2021年05月12日 上一期 下一期
3上一篇  4下一篇  
返回本版列表    点击率:  字体: 放大  默认  缩小  
法学院
13 11/13 10 11 12 > >|
PDF版
本版面文章
· 强制执行形式化原则的制度效应
· 重思行政复议制度“定位”
· 论人脸生物识别信息的严格保护
· 其填补的是隐藏法律漏洞
· 应以传统飞行监管制度为蓝本
· 应当严格限制其适用范围

论人脸生物识别信息的严格保护

( 2021-05-12 ) 稿件来源: 法治日报法学院
  □ 李丹宁

  人脸生物识别信息属于敏感个人信息。个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。个人信息依据信息被非法处理可能产生的危害后果为标准,还可进一步区分为一般个人信息和敏感个人信息。敏感个人信息是指一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括个人生物特征、医疗健康等信息。相对于其他敏感个人信息来讲,人脸生物识别信息具有以下几个方面特性:1.从身份信息采集角度看,人脸生物识别信息采集具有无意识性和非接触性。人脸生物识别信息无需人工或信息主体配合,只要信息主体以正常状态经过摄像头即可完成信息采集。因此,其信息采集高效便捷又兼具隐蔽性。2.从身份信息识别角度看,人脸生物识别信息具有直接识别性和不可更改性。人脸与个体一一对应,具有很强的个体差异,可以无需结合其他信息直接识别到个人,且人脸信息一般不可更改。3.从身份信息公开后果角度看,人脸生物识别信息侵害后果具有难以逆转性。很多其他个人信息可以通过去身份化实现匿名,匿名后的信息不再具有可识别性。但人脸生物识别信息无法去身份化,即使经过模糊化处理,现代技术复原图像的难度也不大。这致使该信息一旦丢失无法挂失,一旦泄露损害难以逆转。在人脸信息的世界,从信息采集的无意识性和非接触性到信息的直接识别性和不可更改性,都给人很强的不安全感;继之,信息公开损害后果的不可逆性,都可能导致个人人身及财产安全面临更大挑战。因此,人脸生物识别信息需要法律的特别关注和严格保护。
  我国现行法律对人脸生物识别信息的保护
  我国目前没有关于人脸生物识别信息的专门立法,查询对其保护的规定只能在其上位概念个人信息的相关立法中追寻。2021年实施的民法典确立了我国民事法律制度对个人信息权益的保护,其单独设立人格权编,并对个人信息保护进行专章规定,明确规定了对个人信息的概念、适用情形、免责情形以及法律责任等。除专章保护外,各章还有对个人信息保护的零散规定。民法典将个人信息分为私密信息和非私密信息,属于私密信息的,适用隐私权保护的相关条文;没有规定的,适用有关个人信息保护的规定。民法典规定生物识别信息属于个人信息,但没有对生物识别信息进行细化规定。除民法典外,其他部分法律和行政法规、部门规章等对个人信息保护均是零散规定,少有细化到规定人脸生物识别信息。
  加快立法加强对人脸生物识别信息的严格保护
  个人信息保护法将成为我国第一部个人信息保护的专门立法。在现今的信息化时代,信息已成为重要的资源,为了形成对个人信息保护的顶层法律设计,并完成与现行民法典、刑法等相关法律的衔接,国家启动了个人信息保护法的立法工作,目前该法处于草案二次审议稿征求意见阶段。待该法正式通过后,我国公民的个人信息保护将处于更加完善、全面、系统的法律保护体系中。
  个人信息保护法草案(二次审议稿)(以下简称草案二审稿)在对个人信息处理规则进行一般规定的基础上,专节规定了敏感个人信息的处理规则。这种处理规则提高了处理者在处理敏感个人信息时的法定义务,同时也加强了对敏感个人信息主体的保护,对人脸生物识别信息的保护涵盖其中。
  首先,明确了处理敏感个人信息的条件要求。草案二审稿第二十九条规定,“个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息”。如在非人脸识别方式安全性或便捷性显著低于人脸识别方式(如机场、火车站进行人证比对等)的情况下,方可开展人脸验证或人脸辨识。此种应用场景就满足了“充分的必要性”要求。
  其次,突出强调处理敏感个人信息的单独同意或书面同意要求。处理个人信息分为个人同意的处理和符合条件时无需个人同意的处理。如为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需等情形时就无需个人同意。草案二审稿第三十条规定,“基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定”。这意味着一般要求是单独同意,有特殊要求时是书面同意,但不能是概括同意、默示同意或推定同意等。这条规定与2021年5月1日施行的国家市场监督管理总局发布的《网络交易监督管理办法》要求网络交易经营者收集、使用个人生物特征等敏感信息的,应当逐项取得消费者同意相近似,亦反映了敏感个人信息处理方面愈发严格的监管趋势。
  其他保护性规定。如草案二审稿第十七条规定,“个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外”。
  除了个人信息保护法正在加快立法外,部门规章也在跟进。2021年4月23日,《信息安全技术人脸识别数据安全要求》国家标准的征求意见稿也开始面向社会公开征求意见。此次拟出台的国际标准主要为解决人脸数据滥采、泄露或丢失以及过度存储、使用等问题,对于草案二审稿中人脸识别相关的规定也有一定的体现和细化。

   
相关文章: