人臉生物識別信息屬于敏感個人信息。個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息。個人信息依據(jù)信息被非法處理可能產(chǎn)生的危害后果為標(biāo)準(zhǔn),還可進一步區(qū)分為一般個人信息和敏感個人信息。敏感個人信息是指一旦泄露或者非法使用,可能導(dǎo)致個人受到歧視或者人身、財產(chǎn)安全受到嚴(yán)重危害的個人信息,包括個人生物特征、醫(yī)療健康等信息。相對于其他敏感個人信息來講,人臉生物識別信息具有以下幾個方面特性:1.從身份信息采集角度看,人臉生物識別信息采集具有無意識性和非接觸性。人臉生物識別信息無需人工或信息主體配合,只要信息主體以正常狀態(tài)經(jīng)過攝像頭即可完成信息采集。因此,其信息采集高效便捷又兼具隱蔽性。2.從身份信息識別角度看,人臉生物識別信息具有直接識別性和不可更改性。人臉與個體一一對應(yīng),具有很強的個體差異,可以無需結(jié)合其他信息直接識別到個人,且人臉信息一般不可更改。3.從身份信息公開后果角度看,人臉生物識別信息侵害后果具有難以逆轉(zhuǎn)性。很多其他個人信息可以通過去身份化實現(xiàn)匿名,匿名后的信息不再具有可識別性。但人臉生物識別信息無法去身份化,即使經(jīng)過模糊化處理,現(xiàn)代技術(shù)復(fù)原圖像的難度也不大。這致使該信息一旦丟失無法掛失,一旦泄露損害難以逆轉(zhuǎn)。在人臉信息的世界,從信息采集的無意識性和非接觸性到信息的直接識別性和不可更改性,都給人很強的不安全感;繼之,信息公開損害后果的不可逆性,都可能導(dǎo)致個人人身及財產(chǎn)安全面臨更大挑戰(zhàn)。因此,人臉生物識別信息需要法律的特別關(guān)注和嚴(yán)格保護。
我國現(xiàn)行法律對人臉生物識別信息的保護
我國目前沒有關(guān)于人臉生物識別信息的專門立法,查詢對其保護的規(guī)定只能在其上位概念個人信息的相關(guān)立法中追尋。2021年實施的民法典確立了我國民事法律制度對個人信息權(quán)益的保護,其單獨設(shè)立人格權(quán)編,并對個人信息保護進行專章規(guī)定,明確規(guī)定了對個人信息的概念、適用情形、免責(zé)情形以及法律責(zé)任等。除專章保護外,各章還有對個人信息保護的零散規(guī)定。民法典將個人信息分為私密信息和非私密信息,屬于私密信息的,適用隱私權(quán)保護的相關(guān)條文;沒有規(guī)定的,適用有關(guān)個人信息保護的規(guī)定。民法典規(guī)定生物識別信息屬于個人信息,但沒有對生物識別信息進行細(xì)化規(guī)定。除民法典外,其他部分法律和行政法規(guī)、部門規(guī)章等對個人信息保護均是零散規(guī)定,少有細(xì)化到規(guī)定人臉生物識別信息。
加快立法加強對人臉生物識別信息的嚴(yán)格保護
個人信息保護法將成為我國第一部個人信息保護的專門立法。在現(xiàn)今的信息化時代,信息已成為重要的資源,為了形成對個人信息保護的頂層法律設(shè)計,并完成與現(xiàn)行民法典、刑法等相關(guān)法律的銜接,國家啟動了個人信息保護法的立法工作,目前該法處于草案二次審議稿征求意見階段。待該法正式通過后,我國公民的個人信息保護將處于更加完善、全面、系統(tǒng)的法律保護體系中。
個人信息保護法草案(二次審議稿)(以下簡稱草案二審稿)在對個人信息處理規(guī)則進行一般規(guī)定的基礎(chǔ)上,專節(jié)規(guī)定了敏感個人信息的處理規(guī)則。這種處理規(guī)則提高了處理者在處理敏感個人信息時的法定義務(wù),同時也加強了對敏感個人信息主體的保護,對人臉生物識別信息的保護涵蓋其中。
首先,明確了處理敏感個人信息的條件要求。草案二審稿第二十九條規(guī)定,“個人信息處理者具有特定的目的和充分的必要性,方可處理敏感個人信息”。如在非人臉識別方式安全性或便捷性顯著低于人臉識別方式(如機場、火車站進行人證比對等)的情況下,方可開展人臉驗證或人臉辨識。此種應(yīng)用場景就滿足了“充分的必要性”要求。
其次,突出強調(diào)處理敏感個人信息的單獨同意或書面同意要求。處理個人信息分為個人同意的處理和符合條件時無需個人同意的處理。如為應(yīng)對突發(fā)公共衛(wèi)生事件,或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需等情形時就無需個人同意。草案二審稿第三十條規(guī)定,“基于個人同意處理敏感個人信息的,個人信息處理者應(yīng)當(dāng)取得個人的單獨同意。法律、行政法規(guī)規(guī)定處理敏感個人信息應(yīng)當(dāng)取得書面同意的,從其規(guī)定”。這意味著一般要求是單獨同意,有特殊要求時是書面同意,但不能是概括同意、默示同意或推定同意等。這條規(guī)定與2021年5月1日施行的國家市場監(jiān)督管理總局發(fā)布的《網(wǎng)絡(luò)交易監(jiān)督管理辦法》要求網(wǎng)絡(luò)交易經(jīng)營者收集、使用個人生物特征等敏感信息的,應(yīng)當(dāng)逐項取得消費者同意相近似,亦反映了敏感個人信息處理方面愈發(fā)嚴(yán)格的監(jiān)管趨勢。
其他保護性規(guī)定。如草案二審稿第十七條規(guī)定,“個人信息處理者不得以個人不同意處理其個人信息或者撤回其對個人信息處理的同意為由,拒絕提供產(chǎn)品或者服務(wù);處理個人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外”。
除了個人信息保護法正在加快立法外,部門規(guī)章也在跟進。2021年4月23日,《信息安全技術(shù)人臉識別數(shù)據(jù)安全要求》國家標(biāo)準(zhǔn)的征求意見稿也開始面向社會公開征求意見。此次擬出臺的國際標(biāo)準(zhǔn)主要為解決人臉數(shù)據(jù)濫采、泄露或丟失以及過度存儲、使用等問題,對于草案二審稿中人臉識別相關(guān)的規(guī)定也有一定的體現(xiàn)和細(xì)化。
(來源:法制日報? 作者:李丹寧)