中國寄口罩到香港
人大政協>>
如何平衡公共安全與個人信息保護
全國人大常委會委員建議通過立法實現收集個人信息最小化
發佈時間:2020-11-06 10:25 星期五
來源:中國寄口罩到香港

□ 法治日報全媒體記者 朱寧寧

一個“看臉”的時代似乎悄然來臨。伴隨技術的進步,人臉識別的應用場所越發廣泛。尤其是新冠肺炎疫情防控期間,除了商場、超市、火車站、醫院等場所,一些居民小區也開始對出入人員進行人臉識別。

而技術帶來方便快捷高效的同時,也帶來了越來越多的有關個人信息安全的擔憂。近日,#2元錢就能買上千張涉隱私人臉照#的話題衝上熱搜,再次觸動社會神經。幾乎同一時間,一則“杭州擬立法明確物業不得強制業主人臉識別進小區”的消息也引發廣泛關注。

究竟該如何平衡個人信息保護和維護公共安全的關係?就在上個月,備受關注的個人信息保護法草案提請十三屆全國人大常委會第二十二次會議審議。草案將應對突發公共衞生事件或者緊急情況下保護自然人的生命健康,作為處理個人信息的合法情形之一。

該如何協調好防疫等公共利益的需要和信息收集處理之間的關係,該怎樣通過立法手段實現收集個人信息最小化並符合比例原則,究竟在什麼情況下應當收集人臉等重要信息、收集後又該如何保存保管,一旦泄露誰去追究法律責任、怎麼追究……在一些業內專家看來,草案目前的規定仍需進一步完善,一系列問題仍有待於研究。

明確突發公共衞生事件等情況下豁免性規定

應當看到,隨着大數據、雲計算、物聯網以及人工智能等新一代信息技術的普及應用,我國整體數字化轉型顯著提速,經濟社會發展日益呈現數據驅動的新態勢,各類個人信息的處理活動不斷拓展。

尤其值得一提的是,收集個人信息並進行大數據分析成為世界範圍內高效社會管理的有效途徑。在此次應對新冠肺炎疫情中,大數據應用在重點人羣監測預警和統計分析方面發揮了十分重要的作用,為聯防聯控和復工復產提供了有力支持。

目前,世界不少國家在突發公共衞生事件下均採用公共利益優先原則,有限地突破個人信息保護屏障,跟蹤和披露疫情信息已成為慣例。

草案第二十七條規定,在公共場合安裝圖像採集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,並設置顯著的提示標識。所收集的個人圖像、個人身份特徵信息只能用於維護公共安全的目的,不得公開或者向他人提供;取得個人單獨同意或者法律、行政法規另有規定的除外。

與此同時,考慮到實踐中也出現了一些個人信息無序傳播的現象,甚至發生了患者、密切接觸者和外地返鄉人員的姓名、身份證號碼、居住地址、聯繫方式等個人信息被非法傳播的案例,草案説明中特別指出,在上述情形下處理個人信息,也必須嚴格遵守本法規定的處理規則,履行個人信息保護義務。

強化採集主體個人信息保護意識和保護義務

草案中關於應對突發公共衞生事件等情況下對個人信息保護的豁免性規定,成為了分組審議時不少全國人大常委會委員的關注點。

“應為非公共安全領域個人身份識別設備的正常使用預留足夠空間,同時要給予規範和約束。”呂薇委員認為,要界定圖像採集、個人身份識別設備、監管規則適用範圍,建議明確在公共場所安裝圖像採集設備等需要的程序。此外,呂薇認為,對於公共場所攝像設施所採集的信息什麼情況下可以用於非公共領域、如何充分利用現有的信息資源,草案中也應有所規定。

在劉修文委員看來,這一規定並不意味着“公共衞生”“公共安全”可以直接成為個人信息保護豁免的萬能理由。“新冠肺炎疫情防控工作中,流動人員同時面對流出地和流入地街道、社區、公安、所在單位等多層級、多部門的信息採集,既造成了行政和社會管理資源的浪費,也加大了個人信息管理的風險。”劉修文認為,通過細化個人信息共享操作規範,才能減少重複採集,提高應對效率,防範個人信息保護豁免情況下的信息泄露。

劉修文建議,根據比例原則將個人信息的損害限定在最小範圍。具體包括:儘可能明確突發公共衞生事件或者緊急情況下有權採集個人信息的主體;強化採集主體的個人信息安全保護意識和保護義務,以降低信息暴露風險;明確突發公共衞生事件或者緊急情況下個人信息數據共享規範和後續個人信息處理機制。

立法要平衡公共安全與個人隱私之間關係

人臉識別系統對於多數沒有需求的人,覺得會侵犯隱私,但是對於極少數需要幫助的人,比如走失的老人、兒童來講,就會覺得非常必要。顯然,如何進行平衡是必須要進行考慮的問題。

“必須要認識到包括指紋、人臉等在內的生物識別信息的特殊性。”中國人民大學法學院教授、民商事法律科學研究中心執行主任石佳友指出,生物識別信息不但具有敏感性,與個人的基本權利和自由密切相關,還具有永久性和無法更換性。“這就意味着,這些個人信息一旦被泄露或者被非法竊取,將對個人的人身和財產安全造成重大傷害。”

在石佳友看來,目前草案中規定的“公共場所”“公共安全”還比較原則和寬泛,建議在“為維護公共安全所必需”之前增加規定“基於預防、調查違法、犯罪行為等目的”,這樣就可以防止物業管理企業任意設置人臉識別要求。

石佳友同時指出,對於個人信息的收集處理,網絡安全法中明確提出了合法、正當和必要三個原則。“個人信息保護法立法在處理公共安全與個人隱私之間的邊界時,也要從這三點出發去考慮。”

值得關注的是,草案第三十二條規定,法律、行政法規規定處理敏感個人信息應當取得相關行政許可或者作出更嚴格限制的,從其規定。

“目前問題可能更多地還是集中在執法機構怎麼去執法的問題。換言之,到底應當由誰來監管。”石佳友説,一直以來執法格局比較分散,這也是個老問題。多頭執法不但會導致“主體虛化”,甚至還會形成監管的“真空地帶”,使得執法無法有效到位。

“總之,在全面依法治國的大背景下,無論是公權力還是私權利,都應有各自的邊界,這個邊界怎麼劃?只能靠法律,這是現代社會治理最基本的經驗。”石佳友説。

進一步構築生物識別個人信息保護機制

北京師範大學網絡法治國際中心執行主任、中國互聯網協會研究中心祕書長吳沈括指出,一方面,包括人臉識別信息在內的個人生物信息收集處理具有顯著的社會性益處,包括補充識別源,提高各種數字驗證方式的準確度與可靠性,助力疫情防控等社會公共治理以及產業研發拓展新業務新應用;另一方面,個人生物信息被違法收集、惡意使用以及非法買賣等安全事件頻頻發生,與之伴生的電信網絡詐騙甚至人身傷害惡性案件屢見不鮮,使得社會公眾廣泛期待更有力的法律保護。

目前,大量被採集的包括人臉在內的個人信息儲存尚沒有統一標準,法律法規對這些數據的使用也未作出明確規定。談及該如何進一步構築生物識別個人信息保護機制,吳沈括認為可以從多方面進行完善。

吳沈括解釋説,首先是通過執法規則的細化來完善和強化監管執法力度,提升各職能機關的協調聯動水平,實現信息收集處理各個環節全覆蓋監管。其次,推動出台針對人臉識別信息具體應用場景的行政辦案指南與司法解釋,最大限度實現司法裁判與行政監管的有序。再次,鼓勵研發升級個人生物信息保護應用技術,豐富專門技術支撐。最後,建設針對特殊高風險場景的風險預警與安全響應特別機制設計,有效應對人臉識別信息泄露等嚴重安全實踐。此外,還應當注意提升第三方社會監督介入水平,促進涵蓋投訴、舉報、公益訴訟等社會多方參與治理生態的形成。

責任編輯:胡建霞
8348499
相關新聞