【条文主旨】
本条是关于利用图像采集、个人身份识别设备处理个人信息的规定。
【条文理解】
一、公共视频监控等身份识别技术的运用
公共视频监控,强调对公共图像信息的记录,是一种在公共场所利用照相、视频、识别技术对图像信息进行采集、存储、传输、使用等的信息处理方式。《国家发展改革委、中央综治办、科技部等九部门关于加强公共安全视频监控建设联网应用工作的若干意见》指出,公共安全视频监控建设联网应用,是新形势下维护国家安全和社会稳定、预防和打击暴力恐怖犯罪的重要手段,对于提升城乡管理水平、创新社会治理体制具有重要意义。随着人工智能、大数据、云计算等新型数字技术的发展与创新,公共视频监控等身份识别手段已成为推动社会转型、促进产业升级、建设智慧城市的重要技术要素。当下,基于治安管理和维护公共安全等目的,在特定公共场所设立视频监控等图像采集或身份识别设备已被纳入法定义务范畴。《
反恐怖主义法》第27条第2款明确要求:“地方各级人民政府应当根据需要,组织、督促有关建设单位在主要道路、交通枢纽、城市公共区域的重点部位,配备、安装公共安全视频图像信息系统等防范恐怖袭击的技防、物防设备、设施。”《娱乐场所管理条例》第15条第1款规定:“歌舞娱乐场所应当按照国务院公安部门的规定在营业场所的出入口、主要通道安装闭路电视监控设备,并应当保证闭路电视监控设备在营业期间正常运行,不得中断。”
我国的公共安全视频监控以地方立法为主,并且主要是以公共安全为价值取向。[1]科技进步与权利保护之间往往存在一定的张力,尽管图像采集、个人身份识别设备自身具有一系列社会管理等便捷性优势,但其本身也是一把双刃剑,引发了一系列技术风险、法律争议问题。这是因为,公共视频监控不仅涉及公民的自由和权利,还涉及公民的生活方式的塑造。出于对隐私的保护,国外的立法对于公共场所的摄像头安装都有严格限制,譬如,比利时2007年通过的全球第一部“摄像头法”——《比利时关于安装和使用监控摄像设备的法律》规定:安装公共场所的固定或者移动摄像头,都必须基于“预防、确定和调查违法行为”;该法第8条第1款规定:具有存储和自动识别功能的监控设备,只能用于车牌的自动识别,此类设备的使用必须尊重保护隐私的有关规定。[2]我国《
民法典》第1032条第1款规定:“自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。”隐私是公民最基本的人格权利,与人格自由息息相关。“私”表现为客观层面与公共利益无关的私人事务,“隐”强调权利主体不愿私事为他人所知悉的主观意愿。隐私权表现为私生活的自我隐匿,本质是私人利益的自我保有与独处。公共视频监控系统强大的跟踪、定位、摄录功能引发了民众关于隐私等权利的担忧,而且随着新技术的出现,这种监控带来的侵入性越来越强。[3]
目前,公共视频监控已经超出了实时场景录像和存储的传统功能,基于数字技术的发展,动态的身份识别功能渐趋主流。图像采集、个人身份识别设备以自然人的个人信息为基础处理对象,根据《民法典》第1034条第2款的规定,个人信息包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。从信息类别上讲,公共视频监控主要涉及自然人的生物识别信息和行踪信息。实践中,随着人脸识别技术在公共管理和商业交易中的迅速发展,以及视频技术本身的特点,公共视频监控的核心是自然人的人脸信息的采集和利用。人脸信息作为最为典型的生物识别信息,是最通常的身份标识和识别符号。《个人信息保护法》第28条明确了生物识别信息作为个人敏感信息的法律属性,其一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。随着常态化的视频监控技术的运用,规模化的生物识别信息数据库得以生成,高频次的敏感信息收集和使用,一旦缺乏有效的个人信息安全管理和风险应对机制,将对公民的个人信息权益带来极大的社会风险。
二、人脸识别信息处理的风险
生物识别信息是指自然人可识别的身体生理信息或行为特征。个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。生物识别信息直接反映自然人独一无二与不可替代性的身体、生理或行为特征,具有强烈的人身属性。[4]目前,公共视频监控和其他图像采集设备以人脸生物识别信息的处理为主要内容。作为自然人最直接和便捷的生物标识,人脸信息被广泛用于身份识别、认证和安全管理等诸多行政、商业和私人领域。人脸识别作为一种识别个人身份信息的新型技术,其主要特征是非接触性、主体唯一性和不易复制性,同时也具有无须携带、易于采集、成本低廉等特点。[5]正是由于人脸信息采集的广泛性和便利性,加之人脸信息于信息主体的重要生理价值和社会意义,以及人脸信息存储和管理存在的技术短板和隐私困境等,引发了公众对人脸识别技术运用的忧虑。论者强调,时至今日,“刷脸”的属性已发生了转变,其不再限于身份识别过程,而是重在人脸验证/人脸辨析基础上所进行的人脸分析或其他关联分析,已从纯粹的身份识别机制转换为识别分析机制,进而可能引发社会歧视、异化等问题。[6]
根据信息的私密性、敏感程度及其对信息主体的风险影响程度,个人信息可以分类为一般个人信息和敏感个人信息。譬如,自然人的人脸识别信息属于敏感信息。“人脸”作为个人在社会交往中的“活体名片”,具备生理和心理的双重属性,蕴含着丰富的非语言情感信息,反映出个人的个性特点、社会评价及人格尊严等多重维度。因此,人脸信息具有显而易见的高度敏感性。相较于其他敏感信息,人脸识别信息具有更高的人身专属性和依附性等特点,直接关系人格权主体的人格尊严与自由,是自然人人格完整的必备要素,同时是自然人最为常态和场景应用频次最高的个人识别信息之一。[7]人脸识别技术是基于人的脸部特征信息进行身份识别的一种生物识别技术,是人工智能时代的新技术成果。人脸识别技术的便捷性和效率性毋庸置疑,对智能社会的建构具有积极意义,但人脸信息由于其高度敏感性,一旦遭到泄露或侵权后将可能严重影响信息主体的尊严、隐私、平等等权利。因此,对人脸识别技术的应用必须进行严格规制。人脸识别信息等敏感个人信息比普通个人信息承载了更高的人格尊严要素,在自动化决策技术的辅助下,敏感信息的泄露和非法使用将使主体的生存权、发展权、自由权、尊严权、就业权等具有人权性质的基础性权利遭受重大损害。[8]人脸识别技术的高效性、便捷性、收益性等特质,也更容易激励信息处理者采取此种符合自身效益最大化的信息处理手段,甚至超出信息处理必要性原则的限度,引发信息处理技术滥用的问题。美国于2019年颁布了《美国商业人脸识别隐私法案》,禁止在未获得用户明确同意的情况下对其进行人脸识别。欧盟2021年4月所公布的《欧盟人工智能条例草案》将公共场所的远程生物识别(RBI)系统列为人工智能的高风险应用类型,原则上限定为查找失踪儿童、预防犯罪或恐怖袭击、侦查犯罪等用途。就我国而言,近年来人脸支付科技快速发展,其应用范围越来越广泛:个别开发商对客户进行人脸识别,迫使购房人“戴头盔看房”;社交媒体要求用户上传高清人脸照片并给予不可撤销、永久性、可转授权和再许可的授权……我国“人脸识别第一案”就是此种社会焦虑的集中体现。在这样的背景下,最高人民法院于2021年7月及时发布了《使用人脸识别技术处理个人信息民事案件规定》,这也是我国专门针对人脸识别应用进行规制的第一部法律文件,具有里程碑式的重要意义。[9]
【条文适用】
一、安装图像采集、个人身份识别设备的基本要求
在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。本条前句,设定了在公共场所安装图像采集、个人身份识别设备的法律规范要件。
第一,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需。“应当为维护公共安全所必需”集中体现了个人信息处理的基本原则,既包含了对公共视频监控处理个人信息的目的限制,又对目的与手段之间的均衡性提出了程度要求。公共视频监控应当以服务于公共安全为核心目的,公共安全背后的制度逻辑是社会公共利益,即不特定多数人的利益。正因为如此,针对一些地方的物业仅出于管理的便利强制业主刷脸才能进入小区的现象,《使用人脸识别技术处理个人信息民事案件规定》第10条强调信息主体有权作出同意或者拒绝;根据该条,物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。这就意味着个人就刷脸进小区享有选择权,可以拒绝刷脸要求,改选其他的身份核验方式。另外,不仅是业主享有此种选择权利,包括承租人在内的物业使用人也享有同样的权利。
显然,公共安全更强调公共秩序和基本的社会安定,为预防和打击暴恐等典型的破坏公共安全在内犯罪活动,我国《
刑法》专设“危害公共安全罪”一章。规定危害公共安全的
罪名分为两种原因:一是根据行为方式的特殊破坏性而规定危害公共安全的罪名,此类行为可能会对于生命、健康等人身利益或者财产利益等造成重大损害结果;二是根据对象的公共性而规定罪名,也就是说行为针对众多人的利益。刑法上的公共安全范围有限,主要规制具有严重社会危害性和法益侵害性的反公共安全行为,这是因为刑法本身在法秩序中的兜底作用,同时考虑到刑法的谦抑性,《个人信息保护法》所谓的公共安全应当采广义的理解,既包括我国刑法层面意义上的公共安全,也包括行政法、民商法和经济法中涉及的社会公共利益与秩序,如娱乐场所的经营秩序、公共区域的治安环境、交通安全情况等。
第二,在公共场所安装图像采集、个人身份识别设备处理个人信息,不仅应当以维护公共安全为目的,同时要求遵守国家有关规定并设置显著的提示标识;此外,还应当遵循个人信息处理的必要性原则。《个人信息保护法》第6条规定了必要性原则的基本内涵,“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息”,必要性原则是个人信息处理的基本原则,为《民法典》《
网络安全法》《
电子商务法》等诸多法律所明确,是公法上之比例原则在个人信息处理领域的借鉴和具体化。比例原则主要是通过对“手段”和“目的”之关联性的考察,来对国家行为进行检视,旨在防止公权力对私权的过度干预。[10]必要性原则的基本内涵是,个人信息处理的手段与拟实现的信息处理目的之间应当维持必要的均衡,防止对个人信息权益的侵害大于可能实现的信息处理目的,限制个人信息处理的恣意与无序。必要性原则的核心是在既有的明确、合理的信息处理目的下,通过对手段和目的之间的成本收益进行细致考察,以最小损害的方式处理个人信息。具体到公共视频监控中,必须在诸多的可以维护公共安全的方式中,权衡不同方式可能造成的权益侵害和管理收益。当以图像采集方式识别自然人相较于其他方式在维护公共安全具有明显的必要和必需时,才可以采取此种方式处理个人信息,航空安检就是典型示例。一般的公共场所,如公园、居民小区等,没有维护公共安全的特殊必要或存在其他紧急事由时,大范围地采取人脸识别等方式可能有悖个人信息处理必要性原则的初衷。
第三,在公共场所安装图像采集、个人身份识别设备,应当遵守国家有关规定。譬如,在公共场所收集处理人脸信息,如果是出于维护公共安全目的并依法进行,则不承担民事责任:《使用人脸识别技术处理个人信息民事案件规定》第5条规定:“有下列情形之一,信息处理者主张其不承担民事责任的,人民法院依法予以支持……(二)为维护公共安全,依据国家有关规定在公共场所使用人脸识别技术的……”遵守国家有关规定是最为广义的合法性要求,既包括遵守
宪法、法律和行政法规等上位法律规范,也包括地方法规、部门规章甚至权威的规范性文件,具有转介条款的功能。这是因为,公共视频监控属于公私法的交融地带,且涉及不同的主管部门与行业领域,难以通过单一的法律规范设定统一的标注,遵守国家有关规定的实质是将此种信息处理行为纳入法治轨道,契合个人信息处理的合法性要件。这里的合法性既有法定作为义务要求,也有具体的行为标准要求和权利保护要求。比如,《反恐怖主义法》要求在公共安全重点领域设立视频监控。国家强制标准《公共安全重点区域视频图像信息采集规范》则对图像采集的部位、种类,技术要求和采集设备要求进行了细化。《民法典》关于人格权保护的相关规定也是公共视频监控所应遵守的基本规范。《民法典》第1033条明确禁止通过拍摄等方式侵害自然人的隐私权。
第四,在公共场所安装图像采集、个人身份识别设备,应当设置显著的提示标识。告知同意是个人信息处理的基本模式,赋予信息处理基本的合法性。告知是同意的前提与基础,信息主体只有通过信息处理者真实、准确、完整、有效的信息披露和告知,才能获取个人信息处理的基本情况,并对信息处理的行为性质和潜在风险进行评估,进而合理处分自己的权利。在公共场所安装视频监控,通常是公共事务管理者基于法定授权而处理个人信息,属于告知同意原则的例外情形。但这并不意味着此类信息处理行为无须遵守其他信息处理规则。以人脸识别信息为代表的敏感信息与权利主体的人格尊严密切相关,属于重大人身权益,因此要求在安装相关图像采集设备时,设置显著的提示标志,告知权利主体可能存在的潜在信息处理行为和场景风险,促使信息主体对自身权益作出理性安排。设置提示标志既是私权保护的重要方法,也是保障公民知情权等基本权利的必要途径。
二、公共场所身份识别信息处理的目的限制
《个人信息保护法(草案二次审议稿)》曾规定:“所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供,取得个人单独同意的除外。”为进一步强化对人脸识别信息等敏感信息的保护,《个人信息保护法》最终修改为,“所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外”;其中特别强调“不得用于其他目的”。这是对基于公共视频监控手段收集的个人信息进行事后处理的目的性限制,要求此类信息除取得个人单独同意外,只能服务于公共安全目的。个人信息小数据时代的个人信息主要体现为个体性,社会性较弱,使用目的多为对信息主体的识别;而大数据时代参与个人信息保护与利用的是数量庞大、实力悬殊且呈现出鲜明群体性特征的信息主体和信息处理者。关涉的利益不仅是信息主体的人格尊严和信息处理者的商业利益,更有数字经济的发展和大数据红利的分享。[11]个人信息具有多重面向,既表现为信息主体的私人权益,又体现为一定的社会性和公共性,公共安全是个人信息社会价值的重要体现。个人信息权益以信息自决权为中心,但并非说明个人对其信息享有所谓绝对不受限制的支配权,基于个人与团体间的社会关联性和拘束性,信息自主权必须容忍重大公益的限制。[12]本条规定具有授权规范的性质,政府等公共事务管理者有权基于公共安全目的,设置公共视频监控设备处理公民个人信息,这是对个人信息主体信息权益的合理限制。然而,基于对信息处理行为确立性的信赖和预期,信息主体有理由相信该信息处理行为仅限于特定的公共安全目的,且该目的也是非因授权同意而径直处理公民个人信息的合法性来源与正当性基础,因此,所收集的个人图像、身份识别信息必然只能用于维护公共安全的目的。
公共场所收集的身份识别信息原则上只能用于公共安全目的的信息处理需要。但是,由于现代信息处理场景的复杂性,以及信息处理的效率要求,取得权利人明确同意的,允许突破公共安全的一般性目的限制,正当性在于信息主体的合法性授权。在此情形下,信息处理性质已然发生根本性转变,即由初始的基于法定事由处理个人信息转变为基于权利主体授权同意处理个人信息。由于公共视频监控处理的人脸信息属于敏感信息,因此,取得信息主体的同意有着更为严格的条件。首先,信息处理者应当就基于其他目的处理人脸信息进行个人信息保护影响评估,特别是此类信息处理目的的合法、正当和必要性以及可能的信息风险(《个人信息保护法》第28条、第55条、第56条)。其次,信息处理者应当全面履行信息告知义务,除个人信息处理的一般性事项外,其应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响(《个人信息保护法》第30条)。最后,信息处理者应当取得个人单独的同意。我国个人信息的同意以概括同意结合特定例外的形式为主,它给予信息处理者一定的自由,在设定的处理范围框架内合理处理信息,提高信息处理效率。由于人脸识别信息的敏感程度和重要性,本法要求,在公共场所收集的此类信息,出于非公共安全目的处理的,应当取得权利人单独的同意。这意味着,信息处理者不得通过一般性的隐私或信息政策以概括性的方式履行告知义务,而是应当以显著和单独的方式取得信息主体的明确同意。同时,符合本法第29条规定的,即法律、行政法规规定处理敏感个人信息应当取得书面同意的,这里的单独同意还应当以书面方式作出。
