|
法学院
|
|
□ 杨华 (上海政法学院人工智能法学院教授)
习近平总书记指出,“国家网络安全工作要坚持网络安全为人民、网络安全靠人民,保障个人信息安全,维护公民在网络空间的合法权益”“要加强人工智能发展的潜在风险研判和防范,维护人民利益和国家安全,确保人工智能安全、可靠、可控”。由于人脸识别信息作为敏感数据保护的复杂性、人脸识别技术与法律的融合性、人脸识别技术应用的具体标准尚未完备,人脸识别技术应用的边界、如何避免人脸识别技术滥用、人脸识别信息受到侵害后如何救济,等等,亟待通过专门立法予以明确。
人脸识别信息保护法律规制的现状及其存在的问题
(一)对“人脸识别信息”缺乏明确的法律界定
什么是“人脸识别信息”,目前法律并没有统一的规定。从语义上讲,人脸识别信息,属于人脸信息的子类概念,但其具体的法律概念界定仍需要进一步明确。个人信息保护法并没有对“人脸识别信息”给出明确的界定。我国其他立法如民法典、数据安全法和网络安全法对“人脸识别信息”的法律界定更是缺乏。
(二)缺乏人脸识别信息保护的专门规定
与人脸识别信息保护密切相关的法律有个人信息保护法、数据安全法和网络安全法,三部法律通过对个人信息或数据保护的法律规范,对人脸识别信息保护起到了间接规范作用。此外,宪法、民法典、刑法、电子商务法、《全国人民代表大会常务委员会关于加强网络信息保护的决定》以及《关键信息基础设施安全保护条例》、电信条例、《征信业管理条例》等法律、行政法规,均无法直接适用于人脸识别信息保护。
(三)司法解释无法替代人脸识别信息保护的立法和执法问题
郭兵诉杭州野生动物世界有限公司滥用人脸识别案,在一定程度上推动了2021年7月《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》的出台。然而,司法解释解决不了人脸识别信息保护的立法问题和执法问题。一方面,全民守法的前提是“有法可依”。司法解释正是在立法缺失的情况下,在审判领域确立人脸识别信息保护纠纷解决依据的被动之举。另一方面,人脸识别信息保护的执法工作急剧增长,根据“依法行政”的执法原则,缺少人脸识别信息保护的立法,必然会给执法工作带来极大的不便。
(四)地方法规没有实质性推动人脸识别立法
很多地方政府或人大制定了人脸识别的立法规定。例如,《上海市数据条例》《广东省社会信用条例》《天津市社会信用条例》《深圳经济特区数据条例》等,体现了人脸识别在全国很多地方正在走向法治化道路。然而,这些地方立法大都是参照现有国家立法所做的简单重复,而且条文比较少,对人脸识别技术应用的过程规范性、对自然人人脸识别信息的保护及其受到侵害后的损害救济,均缺乏相应的规定。
完善人脸识别信息保护的实体法律规范
(一)法律规范应注重人脸识别技术应用的利益平衡
人脸识别过程中,有多方利益需要平衡。一是国家因对人脸信息数据的归集、整理和分析,提高了国家治理体系和治理能力现代化水平,实现了国家数字经济、技术经济的快速发展。二是行使国家管理权的机构或部门可以在提高效率、节省人力、强化权威等方面受益。三是行使公共管理职能的企事业单位、基层自治组织既完成了国家授权的职能,也实现了自身利益需求。四是营利性的私营企业可以精准排查客户、节省运营成本、提高运营效率,还可以对客户的信息数据进行加工、整理形成独具特色的商业模式。五是公众可以享受人脸支付、人脸乘车、人脸住宿等系列便利。在这五个方面的受益主体中,谁将享受到最大的利益?谁应当享受最大的利益?利益主体之间是否会存在此消彼长的关系?怎么保障各利益主体之间的平衡?这是人脸识别法律规范制定过程中需要考虑的问题。
(二)确立人脸识别信息保护的基本原则
属于敏感个人信息的人脸识别信息相较于一般个人信息而言,受到侵害时的后果更为严重,应受法律的特殊保护。我国在制定人脸识别信息保护规范时应当确立如下原则:一是使用人脸识别的合法、正当和必要原则。二是处理人脸识别信息应当遵循诚实信用、公开透明原则。三是保障自然人的知情同意权和选择权原则。四是严格人脸识别商业性技术应用标准原则。五是明确人脸识别信息的最小化收集、利用和事后删除原则。六是确立鼓励技术创新原则。
(三)厘定人脸识别信息权益的保护范围
人脸识别信息权益的保护范围至少包括如下几个方面:一是民法典中规定的权利。具体包括与人脸识别信息相关的人格权、肖像权、隐私权、人脸识别信息产生的财产权、个人信息权等。二是个人信息保护法中规定的与人脸识别信息保护有关的人格尊严与人身财产安全以及通信自由和通信秘密等利益,为实现个人信息权益保护的同意权、知情权、查阅权、复制权、转移权、更正权、补充权、删除权、请求解释说明权等权利。
(四)明确人脸识别技术商业应用规则
由于商业应用的风险较大,我国有必要为人脸识别技术商业应用的主体设定人脸识别的“告知-同意-限制使用-及时删除-损害赔偿”规则。告知是指使用人脸识别技术收集人脸信息时必须告知对方。同意是指在收集、使用、披露个人信息之前也必须征得个人明示或默示的同意。限制使用是指使用人脸识别信息必须有加密措施并获得相应许可后方可使用。及时删除是指将不必要保留的人脸识别信息按照法律规定的时间、方式和途径予以删除。损害赔偿是对于违反法律规定的人脸识别技术应用主体赔偿受害人的标准和方式。
(五)规范公权力机构人脸识别技术应用
为了防止公权力的滥用,要适当规范政府或公共机构安装使用人脸识别技术或设备的行为。一是要减少政府或公共机构安装、使用人脸识别设备的随意性。二是政府部门获取、保存、访问、使用人脸识别技术获取的信息,要经过严格的许可程序。三是人脸信息的主体有权向政府部门申请查看自己的人脸信息并有权要求政府部门或公共机构删除自己的人脸信息。四是行使公共职能的机构要严格履行政府的授权或审批程序后方可使用人脸识别技术或设备。
(六)明确人脸识别信息保护的违法责任
首先,界定人脸识别信息保护违法责任主体及法律责任。需要依法明确承担人脸识别信息保护违法责任的主体、方式和内容,明确违法责任的主观状态和客观行为表现。其次,严厉打击利用人脸识别技术的相关犯罪行为。由于违法犯罪分子使用数据的目的和手段不符合规定,应当施加严格责任。
(七)优化人脸识别信息保护的程序性规范
对人脸信息受侵权人的救济,除了通过实体规则确立其相应权利之外,还要通过程序法的规定确立或优化其权利的实现路径。优化人脸识别信息保护的程序规则,可以通过确立人脸信息侵权行为的举证责任倒置规则、建立人脸信息侵权行为的集团诉讼机制和完善司法救济机制等方式实现自然人人脸识别信息权益保护。
|
|
|
| 人脸识别信息保护亟待专门立法
|
|
|
|
|
|
| ( 2023-03-29 ) 稿件来源: 法治日报法学院 |
|
|
□ 杨华 (上海政法学院人工智能法学院教授)
习近平总书记指出,“国家网络安全工作要坚持网络安全为人民、网络安全靠人民,保障个人信息安全,维护公民在网络空间的合法权益”“要加强人工智能发展的潜在风险研判和防范,维护人民利益和国家安全,确保人工智能安全、可靠、可控”。由于人脸识别信息作为敏感数据保护的复杂性、人脸识别技术与法律的融合性、人脸识别技术应用的具体标准尚未完备,人脸识别技术应用的边界、如何避免人脸识别技术滥用、人脸识别信息受到侵害后如何救济,等等,亟待通过专门立法予以明确。
人脸识别信息保护法律规制的现状及其存在的问题
(一)对“人脸识别信息”缺乏明确的法律界定
什么是“人脸识别信息”,目前法律并没有统一的规定。从语义上讲,人脸识别信息,属于人脸信息的子类概念,但其具体的法律概念界定仍需要进一步明确。个人信息保护法并没有对“人脸识别信息”给出明确的界定。我国其他立法如民法典、数据安全法和网络安全法对“人脸识别信息”的法律界定更是缺乏。
(二)缺乏人脸识别信息保护的专门规定
与人脸识别信息保护密切相关的法律有个人信息保护法、数据安全法和网络安全法,三部法律通过对个人信息或数据保护的法律规范,对人脸识别信息保护起到了间接规范作用。此外,宪法、民法典、刑法、电子商务法、《全国人民代表大会常务委员会关于加强网络信息保护的决定》以及《关键信息基础设施安全保护条例》、电信条例、《征信业管理条例》等法律、行政法规,均无法直接适用于人脸识别信息保护。
(三)司法解释无法替代人脸识别信息保护的立法和执法问题
郭兵诉杭州野生动物世界有限公司滥用人脸识别案,在一定程度上推动了2021年7月《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》的出台。然而,司法解释解决不了人脸识别信息保护的立法问题和执法问题。一方面,全民守法的前提是“有法可依”。司法解释正是在立法缺失的情况下,在审判领域确立人脸识别信息保护纠纷解决依据的被动之举。另一方面,人脸识别信息保护的执法工作急剧增长,根据“依法行政”的执法原则,缺少人脸识别信息保护的立法,必然会给执法工作带来极大的不便。
(四)地方法规没有实质性推动人脸识别立法
很多地方政府或人大制定了人脸识别的立法规定。例如,《上海市数据条例》《广东省社会信用条例》《天津市社会信用条例》《深圳经济特区数据条例》等,体现了人脸识别在全国很多地方正在走向法治化道路。然而,这些地方立法大都是参照现有国家立法所做的简单重复,而且条文比较少,对人脸识别技术应用的过程规范性、对自然人人脸识别信息的保护及其受到侵害后的损害救济,均缺乏相应的规定。
完善人脸识别信息保护的实体法律规范
(一)法律规范应注重人脸识别技术应用的利益平衡
人脸识别过程中,有多方利益需要平衡。一是国家因对人脸信息数据的归集、整理和分析,提高了国家治理体系和治理能力现代化水平,实现了国家数字经济、技术经济的快速发展。二是行使国家管理权的机构或部门可以在提高效率、节省人力、强化权威等方面受益。三是行使公共管理职能的企事业单位、基层自治组织既完成了国家授权的职能,也实现了自身利益需求。四是营利性的私营企业可以精准排查客户、节省运营成本、提高运营效率,还可以对客户的信息数据进行加工、整理形成独具特色的商业模式。五是公众可以享受人脸支付、人脸乘车、人脸住宿等系列便利。在这五个方面的受益主体中,谁将享受到最大的利益?谁应当享受最大的利益?利益主体之间是否会存在此消彼长的关系?怎么保障各利益主体之间的平衡?这是人脸识别法律规范制定过程中需要考虑的问题。
(二)确立人脸识别信息保护的基本原则
属于敏感个人信息的人脸识别信息相较于一般个人信息而言,受到侵害时的后果更为严重,应受法律的特殊保护。我国在制定人脸识别信息保护规范时应当确立如下原则:一是使用人脸识别的合法、正当和必要原则。二是处理人脸识别信息应当遵循诚实信用、公开透明原则。三是保障自然人的知情同意权和选择权原则。四是严格人脸识别商业性技术应用标准原则。五是明确人脸识别信息的最小化收集、利用和事后删除原则。六是确立鼓励技术创新原则。
(三)厘定人脸识别信息权益的保护范围
人脸识别信息权益的保护范围至少包括如下几个方面:一是民法典中规定的权利。具体包括与人脸识别信息相关的人格权、肖像权、隐私权、人脸识别信息产生的财产权、个人信息权等。二是个人信息保护法中规定的与人脸识别信息保护有关的人格尊严与人身财产安全以及通信自由和通信秘密等利益,为实现个人信息权益保护的同意权、知情权、查阅权、复制权、转移权、更正权、补充权、删除权、请求解释说明权等权利。
(四)明确人脸识别技术商业应用规则
由于商业应用的风险较大,我国有必要为人脸识别技术商业应用的主体设定人脸识别的“告知-同意-限制使用-及时删除-损害赔偿”规则。告知是指使用人脸识别技术收集人脸信息时必须告知对方。同意是指在收集、使用、披露个人信息之前也必须征得个人明示或默示的同意。限制使用是指使用人脸识别信息必须有加密措施并获得相应许可后方可使用。及时删除是指将不必要保留的人脸识别信息按照法律规定的时间、方式和途径予以删除。损害赔偿是对于违反法律规定的人脸识别技术应用主体赔偿受害人的标准和方式。
(五)规范公权力机构人脸识别技术应用
为了防止公权力的滥用,要适当规范政府或公共机构安装使用人脸识别技术或设备的行为。一是要减少政府或公共机构安装、使用人脸识别设备的随意性。二是政府部门获取、保存、访问、使用人脸识别技术获取的信息,要经过严格的许可程序。三是人脸信息的主体有权向政府部门申请查看自己的人脸信息并有权要求政府部门或公共机构删除自己的人脸信息。四是行使公共职能的机构要严格履行政府的授权或审批程序后方可使用人脸识别技术或设备。
(六)明确人脸识别信息保护的违法责任
首先,界定人脸识别信息保护违法责任主体及法律责任。需要依法明确承担人脸识别信息保护违法责任的主体、方式和内容,明确违法责任的主观状态和客观行为表现。其次,严厉打击利用人脸识别技术的相关犯罪行为。由于违法犯罪分子使用数据的目的和手段不符合规定,应当施加严格责任。
(七)优化人脸识别信息保护的程序性规范
对人脸信息受侵权人的救济,除了通过实体规则确立其相应权利之外,还要通过程序法的规定确立或优化其权利的实现路径。优化人脸识别信息保护的程序规则,可以通过确立人脸信息侵权行为的举证责任倒置规则、建立人脸信息侵权行为的集团诉讼机制和完善司法救济机制等方式实现自然人人脸识别信息权益保护。
|
|
|
