简体中文
如何通过立法来防范人脸识别技术被滥用,或将成为未来个人信息保护领域的一个重要课题。
日前,个人信息保护法草案(下称“草案”)首次提请全国人大常委会审议,并于2020年10月21日在中国人大网公布,公开征求社会公众意见。征求意见截至今年11月19日。
草案规定了个人信息处理规则、个人在个人信息处理活动中的权利、个人信息处理者的义务等内容,形成了个人信息保护的制度框架。不过,有专家认为,随着人脸识别技术被滥用等问题逐渐凸显,草案仍需细化对个人权利的规定。
草案明确,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、储存、使用、加工、传输、提供、公开等活动。
在此基础上,草案明确了“敏感个人信息”的概念。敏感个人信息是一旦泄漏或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。
清华大学法学院副院长程啸教授对界面新闻表示,草案明确把个人生物特征纳入到敏感个人信息当中,所谓个人生物特征包含了人脸特征、基因、指纹、虹膜、步态、声音等等。这些敏感个人信息的收集和处理需适用民法典和将来通过的个人信息保护法。
近年来,人脸识别技术呈现出加速落地的趋势,不过,各地关于人脸识别技术使用的争议也不断出现。如2020年9月,清华大学法学院教授劳东燕拒绝小区采用人脸识别作为门禁手段,此事经媒体报道后引发热议。今年以来,广西、陕西、浙江等地的一些居民小区也曾出现人脸识别门禁引发的争议事件。
2020年6月,我国“人脸识别第一案”开庭,该案中,浙江某大学一名副教授于2019年4月从动物园购买了野生动物世界年卡,可通过验证年卡及指纹入园游玩,同年10月他被告知未注册人脸识别的用户将无法正常入园”。于是,该副教授将动物园起诉至法院。
近日,南方都市报人工智能伦理课题组和App专项治理工作组发布《人脸识别应用公众调研报告(2020)》显示,64.39%的受访者认为人脸识别技术有滥用趋势,超过三成的受访者表示已经因人脸信息泄露、滥用等遭受损失或隐私被侵犯。
中国政法大学传播法研究中心副主任朱巍对界面新闻表示,民众对于面部特征等生物识别信息泄漏的担心主要来自两个方面,第一个是超出了人们使用个人信息的范围,第二个是随着人脸识别技术的发展,使用人脸信息可能更便捷,但也可能更不安全。
“人脸识别技术应用于一些公共场合,对于大多数人而言,采集者是谁、收集个人信息的用途是什么,我们是不知情的,实际上个人信息背后的数据是可以打通的,个人信息与别的信息对接之后,我们就变成了透明人。民众有担心的必要,也有拒绝的理由。”朱巍说。
针对个人信息的收集、处理,草案确立了以“告知—同意”为核心的个人信息处理系列规则。草案规定,处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示,个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。此外,基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。
草案第27条规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像,个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。
不过,程啸对界面新闻表示,草案对于“告知-同意”的例外规定显得相对模糊,草案第13条规定,为履行法定职责或者法定义务所必需,个人信息处理者可处理个人信息;草案17条规定,处理个人信息属于提供产品或者服务所必需的属于例外情况;草案第35条规定,告知、取得同意将妨碍国家机关履行法定职责的属于例外规定,草案把这种例外情况界定得非常宽泛。
“我们通过法律把个人信息保护的大框架建立起来,一定要明确什么是原则、什么是例外,未来再构建一个完整的法律规范体系,制定相应的法规、规章。这样才能对个人信息给予全面充分的保护,同时广大人民群众维护个人信息权益的意识也会不断提高。”程啸说
草案第四章规定了个人在个人信息处理活动中的权利,共6个条款,包括个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理等,还规定了个人信息处理者应当主动或者根据个人的请求删除个人信息的情形。
程啸认为,草案中规定的个人权利仍需要在民法典规定的基础上进一步细化,而不是对民法典内容的简单重复,个人信息保护法作为一个综合性的法律,应该规定得更具体,把对个人权利的保护程序、救济方式等做进一步的明确。虽然法律不能规定得太细,但也不能一味地把立法权下移,交给行政法规或者部门规章。
朱巍也指出,个人信息保护法草案有70个条款,但个人权利一章只有6条,数量上是远远不够的,在包括人脸识别信息、自我决定权等内容上,草案需要好好地拓展。个人信息保护法主要解决的是个人信息权利和主体责任的问题,个人信息保护法的核心在于权利。
“70个条款里面至少应有20-30条是关于个人权利的,个人信息保护法应做成权利法案,但是现在离这个目标还很远。”朱巍还认为,人脸识别是典型的生物识别信息,到底什么人能够收集这部分信息,草案仍需进一步明确。
此外,程啸还表示,个人信息保护体系应该建立事前、事中和事后的监管制度,这是一个动态的、全方位的过程。不能仅仅依靠事后的刑事责任或民事责任来处理。“履行个人信息保护职责的部门应在其中发挥重要作用,包括接受投诉、举报,进行调查处理,也包括定期组织检查、评估相关机构,还应防止出现一些寻租行为。”他说。
