資料圖(圖文無關)
日前,天津一項地方性立法消息幾乎刷爆各大社交平台,該市人大常委會表決通過的《社會信用條例》明確,市場信用信息提供單位不得采集包括自然人生物識別信息在內的多項個人信息,而按照相關國家標準,“個人生物識別信息”涵蓋個人面部識別特徵、基因、指紋、聲紋、掌紋等內容,這也使得“天津立法禁止採集人臉識別信息”的新聞被熱議。
首先需要釐清,此番天津立法僅是以社會信用管理規範的角度觸及個人信息保護問題,事實上並非對個人信息安全的直接規制與保護,嚴格説來“立法禁止採集人臉識別信息”的説法並不準確。天津規範更多是從必要性角度,對市場信用採集領域過度收集個人信息行為予以約束,在此之前,其他地方性《社會信用條例》文本也多有個人信息收集的某種排除條款。當然,在地方性立法中明確禁止市場信用信息提供主體收集個人生物識別信息,依然可視為地方立法機關對公眾憂慮人臉識別技術被濫用的一種回應和反饋。
與此同時,全國多地事實上也在加強對人臉識別技術的相關約束。今年11月,南京市住房保障與房產局發文要求,商品房銷售現場禁止使用人臉識別系統。而杭州也擬立法禁止物業服務機構強制業主通過指紋、人臉識別等生物信息方式使用共用設施設備。
人臉識別從技術新寵到成為眾矢之的,審慎使用與高度警惕的社會共識正在形成。
人臉識別技術的使用及其氾濫,技術的便利性往往被強調,但其對人體生物信息的安全隱患卻在被刻意遮掩。在不強制、可選擇的要求下,人為加大非人臉識別方式繁瑣度的現象普遍存在,客觀上將用户逼到“表面上有選擇而實質上沒得選”的窘境。
需要明確的是,對於收集、使用個人信息,現行法律的態度正在逐步明確,在即將正式實施的《民法典》中,要求個人信息的收集使用必須遵循合法、正當、必要原則,並滿足徵得同意、明示目的方式與範圍等多項條件,應當説是直接針對個人生物信息保護的高位階立法規範。當然,在收集和使用個人信息中的“單獨告知”和“明示同意”要求,僅出現在《信息安全技術個人信息安全規範》這一約束力有限的標準性規範中,亟待通過正式的立法賦予其法律的強制約束力。
個人生物識別信息作為公民個體的隱私權利,被收集、使用的過程與程序應當秉承“最少夠用”原則,從必要性角度進行嚴格把關。而不管是帶有探索性質的地方立法實踐,還是國家層面的立法演進,都同樣面臨着一個“如何確保法律有效實施”的問題。
徒法不足以自行,即便是日前備受熱議的《天津社會信用條例》,其對相關市場主體收集公民個人生物識別信息的規制,也仍舊需要解決規範的有效執行與常態監管問題。最實際的檢驗則是,當普通公民的個人生物信息未經同意被採集、儲存和使用,其申訴、維權渠道是否得到暢通保障?而在採取普通民事糾紛方式“不告不理”之前,執法監管機構對於市場主體公然濫用人臉識別的做法,尤其需要強有力的響應、監管與處罰。房產企業等地方經濟依賴,在濫用人臉識別技術時能否得到有效的執法監管,物業管理等社會治理基礎單元,其對公民生物識別信息的過度獲取企圖,事實上也需要包括行政執法、檢察公益訴訟在內的治理力量介入,以達成公民合法權益與社會治理需求的穩妥平衡。
公眾對天津立法的“美好誤會”,是一種權利救濟匱乏下的迫不得已。在國家立法層面,對違法收集個人信息的主體,已經有包括責令改正、警告、罰沒、停業整頓、吊銷執照直至追究刑事責任的全套規制手段,給積極有為的政府治理留足了空間。有效的監管執法是杜絕侵犯公民個人信息權利的最直接手段,也是避免人臉識別技術被濫用、逐步改變“法不責眾”現象的治理途徑,更是外界期待之焦點所在。