简评人脸识别司法解释:司法审查未来将是检验企业数据合规质量的试金石
本文转载自公众号“北京植德律师事务所”
2021年7月28日,最高院召开新闻发布会,发布《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(下称“《规定》”)并介绍人民法院个人信息保护基本情况、《规定》的制定背景及其主要内容以及回答记者提问(下称“答记者问”)”。《规定》将于2021年8月1日正式施行。
一、《规定》出台的背景:持续加大个人信息的司法保护力度
在答记者问中,最高院所统计、披露的以下数据值得关注:
个人信息保护纠纷案由立案的一审案件192件,审结103件(民法典施行至2021年6月30日);
侵犯公民个人信息刑事案件10059件,审结9743件,生效判决人数21726人,对3803名被告人判处三年以上有期徒刑,比例达17.50%(2017年6月至2021年6月)。
从上述数据不难看出,个人信息相关的民事案件、刑事案件一直呈高发趋势。最高院为什么要单独就“人脸信息处理”专门出台《规定》,而不是待《个人信息保护法》颁布后再出台配套的司法解释呢?
根据答记者问所介绍的制定出台的《规定》背景,专门出台《规定》的主要原因一方面是人脸信息拥有高敏感性、社交属性最强、最易采集、唯一性和不可更改性等五大特性,一旦被不法分子掌握,容易导致侵害自然人合法权益民事案件甚至犯罪行为的发生,而且人脸信息一旦泄露将对个人的人身和财产安全造成极大危害,甚还可能至威胁公共安全;另一方面是近年来滥用人脸识别技术侵害自然人合法权益的事件频发(如2021年4月二审宣判的“人脸识别第一案”、2021年央视3.15晚会曝光的滥用人脸识别问题、2019年AI换脸App事件等),亟待规制。
《规定》一共16个条文,虽然内容并不多,但是对于信息处理者而言,均值得重视。其中,《规定》直接援引民法典的条款共计13个,见表1。
表1
二、“风向标”:《规定》出台后的影响
1. 《规定》的适用范围:准确适用,也应关注敏感个人信息严格处理的趋势
《规定》第1条规定“因信息处理者违反法律、行政法规的规定或者双方的约定使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息所引起的民事案件,适用本规定”。
在理解、适用《规定》时,一方面要准确理解上述概念;另一方面生物识别信息属于敏感个人信息范畴,《个人信息保护法(草案)》(二审稿)对于敏感个人信息进行了专节规定,需注意其他敏感个人信息(如种族、民族、宗教信仰、医疗健康、金融账户、个人行踪等信息)相关民事案件可能未来也会参照该《规定》。
2. 《规定》的溯及力:实施日期临近,信息处理者应重视该《规定》的威慑力
虽然《规定》第16条明确了其适用并不会溯及到2021年8月1日以前,但是如果信息处理者使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息的违法违规、违约行为一直持续到2021年8月1日以后,则会面临适用《规定》的风险。《规定》的威慑力主要体现在两个方面,一个是举证责任更重,一个是赔偿范围更加明确,具体详见后文。
4. 信息处理者在IPO过程中,如存在大量个人信息保护纠纷,IPO被否的风险也将进一步提高
在我们持续关注的境内IPO案例中,梳理拟IPO企业被问询的数据合规问题可以发现,“是否存在隐私权侵权纠纷”、“是否存在个人信息保护纠纷”基本上都是必问的问题。甚至一些还未出台的与个人信息保护有关的规定,也会被问询“是否已经对照整改”。随着《规定》出台,拟IPO企业如适用该《规定》,则可能更容易面临个人信息保护纠纷,尤其是在上市前。在IPO审核过程中一旦发生了这类个人信息保护纠纷,则容易暴露出企业的数据不合规问题或者存在较大漏洞,往往成为IPO被否的事由之一。当然除了IPO,企业被上市公司并购,或者正在进行后期的股权融资,仍应同等重视该《规定》。
三、“合规路线图”:我们的建议
从未来趋势来看,最高院在个人信息保护方面,出台与个人信息相关的司法解释,一定是非常积极和主动的,《规定》不会是终点。正如答记者问所阐述的一样:“我们将紧紧围绕民法典规定精神,坚持问题导向,加大调研力度,及时制定或完善其他个人信息保护民事司法解释。”
为此未来以网络安全法、数据安全法、个人信息保护法等为基石,以个人信息、数据安全保护所建立起来的民事司法解释体系,共同编织成一张有力的“司法保障个人信息”之网,企业要熟悉这张网、利用好这个网,巩固和加强自身数据合规的果实,在数字经济时代,合规地腾飞。
企业面对《规定》的影响,如何规划好自身合规路线图,我们建议如下:
第一,确定自身是否适用该《规定》(见表2);
第二,如适用,则应确定自身违法违规、违约行为是否会参考《规定》第2条、第3条以及其他相关规定,建议制作《人脸信息专属整改对照清单》(限于篇幅,展示部分,见表4),逐条进行对照、明确整改措施和责任人;
第三,如对照后,违法违规、违约行为较为严重且持续到2021年8月1日之后,建议按照优先级和紧急程度,尽快停止违法违规、违约行为,采取整改措施。如更新《个人信息保护政策》,避免出现《规定》中的违规条款;如优化自身人脸信息处理的全生命周期,尤其是展示在外(APP、小程序等)的平台规则、同意形式,以及采集人脸信息的必要性描述等;
第四,如适用《规定》合法抗辩事由,应提前做好相关证据固化,与专业的个人信息保护律师共同制作《个人信息保护纠纷防范合规手册》,从诉讼风险防范角度,做好证据的日常收集和固化工作,为未来履行自身举证责任做好准备;
第五,关注《个人信息保护法》的出台时间,提前按照该法征求意见稿及网络安全法、数据安全法的相关规定,做好全方位的数据合规对照整改工作。
表4
编辑:Shawn