因?yàn)槿四樧R(shí)別技術(shù)不當(dāng)應(yīng)用和人臉識(shí)別信息被不當(dāng)處理所引發(fā)的個(gè)人信息保護(hù)話題備受關(guān)注。公眾對(duì)人臉識(shí)別技術(shù)的擔(dān)憂不斷加深,加強(qiáng)人臉識(shí)別信息保護(hù)的呼聲日益高漲。在此背景下,最高人民法院出臺(tái)了《關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問題的規(guī)定》(下稱《規(guī)定》),為因處理人臉識(shí)別信息引起民事糾紛的案件提供審判指引。其后,全國人大常委會(huì)通過了我國第一部專門保護(hù)個(gè)人信息的個(gè)人信息保護(hù)法,對(duì)人臉識(shí)別等問題作出詳細(xì)規(guī)定。個(gè)人信息保護(hù)法和《規(guī)定》的出臺(tái)加強(qiáng)了我國對(duì)人臉識(shí)別信息的法律保護(hù),也反映出規(guī)范人臉識(shí)別技術(shù)應(yīng)用、保護(hù)人臉識(shí)別信息已成為當(dāng)下亟須解決的重要命題。
人臉識(shí)別信息的敏感屬性。規(guī)制人臉識(shí)別技術(shù)應(yīng)用帶來的風(fēng)險(xiǎn)、嚴(yán)格保護(hù)人臉識(shí)別信息的前提是明確人臉識(shí)別信息在法律上的屬性。人臉識(shí)別信息來源于自然人面部,能準(zhǔn)確識(shí)別特定自然人,具有直接識(shí)別性、獨(dú)特性和唯一性,《規(guī)定》明確規(guī)定人臉識(shí)別信息屬于
生物識(shí)別信息。
個(gè)人信息的種類繁多且敏感程度各有不同,以個(gè)人信息的敏感程度為標(biāo)準(zhǔn)可分為敏感個(gè)人信息和一般個(gè)人信息。個(gè)人信息的敏感度越高,被非法處理后對(duì)信息主體造成傷害的可能性和程度越大。個(gè)人信息保護(hù)法將敏感個(gè)人信息定義為一旦泄露或被不當(dāng)收集、存儲(chǔ)、使用、加工等處理后極易令信息主體人格尊嚴(yán)受到侵害或人身財(cái)產(chǎn)安全受到傷害的個(gè)人信息。其中,人臉識(shí)別信息等生物識(shí)別信息是敏感個(gè)人信息的典型。
人臉識(shí)別信息以或顯或隱的方式表征著自然人的人格,一旦被非法收集、使用、存儲(chǔ)、傳輸、披露,對(duì)信息主體造成歧視、人格尊嚴(yán)貶損和隱私泄露等后果可能伴隨一生。因此,屬于敏感個(gè)人信息的人臉識(shí)別信息被非法處理的后果較一般個(gè)人信息更為嚴(yán)重,需要法律的特殊保護(hù)。
我國人臉識(shí)別信息保護(hù)的立法現(xiàn)狀。我國暫未出臺(tái)專門保護(hù)人臉識(shí)別信息的法律,保護(hù)人臉識(shí)別信息主要依據(jù)現(xiàn)行法中關(guān)于敏感個(gè)人信息、一般個(gè)人信息和隱私權(quán)的規(guī)定。《征信業(yè)管理?xiàng)l例》是我國最早對(duì)生物識(shí)別信息進(jìn)行嚴(yán)格保護(hù)的行政法規(guī),原則上禁止征信機(jī)構(gòu)采集個(gè)人宗教信仰、生物識(shí)別信息等個(gè)人信息。但該條例效力層級(jí)較低,對(duì)人臉識(shí)別信息的保護(hù)力度不足。民法典以私密度作為分類標(biāo)準(zhǔn),將個(gè)人信息分為私密信息和非私密信息,雖沒有明確人臉識(shí)別信息的敏感個(gè)人信息屬性,但為人臉識(shí)別信息提供了民事基本法的保護(hù)依據(jù)?!兑?guī)定》是我國第一部關(guān)于解決人臉識(shí)別信息民事糾紛的司法解釋,規(guī)定了濫用人臉識(shí)別技術(shù)處理人臉識(shí)別信息的行為性質(zhì)、責(zé)任、免責(zé)事由以及包括公益訴訟在內(nèi)的民事訴訟程序,為人臉識(shí)別信息被侵害提供了較為完善的司法救濟(jì)。個(gè)人信息保護(hù)法作為我國個(gè)人信息法律保護(hù)的里程碑,首開敏感個(gè)人信息與一般個(gè)人信息區(qū)分保護(hù)之先河,設(shè)專節(jié)嚴(yán)格規(guī)范包括人臉識(shí)別信息在內(nèi)的敏感個(gè)人信息處理行為,對(duì)人臉識(shí)別信息提供了綜合、全面的法律保護(hù)。
個(gè)人信息保護(hù)法對(duì)人臉識(shí)別信息的特別保護(hù)。個(gè)人信息處理規(guī)則是個(gè)人信息保護(hù)法的立法重點(diǎn)。人臉識(shí)別信息自被收集起,信息主體便逐漸喪失對(duì)該信息的控制。由于人臉識(shí)別信息被侵害的后果具有不可逆轉(zhuǎn)性,即便事后彌補(bǔ)也無法減輕已造成的損害程度,更無法消除已產(chǎn)生的負(fù)面影響。不對(duì)人臉識(shí)別信息處理行為進(jìn)行嚴(yán)格規(guī)制,便無法真正地破解信息安全風(fēng)險(xiǎn),從根本上保護(hù)人臉識(shí)別信息。個(gè)人信息保護(hù)法對(duì)人臉識(shí)別信息的處理行為有以下四點(diǎn)要求:第一,確立“特定目的”和“充分必要”處理原則。為減少收集、存儲(chǔ)、使用、傳輸?shù)忍幚砣四樧R(shí)別信息行為對(duì)信息主體的傷害,要求信息處理者只有在滿足“特定目的”和“充分必要”并采取嚴(yán)格保護(hù)措施的情況下才可處理人臉識(shí)別信息。第二,擴(kuò)大“知情同意規(guī)則”中告知內(nèi)容的范圍。鑒于人臉識(shí)別信息的高度敏感性,信息處理者除向信息主體告知人臉識(shí)別信息的處理目的、方式、種類和保存期限等內(nèi)容外,還應(yīng)告知處理人臉識(shí)別信息的必要性以及對(duì)個(gè)人權(quán)益的影響。第三,明確“知情同意規(guī)則”中同意的形式。處理人臉識(shí)別信息時(shí)必須獲得信息主體單獨(dú)的專項(xiàng)同意,在法律、行政法規(guī)有特殊規(guī)定時(shí)還需取得信息主體的書面同意,以滿足信息主體對(duì)其人臉識(shí)別信息保護(hù)的要求。第四,進(jìn)行事前個(gè)人信息保護(hù)影響評(píng)估。要求信息處理者在處理人臉識(shí)別信息時(shí)進(jìn)行事前個(gè)人信息保護(hù)影響評(píng)估,以檢驗(yàn)處理人臉識(shí)別信息的目的、方式是否合法、正當(dāng)、充分必要,所采取的保護(hù)措施是否合法、有效且與此處理行為對(duì)信息主體權(quán)益的影響相匹配。
人臉識(shí)別技術(shù)的無接觸性令信息處理者在未取得信息主體同意的情況下即可處理人臉信息。尤其在公共場(chǎng)所,該技術(shù)的強(qiáng)隱蔽性對(duì)個(gè)人信息處理規(guī)則的破壞表現(xiàn)得更為突出,更遑論信息處理者取得人臉信息主體單獨(dú)、書面的同意。因此,個(gè)人信息保護(hù)法對(duì)此作出了特別規(guī)定,在公共場(chǎng)所安裝個(gè)人身份識(shí)別設(shè)備時(shí)須為保障公共安全所必需,并設(shè)置顯著標(biāo)識(shí)進(jìn)行提示;所收集到的個(gè)人畫像和身份特征信息只能用于維護(hù)公共安全目的,除非獲得信息主體單獨(dú)的同意,原則上禁止向他人提供或公開。
個(gè)人信息保護(hù)法為保護(hù)人臉識(shí)別信息構(gòu)建了嚴(yán)格的事前信息處理規(guī)則,除此之外還為侵害人臉識(shí)別信息的行為規(guī)定了罰款、吊銷營業(yè)執(zhí)照、損害賠償?shù)刃姓?、民事乃至刑事?zé)任,以增強(qiáng)對(duì)違規(guī)使用人臉識(shí)別技術(shù)、侵害人臉識(shí)別信息的行為的威懾力。