2021年央視3·15晚會(huì)一開篇����,就曝光了多家知名企業(yè)擅自使用人臉識(shí)別系統(tǒng)����,對(duì)毫不知情的顧客進(jìn)行識(shí)別并添加標(biāo)簽。被暗訪的衛(wèi)浴店��、汽車4S店��、超市甚至劇院����,都違反國家相關(guān)規(guī)定和標(biāo)準(zhǔn)��,在技術(shù)服務(wù)提供商的幫助下�����,利用視頻監(jiān)控抓取顧客面部信息���,分析其性別、年齡����、消費(fèi)意愿、心情等等個(gè)性化信息��,亂象令人震驚�����。
全國人大代表��、德力西集團(tuán)董事局胡成中去年已關(guān)注到這一問題�,并在今年全國兩會(huì)上正式提交了一份代表建議,呼吁國家高度重視公民生物識(shí)別信息的保護(hù)�����,以更大力度阻止公民漸成“透明人”的傾向�����。
關(guān)于加強(qiáng)生物識(shí)別信息管理
筑牢公民隱私邊界的建議
作為社會(huì)主義民事法律的集大成者���,今年正式實(shí)施的《民法典》首次將個(gè)人生物識(shí)別信息納入個(gè)人信息的保護(hù)范疇�����,體現(xiàn)了國家立法工作的與時(shí)俱進(jìn)���,和對(duì)社會(huì)秩序的必要指引。
近年來���,隨著人臉識(shí)別�、大數(shù)據(jù)���、人工智能等技術(shù)的飛速發(fā)展和商業(yè)化應(yīng)用���,廣大人民群眾在技術(shù)無孔不入的窺視下有漸成“透明人”之憂��,有的既得利益方甚至鼓吹“中國人愿意用隱私換便利”�����。與密碼��、住址����、手機(jī)號(hào)等可以更改的個(gè)人信息不同����,人臉、指紋�、聲紋、虹膜等生物識(shí)別信息具有唯一性���、不可變更性����。隨著社會(huì)整體信息化程度越來越高���,公民生物識(shí)別信息一旦泄露�,則意味著自家大門永遠(yuǎn)向陌生人敞開,后果不堪設(shè)想����。目前雖然《民法典》有了提綱挈領(lǐng)的規(guī)定,但“制度的籠子”還沒有織就�,高度重視和嚴(yán)格保護(hù)公民生物識(shí)別信息的社會(huì)氛圍還沒有形成���,主要表現(xiàn)在——
一是場(chǎng)景濫用�����。公民生物識(shí)別信息本是最敏感和重要的個(gè)人數(shù)據(jù)��,非必要不應(yīng)輕易采集和使用�����。但由于缺乏全國性的明確約束�����,一些社區(qū)�����、企業(yè)�����、機(jī)構(gòu)毫無謙抑敬畏之心�,動(dòng)輒以“方便管理”為由強(qiáng)推“刷臉”系統(tǒng)等技術(shù)設(shè)備,有的學(xué)校甚至用人臉識(shí)別來監(jiān)控學(xué)生的上課狀態(tài)����,剝奪人民群眾知情權(quán)、選擇權(quán)����,絕大多數(shù)人只能在不知利害或者無力反對(duì)的狀態(tài)下被動(dòng)接受。
二是權(quán)限不明��。以施行“刷臉”出入的小區(qū)為例�,居民的人臉識(shí)別數(shù)據(jù)是掌握在居委會(huì)手中、業(yè)委會(huì)手中�����、物業(yè)公司手中還是提供技術(shù)設(shè)備的企業(yè)手中�,數(shù)據(jù)是否加密,誰有權(quán)讀取、改動(dòng)��、存儲(chǔ)���,凡此種種�,都缺乏明確��、詳細(xì)的要求����。
三是監(jiān)督乏力�。新版的國家標(biāo)準(zhǔn)《信息安全技術(shù)個(gè)人信息安全規(guī)范》明確要求,在收集個(gè)人生物識(shí)別信息前��,需單獨(dú)向用戶告知收集�、使用個(gè)人生物識(shí)別信息的目的、方式和范圍以及存儲(chǔ)時(shí)間等規(guī)則�,并征得用戶的明示同意;個(gè)人生物識(shí)別信息要與個(gè)人身份信息分開存儲(chǔ)����,原則上不應(yīng)存儲(chǔ)原始個(gè)人生物識(shí)別信息。但這些要求相關(guān)單位是否執(zhí)行是一個(gè)問號(hào)����,而面對(duì)不按要求辦事的單位���,人民群眾向誰舉報(bào)、有何處罰措施也是一個(gè)問號(hào)����。
鑒于生物識(shí)別信息保護(hù)是關(guān)系到每一個(gè)人切身利益和安全的要緊大事,而我國的相關(guān)制度和機(jī)制建設(shè)滯后于歐盟《通用數(shù)據(jù)保護(hù)條例》���、美國《生物識(shí)別信息隱私法》等國外范例����,與我國數(shù)字經(jīng)濟(jì)的發(fā)展水平不相匹配�,特提出以下建議:
一、進(jìn)一步細(xì)化����、嚴(yán)化相關(guān)法律法規(guī)。在《民法典》的主旨性規(guī)定之外����,對(duì)《個(gè)人信息保護(hù)法》、《刑法》等相關(guān)法律法規(guī)中涉及生物識(shí)別信息的部分應(yīng)予以突出強(qiáng)調(diào)和專門規(guī)定���,采取比一般個(gè)人信息更大的保護(hù)力度��、更有力的處罰措施���,最大程度限制采集公民生物識(shí)別信息的應(yīng)用場(chǎng)景�,明確在可以通過其他方式(如刷卡�����、密碼等)替代的情況下不得采集生物識(shí)別信息的基本原則�。
二、歸口管理�,常態(tài)執(zhí)法。可以考慮在公安或者網(wǎng)信系統(tǒng)增設(shè)專門的數(shù)據(jù)保護(hù)部門����,類似瑞典的數(shù)據(jù)保護(hù)局(DPA)�。在相關(guān)法律的授權(quán)下,開展對(duì)全社會(huì)的數(shù)據(jù)安全���,尤其是個(gè)人生物識(shí)別信息的日常管理和保護(hù)工作�,既監(jiān)督技術(shù)研發(fā)和商業(yè)開發(fā)是否越界�����,也監(jiān)督應(yīng)用場(chǎng)景是否合理必要,同時(shí)受理人民群眾的舉報(bào)投訴�����、查辦相關(guān)案件���。2019年�����,瑞典一所學(xué)校因未經(jīng)學(xué)生同意而采用人臉識(shí)別系統(tǒng)考勤����,就被DPA認(rèn)定違反了《通用數(shù)據(jù)保護(hù)條例》����,處以罰款約合15萬元人民幣。
三�、設(shè)置必要門檻,特別保護(hù)原始數(shù)據(jù)�����。目前,社會(huì)上存在著似乎誰都可以染指公民個(gè)人生物識(shí)別信息的不合理現(xiàn)象����,企業(yè)甚至個(gè)人只要開發(fā)一款A(yù)PP,就可以索取或騙取用戶的人臉識(shí)別等數(shù)據(jù)���,導(dǎo)致信息泄露和相關(guān)黑市交易屢打不絕�。國家應(yīng)考慮對(duì)企業(yè)涉足個(gè)人生物識(shí)別信息業(yè)務(wù)采取準(zhǔn)入制度��,設(shè)置若干硬性條件����,對(duì)企業(yè)的數(shù)據(jù)保護(hù)能力、內(nèi)部管理嚴(yán)密性等方面提出硬性要求����,并開展常態(tài)化監(jiān)督檢查。同時(shí)�,為最大限度降低個(gè)人生物識(shí)別信息原始數(shù)據(jù)的泄露風(fēng)險(xiǎn)���,建議參考身份證的管理模式���,技術(shù)和設(shè)備的研發(fā)企業(yè)只能提供軟硬件服務(wù)�,設(shè)備的使用方只能獲得比對(duì)相符/不符的最終結(jié)果�����,均不得存儲(chǔ)數(shù)據(jù)�����;與公民身份相對(duì)應(yīng)的生物識(shí)別信息原始數(shù)據(jù)���,應(yīng)由國家機(jī)關(guān)統(tǒng)一存儲(chǔ)�、嚴(yán)格保護(hù)���,向合格企業(yè)開放端口但不提供詳細(xì)數(shù)據(jù)���,僅提供比對(duì)結(jié)果。
