“中國人臉識別第一案”今日(6月15日)開庭審理�。因不愿意使用人臉識別��,浙江某大學副教授郭兵以侵犯隱私權(quán)將杭州野生動物世界告上法庭��。
郭兵是動物世界的年卡會員���,去年10月�,他收到動物世界的短信通知��,“園區(qū)年卡系統(tǒng)已升級為人臉識別入園����,原指紋識別已取消,即日起�����,未注冊人臉識別的用戶將無法正常入園?����!惫J為�����,人臉識別收集的面部特征信息屬于個人敏感信息����,一旦泄露、非法提供或者濫用將極易危害人身和財產(chǎn)安全���。
由于雙方協(xié)商未果�,2019年10月28日����,郭兵向杭州市富陽區(qū)人民法院提起訴訟。同年11月3日����,杭州市富陽區(qū)人民法院正式受理此案���。
6月15日,富陽區(qū)人民法院開庭審理此案����。雙方就賠償�、刪除個人信息等問題進行辯論。庭審結(jié)束后�,富陽區(qū)人民法院表示該案將擇期宣判。專家表示��,人臉識別信息屬于個人生物識別信息�����, 今年5月28日審議通過的民法典中��,包括人臉識別信息在內(nèi)的個人生物識別信息被明確納入個人信息范疇����,其處理受到法律保護。
大數(shù)據(jù)時代���,如何保護我們的臉成為一個迫切命題����。
北京師范大學網(wǎng)絡(luò)法治國際中心執(zhí)行主任吳沈括認為,人臉識別技術(shù)必須在法律和有關(guān)部門的監(jiān)管之下�����。如果沒有相應(yīng)法律和機構(gòu)“主持公道”����,個人信息保護只能無限被迫向技術(shù)妥協(xié)。
目前�,《個人信息保護法》的立法已經(jīng)啟動。郭兵稱����,希望該案能對這部涉及個人敏感信息的立法有影響。
追問1:人臉識別技術(shù)是否被濫用�����?
目前���,人臉識別應(yīng)用場景遍布日常生活�,機場安檢��、刷臉支付、不少學校也采用人臉門禁系統(tǒng)�。去年,北京地鐵內(nèi)部小范圍測試面部識別技術(shù)也引起了不小爭議�����。
郭兵的“動物園刷臉案”將這一問題置于公共討論:人臉識別技術(shù)是否存在濫用�?誰能收集、使用我們的生物信息���?
全國政協(xié)委員、重慶靜昇律師事務(wù)所主任彭靜分析����,在實踐中,可以使用個人信息的主體主要分為三種���,首先是公安機關(guān)等基于刑事偵查��、犯罪打擊等進行的個人信息收集及使用�;其次是政府部門基于特定公共利益����,比如此次疫情防控����,防控部門收集個人信息并用于疫情防控����;最后是金融、教育等服務(wù)����,在符合個人信息保護的前提下取得同意后可以使用個人信息。
對于近年來出現(xiàn)過一些學校���、宿舍����、圖書館等場所安裝人臉識別門禁��,并在教室安裝人臉識別系統(tǒng)用于日??记诤驼n堂紀律管理?�!拔艺J為上述行為構(gòu)成對學生個人生物識別信息的濫用�。”彭靜說��。
她指出,這一方面違反了《網(wǎng)絡(luò)安全法》關(guān)于目的限制和最小化原則�,而且處理和使用類似敏感個人信息缺乏合法正當?shù)母嬷懊魇就獬绦颉�����!叭绻麚Q成小學��,小學生即使簽字也不構(gòu)成法律上的同意����。”
“個人信息的使用必須遵循正當�、合法����、必要原則?���!北本┲玖芈蓭熓聞?wù)所副主任、中國政法大學知識產(chǎn)權(quán)研究中心特約研究員趙占領(lǐng)表示���,尤其對于人臉等個人敏感信息�,收集、保管等環(huán)節(jié)應(yīng)該有更高的要求�����。
比如�����,在收集環(huán)節(jié)對“必要性”的理解應(yīng)該有更嚴格標準�,和業(yè)務(wù)直接相關(guān)才能收集,一般軟件不能隨便搜集臉部等個人敏感信息��。保管的環(huán)節(jié)�,應(yīng)當采取更嚴格的技術(shù)加以保障,保證個人信息不被非法盜取��、泄露���、未經(jīng)同意使用��。
吳沈括認為���,目前沒有相關(guān)法律明確哪些機構(gòu)有權(quán)使用人臉識別技術(shù),亟需建立行業(yè)準入制度,將以非法盈利為目的����、不具備保障人臉信息安全能力等不應(yīng)或不宜使用人臉識別技術(shù)的機構(gòu)排除,如此才能從源頭上保障人臉識別技術(shù)的規(guī)范使用��。
追問2:如何平衡便利和個人信息保護����?
大數(shù)據(jù)時代,無法完全回避提供個人信息以獲取一些服務(wù)��。
趙占領(lǐng)介紹����,提供個人信息一種是國家管理需要,比如社交軟件實行實名制����。另一種則是獲取經(jīng)營者提供的服務(wù)����。“不提供地理位置信息���,那么導航軟件��、打車軟件無法提供服務(wù)����。個人信息保護需要在商家利益之間尋找平衡點?!?
“我們要獲得服務(wù)都需要讓渡一定的個人信息?�!壁w占領(lǐng)說�����,但人臉信息屬于高度敏感的個人信息���,安全風險高�����、隱患大���,一旦泄露很難補救?�!拔覀兛梢愿馁~戶密碼,但我們能換臉嗎���?”
目前�����,個人信息保護的法律散見于《網(wǎng)絡(luò)安全法》《刑法》第二百五十三條��、即將生效的《民法典》第一千零三十八條��,以及全國人大發(fā)布的《加強網(wǎng)絡(luò)信息保護的決定》等����。
彭靜介紹��,目前針對人臉識別信息的保護�����,采取的是信息的全周期保護����,比如在收集階段��,要遵守知情同意和最小必要原則。新版《個人信息安全規(guī)范》要求收集個人生物識別信息的合規(guī)更加嚴格�����,要采取單獨告知的方式和明示同意��,不能默許同意��;存儲階段����,原則上不允許存儲原始的個人生物識別信息,而且要求身份識別及認證后要刪除�����。
在共享轉(zhuǎn)讓階段����,原則上也不允許共享或轉(zhuǎn)讓,確需共享轉(zhuǎn)讓要履行單獨告知����、告知目的類型及接收方身份及數(shù)據(jù)安全能力等,而且也是明示同意�����。
吳沈括認為,應(yīng)該有一套針對人臉信息采集�、使用、存儲的行業(yè)標準確保公眾合法權(quán)益得到保護����,同時防止技術(shù)濫用?!俺送獠勘O(jiān)管,人臉識別機構(gòu)內(nèi)部也應(yīng)當加強自律�,在事前、事中���、事后采取相應(yīng)措施�,化解公眾對于個人信息保護的擔憂��?���!眳巧蚶ㄕf。
追問3:個人信息保護立法還需做什么�����?
今年5月14日,全國人大常委會法工委表示�����,《個人信息保護法》正在研究起草中��,目前草案稿已經(jīng)形成�?���!叭绻f這個案子對立法要有什么影響的話,但愿能對這部立法涉及個人敏感信息的相關(guān)規(guī)定有影響吧���?�!惫Q��。
剛剛表決通過的《民法典》未對個人敏感信息作出明確界定���。彭靜認為,需要在《個人信息保護法》中明確界定個人信息�����、個人敏感信息和隱私之間的邊界。法律難以界定時�,允許當事人之間在法定范圍內(nèi)約定個人敏感信息,讓敏感信息應(yīng)用更加靈活��。
吳沈括認為�,應(yīng)當建立分級管理制度,根據(jù)使用目的���、使用主體�����、使用能力���、必要性等因素,對人臉識別機構(gòu)進行分級管理����,授予不同權(quán)限。例如����,可將人臉信息儲存時長分為永久儲存、固定期限儲存��、一次性儲存三個等級,國家安全部門和公安部門等機構(gòu)可永久性儲存人臉信息���;學校����、工作單位等機構(gòu)可在固定期限內(nèi)儲存人臉信息�;公園����、動物園等盈利機構(gòu)只能一次性儲存人臉信息?���!巴黄品旨壪拗疲仨毴〉貌杉瘜ο蠛捅O(jiān)管機構(gòu)的雙重同意����。”吳沈括說���。
在實施層面����,彭靜認為要確定政府、企業(yè)���、社會�、個人等多維度的保護體系��。尤其是涉及個人敏感信息的主要主體���,即企業(yè)����,可以考慮對涉及個人敏感信息的收集使用��,通過評估��、認證�����、許可等方式加強管理����。
“《個人信息保護法》是一個良好的開端,從法律層面奠定了個人信息保護的制度基礎(chǔ),向外界釋放出了強烈的信號�。”吳沈括說�。
