编者按:本文来自微信公众号“律星说”(ID:LegalStar),作者:逸凤 方荣杰,36氪经授权发布。
为了更多、更快、更容易地赚钱,很多企业已经在无视或者不知道合规要求的情况下,越过法律法规的红线,近乎疯狂地侵犯着个人信息权益。
当你走进宝马4S店、科勒卫浴以及很多没有被315曝光的门店时,很有可能正有大量摄像头在抓取你的人脸信息,并将你的照片、到店时间、到店次数、交流信息存在商家的电脑系统中,共享给其他所有门店,从而让各个门店更好地赚到你的钱。
甚至当你带着一身疲惫回到住宅小区时,你的人脸信息或许也正在被物业的摄像头默默地抓取和收集。
有人会说,这是为了更好地为你提供“服务”、保障你的“安全”。但问题在于,这些“服务”和“保障”就像在你等红绿灯时跑上来强行给你擦车并要钱的人一样,他们并不在意、也不想获得你的同意,只在乎是否能掏出你口袋里的钱。在违法违规收集人脸信息的商家面前,你并不是一个“服务的对象”,而是一头“待宰的羔羊”。
有些商家也许不关心也不想知道,他们是否已经跨越了法律法规的红线,走在了违法违规的道路上。但我们仍然相信有大量商家和企业想在合法合规的范围内利用人脸识别技术提供更好的服务。
同时,我们也相信有大量的个人希望知道自己的个人信息权益受到了什么样的保护,企业和商家应当符合怎样的合规要求。
因此,我们将在下文介绍侵害人脸信息等个人信息权益可能面临的法律后果,以及企业在收集人脸信息的阶段应做到的告知与同意方面的合规要求。
人脸信息是个人敏感信息,一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇。如果企业擅自收集和处理人脸信息,有可能会承担民事、行政乃至刑事方面的法律责任。
在刑事处罚层面,如果企业违反国家有关规定,窃取或以其他方法非法获取公民个人信息,将可能构成《刑法》第二百五十三条之一规定的“侵犯公民个人信息罪”。
触犯“侵犯公民个人信息罪”,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
以下情形可能会被认定为“情节严重”:
1、非法获取、出售或者提供公民个人信息5000条以上的;
2、违法所得5000元以上的;
3、将在提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到前两项规定标准一半以上的。
以下情形可能会被认定为“情节特别严重”:
1、造成重大经济损失或者恶劣社会影响的;
2、数量或者数额达到“情节严重”相应标准十倍以上的。
单位犯“侵犯公民个人信息罪”的,对直接负责的主管人员和其他直接责任人员参照上述标准定罪处罚,并对单位判处罚金。
(以上内容参见《刑法》第二百五十三条之一,《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条)
根据今年315晚会的内容,苏州万店掌等未经个人同意就收集人脸信息的平台,
已经拥有了上亿人脸数据,并且这类平台经315晚会曝光后已造成了恶劣的社会影响,就有一定的可能性会面临刑事处罚。
在行政处罚层面,如果企业未经同意就处理个人信息,侵害消费者的个人信息权益,可能会面临相关部门给予的警告、责令改正、罚款、没收违法所得、责令停业整顿、吊销营业执照等行政处罚;构成违反治安管理行为的,依法给予治安管理处罚。(以上内容参见《全国人大常务委员会关于加强网络信息保护的决定》第十一条,《消费者权益保护法》第五十六条)
行政处罚虽然看起来没有刑事处罚那么严厉,但是对于利用人脸识别技术的企业,尤其是有上市计划的企业而言,一旦遭受了行政处罚,可能会给未来的上市造成巨大障碍。因此相关企业和投资人必须给予足够重视。
在民事责任层面,如果企业未获同意就处理个人信息,侵害个人权益的,其将可能需要承担赔偿损失、停止侵害、恢复名誉、消除影响、赔礼道歉等民事责任。(以上内容参见《消费者权益保护法》第五十条)
对于企业而言,民事责任虽然在经济上造成的损失可能微不足道,但是企业败诉之后很可能会遭受巨大的品牌和声誉损失,导致企业间接损失经济利益。例如“微信读书案”“杭州动物园案”等案件,一经曝光,侵害用户权益的企业都受到了公众的广泛批评谴责,品牌和声誉严重受损。在一些情况下,民事判决甚至可能会引发相关部门介入,导致违法违规企业受到行政处罚乃至刑事处罚。
虽然很多提供人脸识别技术服务的企业声称自己仅提供技术服务,在使用技术的商家侵害个人信息权益时不应当承担责任,就如同生产菜刀的厂商不能因为买刀者持刀伤人而承担责任一样。
但是如果卖刀者明知或应知买刀者是要去伤人还把刀卖给他,则同样会受到法律的制裁。同理,对于提供技术服务但是明知、应知或诱导商家以侵害个人信息权益的方式利用人脸识别技术的企业而言,它们同样也难逃法律的制裁。
因此,不论是不合规使用人脸识别技术的商家,还是提供人脸识别技术服务的企业,都应重视并遵守获取人脸信息等个人信息时的以下合规要求。
根据《个人信息告知同意指南(征求意见稿)》的相关内容,企业应当将相关规则和信息有效告知个人,在此基础上获取个人对于收集处理其个人信息的同意。虽然《个人信息告知同意指南(征求意见稿)》尚未生效,但其内容反映了最新的监管趋势,并且其主要内容很可能在未来成为生效规则。因此,具有前瞻性的企业应当重视相关规则,并提前进行合规和业务布局。
《个人信息告知同意指南(征求意见稿)》对于告知的原则、时机、内容、方式、展示形式、频率等做了详细的规定。鉴于本文的篇幅,我们不在本文中展开介绍具体的规则,感兴趣的读者可以阅读律星说关于个人信息保护合规的系列后续文章。
总体而言,企业应当将与个人信息收集和处理相关的规则和信息清晰、完整、准确、具体地告知个人,在此基础上获得个人对企业处理其个人信息的同意。
处理个人信息的,应当遵循合法、正当、必要原则,并征得该自然人或者其监护人同意。
企业在收集人脸信息等个人敏感信息前,应单独向个人告知收集、使用人脸信息的目的、方式和范围以及存储时间等规则,征得个人的明示同意,并确保个人的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示。
企业在收集年满14周岁未成年人的人脸信息前,应征得未成年人或其监护人的明示同意;对于不满14周岁的未成年人,应征得其监护人的明示同意。
“明示同意”是指个人通过书面、口头等方式积极主动地作出声明或者肯定性的动作,对处理其个人信息的特定活动作出明确授权的行为。肯定性动作包括主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。
(以上内容参见《民法典》第一千零三十五条,《个人信息安全规范》第3.6条、第5.4条)
所以,今年315晚会曝光的那些未获得个人明示同意就直接收集人脸信息的企业,已经违反了法律法规的合规要求。关于获取个人同意时应履行的其他合规要求,我们会在其他文章中详细介绍,对具体要求感兴趣的读者可以阅读律星说的个人信息保护合规系列文章。
违法违规收集个人信息尤其是人脸信息的行为,不仅仅会侵害个人的人身和财产权益,在其收集的人脸信息泄露时还有可能给社会造成大范围的损害,并且有一定可能给国家安全造成损害。对于个人信息的保护不仅关乎个人,也关乎着社会和国家的安全。
今年315晚会曝光的这些抓取人脸信息的商家和诱导商家实施此类行为的服务平台,他们的行为已经毫无疑问地违反了法律法规的规定。但是他们只是正在疯狂侵害个人信息权益的大军中不幸被曝光的一小部分。我们相信在利益的诱导下,还会有大量违法违规侵害个人信息的行为发生。
如同我们在《推荐性国家标准有约束力吗?》一文中说的,未来将会有一场围绕个人信息安全的整治活动,它将关系到许多以利用个人信息为业务核心的科技企业和互联网企业的生死。今年的315晚会,已经打响了整治活动的第一枪。
枪响之后,能否心存尊重、合法合规地利用个人信息权益,将是这些企业度过生死劫的关键。
免责声明:本文不应被视为云亭所向读者提供的任何形式的法律建议,读者也不因阅读本文而与云亭建立法律服务委托关系。任何主体在参考本文内容采取行动之前,应充分考虑相关法律和事实并咨询专业法律人员。
----------
作者简介:
逸凤,北京云亭律师事务所高级顾问,先后担任国内顶级红圈所律师、大型产业互联网投资集团法务总监、大型制造型区块链集团法务总监、芯片设计公司法务总监。在公司业务、投融资并购业务、合规业务、出海投资业务方面具有丰富的经验。
36氪专栏、公众号、百家号、知乎专栏、:律星说
方荣杰,北京云亭律师事务所合伙人助理,专注于数据合规业务、公司业务。