首页
张陈果
自“人脸识别第一案”引起广泛关注以来,人脸识别技术处理个人信息相关的民事案件如何处理已经成为广大市民共同关心的问题。《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称“规定”)于2021年7月28日正式发布,同年8月1日起施行。
《个人信息保护法》即将颁行,但散见于《民法典》第111条、《民法典》第四编“人格权”第六章“隐私权和个人信息保护”第1034至1039条、《民法典》第七编“侵权责任”第六章“医疗损害责任”第1226条、《消费者权益保护法》《网络安全法》和其他立法性文件的诸多规则已经初步确立了以“同意权”开头、以“删除权”结尾的个人信息一揽子保护规定。与之相对应,个人信息处理人被施加一系列相应的义务,以确保个人信息收集、使用、流转和删除等各个环节的合理性与安全性。
迄今,个人信息领域的法学研究积聚了民法、行政法、知识产权法和刑法学者等多支力量的成果。他们的主张包括:将个人信息视为民事权利,尤其是人格权;应制定类似欧盟模式的独立的《个人信息保护法》;应当将《刑法修正案(七)》和《刑法修正案(九)》中个人信息保护规范的解释适用予以规范化。不过,尽管法学研究对个人信息的集体保护(公益诉讼)已经凝聚共识,对个人信息保护司法落地的具体方案却缺乏探讨。笔者注意到,《民法典》的制定过程始终对个人信息的保护路径保持高度关注;《信息安全技术个人信息安全规范》《网络安全法》《个人信息保护法(草案)》中都已提出信息主体投诉、公益诉讼、行政救济等具体规则。在此基础上,“规定”的出台可谓对个人信息司法保护的制度体系提供了一个初步的框架,是司法实践智慧的总结,也为关键节点之后司法实践如何展开提供了初步的指导。
1.“规定”反映保护个人信息权益的决心
“规定”第一条第3款,将人脸信息界定为《民法典》第1034条规定的生物识别信息,“规定”第2条规定滥用人脸识别技术的行为属于侵害自然人“人格权益”的行为。按照民法典的体例,将人脸作为一种个人信息的客体,同时将它划归到自然人人格权益的一部分。“规定”遵循我国《民法典》的基本架构和民法学者的相关通说,将“人脸”这一重要的生物识别信息上凝结的法益归为人格权益,即侵权责任法上的“其他人格利益”。这体现了司法决策者对人脸这一特殊的个人信息的高度重视,体现了法院系统对于数字时代每个个体的基本权利的尊重,也反映出对个人信息保护基调予以捍卫的决心。
2.个人信息保护的重要救济渠道
我国个人信息保护立法的一个特点是这一规范架构的设计与施行恰逢《民法典》制定与施行,所以与世界上其他国家的民法典相比,我们将个人信息保护纳入到民法典的整体框架,将它认定为人格利益和人格权的一部分,并且专章规定了个人信息保护。在公众对于信息泄露、信息窃取、地下信息经纪、数据画像、定向广告等新型侵权行为的关切程度越来越高的今天,相关司法政策划定的基调我们是可以理解的。
但是我们也应看到,个人信息或者称为个人数据是一种现代社会的新型法益,它既有人身性,又有财产性。单个的个人信息可能非常琐细,只有微小的财产价值,但是大量的个人信息汇聚在一起就具有重要的商业价值。而它本身又是如此容易被采集,尤其在摄像头密布成网的现代社会,信息主体往往毫无察觉,又如何去维护自己的权益呢?因此,“人脸”等个人信息保护的民事案件应注意到个人信息这种法益的特殊性。个人信息是一种特殊的法益,应当注意到它看似微小但散播性强,极易透过互联网在短时间内造成巨大损害,而权利主体对此往往不知情,也可能根本没有动力去维权。因此人脸等个人信息的保护需要一种与其特性相匹配的司法救济方式。“规定”第十三条对“合并审理”的规定,第十四条对“公益诉讼”的规定,留意到了这种特殊性并践行法学研究认为个人信息典型救济方式是公益诉讼的观点。《个人信息保护法》草案第二稿第六十九条将正式引入个人信息保护公益诉讼。这种新型的公益诉讼应由检察机关引领,作为个人信息集体保护的兜底性程序救济机制。电子商务、平台经济等数字化市场活动中经营者行为常态性的涉及不特定大多数消费者人脸这一个人信息的,公益诉讼是这类纠纷的典型救济程序。
3.“知情同意原则”在规定中的体现
为了方便司法机关在较短时间内高效地认定违规处理人脸信息的相关行为和商业模式,司法解释第二条列举了七种具体情形,并以第8项其他违反合法、正当、必要原则处理人脸信息的兜底条款来圈定了个人信息处理人应当被认定为侵权的伤害相关行为。这一列举+兜底的框架有一条贯穿的红线,即知情同意原则。为了平衡个人信息上承载的个人利益、使用者利益和公共利益,关于放弃知情同意原则、不再坚持以此作为个人信息收集处理行为的合法性基础的提议,令人忧虑。
“规定”的指导原则没有采纳此种建议,这是令人欣慰的。首先,“知情同意原则”被常态性的违反不能作为摒弃这一原则的理由,而是应当探究为什么这一原则被常态性的违反并提出针对性的解决方案。其次,“知情同意原则”常常被个人信息处理者滥用,也不是摒弃这一原则的理由,而是应当探究滥用的行为特征并提出有针对性的行为规制方法。再者,个人信息的集体保护以消费者保护法和反不正当竞争法为支点时,仍旧和个人信息的个体保护一样,离不开“知情同意原则”。这是个人信息使用上最体现人本原则的立法精神,在个人信息集体保护上也最体现市场主体自由选择这一价值取向的原则,可以说是个人信息法律规范大厦的母基。尚未有个国家的立法文本或司法实践明确提出放弃这一原则。我国也没有放弃。因此“规定”所搭建的制度框架,可以理解为一种以国际惯例为前瞻、以人本主义为底线的个人信息保护的司法落地方案。
个人信息其上承载了多重利益主体,但不是所有的利益主体的声音都能在规则制定过程中被听到。个人信息使用者的诉求是明晰的,声音也是响亮的,但法学研究者和实践者在传达他们声音的同时,也应考虑为沉默大多数的权益保护提出允妥、可行的方案。
(作者系上海交通大学副教授、博士生导师,上海市东方学者)
SourcePh" style="display:none">
放大
上一版
