75号咖啡 | 不准随便动我的“脸”——生物识别技术的风险与应对
时间:2022-06-24 作者:佚名 来源:上海市人民检察院
法律沙龙 |
content
本期目录
一、生物识别技术的民事风险
二、生物识别技术的刑事风险
三、生物识别技术相关案件的实务应对
本期召集人戚建豪
徐汇区检察院原副检察长
随着人脸识别等生物识别技术的广泛应用,给人们带来便捷高效生活的同时,也导致公民隐私被侵犯、个人信息被泄露的风险或危害。民法典第1034条明确列举了包括生物识别信息在内的九种个人信息。根据11月1日起正式施行的个人信息保护法第28条,生物识别信息属于敏感个人信息,应当严格保护。而刑法第253条之一及2017年颁布的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《司法解释》)第1条未明确指出公民个人信息包括生物识别信息。基于此,如何通过现有的民事及刑事法律对公民个人信息进行体系化保护,如何办理生物识别技术引发的相关案件,将会是法学理论界及司法实务界关注的焦点。本次“75号咖啡·法律沙龙”以“不准随便动我的“脸”——生物识别技术的风险与应对”为主题开展交流研讨。
一、生物识别技术的民事风险 |
本期召集人戚建豪
徐汇区检察院原副检察长
生物识别技术主要针对人体的生物特征包括人脸、指纹、声纹、掌形、虹膜等等,其中人脸与指纹是现实生活中最常接触的两种方式。民法典将生物识别信息归属于公民个人信息之一,人脸识别信息属于民法中的何种权利?如何理解民法典第1035条规定的“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理”?
李宇
上海财经大学博士生导师、副教授
解答第一个问题,要明确个人信息的权益范围。通过信息网络或其他手段获取人脸信息可能涉及到个人信息权益范畴,也可能涉及到肖像权。民法典时代,肖像权不限于面部信息,但面部信息仍是肖像权最重要的构成。民法典中肖像权与个人信息的保护程度有所差别,“肖像”被明确规定为一种权利,而个人信息未加以规定,应认为“个人信息”仅作为一种权益存在,这是立法者有意为之。个人信息范围太过宽泛,涉及到相关数据产业的发展,如果对所有的“个人信息”予以权利保护,可能会影响社会公共利益,不利于相关企业发展。
任振捷
徐汇公安分局网安支队支队长
我认为民法典中的“个人信息”包括生物识别信息。生物识别信息是人体固有的身体特征,使用较多的是人脸、指纹、虹膜。其中人脸的识别性和唯一性较弱,通过生物识别技术识别的人脸数据,如果在实践中未与公民个人的其他信息相匹配,便很难与公民个人之间建立关联。在此种情况之下获取纯粹的人脸数据较难认定为侵犯公民个人信息。
李宇
上海财经大学博士生导师、副教授
关于第二个问题,个人信息的收集、使用原则上需要自然人的知情同意,只有法定的免责事由才能成为违法性的阻却事由。与民法通则相比,民法典删除了肖像权中“以营利为目的”的要件,只要未经自然人同意的收集、公开、使用都构成侵权。就收集个人信息而言,经营者通常不具有法定的免责事由,不能越过“知情同意”的环节。“同意”在个人信息使用中分为明示和默示。明示是以口头或书面形式表示同意,默示是以行为表示同意,但这种行为不是一般人在日常生活中的正常活动。例如,商店贴告示说有摄像头,然后自然人进入商场的过程本身没有任何意思表示,不可能是对商店告示的收集个人信息的行为表示同意。又如,电子支付时的刷脸,是为了支付验证,并不意味着自然人同意将人脸信息储存、使用。擅自收集并使用个人信息在民事上构成侵权。
本期召集人戚建豪
徐汇区检察院原副检察长
当个人信息被侵犯时,公民可以通过何种方式维护自己的合法权益?
李宇
上海财经大学博士生导师、副教授
首先,如果侵权行为造成了实际损害,那么肯定需要赔偿损失;如果没有造成损害,也要承担停止侵权、赔礼道歉等其他侵权责任。但是,在没有实际损失或者损失较小的情况下,侵犯公民个人信息的诉讼成本大,公民个人没有足够的动力提起民事诉讼。针对此情况,最高人民法院在《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》中规定了在当事人不能证明自己所受损失或不能证明侵权人获得利益数额的情况下,人民法院可以判决50万元以下的赔偿。但实际上法院对不严重的侵权行为一般最多判处10万元以下的赔偿,对侵权行为人没有足够的威慑作用,对于受害人也没有足够的补偿作用。因此,需要行政手段、刑事手段乃至检察公益诉讼手段来实现救济。
其次,虽然民法典对个人信息保护中能否提起公益诉讼没有明文规定,但是2013年修订的消费者权益保护法规定,消费者协会(以下简称“消协”)对侵害众多消费者合法权益的行为有权向人民法院提起公益诉讼。如果消协没有在规定时间内提起公益诉讼,根据《关于检察公益诉讼案件适用法律若干问题的解释》,检察机关可以提起公益诉讼。尽管该司法解释没有明确提到对于侵害个人信息或侵害肖像权的行为,检察机关可以提起公益诉讼。但是检察机关提起公益诉讼的事由不是封闭的,对于条文中的“等”可以包括对侵害众多消费者合法权益的行为在内。这里的消费者权益就包括了“个人信息”,因为在消费者权益保护法中就专门对个人信息的使用要遵循合法、正当、必要原则的规定。
张勇
华东政法大学博士生导师、教授
个人信息保护法第69条规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。这一条文为公民通过民事诉讼维护自身权益提供了依据。
本期召集人戚建豪
徐汇区检察院原副检察长
2019年《APP违法违规收集使用个人信息行为认定方法》对收集使用个人信息的“非必要”做出了规定。但如果商家在网络上营销时,对同意采集个人信息消费者进行线下打折,消费者此时的授权可以视为“知情同意”吗?
张勇
华东政法大学博士生导师、教授
在该情况下,消费者的行为可以认为是“知情同意”。但收集、存储、使用公民个人信息不是只要“知情同意”即可,在“知情同意”的同时还要符合“合法、正当、必要”的原则。结合个人信息保护法第6条和第66条,收集个人信息应当限于实现处理目的的最小范围,不得过度收集。如有违反,可以根据情节严重程度责令改正,给予警告,没收违法所得,处以罚款,对违法处理个人信息的应用APP程序责令暂停或者终止提供服务,对商家责令暂停相关业务或者停业整顿,有关主管部门可以对商家吊销相关业务许可或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
李宇
上海财经大学博士生导师、副教授
即使消费者为了打折而“知情同意”采集个人信息,但如果发生争议,消费者诉经营者未经自己同意或虽经同意但未遵循合法、正当、必要原则,较为合理的是将说明或证明的责任归于经营者,让经营者举证说明经营者收集、使用消费者信息的用途和必要性等。例如支付宝的人脸识别是为了保障支付的安全性,但其它场合的人脸识别往往不具有正当性和必要性。一些学者认为刷脸行为是身份认证的替代,在此视角下我们得到的启示是:如果一些交易对人和身份没有特定的要求,无论是谁消费都可以,那么在这些消费场合的人脸识别就很难称得上“必要”。所谓“必要”,必须是维护消费者个人利益所必需,维护公共利益、国家利益所必需或维护经营者合法经营所必需,其他情况难以通过“必要性”的检验。
二、生物识别技术的刑事风险 |
本期召集人戚建豪
徐汇区检察院原副检察长
任何技术的发展都是双刃剑,随着生物识别技术的发展,个人信息泄露并被用于犯罪的潜在风险不断发酵。在众多生物识别信息,特别是人脸信息被非法采集、非法利用时,刑法应如何介入?
张勇
华东政法大学博士生导师、教授
刑法的介入首先涉及个人信息的权利属性界定。按照权利属性不同,个人信息可以分为个人隐私信息、一般个人信息和个人数据三类。个人隐私信息是涉及到隐私权、人格权的部分,法律上给予强保护;一般个人信息大多不具有人格属性,通常不需要权利主体明示同意也可以收集,但对于私密敏感信息不能仅仅通过知情同意权加以保护,而是应优先适用隐私权保护;个人数据是个人私密、敏感信息通过去识别化“脱敏”技术处理后,人格权属性减弱,财产属性和交易价值相应地增加,其社会公共属性得以体现和凸显的,可以自由进行转让、使用的信息化数据。
其次,生物识别信息除了与公民个人相关外,还涉及到社会利益、公共秩序。第一,虽然生物识别信息没有纳入到规定个人信息的司法解释中,但其相对于身份证件号码、通信通讯联系方式、住址等的安全性保护具有相当性,可以认为在“等”字中。第二,由于公民个人信息具有个人属性、社会属性,因此,涉及生物识别信息的罪名多种多样,主要包括直接涉及生物识别信息的罪,如侵犯公民个人信息罪;间接涉及生物识别信息的罪,如拒不履行信息网络安全管理义务罪,非法侵入、破坏计算机系统罪,妨害传染病防治罪等,故意或过失泄露国家秘密罪等。对这些罪名作为法定犯、行为犯,涵摄的过程离不开前置法律的规定。
王晓岚
徐汇区检察院检察官
个人信息保护法第71条明确规定了违反个人信息保护法构成犯罪的,依法追究刑事责任。该条文明确了侵犯包括生物识别信息在内的个人信息是可以通过刑法予以制裁的。但是在刑事打击中,无论是虹膜、指纹还是人脸在单独情况下都不能直接识别到特定个人,需要辅助其他条件,比如公安机关必须与信息库中的人脸、指纹等比对才能识别特定的人,所以商家抓取的人脸信息等往往只是作为一种图像或二次识别的前置条件,不能识别特定人的特定信息。我认为单纯只是人脸识别图像,不能纳入刑事打击的范围。有些商家在人脸图像后标注了会员卡号、地址或手机号码,再进行出售或提供给他人的,可以认为人脸识别信息和其它信息结合起来足以识别特定自然人,可以进行刑事打击。
刘宪权
华东政法大学博士生导师、教授
我首先谈一下刑事打击和民事、行政处理的关系。侵害公民个人信息罪是法定犯。对于法定犯是否构成犯罪,有没有社会危害性,需要看前置法,也就是常讲的“两次违法”。刑法上说的“非法”有很多违反前置法规,如行政法规、民事法规。民事和行政调整的角度也不同,行政上主要是对管理秩序等的保护,民事上主要从个人权益受侵害的角度出发。如果没有违反行政或民事法规,刑法就无法介入。在立法层面刑法是最后一道屏障,但在司法层面,一旦行为人符合了刑法规定的各种构成要件,应刑事优先。在司法层面,如果其它法律可以调整的,刑法就不要调整。对从法律适用的充足性讲,也必须用刑法对该行为加以调整。
其次,我谈一下生物识别信息能否作为公民个人信息。刑法第253条之一未对“个人信息”的内涵作出具体界定,现在讲的“界定”来自于《司法解释》。该《司法解释》采用罗列的形式并在之后用了一个“等”字。对于能否将“生物识别信息”纳入司法解释中“等”的范围,要看个人信息的实质。“个人信息”是单独或者与其它信息结合可以识别特定自然人的信息。人脸信息肯定是可以单独识别特定自然人的。人工智能技术的大量使用,使侵害人脸信息的危害性要大于其他司法解释中罗列的类别,在此情况下将生物识别信息纳入到“侵害公民个人信息罪”的范畴是没有问题的。技术的发展有一个过程,《司法解释》不可能在制定时就包罗万象。刑法不仅仅应打击现在已发生的犯罪,同时还要对今后可能发生的犯罪进行预测。
三、生物识别技术相关案件的实务应对 |
本期召集人戚建豪
徐汇区检察院原副检察长
面对滥用生物识别技术侵犯隐私的案件,实务中如何应对?侵害公民个人信息的入罪标准是什么?如果储存公民个人信息后未使用,其危害后果是什么?
王晓岚
徐汇区检察院检察官
人脸识别入罪的门槛就是要违反国家规定,违反“合法、正当、必要”的原则。从合法层面看,一个要点是“知情”。我认为这里的“知情”的判断,做到店招上有明确的行为提示即可。另一个需要注意的是信息使用者对个人信息必须采取特殊的加密措施予以保护,否则必然违反国家对信息安全的规定。从正当的角度来看,信息未经同意使用必须为了社会公共利益、履行法定职责和义务、应对突发的社会公共事件或者紧急情况下为保护自然人的生命健康和财产安全等情形。对于“必要”原则,新出台的《APP违法违规收集使用个人信息行为认定方法》中对必要信息采集的范围作出了规定,其中一种是经营活动所必须,如导航软件对位置信息的收集。对于人脸信息,如果不是经营活动所必需,就超出了其必要范畴。其次,个人信息入罪的门槛,以500条为标准较为合适。因为当今社会AI换脸、人脸支付等较为普遍,人脸识别信息容易影响人的人身安全、财产安全。
张勇
华东政法大学博士生导师、教授
在网络安全法和个人信息安全规范中都将生物识别信息界定为隐私敏感信息。刑法要给予生物识别信息严格的类似隐私权的保护。对于其入罪的情节标准在审查数量50、500还是5000条的基础上,还需要作出实质内容的判断,如果有可以直接识别特定个人的生物识别信息,就涉及到了隐私,可以适当降低数量标准。
刘宪权
华东政法大学博士生导师、教授
现在基本上的讨论都是对侵害公民个人信息中侵害对象进行讨论和限制,因为相关刑法规定和司法解释没有对生物识别信息进行明文规定。但对侵害的手段加以限制可能是更有效的做法。比如因为对生物识别信息的使用给我们带来了大量的好处,那么我们对手段的限制是否可以适当的宽松一点?对现在经常讲的“出售”“提供”等手段的刑民法律界限问题,对此我有一个基本的观念,那就是刑事看行为、民事看关系。
民事追求的是恢复原状、补偿损失,关注的是关系和受损害的程度,而刑法调整的犯罪行为是严重危害社会的行为,只要对法律所保护的法益有可能造成损害就纳入刑事打击的范围。刑事上更看重行为,与其将生物识别信息排除在侵害公民个人信息罪的范围之外,还不如在手段上、行为方式上加以限制。这样同样体现了谦抑原则,同时避免人脸识别可能给我们造成的重大影响。生物识别信息对侦破案件、疫情控制等方面都带来了有益的影响,也确实可能会侵害到个人的人格权、财产权。既然是双刃剑,那么怎么控制好这把剑,用好这把剑才是更需要关心的。对其用法的讨论,也就是对侵害手段的限制。集中精力从侵害手段上讲谦抑更符合现实的要求,而不是讨论生物识别信息应不应该包含在公民个人信息的范畴。
本期召集人戚建豪
徐汇区检察院原副检察长
对于开发、使用生物识别技术的企业,行政机关、司法机关、学术界有什么样的建议?如何平衡好企业科技创新和行政监管、民事权益保护以及刑事打击之间的关系?
张勇
华东政法大学博士生导师、教授
科技创新企业在个人信息方面的合规问题首先要从个人信息的法益属性来看,如果个人信息涉及到隐私权、人格权,应更多地通过民事手段保护;如果个人生物信息的使用涉及到管理秩序、公共利益,则需要行政法的介入;在民法和行政法无法保护的情况下需要刑事手段。对个人信息从采集、应用和流通,不同过程的保护程度不同,在流通过程中面对海量信息的使用,对“知情同意”的要求应放宽,收集者的经营和利用的合法利益也应给予保护。
我认为需要以检察机关为主导构建企业刑事合规监管模式。检察机关本身具有审查起诉的职能,事后的刑事合规就在此阶段发挥作用;同时,检察机关作为司法机关,更有能力主导制定企业合规计划并完成监督职能。检察机关需要和负有相应行政监管的行政机关,以及其它相关专业机构和专业人员对企业合规计划一起开展考察,对合规计划的有效性进行认定。在合规计划评估后,还可以定期或不定期对于合规计划进行再评价。对拒不整改的违规企业,在现有的制度体系内,检察机关可以结合相对不起诉和认罪认罚等制度,开展企业刑事合规。对依法可不予起诉的,尽量不予起诉;对依法可量刑较轻的,依法提出量刑建议。涉罪企业在检察机关相对不起诉、认罪认罚从宽处理之后,仍需要持续巩固整改成果,以实现真正的合规经营。
王晓岚
徐汇区检察院检察官
无论是研发生产经营识别人脸识别设备及配套软件的企业,还是其它科创性企业,都要注重企业运营的合规性。根据个人信息保护法第5条至第7条,以及第27条的规定,收集个人信息应当遵循合法、正当、必要、诚信、公开、透明原则,不得过度收集。企业应当明确在公共场所安装个人身份识别设备的,必须是为维护公共安全所必需,且收集到的个人特征信息也只能用于维护公共安全目的。除非取得个人单独同意,才能用于其他目的。对个人生物识别信息,原则上经营者只能存储算法处理后的摘要信息。根据《司法解释》规定,经过处理无法识别特定个人且不能复原的信息不属于公民个人信息。据此,建议科创性的企业在相关合作商家签订合同过程中,应当明确未经被收集者同意,商家不得将能够识别特定个人的信息出售或者提供给他人使用。另一方面,不同业务的企业所面临的刑事风险并不相同。例如传统行业的企业与新型的互联网企业、数据企业相比,由于本身经营业务的区别,其所面临的风险大相径庭。这要求我们根据经营领域构建类型化的合规标准。
本期召集人戚建豪
徐汇区检察院原副检察长
随着生物识别技术的发展,相关法律法规也日益完善,相信会在不远的未来为我们筑起生物信息保护的法律之墙。今天,各位嘉宾深入探讨了生物识别技术的民事、刑事风险,相关案件的实务应对,并就科技创新企业合规管理提出建议,为我们的理论探索和司法实践提供了诸多有益的思路和启迪。感谢各位嘉宾的精彩发言!
“
扫码阅读《中华人民共和国个人信息保护法》
文稿整理:徐汇区检察院 林位育
奉贤区检察院 曹瑞璇
原文链接:https://mp.weixin.qq.com/s/Q54wnDTzViiKBIsMKcle1Q
[免责声明] 本文来源于网络转载,仅供学习交流使用,不构成商业目的。版权归原作者所有,如涉及作品内容、版权和其它问题,请在30日内与本网联系,我们将在第一时间处理。
最新信息
- 2024-11-25赵乐际对葡萄牙进行正...
- 2024-11-24检察日报:80余万元...
- 2024-11-24全省检察机关荣获6项...
- 2024-11-24庭审观摩提质效,评议...
- 2024-11-24学“真招”!这场培训...
- 2024-11-24检察日报:打官司走不...
- 2024-11-24检护民生|司法救助为...
- 2024-11-24检察日报:“邻里检察...