西南石油大學(xué) 楊鵬霄

2019年11月，一樁被稱為“中國人臉識別第一案”的案件引發(fā)了社會的激烈討論，法學(xué)界專家的敏銳神經(jīng)也被挑了起來。該案案情是：原告郭某曾于2019年初以人民幣1360元購買了杭州野生動物世界的年卡，該卡有效期一年，根據(jù)合同規(guī)定，入園時要同時驗(yàn)證年卡和指紋。然而，2019年10月17日，郭某卻收到了該野生動物世界的短信，根據(jù)該短信的告知，今后年卡用戶入園系統(tǒng)將升級為人臉識別系統(tǒng)，如未注冊人臉識別，則無法正常入園。

郭某認(rèn)為，鑒于該園區(qū)強(qiáng)制收集他的個人生物識別信息，同時，由于杭州野生動物世界的原因?qū)е履昕o法正常使用，郭某希望，杭州野生動物世界退還年卡費(fèi)用[1]，因杭州野生動物世界未同意該退還要求，郭某訴至法院，引發(fā)了這樁所謂的“中國人臉識別第一案”。本案一審宣判后，原告郭某提起了上訴，2021年4月9日該案已由杭州市中級人民法院作出了終審判決：郭某獲得賠償。

然而，或許對于他來說，重要的不是經(jīng)濟(jì)賠償，而是以本案為契機(jī)，向科技界、法學(xué)界、商界同時提問：人臉識別技術(shù)使用的邊界在哪里？人臉識別技術(shù)的商業(yè)化使用是否會使公民個人信息更容易被侵犯？人臉識別技術(shù)的廣泛使用是否有足夠的制度保障？

一、“人臉識別第一案”背后的法律問題

（一）本案中的原告——個人信息保護(hù)的倡議者

在這樁“中國人臉識別第一案”中，原告郭某認(rèn)為，首先，該動物世界增設(shè)人臉識別入園通道時所發(fā)出的一系列告知，并未達(dá)到告知義務(wù)的要求；其次，動物世界對游客相關(guān)信息的采集是否必要且合法，原告也表示存疑，就以上的疑問，原告郭某提出了一系列訴訟請求，在退卡一事的賠償上，原告郭某依據(jù)《消費(fèi)者權(quán)益保護(hù)法》的規(guī)定，要求因涉嫌欺詐而產(chǎn)生的3倍懲罰性賠償，但筆者更關(guān)注的是原告對由動物世界方收集、處理、保管的游客個人信息提出的相關(guān)訴求。事實(shí)上，在本案由該原告提起訴訟時，確實(shí)不存在被告對原告的權(quán)益進(jìn)行（直接或間接）侵害的行為，因此，在沒有實(shí)際損害的情況下，原告只得援引《網(wǎng)絡(luò)安全法》，主張被告收集個人信息的必要性不足。原告郭某抽出自己的寶貴時間提起該訴訟，筆者認(rèn)為，其獲取賠償?shù)脑V求是次要的，作為高校教師的郭某，無疑應(yīng)該看著是個人信息保護(hù)的倡議者。

（二）本案中的被告——便捷服務(wù)的推動者

從事實(shí)層面和商業(yè)層面上講，杭州野生動物世界有限公司增設(shè)人臉識別的入園途徑，既是對新技術(shù)的應(yīng)用，更是提升入園效率，降低管理成本的必要措施。[2]人臉識別技術(shù)供應(yīng)商瑞為科技公司的CTO指出：“其實(shí)隱私被侵犯，主要是指線上服務(wù)和交易系統(tǒng)中對敏感數(shù)據(jù)采集、存儲、使用以及共享等環(huán)節(jié)出現(xiàn)的問題。這與人臉識別以及其他生物識別技術(shù)無關(guān)，屬于應(yīng)用系統(tǒng)問題?！盵3]

本案中原告與被告的爭鋒，體現(xiàn)了當(dāng)前社會科技服務(wù)于生活的便捷性與個人敏感信息時刻處于危險狀態(tài)中的矛盾，百度董事長兼CEO曾在中國發(fā)展高層論壇上直言：“中國人對隱私問題的態(tài)度更開放，也相對來說沒那么敏感。如果他們可以用隱私換取便利、安全或者效率。在很多情況下，他們就愿意這么做?！盵4]然而，公民在現(xiàn)實(shí)中面臨的更多窘境是，若不提供個人信息便不能夠享受服務(wù)，這種窘境的產(chǎn)生，與當(dāng)前個人信息保護(hù)的相關(guān)法律法規(guī)尚不健全不無關(guān)系，這也讓公眾更加關(guān)注本案合議庭在當(dāng)前法律框架下對本案核心訴求所可能作出的判決。

（三）本案中的合議庭——現(xiàn)有法律法規(guī)的無奈適用者

在一審法院的判決中，值得關(guān)注的重要內(nèi)容有以下幾項(xiàng)：

首先，針對該野生動物世界采集信息是否必要，一審判決書認(rèn)為我國法律對于個人信息在消費(fèi)領(lǐng)域的收集、使用并未采取禁止的態(tài)度，而是強(qiáng)調(diào)對個人信息處理過程的監(jiān)督管理，即在前端收集“合法、正當(dāng)、必要”；在中端強(qiáng)調(diào)不得泄露；在末端依法進(jìn)行補(bǔ)救。[5]

其次，針對被告是否應(yīng)當(dāng)刪除已收集的原告及其妻子的人臉信息一事，一審判決書認(rèn)為在訂立合同之時，該野生動物世界的行為符合前述法律規(guī)定的“合法、正當(dāng)、必要”的原則。[5]

最終，法官判決被告杭州野生動物世界有限公司刪除原告郭某辦理指紋年卡時提交的包括照片在內(nèi)的面部特征信息，原告提出的其他有關(guān)個人信息的訴求則并未得到支持。通過兩級法院的判決，說明他們其實(shí)是現(xiàn)有法律法規(guī)的無奈適用者。

本案一審、二審判決反映出了當(dāng)前類似案件司法裁判上的幾大問題：首先，人臉信息在生物信息中的特殊地位尚未被確定，因此也難以就人臉信息進(jìn)行特別保護(hù)，更未明確人臉信息是否有必要特別保護(hù)的問題；其次，涉及個人信息保護(hù)尤其是人臉信息保護(hù)案件的相關(guān)法律法規(guī)不足，在侵權(quán)法①中雖有對個人信息的保護(hù)，但與其他案件同樣標(biāo)準(zhǔn)地認(rèn)為需損害結(jié)果的發(fā)生，容易導(dǎo)致被侵權(quán)人很難主張權(quán)利。

二、人臉信息侵權(quán)保護(hù)規(guī)則構(gòu)建

在存在研究人臉信息侵權(quán)問題的必要性且存在學(xué)理基礎(chǔ)的情況下，參考域外已有的個人信息保護(hù)模式，結(jié)合學(xué)界關(guān)于個人信息保護(hù)已有的方案，我們可以從歸責(zé)原則、侵權(quán)損害的范圍、因果關(guān)系的認(rèn)定三個主要角度來構(gòu)建侵權(quán)法對人臉信息侵權(quán)的特別救濟(jì)方案。需要注意的是，作為個人信息的一類，是否有必要單獨(dú)設(shè)立“人臉信息侵權(quán)”為特殊侵權(quán)種類之一，仍需要討論，但可以確定的是，目前已有的關(guān)于個人信息保護(hù)的救濟(jì)方案，對人臉信息侵權(quán)的規(guī)制同樣是有十足的參考價值的。

（一）采用“三分法”歸責(zé)原則

在歸責(zé)原則的設(shè)計(jì)上，《民法典》第1194條一般被認(rèn)為是采用一般過錯原則以救濟(jì)網(wǎng)絡(luò)平臺上的實(shí)施的信息侵權(quán)，但在大數(shù)據(jù)背景下，這顯然對信息主體的保護(hù)是不夠的。在德國與我國臺灣地區(qū)“二元?dú)w責(zé)原則”的基礎(chǔ)上，根據(jù)是否是公務(wù)機(jī)關(guān)與是否采用自動處理技術(shù)兩大變量，在直接侵權(quán)時有學(xué)者提出了“三分法”，筆者認(rèn)為是相對可行的規(guī)制方案。

在直接侵權(quán)時，公務(wù)機(jī)關(guān)以數(shù)據(jù)自動處理技術(shù)實(shí)施的信息侵權(quán)，應(yīng)適用無過錯責(zé)任，其來源是政府與個體的力量強(qiáng)弱差序格局；非公務(wù)機(jī)構(gòu)采用自動化處理系統(tǒng)處理信息的，應(yīng)適用過錯推定責(zé)任，其來源是非公務(wù)機(jī)關(guān)大多是普通的商業(yè)主體，并沒有公務(wù)機(jī)關(guān)所享有的公權(quán)力帶來的便利；對于未采用自動數(shù)據(jù)處理系統(tǒng)的數(shù)據(jù)處理者，則應(yīng)適用一般過錯原則。但要注意的是，由于普通受損害個體很難充分舉證證明自己的個人信息遭受了侵害以及如何遭受了侵害，因此應(yīng)將數(shù)據(jù)儲存、控制、處理人已使用自動數(shù)據(jù)處理系統(tǒng)視為默認(rèn)條件。

另外，在間接侵權(quán)時，我國《民法典》所采納的是“避風(fēng)港原則”，即傳統(tǒng)的“通知——撤除”模式，通常來說認(rèn)為其歸責(zé)原則是一般過錯責(zé)任[6]，避風(fēng)港模式兼顧各方利益，適用范圍最廣，筆者認(rèn)為可以沿用。

（二）損害后果的認(rèn)定應(yīng)當(dāng)適度擴(kuò)張

現(xiàn)在侵權(quán)法是基于損害——賠償模式的法律制度，損害結(jié)果無疑是侵權(quán)法的第一要素。因此，雖然有許多學(xué)者贊同在個人信息侵權(quán)問題上引入懲罰性賠償機(jī)制以化解目前違法成本過低的問題[7]，但仍然是在損害——賠償機(jī)制內(nèi)的補(bǔ)充，沒有突破這個框架。然而，在大數(shù)據(jù)時代，個人信息侵權(quán)的后果往往十分的隱秘，這直接導(dǎo)致了信息主體難以證明損害后果，進(jìn)而難以維權(quán)，這就要求我們應(yīng)當(dāng)適當(dāng)擴(kuò)張損害后果的范圍。

適當(dāng)擴(kuò)張后果結(jié)果的范圍，主要著眼于無形損害的擴(kuò)張?；诖髷?shù)據(jù)產(chǎn)生的“大數(shù)據(jù)殺熟”的現(xiàn)象，在人臉識別的技術(shù)背景下可能會愈發(fā)嚴(yán)重且難以發(fā)覺。實(shí)現(xiàn)精準(zhǔn)營銷是當(dāng)前互聯(lián)網(wǎng)經(jīng)濟(jì)蓬勃發(fā)展中的常用手段，歐洲2018年生效的《一般數(shù)據(jù)保護(hù)條例》也已經(jīng)將“為了評估自然人的某些條件而對個人數(shù)據(jù)進(jìn)行的任何自動化處理，特別是為了評估自然人的工作表現(xiàn)、經(jīng)濟(jì)狀況、健康、個人偏好、興趣、可靠性、行為方式、位置或行蹤而進(jìn)行的處理”[8]納入該條例的管轄當(dāng)中。有學(xué)者提出，可以將經(jīng)濟(jì)法領(lǐng)域的“非歧視原則”引入個人信息領(lǐng)域，作為侵害后果的定義標(biāo)準(zhǔn)，即：如果信息不當(dāng)應(yīng)用的結(jié)果導(dǎo)致信息主體遭到了歧視待遇，這種不當(dāng)應(yīng)用構(gòu)成侵權(quán)，反之不構(gòu)成[9]。筆者認(rèn)為，“非歧視原則”作為認(rèn)定損害后果的標(biāo)準(zhǔn)存在，有一定道理，但不可將其作為個人信息保護(hù)侵權(quán)認(rèn)定中的歸責(zé)原則，否則將會造成當(dāng)前侵權(quán)法結(jié)構(gòu)的重大改變，使得學(xué)理基礎(chǔ)不足，風(fēng)險與成本也過高。因此，筆者認(rèn)為，可以考慮引入“非歧視原則”用以輔助界定信息主體是否受到損害，在信息主體可以舉證證明其在同等條件下遭受了歧視時，信息利用主體如無法證明該歧視系正當(dāng)?shù)纳虡I(yè)行為，則應(yīng)認(rèn)定后果結(jié)果存在，至于損害后果的大小，則需根據(jù)個案不同實(shí)際進(jìn)行判斷。

（三）信息由多主體控制時推定因果關(guān)系存在

人們作為信息主體，由于難以洞悉信息利用主體之間的內(nèi)部關(guān)系，很難確定自身的個人信息被不當(dāng)利用的具體環(huán)節(jié)，因此，有必要在復(fù)數(shù)控制人場合[10]下，采取推定因果關(guān)系的規(guī)則以認(rèn)定因果關(guān)系的存在，降低信息主體的舉證成本。

域外立法中已有相關(guān)規(guī)定可供參考。歐盟《數(shù)據(jù)條例》第82.3條就規(guī)定了復(fù)數(shù)控制人場合下信息控制者和處理者唯有在能夠證明其“無論如何都不該擔(dān)責(zé)”時才能夠免責(zé)，即由其承擔(dān)因果關(guān)系的證明責(zé)任；類似的，德國數(shù)據(jù)法（2018）也規(guī)定，在不能查明致害原因時，多個數(shù)據(jù)控制人承擔(dān)連帶責(zé)任，此二者可以作為我國侵權(quán)法規(guī)制個人信息侵權(quán)問題的參考路徑。另外，因?yàn)椤罢埱髾?quán)人沒有任何洞察力，以弄清聯(lián)合性的數(shù)據(jù)處理的內(nèi)部過程……他也沒有能力查明各控制人之間的任務(wù)分配和協(xié)作關(guān)系”[10]，而在利用更加隱秘、不易被察覺的人臉識別技術(shù)中，信息主體證明因果關(guān)系的能力只能更弱，因此，在復(fù)數(shù)控制人控制信息的場合適用因果關(guān)系推定原則是有合理性的。

但有爭議的是，是否應(yīng)當(dāng)在所有復(fù)數(shù)控制人控制信息的場合，都采用因果關(guān)系的推定規(guī)則。對此，葉教授認(rèn)為，只有在復(fù)數(shù)控制人采用大數(shù)據(jù)技術(shù)的場合，才應(yīng)確立因果關(guān)系推定規(guī)則②。但筆者認(rèn)為，請求權(quán)人“沒有洞察力”的原因，并不必然是由于大數(shù)據(jù)的加持，而主要是因?yàn)樾畔⑻幚碚邇?nèi)部的關(guān)系外人難以查明，且很容易觸及商業(yè)秘密的范疇，才導(dǎo)致信息主體難以舉證證明因果關(guān)系。另外，如僅在大數(shù)據(jù)技術(shù)應(yīng)用的情況下方才能確立因果關(guān)系推定規(guī)則，在“大數(shù)據(jù)技術(shù)”概念不明的情況下，可能會導(dǎo)致信息處理者對法律責(zé)任的惡意規(guī)避。因此，應(yīng)當(dāng)在所有復(fù)數(shù)控制人控制信息的場合，都一律采用因果關(guān)系的推定規(guī)則。

注釋

①本文所稱“侵權(quán)法”，均指《中華人民共和國民法典》中《侵權(quán)責(zé)任編》及與侵權(quán)法律關(guān)系相關(guān)的其他法律法規(guī).

② Datenschutzrecht，BDSG2018.24.Edition，2017:Wolff/Brink，§83，Rn.9.