以公共利益为限制标准,防范人脸识别被滥用
人脸信息是个人核心隐私,也是个人敏感信息。人脸信息不仅涉及个人肖像,还包括身体、健康、年龄、种族等信息,甚至可能包括个人的心理信息。
并且,人脸信息广泛涉及个人其他私密信息。比如,有些银行账户和人脸信息进行绑定、关联。因此,一旦人脸信息被泄露,或被不法分子违法共享、转让,会造成严重后果。因此,对于人脸识别被滥用的现象,确实应该引起高度的关注。
人脸信息属于敏感信息,必须权利人“明确同意”才能进行采集,如果权利人没有明确同意,则必须要基于公共利益的需要才能收集。
现在人脸识别之所以被滥用,是因为有些使用已经明显超出公共利益范畴。虽然公共利益的解释可能会比较宽泛,但还是有特定内涵,比如为了公共安全、保护个人生命财产安全等,都属于公共利益的范围;而出于商业目的或盈利目的,则不属于公共利益范围。在“人脸识别第一案”中,动物园就属于商业机构,其收集很难说是为了公共利益。
因此,未经权利人“明确同意”的采集,应该符合公共利益的需要。这可能是防范人脸识别技术被滥用最重要的规则。并非所有的机构都能够进行人脸识别信息的收集。
人脸信息属于个人敏感信息,要用户明确同意
保护人脸信息,首先要认真遵守贯彻好《民法典》对人的信息保护的应用。《民法典》第1035条明确收集信息应当坚持合法、正当、必要原则,坚持最小化原则,能不收集尽量不收集,能少收集尽量少收集。这里自然也涉及人脸信息保护的规范问题。
同时,《民法典》第1038条也明确规定这些信息不得擅自转让、共享;在共享时要再次取得权利人的同意,除非已进行匿名化处理。但即便如此,相关方也要负起安全维护职责。
此外,对于人脸信息的保护,仅仅依靠《民法典》还不够,还要通过正在制定的《个人信息保护法》来加强保护,特别是以下几方面,要格外关注。
首先是个人敏感信息的概念。《民法典》没有提到个人敏感信息的概念,是因为《民法典》只是规定了一般信息的保护规则,不可能规定得非常详尽,需要在《个人信息保护法》中作出规定。
其次是“同意”的方式。一般信息的收集处理规则,《民法典》中用的是“同意”。这可以采取默示同意方式,也可以采取明示同意方式。但人脸信息有别于一般信息,属于敏感信息。对于敏感信息不能泛泛地采用默示同意方式,除非是为了公共利益的需要,必须权利人“明确同意”才可收集。并且,在此之前还要有告知义务,使权利人详细知道搜集的信息是要干什么,做什么用途。
所以,建议在《个人信息保护法》中可以针对人脸信息,进一步要求明确同意,这样可能更有利于保护人脸信息。
第三,要加强对未成年人人脸信息的保护。采集未成人人脸信息,必须要取得其监护人同意。
第四,要严格限制人脸信息的共享。如果收集方要与他人共享人脸信息,须取得权利人的明确同意。只有进行第二次的“明确同意”,才能更好地保护人脸信息。
最后,要强化对采集人脸信息的安全维护。如果没有建立相应的维护措施,这些信息一旦被泄露,后果很严重。因此,从法律层面上看,不仅迫切需要确立安全维护的义务,而且对没有尽到义务、导致大面积信息泄露、对权利人造成损害的有关单位,应该明确承担相应的责任。
人脸信息属于隐私权,应该强调保护而非利用
从全世界范围来看,法律层面上处理个人信息,都要面对两个问题,一是对个人信息进行保护,二是在保护的同时又要注重对个人信息的利用。
可以说,在法律层面上如何平衡好个人信息的保护与利用的关系,是各国个人信息保护法制定时需要考虑的最大问题。
在我国《民法典》的制定过程中,就反复讨论、平衡两者的关系。如果保护过度会影响个人信息的利用,影响数据产业的发展,甚至影响技术的发展。但如果保护门槛太低,对个人人格权益的保护也是非常不利的。
因此,现在《民法典》中的“个人信息保护”后面没有跟着一个“权”字,主要就是担心如果将个人信息提升到人格权层面,会不会使得其保护程度过高,影响和妨碍了信息的利用。并且,在《民法典》中,个人信息和隐私是区别对待的,隐私保护程度要比个人信息更高。
人脸信息比较特殊,与一般个人信息有所不同,涉及隐私和个人信息的交叉。人脸信息不仅是个人信息,实际上还包括个人核心隐私。所以,人脸信息应该成为隐私权的重要组成部分。
我更倾向于将人脸信息等敏感信息与一般的信息保护进行区别对待,在如何平衡“利用与保护”两者关系时,人脸信息要更注重保护,而其他非敏感信息则是更多地强调“利用”。