3.15晚会曝光了某知名品牌卫浴店在店内安装人脸识别摄像头用于营销的问题,个人生物数据信息的收集滥用问题再次掀起轩然大波。近两年来,关于个人数据信息尤其是面部生物信息的任意收集与处理问题,不断地刺激着大众敏感的神经。从最初名为ZAO的App换脸带来的大众新鲜感,到后来健康宝大量泄漏明星素颜照带来的群体不安,再到小伙带着头盔去看房的普通个体的惶恐,说明个体对个人数据信息尤其是生物数据信息的收集,从新鲜好奇转变为个体的不安与排斥。无论个体态度如何改变,但是个人数据的收集与处理早就与每个个体的生活息息相关。个人数据能否在合法、正当、必要的原则下收集,是每个个体极为关心的问题。2020年11月20日,杭州市富阳区人民法院对郭兵与杭州野生动物世界有限公司服务合同纠纷案做出判决。此案被称为是全国刷脸第一案。目前该案还在二审审理当中。本文将从该案一审的相关信息切入,讨论个人数据收集的合法、正当、必要原则。
一、案情简介
郭兵与杭州野生动物世界有限公司服务合同纠纷案(案号:(2019)浙0111民初6971号)
2019年4月27日,郭兵向野生动物世界购买“畅游365天”双人年卡,其以微信支付方式向野生动物世界交付卡费1360元。郭兵与其妻子叶某留下姓名、身份证号码、拍照并录入指纹,郭兵还向野生动物世界登记留存电话号码等信息。后野生动物世界因提高游客检票入园的通行效率等原因,决定将入园方式从指纹识别入园调整为人脸识别入园,并以店堂告示形式公示涉及人脸识别的“年卡办理流程”和“年卡使用说明”,“年卡办理流程”载明流程分三步:1.售票窗口/自助购票机缴费购买年卡;2.年卡中心人脸注册激活领取年卡;3.凭年卡及人脸扫描入园。2019年7月12日,野生动物世界向包括郭兵在内的年卡持卡客户群发短信,要求未进行人脸激活的年卡用户携带实体卡至年卡中心激活。2019年10月7日,野生动物世界的指纹识别闸机停用。2019年10月17日,野生动物世界向包括郭兵在内的年卡持卡客户群发短信,短信的部分内容为:园区年卡系统已升级为人脸识别入园,原指纹识别已取消,即日起,未注册人脸识别的用户将无法正常入园。2019年10月26日,郭兵与同事陈某至野生动物世界核实人脸识别入园一事。年卡中心工作人员表示原指纹识别方式已无法入园,未注册人脸识别系统将进不去。郭兵对工作人员拿着手机对年卡客户进行人脸识别提出质疑并提起诉讼。本案的核心问题为对经营者处理消费者个人信息,尤其是指纹和人脸等个人生物识别信息行为的评价和规范问题。
法院在说理部分提到,郭兵系基于野生动物世界已经收集其指纹等信息,以及欲收集其人脸识别信息,侵害其权利为由,根据《消费者权益保护法》第二十六条第二款、第三款的规定,主张相关店堂告示、短信内容无效。根据《消费者权益保护法》第二十九条第一款、第二款的规定,经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。根据以上规定及其他相关法律的规定,我国法律对于个人信息在消费领域的收集、使用并未采取禁止的态度,而是强调对个人信息处理过程的监督管理,即在前端收集个人信息阶段需要遵循“合法、正当、必要”的原则和征得当事人同意的规则;在中端控制信息过程中需要遵循确保安全原则,不得泄露、出售或者非法向他人提供个人信息;在末端出现个人信息被侵害之时,经营者依法需要承担采取补救措施等相应的侵权责任。
法院认为,本案中,野生动物世界基于年卡用户可在有效期内无限次入园畅游的实际情况,使用指纹识别、人脸识别等生物识别技术,以达到甄别年卡用户身份、提高年卡用户入园效率的目的,该行为本身符合前述法律规定的“合法、正当、必要”三原则的要求。郭兵办理年卡时,野生动物世界的店堂告示以醒目的文字告知购卡人需要提供包括指纹在内的部分个人信息,郭兵自行决定提供该信息成为年卡客户。该店堂告示内容保障了郭兵的消费知情权和对个人信息的自主决定权,未作出排除或者限制消费者权利、减轻或者免除经营者责任、加重消费者责任等对消费者不公平、不合理的规定,不属于《消费者权益保护法》第二十六条第三款规定的因含有上述内容导致无效的情形,故对郭兵的第1项诉讼请求,本院不予支持。一审判决送达后,原被告双方均提起上诉。
二、个人观点
由于上述案件还处于二审审理阶段,目前杭州中院也并未发布相关裁判文书。本文仅针对富阳法院的部分观点进行探讨与分析。富阳法院认为,野生动物世界基于年卡用户可在有效期内无限次入园畅游的实际情况,使用指纹识别、人脸识别等生物识别技术,以达到甄别年卡用户身份、提高年卡用户入园效率的目的,该行为本身符合前述法律规定的“合法、正当、必要”三原则的要求。但是,笔者并不完全赞同富阳法院对这一部分的论证与说理。下文详述之。
三、何为数据收集的合法、正当、必要原则
综合国内外对数据收集行为原则的规定,数据收集者应当遵循合法、正当和公开透明原则、最小必要原则、授权同意原则、目的明确原则、主体参与原则、安全保密原则以及确保安全原则。在我国,合法、正当、必要原则散见于《消费者权益保护法》、《网络安全法》、《全国人大常委会关于加强网络信息保护的决定》、《个人信息安全规范》等法律与规范之中。欧盟GDPR也对数据收集的上述各项原则作出了明确的规定。
数据收集应当遵循合法正当的原则,这是毋庸置疑的。我国《网络安全法》第41条规定,网络运营者收集个人信息的行为应当遵循合法、正当的原则。《个人信息安全规范》中关于数据收集的合法、正当原则体现在对个人信息控制者的禁止性规范条文中。《个人信息安全规范》明确规定,不应以欺诈,诱骗,误导的方式收集个人信息,不应隐瞒产品或服务所具有的收集个人信息的业务功能,不应从非法渠道获取个人信息,不应收集法律法规明令禁止收集的个人信息,不应大规模收集我国民族、种族政治观点、政治宗教信仰等个人敏感信息。
欧盟GDPR明确,对个人数据处理,应当以合法的,正当的和公开透明的方式来进行处理。根据GDPR第5条的规定,数据收集活动的正当性原则要求收集者对个人数据的收集具有正当、合法的目的,对个人数据的处理不应当违反初始目的。
数据收集的必要原则又称“数据最小化原则”、“最低限度原则”或“最小够用原则”,是指数据收集行为的范围应当限于最小必要信息的范围,即保障某一服务类型能够正常运行所需要的最少、够用的个人信息,如果一旦缺少上述信息将导致该服务内容无法实现或服务载体无法运行。我国《个人信息安全规范》和《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》对信息收集过程中的最小必要原则提出了更为明确和具体的要求,具体包括:1、需要收集的个人信息的类型应当与收集者实现产品或服务功能有直接关联,即没有上述个人信息的参与,产品或服务的基本功能无法实现;2、自动采集个人信息的频率应当是实现产品或服务的功能所必须的最低频率;3、间接获取的个人信息的类型和数量应当是实现产品或者业务服务的功能所必须的最少类型和数量。2019年11月28日发布的《App违法违规收集使用个人信息行为认定办法》则从反面列举的方式,列举了多种“可被认定为违反必要原则,收集与其提供的服务无关的个人信息”,具体包括:1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;2.因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;3.App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;4.收集个人信息的频度等超出业务功能实际需要;5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;6.要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。《App违法违规收集使用个人信息行为认定办法》虽然是针对App的规范,但是也从侧面为整个个人数据收集行为和行业提供了指引。
四、野生动物世界的要求刷脸入园的行为是否违反数据收集的合法、正当、必要性原则?
回到本案的核心问题,即对经营者处理消费者个人信息,尤其是指纹和人脸等个人生物识别信息行为的评价和规范问题。野生动物世界基于年卡用户可在有效期内无限次入园畅游的实际情况,使用指纹识别、人脸识别等生物识别技术,以达到甄别年卡用户身份、提高年卡用户入园效率的目的,该行为本身是否符合《消费者权益保护法》规定的“合法、正当、必要”三原则的要求。个人认为,使用指纹识别、人脸识别等生物识别技术的行为超出了信息收集的必要范围,违反信息收集的必要原则。首先,人脸识别信息作为个体独一无二的生物信息数据,意义重大。一旦泄露或非法使用,弥补的过程繁重而复杂,并非简单的后台一删了之就能处理完毕。其次,对比刷脸入园与持身份证入园,刷脸入园并非最有效率的入园方式,并且存在多种其他高效的替代方式。野生动物世界采取身份证验证、指纹识别、增加通道的方式,也可以实现快速入园的目的。尤其是身份证识别的方式,通关效率不见得比人脸识别效率低。尤其是疫情期间,入园者基本佩戴口罩,从取下口罩到定住三秒进行人脸识别再通关入园,身份证验证反而可能会提高入园效率。存在扫码入园、身份证刷卡入园等多种高效替代方式的情况下,刷脸入园真的是最优解吗?最后,少了刷脸这一环节,野生动物世界是否就不能实现野生动物世界提供服务的功能与目的呢?答案显然是否定的。收集个人面部数据特征等信息显然已经超出了数据收集的最小必要原则。
不可否认,数据的经济价值被越来越多的企业认可。但随之也带来数据信息收集领域的乱象重生,未经明确授权擅自采集个人信息、任意买卖个人信息、盗取个人信息等行为屡见不鲜。针对上述现象,国家和各部门发布了各种法律、法规、政策性文件。数据治理正从混沌走向秩序重建,数据权利的保护将会获得更多关注,数据的收集行为将受到合理约束与规范。
供稿 | 李玉秀
