學會對違法采集使用人臉信息說“不”

　　2021年8月1日起，《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》（以下簡稱“司法解釋”）正式實施。這是我國首個關于人臉識別適用民事法律問題的法律文件，對個人信息權利保護與平臺責任界定，都具有重要指導性意義。從兩年前“人臉識別第一案”，到今年3·15晚會曝光的知名門店非法采集人臉數據事件，再到濫用人臉信息的大數據殺熟，人臉信息已經成為公眾最為關心的敏感信息。人臉信息之所以重要，原因在于其不僅是人的面部肖像特征，而且還與個人的金融信息、身份信息、行為信息等密切相關。

　　盡管人臉信息對自然人如此重要，但其法律性質仍然是民事權利，也就是說，如果自然人自己事先同意授權，那么，信息處理者就會合法采集并使用這些信息。從實踐看，信息處理者拿到我們事先的“同意”似乎并不困難，要么直截了當通過“用戶協議”的方式獲取，要么耍點花招通過與其他權利“捆綁”、作為提供服務的“對價”拿到，再或者在一些特殊情況下通過欺騙、強迫，或變相強迫等方式獲取“同意”。

　　從“同意權”角度看，民法典等其他法律僅明確了人臉信息作為個人信息的組成部分，獲取自然人同意是最重要的合法使用要件之一，但沒有明確，以非法方式獲取同意的類型維權問題。毫無疑問，這些后續問題，無論是對人臉識別法律規制，還是對自然人合法權利保護來說都是最重要的。

　　司法解釋規定，信息處理者在獲取自然人同意授權前，應明示人臉信息處理規則，以及使用目的、方式和范圍。自然人同意的前提，應該是建立在信息處理者充分告知，權利人充分知情的基礎上，如果信息處理者連規則都不明說，這種事先同意授權當然屬于違法行為。

　　比如，我們在使用某款App時，經常會遇到需要進行人臉識別的情況，很多情況下，App平臺僅告知需要識別的目的，使用方式和范圍都沒有明確告知。按照司法解釋規定，信息處理者缺乏充分告知所取得的同意授權，屬于侵權行為。

　　比如“人臉識別第一案”中，權利人在購買年票時，經營者沒有明確需經過人臉識別才能入園，后來經營者以店堂告示的方式告知權利人，只能通過人臉識別才能進園游覽。這種方式既不能表示獲取了權利人的同意，也沒有告知權利人完整的信息使用范圍和方式，當然不屬于合法授權。

　　我們經常遇到一些網絡小說、網絡游戲和視頻服務，用戶想要獲取更多的服務就必須在已經完成注冊信息基礎上進行人臉識別，這是典型的以網絡服務換取用戶人臉信息的行為。司法解釋明文規定，除非人臉信息屬于產品或服務必需之外，其他用人臉信息“換取”服務或產品的行為都是侵權行為。這種行為既違反了商業倫理，也違反了司法解釋，即便事先得到用戶同意，也不影響侵權責任的承擔。反過來看，如果某款游戲為了依法建立的防沉迷系統，需要使用者的人臉信息，因其合法目的，在充分告知和監護人的同意下獲取使用者的人臉信息就屬于合法行為。

　　實踐中，我們也經常遭遇一些強迫索權，或者與其他權利捆綁授權的情況，如果用戶不同意，就無法享受一些特定服務。比如，在一些小區需要人臉識別進入、一些售賣亭只能使用人臉識別支付、購買某項產品或服務需要綁定人臉信息、注冊某些服務需要人臉信息等等。用戶為了實現交易需求，不得已進行了“違心”授權。按照司法解釋規定，以上這些授權都因存在捆綁、強迫或變相強迫等情況歸于侵權類型。事后，權利人既可以向信息處理者提出刪除要求，也可以向法院提起侵權之訴。

　　必須強調，信息處理者所獲得人臉信息的授權，不存在“永久性”授權，其期限應與接受產品或服務期限契合，任何超過期限范圍的授權，或者超越使用目的的授權，以及違反個人信息合法性、正當性和必要性范圍的授權同意，都屬于違法行為。該怎么對人臉識別說“不同意”，司法解釋給予我們的法制工具要學會充分使用。