“中國人臉識別第一案”今日(6月15日)開庭審理。因不愿意使用人臉識別����,浙江某大學副教授郭兵以侵犯隱私權將杭州野生動物世界告上法庭。
郭兵是動物世界的年卡會員����,去年10月,他收到動物世界的短信通知�,“園區(qū)年卡系統(tǒng)已升級為人臉識別入園,原指紋識別已取消����,即日起,未注冊人臉識別的用戶將無法正常入園?���!惫J為,人臉識別收集的面部特征信息屬于個人敏感信息�,一旦泄露、非法提供或者濫用將極易危害人身和財產安全�����。
由于雙方協(xié)商未果�����,2019年10月28日�,郭兵向杭州市富陽區(qū)人民法院提起訴訟�。同年11月3日,杭州市富陽區(qū)人民法院正式受理此案�。
6月15日,富陽區(qū)人民法院開庭審理此案�。雙方就賠償、刪除個人信息等問題進行辯論�。庭審結束后,富陽區(qū)人民法院表示該案將擇期宣判�����。專家表示,人臉識別信息屬于個人生物識別信息�����, 今年5月28日審議通過的民法典中�����,包括人臉識別信息在內的個人生物識別信息被明確納入個人信息范疇�,其處理受到法律保護。
大數(shù)據(jù)時代�����,如何保護我們的臉成為一個迫切命題�。
北京師范大學網(wǎng)絡法治國際中心執(zhí)行主任吳沈括認為,人臉識別技術必須在法律和有關部門的監(jiān)管之下�。如果沒有相應法律和機構“主持公道”,個人信息保護只能無限被迫向技術妥協(xié)����。
目前,《個人信息保護法》的立法已經(jīng)啟動�����。郭兵稱,希望該案能對這部涉及個人敏感信息的立法有影響�����。
追問1:人臉識別技術是否被濫用�?
目前,人臉識別應用場景遍布日常生活����,機場安檢����、刷臉支付、不少學校也采用人臉門禁系統(tǒng)����。去年,北京地鐵內部小范圍測試面部識別技術也引起了不小爭議�����。
郭兵的“動物園刷臉案”將這一問題置于公共討論:人臉識別技術是否存在濫用�?誰能收集、使用我們的生物信息?
全國政協(xié)委員����、重慶靜昇律師事務所主任彭靜分析,在實踐中����,可以使用個人信息的主體主要分為三種,首先是公安機關等基于刑事偵查�����、犯罪打擊等進行的個人信息收集及使用�����;其次是政府部門基于特定公共利益�����,比如此次疫情防控�,防控部門收集個人信息并用于疫情防控;最后是金融����、教育等服務�����,在符合個人信息保護的前提下取得同意后可以使用個人信息����。
對于近年來出現(xiàn)過一些學校�、宿舍、圖書館等場所安裝人臉識別門禁�,并在教室安裝人臉識別系統(tǒng)用于日常考勤和課堂紀律管理�。“我認為上述行為構成對學生個人生物識別信息的濫用�。”彭靜說�����。
她指出�,這一方面違反了《網(wǎng)絡安全法》關于目的限制和最小化原則�����,而且處理和使用類似敏感個人信息缺乏合法正當?shù)母嬷懊魇就獬绦??!叭绻麚Q成小學�,小學生即使簽字也不構成法律上的同意?����!?
“個人信息的使用必須遵循正當�、合法、必要原則�����?!北本┲玖芈蓭熓聞账敝魅巍⒅袊ù髮W知識產權研究中心特約研究員趙占領表示����,尤其對于人臉等個人敏感信息,收集�����、保管等環(huán)節(jié)應該有更高的要求����。
比如�,在收集環(huán)節(jié)對“必要性”的理解應該有更嚴格標準����,和業(yè)務直接相關才能收集,一般軟件不能隨便搜集臉部等個人敏感信息�。保管的環(huán)節(jié),應當采取更嚴格的技術加以保障�����,保證個人信息不被非法盜取�����、泄露�、未經(jīng)同意使用。
吳沈括認為����,目前沒有相關法律明確哪些機構有權使用人臉識別技術����,亟需建立行業(yè)準入制度,將以非法盈利為目的�����、不具備保障人臉信息安全能力等不應或不宜使用人臉識別技術的機構排除,如此才能從源頭上保障人臉識別技術的規(guī)范使用�����。
追問2:如何平衡便利和個人信息保護����?
大數(shù)據(jù)時代,無法完全回避提供個人信息以獲取一些服務�����。
趙占領介紹����,提供個人信息一種是國家管理需要,比如社交軟件實行實名制�����。另一種則是獲取經(jīng)營者提供的服務�。“不提供地理位置信息�����,那么導航軟件、打車軟件無法提供服務�。個人信息保護需要在商家利益之間尋找平衡點?!?
“我們要獲得服務都需要讓渡一定的個人信息?!壁w占領說,但人臉信息屬于高度敏感的個人信息�����,安全風險高����、隱患大,一旦泄露很難補救����。“我們可以更改賬戶密碼����,但我們能換臉嗎?”
目前�����,個人信息保護的法律散見于《網(wǎng)絡安全法》《刑法》第二百五十三條�����、即將生效的《民法典》第一千零三十八條�,以及全國人大發(fā)布的《加強網(wǎng)絡信息保護的決定》等。
彭靜介紹�����,目前針對人臉識別信息的保護����,采取的是信息的全周期保護,比如在收集階段����,要遵守知情同意和最小必要原則。新版《個人信息安全規(guī)范》要求收集個人生物識別信息的合規(guī)更加嚴格�����,要采取單獨告知的方式和明示同意,不能默許同意�����;存儲階段�,原則上不允許存儲原始的個人生物識別信息,而且要求身份識別及認證后要刪除�����。
在共享轉讓階段�,原則上也不允許共享或轉讓,確需共享轉讓要履行單獨告知�、告知目的類型及接收方身份及數(shù)據(jù)安全能力等,而且也是明示同意�。
吳沈括認為,應該有一套針對人臉信息采集�、使用、存儲的行業(yè)標準確保公眾合法權益得到保護�,同時防止技術濫用?����!俺送獠勘O(jiān)管�,人臉識別機構內部也應當加強自律����,在事前����、事中�、事后采取相應措施,化解公眾對于個人信息保護的擔憂����。”吳沈括說�。
追問3:個人信息保護立法還需做什么?
今年5月14日�����,全國人大常委會法工委表示�����,《個人信息保護法》正在研究起草中����,目前草案稿已經(jīng)形成。“如果說這個案子對立法要有什么影響的話����,但愿能對這部立法涉及個人敏感信息的相關規(guī)定有影響吧?!惫Q。
剛剛表決通過的《民法典》未對個人敏感信息作出明確界定�。彭靜認為,需要在《個人信息保護法》中明確界定個人信息����、個人敏感信息和隱私之間的邊界。法律難以界定時����,允許當事人之間在法定范圍內約定個人敏感信息,讓敏感信息應用更加靈活�。
吳沈括認為,應當建立分級管理制度�,根據(jù)使用目的、使用主體�����、使用能力�����、必要性等因素,對人臉識別機構進行分級管理�,授予不同權限。例如����,可將人臉信息儲存時長分為永久儲存�、固定期限儲存、一次性儲存三個等級�,國家安全部門和公安部門等機構可永久性儲存人臉信息;學校�、工作單位等機構可在固定期限內儲存人臉信息;公園����、動物園等盈利機構只能一次性儲存人臉信息?����!巴黄品旨壪拗?����,必須取得采集對象和監(jiān)管機構的雙重同意?���!眳巧蚶ㄕf。
在實施層面����,彭靜認為要確定政府、企業(yè)�、社會、個人等多維度的保護體系�����。尤其是涉及個人敏感信息的主要主體�,即企業(yè),可以考慮對涉及個人敏感信息的收集使用�,通過評估、認證�、許可等方式加強管理。
“《個人信息保護法》是一個良好的開端�,從法律層面奠定了個人信息保護的制度基礎,向外界釋放出了強烈的信號����?����!眳巧蚶ㄕf�����。
