“中國(guó)人臉識(shí)別第一案”今日(6月15日)開(kāi)庭審理���。因不愿意使用人臉識(shí)別�����,浙江某大學(xué)副教授郭兵以侵犯隱私權(quán)將杭州野生動(dòng)物世界告上法庭�。
郭兵是動(dòng)物世界的年卡會(huì)員���,去年10月���,他收到動(dòng)物世界的短信通知,“園區(qū)年卡系統(tǒng)已升級(jí)為人臉識(shí)別入園���,原指紋識(shí)別已取消��,即日起�����,未注冊(cè)人臉識(shí)別的用戶將無(wú)法正常入園���。”郭兵認(rèn)為����,人臉識(shí)別收集的面部特征信息屬于個(gè)人敏感信息,一旦泄露��、非法提供或者濫用將極易危害人身和財(cái)產(chǎn)安全。
由于雙方協(xié)商未果���,2019年10月28日�,郭兵向杭州市富陽(yáng)區(qū)人民法院提起訴訟�。同年11月3日,杭州市富陽(yáng)區(qū)人民法院正式受理此案�。
6月15日,富陽(yáng)區(qū)人民法院開(kāi)庭審理此案���。雙方就賠償�����、刪除個(gè)人信息等問(wèn)題進(jìn)行辯論�����。庭審結(jié)束后��,富陽(yáng)區(qū)人民法院表示該案將擇期宣判�。專家表示���,人臉識(shí)別信息屬于個(gè)人生物識(shí)別信息�����, 今年5月28日審議通過(guò)的民法典中�����,包括人臉識(shí)別信息在內(nèi)的個(gè)人生物識(shí)別信息被明確納入個(gè)人信息范疇��,其處理受到法律保護(hù)����。
大數(shù)據(jù)時(shí)代����,如何保護(hù)我們的臉成為一個(gè)迫切命題。
北京師范大學(xué)網(wǎng)絡(luò)法治國(guó)際中心執(zhí)行主任吳沈括認(rèn)為��,人臉識(shí)別技術(shù)必須在法律和有關(guān)部門(mén)的監(jiān)管之下�����。如果沒(méi)有相應(yīng)法律和機(jī)構(gòu)“主持公道”����,個(gè)人信息保護(hù)只能無(wú)限被迫向技術(shù)妥協(xié)�����。
目前��,《個(gè)人信息保護(hù)法》的立法已經(jīng)啟動(dòng)�。郭兵稱�,希望該案能對(duì)這部涉及個(gè)人敏感信息的立法有影響。
追問(wèn)1:人臉識(shí)別技術(shù)是否被濫用���?
目前��,人臉識(shí)別應(yīng)用場(chǎng)景遍布日常生活�,機(jī)場(chǎng)安檢�、刷臉支付、不少學(xué)校也采用人臉門(mén)禁系統(tǒng)��。去年�,北京地鐵內(nèi)部小范圍測(cè)試面部識(shí)別技術(shù)也引起了不小爭(zhēng)議。
郭兵的“動(dòng)物園刷臉案”將這一問(wèn)題置于公共討論:人臉識(shí)別技術(shù)是否存在濫用�?誰(shuí)能收集、使用我們的生物信息�����?
全國(guó)政協(xié)委員、重慶靜昇律師事務(wù)所主任彭靜分析����,在實(shí)踐中,可以使用個(gè)人信息的主體主要分為三種�����,首先是公安機(jī)關(guān)等基于刑事偵查���、犯罪打擊等進(jìn)行的個(gè)人信息收集及使用;其次是政府部門(mén)基于特定公共利益���,比如此次疫情防控���,防控部門(mén)收集個(gè)人信息并用于疫情防控��;最后是金融�、教育等服務(wù),在符合個(gè)人信息保護(hù)的前提下取得同意后可以使用個(gè)人信息��。
對(duì)于近年來(lái)出現(xiàn)過(guò)一些學(xué)校、宿舍��、圖書(shū)館等場(chǎng)所安裝人臉識(shí)別門(mén)禁�,并在教室安裝人臉識(shí)別系統(tǒng)用于日常考勤和課堂紀(jì)律管理��?��!拔艺J(rèn)為上述行為構(gòu)成對(duì)學(xué)生個(gè)人生物識(shí)別信息的濫用�?!迸盱o說(shuō)。
她指出�����,這一方面違反了《網(wǎng)絡(luò)安全法》關(guān)于目的限制和最小化原則��,而且處理和使用類似敏感個(gè)人信息缺乏合法正當(dāng)?shù)母嬷懊魇就獬绦?。“如果換成小學(xué)�����,小學(xué)生即使簽字也不構(gòu)成法律上的同意����?��!?
“個(gè)人信息的使用必須遵循正當(dāng)、合法�、必要原則?���!北本┲玖芈蓭熓聞?wù)所副主任、中國(guó)政法大學(xué)知識(shí)產(chǎn)權(quán)研究中心特約研究員趙占領(lǐng)表示����,尤其對(duì)于人臉等個(gè)人敏感信息,收集�����、保管等環(huán)節(jié)應(yīng)該有更高的要求��。
比如�����,在收集環(huán)節(jié)對(duì)“必要性”的理解應(yīng)該有更嚴(yán)格標(biāo)準(zhǔn)��,和業(yè)務(wù)直接相關(guān)才能收集�����,一般軟件不能隨便搜集臉部等個(gè)人敏感信息�����。保管的環(huán)節(jié)�,應(yīng)當(dāng)采取更嚴(yán)格的技術(shù)加以保障,保證個(gè)人信息不被非法盜取�����、泄露�����、未經(jīng)同意使用��。
吳沈括認(rèn)為����,目前沒(méi)有相關(guān)法律明確哪些機(jī)構(gòu)有權(quán)使用人臉識(shí)別技術(shù),亟需建立行業(yè)準(zhǔn)入制度��,將以非法盈利為目的、不具備保障人臉信息安全能力等不應(yīng)或不宜使用人臉識(shí)別技術(shù)的機(jī)構(gòu)排除��,如此才能從源頭上保障人臉識(shí)別技術(shù)的規(guī)范使用�。
追問(wèn)2:如何平衡便利和個(gè)人信息保護(hù)?
大數(shù)據(jù)時(shí)代��,無(wú)法完全回避提供個(gè)人信息以獲取一些服務(wù)�。
趙占領(lǐng)介紹,提供個(gè)人信息一種是國(guó)家管理需要����,比如社交軟件實(shí)行實(shí)名制。另一種則是獲取經(jīng)營(yíng)者提供的服務(wù)�。“不提供地理位置信息��,那么導(dǎo)航軟件���、打車軟件無(wú)法提供服務(wù)�����。個(gè)人信息保護(hù)需要在商家利益之間尋找平衡點(diǎn)?!?
“我們要獲得服務(wù)都需要讓渡一定的個(gè)人信息�?���!壁w占領(lǐng)說(shuō),但人臉信息屬于高度敏感的個(gè)人信息��,安全風(fēng)險(xiǎn)高�����、隱患大�,一旦泄露很難補(bǔ)救?!拔覀兛梢愿馁~戶密碼,但我們能換臉嗎�?”
目前,個(gè)人信息保護(hù)的法律散見(jiàn)于《網(wǎng)絡(luò)安全法》《刑法》第二百五十三條�����、即將生效的《民法典》第一千零三十八條���,以及全國(guó)人大發(fā)布的《加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》等��。
彭靜介紹����,目前針對(duì)人臉識(shí)別信息的保護(hù),采取的是信息的全周期保護(hù)���,比如在收集階段��,要遵守知情同意和最小必要原則���。新版《個(gè)人信息安全規(guī)范》要求收集個(gè)人生物識(shí)別信息的合規(guī)更加嚴(yán)格,要采取單獨(dú)告知的方式和明示同意��,不能默許同意����;存儲(chǔ)階段,原則上不允許存儲(chǔ)原始的個(gè)人生物識(shí)別信息�����,而且要求身份識(shí)別及認(rèn)證后要?jiǎng)h除�����。
在共享轉(zhuǎn)讓階段,原則上也不允許共享或轉(zhuǎn)讓�����,確需共享轉(zhuǎn)讓要履行單獨(dú)告知���、告知目的類型及接收方身份及數(shù)據(jù)安全能力等,而且也是明示同意�。
吳沈括認(rèn)為,應(yīng)該有一套針對(duì)人臉信息采集��、使用�、存儲(chǔ)的行業(yè)標(biāo)準(zhǔn)確保公眾合法權(quán)益得到保護(hù),同時(shí)防止技術(shù)濫用����。“除了外部監(jiān)管�,人臉識(shí)別機(jī)構(gòu)內(nèi)部也應(yīng)當(dāng)加強(qiáng)自律,在事前�、事中、事后采取相應(yīng)措施�,化解公眾對(duì)于個(gè)人信息保護(hù)的擔(dān)憂?�!眳巧蚶ㄕf(shuō)����。
追問(wèn)3:個(gè)人信息保護(hù)立法還需做什么���?
今年5月14日,全國(guó)人大常委會(huì)法工委表示��,《個(gè)人信息保護(hù)法》正在研究起草中�,目前草案稿已經(jīng)形成?���!叭绻f(shuō)這個(gè)案子對(duì)立法要有什么影響的話,但愿能對(duì)這部立法涉及個(gè)人敏感信息的相關(guān)規(guī)定有影響吧�。”郭兵稱��。
剛剛表決通過(guò)的《民法典》未對(duì)個(gè)人敏感信息作出明確界定����。彭靜認(rèn)為,需要在《個(gè)人信息保護(hù)法》中明確界定個(gè)人信息��、個(gè)人敏感信息和隱私之間的邊界�����。法律難以界定時(shí),允許當(dāng)事人之間在法定范圍內(nèi)約定個(gè)人敏感信息����,讓敏感信息應(yīng)用更加靈活�。
吳沈括認(rèn)為,應(yīng)當(dāng)建立分級(jí)管理制度��,根據(jù)使用目的�、使用主體、使用能力�����、必要性等因素����,對(duì)人臉識(shí)別機(jī)構(gòu)進(jìn)行分級(jí)管理,授予不同權(quán)限�����。例如��,可將人臉信息儲(chǔ)存時(shí)長(zhǎng)分為永久儲(chǔ)存、固定期限儲(chǔ)存�����、一次性儲(chǔ)存三個(gè)等級(jí)�����,國(guó)家安全部門(mén)和公安部門(mén)等機(jī)構(gòu)可永久性儲(chǔ)存人臉信息���;學(xué)校����、工作單位等機(jī)構(gòu)可在固定期限內(nèi)儲(chǔ)存人臉信息��;公園���、動(dòng)物園等盈利機(jī)構(gòu)只能一次性儲(chǔ)存人臉信息��?���!巴黄品旨?jí)限制�,必須取得采集對(duì)象和監(jiān)管機(jī)構(gòu)的雙重同意�?�!眳巧蚶ㄕf(shuō)�。
在實(shí)施層面,彭靜認(rèn)為要確定政府����、企業(yè)、社會(huì)�、個(gè)人等多維度的保護(hù)體系��。尤其是涉及個(gè)人敏感信息的主要主體����,即企業(yè),可以考慮對(duì)涉及個(gè)人敏感信息的收集使用�,通過(guò)評(píng)估、認(rèn)證���、許可等方式加強(qiáng)管理�。
“《個(gè)人信息保護(hù)法》是一個(gè)良好的開(kāi)端����,從法律層面奠定了個(gè)人信息保護(hù)的制度基礎(chǔ)�����,向外界釋放出了強(qiáng)烈的信號(hào)�?���!眳巧蚶ㄕf(shuō)。
