近日,有關“人臉識別”系統的各種報道受到廣泛關注,如“人臉識別第一案”宣判、“為躲人臉識別戴頭盔看房”等。這也引了一些地方政府部門的重視。短短几天時間多地出手了:天津、南京、杭州紛紛出臺政策,禁止非法採集人臉信息、禁止強制進行人臉識別。
互聯網時代,App已成為超範圍收集、強制收集用戶個人信息的“溫床”。如何解決包括人臉識別信息在內的個人信息保護這一難題?一起來看。
來源 | 人民論壇雜誌及人民論壇網(rmltwz)
轉載請註明來源
01
新型個人信息是如何被收集的?
個人生物識別信息技術在諸多領域得到廣泛的應用,有關個人生物識別信息的收集、儲存、利用等已經發展成為一個龐大的產業。一方面,法律要保護生物識別信息主體的人格尊嚴和自由,保障其追求人格完整和發展的自主能力,避免個人生物識別信息的洩露或非法使用危害信息主體的人格尊嚴和自由價值。另一方面,個人生物識別信息包含巨大的經濟價值,可以被進行大規模的處理與應用。法律要適應技術進步與經濟發展,平衡個人生物識別信息主體隱私、利用期待與控制者的數據利用和管理的需要。
從現實生活看,對於個人生物識別信息的收集、利用等大體可以分為三個方面:
一是政府或者政府授權機構基於社會公共安全的需要收集與利用個人生物識別信息,典型的情形如機場、高鐵等領域在實施安檢時使用人臉識別系統;
二是商業組織如銀行、電子支付平臺(支付寶、微信等)等對於交易主體的生物識別信息進行收集和利用;
三是特定的機構基於管理的需要對個人生物識別信息的收集和利用。例如學校、公園等機構要求進入內部空間時使用“人臉識別系統”。上述情形可以劃分為基於公共利益的需要與基於商業利益的需要而收集、使用個人生物識別信息兩種類型。
02
收集和處理新型個人信息
有何特點和風險?
網絡信息科技的發展,使得能夠被收集的個人信息越來越廣泛。除了姓名、身份證號碼、家庭地址、電話號碼等傳統的個人信息之外,個人生物識別信息(如指紋、人臉、虹膜等)、行蹤信息、網絡賬號等新型的個人信息也越來越多地被收集和處理。甚至一些其本身不足以識別特定自然人的信息,如愛好、習慣、興趣、性別、年齡、職業等,由於算法技術的發展,將之與其他信息結合後也能識別出特定的自然人,故此這些信息也成為非常重要的個人信息而被收集和處理。
不僅如此,現代社會收集與處理個人信息的方式也發生了巨大的變化。現代網絡信息技術已將現代社會生活高度數字化(或數據化),無處不在的Cookie技術和各種傳感器可以自動地收集與存儲個人信息。這種個人信息被大規模、自動化地收集和存儲的情形變得越來越普遍,幾乎無處不在、無時不在。
每天通過各種自動化技術收集來的無數自然人的個人信息彙集成為海量的個人數據。飛速發展的人工智能技術也使得對海量數據的分析與使用變得更加簡便高效且用途越來越廣泛。因此,個人信息被濫用的可能性被極大地增加了,由此產生的侵害自然人民事權益的風險也不斷升高。例如,各種網絡平臺通過分析和利用海量的個人信息,對目標群體做人格畫像,實施精準營銷,甚至行為操縱,可能嚴重危害自然人的人格尊嚴,妨害人格的自由發展。更嚴重的是,對於包含個人生物信息等敏感信息在內的海量數據,如果保管不善而被洩露甚至被非法出售或利用,就會出現犯罪分子利用這些非法取得的個人信息對受害人進行精準詐騙或者實施其他違法犯罪行為的問題。
03
如何保護與監管?
在國家、政府機關方面
在個人生物識別信息保護領域,國家扮演著多重角色。國家對個人生物識別信息的收集與利用可以極大地發揮個人生物識別信息的價值,從而有效地保障公共安全與社會公共利益。
個人生物識別信息的應用有重大安全風險,因此政府機關或授權機構在收集個人生物識別信息時必須基於公共利益的要求並遵循法定程序,符合比例原則下目的性、必要性和比例性的要求,兼顧收集目標的實現和保護信息主體的權益。《民法典》第1035條規定,處理個人信息的,應當遵循合法、正當、必要原則,不得過度處理。
政府機關或者授權的機構在收集、處理、利用個人生物識別信息時應當遵循以下具體規則:
一是收集主體必須有明確的法律依據或者經明確的授權。政府機關或相關機構對於個人生物識別信息的收集必須具有法定的依據和授權事項,並明確告知相對人該法律依據和授權事項以及不提供個人生物識別信息的法律後果。政府機關或授權機構不得超越職權收集個人生物識別信息。
二是政府機關或者授權機構不得為公共利益之外的目的利用個人生物識別信息。為維護國家安全和公共安全,政府機關可以利用個人生物識別信息。例如,公安機關或稅務機關可以在刑事偵查、追查稅款等特定情形之下進行個人生物識別信息比對。但是在此之外,不得為非公共利益的目的儲存、處理或利用個人生物識別信息。為支持學術研究,授權機構也可以利用個人生物識別信息,但是須無害於個體的人格利益,相關研究人員或機構應當對使用的個人生物識別信息採取妥善的保護措施。
三是個人生物識別信息處分要嚴格限制。政府機關或授權機構非經許可不得向他人轉讓個人生物識別信息,尤其是禁止以營利為目的向任何機構有償轉讓個人生物識別信息。
由於信息技術日益發達,政府部門之間共享政府數據,或者政府部門與商業公司之間互相共享數據越來越常見。例如,在新冠肺炎疫情期間,騰訊、阿里巴巴等商業機構通過自己的數據與技術給疫情防控提供了大量的數據(其中包括人臉識別、指紋等數據)。這其中既包括政府授權平臺公司利用自己的技術優勢直接參與防控,也包括它們對已有數據的加工和處理。通過對政府數據與社會數據的共享和充分發掘,可以準確識別個人的行動軌跡、個人的感染情況以及相關密切接觸者的健康狀況,充分發揮數字化防控的最大效能。為避免洩露個人生物識別信息,有必要構建一套統一的、法定的數據交換標準,形成規範的數據格式,在公開時要去標識化處理,並選擇恰當的方式和範圍。
在商業公司或特定機構方面
近年來,商業公司或特定機構對個人生物識別信息的收集和利用有愈演愈烈的趨勢。商業公司或特定機構對於個人生物識別信息的收集和利用通常並非基於公共利益的目的。為保護個人生物識別信息,必須在立法、司法以及行政層面加強相應的監管。
個人生物識別信息的利用主要涉及信息的收集、信息的儲存、信息的加工和處理以及信息的使用,每一個過程都可能涉及到信息的隱私化和隱私的信息化。過度限制生物識別信息的利用會影響人們通過信息造福社會。法律規範應當妥當平衡個人生物識別信息利益的保護與個人生物識別信息資源有效利用之間的關係。公園等基於自身管理的需要採用生物識別信息系統,雖名為“公共安全的需要”,但是顯然不符合比例原則的要求,這些單位通常無權收集和利用個人生物識別信息。
商業公司或特定機構在收集和利用個人生物識別信息時,應在技術標準、制度規範、法律約束等各個方面適用嚴格的條件和程序。具體來說:
一是商業公司或特定機構在收集和利用個人生物識別信息前須向個體進行充分的告知,獲取個體的明示同意。
二是商業公司或特定機構公開處理個人生物識別信息的規定,明示處理個人生物識別信息的目的、方式和範圍,不得超出規定的目的收集、處理、利用個人生物識別信息,必要情況下的目的變更應當有法律的許可或取得個體的明確同意。
三是商業公司或特定機構應妥善保管個人生物識別信息,相關收集、儲存、使用、加工、傳輸、提供、公開應當嚴格遵循法律、行政法規的規定。
選自 | 《人民論壇》雜誌,《如何做好個人生物識別信息的保護與監管》,作者:武漢大學法學院教授、博導,武漢大學網絡治理研究院研究員 冉克平;《為個人生物識別信息打造法律保護盾》,作者:清華大學法學院副院長、教授、博導,教育部長江學者青年學者 程 嘯
新媒體編輯 | 王思楠
轉載請超鏈接註明:頭條資訊 » 多地出臺政策!個人信息如何保護?
免責聲明
:非本網註明原創的信息,皆為程序自動獲取互聯網,目的在於傳遞更多信息,並不代表本網贊同其觀點和對其真實性負責;如此頁面有侵犯到您的權益,請給站長發送郵件,並提供相關證明(版權證明、身份證正反面、侵權鏈接),站長將在收到郵件24小時內刪除。