1. 尊龙凯时

    动态与观点

    对比肖像侵权,探讨人脸信息的单独同意规则

    2021-09-28
    浏览量
    7932

    - 引 言 -

    据报道,2020年全球人脸识别市场规模已突破38亿美元,预计2021年全球人脸识别市场规模将达到45亿美元;2025年全球人脸识别市场规模将达到85亿美元。[1]

    人脸识别技术的发展,虽然可以提高商业交易的效率,但也同时出现了各种问题。2021年3.15晚会,就曝光了利用监控收集人脸信息的乱象。近年来多个APP的AI换脸功能,被检测后发现,进行换脸后的人像同时可以解锁人脸密码,这严重危害了个人的人格和财产权益。

    2021年8月1日起施行的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(下称“人脸识别规定”)在《网络安全法》、《民法典》等基础上进一步明确了如何对人脸识别技术进行监管,并直接将人脸数据定义为生物识别信息。[2]

    - 关于人脸识别 -

    什么是人脸识别技术?

    人脸识别技术是指通过对人脸信息的自动化处理,实现验证个人身份、辨识特定自然人或者预测分析个人特征等目的的一项生物识别技术。[3]

    信息处理者在采集了含有人脸的图像或视频,提取出各个人脸的特征,包括眉毛宽距、鼻眼尺寸、嘴巴形状,以及各个面部器官处于整张脸的位置等信息。并将其与已收集的人脸信息进行对比,从而识别个人的身份。人脸识别技术需要三个阶段,即“人脸图像采集及检测、人脸特征提取、人脸识别比对。”[4]

    目前人脸信息应用的场景主要为三类:一是1:1比对的人脸辨认,二是1:N比对的人脸识别、三是人脸分析,比如体温测量,人数统计之类的。[5] 

    什么是人脸信息?

    《信息安全技术网络数据处理安全规范》(征求意见稿)规定是“人脸图像及其处理得到的,可单独或与其他信息结合识别特定自然人或特定自然人身份的数据。”

    由于人脸信息主要是利用人脸识别技术从人脸图像提取出来的人脸特征,并通过再次采集人脸图像与已知的人脸特征进行比对。尽管最终落脚于人脸特征,但是涉及到的人脸信息包括人脸特征的数据,以及每次进行人脸识别采集的人脸图像。

    因此,为了对人脸信息全方位的保护,人脸信息不仅包括人脸识别技术通过算法生成的人脸特征数据,还包括人脸识别技术所抓取的原始人脸图像。但并非所有人脸图像处理都涉及敏感数据的处理,只有当图像通过人脸识别技术处理,并允许对个人进行唯一的识别或认证时,才会成为人脸信息。[6]

    因此产生了人脸信息和人脸肖像区分的问题,正如最高人民法院法官所说“对原始人脸图像的侵害,极可能是因违反个人信息处理规则而侵害个人信息权益,也可能构成因对肖像的不当使用而侵害自然人的肖像权。”[7]

    人脸信息是受个人信息保护的,但同时人脸也是人体肖像的一部分。那该如何处理肖像权纠纷与民事案由中增加的个人信息纠纷之间的关系。

    - 人脸肖像与人脸信息 -

    法律对于肖像权和个人信息的规定

    肖像权包括积极的肖像权人可以“制作、使用、公开或许可他人使用”自己的肖像的权利,也包括消极的其他人不得“丑化、污损或利用信息技术手段伪造等方式”侵害他人肖像权,未经肖像权人同意行使肖像权人的积极权利。[8]

    我国对个人信息的保护是将个人信息作为权益而不是民事权利,因此个人信息并没有像肖像权完备的权利体系。对于个人信息的保护,也是通过对信息处理者的限制来实现。因而,对信息处理者的规范也可以分为积极行为和消极行为。

    前者要求信息处理者合法处理、最小限度收集、最短时间使用个人信息,人脸信息的处理包括人脸信息的收集、存储、使用、加工、传输、提供、公开等。后者要求信息处理者不得“泄露、篡改、向他人非法提供、丢失”个人信息,要保护个人信息安全。

    人脸肖像和人脸信息侵权行为

    人脸肖像的侵权行为:

    (1)未经肖像权人同意制作、使用、公开、许可他人使用肖像权人的肖像。

    “制作”是指通过各种形式再现肖像权人的外部形象;“使用”是指将制作的肖像用于商业或者其他目的;“公开”是指将制作的肖像擅自公开;“许可他人使用”是指未经肖像权人同意,将制作的肖像通过授权或同意他人使用。

    (2)以丑化、污损或者利用信息技术手段伪造等方式侵害他人肖像权。

    人脸信息的侵权行为:

    (1)非法获取、出售、向他人提供、泄露、篡改、毁损、丢失人脸信息等行为;

    (2)未按照法律、行政法规规定的敏感个人信息的处理规则收集、存储、使用、加工、传输、提供、公开人脸信息的。

    该种侵权行为与人脸肖像侵权行为有重合的是“收集”有可能是直接收集个人已经公开的人脸图像;“使用、加工、传输、提供和公开”的可能是通过人脸识别技术收集的人脸信息做出来的平面或立体的人脸肖像模型。

    从行政机关已经处罚的情况看,目前主要存在的违法行为在于信息处理者在收集、使用人脸信息时,未告知消费者法律规定应该告知的内容,并取得消费者的单独同意。

    尤其以售楼中心为典型,售楼中心为了严格监控推荐人员的工作,在推荐人将客户第一次介绍至售楼中心,对客户面貌进行抓拍,等到客户签约后输入身份证等信息,再将抓拍的图像与身份证信息比对,从而向推荐人员支付佣金。对于售楼中心抓拍的图像,属于肖像,也属于人脸信息。

    企业微信截图_82f306ae-9fbc-4622-af92-6cfbe709e5ed.png

    企业微信截图_71d9a329-c4b9-43a5-9027-1e03d599f02b.png

    如果说售楼中心将其抓拍的图像完整地将其轮廓在某一载体上展现出来,如售楼中心自己或者许可他人上传至网络、打印在纸上等,则侵犯了客户的肖像权;如果售楼中心利用人脸识别技术提取了抓拍图像的某些特征,比如眼距,脸的轮廓,五官的位置等信息,从而使用该信息去匹配目标,那便是对个人信息的侵害。

    肖像权纠纷与个人信息纠纷

    从上述分析来看,人脸信息和肖像的本质区别在于是否使用了人脸识别技术。并且最为突出的区别是,人脸信息只需要面部的大致轮廓即可,并非要表现出来完整的面部形象,而肖像则是人脸的外部形象再现,因此更为细节化。

    显而易见,只要不涉及人脸识别技术的侵犯个人面部特征的侵权行为,可以采用肖像权纠纷。但是如果涉及人脸识别技术,即便是从网络上下载的人脸图像,也应该属于个人信息纠纷的管辖。

    但是特别的是,如果个人在肖像权许可授权中同意对方以人脸识别技术处理的,产生纠纷,可以选择合同纠纷或者个人信息纠纷。

    事实上,如果是传统的肖像权侵权,肖像权人可以通过网络检索,或者线下发现侵权者,进行诉讼。而人脸信息的使用并不是通过普通检索便能够查到侵权人,或者即便在遭遇到财产等损失时,发觉人脸信息被泄露,也并不能明确确定侵权人。

    另外一点是,人脸信息在遭受侵权时,可能会涉及群体案件。

    因此,人脸信息侵权行为适用个人信息纠纷的概率很小,因为个人很难对这些行为进行举证,大概率需要行政机关的审查。也是这样的原因,《人脸识别规定》中加入了公益诉讼制度。

    -“单独同意规则”在人脸信息处理中的适用问题 -

    《个人信息保护法》中规定,只有在具有特定的目的和充分必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。处理该类信息,应当取得个人的单独同意,如有法律、行政法规应当取得书面同意的,从其规定。[9]

    所谓“单独同意”是指,信息处理者在征得个人同意时,必须就人脸信息处理活动单独取得个人的同意,不能通过一揽子告知同意等方式征得个人同意。[10]

    信息处理者需要向消费者告知什么,需要消费者同意的内容以及同意的标准如何?

    首先,信息处理者需要向消费者告知的内容包括:

    (1)信息处理者相关信息,包括联系方式;

    (2)人脸信息的处理目的、方式、范围、该信息种类、以及预计的保存期限;

    (3)消费者行使本法规定权利的方式和程序;

    (4)处理敏感个人信息的必要性以及对个人权益的影响以及可能存在的风险;

    (5)如果上述事项发生变化,应当及时告知消费者。

    其次,消费者需要在充分知情的前提下自愿、明确作出同意。[11]

    为了确保消费的知情权,法律规定,信息处理者应当“以显著方式、清晰易懂的语言真实、准确、完整地告知”。[12]

    欧盟GDPR中规定的“同意”是自由、具体、知情、明确的作出,通过声明或明确的肯定行动表示同意处理与其有关的个人数据。

    也就是说,经过“消费者同意”不仅要求消费者的意愿完全自由的情况下,并且全部知悉了获取的具体的信息为敏感个人信息,处理人员、目的、方式、时间等情况下,明确对信息处理者可以使用其人脸信息作出同意表示时,该“同意”才有效。

    信息处理者在获取消费者同意时,不可以通过消费者的默示而推定其同意。

    合法公开不能成为人脸信息使用的免责事由

    《个人信息保护法》第13条,作为信息处理者的抗辩理由。但是在人脸信息处理过程中,该条第(6)项处理个人或他人已经合法公开的信息并不能作为信息处理者的免责条款。

    很多人会将自己的照片发到网上,以至于信息处理者很容易接触到个人肖像,但是即便个人主动公开自己的肖像,并不能当然推定个人便许可信息处理者提取自己的面部特征,这也是“单独同意”规则的应有之义。 

    - 结 语 -

    肖像与人脸信息同源于个人面部,但是相比肖像,对人脸信息的侵害难以控制,并且具有多米诺骨牌效应,比如因为人脸信息的泄露造成其他的个人信息被识别,从而引发个人社会活动轨迹的曝光,以及个人财产损失等。

    因此,人脸信息的保护比肖像的保护更为严格,对于肖像与人脸信息,以及与此相关联的侵权纠纷的识别,更加凸显对于人脸信息的“单独同意规则”的必要性。


    [1] http://www.chyxx.com/industry/202106/959224.html,2020年全球人脸识别市场规模、人脸识别专利申请量及分布情况分析,2021年8月18日最后访问

    [2] 2020年国家标准《个人信息安全规范》、《个人信息保护法》

    [3] http://mp.weixin.qq.com/s/imK37dFbs9CqdrkLPD5f0Q,《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》的理解与适用,最高人民法院司法案例研究院

    [4] 中国信通院安全研究所与百度联合发布的《人脸识别技术在APP应用中的隐私安全研究报告(2020年)》

    [5] 《信息安全技术网络数据处理安全规范》(征求意见稿)

    [6] 《个人数据自动化处理的个人保护公约人脸识别指南》

    [7] http://mp.weixin.qq.com/s/imK37dFbs9CqdrkLPD5f0Q,《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》的理解与适用,最高人民法院司法案例研究院

    [8] 《民法典》第1018条、1019条

    [9] 《中华人民共和国个人信息保护法》第28条、29条

    [10] 最高法发布审理使用人脸识别技术处理个人信息相关民事案件的司法解释(附答记者问),http://mp.weixin.qq.com/s/ICTmp-MtpFGoUuS4g_QyRw,2021年7月28日发布在“最高人民法院司法案例研究院”微信公众号

    [11] 《中华人民共和国个人信息保护法》第14条

    [12] 《中华人民共和国个人信息保护法》第17条

    企业微信截图_fbccda7d-5f05-47e3-b7ea-7f71e62a78b4.png

    企业微信截图_174e384b-1909-4cc7-8fb6-30c19b749c2c.png

    企业微信截图_e71312a5-c238-4b41-9b25-1f1236231289.png

    友情链接: