我国首部《个人信息保护法》在2021年11月1日起施行,突出了对生物识别信息作为敏感个人信息的特别保护,其中指出:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。”敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
只有具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。与普通的个人信息相比,《个人信息保护法》规定,处理个人敏感信息应该进行更多的告知,包括相应的风险,以及应当取得个人的单独同意。
但是,在劳东燕看来,《个人信息保护法》将一般个人信息和敏感个人信息做了区分,体现了强化保护后者的精神,这种“强化”仍有明显的不足之处。
“突出保护敏感个人信息的地方,其实只在于征求同意的环节,其他地方和普通个人信息几乎没有差别,并没有在实质上抬高法律保护的门槛。”劳东燕认为,从法律层面来说,如今对生物识别信息的保护依然是是远远不足的,全国人大及其常委会有必要考虑对生物识别信息进行单独立法,不应放在《个人信息保护法》的框架下来保护。
劳东燕还指出,《个人信息保护法》第二十六条规定,“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识;所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。”这一条款存在用“公共安全”作为“口袋”的嫌疑。
“如果对这里面的‘公共安全’做扩张性的解释,实际上就意味着除了家里,几乎所有地方都可以安装人脸识别装置,比如地铁、小区,甚至楼道。”她认为,当以“公共安全”作为理由写入立法后,就要对其进行严格的解释和限定,不然就可能将过滥的人脸信息收集予以合法化。
此外,人脸信息收集的滥用,可能造成大量的信息泄露,产生许多事故和纠纷。“当问题洪水一般涌来,会给后端的监管和执法带来特别大的压力,而执法资源是有限的。”劳东燕说,除了信息采集的滥用,还要关注对信息的保管与使用环节的规制,以及如何更好地行使删除权。
2019年起诉杭州野生动物世界时,郭兵曾要求在第三方专业技术机构的见证之下,动物世界删除他的人脸信息,但没有获得法院支持。
“我到现在仍然认为,这是删除权的最佳实现方式。”他指出,在顾城的案子里,城关物业自称将人脸信息存储在“内部数据库和硬盘”,难以确保保密性,而对于顾城的“脸”到底删没删,也不能听信对方的一面之词。
发于2022.7.4总第1050期《中国新闻周刊》杂志
杂志标题: 天津人脸识别第一案背后:“我的脸我做主”
记者:苑苏文
