如何平衡公共安全與個人資訊保護
全國人大常委會委員建議透過立法實現收集個人資訊最小化
一個“看臉”的時代似乎悄然來臨。伴隨技術的進步,人臉識別的應用場所越發廣泛。尤其是新冠肺炎疫情防控期間,除了商場、超市、火車站、醫院等場所,一些居民小區也開始對出入人員進行人臉識別。
而技術帶來方便快捷高效的同時,也帶來了越來越多的有關個人資訊保安的擔憂。近日,#2元錢就能買上千張涉隱私人臉照#的話題衝上熱搜,再次觸動社會神經。幾乎同一時間,一則“杭州擬立法明確物業不得強制業主人臉識別進小區”的訊息也引發廣泛關注。
究竟該如何平衡個人資訊保護和維護公共安全的關係?就在上個月,備受關注的個人資訊保護法草案提請十三屆全國人大常委會第二十二次會議審議。草案將應對突發公共衛生事件或者緊急情況下保護自然人的生命健康,作為處理個人資訊的合法情形之一。
該如何協調好防疫等公共利益的需要和資訊收集處理之間的關係,該怎樣透過立法手段實現收集個人資訊最小化並符合比例原則,究竟在什麼情況下應當收集人臉等重要資訊、收集後又該如何儲存保管,一旦洩露誰去追究法律責任、怎麼追究……在一些業內專家看來,草案目前的規定仍需進一步完善,一系列問題仍有待於研究。
明確突發公共衛生事件等情況下豁免性規定
應當看到,隨著大資料、雲計算、物聯網以及人工智慧等新一代資訊科技的普及應用,我國整體數字化轉型顯著提速,經濟社會發展日益呈現資料驅動的新態勢,各類個人資訊的處理活動不斷拓展。
尤其值得一提的是,收集個人資訊並進行大資料分析成為世界範圍內高效社會管理的有效途徑。在此次應對新冠肺炎疫情中,大資料應用在重點人群監測預警和統計分析方面發揮了十分重要的作用,為聯防聯控和復工復產提供了有力支援。
目前,世界不少國家在突發公共衛生事件下均採用公共利益優先原則,有限地突破個人資訊保護屏障,跟蹤和披露疫情資訊已成為慣例。
草案第二十七條規定,在公共場合安裝影象採集、個人身份識別裝置,應當為維護公共安全所必需,遵守國家有關規定,並設定顯著的提示標識。所收集的個人影象、個人身份特徵資訊只能用於維護公共安全的目的,不得公開或者向他人提供;取得個人單獨同意或者法律、行政法規另有規定的除外。
與此同時,考慮到實踐中也出現了一些個人資訊無序傳播的現象,甚至發生了患者、密切接觸者和外地返鄉人員的姓名、身份證號碼、居住地址、聯絡方式等個人資訊被非法傳播的案例,草案說明中特別指出,在上述情形下處理個人資訊,也必須嚴格遵守本法規定的處理規則,履行個人資訊保護義務。
強化採集主體個人資訊保護意識和保護義務
草案中關於應對突發公共衛生事件等情況下對個人資訊保護的豁免性規定,成為了分組審議時不少全國人大常委會委員的關注點。
“應為非公共安全領域個人身份識別裝置的正常使用預留足夠空間,同時要給予規範和約束。”呂薇委員認為,要界定影象採集、個人身份識別裝置、監管規則適用範圍,建議明確在公共場所安裝影象採集裝置等需要的程式。此外,呂薇認為,對於公共場所攝像設施所採集的資訊什麼情況下可以用於非公共領域、如何充分利用現有的資訊資源,草案中也應有所規定。
在劉修文委員看來,這一規定並不意味著“公共衛生”“公共安全”可以直接成為個人資訊保護豁免的萬能理由。“新冠肺炎疫情防控工作中,流動人員同時面對流出地和流入地街道、社群、公安、所在單位等多層級、多部門的資訊採集,既造成了行政和社會管理資源的浪費,也加大了個人資訊管理的風險。”劉修文認為,透過細化個人資訊共享操作規範,才能減少重複採集,提高應對效率,防範個人資訊保護豁免情況下的資訊洩露。
劉修文建議,根據比例原則將個人資訊的損害限定在最小範圍。具體包括:儘可能明確突發公共衛生事件或者緊急情況下有權採集個人資訊的主體;強化採集主體的個人資訊保安保護意識和保護義務,以降低資訊暴露風險;明確突發公共衛生事件或者緊急情況下個人資訊資料共享規範和後續個人資訊處理機制。
立法要平衡公共安全與個人隱私之間關係
人臉識別系統對於多數沒有需求的人,覺得會侵犯隱私,但是對於極少數需要幫助的人,比如走失的老人、兒童來講,就會覺得非常必要。顯然,如何進行平衡是必須要進行考慮的問題。
“必須要認識到包括指紋、人臉等在內的生物識別資訊的特殊性。”中國人民大學法學院教授、民商事法律科學研究中心執行主任石佳友指出,生物識別資訊不但具有敏感性,與個人的基本權利和自由密切相關,還具有永久性和無法更換性。“這就意味著,這些個人資訊一旦被洩露或者被非法竊取,將對個人的人身和財產安全造成重大傷害。”
在石佳友看來,目前草案中規定的“公共場所”“公共安全”還比較原則和寬泛,建議在“為維護公共安全所必需”之前增加規定“基於預防、調查違法、犯罪行為等目的”,這樣就可以防止物業管理企業任意設定人臉識別要求。
石佳友同時指出,對於個人資訊的收集處理,網路安全法中明確提出了合法、正當和必要三個原則。“個人資訊保護法立法在處理公共安全與個人隱私之間的邊界時,也要從這三點出發去考慮。”
值得關注的是,草案第三十二條規定,法律、行政法規規定處理敏感個人資訊應當取得相關行政許可或者作出更嚴格限制的,從其規定。
“目前問題可能更多地還是集中在執法機構怎麼去執法的問題。換言之,到底應當由誰來監管。”石佳友說,一直以來執法格局比較分散,這也是個老問題。多頭執法不但會導致“主體虛化”,甚至還會形成監管的“真空地帶”,使得執法無法有效到位。
“總之,在全面依法治國的大背景下,無論是公權力還是私權利,都應有各自的邊界,這個邊界怎麼劃?只能靠法律,這是現代社會治理最基本的經驗。”石佳友說。
進一步構築生物識別個人資訊保護機制
北京師範大學網路法治國際中心執行主任、中國網際網路協會研究中心秘書長吳沈括指出,一方面,包括人臉識別資訊在內的個人生物資訊收集處理具有顯著的社會性益處,包括補充識別源,提高各種數字驗證方式的準確度與可靠性,助力疫情防控等社會公共治理以及產業研發拓展新業務新應用;另一方面,個人生物資訊被違法收集、惡意使用以及非法買賣等安全事件頻頻發生,與之伴生的電信網路詐騙甚至人身傷害惡性案件屢見不鮮,使得社會公眾廣泛期待更有力的法律保護。
目前,大量被採集的包括人臉在內的個人資訊儲存尚沒有統一標準,法律法規對這些資料的使用也未作出明確規定。談及該如何進一步構築生物識別個人資訊保護機制,吳沈括認為可以從多方面進行完善。
吳沈括解釋說,首先是透過執法規則的細化來完善和強化監管執法力度,提升各職能機關的協調聯動水平,實現資訊收集處理各個環節全覆蓋監管。其次,推動出臺針對人臉識別資訊具體應用場景的行政辦案指南與司法解釋,最大限度實現司法裁判與行政監管的有序。再次,鼓勵研發升級個人生物資訊保護應用技術,豐富專門技術支撐。最後,建設針對特殊高風險場景的風險預警與安全響應特別機制設計,有效應對人臉識別資訊洩露等嚴重安全實踐。此外,還應當注意提升第三方社會監督介入水平,促進涵蓋投訴、舉報、公益訴訟等社會多方參與治理生態的形成。(記者 朱寧寧)
來源:法治日報
關注河北新聞網,瞭解河北最新新聞。