“刷脸之争”,加强个人信息保护还有哪些难点?

2022-09-04 16:39:47 作者: “刷脸之争”

  参与司法解释起草论证的石佳友表示,天津人脸识别案的胜诉,很好地验证了最高法关于人脸识别的司法解释的适用效果,而这一案件本身,也具有标志性意义。

  杭州人脸识别第一案

  近几年,我国集中出台了几部重要的涉及个人信息保护的法律法规。2020年5月28日颁布的《中华人民共和国民法典》中,明确规定了哪些信息属于个人信息,同时规定了处理个人信息应当遵循合法、正当、必要的原则。2021年8月1日,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》生效施行,为因处理人脸识别信息引起的民事纠纷案件提供了审判指引。2021年11月1日,《中华人民共和国个人信息保护法》正式生效实施,明确了个人信息处理规则、个人在个人信息处理活动中的权利、个人信息处理者的义务等内容,并设专节严格规范包括人脸识别信息在内的敏感个人信息的处理规则。可以说这两部法律和一部司法解释,形成了对于人脸识别信息综合、全面的法律保护体系。

司法上的进步,离不开典型案件的推动,在人脸识别领域,2019年发生在杭州的“人脸识别第一案”,就是一起对于司法进程具有重要意义的标志性案件。因为不愿意使用人脸识别,浙江理工大学法政学院特聘副教授、法学博士出身的郭兵将杭州野生动物世界告上了法庭。案件源于郭兵2019年4月在杭州野生动物世界办理年卡的消费经历。

  浙江理工大学法政学院特聘副教授 郭兵:我们去办卡的时候,要录指纹,我就说你们怎么能强制游客录指纹?他说我们这边入园,必须年卡跟指纹同时录入,你才能进去。2019年7月份,杭州野生动物世界发了短信,说我们要进行人脸识别的升级,然后要尽快去人脸识别注册。2019年10月17日,它就正式发短信说,如果你不进行人脸识别注册,就不能用了。

  由于年卡用户的入园方式由指纹识别变更为了人脸识别,而郭兵认为,人脸信息属于敏感个人信息,不同意接受人脸识别。双方就入园方式、退卡等相关事宜协商未果,郭兵将杭州野生动物世界告上了法庭。2020年11月20日,杭州市富阳区人民法院作出一审判决,判令杭州野生动物世界赔偿郭兵合同利益损失及交通费共计1038元,并删除郭兵办理指纹年卡时提交的包括照片在内的面部特征信息;驳回郭兵要求确认店堂告示、短信通知中相关内容无效等其他诉讼请求。郭兵与野生动物世界均表示不服,分别向杭州中院提起上诉。

  2020年12月11日,杭州中院立案受理该案,并于同年12月29日公开开庭审理。2021年4月9日,该案二审宣判。二审法院认为,指纹识别店堂告示对双方具有约束力,但人脸识别店堂告示对郭兵不发生效力。郭兵办理指纹年卡时选择权并未受到限制或侵害。野生动物世界的行为不构成欺诈,但野生动物世界单方变更入园方式构成违约。野生动物世界欲利用收集的照片扩大信息处理范围,超出事前收集目的,表明其存在侵害郭兵面部特征信息之人格利益的可能与危险,应当删除郭兵办卡时提交的包括照片在内的面部特征信息。鉴于野生动物世界停止使用指纹识别闸机,致使原约定的入园服务方式无法实现,故二审在原判决的基础上增判野生动物世界删除郭兵办理指纹年卡时提交的指纹识别信息。

  中国人民大学法学院教授 石佳友:这个案件发生当时,《民法典》还没有正式生效实施,也没有司法解释,更没有《个人信息保护法》。所以法院当时可能只能适用《消费者权益保护法》《合同法》,作出这样一个判决,主要按照《合同法》框架,认为动物园有一个违约行为,单方面变更了合同的规定,所以是从违约这个角度去否定的。

  目前,在《个人信息保护法》中明确了敏感个人信息的处理规则,其中包括:只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息;处理敏感个人信息应当取得个人的单独同意;个人信息处理者处理敏感个人信息的,除了向个人告知敏感个人信息的处理目的、处理方式、信息种类、保存期限等内容外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;个人信息处理者处理敏感个人信息,应当事前进行个人信息保护影响评估,评估内容包括个人信息的处理目的、处理方式等是否合法、正当、必要;对个人权益的影响及安全风险;所采取的保护措施是否合法、有效并与风险程度相适应。

  从杭州“人脸识别第一案”到天津人脸识别案,国家在个人信息立法上的进程,也能从这两个案件中充分体现出来。

  新的难点

  顾城在2022年7月发给记者的手机视频显示,他依然能够通过刷脸进入小区,这样的情况让顾城怀疑,物业是否真的删除了他的人脸信息?此时,距离2022年5月18日天津市第一中级人民法院下达二审判决已经过去了近两个月。二审法院明确判令,物业公司于判决生效之日起五日内删除顾城的人脸信息并为其提供其他通行验证方式。

  对于删除权,《个人信息保护法》第四十七条明确规定:“有下列情形之一的,个人信息处理者应当主动删除个人信息,个人信息处理者未删除的,个人有权请求删除。”因为有明确的违法事实,顾城可以通过法律手段维护其删除权的实现。但对于法律中提到的其他情形,比如处理目的已实现等情况,个人信息处理者是否能够做到及时删除呢?

  2020年,在对“人脸识别第一案”的采访过程中,为杭州野生动物世界提供技术支持的深圳鼎游信息技术有限公司董事长丁东表示,他们是一家专门为旅游机构提供信息化产品的公司。采访中,他说明了公司对于人脸信息存储和删除的方式。

  因为人脸识别需要比对,目前大多数企业都会采取本地存储的方式。按照丁东的说法,他们与使用方之间的约定是,人脸信息存储在使用方的服务器,并根据票的有效期实施自动删除。2022年,我们再次采访了鼎游公司,技术总监李进表示,目前他们对于删除的管理方式还和两年前一致,但他透露,行业内对于人脸信息是否删除,其实做法不一。