[[429833]]

商場開啟人臉識別攝像頭，信息被“無感”收集；小區(qū)啟用人臉識別門禁系統(tǒng)，不同意不讓進；APP捆綁授權(quán)強制索取人臉信息，不確認不讓用……商家、物業(yè)、APP的哪些行為違法？

針對人臉識別信息利用方式的“野蠻生長”，最高人民法院發(fā)布規(guī)定并于近日在全國施行，對經(jīng)營場所濫用人臉識別技術(shù)、小區(qū)“刷臉”進門等問題進行規(guī)范。那么，什么行為構(gòu)成濫用人臉識別信息？普通群眾又該如何維權(quán)？

“人臉信息”在法律上如何界定？

近年來，人臉識別技術(shù)廣泛應用于移動支付、設備解鎖、數(shù)據(jù)分析等場景，給人們的工作和生活帶來了巨大的便利，但信息處理者對于人臉信息的瘋狂采集和無序管理，引發(fā)了公眾對于隱私和數(shù)據(jù)安全的擔憂。人臉信息首先涉及個人的肖像，其次還包括健康、年齡、心理等信息，一旦泄露或遭受侵權(quán)，將會給個人的尊嚴、隱私、平等等權(quán)利帶來嚴重影響。

北京一中院法官認為，我國《民法典》對個人信息保護做出規(guī)定，所謂個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息等。人臉信息作為生物識別信息的一種，自然屬于民法典保護的個人信息范疇。

最高人民法院發(fā)布的《關于審理使用人臉識別技術(shù)處理個人信息相關民事案件適用法律若干問題的規(guī)定》第一條明確，處理“人臉信息”和“基于人臉識別技術(shù)生成的人臉信息”均是需規(guī)制的對象。

該《規(guī)定》所應用的場景不僅包括賓館、商場、銀行、車站、機場、體育場館、娛樂場所等公共場所，還包括小區(qū)物業(yè)和線上應用場景?！兑?guī)定》規(guī)制的是人臉信息處理的全流程，即收集、存儲、使用、加工、傳輸、提供、公開等。

經(jīng)營門店“無感式”收集人臉信息違法

前不久一些知名企業(yè)的門店被曝擅自采集進店消費者人臉信息，商家利用上述信息進行消費者性別、年齡、購買情況甚至心理的數(shù)據(jù)分析，目的在于針對不同的消費者采取不同的營銷策略。個別房地產(chǎn)開發(fā)商對目標客戶進行人臉識別和分析，導致客戶“戴頭盔看房”的奇葩現(xiàn)象。

對于這種“看人下菜碟”的行為，該《規(guī)定》第二條中明確指出，在賓館、商場、銀行、車站、機場、體育場館、娛樂場所等經(jīng)營場所、公共場所違反法律、行政法規(guī)的規(guī)定使用人臉識別技術(shù)進行人臉驗證、辨識或者分析的情形屬于侵害自然人人格權(quán)益的行為。因此，商家不僅不應違法使用采集到的人臉識別數(shù)據(jù)與存儲的人臉識別數(shù)據(jù)進行驗證、辨識，而且更不應違法使用人臉識別數(shù)據(jù)分析個人的年齡、健康、情緒、心理等具有個人特征的信息。

物業(yè)強制要求驗證人臉信息進出小區(qū)違法

有的小區(qū)裝上人臉識別系統(tǒng)，告知業(yè)主必須通過人臉識別才能進入小區(qū)。針對此種情形，該《規(guī)定》第十條明確規(guī)定：“物業(yè)服務企業(yè)或者其他建筑物管理人以人臉識別作為業(yè)主或者物業(yè)使用人出入物業(yè)服務區(qū)域的唯一驗證方式，不同意的業(yè)主或者物業(yè)使用人請求其提供其他合理驗證方式的，人民法院依法予以支持。”

因此，小區(qū)物業(yè)無權(quán)要求業(yè)主將人臉識別作為進出小區(qū)的唯一驗證方式，物業(yè)管理者如使用人臉識別門禁系統(tǒng)，在錄入和使用人臉信息時應征得業(yè)主或物業(yè)使用人的明示同意，對于不同意將人臉識別信息作為唯一驗證方式的，小區(qū)物業(yè)應提供替代性驗證方式。

應用程序捆綁授權(quán)、強迫同意索取人臉信息違法

很多人使用APP時可能遇到以下情況：要求用戶同意APP處理其人臉信息才提供服務，否則立即閃退；以其他類型的授權(quán)，如讀取照片權(quán)限捆綁人臉信息權(quán)限來獲取用戶的同意。

針對上述“強取”行為，《規(guī)定》第四條指出，即使信息處理者已經(jīng)獲得自然人關于處理其人臉信息的同意，只要信息處理者有以下情形之一：要求自然人同意處理其人臉信息才提供產(chǎn)品或者服務的，但是處理人臉信息屬于提供產(chǎn)品或者服務所必需的除外；信息處理者以與其他授權(quán)捆綁等方式要求自然人同意處理其人臉信息的；強迫或者變相強迫自然人同意處理其人臉信息的其他情形，自然人的同意并不妨礙對信息處理者違法行為的追責。

泄露、篡改、丟失人臉信息違法

人臉信息并非完全被禁止收集，但信息處理者要保證安全。人臉信息屬于高度敏感的個人信息，一旦泄露將會對個人的人身和財產(chǎn)安全造成極大危害。

對此，該《規(guī)定》中明確指出，信息處理者未采取應有的技術(shù)措施或其他必要措施確保收集、存儲的人臉信息安全，致使人臉信息泄露、篡改、丟失以及違反法律、行政法規(guī)的規(guī)定或者雙方的約定，向他人提供人臉信息的情形，均構(gòu)成侵害人格權(quán)益的行為。

遇商家“索臉”要注意什么？

首先是“公示”規(guī)則。該《規(guī)定》第二條第二項指出，未公開處理人臉信息的規(guī)則或者未明示處理的目的、方式、范圍，法院應認定屬于侵害自然人人格權(quán)益的行為。面臨商家等信息處理者索取人臉信息時，一定要求商家公開如何處理人臉信息等規(guī)則。若遇未公開或未明示等情形，信息處理者就可能構(gòu)成侵犯人格權(quán)益。

其次，“單獨同意”與“強迫同意無效”規(guī)則?！兑?guī)定》第二條第三項指出，基于個人同意處理人臉信息的，未征得自然人或者其監(jiān)護人的單獨同意，或者未按照法律、行政法規(guī)的規(guī)定征得自然人或者其監(jiān)護人的書面同意，人民法院應當認定屬于侵害自然人人格權(quán)益的行為。

今后，需調(diào)用人臉識別信息的應用程序首次開啟這一功能時，不得將同意條款穿插在其他條款中，獲得“一攬子同意”，而應通過彈窗或其他專門頁面的形式僅對同意獲取人臉信息的條款予以單獨展示。

若遇點擊“不同意”APP就不允許使用的情形，即符合上述違法情形之一。即使信息主體點擊了“同意”，也不能視為人臉信息處理者獲得了真正的同意和有效授權(quán)。《規(guī)定》第四條明確：“有下列情形之一，信息處理者以已征得自然人或者其監(jiān)護人同意為由抗辯的，人民法院不予支持：信息處理者要求自然人同意處理其人臉信息才提供產(chǎn)品或者服務的，但是處理人臉信息屬于提供產(chǎn)品或者服務所必需的除外；信息處理者以與其他授權(quán)捆綁等方式要求自然人同意處理其人臉信息的；強迫或者變相強迫自然人同意處理其人臉信息的其他情形。”對于信息處理者采取不當方式強迫或變相強迫自然人同意處理其人臉信息的，應予禁止。

最后，“無期限限制、不可撤銷等格式條款無效”規(guī)則?！兑?guī)定》第十一條指出：“信息處理者采用格式條款與自然人訂立合同，要求自然人授予其無期限限制、不可撤銷、可任意轉(zhuǎn)授權(quán)等處理人臉信息的權(quán)利，該自然人依據(jù)民法典第四百九十七條請求確認格式條款無效的，人民法院依法予以支持。”

要求信息主體授予無期限限制、不可撤銷、可任意轉(zhuǎn)授權(quán)等處理人臉信息的權(quán)利的條款，屬于民法典中規(guī)定的“提供格式條款一方不合理地免除或者減輕其責任、加重對方責任、限制對方主要權(quán)利”的情形，應屬無效。

濫用人臉識別技術(shù)要擔何責？

此外，信息處理者濫用人臉識別技術(shù)可能構(gòu)成人格權(quán)侵權(quán)責任、合同違約責任等。在侵權(quán)責任框架中，自然人受侵害的權(quán)益既包括個人信息權(quán)益，也包括肖像權(quán)、隱私權(quán)、名譽權(quán)等人格權(quán)及財產(chǎn)權(quán)；在違約責任框架中，自然人可按照約定請求信息處理者承擔相應違約責任，同時可要求信息處理者刪除人臉信息。

關于賠償?shù)姆秶?，被侵?quán)人可以向侵權(quán)人主張侵犯其人格權(quán)益導致的財產(chǎn)損失，還可主張對侵權(quán)行為進行調(diào)查、取證的合理費用，甚至可將合理的律師費用計算在賠償范圍內(nèi)。