本报简介“天津人脸识别案”的裁判逻辑及警示意义
因将人脸识别作为进出小区的唯一通行验证方式,天津市一物业公司被居民顾某告上法庭(以下简称“天津人脸识别案”)。一审法院认为,相关证据不能证明被告侵犯其隐私权。近日,该案二审法院作出改判,要求物业公司删除原告顾某人脸信息,并为其提供其他出入小区的通行验证方式。本文试着梳理人民法院的审判过程,谈谈该案的裁判逻辑及警示意义。
“天津人脸识别案”的裁判逻辑
2021年9月,因不满物业公司将人脸识别作为进出小区的唯一通行验证方式,顾某将物业公司告上法庭。一审法院将该案的案由确定为隐私权纠纷。依据“谁主张、谁举证”的原则,要求顾某对其提出的诉讼请求承担证明责任。顾某并未提交相关证据。一审法院驳回顾某所有诉讼请求。
二审法院将该案案由确定为个人信息保护纠纷并依据相关规定,要求物业公司承担举证责任。《中华人民共和国个人信息保护法》第六十九条第一款规定,“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”即个人信息处理者应承担其在处理个人信息时没有过错的证明责任。此外,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第十条第一款也明确:“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。”据此,二审法院要求物业公司删除顾某人脸信息,并提供其他通行验证方式。一审、二审法院作出不同判决的原因在于对案件性质界定不同,这应引起我们对人脸信息等个人敏感信息保护的警示与关注。
“天津人脸识别案”的警示意义
人脸信息作为生物识别信息,与特定自然人是唯一对应的,是无法改变的个人信息,属于个人信息保护法规定的敏感个人信息。大数据时代,人脸信息等敏感个人信息涉及身份、财产等,一旦泄露,造成的后果不堪设想。因此,应从个人、企业以及监管机构三个维度加强个人信息保护。
就个人而言,应提高人脸信息重视程度,杜绝以牺牲个人隐私为代价换取便利。目前,从扫码支付、指纹支付到人脸识别,无一不需要收集人们的个人信息。因此,个人要增强信息保护意识。
就企业而言,收集利用人脸信息应遵循必要性原则和明示知情同意原则。个人信息保护法第五条规定:“处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。”即,信息处理者处理个人信息必须遵循合法、正当、必要原则。“天津人脸识别案”中,物业公司以小区人数众多、人脸识别有助于管理等为由拒绝删除顾某人脸信息的行为已违反必要性原则。实践中,除人脸识别外,物业公司还可以通过发放出入证、门禁卡等方式对小区进出人员进行管理。同时,信息处理者处理个人信息应遵循明示知情同意原则,并尊重信息主体的同意撤回权。个人信息保护法第二十九条规定:“处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。”“天津人脸识别案”中,物业公司采集业主人脸信息时应征得信息主体单独明示同意。而根据个人信息保护法第十五条的规定,“基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。”此外,个人信息保护法第四十七条也规定,个人撤回同意的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除。因此,物业公司基于顾某同意收集的人脸信息,在顾某明确要求其删除人脸信息后,应主动删除。
就监管机构而言,应切实履行法律赋予的监管责任。个人信息保护法第六章对履行个人信息保护职责的部门以及具体的监管保护义务进行了明确规定。如个人信息保护法第六十条明确了国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作的主体地位,第六十一条明确了个人信息保护部门履行个人信息保护的职责,第六十二条对国家网信部门统筹协调有关部门个人信息保护工作作了具体规定,包括:制定个人信息保护具体规则、标准;针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准;支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设;推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务以及完善个人信息保护投诉、举报工作机制等。
当然,在履行法律赋予的监管责任之外,监管机构还应就个人信息保护的新问题、新制度、新方式进行积极总结与探索,如适时确立个人信息保护的专责机关,落实与划定个人信息保护专责机关在个人信息保护事务中的职能范围等。除此之外,在个人信息保护的具体实践中,还应注意从完善法律规范的角度为个人信息保护提供规范支撑。以实施物业管理行为为例,实践中,有的地方性法规已明确实施物业管理行为应遵循的个人信息保护规则,并在相关规定中予以体现。譬如,《杭州市物业管理条例》《淮南市住宅小区物业管理条例》《济南市物业管理条例》规定,物业服务人不得强制业主、非业主使用人通过提供人脸、指纹等生物信息方式进入物业管理区域或者使用共有部分,不得泄露在物业服务中获取的业主、非业主使用人个人信息。
(作者单位:东南大学法学院)