漫画 孟宪东
随着互联网的飞速发展,人脸识别技术被应用于生活各个角落,从手机解锁到上班“打卡”,我们的脸几乎每天都在被各式各样的设备扫描,这也意味着我们的个人信息和隐私在不断地暴露。近两年,关于人脸识别引发的一系列问题也引起了公众的关注。从今年3·15晚会曝光的多家知名商店安装人脸识别摄像头,到杭州市中院审理的人脸识别第一案,让个人隐私保护再次成为焦点话题,那么个人信息(包括生物识别信息)的收集、使用怎样才算是合法、正当、必要的呢?什么情况下才可以进行生物识别信息的收集?在事先不告知的情况下收集是不是违法的呢? 法律支持 张盈律师事务所
如何合法使用个人信息
根据《民法典》第111条的规定,“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”这里的“个人信息”,指的是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
此外,《网络安全法》《消费者权益保护法》《关于加强网络信息保护的决定》等法律法规也对个人信息的收集予以法律规制。《消费者权益保护法》第29条规定,“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息”。《关于加强网络信息保护的决定》第2条规定,“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。”可见,对于收集、使用个人信息我国现行法律法规应当遵循的基本原则,即合法、正当、必要的三原则。
如何合法收集个人信息
根据2021年4月29日发布的《个人信息保护法(草案二次审议稿)征求意见》,对于个人信息的收集应当注意如下几点:
首先,处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人信息处理。
其次,处理个人信息应当遵循公开、透明的原则,公开个人信息处理规则,明示处理的目的、方式和范围。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
再次,收集个人信息应当取得个人的同意,即应当由个人在充分知情的前提下自愿、明确作出,但是为履行法定职责或者法定义务所必需、为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需、为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息等情形除外。
最后,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言向个人告知下列事项:1.个人信息处理者的身份和联系方式;2.个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;3.个人行使本法规定权利的方式和程序等法律、行政法规规定应当告知的其他事项。
事先不告知采集个人信息
涉嫌违法
2021年4月9日,杭州“人脸识别第一案”二审判决结果“出炉”,杭州市中级人民法院判决野生动物世界赔偿郭某合同利益损失及交通费共计1038元,删除郭某办理指纹年卡时提交的包括照片在内的面部特征信息;驳回郭某提出的确认野生动物世界店堂告示、短信通知中相关内容无效等其他诉讼请求。
2019年4月27日,郭某与妻子向野生动物世界购买双人年卡,并留存相关个人身份信息、拍摄照片及录入指纹。后野生动物世界向包括郭某在内的年卡消费者群发短信,表示将入园方式由指纹识别变更为人脸识别,要求客户进行人脸激活,遂引发本案纠纷。
杭州中院审理认为,郭某在知悉野生动物世界指纹识别店堂告示内容的情况下,自主作出办理年卡的决定并提供相关个人信息,该店堂告示对双方均具约束力,且不符合格式条款无效的法定情形;而人脸识别店堂告示并非双方的合同条款,对郭某不发生效力。野生动物世界为游客游览提供了不同入园方式的选择,郭某知情同意后办理指纹年卡,其选择权未受到侵害。野生动物世界亦不存在欺诈行为,但其单方变更入园方式构成违约,应承担违约责任。一审法院判决野生动物世界赔偿郭某合同利益损失678元、交通费360元均属适当。野生动物世界欲将其已收集的照片激活处理为人脸识别信息,超出事前收集目的,违反了正当性原则,故应当删除郭某办卡时提交的包括照片在内的面部特征信息。鉴于野生动物世界停止使用指纹识别闸机,致使原约定的入园服务方式无法实现,亦应当删除郭某的指纹识别信息。
根据《侵害消费者权益行为处罚办法》第11条的规定,经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。且经营者不得有下列行为:1.未经消费者同意,收集、使用消费者个人信息;2.泄露、出售或者非法向他人提供所收集的消费者个人信息;3.未经消费者同意或者请求,或者消费者明确表示拒绝,向其发送商业性信息。否则根据情节严重程度,可能面临警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款,没有违法所得的,处以五十万元以下的罚款等处罚。情节严重的,将被责令停业整顿、吊销营业执照。