近年來,“人臉識別”作為一種新型資訊科技,因其識別的準確性和便利性,在各個領域得到了廣泛的應用,在鐵路運輸企業等公共運輸領域的乘客識別中也得到了廣泛的應用。
在公共運輸領域處理人臉等敏感個人資訊是否需要徵得乘客的單獨同意?交通部門的通知義務是什麼?
以下案例為釐清公共利益保護與個人資訊保護之間的界限提供了有益的啟示。
全國首例!在公共運輸中使用面部識別導致了爭議。
2024年11月25日,王某某通過12306售票系統購買了貴陽東站至貴陽北站的C6368高鐵二等車票。 當天,王某某在貴陽東站進站乘車時,有人工驗票通道和自助檢票通道,車站廣播提醒旅客需持身份證、摘下口罩刷臉才能進站。
成都市軌道交通中級法院法官賴家娟說:購票後,王某某通過自助閘機掃臉檢票後進入車站。 王某某認為,鐵路部門在收集其面部資訊時未依法明確告知,未徵得其授權同意,侵犯了她的合法權益,遂向法院提起訴訟。
2024年4月27日,成都市軌道交通中級法院依法審理了王某某與中鐵成都局集團個人資訊保護糾紛案,這也是國內首例在公共運輸領域使用人臉識別技術引發的個人資訊侵權案件。
原告王某某認為,成都鐵路局在持票持臉進站過程中,收集並儲存了她的敏感面部資訊。
原告委託:被告在收集和識別人臉資訊後,既未告知原告的個人資訊是否被儲存,也未告知原告的個人資訊是否被刪除。
庭審期間,成都鐵路局出具了中國鐵道科學研究院檢驗閘口人臉比對過程的描述,稱“在檢驗過程中,確認了二代身份證讀取裝置讀取的證件**和刷卡時採集的乘客場景**,以確認是否為通過檢票口的人, 並且整個比對過程是離線完成的,沒有儲存任何**”。
被告委託**人:本案的自助實名認證閘機僅使用人臉識別技術來比對人與身份證是否一致,而我們的閘機僅使用比對結果,這與大眾熟悉的動物園刷臉、社群刷臉進門不同, 並且閘機沒有儲存功能。
本站是否在處理過程中儲存和傳輸個人資訊?為查明這一事實,本案合議庭拜訪了相關技術專家,並前往自助閘機程式設計者中國鐵道科學院電子研究所取證。
賴家娟認為,通過相關證據證實,在旅客通過鐵路自助閘機進站過程中,雖然採集了旅客的人臉資訊,但並未發生儲存、傳輸等處理行為,並未對個人資訊保安構成重大威脅。
沒有先例可循。
如何準確應用乘客的個人資訊。
法院認為,根據相關證據,被告成都鐵路局在處理個人資訊的過程中並未儲存、傳輸個人資訊,因此被告收集原告王某的面部資訊是否違法
圍繞這一爭議焦點,原告和被告進行了全面的法庭辯論。
《民法典》、個人資訊保護等相關法律法規在告知同意規則的基礎上,構建了較為完善的個人資訊保護體系,但對公共運輸背景下的人臉識別資訊等敏感個人資訊的保護卻沒有明確規定。 在缺乏先例可循的情況下,如何準確適用和識別公共運輸領域乘客個人資訊保護規則,是擺在法官面前的“難題”。
原告王某某認為,人臉資訊屬於敏感個人資訊,根據《民法典》及個人資訊保護相關規定,敏感個人資訊的處理應徵得個人單獨同意,成都鐵路局對進站自助閘機進行人臉識別並未徵得其個人同意, 侵犯了他的合法權益。
原告委託:在原告進行人臉識別之前,貴陽東站工作人員未告知原告採集人臉資訊的原因,也未看到張貼告知原告人臉識別目的及處理方法的通知,也未事先徵得原告人臉資訊的授權或同意。
成都鐵路局認為,眾所周知,通過自助實名認證閘機進站已在公共運輸領域得到廣泛應用。 王某某在貴陽東站進站乘車時,有人工驗票通道和自助驗票通道。 原告選擇自助檢票渠道,可視為默示同意成都鐵路局收集人臉資訊。
被告委託**人:自2024年起,鐵路部門開始使用自助實名認證裝置技術,自助實名認證閘機已廣泛應用於鐵路旅客服務行業,並在首次使用前通過各類公眾**進行了大規模、廣泛的宣傳。
法院經審理認為,根據《反恐怖主義法》、《鐵路安全管理條例》《鐵路旅客客票實名制管理辦法》的有關規定,鐵路運輸企業在維護公共安全的基礎上,有法律義務對旅客的“票、人、證”進行一致的核驗和檢查。
賴家娟說,鐵路部門在履行維護公共安全的法律義務的基礎上處理旅客的面部資訊,符合個人資訊保護不需要旅客同意的情形。
同時,法院認為,免除徵得同意義務並不免除告知義務,成都鐵路局未履行告知旅客面部資訊的目的、方式和資訊處理義務,告知存在不足。
成都市軌道交通中級法院陳周法官介紹:涉案車站“持身份證摘下口罩”的入站廣播雖然隱含“刷臉進站”進行人臉資訊核驗的含義,但廣播內容並不符合個人資訊保護的相關要求。
《中華人民共和國個人資訊保護法》第十七條規定,個人資訊處理者在處理個人資訊前,應當真實、準確、完整地告知個人資訊處理者的名稱或者名稱、處理個人資訊的目的和方式、處理的個人資訊型別和儲存期限、 等,以顯眼的方式和清晰易懂的語言。
法院認為,本案中,人臉資訊屬於生物識別的敏感個人資訊,個人資訊處理者還應當按照個人資訊保護的規定,告知個人處理敏感個人資訊的必要性以及對個人權益的影響。
清華大學法學院教授程曉表示,個人資訊保護對敏感個人資訊的保護非常嚴格,要求必須有特定的目的和充分的必要性,包括對敏感個人資訊的處理,必須取得個人的單獨同意。 此外,個人資訊處理者對敏感個人資訊的處理也負有較高的注意義務。 由於敏感個人資訊一旦洩露或非法使用,很容易造成人格尊嚴的損害,損害人身和財產安全,因此法律給予了非常嚴格的保護。
意義。
不需要同意,但需要告知的義務。
綜合考慮成都鐵路局為旅客提供人工通道選擇權、多次廣告通知、人臉資訊非過度使用、告知義務瑕疵對王某造成的影響和小幅損害等因素,告知瑕疵不足以單獨構成侵權。 法院不支援王某關於責令成都鐵路局停止非法採集人臉資訊、賠禮道歉、賠償損失800元的請求。 宣判後,雙方未上訴。
案件宣判後,成都市軌道交通中級法院向中國國家鐵路集團***發出司法建議,建議在網際網絡和車站入口處以多種方式明確告知個人資訊的處理情況。 2024年8月,中國國家鐵路集團正式回覆司法建議整改,立即督促全國鐵路運輸企業及時採取裝置更新優化、履行人臉資訊採集、告知義務等措施。
陳周說,本案宣判後,中國國家鐵路局集團公司進一步完善了相關告知義務,通過12306**更新了私隱政策,設定了提醒標誌,提供了人為渠道等方式,滿足了人民的知情權和選擇權。
程曉說,我國的個人資訊保護其實就是為了保護個人資訊的權益,促進個人資訊的合理使用。 本案的重要意義在於,明確了徵得同意和履行告知義務是兩條規則。 本案中,鐵路部門雖然表示進行人臉識別無需徵得旅客同意,但仍應履行告知義務。