法治日?qǐng)?bào)-法人網(wǎng) 全媒體記者 彭飛
從“人臉識(shí)別第一案”——郭兵(浙江理工大學(xué)法政學(xué)院特聘副教授�、杭州長(zhǎng)三角大數(shù)據(jù)研究院副院長(zhǎng))訴杭州野生動(dòng)物世界有限公司要求刪除年卡面部特征信息獲勝訴��,到今年“3·15”晚會(huì)曝出的“多家知名商店安裝人臉識(shí)別系統(tǒng)未經(jīng)同意收集個(gè)人信息”�,關(guān)于“人臉信息安全保護(hù)”的話題一直廣受關(guān)注���。
過(guò)去幾年��,由于缺乏相對(duì)完善的法律規(guī)制��,人臉信息收集者在處理人臉信息數(shù)據(jù)時(shí)存在濫用甚至違法使用的風(fēng)險(xiǎn)��。加強(qiáng)對(duì)人臉信息的立法保護(hù)和司法保護(hù)����,關(guān)系到個(gè)人信息安全保護(hù)問(wèn)題��,也關(guān)系到數(shù)字經(jīng)濟(jì)的良性發(fā)展�����。
8月20日正式出臺(tái)的《中華人民共和國(guó)個(gè)人信息保護(hù)法》(下稱“個(gè)人信息保護(hù)法”)對(duì)涉及人臉信息采集的相關(guān)問(wèn)題,作出了進(jìn)一步規(guī)定��。該法第二十六條明確了公共場(chǎng)所的視頻監(jiān)控和個(gè)人身份識(shí)別設(shè)備的安裝規(guī)則�,所收集個(gè)人信息使用目的的限制性規(guī)定,即“所收集的個(gè)人圖像�����、身份識(shí)別信息只能用于維護(hù)公共安全的目的���,不得用于其他目的”。
此外�����,個(gè)人信息保護(hù)法在第二章第二節(jié)專節(jié)規(guī)定了“敏感個(gè)人信息的處理規(guī)則”����。結(jié)合關(guān)于敏感個(gè)人信息的規(guī)定,人臉信息屬于敏感個(gè)人信息����。
中國(guó)信息通信研究院云計(jì)算與大數(shù)據(jù)研究所研究員呼娜英表示,個(gè)人信息保護(hù)法明確要求個(gè)人信息處理者在處理敏感個(gè)人信息前需存在“特定的目的”及“充分的必要性”�����。該條是對(duì)處理個(gè)人信息遵循“合法、正當(dāng)�、必要”的具體體現(xiàn),也是對(duì)處理敏感個(gè)人信息提出更高的要求�����。鑒于人臉信息也屬于敏感個(gè)人信息�����,因而對(duì)人臉信息的處理也需要遵循敏感個(gè)人信息的特殊規(guī)則進(jìn)行保護(hù)�、處理。
對(duì)收集個(gè)人敏感信息限制更嚴(yán)格
個(gè)人信息保護(hù)法第二十六條規(guī)定:在公共場(chǎng)所安裝圖像采集��、個(gè)人身份識(shí)別設(shè)備��,應(yīng)當(dāng)為維護(hù)公共安全所必需�����,遵守國(guó)家有關(guān)規(guī)定�,并設(shè)置顯著的提示標(biāo)識(shí)。所收集的個(gè)人圖像、身份識(shí)別信息只能用于維護(hù)公共安全的目的���,不得用于其他目的;取得個(gè)人單獨(dú)同意的除外�。
值得注意的是�����,前述條文中“不得用于其他目的”��,在個(gè)人信息保護(hù)法二審稿第二十七條中是“不得公開或者向他人提供”����。
9月6日,“人臉識(shí)別第一案”原告郭兵在接受《法人》記者采訪時(shí)表示�,相比二審稿����,正式發(fā)布條文規(guī)定的“不得用于其他目的”限制更加嚴(yán)格,這意味著除了用于維護(hù)公共安全的目的�����,包括公開���、向他人提供等不涉及公共安全的使用都是禁止范圍����。
呼娜英也表示,個(gè)人信息保護(hù)法在三次審議中不斷強(qiáng)化針對(duì)公共場(chǎng)所安裝圖像采集�、個(gè)人身份識(shí)別設(shè)備的要求。相較于二審稿����,個(gè)人信息保護(hù)法將所收集的個(gè)人圖像、身份識(shí)別信息的禁止性規(guī)定由“不得公開或者向他人提供”修改為“不得用于其他目的”�����,進(jìn)一步限縮了圖像采集�、個(gè)人身份識(shí)別的處理范圍。另外����,該法條中將連接限制個(gè)人圖像、身份識(shí)別信息使用的原則性規(guī)定與個(gè)人單獨(dú)同意的例外性規(guī)定之間的“逗號(hào)”改成“分號(hào)”���,一定程度上消除了二審稿中個(gè)人單獨(dú)同意例外使用目的的歧義�����。
9月6日�,通力律師事務(wù)所大合規(guī)業(yè)務(wù)組負(fù)責(zé)合伙人潘永建指出,按照第二十六條的規(guī)定�,如以維護(hù)公共安全以外的目的在公共場(chǎng)所設(shè)置圖像采集、人臉識(shí)別裝置���,應(yīng)征得自然人(或者其監(jiān)護(hù)人)的單獨(dú)同意���。此外,第二十八條和第二十九條也再次明確,處理敏感個(gè)人信息應(yīng)取得個(gè)人的“單獨(dú)同意”�����。
如何理解“單獨(dú)同意”?郭兵認(rèn)為���,單獨(dú)同意與一般的告知同意存在差別���,結(jié)合7月28日最高人民法院發(fā)布的《關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問(wèn)題的規(guī)定》的規(guī)定�����,單獨(dú)同意是不能強(qiáng)迫或者變相強(qiáng)迫的同意�,至少意味著不能像隱私政策那樣一攬子綁定授權(quán)同意�����。
潘永建律師也認(rèn)為���,單獨(dú)同意是指應(yīng)通過(guò)交互方式取得個(gè)人的明示同意,不應(yīng)僅在隱私政策中籠統(tǒng)表述而不作單獨(dú)說(shuō)明���。
配套適用規(guī)則仍有待進(jìn)一步明確
北京市中倫文德律師事務(wù)所合伙人�����、網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)專業(yè)委員會(huì)主任徐云飛律師認(rèn)為�����,盡管個(gè)人信息保護(hù)法明確了公共場(chǎng)所監(jiān)控設(shè)備在采集圖像信息時(shí)需“取得單獨(dú)同意”的使用規(guī)則和“僅可用于維護(hù)公共安全”的限制性規(guī)定����。但在實(shí)踐中�,仍有諸多問(wèn)題需要進(jìn)一步明確,比如�,如何定義“公開場(chǎng)所”“公共安全”,如何理解“必需”等����。
郭兵也認(rèn)為�����,就第二十六條的規(guī)定而言���,未來(lái)肯定需要相關(guān)配套立法來(lái)加以明確的。除了目前規(guī)定中對(duì)于“公共場(chǎng)所”“公共安全”的范圍界定不明確之外���,上面說(shuō)到的“單獨(dú)同意”在理解上也會(huì)存在一定分歧�,“顯著的提示標(biāo)識(shí)”中“顯著”的程度也很難評(píng)價(jià)���,這些可能都是需要配套立法加以明確的����。
呼娜英指出�,當(dāng)前人臉識(shí)別技術(shù)和具體業(yè)務(wù)場(chǎng)景深度結(jié)合,人臉安全防護(hù)問(wèn)題和人臉信息保護(hù)問(wèn)題深度交織在一起����,技術(shù)和業(yè)務(wù)仍在快速的發(fā)展和演進(jìn)中��,這就更需要從體系化的視角開展相應(yīng)的治理工作,如何更好地平衡創(chuàng)新技術(shù)和風(fēng)險(xiǎn)防范成為重要的研究議題��。
呼娜英透露�����,目前�,中國(guó)信息通信研究院云計(jì)算與大數(shù)據(jù)研究所在相關(guān)主管部門的指導(dǎo)支持下,在現(xiàn)有法律法規(guī)���、標(biāo)準(zhǔn)規(guī)范等框架下��,正在不斷推進(jìn)相關(guān)研究工作�,加快編寫“《人臉信息處理合規(guī)性操作指引(擬)》”等研究報(bào)告�����,為人臉識(shí)別相關(guān)企業(yè)構(gòu)建全鏈路安全以及合規(guī)處理人臉數(shù)據(jù)提供參考依據(jù)�����,促進(jìn)人臉識(shí)別產(chǎn)業(yè)的健康發(fā)展��。
(責(zé)編 惠寧寧)
(版權(quán)屬法治日?qǐng)?bào)社《法人》雜志所有��,任何媒體、網(wǎng)站或個(gè)人未經(jīng)授權(quán)不得轉(zhuǎn)載�、摘編、鏈接�、轉(zhuǎn)貼或以其他方式使用。)
