使用環節規則明晰,存儲等其他處理行為亟待規範
當前,具有肖像採集功能的設備或應用,已經在很多領域被廣泛使用。
在安防和防疫管理領域,已有支持測溫功能的人臉識別門禁系統,也有支持測溫功能的安檢設備等等。
在類似在線銀行業務辦理中,為了確認系本人操作,也有採用人臉識別技術,需要即時採集面部特徵訊息,和後台留存訊息進行比對確認。
此外,基於人臉識別技術也催生了不少隱形的新「巨頭」,比如曠視科技、商湯科技等等。
這些主要的人臉識別技術企業或廠商,在建立相應的模型、形成相應的算法,固化相應的技術時,都需要使用的人臉圖片或面部特徵訊息,那麼,這些公司對面部特徵訊息的收集、存儲、使用、加工等處理行為是否遵照大陸《民法典》單獨獲得了用戶的授權或同意,都是值得關注的問題。
整體來看,人臉識別技術和設備應用,屬於典型的「使用先於規範」、「應用先於立法」。
從加強個人訊息保護的角度來看,對於此類產品的規範管理,既要從源頭的生產許可介入,也要從安裝使用環節加以規範。
既要對單一設備或系統的訊息採集合規性予以審視,也要對同一廠商所有設備聯網及後台上傳或回傳訊息的行為予以監管。
而對於平台從某種業務獲取了用戶生物特徵訊息,未經用戶單獨同意又用於其他業務的做法,也需要逐步加強規範。
簡單說,在採集或收集個人訊息之後,對個人訊息的進行儲存、使用、加工、傳輸、提供、公開等任一處理行為,是否允許一次性概括性同意,還是必須逐項逐次獲得同意,這些都需要儘快明確規則。
在「人臉識別第一案」 (即郭兵訴杭州野生動物世界一案)中,原告及法院主要圍繞留存肖像用於人臉識別和留存指紋訊息刪除等展開。
對於採集之後,進一步實施類似存儲、加工、傳輸、提供和公開等處理行為時,應予如何規範尚未給予回應,這也就需要相關部門在做好人臉識別技術應用和設備管理方面提前謀劃,做好技術標準和監管規範的制定。
從這個角度來看,「人臉識別第一案」終審判決的出爐,只是打響了人臉識別技術應用或設備實現規範管理的「第一槍」。
【本文僅反映專家作者意見,不代表本報立場。】
|
|
作者: |
李俊慧 |
現任: |
中國政法大學知識產權研究中心特約研究員 |
簡介: |
作者李俊慧先生為中國政法大學知識產權研究中心特約研究員,長期關注網際網路、智慧財產權,以及其相關監管政策和法律問題(大陸地區)。 |
|
|
|
Facebook |
|
在北美智權報粉絲團上追踪我們 |
|
|
|
|
|
|
|