案例五:汪某某与某铁路局个人信息保护纠纷案
2024-09-11冯子轩
【案件基本情况】
2021年11月25日,汪某某在贵阳东站进站乘车时,车站广播提示乘客需要手持身份证、摘掉口罩刷脸进站。汪某某通过自助验票通道刷脸验证后进站乘车。汪某某认为某铁路局集团有限公司(以下简称“某铁路局”)采集其人脸信息侵害了其合法权益,遂向人民法院提起诉讼。
人民法院经审理后认为,某铁路局使用自助实名制核验闸机,便于提高查验的精准性和快捷性,为群众所周知,收集乘客人脸信息用于查验,并未存储或用于查验之外的目的,符合《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)中的诚信、公开、合理、最小化利用等原则。铁路运输企业配备自助查验设备是我国法律法规所规定的职责,某铁路局处理乘客人脸信息符合《个人信息保护法》中不需取得乘客单独同意的情形,但仍应履行处理乘客人脸信息的告知义务。某铁路局具有为维护公共安全,依据国家有关规定在公共场所使用人脸识别技术的免责事由。故对汪某某请求判令某铁路局停止违法采集人脸信息、赔礼道歉、赔偿损失800元等诉讼请求,人民法院予以驳回。
【专家评析】
人脸信息具备重要的个人特征,已成为个人在数字世界中的“通行证”,如作为手机解锁、移动支付等功能的验证凭证等。人脸信息有明显的个人生物特征,具备人格尊严属性与财产属性,属于《个人信息保护法》第28条所规定的敏感个人信息。以人脸信息为代表的敏感个人信息所内含的人格及财产利益是数字时代人权保障的重点问题。在“告知—同意”规则的保护模式下,敏感个人信息相比于一般个人信息需要个人信息处理者在知情同意环节上承担更严格的义务。本案中,虽然最终人民法院判决驳回了汪某某的全部诉讼请求,但人民法院在判决的说理过程中亦对汪某某的个人信息权益予以了明确,详见表1。
本案凸显了以人脸信息为代表的敏感个人信息保护所面临的一些挑战。
第一,对公共部门处理个人信息尤其是敏感个人信息缺乏约束。公共部门作为负责提供公共产品或进行公共管理的机构或组织,具有法定职权。根据《个人信息保护法》第13条的规定,公共部门为履行法定职责或者法定义务所必需时可以不受知情同意原则的约束,但是没有具体制度规定,个人信息权益可能受到侵害。本案中,人民法院依据《中华人民共和国反恐怖主义法》《铁路安全管理条例》《铁路旅客车票实名制管理办法》等有关法律法规,认定铁路运输企业有基于维护公共安全的需要对乘客进行“票、人、证”一致核对查验的法定义务。因此,作为提供公共服务的铁路运输企业应当被认为是负有法定职责或义务的公共部门,人民法院认为其行为应当适用《个人信息保护法》第13条第3项的规定,并以此认定其处理人脸信息属于无须取得个人同意的情形。铁路运输企业可通过多种方式履行该法定义务,通过人脸识别具有“精准性和快捷性”,但不能以此认定其当然具有《个人信息保护法》所要求的“必要性”。这并非认为本案存在问题,相反,在人脸识别相比传统方式履行法定义务具有优势的前提下,人民法院通过对信息处理过程的实质合法性认定进行判断体现了其对法律的深刻理解。但诸多公共部门处理个人信息是否都具有本案的“必要性”,仍具有不确定性。因此,只有在通过行政法对《个人信息保护法》中规定的“必要性”进行判断或对公共部门处理个人信息予以程序上的约束,才能使得个人信息权益得到切实保障。
第二,人脸信息处理的违法行为产生的损害难以确定,导致个人维护个人信息权益的动力不足。面对人脸信息的违法处理,其损害更多表现为对人脸信息泄露及被用于不法目的风险的焦虑。即使这种风险最终不幸转化为实害结果,个人损失也可能因个人信息处理者责任份额的难以认定而无法确定。因此,通过民事诉讼的方式维护人脸信息权益,损害的不确定导致诉讼成本大于收益,从而造成个人缺乏维权动力。本案中,人民法院在认定“铁路局采集乘客人脸信息时不需取得乘客的单独同意,但仍应履行处理乘客人脸信息的告知义务”的情况下,依然驳回了汪某某的损害赔偿请求。换言之,人民法院虽然认定了铁路局存在告知义务上的瑕疵,但由于损害无法确定或不存在实际损害,而无法对汪某某进行赔偿。然而,人脸信息作为敏感个人信息且具有相当人格利益,在未有实际损害时,亦应当考虑个人对泄露风险的焦虑,即在赔偿时采取“非实害”立场,以更好保护以人脸信息为代表的敏感个人信息以及其背后的个人信息权益。
第三,人脸信息等个人敏感信息若非基于“告知—同意”原则进行处理,则信息主体的人格尊严将面临贬损的风险。人格尊严作为现代法治的核心价值之一,是一种“人之为人”而应具有的区别于他人、受到认可与尊重的价值状态。以人脸信息为例,其是个人在社会活动中区别于他人的最主要因素,并且也可作为数字空间中个人其他信息的联结点,是个人高度关注且对其收集、利用高度敏感的信息。人脸信息一定程度上与人格尊严具有天然的关联。本案中,人民法院虽然认为铁路部门处理人脸信息的行为具有合法性,但值得思考的是:基于法定职责而非个人同意进行敏感个人信息处理的情况下,如何将个人尊严考虑其中,应当成为公共部门适用《个人信息保护法》第13条进行敏感个人信息处理时所考虑的范畴。由此,在确保在面对类似本案的情形时,既可以保证公共部门借助数字技术高效履行职责,又可以缓解个人对自身敏感信息泄露的焦虑。
(责任编辑:廖予含)
杂志排行
人权法学的其它文章
- Press Rhetoric on Women’s Human Rights Protection in the Early Period after the Founding of People’s Republic of China: A Case Study on the Publicity of the Marriage Law of 1950 in Chongqing Daily
- European Judicial Practices for Protecting Freedom of Expression of Platform Users
- Multilevel Constitutionalism in Europe: The Relationship among National Constitution
- Innovation and Optimization of Public Security Administration Punishment Procedures from the Perspective of Human Rights Protection
- Challenges and Responses to the Disclosure of Privacy- Related Administrative Penalty Decisions
- The Connotation and Guarantee Measures of Socialist Rule of Law on the Right to Rest and Leisure