以公共利益为限制标准,防范人脸识别被滥用
人脸信息是个人核心隐私,也是个人敏感信息。人脸信息不仅涉及个人肖像,还包括身体、健康、年龄、种族等信息,甚至可能包括个人的心理信息。
并且,人脸信息广泛涉及个人其他私密信息。比如,有些银行账户和人脸信息进行绑定、关联。因此,一旦人脸信息被泄露,或被不法分子违法共享、转让,会造成严重后果。因此,对于人脸识别被滥用的现象,确实应该引起高度的关注。
人脸信息属于敏感信息,必须权利人“明确同意”才能进行采集,如果权利人没有明确同意,则必须要基于公共利益的需要才能收集。
现在人脸识别之所以被滥用,是因为有些使用已经明显超出公共利益范畴。虽然公共利益的解释可能会比较宽泛,但还是有特定内涵,比如为了公共安全、保护个人生命财产安全等,都属于公共利益的范围;而出于商业目的或盈利目的,则不属于公共利益范围。在“人脸识别第一案”中,动物园就属于商业机构,其收集很难说是为了公共利益。
因此,未经权利人“明确同意”的采集,应该符合公共利益的需要。这可能是防范人脸识别技术被滥用最重要的规则。并非所有的机构都能够进行人脸识别信息的收集。
人脸信息属于个人敏感信息,要用户明确同意
保护人脸信息,首先要认真遵守贯彻好《民法典》对人的信息保护的应用。《民法典》第1035条明确收集信息应当坚持合法、正当、必要原则,坚持最小化原则,能不收集尽量不收集,能少收集尽量少收集。这里自然也涉及人脸信息保护的规范问题。
同时,《民法典》第1038条也明确规定这些信息不得擅自转让、共享;在共享时要再次取得权利人的同意,除非已进行匿名化处理。但即便如此,相关方也要负起安全维护职责。
此外,对于人脸信息的保护,仅仅依靠《民法典》还不够,还要通过正在制定的《个人信息保护法》来加强保护,特别是以下几方面,要格外关注。
首先是个人敏感信息的概念。《民法典》没有提到个人敏感信息的概念,是因为《民法典》只是规定了一般信息的保护规则,不可能规定得非常详尽,需要在《个人信息保护法》中作出规定。
其次是“同意”的方式。一般信息的收集处理规则,《民法典》中用的是“同意”。这可以采取默示同意方式,也可以采取明示同意方式。但人脸信息有别于一般信息,属于敏感信息。对于敏感信息不能泛泛地采用默示同意方式,除非是为了公共利益的需要,必须权利人“明确同意”才可收集。并且,在此之前还要有告知义务,使权利人详细知道搜集的信息是要干什么,做什么用途。
所以,建议在《个人信息保护法》中可以针对人脸信息,进一步要求明确同意,这样可能更有利于保护人脸信息。
第三,要加强对未成年人人脸信息的保护。采集未成人人脸信息,必须要取得其监护人同意。
第四,要严格限制人脸信息的共享。如果收集方要与他人共享人脸信息,须取得权利人的明确同意。只有进行第二次的“明确同意”,才能更好地保护人脸信息。
最后,要强化对采集人脸信息的安全维护。如果没有建立相应的维护措施,这些信息一旦被泄露,后果很严重。因此,从法律层面上看,不仅迫切需要确立安全维护的义务,而且对没有尽到义务、导致大面积信息泄露、对权利人造成损害的有关单位,应该明确承担相应的责任。
人脸信息属于隐私权,应该强调保护而非利用
从全世界范围来看,法律层面上处理个人信息,都要面对两个问题,一是对个人信息进行保护,二是在保护的同时又要注重对个人信息的利用。
可以说,在法律层面上如何平衡好个人信息的保护与利用的关系,是各国个人信息保护法制定时需要考虑的最大问题。
在我国《民法典》的制定过程中,就反复讨论、平衡两者的关系。如果保护过度会影响个人信息的利用,影响数据产业的发展,甚至影响技术的发展。但如果保护门槛太低,对个人人格权益的保护也是非常不利的。
因此,现在《民法典》中的“个人信息保护”后面没有跟着一个“权”字,主要就是担心如果将个人信息提升到人格权层面,会不会使得其保护程度过高,影响和妨碍了信息的利用。并且,在《民法典》中,个人信息和隐私是区别对待的,隐私保护程度要比个人信息更高。
人脸信息比较特殊,与一般个人信息有所不同,涉及隐私和个人信息的交叉。人脸信息不仅是个人信息,实际上还包括个人核心隐私。所以,人脸信息应该成为隐私权的重要组成部分。
我更倾向于将人脸信息等敏感信息与一般的信息保护进行区别对待,在如何平衡“利用与保护”两者关系时,人脸信息要更注重保护,而其他非敏感信息则是更多地强调“利用”。
国际人脸识别立法与案例
在生物识别信息中,人脸识别是最为火热的应用技术。但由于人脸信息涉及许多隐私数据,使用不当将存在巨大的风险,因此亟须立法规范。欧美是此领域立法的先行者。尤其是美国,近两年来许多城市均出台相应的禁令。
2008年
●美国伊利诺伊州《生物信息隐私法》
该法是美国州层面第一部保护个人生物信息的法律。该法要求私人实体收集个人生物信息之前,须提供通知,并获得个人的同意,且应当是书面的。
2018年5月
●欧盟《通用数据保护条例》(GDPR)
GDPR被誉为“史上最严格数据保护法”,但对更为敏感的生物识别数据,比如人脸数据,GDPR仍存在局限性。
2019年5月
●英国威尔士卡迪夫
英国威尔士首府卡迪夫的埃德·布里奇斯向法庭提诉讼,称警方对他使用人脸识别技术是非法侵犯他的隐私权。这一案件被认为是英国,乃至世界第一例涉及人脸识别技术的案件。
2019年8月
●瑞典谢莱夫特奥市
瑞典数据监管机构(DPA)对当地一所高中开出第一张基于欧盟GDPR的罚单。该学校使用人脸识别系统记录学生的出勤率。
2019年
●美国《商用人脸识别隐私法》(草案)
该法案到2019年3月已被美国国会审议两次,并提交到“商业、科学和交通委员会”。该法案主要目的是禁止商业机构在未获得个人明示同意的情况下使用人脸识别技术。
2020年2月
●美国《加州人脸识别技术法案》
该法案主要对州内私营主体与公共主体分别应如何使用人脸识别技术问题做出了规定。该法案对公共主体使用面部识别技术的态度较为宽松,但对于使用人脸信息和人脸识别进行持续监视的行为,原则上仍被禁止。
2020年4月
●美国华盛顿州《人脸识别服务法》
该法是美国第一部严格限制执法部门使用人脸识别技术的州法律。这使得华盛顿州成为美国首个通过面部识别法案的州。该法适用于华盛顿州所有公共机构。