本文是一篇法律论文,笔者认为人脸信息是特殊的个人信息,属于敏感个人信息的范畴,具有不可更改性和唯一性等特点。人脸信息商业处理过程中,商业主体拥有“信息权力”,这种权力表现为影响信息主体的选择、制定双方协议规则、全面控制人脸信息。
第2章人脸信息商业处理行为的界定
2.1人脸信息的涵义与法律属性
脸是人体最重要的生物特征之一,在中国文化中,脸不仅是身体的组成部分,更代表着个人的人格和尊严,[14]充满象征意义和社会意义。人脸客观存在于人体,主体的人同时也作为“脸”的客体被动地存在。“脸”本身不能反应个人的主体信息,只有脱离主体的控制才能传递信息。[15]目前为止的学理讨论、法律规定和司法实践对人脸信息均没有明确的定义,最高人民法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《人脸识别司法解释》)使用了“人脸信息”这一概念,明确认定人脸信息属于生物识别信息,纳入敏感个人信息保护范围,但并未定义人脸信息本身。《信息安全技术网络数据处理安全规范》(征求意见稿)规定利用人脸识别信息进行身份验证后,原则上不可留存原始人脸图像。欧盟《通用数据保护条例》(以下简称GDPR)规定人脸数据是基于特别技术处理脸部图像得出的个人数据。据此,笔者认为,人脸信息是已识别或可识别的,反映面部特征的人脸图像。人脸信息属于敏感个人信息中的生物识别信息,属于个人信息的下位概念,包括通过人脸识别技术抓取的人脸特征,还包括原始人脸图像。人脸信息是生物识别信息中社交属性最强、最易采集的个人信息。
法律论文怎么写
要厘清人脸信息的法律属性,首先应明确其上位概念——个人信息的法律属性。个人信息法律属性的讨论在国内学界可谓众说纷纭,其中“所有权客体说”“隐私权客体说”“基本人权客体说”“人格权客体说”成为较有影响力的四种观点。所有权客体说主张个人信息是财产权益,所有权人享有对个人资料的占有、收益、使用、处分等权利,并认为个人资料的所有权归属不能与个人资料的获取方式和了解程度相关联。[16]所有权客体说将人格利益、财产权益、信息主体和信息处理者的权利相混淆。在该属性的定位下不能体现个人信息自身的特性,极易在价值取向上忽视人格尊严。隐私权客体说认为个人信息属于隐私中的私人信息,对个人信息的保护应当沿用隐私权保护模式。[17]由此可得,侵害个人信息就构成对隐私权的侵犯。但个人信息与个人隐私仅在内容和范围上有相同之处,并非完全重合。公开的个人信息不能视为个人隐私,私密空间的私人活动也不能看作是个人信息,如个人姓名、性别、职业等个人信息并不能归为隐私范畴。基本人权客体说是从宪法的角度看待个人信息属性,认为个人信息是关于个人基本权利与自由的综合权利,这种主张多在国际组织的立法中体现。[18]人格权客体说将个人信息看作一种具有财产性因素的新型人格权客体,与隐私权、肖像权、名誉权、姓名权等具体人格权并列,当前的个人信息立法即采取人格利益保护方式,个人信息作为人格权客体兼具人格和财产的双重价值。
..............................
2.2人脸信息商业处理的涵义
人脸信息处理行为包括对人脸信息的收集、储存、使用、加工、删除等。人脸信息处理方式包括人脸识别和人脸分析两种类型。人脸识别是指以人面部特征作为识别个体身份的一种生物特征识别方法。[19]从应用方式不同分类,人脸识别可以分为人脸验证和人脸辨识。人脸验证主要是指真实身份的认证,特征为1:1静态对比,主要应用于身份验证场景,例如货币支付、手机解锁。人脸辨识是指在收集范围内进行人脸比对,特征为1:N匹配,主要应用于无需知晓人脸主体身份的场景,例如门禁系统、客户识别等。人脸分析是指以人脸信息为工具,对人脸信息主体的标签与属性、性格与行为、权利与义务等特征进行分析,[20]例如年龄、性别、肤色、是否化妆、是否有胡子等。人脸分析在商业场景中较为常见,对人脸信息进行分析归类,进而对人脸信息主体提供精准的商业服务,以期大幅提升用户体验,帮助商业主体达到营利的目的。
人脸信息商业处理,即商业主体以营利为目的对人脸信息进行收集、加工、提供、出售、公开、删除等。人脸信息商业处理行为的特征有三方面:第一,处理人脸信息的主体是商事主体。即履行一定法律程序获得营业资格,并在法律规定的经营范围内从事经营活动,对外独立享受权利并承担义务的主体。具有社会管理职能的行政主体委托商业主体,以社会管理为目的使用人脸信息的行为不属于本文讨论的范围。但如果前述具有社会管理职能的主体以盈利为目的,对人脸信息进行商业处理也应当视为商业主体,如国家电网,既提供公共服务又具有商事主体的身份,此时需要分析具体情况下的其他因素判断该主体是否属于人脸信息商业处理的主体。第二,处理行为的对象为人脸信息。在实践中,有些信息使用者并不直接收集人脸信息,而是通过购买人脸信息数据库的方式来达到商业目的,此时出售方的出售行为和购买方的购买行为都应当属于人脸信息商业处理行为。第三,使用人脸信息的行为具有商业性,是指对人脸信息的处理是以营利为目的,包括与营利直接相关的使用行为,也包含间接相关的使用行为。部分信息使用者表面上不以营利为目的处理人脸信息,但间接地或加工后用于商业活动,也应当认定该信息收集者构成人脸信息的商业处理,如小区物业公司为方便管理收集业主的人脸信息,企业收集员工的人脸信息用于日常管理等。
........................
第3章人脸信息商业处理行政法规制的必要性论证
3.1人脸信息商业处理的法律调整现状
我国对人脸信息的保护始于民法领域对个人信息的关注,《民法典》对个人信息保护进行一般性的规定,涉及个人信息的概念界定、信息处理规则、免责事由等问题,在法律上明确明确了个人信息属于人格权益。《人脸识别司法解释》明确人脸信息属于生物识别信息,对侵害人格权益的行为进行列举,并规定认定信息处理者承担民事责任时,应当考虑受害者年龄、告知同意情况和必要程度等因素。《刑法》设立侵犯公民个人信息罪,对违法个人信息处理行为进行定罪量刑上的规定。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对侵犯公民个人信息犯罪作出进一步解释,主要包含公民个人信息的定义和范围、定罪量刑的具体标准、刑事责任主体等内容。《个人信息保护法》对敏感个人信息处理提出特殊要求,将包含人脸信息在内的生物识别信息进行更为严格的保护。明确规定公共场所采集的人脸信息只能用于维护公共安全,明确敏感个人信息的必要条件和同意规则并予以细化。《中华人民共和国网络安全法》《中华人民共和国消费者权益保护法》等单行法中也有与个人信息相关的规定。与人脸信息相关的法律规定还散见于其他法律规范中,《信息安全技术个人信息安全规范》把敏感个人信息在个人信息大类中区分开,以列举的方式规定生物识别信息属于敏感个人信息。地方性法规也对人脸识别技术运用作出回应,如《天津市社会信用条例》规定市场信用信息提供单位不得采集人脸信息,[33]《杭州市物业管理条例》限制物业公司使用人脸识别技术进出小区。[34]此外,国家还出台了对人脸识别技术予以规制的国家标准,如《安全防范视频监控人脸识别系统技术要求》《信息安全技术人脸识别数据安全要求》中的规定为人脸识别系统提供了技术和信息标准。
.........................
3.2刑事和民商事法律保护上存在局限性
人脸信息保护法律规定零零散散地分布在对个人信息大类的相关规定之中,以刑事法律和民商事法律保护为主。当前,法律对人脸信息的重视程度有所加强,但仍存在一定的局限性。
3.2.1刑法保护存在不足
《刑法修正案(九)》规定了“侵犯公民个人信息罪”,对社会的新变化予以刑事法律上的回应。但遗憾的是,立法者仅以“个人信息”进行笼统地规定,并未在构成要件和量刑标准上对人脸信息进行特殊考量。在张羽、唐杰等侵犯公民个人信息罪一案[35]中,张羽通过向唐杰购买破解支付宝人脸识别认证的服务,盗窃唐某支付宝账户内的人民币2.4万元,另外还发现张羽从2013年开始收集的大量包含姓名、身份证号码、银行卡号等的公民个人信息2000余万条。此案仅对张羽的行为定性为侵害公民个人信息罪,且行为入罪的关键为唐某的财产损失,损害结果发生才能发现行为已经侵害公民个人信息。且需要注意的是,法院对唐杰制作3D人脸动态图破解支付宝人脸识别认证的行为定性为非法获取计算机新信息系统数据罪,而非侵犯公民个人信息罪。可见,本案中与唐某财产损失直接相关的人脸信息并未在定罪量刑时进行单独评价。
刑法出于稳重的特征,其滞后性等弊端比其他部门法律更为突出。刑法所需要的稳定性使其对新出现的社会关系难以迅速做出回应。同时刑法具有谦抑性,要求尽可能缩小刑罚的范围,尽可能少用或不用刑罚。侵害法益和存在危险并不必然犯罪化,用民法、行政法等法律规范或道德保护不能带来效果或效果不充分时,才应使用可能剥夺生命和自由的“最后手段”。同时,刑法和行政法的衔接上还存在问题,根据《个人信息保护法》第71条的规定,个人信息处理行为构成犯罪的,依法追究刑事责任。换句话说,当一违法处理人脸信息的行为既违反行政法,又构成侵犯公民信息罪,则同时应当追究行政责任和刑事责任。违法行为判断标准的确定、行政责任和刑事责任的界限等问题出现在人脸信息保护工作的过程中,存在“以罚代刑”“重行轻刑”的现象。
.................................
第3章人脸信息商业处理行政法规制的必要性论证.......................12
3.1人脸信息商业处理的法律调整现状................................12
3.2刑事和民商事法律保护上存在局限性................................13
第4章人脸信息商业处理行政法规制面临的困境.......................17
4.1专门保护立法不足...................................17
4.2监管主体职责不明................................20
第5章人脸信息商业处理行政法规制路径..........................25
5.1制定人脸信息专门保护的行政法律规范.....................25
5.2明确人脸信息监管主体.............................26
第5章人脸信息商业处理行政法规制路径
5.1制定人脸信息专门保护的行政法律规范
人脸信息是具有自身特性的特殊个人信息,对人脸信息的保护应当严于一般个人信息保护。对人脸信息专门保护有两种方式:一是在《个人信息保护法》中专章规定个人信息商业处理规则,章节名称为“个人信息的商业处理规则”,将人脸信息的商业处理规则单独设立小节,内容涉及人脸信息处理的原则、信息主体的同意规则、信息处理主体的特殊规定等问题。二是进行人脸信息单独立法,将人脸信息处理的基本原则、信息全周期环节处理的具体规则、商业主体违法处理人脸信息的法律责任等内容囊括其中。从立法的必要性和可行性看,将人脸信息商业处理规则单独成节难以实现,相对可行的是通过出台相应行政规范和指南对不同场景下的人脸信息处理进行特殊规定,例如在移动软件应用和人脸识别技术系统的开发中对人脸信息的相关内容进行专门规定,以突出其专门保护的特殊地位。我国对个人信息保护采取统一立法模式,《个人信息保护法》第62条第2款[60]规定有关部门针对信息处理者、敏感个人信息和人脸识别技术制定专门的个人信息保护规则和标准,为人脸信息专门保护立法提供了上位法依据。笔者认为,国家互联网信息办公室是国务院下设的直属机构,可以作为制定专门人脸信息保护行政规范的主体。其他如工信部、市场监管总局等行政部门也可以在各自监管领域制定相关的人脸信息保护规范。
法律论文参考
我国当前对敏感个人信息处理规则的规定采取比一般个人信息更严格的态度,还需要更进一步将人脸信息的特殊属性以及其容易收集、难以挽回的特性考虑在规则制定之中。譬如,细化人脸信息全周期各环节的具体处理规则。在人脸信息收集阶段,可参考欧盟GDPR的规定,要求信息处理者严格遵守取得个人单独同意或书面同意的规定。在人脸信息储存阶段,设置最大储存期限,期限届满或者使用目的实现后,所收集的人脸信息将被自动删除。同时还应当赋予信息主体“删除权”,可根据个人意愿删除信息主体的人脸信息。专门规定还应当弥补当前人脸信息保护法律框架中商业处理人脸信息法律规范的空白。
................................
结语
人脸信息的应用场景已覆盖至社会日常生活的方方面面,根据具体场景应用的目的可以分为行政应用场景和商业应用场景。人脸信息巨大商业价值伴随着极高的安全风险,商业逐利与人脸信息安全存在冲突。人脸信息是特殊的个人信息,属于敏感个人信息的范畴,具有不可更改性和唯一性等特点。人脸信息商业处理过程中,商业主体拥有“信息权力”,这种权力表现为影响信息主体的选择、制定双方协议规则、全面控制人脸信息。这种持续存在的极不平等的强弱关系,使现行刑事和民商事法律保护的局限性凸显,彰显出行政监管的优势。
当前人脸信息商业处理行政法规制存在专门保护立法不足、监管主体职责不明、有效配套监管措施不足和协同监管机制尚未形成。因此,不能仅从平等主体间的法律关系出发保护人脸信息,还应从立法入手,充分发挥行政监管的作用,同时还需要多方合作,构建一个全方位、多层次、立体化且行之有效的规制体系,从而使法律规定的人脸信息处理义务真正能够得到遵守。应在行政法律规范体系中凸显人脸信息的特殊性,明确各监管部门的职责,并通过建立事前准入和评估机制、完善事中行政监管机制和细化事后行政处罚标准以实现行政法规制的有效运行。最后,构建以行政主体为核心的多方协同机制,从单一的行政主体监管转向商业主体自我规制和公民个人参与。现实中人脸信息商业处理的形式多样,法律规制研究固然需要考虑诸多方面。由于本人学术水平有限,对人脸信息行政法规制的分析和建议仍存在不足,希望能通过本文为日后人脸信息的研究贡献绵薄之力,以期未来可以无需担心人脸信息安全,安心地拥抱新技术。
参考文献(略)