论文部分内容阅读
从“人脸识别第一案”——郭兵(浙江理工大学法政学院特聘副教授、杭州长三角大数据研究院副院长)诉杭州野生动物世界有限公司要求删除年卡面部特征信息获胜诉,到今年“3·15”晚会曝出的“多家知名商店安装人脸识别系统未经同意收集个人信息”,关于“人脸信息安全保护”的话题一直广受关注。
过去几年,由于缺乏相对完善的法律规制,人脸信息收集者在处理人脸信息数据时存在滥用甚至违法使用的风险。加强对人脸信息的立法保护和司法保护,关系到个人信息安全保护问题,也关系到数字经济的良性发展。
8月20日正式出台的《中华人民共和国个人信息保护法》(下称“个人信息保护法”)对涉及人脸信息采集的相关问题,作出了进一步规定。该法第二十六条明确了公共场所的视频监控和个人身份识别设备的安装规则,所收集个人信息使用目的的限制性规定,即“所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的”。
此外,个人信息保护法在第二章第二节专节规定了“敏感个人信息的处理规则”。结合关于敏感个人信息的规定,人脸信息属于敏感个人信息。
中国信息通信研究院云计算与大数据研究所研究员呼娜英表示,个人信息保护法明确要求个人信息处理者在处理敏感个人信息前需存在“特定的目的”及“充分的必要性”。该条是对处理个人信息遵循“合法、正当、必要”的具体体现,也是对处理敏感个人信息提出更高的要求。鉴于人脸信息也属于敏感个人信息,因而对人脸信息的处理也需要遵循敏感个人信息的特殊规则进行保护、处理。
对收集个人敏感信息限制更严格
个人信息保护法第二十六条规定:在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
值得注意的是,前述条文中“不得用于其他目的”,在个人信息保护法二审稿第二十七条中是“不得公开或者向他人提供”。
9月6日,“人脸识别第一案”原告郭兵在接受《法人》记者采访时表示,相比二审稿,正式发布条文规定的“不得用于其他目的”限制更加严格,这意味着除了用于维护公共安全的目的,包括公开、向他人提供等不涉及公共安全的使用都是禁止范围。
呼娜英也表示,个人信息保护法在三次审议中不断强化针对公共场所安装图像采集、个人身份识别设备的要求。相较于二审稿,个人信息保护法将所收集的个人图像、身份识别信息的禁止性规定由“不得公开或者向他人提供”修改为“不得用于其他目的”,进一步限缩了图像采集、个人身份识别的处理范围。另外,该法条中将连接限制个人图像、身份识别信息使用的原则性规定与个人单独同意的例外性规定之间的“逗号”改成“分号”,一定程度上消除了二审稿中个人单独同意例外使用目的的歧义。
9月6日,通力律师事务所大合规业务组负责合伙人潘永建指出,按照第二十六条的规定,如以维护公共安全以外的目的在公共场所设置图像采集、人脸识别装置,应征得自然人(或者其监护人)的单独同意。此外,第二十八条和第二十九条也再次明确,处理敏感个人信息应取得个人的“单独同意”。
如何理解“单独同意”?郭兵认为,单独同意与一般的告知同意存在差别,结合7月28日最高人民法院发布的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》的规定,单独同意是不能强迫或者变相强迫的同意,至少意味着不能像隐私政策那样一揽子绑定授权同意。
潘永建律师也认为,单独同意是指应通过交互方式取得个人的明示同意,不应仅在隐私政策中笼统表述而不作单独说明。
配套适用规则仍有待进一步明确
北京市中伦文德律师事务所合伙人、网络安全和数据合规专业委员会主任徐云飞律师认为,尽管个人信息保护法明确了公共场所监控设备在采集图像信息时需“取得单独同意”的使用规则和“仅可用于维护公共安全”的限制性规定。但在实践中,仍有诸多问题需要进一步明确,比如,如何定义“公开场所”“公共安全”,如何理解“必需”等。
郭兵也认为,就第二十六条的规定而言,未来肯定需要相关配套立法来加以明确的。除了目前規定中对于“公共场所”“公共安全”的范围界定不明确之外,上面说到的“单独同意”在理解上也会存在一定分歧,“显著的提示标识”中“显著”的程度也很难评价,这些可能都是需要配套立法加以明确的。
呼娜英指出,当前人脸识别技术和具体业务场景深度结合,人脸安全防护问题和人脸信息保护问题深度交织在一起,技术和业务仍在快速的发展和演进中,这就更需要从体系化的视角开展相应的治理工作,如何更好地平衡创新技术和风险防范成为重要的研究议题。
呼娜英透露,目前,中国信息通信研究院云计算与大数据研究所在相关主管部门的指导支持下,在现有法律法规、标准规范等框架下,正在不断推进相关研究工作,加快编写“《人脸信息处理合规性操作指引(拟)》”等研究报告,为人脸识别相关企业构建全链路安全以及合规处理人脸数据提供参考依据,促进人脸识别产业的健康发展。
过去几年,由于缺乏相对完善的法律规制,人脸信息收集者在处理人脸信息数据时存在滥用甚至违法使用的风险。加强对人脸信息的立法保护和司法保护,关系到个人信息安全保护问题,也关系到数字经济的良性发展。
8月20日正式出台的《中华人民共和国个人信息保护法》(下称“个人信息保护法”)对涉及人脸信息采集的相关问题,作出了进一步规定。该法第二十六条明确了公共场所的视频监控和个人身份识别设备的安装规则,所收集个人信息使用目的的限制性规定,即“所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的”。
此外,个人信息保护法在第二章第二节专节规定了“敏感个人信息的处理规则”。结合关于敏感个人信息的规定,人脸信息属于敏感个人信息。
中国信息通信研究院云计算与大数据研究所研究员呼娜英表示,个人信息保护法明确要求个人信息处理者在处理敏感个人信息前需存在“特定的目的”及“充分的必要性”。该条是对处理个人信息遵循“合法、正当、必要”的具体体现,也是对处理敏感个人信息提出更高的要求。鉴于人脸信息也属于敏感个人信息,因而对人脸信息的处理也需要遵循敏感个人信息的特殊规则进行保护、处理。
对收集个人敏感信息限制更严格
个人信息保护法第二十六条规定:在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
值得注意的是,前述条文中“不得用于其他目的”,在个人信息保护法二审稿第二十七条中是“不得公开或者向他人提供”。
9月6日,“人脸识别第一案”原告郭兵在接受《法人》记者采访时表示,相比二审稿,正式发布条文规定的“不得用于其他目的”限制更加严格,这意味着除了用于维护公共安全的目的,包括公开、向他人提供等不涉及公共安全的使用都是禁止范围。
呼娜英也表示,个人信息保护法在三次审议中不断强化针对公共场所安装图像采集、个人身份识别设备的要求。相较于二审稿,个人信息保护法将所收集的个人图像、身份识别信息的禁止性规定由“不得公开或者向他人提供”修改为“不得用于其他目的”,进一步限缩了图像采集、个人身份识别的处理范围。另外,该法条中将连接限制个人图像、身份识别信息使用的原则性规定与个人单独同意的例外性规定之间的“逗号”改成“分号”,一定程度上消除了二审稿中个人单独同意例外使用目的的歧义。
9月6日,通力律师事务所大合规业务组负责合伙人潘永建指出,按照第二十六条的规定,如以维护公共安全以外的目的在公共场所设置图像采集、人脸识别装置,应征得自然人(或者其监护人)的单独同意。此外,第二十八条和第二十九条也再次明确,处理敏感个人信息应取得个人的“单独同意”。
如何理解“单独同意”?郭兵认为,单独同意与一般的告知同意存在差别,结合7月28日最高人民法院发布的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》的规定,单独同意是不能强迫或者变相强迫的同意,至少意味着不能像隐私政策那样一揽子绑定授权同意。
潘永建律师也认为,单独同意是指应通过交互方式取得个人的明示同意,不应仅在隐私政策中笼统表述而不作单独说明。
配套适用规则仍有待进一步明确
北京市中伦文德律师事务所合伙人、网络安全和数据合规专业委员会主任徐云飞律师认为,尽管个人信息保护法明确了公共场所监控设备在采集图像信息时需“取得单独同意”的使用规则和“仅可用于维护公共安全”的限制性规定。但在实践中,仍有诸多问题需要进一步明确,比如,如何定义“公开场所”“公共安全”,如何理解“必需”等。
郭兵也认为,就第二十六条的规定而言,未来肯定需要相关配套立法来加以明确的。除了目前規定中对于“公共场所”“公共安全”的范围界定不明确之外,上面说到的“单独同意”在理解上也会存在一定分歧,“显著的提示标识”中“显著”的程度也很难评价,这些可能都是需要配套立法加以明确的。
呼娜英指出,当前人脸识别技术和具体业务场景深度结合,人脸安全防护问题和人脸信息保护问题深度交织在一起,技术和业务仍在快速的发展和演进中,这就更需要从体系化的视角开展相应的治理工作,如何更好地平衡创新技术和风险防范成为重要的研究议题。
呼娜英透露,目前,中国信息通信研究院云计算与大数据研究所在相关主管部门的指导支持下,在现有法律法规、标准规范等框架下,正在不断推进相关研究工作,加快编写“《人脸信息处理合规性操作指引(拟)》”等研究报告,为人脸识别相关企业构建全链路安全以及合规处理人脸数据提供参考依据,促进人脸识别产业的健康发展。