|
| 法治经纬 |
| 13 |
8/13 |
7
|
8
|
9
|
>
|
>| |
|
|
PDF版 |
 |
|
|
对话人
北京师范大学法学院教授 刘德良
北京理工大学法学院民法典研究中心主任
孟 强
中国传媒大学人类命运共同体研究院副院长
王四新
中国传媒大学文化产业管理学院法律系主任
郑 宁
《法治日报》记者 赵 丽
《法治日报》实习生 郭 晶
滥用摄像头危害多
织密法网保护权益
记者:不论是企业在包间以安全之名安装摄像头,还是今年“3·15”晚会曝光的一些企业用摄像头进行人脸识别用作商用,这些行为都侵犯了消费者的哪些权利?
郑宁:可能侵犯公民的个人信息或者隐私权、肖像权。网络安全法、民法典以及正在制定的个人信息保护法和数据安全法,对人脸识别都有相应的规范。
2020年2月,全国金融标准化技术委员会审查通过的《个人金融信息保护技术规范》(JR/T 0171-2020)将生物识别信息列为敏感性最高的C3类信息,并要求金融机构不应委托或授权无金融业相关资质的机构收集C3类信息,金融机构及其受托人收集、通过公共网络传输、存储C3类信息时,应使用加密措施;不得公开披露用于用户鉴别的个人生物识别信息。
2020年3月新修订的我国国家标准GB/T 35273-2020《信息安全技术个人信息安全规范》明确规定个人生物识别信息属于个人敏感信息,并对个人敏感信息进行了特殊保护:传输和存储个人敏感信息时,应采用加密等安全措施;共享、转让个人敏感信息前,除向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果外,还应向个人信息主体告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意;不应公开披露个人生物识别信息等。
记者:个人信息保护法(草案)中把个人生物特征列入敏感个人信息,处理敏感个人信息应当取得个人的单独同意,个人信息处理者应当告知处理的必要性及对个人的影响。草案还规定公共场所安装图像采集、个人身份识别设备,应该为维护公共安全所必需,且只能用于维护公共安全的目的。未来个人信息保护法实施后,能否遏制上述现象?
孟强:个人信息保护法未来实施后,对于遏制上述现象将起到积极作用,可以有效保障公民个人信息安全。无论是处理一般个人信息,还是敏感个人信息,都需要充分保障个人知情权。对于敏感个人信息的规定更加严格,比如未成年人和成年人的规定是不同的。
个人信息保护在法律上有三个层次:首先,民法典对个人信息和隐私权作出概括性的一般规定,在宏观层面搭建了一个框架,将其规定为一种私权利,即老百姓的人格权,民法典为个人信息保护法(草案)充分展开提供了民事法律的依据。其次,个人信息保护法(草案)是具有纵横性质的法律,既有对民事权利的保护,也有对市场主体行政处罚的规定。再者,刑法中也有对个人信息的规定,换言之,当事人滥用个人信息造成严重后果则会触犯刑事法律。
总之,对于个人信息保护的规定正在形成比较完善的法网,从轻微的侵犯民事权益,到受到行政处罚,再到构成犯罪,是一个层层递进的过程,是各个层级的多个法律共同构筑起来的法网。
学界已经达成一个共识,个人信息不是一个单纯的民法权利,为什么我们用的是隐私权和个人信息这样的表述,而非“个人信息权”?这是因为立法机关也认为“个人信息”具有复杂性,如果把其规定为个人的“私权利”,其他主体就没权利对信息进行挖掘分析,无法用科技的力量改善我们的生活,不符合信息社会的发展。
明确各方主体责任
严惩违规违纪行为
记者:近日,《深圳经济特区公共安全视频图像信息系统管理条例(草案)》经市政府常务会议审议通过。该条例(草案)规定,禁止在旅馆客房、医院病房、集体宿舍、公共浴室、卫生间、更衣室、哺乳室等涉及公民隐私的场所和区域安装视频图像信息系统;涉及公共安全人像及车牌等敏感信息采集的视频图像信息系统,应由公安机关统一规划;任何单位和个人不得利用采获的信息非法进行基于人像、人体及车牌等敏感信息的个人身份识别。这些规定是否可在全国推广,直至全国性立法?
刘德良:用立法手段管控公共安全视频图像信息滥用是重要方式,深圳市的做法是在改革创新,是否能够顺利开展,可行度问题还需进一步观察。
郑宁:这种对禁止安装信息系统的场所进行明确列举的方式比较具有可操作性,作为地方立法是可以的。考虑到法律的稳定性,全国性立法不宜作如此详细的列举,建议可以通过国家标准、行业规范的方式具体化。
王四新:深圳的做法是具备推广价值的。现在各种场合都在安装摄像头,尤其是在公民完全不知情的情况下安装摄像头,这些摄像头获取的影像资料、个人信息,用于分析个人行踪的越来越多,对公民个人隐私构成的威胁也越来越大。在这种情况下,出台这样的措施,并且由公安机关统一掌控相关的数据,建立严格的数据获取使用程序,确实非常有必要。
记者:未来如何强化获取人脸信息的管理、处理以及落实国家机关搜集和处理人脸信息的相关义务和责任?
郑宁:在法律法规已有明确要求的“强认证”场景(如公共安全、金融支付)下,使用人脸识别完成精确的身份比对和验证,有其必要性和合理性。但也要对人脸数据进行妥善保管,不得泄露、滥用。对于一些没有明确法律规定的场景,不宜使用人脸识别作为唯一的验证方式。
建议从立法、执法、司法、行业自律等多方面明确各方责任,严格执法,惩治滥用摄像头和人脸识别的行为,通过典型案例形成示范效应。
孟强:摄像头应用的相关规定不是太多。网络安全法规定了关于网络数据的使用,但是没有提到摄像头。个人信息保护法(草案)还未通过。有关摄像头的规定大多是在公安部门的部门规章,甚至是更低级别的规范性文件上。在法律层面比较少,这也是我们呼吁民法典要增加人格权编的重要原因。
个人信息保护法(草案)备受关注,也是因为关于个人信息保护的相关法律位阶低、效力低、零散,需要高位阶的法律进行统一。我认为个人信息保护法(草案)的内容是具有先进性的,其中第五条提到“处理个人信息应当采用合法、正当的方式,遵循诚信原则,不得通过欺诈、误导等方式处理个人信息。”特别是在处理敏感信息的时候必须得到用户的正式同意,必须基于正当目的使用个人信息,这可能会给一些企业造成麻烦,但这是大势所趋。
王四新:数据的控制者和使用者应当是保护数据安全、确保不侵犯公民权利的第一责任人,但是不能把这些责任完全寄托在数据使用者和保管者的自觉意识上,还应当建立透明的程序,建立平衡的权利和义务关系模式,对各种违规违纪行为进行严厉的惩治和打击。
|
|
|
| 完善监管机制杜绝人脸信息“裸奔”
|
|
|
|
|
|
| ( 2021-03-31 ) 稿件来源: 法治日报法治经纬 |
|
|
对话人
北京师范大学法学院教授 刘德良
北京理工大学法学院民法典研究中心主任
孟 强
中国传媒大学人类命运共同体研究院副院长
王四新
中国传媒大学文化产业管理学院法律系主任
郑 宁
《法治日报》记者 赵 丽
《法治日报》实习生 郭 晶
滥用摄像头危害多
织密法网保护权益
记者:不论是企业在包间以安全之名安装摄像头,还是今年“3·15”晚会曝光的一些企业用摄像头进行人脸识别用作商用,这些行为都侵犯了消费者的哪些权利?
郑宁:可能侵犯公民的个人信息或者隐私权、肖像权。网络安全法、民法典以及正在制定的个人信息保护法和数据安全法,对人脸识别都有相应的规范。
2020年2月,全国金融标准化技术委员会审查通过的《个人金融信息保护技术规范》(JR/T 0171-2020)将生物识别信息列为敏感性最高的C3类信息,并要求金融机构不应委托或授权无金融业相关资质的机构收集C3类信息,金融机构及其受托人收集、通过公共网络传输、存储C3类信息时,应使用加密措施;不得公开披露用于用户鉴别的个人生物识别信息。
2020年3月新修订的我国国家标准GB/T 35273-2020《信息安全技术个人信息安全规范》明确规定个人生物识别信息属于个人敏感信息,并对个人敏感信息进行了特殊保护:传输和存储个人敏感信息时,应采用加密等安全措施;共享、转让个人敏感信息前,除向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果外,还应向个人信息主体告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意;不应公开披露个人生物识别信息等。
记者:个人信息保护法(草案)中把个人生物特征列入敏感个人信息,处理敏感个人信息应当取得个人的单独同意,个人信息处理者应当告知处理的必要性及对个人的影响。草案还规定公共场所安装图像采集、个人身份识别设备,应该为维护公共安全所必需,且只能用于维护公共安全的目的。未来个人信息保护法实施后,能否遏制上述现象?
孟强:个人信息保护法未来实施后,对于遏制上述现象将起到积极作用,可以有效保障公民个人信息安全。无论是处理一般个人信息,还是敏感个人信息,都需要充分保障个人知情权。对于敏感个人信息的规定更加严格,比如未成年人和成年人的规定是不同的。
个人信息保护在法律上有三个层次:首先,民法典对个人信息和隐私权作出概括性的一般规定,在宏观层面搭建了一个框架,将其规定为一种私权利,即老百姓的人格权,民法典为个人信息保护法(草案)充分展开提供了民事法律的依据。其次,个人信息保护法(草案)是具有纵横性质的法律,既有对民事权利的保护,也有对市场主体行政处罚的规定。再者,刑法中也有对个人信息的规定,换言之,当事人滥用个人信息造成严重后果则会触犯刑事法律。
总之,对于个人信息保护的规定正在形成比较完善的法网,从轻微的侵犯民事权益,到受到行政处罚,再到构成犯罪,是一个层层递进的过程,是各个层级的多个法律共同构筑起来的法网。
学界已经达成一个共识,个人信息不是一个单纯的民法权利,为什么我们用的是隐私权和个人信息这样的表述,而非“个人信息权”?这是因为立法机关也认为“个人信息”具有复杂性,如果把其规定为个人的“私权利”,其他主体就没权利对信息进行挖掘分析,无法用科技的力量改善我们的生活,不符合信息社会的发展。
明确各方主体责任
严惩违规违纪行为
记者:近日,《深圳经济特区公共安全视频图像信息系统管理条例(草案)》经市政府常务会议审议通过。该条例(草案)规定,禁止在旅馆客房、医院病房、集体宿舍、公共浴室、卫生间、更衣室、哺乳室等涉及公民隐私的场所和区域安装视频图像信息系统;涉及公共安全人像及车牌等敏感信息采集的视频图像信息系统,应由公安机关统一规划;任何单位和个人不得利用采获的信息非法进行基于人像、人体及车牌等敏感信息的个人身份识别。这些规定是否可在全国推广,直至全国性立法?
刘德良:用立法手段管控公共安全视频图像信息滥用是重要方式,深圳市的做法是在改革创新,是否能够顺利开展,可行度问题还需进一步观察。
郑宁:这种对禁止安装信息系统的场所进行明确列举的方式比较具有可操作性,作为地方立法是可以的。考虑到法律的稳定性,全国性立法不宜作如此详细的列举,建议可以通过国家标准、行业规范的方式具体化。
王四新:深圳的做法是具备推广价值的。现在各种场合都在安装摄像头,尤其是在公民完全不知情的情况下安装摄像头,这些摄像头获取的影像资料、个人信息,用于分析个人行踪的越来越多,对公民个人隐私构成的威胁也越来越大。在这种情况下,出台这样的措施,并且由公安机关统一掌控相关的数据,建立严格的数据获取使用程序,确实非常有必要。
记者:未来如何强化获取人脸信息的管理、处理以及落实国家机关搜集和处理人脸信息的相关义务和责任?
郑宁:在法律法规已有明确要求的“强认证”场景(如公共安全、金融支付)下,使用人脸识别完成精确的身份比对和验证,有其必要性和合理性。但也要对人脸数据进行妥善保管,不得泄露、滥用。对于一些没有明确法律规定的场景,不宜使用人脸识别作为唯一的验证方式。
建议从立法、执法、司法、行业自律等多方面明确各方责任,严格执法,惩治滥用摄像头和人脸识别的行为,通过典型案例形成示范效应。
孟强:摄像头应用的相关规定不是太多。网络安全法规定了关于网络数据的使用,但是没有提到摄像头。个人信息保护法(草案)还未通过。有关摄像头的规定大多是在公安部门的部门规章,甚至是更低级别的规范性文件上。在法律层面比较少,这也是我们呼吁民法典要增加人格权编的重要原因。
个人信息保护法(草案)备受关注,也是因为关于个人信息保护的相关法律位阶低、效力低、零散,需要高位阶的法律进行统一。我认为个人信息保护法(草案)的内容是具有先进性的,其中第五条提到“处理个人信息应当采用合法、正当的方式,遵循诚信原则,不得通过欺诈、误导等方式处理个人信息。”特别是在处理敏感信息的时候必须得到用户的正式同意,必须基于正当目的使用个人信息,这可能会给一些企业造成麻烦,但这是大势所趋。
王四新:数据的控制者和使用者应当是保护数据安全、确保不侵犯公民权利的第一责任人,但是不能把这些责任完全寄托在数据使用者和保管者的自觉意识上,还应当建立透明的程序,建立平衡的权利和义务关系模式,对各种违规违纪行为进行严厉的惩治和打击。
|
|
|
