新冠疫情發生後,大數據、人工智能、人臉識別等技術廣泛應用在防疫中。突然增加的信息曝光,讓很多人擔憂自己的個人信息是否能得到有效保護。
今年全國兩會,部分代表委員也提出了這一問題,並形成議案、提案、建議等,為個人信息保護提供政策參考。
全國人大代表、上海財經大學公共經濟與管理學院院長劉小兵認為,為了應急防疫採取的一些措施,在疫情緩解之後應儘量取消,不能將暫時措施變成永久措施。全國政協委員、百度董事長李彥宏也建議,新冠肺炎疫情期間採集的個人信息應設立退出機制。
全國人大常委會法工委近日透露,《個人信息保護法》正在研究起草中,目前草案稿已經形成。起草該法的背景,就包括大數據、人工智能等新技術發展對個人信息保護帶來的難題。
已經提請十三屆全國人大三次會議審議的民法典,也對“AI換臉、換聲”等問題進行了回應,作出相關規定。中國人民大學法學院教授,中國法學會民法典起草領導小組成員和侵權責任編召集人張新寶在接受新京報採訪時提到,民法典對於人工智能等一系列技術的未來發展,還是留下了足夠空間。
建議1
個人信息應分類分級保護
近日,一份在京發佈的《人臉識別與公共衞生調研報告》,對疫情期間公眾對人臉識別的接受度進行了研究。報告顯示,疫情中大規模使用的人臉識別及其增強形式,讓很多受訪者擔憂其自身信息安全。受訪的1100多人中,60.3%的受訪者不知道哪些實體擁有自己的面部數據,93.8%的受訪者認為自己有權知道,僅有33.5%認為自己的面部數據是安全的。
這一現象也受到全國政協委員、北京國際城市發展研究院院長連玉明關注。他注意到,這次新冠肺炎疫情防控在不斷擴大公眾知情權的同時,也出現了由於信息權保護缺失導致某些信息泄露的問題。
例如,缺乏根據應用場景對個人信息的分類分級保護,導致個人信息無序傳播。掌握個人信息的主體多元,對這些機構主體在信息收集、使用、處理和保護方面,還缺乏規範和監管。另外,缺乏收集、使用和處理個人信息的合法性基礎,無法保證個人信息有效使用於合法性事由,導致類似“人肉搜索”等隱私泄露問題。從另一方面看,個人信息泄露也直接影響公眾對公共機構的信任,對疫情防控帶來負面影響。
連玉明提醒,《個人信息保護法》應充分考慮根據應用場景對個人信息進行分類分級保護的條款。借鑑歐盟GDPR,個人信息分為一般個人信息和特殊類型信息,後者也被稱為敏感個人信息。
因此,在突發公共衞生事件應急處置中,姓名、出生日期、身份證件號碼、生物識別信息、住址、電話、電子郵箱、定位數據、在線活動等行蹤信息,也應“升格”為特殊類型信息,從個人信息權高度加以法律保護。基因數據、生物數據和健康數據等本身作為特殊類型信息,更應特別保護。
建議2
疫情緩解後部分應急措施應解除
全國人大代表、上海財經大學公共經濟與管理學院院長劉小兵認為,為了應急防疫採取的一些措施,在疫情緩解之後,應該儘量取消,不能將暫時措施變成永久措施。
這一觀點與調研報告不謀而合。上述調研報告顯示,超八成受訪者認為,公共衞生危機結束後,應銷燬在非公共空間內蒐集的人臉信息,超七成受訪者希望減少不必要的人臉識別應用場景。
尤其是在恢復正常生活後,受訪者普遍認為,應削減出於應對危機需要採集的人臉信息和部署的人臉識別應用。
“從政府管理角度,擁有更多居民信息或許有利,但從個人角度出發,自由一定會受到部分限制,這些臨時應急措施不能稱為常態。”劉小兵説。
全國政協委員、百度董事長李彥宏也建議,針對新冠肺炎疫情期間採集的個人信息設立退出機制,加強對已收集數據的規範性管理,研究制定特殊時期的公民個人信息收集、存儲和使用的標準和規範。
針對後疫情時期個人信息管理,連玉明則建議,儘快啓動建立專門的個人信息保護監管機構。借鑑香港個人資料私隱專員公署的做法,如果違反相關原則,隱私署有權發佈強制執行通知、約談數據使用者,並系統調查數據使用情況。“隨着《網絡安全法》的頒佈實施和《個人信息保護法》《數據安全法》陸續頒佈,建立個人信息保護監管機構勢在必行。”
建議3
公共機構收集使用信息需依法規範
連玉明建議,行政機關、公共機構的信息收集、使用和處理需要在《個人信息保護法》中加以規範。
我國《傳染病防治法》《突發公共衞生事件應急條例》對重大傳染病疫情突發公共衞生事件應急處置中,授權進行個人信息收集和使用均做出明確規定。但現實中掌握個人信息的主體眾多,包括地方教育部門、公安部門、鐵路航空交通部門、基層政府工作人員、電信運營商以及互聯網公司等。這些主體在什麼條件下可以收集信息、收集哪些信息、如何收集信息,以及這些信息在收集後的安全使用,都應劃定邊界並依法規範。
連玉明説,對基於數據關聯分析的個人信息應加大監管力度,對未經授權披露在傳染病暴發期間收集的個人信息可能會使個人面臨風險,包括污名化、歧視、暴力等,應依法提供足夠的保護。
“現在有的小區強制安裝人臉識別門禁,有的商店只接受移動支付,這些做法其實都將個人信息暴露在各種平台上,是有風險的。”劉小兵説。他認為,個人生活便利和隱私保護之間存在權衡關係,很多人為了獲取便利將個人信息暴露在技術提供者的視野裏,如果技術提供者沒有受到良好的規範,就有隱私泄露的危險。
“比如小區強制安裝人臉識別門禁,個人可以請政府出面阻止,也可以起訴,外國就有這樣的事件發生。”劉小兵説,歸根結底,在技術發展越來越快的形勢下,個人永遠要為自己的意識安裝“防盜網”。
連玉明建議,面對在重大突發公共衞生事件應急處置中對侵害眾多公民個人信息權的行為,以及相關行政機關違法行使職權或不作為致使眾多公民個人信息權被侵害的,應當納入檢察機關公益訴訟範疇加以法律保護。
■ 鏈接
個人信息保護立法循序漸進
至少從2018年開始,個人信息保護就成了全國兩會上的熱點話題。
全國人大常委會法工委有關部門負責人近日透露,隨着大數據、人工智能等新技術發展,個人信息的收集、應用更加廣泛,加強個人信息保護的任務更加艱鉅。2018年開始,全國人大常委會法工委會同中央網信辦,抓緊開展個人信息保護法的研究起草工作。目前,個人信息保護法草案稿已經形成,根據各方面意見進一步完善後,將按照全國人大常委會立法工作安排,爭取儘早提請全國人大常委會會議審議。
今年兩會中,我國首部民法典草案提請十三屆全國人大三次會議審議,其中人格權編草案也對公民的“臉”和“聲音”作出了新技術環境中的保護規定。
二審稿中新增規定:任何組織或個人不得以醜化、污損,或者利用信息技術手段偽造等方式侵害他人的肖像權。未經肖像權人同意,不得製作、使用、公開肖像權人的肖像,但是法律另有規定的除外。
二審稿還將“聲音”納入了人格權的保護範圍,增加規定:對自然人聲音的保護,參照適用肖像權保護的有關規定。
也就是説,利用信息技術手段“惡搞換臉”;偽造他人的聲音、面部表情及身體動作,拼接合成虛假內容,均屬於侵犯肖像權、聲音權。