“多層次”法律規範保護人臉識別資訊
因為人臉識別技術不當應用和人臉識別資訊被不當處理所引發的個人資訊保護話題備受關注。公眾對人臉識別技術的擔憂不斷加深,加強人臉識別資訊保護的呼聲日益高漲。在此背景下,最高人民法院出臺了《關於審理使用人臉識別技術處理個人資訊相關民事案件適用法律若干問題的規定》(下稱《規定》),為因處理人臉識別資訊引起民事糾紛的案件提供審判指引。其後,全國人大常委會通過了我國第一部專門保護個人資訊的個人資訊保護法,對人臉識別等問題作出詳細規定。個人資訊保護法和《規定》的出臺加強了我國對人臉識別資訊的法律保護,也反映出規範人臉識別技術應用、保護人臉識別資訊已成為當下亟須解決的重要命題。
人臉識別資訊的敏感屬性。規制人臉識別技術應用帶來的風險、嚴格保護人臉識別資訊的前提是明確人臉識別資訊在法律上的屬性。人臉識別資訊來源於自然人面部,能準確識別特定自然人,具有直接識別性、獨特性和唯一性,《規定》明確規定人臉識別資訊屬於生物識別資訊。
個人資訊的種類繁多且敏感程度各有不同,以個人資訊的敏感程度為標準可分為敏感個人資訊和一般個人資訊。個人資訊的敏感度越高,被非法處理後對資訊主體造成傷害的可能性和程度越大。個人資訊保護法將敏感個人資訊定義為一旦洩露或被不當收集、存儲、使用、加工等處理後極易令資訊主體人格尊嚴受到侵害或人身財産安全受到傷害的個人資訊。其中,人臉識別資訊等生物識別資訊是敏感個人資訊的典型。
人臉識別資訊以或顯或隱的方式錶徵著自然人的人格,一旦被非法收集、使用、存儲、傳輸、披露,對資訊主體造成歧視、人格尊嚴貶損和隱私洩露等後果可能伴隨一生。因此,屬於敏感個人資訊的人臉識別資訊被非法處理的後果較一般個人資訊更為嚴重,需要法律的特殊保護。
我國人臉識別資訊保護的立法現狀。我國暫未出臺專門保護人臉識別資訊的法律,保護人臉識別資訊主要依據現行法中關於敏感個人資訊、一般個人資訊和隱私權的規定。《徵信業管理條例》是我國最早對生物識別資訊進行嚴格保護的行政法規,原則上禁止徵信機構採集個人宗教信仰、生物識別資訊等個人資訊。但該條例效力層級較低,對人臉識別資訊的保護力度不足。民法典以私密度作為分類標準,將個人資訊分為私密資訊和非私密資訊,雖沒有明確人臉識別資訊的敏感個人資訊屬性,但為人臉識別資訊提供了民事基本法的保護依據。《規定》是我國第一部關於解決人臉識別資訊民事糾紛的司法解釋,規定了濫用人臉識別技術處理人臉識別資訊的行為性質、責任、免責事由以及包括公益訴訟在內的民事訴訟程式,為人臉識別資訊被侵害提供了較為完善的司法救濟。個人資訊保護法作為我國個人資訊法律保護的里程碑,首開敏感個人資訊與一般個人資訊區分保護之先河,設專節嚴格規範包括人臉識別資訊在內的敏感個人資訊處理行為,對人臉識別資訊提供了綜合、全面的法律保護。
個人資訊保護法對人臉識別資訊的特別保護。個人資訊處理規則是個人資訊保護法的立法重點。人臉識別資訊自被收集起,資訊主體便逐漸喪失對該資訊的控制。由於人臉識別資訊被侵害的後果具有不可逆轉性,即便事後彌補也無法減輕已造成的損害程度,更無法消除已産生的負面影響。不對人臉識別資訊處理行為進行嚴格規制,便無法真正地破解資訊安全風險,從根本上保護人臉識別資訊。個人資訊保護法對人臉識別資訊的處理行為有以下四點要求:第一,確立“特定目的”和“充分必要”處理原則。為減少收集、存儲、使用、傳輸等處理人臉識別資訊行為對資訊主體的傷害,要求資訊處理者只有在滿足“特定目的”和“充分必要”並採取嚴格保護措施的情況下才可處理人臉識別資訊。第二,擴大“知情同意規則”中告知內容的範圍。鋻於人臉識別資訊的高度敏感性,資訊處理者除向資訊主體告知人臉識別資訊的處理目的、方式、種類和保存期限等內容外,還應告知處理人臉識別資訊的必要性以及對個人權益的影響。第三,明確“知情同意規則”中同意的形式。處理人臉識別資訊時必須獲得資訊主體單獨的專項同意,在法律、行政法規有特殊規定時還需取得資訊主體的書面同意,以滿足資訊主體對其人臉識別資訊保護的要求。第四,進行事前個人資訊保護影響評估。要求資訊處理者在處理人臉識別資訊時進行事前個人資訊保護影響評估,以檢驗處理人臉識別資訊的目的、方式是否合法、正當、充分必要,所採取的保護措施是否合法、有效且與此處理行為對資訊主體權益的影響相匹配。
人臉識別技術的無接觸性令資訊處理者在未取得資訊主體同意的情況下即可處理人臉資訊。尤其在公共場所,該技術的強隱蔽性對個人資訊處理規則的破壞表現得更為突出,更遑論資訊處理者取得人臉資訊主體單獨、書面的同意。因此,個人資訊保護法對此作出了特別規定,在公共場所安裝個人身份識別設備時須為保障公共安全所必需,並設置顯著標識進行提示;所收集到的個人畫像和身份特徵資訊只能用於維護公共安全目的,除非獲得資訊主體單獨的同意,原則上禁止向他人提供或公開。
個人資訊保護法為保護人臉識別資訊構建了嚴格的事前資訊處理規則,除此之外還為侵害人臉識別資訊的行為規定了罰款、吊銷營業執照、損害賠償等行政、民事乃至刑事責任,以增強對違規使用人臉識別技術、侵害人臉識別資訊的行為的威懾力。
(作者單位:西南政法大學)
