一个“看脸”的时代似乎悄然来临。伴随技术的进步,人脸识别的应用场所越发广泛。尤其是新冠肺炎疫情防控期间,除了商场、超市、火车站、医院等场所,一些居民小区也开始对出入人员进行人脸识别。
而技术带来方便快捷高效的同时,也带来了越来越多的有关个人信息安全的担忧。近日,#2元钱就能买上千张涉隐私人脸照#的话题冲上热搜,再次触动社会神经。几乎同一时间,一则“杭州拟立法明确物业不得强制业主人脸识别进小区”的消息也引发广泛关注。
究竟该如何平衡个人信息保护和维护公共安全的关系?就在上个月,备受关注的个人信息保护法草案提请十三届全国人大常委会第二十二次会议审议。草案将应对突发公共卫生事件或者紧急情况下保护自然人的生命健康,作为处理个人信息的合法情形之一。
该如何协调好防疫等公共利益的需要和信息收集处理之间的关系,该怎样通过立法手段实现收集个人信息最小化并符合比例原则,究竟在什么情况下应当收集人脸等重要信息、收集后又该如何保存保管,一旦泄露谁去追究法律责任、怎么追究……在一些业内专家看来,草案目前的规定仍需进一步完善,一系列问题仍有待于研究。
明确突发公共卫生事件等情况下豁免性规定
应当看到,随着大数据、云计算、物联网以及人工智能等新一代信息技术的普及应用,我国整体数字化转型显著提速,经济社会发展日益呈现数据驱动的新态势,各类个人信息的处理活动不断拓展。
尤其值得一提的是,收集个人信息并进行大数据分析成为世界范围内高效社会管理的有效途径。在此次应对新冠肺炎疫情中,大数据应用在重点人群监测预警和统计分析方面发挥了十分重要的作用,为联防联控和复工复产提供了有力支持。
目前,世界不少国家在突发公共卫生事件下均采用公共利益优先原则,有限地突破个人信息保护屏障,跟踪和披露疫情信息已成为惯例。
草案第二十七条规定,在公共场合安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。
与此同时,考虑到实践中也出现了一些个人信息无序传播的现象,甚至发生了患者、密切接触者和外地返乡人员的姓名、身份证号码、居住地址、联系方式等个人信息被非法传播的案例,草案说明中特别指出,在上述情形下处理个人信息,也必须严格遵守本法规定的处理规则,履行个人信息保护义务。
强化采集主体个人信息保护意识和保护义务
草案中关于应对突发公共卫生事件等情况下对个人信息保护的豁免性规定,成为了分组审议时不少全国人大常委会委员的关注点。
“应为非公共安全领域个人身份识别设备的正常使用预留足够空间,同时要给予规范和约束。”吕薇委员认为,要界定图像采集、个人身份识别设备、监管规则适用范围,建议明确在公共场所安装图像采集设备等需要的程序。此外,吕薇认为,对于公共场所摄像设施所采集的信息什么情况下可以用于非公共领域、如何充分利用现有的信息资源,草案中也应有所规定。
在刘修文委员看来,这一规定并不意味着“公共卫生”“公共安全”可以直接成为个人信息保护豁免的万能理由。“新冠肺炎疫情防控工作中,流动人员同时面对流出地和流入地街道、社区、公安、所在单位等多层级、多部门的信息采集,既造成了行政和社会管理资源的浪费,也加大了个人信息管理的风险。”刘修文认为,通过细化个人信息共享操作规范,才能减少重复采集,提高应对效率,防范个人信息保护豁免情况下的信息泄露。
刘修文建议,根据比例原则将个人信息的损害限定在最小范围。具体包括:尽可能明确突发公共卫生事件或者紧急情况下有权采集个人信息的主体;强化采集主体的个人信息安全保护意识和保护义务,以降低信息暴露风险;明确突发公共卫生事件或者紧急情况下个人信息数据共享规范和后续个人信息处理机制。
立法要平衡公共安全与个人隐私之间关系
人脸识别系统对于多数没有需求的人,觉得会侵犯隐私,但是对于极少数需要帮助的人,比如走失的老人、儿童来讲,就会觉得非常必要。显然,如何进行平衡是必须要进行考虑的问题。
“必须要认识到包括指纹、人脸等在内的生物识别信息的特殊性。”中国人民大学法学院教授、民商事法律科学研究中心执行主任石佳友指出,生物识别信息不但具有敏感性,与个人的基本权利和自由密切相关,还具有永久性和无法更换性。“这就意味着,这些个人信息一旦被泄露或者被非法窃取,将对个人的人身和财产安全造成重大伤害。”
在石佳友看来,目前草案中规定的“公共场所”“公共安全”还比较原则和宽泛,建议在“为维护公共安全所必需”之前增加规定“基于预防、调查违法、犯罪行为等目的”,这样就可以防止物业管理企业任意设置人脸识别要求。
石佳友同时指出,对于个人信息的收集处理,网络安全法中明确提出了合法、正当和必要三个原则。“个人信息保护法立法在处理公共安全与个人隐私之间的边界时,也要从这三点出发去考虑。”
值得关注的是,草案第三十二条规定,法律、行政法规规定处理敏感个人信息应当取得相关行政许可或者作出更严格限制的,从其规定。
“目前问题可能更多地还是集中在执法机构怎么去执法的问题。换言之,到底应当由谁来监管。”石佳友说,一直以来执法格局比较分散,这也是个老问题。多头执法不但会导致“主体虚化”,甚至还会形成监管的“真空地带”,使得执法无法有效到位。
“总之,在全面依法治国的大背景下,无论是公权力还是私权利,都应有各自的边界,这个边界怎么划?只能靠法律,这是现代社会治理最基本的经验。”石佳友说。
进一步构筑生物识别个人信息保护机制
北京师范大学网络法治国际中心执行主任、中国互联网协会研究中心秘书长吴沈括指出,一方面,包括人脸识别信息在内的个人生物信息收集处理具有显著的社会性益处,包括补充识别源,提高各种数字验证方式的准确度与可靠性,助力疫情防控等社会公共治理以及产业研发拓展新业务新应用;另一方面,个人生物信息被违法收集、恶意使用以及非法买卖等安全事件频频发生,与之伴生的电信网络诈骗甚至人身伤害恶性案件屡见不鲜,使得社会公众广泛期待更有力的法律保护。
目前,大量被采集的包括人脸在内的个人信息储存尚没有统一标准,法律法规对这些数据的使用也未作出明确规定。谈及该如何进一步构筑生物识别个人信息保护机制,吴沈括认为可以从多方面进行完善。
吴沈括解释说,首先是通过执法规则的细化来完善和强化监管执法力度,提升各职能机关的协调联动水平,实现信息收集处理各个环节全覆盖监管。其次,推动出台针对人脸识别信息具体应用场景的行政办案指南与司法解释,最大限度实现司法裁判与行政监管的有序。再次,鼓励研发升级个人生物信息保护应用技术,丰富专门技术支撑。最后,建设针对特殊高风险场景的风险预警与安全响应特别机制设计,有效应对人脸识别信息泄露等严重安全实践。此外,还应当注意提升第三方社会监督介入水平,促进涵盖投诉、举报、公益诉讼等社会多方参与治理生态的形成。