2021年央視3·15晚會一開篇��,就曝光了多家知名企業(yè)擅自使用人臉識別系統(tǒng),對毫不知情的顧客進行識別并添加標簽�����。被暗訪的衛(wèi)浴店�、汽車4S店、超市甚至劇院����,都違反國家相關規(guī)定和標準,在技術服務提供商的幫助下���,利用視頻監(jiān)控抓取顧客面部信息,分析其性別����、年齡、消費意愿�、心情等等個性化信息,亂象令人震驚����。
全國人大代表、德力西集團董事局胡成中去年已關注到這一問題��,并在今年全國兩會上正式提交了一份代表建議,呼吁國家高度重視公民生物識別信息的保護�,以更大力度阻止公民漸成“透明人”的傾向。
關于加強生物識別信息管理
筑牢公民隱私邊界的建議
作為社會主義民事法律的集大成者�,今年正式實施的《民法典》首次將個人生物識別信息納入個人信息的保護范疇,體現(xiàn)了國家立法工作的與時俱進��,和對社會秩序的必要指引�����。
近年來���,隨著人臉識別�、大數據����、人工智能等技術的飛速發(fā)展和商業(yè)化應用,廣大人民群眾在技術無孔不入的窺視下有漸成“透明人”之憂���,有的既得利益方甚至鼓吹“中國人愿意用隱私換便利”����。與密碼����、住址�、手機號等可以更改的個人信息不同�,人臉、指紋�、聲紋、虹膜等生物識別信息具有唯一性�����、不可變更性�����。隨著社會整體信息化程度越來越高�,公民生物識別信息一旦泄露��,則意味著自家大門永遠向陌生人敞開�����,后果不堪設想����。目前雖然《民法典》有了提綱挈領的規(guī)定�����,但“制度的籠子”還沒有織就��,高度重視和嚴格保護公民生物識別信息的社會氛圍還沒有形成��,主要表現(xiàn)在——
一是場景濫用�。公民生物識別信息本是最敏感和重要的個人數據�����,非必要不應輕易采集和使用���。但由于缺乏全國性的明確約束�,一些社區(qū)��、企業(yè)�����、機構毫無謙抑敬畏之心���,動輒以“方便管理”為由強推“刷臉”系統(tǒng)等技術設備�,有的學校甚至用人臉識別來監(jiān)控學生的上課狀態(tài),剝奪人民群眾知情權�、選擇權,絕大多數人只能在不知利害或者無力反對的狀態(tài)下被動接受�。
二是權限不明。以施行“刷臉”出入的小區(qū)為例�,居民的人臉識別數據是掌握在居委會手中、業(yè)委會手中��、物業(yè)公司手中還是提供技術設備的企業(yè)手中�����,數據是否加密��,誰有權讀取�、改動、存儲����,凡此種種��,都缺乏明確���、詳細的要求����。
三是監(jiān)督乏力。新版的國家標準《信息安全技術個人信息安全規(guī)范》明確要求����,在收集個人生物識別信息前,需單獨向用戶告知收集��、使用個人生物識別信息的目的����、方式和范圍以及存儲時間等規(guī)則,并征得用戶的明示同意����;個人生物識別信息要與個人身份信息分開存儲,原則上不應存儲原始個人生物識別信息��。但這些要求相關單位是否執(zhí)行是一個問號��,而面對不按要求辦事的單位���,人民群眾向誰舉報���、有何處罰措施也是一個問號����。
鑒于生物識別信息保護是關系到每一個人切身利益和安全的要緊大事�����,而我國的相關制度和機制建設滯后于歐盟《通用數據保護條例》���、美國《生物識別信息隱私法》等國外范例���,與我國數字經濟的發(fā)展水平不相匹配,特提出以下建議:
一����、進一步細化、嚴化相關法律法規(guī)�����。在《民法典》的主旨性規(guī)定之外��,對《個人信息保護法》��、《刑法》等相關法律法規(guī)中涉及生物識別信息的部分應予以突出強調和專門規(guī)定�,采取比一般個人信息更大的保護力度、更有力的處罰措施����,最大程度限制采集公民生物識別信息的應用場景,明確在可以通過其他方式(如刷卡��、密碼等)替代的情況下不得采集生物識別信息的基本原則���。
二�、歸口管理����,常態(tài)執(zhí)法。可以考慮在公安或者網信系統(tǒng)增設專門的數據保護部門����,類似瑞典的數據保護局(DPA)。在相關法律的授權下��,開展對全社會的數據安全�����,尤其是個人生物識別信息的日常管理和保護工作,既監(jiān)督技術研發(fā)和商業(yè)開發(fā)是否越界�,也監(jiān)督應用場景是否合理必要,同時受理人民群眾的舉報投訴�、查辦相關案件。2019年��,瑞典一所學校因未經學生同意而采用人臉識別系統(tǒng)考勤�����,就被DPA認定違反了《通用數據保護條例》����,處以罰款約合15萬元人民幣。
三��、設置必要門檻�,特別保護原始數據。目前����,社會上存在著似乎誰都可以染指公民個人生物識別信息的不合理現(xiàn)象,企業(yè)甚至個人只要開發(fā)一款APP�,就可以索取或騙取用戶的人臉識別等數據,導致信息泄露和相關黑市交易屢打不絕����。國家應考慮對企業(yè)涉足個人生物識別信息業(yè)務采取準入制度��,設置若干硬性條件,對企業(yè)的數據保護能力�����、內部管理嚴密性等方面提出硬性要求��,并開展常態(tài)化監(jiān)督檢查���。同時���,為最大限度降低個人生物識別信息原始數據的泄露風險,建議參考身份證的管理模式�����,技術和設備的研發(fā)企業(yè)只能提供軟硬件服務��,設備的使用方只能獲得比對相符/不符的最終結果�����,均不得存儲數據;與公民身份相對應的生物識別信息原始數據�����,應由國家機關統(tǒng)一存儲���、嚴格保護�����,向合格企業(yè)開放端口但不提供詳細數據���,僅提供比對結果。
