近日,有关“人脸识别”系统的各种报道受到广泛关注,如“人脸识别第一案”宣判、“为躲人脸识别戴头盔看房”等。这也引了一些地方政府部门的重视。短短几天时间多地出手了:天津、南京、杭州纷纷出台政策,禁止非法采集人脸信息、禁止强制进行人脸识别。
互联网时代,App已成为超范围收集、强制收集用户个人信息的“温床”。如何解决包括人脸识别信息在内的个人信息保护这一难题?一起来看。
来源 | 人民论坛杂志及人民论坛网(rmltwz)
转载请注明来源
01
新型个人信息是如何被收集的?
个人生物识别信息技术在诸多领域得到广泛的应用,有关个人生物识别信息的收集、储存、利用等已经发展成为一个庞大的产业。一方面,法律要保护生物识别信息主体的人格尊严和自由,保障其追求人格完整和发展的自主能力,避免个人生物识别信息的泄露或非法使用危害信息主体的人格尊严和自由价值。另一方面,个人生物识别信息包含巨大的经济价值,可以被进行大规模的处理与应用。法律要适应技术进步与经济发展,平衡个人生物识别信息主体隐私、利用期待与控制者的数据利用和管理的需要。
从现实生活看,对于个人生物识别信息的收集、利用等大体可以分为三个方面:
一是政府或者政府授权机构基于社会公共安全的需要收集与利用个人生物识别信息,典型的情形如机场、高铁等领域在实施安检时使用人脸识别系统;
二是商业组织如银行、电子支付平台(支付宝、微信等)等对于交易主体的生物识别信息进行收集和利用;
三是特定的机构基于管理的需要对个人生物识别信息的收集和利用。例如学校、公园等机构要求进入内部空间时使用“人脸识别系统”。上述情形可以划分为基于公共利益的需要与基于商业利益的需要而收集、使用个人生物识别信息两种类型。
02
收集和处理新型个人信息
有何特点和风险?
网络信息科技的发展,使得能够被收集的个人信息越来越广泛。除了姓名、身份证号码、家庭地址、电话号码等传统的个人信息之外,个人生物识别信息(如指纹、人脸、虹膜等)、行踪信息、网络账号等新型的个人信息也越来越多地被收集和处理。甚至一些其本身不足以识别特定自然人的信息,如爱好、习惯、兴趣、性别、年龄、职业等,由于算法技术的发展,将之与其他信息结合后也能识别出特定的自然人,故此这些信息也成为非常重要的个人信息而被收集和处理。
不仅如此,现代社会收集与处理个人信息的方式也发生了巨大的变化。现代网络信息技术已将现代社会生活高度数字化(或数据化),无处不在的Cookie技术和各种传感器可以自动地收集与存储个人信息。这种个人信息被大规模、自动化地收集和存储的情形变得越来越普遍,几乎无处不在、无时不在。
每天通过各种自动化技术收集来的无数自然人的个人信息汇集成为海量的个人数据。飞速发展的人工智能技术也使得对海量数据的分析与使用变得更加简便高效且用途越来越广泛。因此,个人信息被滥用的可能性被极大地增加了,由此产生的侵害自然人民事权益的风险也不断升高。例如,各种网络平台通过分析和利用海量的个人信息,对目标群体做人格画像,实施精准营销,甚至行为操纵,可能严重危害自然人的人格尊严,妨害人格的自由发展。更严重的是,对于包含个人生物信息等敏感信息在内的海量数据,如果保管不善而被泄露甚至被非法出售或利用,就会出现犯罪分子利用这些非法取得的个人信息对受害人进行精准诈骗或者实施其他违法犯罪行为的问题。
03
如何保护与监管?
在国家、政府机关方面
在个人生物识别信息保护领域,国家扮演着多重角色。国家对个人生物识别信息的收集与利用可以极大地发挥个人生物识别信息的价值,从而有效地保障公共安全与社会公共利益。
个人生物识别信息的应用有重大安全风险,因此政府机关或授权机构在收集个人生物识别信息时必须基于公共利益的要求并遵循法定程序,符合比例原则下目的性、必要性和比例性的要求,兼顾收集目标的实现和保护信息主体的权益。《民法典》第1035条规定,处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理。
政府机关或者授权的机构在收集、处理、利用个人生物识别信息时应当遵循以下具体规则:
一是收集主体必须有明确的法律依据或者经明确的授权。政府机关或相关机构对于个人生物识别信息的收集必须具有法定的依据和授权事项,并明确告知相对人该法律依据和授权事项以及不提供个人生物识别信息的法律后果。政府机关或授权机构不得超越职权收集个人生物识别信息。
二是政府机关或者授权机构不得为公共利益之外的目的利用个人生物识别信息。为维护国家安全和公共安全,政府机关可以利用个人生物识别信息。例如,公安机关或税务机关可以在刑事侦查、追查税款等特定情形之下进行个人生物识别信息比对。但是在此之外,不得为非公共利益的目的储存、处理或利用个人生物识别信息。为支持学术研究,授权机构也可以利用个人生物识别信息,但是须无害于个体的人格利益,相关研究人员或机构应当对使用的个人生物识别信息采取妥善的保护措施。
三是个人生物识别信息处分要严格限制。政府机关或授权机构非经许可不得向他人转让个人生物识别信息,尤其是禁止以营利为目的向任何机构有偿转让个人生物识别信息。
由于信息技术日益发达,政府部门之间共享政府数据,或者政府部门与商业公司之间互相共享数据越来越常见。例如,在新冠肺炎疫情期间,腾讯、阿里巴巴等商业机构通过自己的数据与技术给疫情防控提供了大量的数据(其中包括人脸识别、指纹等数据)。这其中既包括政府授权平台公司利用自己的技术优势直接参与防控,也包括它们对已有数据的加工和处理。通过对政府数据与社会数据的共享和充分发掘,可以准确识别个人的行动轨迹、个人的感染情况以及相关密切接触者的健康状况,充分发挥数字化防控的最大效能。为避免泄露个人生物识别信息,有必要构建一套统一的、法定的数据交换标准,形成规范的数据格式,在公开时要去标识化处理,并选择恰当的方式和范围。
在商业公司或特定机构方面
近年来,商业公司或特定机构对个人生物识别信息的收集和利用有愈演愈烈的趋势。商业公司或特定机构对于个人生物识别信息的收集和利用通常并非基于公共利益的目的。为保护个人生物识别信息,必须在立法、司法以及行政层面加强相应的监管。
个人生物识别信息的利用主要涉及信息的收集、信息的储存、信息的加工和处理以及信息的使用,每一个过程都可能涉及到信息的隐私化和隐私的信息化。过度限制生物识别信息的利用会影响人们通过信息造福社会。法律规范应当妥当平衡个人生物识别信息利益的保护与个人生物识别信息资源有效利用之间的关系。公园等基于自身管理的需要采用生物识别信息系统,虽名为“公共安全的需要”,但是显然不符合比例原则的要求,这些单位通常无权收集和利用个人生物识别信息。
商业公司或特定机构在收集和利用个人生物识别信息时,应在技术标准、制度规范、法律约束等各个方面适用严格的条件和程序。具体来说:
一是商业公司或特定机构在收集和利用个人生物识别信息前须向个体进行充分的告知,获取个体的明示同意。
二是商业公司或特定机构公开处理个人生物识别信息的规定,明示处理个人生物识别信息的目的、方式和范围,不得超出规定的目的收集、处理、利用个人生物识别信息,必要情况下的目的变更应当有法律的许可或取得个体的明确同意。
三是商业公司或特定机构应妥善保管个人生物识别信息,相关收集、储存、使用、加工、传输、提供、公开应当严格遵循法律、行政法规的规定。
选自 | 《人民论坛》杂志,《如何做好个人生物识别信息的保护与监管》,作者:武汉大学法学院教授、博导,武汉大学网络治理研究院研究员 冉克平;《为个人生物识别信息打造法律保护盾》,作者:清华大学法学院副院长、教授、博导,教育部长江学者青年学者 程 啸
新媒体编辑 | 王思楠
转载请超链接注明:头条资讯 » 多地出台政策!个人信息如何保护?
免责声明
:非本网注明原创的信息,皆为程序自动获取互联网,目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责;如此页面有侵犯到您的权益,请给站长发送邮件,并提供相关证明(版权证明、身份证正反面、侵权链接),站长将在收到邮件24小时内删除。