作者:高翼寅 律师助理
近年来,随着生物信息识别技术的问世,日常生活中出现许多利用识别生物信息来进行身份认证的方式,为大众提供便利。例如疫情期间,甚至出现佩戴口罩都能进行识别人脸的技术。但科技亦是把双刃剑,有利亦有弊,假如将人脸信息采集作商业用途,就可能发生信息泄露的风险。生物识别信息作为敏感的个人信息,深度体现自然人的生理和行为特征,具备较强的人格属性,一旦被泄露或者非法使用,可能导致个人受到歧视甚至人身、财产安全受到侵害,故应当更加谨慎处理和严格保护。
国内外与个人信息保护相关的立法现状
随着信息技术的蓬勃发展以及互联网、通讯技术等产业数字化,各国相继出台对于信息数据保护等法律文件。2016年欧盟出台《通用数据保护条例(以下简称”GDPR”)》,并于2018年正式实施;英国2018年通过《数据保护法(以下简称“DPA 2018”)》;瑞士也在2020年9月对其个人信息保护法作大幅度修订。在美国,加利福尼亚州2018年率先通过了《加州消费者隐私法案 (以下简称“CCPA”) 》,于2020年1月1日正式实施,这是美国第一部全面保护隐私的法案。2020年2月15日巴西亦正式实施《通用数据保护法》。
我国也高度重视个人信息保护的立法工作,早在2000年初,我国就提出将个人信息保护成文法化,引进个人信息保护制度,于2012年全国人大常委会通过《关于加强网络信息保护的决定》,工信部也随之发布了配套的专门性行政法规《电信和互联网用户个人信息保护规定》,《消费者权益保护法》、《广告法》、《电子商务法》等也从不同角度加强了个人信息保护有关的规定。2016年表决通过《网络安全法》,奠定了我国网络个人信息保护行政监管的基本制度。2017 年5月9日两高发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,就侵犯个人信息犯罪的相关问题进行了具体规定,同年 12月29日,全国信息安全标准化技术委员会发布的《信息安全技术:个人信息安全规范》(GB/T 35273-2017),以技术文件的形式明确了个人信息保护领域的法律术语,确立了个人信息处理活动中应遵循的原则性的安全要求。2019年10月21日两高发布《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用若干问题的解释》,同年10月24日颁布的《移动互联网应用程序(APP)收集个人信息基本规范(草案)》针对各类应用程序规范了21种常用服务类型的最少信息;2020年5月由全国人大表决通过的《民法典》在人格权编对个人信息保护作出了全面规定;2020年10月,全国人大常委会审议并公布了《个人信息保护法》一审稿草案(以下简称“本草案”),引起了国内外的高度关注和积极评价。
《个人信息保护法》(草案)很大程度上吸收了各国的立法经验,尤其是对欧盟GDPR的目的明确原则、选择同意原则、最少够用原则等六大原则进行了吸收采纳。
就《个人信息保护法》的法律定位而言,更倾向于认定为数据领域的基本法,以《数据安全法》为基础,聚焦数据隐私,构建了数据保护和数据利用的整体性法律框架。就其与《民法典》的关系而言,由于《个人信息保护法》是公法、私法高度融合的法律,既以个人信息权利体系为基础建立民事诉讼机制,又通过设立政府监管机构以行政处罚等手段规制企业,不能简单地认定为特别法与一般法的关系,而是两个有交叉关系的平行法律。
“人脸识别第一案”:郭兵与杭州野生动物世界有限公司(以下简称野生动物世界)服务合同纠纷案
(法院虽未以《个人信息保护法(草案)》作为本案的裁判依据,而是以合同无效为由作出相应裁判,但由于本案的特殊性,被媒体称为“人脸识别第一案”,对解析《个人信息保护法(草案)》有较大价值,故以此作为本草案的引入案例)
案情概述:
2019年4月27日,郭兵(浙江某大学法学特聘副教授)购买野生动物世界双人年卡,留存相关个人身份信息,并录入指纹和拍照。后野生动物世界将年卡入园方式由指纹识别调整为人脸识别,并向郭兵发送短信通知相关事宜,要求其进行人脸激活,双方协商未果,遂引发本案纠纷。
一审法院判令野生动物世界赔偿郭兵合同利益损失及交通费共计1038元;删除郭兵办理指纹年卡时提交的包括照片在内的面部特征信息;驳回郭兵要求确认店堂告示、短信通知中相关内容无效等其他诉讼请求。二审在原判决的基础上增判野生动物世界删除郭兵办理指纹年卡时提交的指纹识别信息。
本案系因野生动物世界收集、使用生物识别信息验证身份引发的服务合同纠纷。
野生动物世界为游客提供包括指纹识别等入园方式,郭兵在知情同意后选择办理指纹年卡,选择权未受侵害。但其后野生动物世界单方改变入园方式,欲将已收集的照片激活处理为人脸识别信息的行为,超出了照片收集的目的,违反正当性原则,故郭兵有权行使删除权,删除包括照片在内的面部特征信息。又因野生动物世界停止使用指纹识别的入园方式,亦应删除郭兵的指纹识别信息。
何为个人信息?
《个人信息保护法(草案)》中关于个人信息的定义:
第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
第二十四条第二款个人信息处理者向第三方提供匿名化信息的,第三方不得利用技术等手段重新识别个人身份。
上述案件中郭兵的指纹识别信息及其可识别出面部特征信息的照片,深度体现自然人的生理特征,具有较强的人格属性,以电子形式被园方储存,属于本草案所定义的个人信息。
本草案借鉴了欧盟GDPR的定义,将保护对象设置为我国境内“自然人个人信息”,同时限定其在“已识别或可识别”的范围之中。本草案将匿名化处理后的信息排除在外,这无疑节约了执法资源,并在本法第二十四条中制定了禁止匿名化信息逆向处理的条款与之呼应,这与GDPR序言第26条相类似,但与刚刚通过的《民法典》人格权编中以“身份识别”为核心的个人信息定义存在差异(个人信息是以电子或其他方式记录的能够单独或与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等)。
对比《网络安全法》第四十二条的规定:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”可以看出,匿名化信息的复原将成为《个人信息保护法》出台后违法性认定的关键。
对于匿名化的标准,本草案第六十九条定义为个人信息经过处理无法识别特定自然人且不能复原的过程。亦可参照对比《GB/T 37964-2019 信息安全技术 个人信息去标识化指南》中对于相关标准的认定。
个人信息处理者定义:
与GDPR不同的是,本草案并未对“个人信息控制者”与“个人信息处理者”作出区分,本案中野生动物世界欲将顾客的人脸识别信息收集并加以处理,作为入园方式之一,显然可以被认定为个人信息处理者。
敏感个人信息
第二十九条个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息。
敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。
本草案确立了处理敏感个人信息时,信息处理者需举证其确有必要进行信息处理,且采用“单独同意”的方式,并且明确了信息处理者的告知义务,是对处理敏感个人信息的严格标准。而本草案对敏感个人信息的认定采用定义加不完全列举的方式,前述案例中的指纹、脸部识别信息就属于个人生物特征范畴。
适用效力
第三条组织、个人在中华人民共和国境内处理自然人个人信息的活动,适用本法。
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
(一)以向境内自然人提供产品或者服务为目的;
(二)为分析、评估境内自然人的行为;
(三)法律、行政法规规定的其他情形。
该条明确适用效力范围,采用属地原则和保护原则,兼顾本法域外效力。针对因数据采集、转让等环节转移到域外而导致的取证、管辖权等方面出现的问题。与欧盟GDPR第三条中的指向性和监管性要求相类似。
合法、正当、必要原则
第五条 处理个人信息应当采用合法、正当的方式,遵循诚信原则,不得通过欺诈、误导等方式处理个人信息。
第六条 处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的的最小范围,不得进行与处理目的无关的个人信息处理。
这两条明确了合法、正当、必要三大原则。与欧盟GDPR目的明确原则,即具有合法、正当、必要,明确的个人信息处理目的相类似,并在之后的条文中进行细化。
合法原则:
本草案规定了六种合法性事由:
第十三条符合下列情形之一的,个人信息处理者方可处理个人信息:
(一)取得个人的同意;
(二)为订立或者履行个人作为一方当事人的合同所需;
(三)为履行法定职责或者法定义务所需;
(四)为应对突发公共卫生事件或者紧急情况下为保护自然人的生命健康和财产安全所需;
(五)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息;
(六)其他法律、行政法规规定的其他情形。
第十三条前三款与GDPR中相关规定类似;而(四)(五)款对比GDPR相似条款,即“(d)处理是为了保护数据主体或另一个自然人的切身利益之必要;(e)处理是为了执行公共利益领域的任务或行使控制者既定的公务职权之必要;存在明显限缩。
正当原则:
第十四条处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
本条明确了“明示同意”、“授权同意”以及“重新取得同意”三种情形的适用规则。
关于“明示同意”——显然,本条是本草案在《信息安全技术个人信息安全规范》(GB/T35273-2020)的基础上进行的细化。本条中的“充分知情”是个人信息处理正当性原则的一种直观表现。例如通过加粗、下划线、斜杠等形式清晰提示用户注意相关内容。此外,明确作出意思表示实则是《信息安全技术个人信息安全规范》(GB/T35273-2020)注重“明示同意”的一种体现。
关于“授权同意”——可结合《个人信息保护法》第三十条的相关内容,即当在处理敏感个人信息时,应当视情形采用“单独同意”或“授权同意”的形式。需要注意,此处的“单独同意”需要同时满足“明示同意”的要求,而“授权同意”也必须符合“书面同意”的形式要件。
关于“重新取得同意”——当“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的”,我们认为,这种情形属于个人信息处理过程中的重大变更,倘若按照原有的授权实则可能会侵害他人合法权益,因此法律规定了需要“重新取得同意”。
必要原则:
在个人信息处理过程中,需要收集与企业自身经营活动密切相关的个人信息,不得收集无关且多余的个人信息。
在前述案例中,野生动物世界对指纹信息的处理得到郭兵本人同意,符合合法原则,但是就处理留存的照片这一行为而言,并未取得本人同意,且并非为购买指纹年卡的合同所需,野生动物世界变更合同内容,通过升级年卡系统改变入园方式为人脸识别,并未得到郭兵的进一步追认,故正当性尚缺。
从必要性角度来看,入园方式已有指纹识别方式供顾客选择,升级人脸识别系统并非必要之举,顾客有选择不使用人脸识别方式入园的权利,尤其是面部信息这类身份性极强,且具有不可替代性的个人敏感信息,一旦泄露、非法提供或者滥用,极易危害消费者人身和财产安全,园方无权强制进行处理。
撤回权
第十六条基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。
第十七条个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
第十六条所规定的“个人撤销权”仅仅是基于第十三条第一款情形下予以适用,除此之外法律并未授权个人此权限。第十七条明确了不得因个人拒绝或撤回个人信息的处理授权,进而拒绝提供相应商品或服务。该条规定与《数据安全管理办法》(征求意见稿)第十一条的规定如出一辙,系个人信息处理必要性的直观体现。
在前述案例中,若《个人信息保护法》已实施,则原告请求删除指纹、面部识别信息的诉请就会有直接的法律依据,而当时法院是援引了《消费权益者保护法》第29条。撤回权的设立使得信息主体由被动转化为主动,且信息处理者必须为信息主体提供撤回路径。
信息主体的权利
草案第四十四条至第四十九条明确赋予个人信息主体知情权、决定权、查询权、复制权、更正权、补充权、删除权、解释权等一系列权利,由于篇幅过长不一一列举。相较《民法典》第1037条之规定,本草案使个人信息权的外延得到进一步扩展,但遗憾的是,本草案中并没有设置类似GDPR的“被遗忘权”,我国“被遗忘权第一案”任甲玉诉百度案中法院并没有支持原告删除在搜索结果页面中自己名字或相关个人信息的请求。
总结:
囿于篇幅,有关跨境传输的差异、共同控制、自动化决策等问题就不在此一一讨论。从园方角度而言,人脸识别技术等新兴科技的发展为提升用户体验,开拓服务新路径。以发展的眼光看是种进步,但在满足便利快捷需求的同时, 用户个人信息应当得到妥善保护,法律规制的限度是长期考虑的问题,过抑或过谦都会导致个人信息受到侵害或阻碍社会发展,如何进行平衡是立法难点。郭兵与杭州野生动物世界一案虽然原告胜诉,但野生动物世界依旧可以沿用人脸识别入园的规则,该案仅为个体的胜利,裁判结果暂未具有普遍性,以一己之力推动个人信息保护法律发展可谓道阻且长,希望《中华人民共和国个人信息保护法》出台之后能扭转这一局面。