|
法学院
|
|
□ 吴丰 人脸识别技术属于生物识别技术的一种。随着人工智能、大数据技术的发展,人脸识别技术开始在商业领域以及社会生活中得到广泛应用。例如,支付、旅游、交通、银行等行业的经营者和一些网络服务提供者往往采用人脸识别的方式进行身份识别或要求用户注册进行人脸识别认证等。新冠肺炎疫情发生以来,人脸识别技术在疫情防控等社会管理方面也得到应用。例如,全国各地在健康码中普遍采用人脸识别方式进行身份识别并采取相应的防控措施。 人脸识别技术的应用在精准确定用户身份、提高效率节约成本、公共场所安全保障、社会管理精细化等方面确实有其积极的作用,这是技术进步带来的便利。技术是中立的,但技术的应用是否需要管控以及管控的程度,取决于社会对某种技术应用的安全的风险以及控制能力的判断上。与其他个人信息比较,人的生物信息具有唯一性和终身不变性,人脸识别等通过生物识别技术收集的信息一旦被泄露,受害人便无法通过更改信息加以防控和补救,因而具有不可逆性,而人脸识别与指纹识别、虹膜识别、脉搏识别等其他生物识别技术相比,通过非接触性、远程、不自觉收集的方式就可以实现,应用更加广泛、直观,收集成本和难度较低,信息和隐私被侵害的风险远远大于其他类型的个人信息,而人脸信息一旦被泄露,对受害人造成的侵害或危险将是长期的、全面的、不可消除的。因此,相对于特定身份、行程轨迹、金融账户等敏感信息,人脸识别信息应当更加严格保护,对于人脸识别技术的应用,应当在个人信息保护法的基础上,进一步增强安全保护严格性,细化完善相关制度和机制,以最大可能地保护个人信息、隐私以及人身安全。 首先,应当明确人脸识别信息处理充分必要性的标准。由于互联网技术的普遍应用和网络平台经济双边市场的特性,用户选择经营者的余地有限,用户同意原则在实践中往往流于形式,难以单靠告知同意手段解决。因此,除了用户同意以外,对于人脸识别技术的应用,通过强制性规定的形式,明确应用的具体范围和条件,对人脸识别技术的应用领域加以限制,细化判断人脸识别信息处理具有充分必要性的标准。笔者认为,充分必要性应分为必要性和充分性两个层面。必要性应同时具备个人信息处理目的的正当性和人脸识别技术应用的必须性两个要件。人脸识别技术应用的必须性应以“非此不能”为标准,即如果不采取人脸识别技术,将难以实现信息处理目的或极大地增加识别成本。具体而言,应从身份识别精确度、识别成本、识别效率等方面判断。充分性应以具备人脸识别信息的安全保护能力为标准。仅有必要性,不具备充分性,也不得收集使用人脸识别信息。为此,应实行一定的市场准入要求,对于不具备安全保护能力或风险难以控制的情形,禁止使用人脸信息识别技术。 其次,实行类型化安全保护制度。个人信息处理目的和适用范围不同,应按照类型化处理的原则对安全保护程度方面进行区分。对于没有明确授权同意期限但个人信息处理目的为完成特定事项或具有期限性的情形,在该目的实现后,不再具有人脸识别信息处理的必要性,应当确立个人信息处理者主动删除人脸识别信息的义务,防止因长期存储导致的次生损害。 最后,建立人脸信息识别和其他身份识别的用户选择机制。除了实现公益目的或个人信息处理技术上必须外,经营活动中出于效率和成本的必要性使用人脸信息识别技术的,应当同时设置非人脸识别的身份信息验证渠道,允许用户可选择是否接受人脸识别方式。另外,在强化人脸识别信息安全义务的同时,应完善侵犯人脸识别信息的刑法规制。目前,我国刑法制度中没有专门针对实施人脸识别信息犯罪认定标准的直接规定,涉及非法收集、泄露、利用人脸识别信息的犯罪通过其侵犯公民个人信息罪统一调整。但在针对侵犯人脸识别信息方面缺乏认定是否构成犯罪的具体标准。由于侵害人脸识别信息犯罪属于新型犯罪领域且对用户人身财产安全的影响持久,有必要通过相关司法解释,把侵犯人脸识别信息明确列入侵犯公民个人信息犯罪的主要类型,并明确相应的定罪量刑标准,以加强人脸识别信息的刑法保护。
|
|
人脸识别信息保护的严格性基础及实现机制
|
|
|
|
( 2022-04-13 ) 稿件来源: 法治日报法学院 |
|
□ 吴丰 人脸识别技术属于生物识别技术的一种。随着人工智能、大数据技术的发展,人脸识别技术开始在商业领域以及社会生活中得到广泛应用。例如,支付、旅游、交通、银行等行业的经营者和一些网络服务提供者往往采用人脸识别的方式进行身份识别或要求用户注册进行人脸识别认证等。新冠肺炎疫情发生以来,人脸识别技术在疫情防控等社会管理方面也得到应用。例如,全国各地在健康码中普遍采用人脸识别方式进行身份识别并采取相应的防控措施。 人脸识别技术的应用在精准确定用户身份、提高效率节约成本、公共场所安全保障、社会管理精细化等方面确实有其积极的作用,这是技术进步带来的便利。技术是中立的,但技术的应用是否需要管控以及管控的程度,取决于社会对某种技术应用的安全的风险以及控制能力的判断上。与其他个人信息比较,人的生物信息具有唯一性和终身不变性,人脸识别等通过生物识别技术收集的信息一旦被泄露,受害人便无法通过更改信息加以防控和补救,因而具有不可逆性,而人脸识别与指纹识别、虹膜识别、脉搏识别等其他生物识别技术相比,通过非接触性、远程、不自觉收集的方式就可以实现,应用更加广泛、直观,收集成本和难度较低,信息和隐私被侵害的风险远远大于其他类型的个人信息,而人脸信息一旦被泄露,对受害人造成的侵害或危险将是长期的、全面的、不可消除的。因此,相对于特定身份、行程轨迹、金融账户等敏感信息,人脸识别信息应当更加严格保护,对于人脸识别技术的应用,应当在个人信息保护法的基础上,进一步增强安全保护严格性,细化完善相关制度和机制,以最大可能地保护个人信息、隐私以及人身安全。 首先,应当明确人脸识别信息处理充分必要性的标准。由于互联网技术的普遍应用和网络平台经济双边市场的特性,用户选择经营者的余地有限,用户同意原则在实践中往往流于形式,难以单靠告知同意手段解决。因此,除了用户同意以外,对于人脸识别技术的应用,通过强制性规定的形式,明确应用的具体范围和条件,对人脸识别技术的应用领域加以限制,细化判断人脸识别信息处理具有充分必要性的标准。笔者认为,充分必要性应分为必要性和充分性两个层面。必要性应同时具备个人信息处理目的的正当性和人脸识别技术应用的必须性两个要件。人脸识别技术应用的必须性应以“非此不能”为标准,即如果不采取人脸识别技术,将难以实现信息处理目的或极大地增加识别成本。具体而言,应从身份识别精确度、识别成本、识别效率等方面判断。充分性应以具备人脸识别信息的安全保护能力为标准。仅有必要性,不具备充分性,也不得收集使用人脸识别信息。为此,应实行一定的市场准入要求,对于不具备安全保护能力或风险难以控制的情形,禁止使用人脸信息识别技术。 其次,实行类型化安全保护制度。个人信息处理目的和适用范围不同,应按照类型化处理的原则对安全保护程度方面进行区分。对于没有明确授权同意期限但个人信息处理目的为完成特定事项或具有期限性的情形,在该目的实现后,不再具有人脸识别信息处理的必要性,应当确立个人信息处理者主动删除人脸识别信息的义务,防止因长期存储导致的次生损害。 最后,建立人脸信息识别和其他身份识别的用户选择机制。除了实现公益目的或个人信息处理技术上必须外,经营活动中出于效率和成本的必要性使用人脸信息识别技术的,应当同时设置非人脸识别的身份信息验证渠道,允许用户可选择是否接受人脸识别方式。另外,在强化人脸识别信息安全义务的同时,应完善侵犯人脸识别信息的刑法规制。目前,我国刑法制度中没有专门针对实施人脸识别信息犯罪认定标准的直接规定,涉及非法收集、泄露、利用人脸识别信息的犯罪通过其侵犯公民个人信息罪统一调整。但在针对侵犯人脸识别信息方面缺乏认定是否构成犯罪的具体标准。由于侵害人脸识别信息犯罪属于新型犯罪领域且对用户人身财产安全的影响持久,有必要通过相关司法解释,把侵犯人脸识别信息明确列入侵犯公民个人信息犯罪的主要类型,并明确相应的定罪量刑标准,以加强人脸识别信息的刑法保护。
|
|
|