《个人信息保护法》背景下谈收集个人生物识别信息的保护---从“人脸识别第一案”谈起
2021年8月20日,全国人大常委会表决通过了《个人信息保护法》(简称《个保法》),该法将于2021年11月1日起施行。《个保法》在立法层面有很多的亮点,其中之一是关于“敏感个人信息的处理规则”,在《个保法》通过之前,实务中已有关于“人脸识别”的司法判决。此外,最高人民法院(以下简称“最高院”)亦于2021年6月8日公布了《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《规定》)。
本文中,笔者立足于《个保法》《规定》,以“人脸识别第一案”为切入点,浅析收集个人生物识别信息的保护。
一、“人脸识别第一案”基本案情
2019年4月27日,郭某购买野生动物世界双人年卡,留存相关个人身份信息,并录入指纹和拍照。后野生动物世界将年卡入园方式由指纹识别调整为人脸识别,并向郭某发送短信通知相关事宜,要求其进行人脸激活,双方协商未果,遂引发本案纠纷。
郭某的诉讼请求中包括请求认定“年卡办理流程”告示中的“扫描指纹后激活年卡”“凭年卡及指纹正常使用”内容无效;“年卡使用说明”告示中的“持卡人游览园区时需同时验证年卡及指纹入园”“人脸注册激活领取年卡”“凭年卡及人脸扫描入园”及“持卡人游览园区时需同时验证人脸识别及年卡入园”内容无效;此外,郭某还请求法院判决删除其办理指纹年卡时提交的包括照片在内的面部特征信息。
2020年11月20日,杭州市富阳区人民法院作出一审判决,判令野生动物世界删除郭某办理指纹年卡时提交的包括照片在内的面部特征信息;驳回郭某要求确认店堂告示、短信通知中相关内容无效等其他诉讼请求。[见浙江省杭州市富阳区人民法院(2019)浙0111民初6971号民事判决书。]郭某与野生动物世界均不服,向杭州中院提起上诉。
杭州中院审理认为,郭某在知悉野生动物世界指纹识别店堂告示内容的情况下,自主作出办理年卡的决定并提供相关个人信息,该店堂告示对双方均具约束力,且不符合格式条款无效的法定情形;而人脸识别店堂告示并非双方的合同条款,对郭某不发生效力。野生动物世界为游客游览提供了不同入园方式的选择,郭某知情同意后办理指纹年卡,其选择权未受到侵害。野生动物世界亦不存在欺诈行为,但其单方变更入园方式构成违约,应承担违约责任。野生动物世界欲将其已收集的照片激活处理为人脸识别信息,超出事前收集目的,违反了正当性原则,故应当删除郭某办卡时提交的包括照片在内的面部特征信息。鉴于野生动物世界停止使用指纹识别闸机,致使原约定的入园服务方式无法实现,亦应当删除郭某的指纹识别信息。据此,二审在原判决的基础上增判野生动物世界删除郭某办理指纹年卡时提交的指纹识别信息。
该案被称为“人脸识别第一案”,从审判逻辑并结合原告的诉请,引发核心关注的问题有两个:1.商家收集消费者“生物识别信息”合理性边界在哪里?2.商家是否可以以消费者不予提供个人信息而拒绝交易?
二、《个保法》中关于收集个人信息的相关规定
笔者将《个保法》中涉及个人信息处理的条款梳理罗列如下:
序号 |
条款 |
内容 |
1 |
第五条 |
处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。 |
2 |
第六条 |
处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。 |
3 |
第七条 |
处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。 |
4 |
第十三条 |
符合下列情形之一的,个人信息处理者方可处理个人信息: (一)取得个人的同意; (二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需; (三)为履行法定职责或者法定义务所必需; (四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需; (五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息; (六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息; (七)法律、行政法规规定的其他情形。 依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。 |
5 |
第十四条 |
基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。 个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。 |
6 |
第十五条 |
基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。 个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。 |
7 |
第十六条 |
个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。 |
8 |
第二十八条 |
敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。 只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。 |
9 |
第二十九条 |
处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。 |
10 |
第三十条 |
个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。 |
综上可知,根据《个保法》规定,收集个人信息应遵守“合法,正当,必要、自愿”等原则;收集如“人脸信息”等“生物识别信息”时,个人信息处理者须遵守更高的标准,即“具有特定的目的和充分的必要性”。关于“特定的目的”,笔者认为是对信息使用范围的强制性要求;关于如何认定“充分的必要性”法律没有给出更为详尽的解释,再加之审判经验的指导也有限,那么如何认定收集消费者生物识别信息具有“充分的必要性”?以及商家是否可以以消费者不予提供个人信息而拒绝交易?是实务中亟待解决的问题。
三、如何认定收集生物识别信息具有“充分的必要性”
如上文所述,《个保法》规定收集生物识别信息须具有“充分的必要性”。探讨“充分必要性”与否的前提是对标具体问题,以解决该问题为导向。在“人脸识别第一案”中一审法院认定:“野生动物世界基于年卡用户可在有效期内无限次入园畅游的实际情况,使用指纹识别、人脸识别等生物识别技术,以达到甄别年卡用户身份、提高年卡用户入园效率的目的,该行为本身符合前述法律规定的‘合法、正当、必要’三原则的要求”,据此一审法院认为,消费者提供生物识别信息对于解决核对入园人员身份及快速入园这两个问题上具有必要性。
我们不能简单粗暴的说法院上述观点是错漏的,因为提供个人信息确实是对解决上述问题起到了作用,究其根本是“问题”出错,而非“解决方案”。笔者认为,对标核心问题是深层刨析“充分的必要性”内涵的关键。
具体到本案中,核心问题是实现消费者进园参观。为解决这个问题,首先要解决的是甄别消费者身份这个问题,为解决这个问题收集生物识别信息具有充分的必要性吗?显而易见,答案是否定的,出示身份证等能证明身份材料即可。第二个要解决的问题确认消费者是否购买门票?为解决这个问题收集生物识别信息具有充分的必要性吗?答案同样是否定的,因为消费者可以通过出示票据、游园卡甚至是消费记录的方式自证。因此,笔者认为,在本案中收集生物识别信息不符合《个保法》中关于收集生物识别信息须具有“充分的必要性”这一内涵。
关于一审法院提到的解决“快速进园”问题,笔者认为是极其下位的问题,探讨为解决该问题应采取何种方式的必要性是非常细枝末节的事情,无伤大雅。人们对于社会生活秩序、规则是一定要有合理接纳空间,就如买咖啡、给汽车加油、超市结账等都要排队等待,确实是付出了时间成本,但这是参与社会生活的成本,其存在本身具有必然性和客观性,故站在能否实现“快速进园”这一微观、单一问题视角辨析收集生物识别信息的必要性会造成舍本逐末的结果。
综上,笔者人为,认定收集消费者生物识别信息是否具有充分的必要性的关键在于判断此类信息对于实现核心消费目的有无根本性影响;如无,则必要性。就如本案中,消费者的核心消费目的在于进园参观游玩,如上文所述,实现该目的不以消费者必须提供生物识别信息为唯一条件,因此在该案中野生动物园收集消费个人生物识别信息的行为不具备充分的必要性。
四、商家是否可以以消费者不予提供个人信息而拒绝交易
在本案中,园方将收集消费者个人信息作为交易条件,具体表现为“凭年卡及指纹正常使用”“凭年卡及人脸扫描入园”等入园参观规则。
《个保法》第十三条规定“符合下列情形之一的,个人信息处理者方可处理个人信息:
。。。。。(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;。。。。”
第十六条规定,“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。”
《规定》第四条规定:“有下列情形之一,信息处理者以已征得自然人或者其监护人同意为由抗辩的,人民法院不予支持:
(一)信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外;
(二)信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的;
(三)强迫或者变相强迫自然人同意处理其人脸信息的其他情形。”
根据《个保法》《规定》可知,提供服务与收集个人信息之间是相互剥离的,也就是说不能将收集个人信息作为交易条件,除具有“必要性”。如果将收集个人信息作为交易条件,那就意味着是对消费者变相的“强制”,这与上文所列《个保法》确立的“自愿”原则亦相悖。
四、商家是否可以以消费者不予提供个人信息而拒绝交易
此外,笔者还注意到,早在《个保法》通过前,工信部已针对上述“强制消费者提供个人信息”的“数据霸权”行为予以打击。2021年4月23日,工信部向社会通报了93家存在侵害用户权益行为APP企业的名单,其中有多家家存在“APP强制、频繁、过度索取权限”的问题,关于“APP强制、频繁、过度索取权限”工信部给出明确的范围,即:“APP强制、频繁、过度索取权限。重点整治APP安装、运行和使用相关功能时,非服务所必需或无合理应用场景下,用户拒绝相关授权申请后,应用自动退出或关闭的行为。”也就是上文中所述的“数据霸权”行为,由此可见此类霸权行为具有普遍性,如不加以抵制将会造成数据、信息巨头企业的快速形成,形成后又会反制于消费者强迫交易,形成恶性循环,最终使得信息保护成为空谈。
五、用个人信息换取优惠交易条件本质上是“欺诈”行为
日常生活中,在我们购物时候商家会说“加会员,有优惠”,而成为会员的过程就是个人信息不断给出的过程。
在上述案件中,笔者注意野生动物园抗辩称:“原告在野生动物世界年卡中心办理年卡时,实际上有两个选择,即所有游客在野生动物世界入园有两个选择,一个是按正常价格购买门票,另一个是办理年卡。原告在已经享有知情权的情形下,是决定提供个人生物识别信息,冒着可能泄漏的风险,来享受双人无限次入园只须花费1360元的优惠价格,还是谨守个人信息安全,按照每人每次220元的正常门票价格去支付全额费用,完全取决于原告的个人价值取向。在完全拥有充分自主选择权的情形下,原告的选择是同意提供个人生物识别信息,换取双人年卡的消费优惠。”
无论是上述添加会员或者是本案中的年卡办理,背后都是同一套“商业诱饵”逻辑。个人信息的根源性权属属于消费者,消费者可以自由处分,但用个人信息换取价格优惠的不正当之处在于,其运作模式是依托于“信息不对称”。
个人信息保护在我国处于刚起步阶段,这一点相较传统重视保护个人信息的欧洲迥然,这就意味着个人信息保护意识的认知度、普及度在我国都处于非常初级的阶段。笔者相信有很多的消费者并不明白提供个人信息成为会员意味着什么,他们把目光和注意力更多的是投向“优惠”这个诱饵,获取“优惠”是他们提供信息的动机,这就是笔者所称的“信息不对称”,正是这种不对称实际上促成了提供、收集信息,这种不对称因其本质上是一种“欺诈”。
此外,笔者还注意到,工信部2020年7月24日公布的“工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知”中明确将“欺骗误导用户提供个人信息”作为重点整顿对象,关于“欺骗误导用户提供个人信息”工信部给出的定义是“非服务所必需或无合理场景,通过积分、奖励、优惠等方式欺骗误导用户提供身份证号码以及个人生物特征信息的行为”由此可见,此类通过“欺哄”方式获取消费者信息的方式已经是非常普遍,值得引起我们的关注。
笔者欣喜的发现,在《个保法》中对上述不诚信行为亦予以了规制,这是立法的价值取向,是驱动保护个人信息的源头活水。
特别鸣谢:北京高文律师事务所
沙仁高娃律师