最高法发布司法解释 明确App人脸信息处理规则(附全文)
2021年07月29日  |  来源:最高人民法院   |  阅读量:3234

7月28日,最高人民法院发布《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》。解释明确规定,在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析,应当认定属于侵害自然人人格权益的行为。

在答记者问环节,最高法有关负责人就物业不得强制将人脸识别作为出入小区唯一验证方式、处理未成年人人脸信息须征得监护人的单独同意、应用程序不得强制索取非必要个人信息等问题进行详细解答。

应用程序不得强制索取非必要个人信息

最高法表示,由于人脸信息属于敏感个人信息,处理活动对个人权益影响重大,因此,在告知同意上,有必要设定较高标准,以确保个人在充分知情的前提下,合理考虑对自己权益的后果而作出同意。

最高人民法院研究室民事处处长陈龙业:《规定》第2条第3项引入单独同意规则,即:信息处理者在征得个人同意时,必须就人脸信息处理活动单独取得个人的同意,而不能通过一揽子告知同意等方式征得个人的同意。

最高法介绍,基于个人同意处理人脸信息的,个人同意是信息处理活动的合法性基础。只要处理者不超出自然人同意的范围,原则上该行为就不构成侵权行为。自愿原则是民法典的基本原则,个人的同意必须是基于其自愿而作出。

最高人民法院研究室民事处处长陈龙业:特别是对人脸信息的处理,不能带有任何强迫因素。如果信息处理者采取“与其他授权捆绑”、“不点击同意就不提供服务”等模式,会导致自然人无法单独对人脸信息作出自愿同意,或者被迫同意处理其本不欲提供且非必要的人脸信息。

为强化人脸信息保护,防止信息处理者对人脸信息的不当采集,《规定》第4条对处理人脸信息的有效同意采取从严认定的思路。对于信息处理者采取“与其他授权捆绑”、“不点击同意就不提供服务”等方式强迫或者变相强迫自然人同意处理其人脸信息的,信息处理者据此认为其已征得相应同意的,人民法院不予支持。

人脸信息落实最小必要原则早有据可依

《GB/T 35273-2020 信息安全技术 个人信息安全规范》已于2020年10月1日正式实施,规范针对个人生物识别信息安全方面的要求进行细化与完善。

《规范》规定在收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。

而对于生物识别信息的存储,《规范》也提出了具体的解决措施。

第一,个人生物识别信息要与个人身份信息分开存储;

第二,原则上不应存储原始个人生物识别信息,可采取的措施包括但不限于:仅存储个人生别信息的摘要信息;在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。

《T/TAF 077.7-2020 App收集使用个人信息最小必要评估规范 人脸信息》中规定了人脸信息落实最小必要原则,对人脸信息收集、使用、存储做作出针对性规定。

首先,在收集方面,规范提出“不应强制或欺骗误导人脸信息主体进行人脸识别,当人脸信息主体不进行人脸识别时,不应禁止人脸信息主体的正常使用”。

另外,强调收集人脸信息应遵循“最小必要”原则,并在收集前应通过隐私协议等方式向人脸信息主体告知人脸信息处理方式的描述,如:仅本地收集、远程核身等。

在存储方面,应将人脸信息与人脸信息主体的身份信息分开存储,人脸模板应进行加密存储,并采用授权访问方式读取,存储人脸识别比对信息时,可通过密码技术、假名标识符等方式生成不可逆、可更新的人脸参考,并进行加密存储。

针对人脸信息不同的处理方式,也提出了不同的要求。

在使用方面,规范要求不应基于人脸信息生成用户画像,且不应基于人脸信息进行定向推送,且不应共享或转让人脸信息。

附全文:

(一)人脸识别信息处理应取得用户明示同意

最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定

法释〔2021〕15号

(2021年6月8日最高人民法院审判委员会第1841次会议通过,自2021年8月1日起施行)

为正确审理使用人脸识别技术处理个人信息相关民事案件,保护当事人合法权益,促进数字经济健康发展,根据《中华人民共和国民法典》《中华人民共和国网络安全法》《中华人民共和国消费者权益保护法》《中华人民共和国电子商务法》《中华人民共和国民事诉讼法》等法律的规定,结合审判实践,制定本规定。

第一条  因信息处理者违反法律、行政法规的规定或者双方的约定使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息所引起的民事案件,适用本规定。

人脸信息的处理包括人脸信息的收集、存储、使用、加工、传输、提供、公开等。

本规定所称人脸信息属于民法典第一千零三十四条规定的“生物识别信息”。

第二条  信息处理者处理人脸信息有下列情形之一的,人民法院应当认定属于侵害自然人人格权益的行为:

(一)在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析;

(二)未公开处理人脸信息的规则或者未明示处理的目的、方式、范围;

(三)基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意;

(四)违反信息处理者明示或者双方约定的处理人脸信息的目的、方式、范围等;

(五)未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全,致使人脸信息泄露、篡改、丢失;

(六)违反法律、行政法规的规定或者双方的约定,向他人提供人脸信息;

(七)违背公序良俗处理人脸信息;

(八)违反合法、正当、必要原则处理人脸信息的其他情形。

第三条  人民法院认定信息处理者承担侵害自然人人格权益的民事责任,应当适用民法典第九百九十八条的规定,并结合案件具体情况综合考量受害人是否为未成年人、告知同意情况以及信息处理的必要程度等因素。

第四条  有下列情形之一,信息处理者以已征得自然人或者其监护人同意为由抗辩的,人民法院不予支持:

(一)信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外;

(二)信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的;

(三)强迫或者变相强迫自然人同意处理其人脸信息的其他情形。

第五条  有下列情形之一,信息处理者主张其不承担民事责任的,人民法院依法予以支持:

(一)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息的;

(二)为维护公共安全,依据国家有关规定在公共场所使用人脸识别技术的;

(三)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息的;

(四)在自然人或者其监护人同意的范围内合理处理人脸信息的;

(五)符合法律、行政法规规定的其他情形。

第六条  当事人请求信息处理者承担民事责任的,人民法院应当依据民事诉讼法第六十四条及《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》第九十条、第九十一条,《最高人民法院关于民事诉讼证据的若干规定》的相关规定确定双方当事人的举证责任。

信息处理者主张其行为符合民法典第一千零三十五条第一款规定情形的,应当就此所依据的事实承担举证责任。

信息处理者主张其不承担民事责任的,应当就其行为符合本规定第五条规定的情形承担举证责任。

第七条  多个信息处理者处理人脸信息侵害自然人人格权益,该自然人主张多个信息处理者按照过错程度和造成损害结果的大小承担侵权责任的,人民法院依法予以支持;符合民法典第一千一百六十八条、第一千一百六十九条第一款、第一千一百七十条、第一千一百七十一条等规定的相应情形,该自然人主张多个信息处理者承担连带责任的,人民法院依法予以支持。

信息处理者利用网络服务处理人脸信息侵害自然人人格权益的,适用民法典第一千一百九十五条、第一千一百九十六条、第一千一百九十七条等规定。

第八条  信息处理者处理人脸信息侵害自然人人格权益造成财产损失,该自然人依据民法典第一千一百八十二条主张财产损害赔偿的,人民法院依法予以支持。

自然人为制止侵权行为所支付的合理开支,可以认定为民法典第一千一百八十二条规定的财产损失。合理开支包括该自然人或者委托代理人对侵权行为进行调查、取证的合理费用。人民法院根据当事人的请求和具体案情,可以将合理的律师费用计算在赔偿范围内。

第九条  自然人有证据证明信息处理者使用人脸识别技术正在实施或者即将实施侵害其隐私权或者其他人格权益的行为,不及时制止将使其合法权益受到难以弥补的损害,向人民法院申请采取责令信息处理者停止有关行为的措施的,人民法院可以根据案件具体情况依法作出人格权侵害禁令。

第十条  物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。

物业服务企业或者其他建筑物管理人存在本规定第二条规定的情形,当事人请求物业服务企业或者其他建筑物管理人承担侵权责任的,人民法院依法予以支持。

第十一条  信息处理者采用格式条款与自然人订立合同,要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利,该自然人依据民法典第四百九十七条请求确认格式条款无效的,人民法院依法予以支持。

第十二条  信息处理者违反约定处理自然人的人脸信息,该自然人请求其承担违约责任的,人民法院依法予以支持。该自然人请求信息处理者承担违约责任时,请求删除人脸信息的,人民法院依法予以支持;信息处理者以双方未对人脸信息的删除作出约定为由抗辩的,人民法院不予支持。

第十三条  基于同一信息处理者处理人脸信息侵害自然人人格权益发生的纠纷,多个受害人分别向同一人民法院起诉的,经当事人同意,人民法院可以合并审理。

第十四条  信息处理者处理人脸信息的行为符合民事诉讼法第五十五条、消费者权益保护法第四十七条或者其他法律关于民事公益诉讼的相关规定,法律规定的机关和有关组织提起民事公益诉讼的,人民法院应予受理。

第十五条  自然人死亡后,信息处理者违反法律、行政法规的规定或者双方的约定处理人脸信息,死者的近亲属依据民法典第九百九十四条请求信息处理者承担民事责任的,适用本规定。

第十六条  本规定自2021年8月1日起施行。

信息处理者使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息的行为发生在本规定施行前的,不适用本规定。

文章出处:最高人民法院 

回到顶部