逐条解读《人脸识别司法解释》Word下载.docx
- 文档编号:18552037
- 上传时间:2022-12-27
- 格式:DOCX
- 页数:37
- 大小:40.86KB
逐条解读《人脸识别司法解释》Word下载.docx
《逐条解读《人脸识别司法解释》Word下载.docx》由会员分享,可在线阅读,更多相关《逐条解读《人脸识别司法解释》Word下载.docx(37页珍藏版)》请在冰豆网上搜索。
【解读】
本条明确了《规定》适用范围。
1.《规定》适用于平等民事主体之间因使用人脸识别技术处理人脸信息所引起的相关民事纠纷。
2.信息处理者使用人脸识别技术处理人脸信息,或者虽然没有使用人脸识别技术但是处理基于人脸识别技术生成的人脸信息,均属于《规定》的适用范围。
3.涉及的责任承担既包括侵权责任,也包括违约责任,受侵害的权益既包括个人信息权益,也包括肖像权、隐私权、名誉权等人格权以及财产权。
自然人可以要求信息处理者承担违约责任或者侵权责任。
在发生责任竞合时,自然人可以选择提起违约之诉或者侵权之诉。
但应当注意到,违约责任和侵权责任在构成要件、举证责任上存在差异。
通说认为,违约责任是无过错责任,其构成要件为违约行为、损害后果和因果关系。
侵权责任构成要件为过错、侵权行为、因果关系和损害结果。
4.本条第二款根据《民法典》第一千零三十五条第二款关于个人信息处理方式的规定,明确人脸信息的处理包括人脸信息的收集、存储、使用、加工、传输、提供、公开等。
5.本条第三款明确人脸信息属于“生物识别信息”。
6.关于适用场景问题。
最高人民法院在《规定》的新闻发布会上明确,《规定》不仅适用于线上应用,对于线下场景也同样适用。
7.《规定》作为审理个人信息民事纠纷案件的第一部司法解释,不仅对审理使用人脸识别技术处理个人信息相关民事案件提供了依据,同时对处理其他个人信息相关案件具有重要参考意义。
第二条【侵权认定】
信息处理者处理人脸信息有下列情形之一的,人民法院应当认定属于侵害自然人人格权益的行为:
(一)在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析;
(二)未公开处理人脸信息的规则或者未明示处理的目的、方式、范围;
(三)基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意;
(四)违反信息处理者明示或者双方约定的处理人脸信息的目的、方式、范围等;
(五)未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全,致使人脸信息泄露、篡改、丢失;
(六)违反法律、行政法规的规定或者双方的约定,向他人提供人脸信息;
(七)违背公序良俗处理人脸信息;
(八)违反合法、正当、必要原则处理人脸信息的其他情形。
本条规定了信息处理者处理人脸信息侵害自然人人格权益行为的认定标准。
1.《民法典》第一千零三十五条第一款从正面规定了处理个人信息的原则和条件,即应遵循“合法、正当、必要原则”,并构建了以“告知—同意”为核心的处理个人信息的行为规范。
人脸信息作为自然人生物识别信息,属于敏感信息,告知-同意规则要求:
(1)信息处理者应当向个人告知处理敏感个人信息的必要性以及对个人的影响。
(2)信息处理者应当取得个人或其监护人(以下统称个人)的单独同意。
法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
所谓单独同意,是指信息处理者在征得个人同意时,必须就人脸信息处理活动单独取得个人的同意,而非通过一揽子告知同意等方式征得个人同意。
(3)法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。
(《个保法(草案)》第二十七条、第三十条、第三十一条、第三十二条)
本条主要从反面以“例示+兜底”的方式,规定处理人脸信息不符合上述原则和条件,侵害自然人人格权益的具体情形。
2.第一项是特定场所使用人脸识别技术是否构成侵权的认定标准,判断的依据是行为是否具有合法性,即使用人脸识别技术是否有法律、行政法规上的依据。
对于适格行为主体的认定,可参考《民法典》第一千一百九十八条关于安全保障义务人的规定,即指特定场所的经营者、管理者。
该项解释主要是规制特定场所滥用人脸识别技术处理人脸信息的突出问题。
如,线下商店安装人脸识别摄像头,在顾客不知情的情况下,采集顾客人脸信息,并以获取的海量人脸信息建立顾客档案,用于分析顾客的行动轨迹、判断顾客的消费能力。
第二项是人脸识别技术使用者未履行告知义务情形下构成侵权的认定标准。
根据《民法典》第一千零三十五条第一款第二、三项规定,处理人脸信息应当公开、透明。
公开透明原则是指信息处理者在处理个人信息时应当公开处理信息的规则,并明示处理信息的目的、方式和范围,确保信息主体享有知情权。
公开透明原则是信息主体知情同意的保障,只有让信息主体充分知悉和了解处理个人信息的规则、目的、方式和范围,了解个人信息被处理的后果和可能的影响,才可以确保信息主体的意思判断是自主、真实和合理的。
[1]另外,公开透明原则也要求信息处理者的“公开”应采取通俗易懂、简洁明了的语言,确保信息主体充分的知悉和了解。
第三项是未征得个人同意处理人脸信息是否构成侵权的认定标准。
《民法典》第一千零三十五条第一款第一项是对信息主体知情同意的基本规定。
本项在此基础上进一步规定,处理人脸信息需要征得自然人或其监护人的单独同意,在法律、行政法规有规定时,需征得书面同意。
单独同意和书面同意的要求与《个保法(草案)》保持一致。
处理个人信息应当遵守合法性原则,合法性的依据主要来源于两个方面:
一是法律法规的明确规定;
二是信息主体的同意。
本条规定了处理人脸信息的单独同意和书面同意规则。
同时,《民法典》第一千零三十五条第一款第一项规定了除外情形,即在法律、行政法规另有规定的情况下,无需征得个人单独同意即可处理人脸信息。
这是指无需取得信息主体同意即可处理个人信息的例外情形,但这些例外必须由法律、行政法规作出明确规定,例如《民法典》第一千零三十六条规定的免责情形和《个保法(草案)》第十三条第一款第二项至第七项规定的无需征得个人同意的情形。
第四项是人脸信息处理者违反明示或者约定义务情形下构成侵权的认定标准。
根据《民法典》第一千零三十五条第一款第四项,处理人脸信息应当符合法律、行政法规的规定和双方的约定。
知情同意是处理个人信息的前提条件,当事人的约定是信息处理者处理个人信息的范围和界限,信息处理者违反双方约定的目的、方式和范围处理个人信息的行为,不仅是违约行为,同时也是侵犯信息主体个人权益的侵权行为。
第五项是信息处理者未履行人脸信息安全保护义务情形下构成侵权的认定标准。
实践中,因为信息处理者未履行对个人信息的安全保护义务,导致个人信息泄漏的事件时有发生。
根据《民法典》第一千零三十八条第二款规定,人脸信息处理者应履行安全保护义务,采取技术措施和其他必要措施确保其收集、存储的个人信息安全。
信息处理者未尽到安全保护义务应承当相应的侵权责任。
是否采取了技术措施和其他必要措施的认定,在实践中可以参照《信息安全技术个人信息安全规范》(GB/T35273-2020)第六条关于个人敏感信息的存储要求,即采取加密、匿名化处理、分开存储、仅存储摘要信息、及时删除等必要措施,确保个人信息安全。
同时,在发生或可能发生个人信息泄漏、篡改、丢失的情况下,信息处理者应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。
第六项是向他人提供人脸信息情形下构成侵权的认定标准。
根据《民法典》第一千零三十八条第一款第一句,未经自然人同意不得向他人非法提供其个人信息。
这是对信息处理者“不得非法向他人提供”的要求。
“违反法律、行政法规规定或者双方的约定向他人提供人脸信息”主要是指人脸信息数据的技术处理、转让,以及第三方接入。
[2]“向他人提供”属于《规定》第一条中明确的“处理”行为,向他人提供人脸信息需要征得自然人的单独同意。
即便征得了自然人同意向他人提供人脸信息,信息处理者仍要履行其处理个人信息的其他义务,比如告知义务、安全保护义务等。
第七项是对《民法典》第八条规定的回应。
第八条将公序良俗确定为民法的基本原则,人脸信息技术应用主体亦应遵循。
实践中违反公序良俗滥用人脸信息技术的,因其行为违反民法的基本原则具有非法性。
第八项是兜底条款。
合法、正当、必要,是认定人脸信息技术使用行为违法的基本原则。
同时,随着信息科技的发展,人脸信息应用的场景将越来越广泛、丰富,对于法律和《规定》未予明确的人脸识别技术使用情形是否构成侵权,应以合法、正当、必要原则进行衡量。
即,合法、正当、必要原则是法无明文规定情形下认定人脸信息使用行为是否构成侵权的原则性标准。
第三条【侵权民事责任】
人民法院认定信息处理者承担侵害自然人人格权益的民事责任,应当适用民法典第九百九十八条的规定,并结合案件具体情况综合考量受害人是否为未成年人、告知同意情况以及信息处理的必要程度等因素。
本条主要规定认定人脸信息处理者承担民事责任时的考量因素。
1.《民法典》第九百九十八条体现了不同类型人格权的民事责任认定的体系化规范。
在人格权中,生命权、身体权、健康权等物质性人格权益处于基础性地位。
肖像权、隐私权、个人信息等精神性人格权,与之相比,权利位阶较低,并且精神性人格权往往与公共利益和其他价值产生冲突,比如个人信息与公共安全,肖像权、名誉权与言论自由等。
由此,民事责任的认定上法律作了区分。
对于物质性人格权益损害采取填补原则,主要适用侵权责任编的损害赔偿规定;
对于精神性人格权益损害则采用动态系统论,适用第九百九十八条规定的不同考量因素,由法官在具体案件中进行各因素间的互动综合考量,以确定最终具体的责任承担。
2.本条针对使用人脸信息识别技术侵权的特点,细化了“受害人是否为未成年人”“告知同意情况”“信息处理的必要程度”三个考量因素。
其中,结合当前未成年人人脸信息保护现状,坚持最有利于未成年人的原则,明确将“受害人是否未成年人”作为责任认定特殊考量因素,这是对我国立法强化保护未成年人个人信息的司法回应。
为加强对滥用未成年人人脸信息乱象的治理,对于违法处理未成年人人脸信息的,在确定责任承担时依法应予从重,确保未成年人人脸信息得到特别保护。
第四条【强迫同意无效】
有下列情形之一,信息处理者以已征得自然人或者其监护人同意为由抗辩的,人民法院不予支持:
(一)信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外;
(二)信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的;
(三)强迫或者变相强迫自然人同意处理其人脸信息的其他情形。
本条规定了强迫同意无效原则,对处理人脸信息的有效同意采取从严认定的司法态度。
1.处理人脸信息的基本原则是“告知—同意”。
基于个人同意处理人脸信息的,个人单独同意是信息处理活动的合法性基础。
同意应当遵循自愿原则。
有效同意应当是在自然人充分知情的前提下自愿作出。
由此要求:
(1)自然人知情。
信息处理者在取得自然人同意授权处理人脸信息时,应当以显著方式、清晰易懂的语言向个人告知:
1)个人信息处理者的身份和联系方式;
2)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限等;
3)告知处理敏感个人信息的必要性以及对个人的影响。
(《个保法(草案)》第十八条、第三十一条)
(2)自然人自愿。
民法上的自愿原则要求民事主体按照自己的意思设立、变更、终止民事法律关系,不受他人非法干涉。
具体到处理人脸信息的“同意”,要求自然人按照自己的真实意思作出同意,信息处理者不得强迫或变相强迫。
2.本条对于实践中多发的信息处理者违反自愿原则获取自然人同意处理其人脸信息的情形,如“与其他授权捆绑”“不点击同意就不提供服务”等,认为同意无效,不能成为信息处理者合法处理信息的抗辩。
同时以第三项设立兜底条款,规定凡是强迫或者变相强迫获取的自然人同意,均为无效。
第五条【免责事由】
有下列情形之一,信息处理者主张其不承担民事责任的,人民法院依法予以支持:
(一)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息的;
(二)为维护公共安全,依据国家有关规定在公共场所使用人脸识别技术的;
(三)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息的;
(四)在自然人或者其监护人同意的范围内合理处理人脸信息的;
(五)符合法律、行政法规规定的其他情形。
本条明确了处理人脸信息的免责事由。
1.本条是对《民法典》第九百九十九条确立的合理使用规则的具体运用,是对第一千零三十六条的细化,吸收了《个保法(草案)》的立法精神,合理平衡个人利益和公共利益。
作为“知情—同意”的例外,信息处理者为了公共利益和个人权益保护,或者在法律法规有明确规定的情况下,处理人脸信息可以提出免责抗辩。
免责事由分为两类,一是合理使用抗辩(本条第一、二、三项),即信息处理者可主张其处理人脸信息的行为属于合理使用范围;
二是合法使用抗辩(本条第四、五项),即信息处理者可主张其处理人脸信息的行为符合法律、行政法规的规定或者是在个人同意范围内实施。
2.人脸信息属于个人敏感信息,为防止信息处理者滥用免责事由,对于处理人脸信息的免责事由应当从严限定。
在援引合理使用抗辩时,其行为应当符合比例原则,综合衡量处理个人信息行为的妥当性、必要性和均衡性;
在援引合法使用抗辩时,其行为应当符合法律法规的明确规定或自然人明确同意的范围,综合衡量行为的合法性、合约性。
本条第一项是对《民法典》第一千零三十六条第三项“公共利益和该自然人合法利益”的细化,免责情形限于:
(1)目的是为了应对突发公共卫生和紧急情况下为保护自然人的生命健康和财产安全情形;
(2)人脸信息处理应当是为了实现上述目的所必需,且(3)应限于实现上述目的最小范围内,不能借此肆意收集、过度处理自然人的人脸信息。
本条第二项明确了在公共场所使用人脸识别技术的限度,应限于:
维护公共安全且符合国家有关规定,此处规定并不限于法律、行政法规范围,也包括规章等。
本条第三项援用《民法典》第九百九十九条规定,允许为了公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息。
本条第四项与《民法典》第一千零三十六条第一项规定保持一致。
在自然人知情同意的情况下,在其同意范围内处理人脸信息的行为具有合法性,不构成侵权。
本条第五项为法律依据抗辩。
依据法律和行政法规规定处理自然人人脸信息的,行为具有合法性,不构成侵权。
此免责事由应限定于法律和行政法规规定的框架之内。
3.关于“自然人公开的人脸信息”可否作为信息处理者的免责事由。
根据《民法典》第一千零三十六条第二项规定,合理处理自然人自行公开的或者其他已经合法公开的信息,是行为人的免责事由。
但是考虑到人脸信息对个人权益影响重大,对于自然人自行公开的人脸信息,仍应当予以保护,信息处理者未经自然人授权同意处理人脸信息的,应当承担侵权责任。
4.应当注意的是,即便存在免责事由,信息处理者仍应当在必要、合理的范围内处理人脸信息并履行相关义务,比如安全保护义务等。
处理人脸信息不合理,侵害自然人权益的,仍应当承担侵权责任。
第六条【举证责任】
当事人请求信息处理者承担民事责任的,人民法院应当依据民事诉讼法第六十四条及《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》第九十条、第九十一条,《最高人民法院关于民事诉讼证据的若干规定》的相关规定确定双方当事人的举证责任。
信息处理者主张其行为符合民法典第一千零三十五条第一款规定情形的,应当就此所依据的事实承担举证责任。
信息处理者主张其不承担民事责任的,应当就其行为符合本规定第五条规定的情形承担举证责任。
本条规定了双方举证责任的分配。
1.目前对个人信息侵权行为属于过错责任原则还是过错推定责任原则,法律并无明确规定。
[3]如认为信息处理者处理人脸信息侵害自然人人格和财产权益属于过错责任,则根据“谁主张、谁举证”的原则,在过错侵权中一般由被侵权人证明行为人存在侵权行为、损害结果、因果关系和主观过错,行为人证明侵权不成立或者行为存在免责事由。
本条依据现行举证责任的法律适用规则,根据《民法典》第一千零三十五条、第一千零三十六条等规定,充分考虑双方当事人的经济实力不对等、专业信息不对称等因素,在举证责任分配上课以信息处理者更多的举证责任,适用举证责任倒置规则,由信息处理者证明其行为符合《民法典》第一千零三十五条的规定,证明其行为具有合法性。
2.主观过错要件的认定一般采取客观化标准。
法律、行政法规等对信息处理者处理个人信息行为规定了明确的条件,如信息处理者未按照法律、行政法规和双方约定处理人脸信息,即可认为信息处理者主观存在过错。
根据该条举证责任分配情况,实际上是基于损害事实,推定信息处理者行为存在过错并对其自身没有过错承担举证责任。
在一定程度上,可认为《规定》明确了侵犯个人人脸信息行为的侵权责任适用过错推定原则。
但该规则是否可以类推适用其他侵害个人敏感信息行为,仍有讨论的空间。
3.在证明标准上《规定》并未作出明确规定。
因此,证明标准应适用《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》(以下简称《民事诉讼法解释》)第一百零八条确立的“高度盖然性”标准。
第七条【共同侵权】
多个信息处理者处理人脸信息侵害自然人人格权益,该自然人主张多个信息处理者按照过错程度和造成损害结果的大小承担侵权责任的,人民法院依法予以支持;
符合民法典第一千一百六十八条、第一千一百六十九条第一款、第一千一百七十条、第一千一百七十一条等规定的相应情形,该自然人主张多个信息处理者承担连带责任的,人民法院依法予以支持。
信息处理者利用网络服务处理人脸信息侵害自然人人格权益的,适用民法典第一千一百九十五条、第一千一百九十六条、第一千一百九十七条等规定。
本条规定了多个信息处理者侵权责任的承担。
1.人脸信息处理涉及收集、存储、使用、加工、传输、提供、公开等多个环节、多个信息处理者。
当人脸信息泄漏时,可能存在多个侵权者,存在多因一果或者多因多果,如何认定各个信息处理者之间的责任,存在事实认定和责任认定上的难点。
2.本条第一款规定了多个信息处理者处理人脸信息发生损害时,适用《民法典》关于共同侵权的相关规定予以处理。
具体包括:
(1)共同加害行为。
二人以上共同实施侵权行为,造成他人损害的,承担连带责任。
此处共同包括共同故意、共同过失、故意和过失的结合。
(2)共同危险行为。
二人以上实施危及他人人身、财产安全的行为,其中一人或者数人的行为造成他人损害,能够确定具体侵权人的,由侵权人承担责任;
不能确定具体侵权人的,行为人承担连带责任。
(3)无意思联络数人侵权。
二人以上分别实施侵权行为造成同一损害,每个人的侵权行为都足以造成全部损害的,行为人承担连带责任。
二人以上分别实施侵权行为造成同一损害,能够确定责任大小的,各自承担相应的责任;
难以确定责任大小的,平均承担责任。
3.本条第二款规定了信息处理者利用网络服务处理人脸信息时应适用《民法典》关于网络侵权的一般规则,包括通知-删除规则(避风港规则)(第一千一百九十五条)、反通知规则(第一千一百九十六条)、红旗规则(第一千一百九十七条)。
(1)通知—删除规则。
网络用户利用网络服务实施侵权行为的,权利人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。
网络服务提供者接到通知后,应当及时将该通知转送相关网络用户,并根据构成侵权的初步证据和服务类型采取必要措施,未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。
(2)反通知规则。
网络用户接到转送通知后,可以向网络服务提供者提交不存在侵权行为的声明。
网络服务提供者接到声明后,应当将该声明转送发出通知的权利人,并告知其可以向有关部门投诉或者向人民法院提起诉讼。
网络服务提供者在转送声明到达权利人后的合理期限内,未收到权利人已经投诉或者提起诉讼通知的,应当及时终止所采取的措施。
(3)红旗规则。
网络服务提供者知道或者应当知道网络用户利用其网络服务侵害他人民事权益,未采取必要措施的,与该网络用户承担连带责任。
第八条【财产损害赔偿】
信息处理者处理人脸信息侵害自然人人格权益造成财产损失,该自然人依据民法典第一千一百八十二条主张财产损害赔偿的,人民法院依法予以支持。
自然人为制止侵权行为所支付的合理开支,可以认定为民法典第一千一百八十二条规定的财产损失。
合理开支包括该自然人或者委托代理人对侵权行为进行调查、取证的合理费用。
人民法院根据当事人的请求和具体案情,可以将合理的律师费用计算在赔偿范围内。
本条规定了自然人因人脸信息受到侵害导致财产损失时的损害赔偿请求权及财产损失范围的界定标准。
1.自然人因人脸信息受到侵害导致财产损失时的,除可以依据《民法典》第九百九十五条关于人格权请求权的规定要求信息处理者承担停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉等民事责任外,还可依据《民法典》第一千一百八十二条主张财产损害赔偿。
2.财产损失的认定依据为《民法典》第一千一百八十二条,按照被侵权人受到的损失或者侵权人因此获得的利益进行确定。
同时,考虑到此类侵权的专业性强、自然人维权成本高,为了更好地保护自然人的个人信息权益,本条第二款将自然人为了维权所支出的合理费用,包括调查取证费用、合理的律师费用计入赔偿范围。
3.此处的财产损失既包括直接损失,也包括间接损失。
比如实践中因人脸信息被泄漏后,被他人盗用导致个人财产损失;
人脸信息被非法交易后,个人维权所产生的财产支出。
无论是直接损失还是间接损失,都需要由被侵权人证明侵权行为和损失之间存在因果关系,即被侵权人需要证明责任成立的因果关系和责任范围的因果关系。
4.实践中,被侵权人往
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 人脸识别司法解释 逐条 解读 识别 司法解释