以公共利益為限制標準,防範人臉識別被濫用
人臉信息是個人核心隱私,也是個人敏感信息。人臉信息不僅涉及個人肖像,還包括身體、健康、年齡、種族等信息,甚至可能包括個人的心理信息。
並且,人臉信息廣泛涉及個人其他私密信息。比如,有些銀行賬户和人臉信息進行綁定、關聯。因此,一旦人臉信息被泄露,或被不法分子違法共享、轉讓,會造成嚴重後果。因此,對於人臉識別被濫用的現象,確實應該引起高度的關注。
人臉信息屬於敏感信息,必須權利人“明確同意”才能進行採集,如果權利人沒有明確同意,則必須要基於公共利益的需要才能收集。
現在人臉識別之所以被濫用,是因為有些使用已經明顯超出公共利益範疇。雖然公共利益的解釋可能會比較寬泛,但還是有特定內涵,比如為了公共安全、保護個人生命財產安全等,都屬於公共利益的範圍;而出於商業目的或盈利目的,則不屬於公共利益範圍。在“人臉識別第一案”中,動物園就屬於商業機構,其收集很難説是為了公共利益。
因此,未經權利人“明確同意”的採集,應該符合公共利益的需要。這可能是防範人臉識別技術被濫用最重要的規則。並非所有的機構都能夠進行人臉識別信息的收集。
人臉信息屬於個人敏感信息,要用户明確同意
保護人臉信息,首先要認真遵守貫徹好《民法典》對人的信息保護的應用。《民法典》第1035條明確收集信息應當堅持合法、正當、必要原則,堅持最小化原則,能不收集儘量不收集,能少收集儘量少收集。這裏自然也涉及人臉信息保護的規範問題。
同時,《民法典》第1038條也明確規定這些信息不得擅自轉讓、共享;在共享時要再次取得權利人的同意,除非已進行匿名化處理。但即便如此,相關方也要負起安全維護職責。
此外,對於人臉信息的保護,僅僅依靠《民法典》還不夠,還要通過正在制定的《個人信息保護法》來加強保護,特別是以下幾方面,要格外關注。
首先是個人敏感信息的概念。《民法典》沒有提到個人敏感信息的概念,是因為《民法典》只是規定了一般信息的保護規則,不可能規定得非常詳盡,需要在《個人信息保護法》中作出規定。
其次是“同意”的方式。一般信息的收集處理規則,《民法典》中用的是“同意”。這可以採取默示同意方式,也可以採取明示同意方式。但人臉信息有別於一般信息,屬於敏感信息。對於敏感信息不能泛泛地採用默示同意方式,除非是為了公共利益的需要,必須權利人“明確同意”才可收集。並且,在此之前還要有告知義務,使權利人詳細知道蒐集的信息是要幹什麼,做什麼用途。
所以,建議在《個人信息保護法》中可以針對人臉信息,進一步要求明確同意,這樣可能更有利於保護人臉信息。
第三,要加強對未成年人人臉信息的保護。採集未成人人臉信息,必須要取得其監護人同意。
第四,要嚴格限制人臉信息的共享。如果收集方要與他人共享人臉信息,須取得權利人的明確同意。只有進行第二次的“明確同意”,才能更好地保護人臉信息。
最後,要強化對採集人臉信息的安全維護。如果沒有建立相應的維護措施,這些信息一旦被泄露,後果很嚴重。因此,從法律層面上看,不僅迫切需要確立安全維護的義務,而且對沒有盡到義務、導致大面積信息泄露、對權利人造成損害的有關單位,應該明確承擔相應的責任。
人臉信息屬於隱私權,應該強調保護而非利用
從全世界範圍來看,法律層面上處理個人信息,都要面對兩個問題,一是對個人信息進行保護,二是在保護的同時又要注重對個人信息的利用。
可以説,在法律層面上如何平衡好個人信息的保護與利用的關係,是各國個人信息保護法制定時需要考慮的最大問題。
在我國《民法典》的制定過程中,就反覆討論、平衡兩者的關係。如果保護過度會影響個人信息的利用,影響數據產業的發展,甚至影響技術的發展。但如果保護門檻太低,對個人人格權益的保護也是非常不利的。
因此,現在《民法典》中的“個人信息保護”後面沒有跟着一個“權”字,主要就是擔心如果將個人信息提升到人格權層面,會不會使得其保護程度過高,影響和妨礙了信息的利用。並且,在《民法典》中,個人信息和隱私是區別對待的,隱私保護程度要比個人信息更高。
人臉信息比較特殊,與一般個人信息有所不同,涉及隱私和個人信息的交叉。人臉信息不僅是個人信息,實際上還包括個人核心隱私。所以,人臉信息應該成為隱私權的重要組成部分。
我更傾向於將人臉信息等敏感信息與一般的信息保護進行區別對待,在如何平衡“利用與保護”兩者關係時,人臉信息要更注重保護,而其他非敏感信息則是更多地強調“利用”。
☐王利明(中國人民大學一級教授、中國法學會副會長、民法學會會長)
校對:賈寧