人脸识别信息的敏感属性。规制人脸识别技术应用带来的风险、严格保护人脸识别信息的前提是明确人脸识别信息在法律上的属性。人脸识别信息来源于自然人面部,能准确识别特定自然人,具有直接识别性、独特性和唯一性,《规定》明确规定人脸识别信息属于生物识别信息。
因为人脸识别技术不当应用和人脸识别信息被不当处理所引发的个人信息保护话题备受关注。公众对人脸识别技术的担忧不断加深,加强人脸识别信息保护的呼声日益高涨。在此背景下,最高人民法院出台了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(下称《规定》),为因处理人脸识别信息引起民事纠纷的案件提供审判指引。其后,全国人大常委会通过了我国第一部专门保护个人信息的个人信息保护法,对人脸识别等问题作出详细规定。个人信息保护法和《规定》的出台加强了我国对人脸识别信息的法律保护,也反映出规范人脸识别技术应用、保护人脸识别信息已成为当下亟须解决的重要命题。
人脸识别信息的敏感属性。规制人脸识别技术应用带来的风险、严格保护人脸识别信息的前提是明确人脸识别信息在法律上的属性。人脸识别信息来源于自然人面部,能准确识别特定自然人,具有直接识别性、独特性和唯一性,《规定》明确规定人脸识别信息属于
生物识别信息。
个人信息的种类繁多且敏感程度各有不同,以个人信息的敏感程度为标准可分为敏感个人信息和一般个人信息。个人信息的敏感度越高,被非法处理后对信息主体造成伤害的可能性和程度越大。个人信息保护法将敏感个人信息定义为一旦泄露或被不当收集、存储、使用、加工等处理后极易令信息主体人格尊严受到侵害或人身财产安全受到伤害的个人信息。其中,人脸识别信息等生物识别信息是敏感个人信息的典型。
人脸识别信息以或显或隐的方式表征着自然人的人格,一旦被非法收集、使用、存储、传输、披露,对信息主体造成歧视、人格尊严贬损和隐私泄露等后果可能伴随一生。因此,属于敏感个人信息的人脸识别信息被非法处理的后果较一般个人信息更为严重,需要法律的特殊保护。
我国人脸识别信息保护的立法现状。我国暂未出台专门保护人脸识别信息的法律,保护人脸识别信息主要依据现行法中关于敏感个人信息、一般个人信息和隐私权的规定。《征信业管理条例》是我国最早对生物识别信息进行严格保护的行政法规,原则上禁止征信机构采集个人宗教信仰、生物识别信息等个人信息。但该条例效力层级较低,对人脸识别信息的保护力度不足。民法典以私密度作为分类标准,将个人信息分为私密信息和非私密信息,虽没有明确人脸识别信息的敏感个人信息属性,但为人脸识别信息提供了民事基本法的保护依据。《规定》是我国第一部关于解决人脸识别信息民事纠纷的司法解释,规定了滥用人脸识别技术处理人脸识别信息的行为性质、责任、免责事由以及包括公益诉讼在内的民事诉讼程序,为人脸识别信息被侵害提供了较为完善的司法救济。个人信息保护法作为我国个人信息法律保护的里程碑,首开敏感个人信息与一般个人信息区分保护之先河,设专节严格规范包括人脸识别信息在内的敏感个人信息处理行为,对人脸识别信息提供了综合、全面的法律保护。
个人信息保护法对人脸识别信息的特别保护。个人信息处理规则是个人信息保护法的立法重点。人脸识别信息自被收集起,信息主体便逐渐丧失对该信息的控制。由于人脸识别信息被侵害的后果具有不可逆转性,即便事后弥补也无法减轻已造成的损害程度,更无法消除已产生的负面影响。不对人脸识别信息处理行为进行严格规制,便无法真正地破解信息安全风险,从根本上保护人脸识别信息。个人信息保护法对人脸识别信息的处理行为有以下四点要求:第一,确立“特定目的”和“充分必要”处理原则。为减少收集、存储、使用、传输等处理人脸识别信息行为对信息主体的伤害,要求信息处理者只有在满足“特定目的”和“充分必要”并采取严格保护措施的情况下才可处理人脸识别信息。第二,扩大“知情同意规则”中告知内容的范围。鉴于人脸识别信息的高度敏感性,信息处理者除向信息主体告知人脸识别信息的处理目的、方式、种类和保存期限等内容外,还应告知处理人脸识别信息的必要性以及对个人权益的影响。第三,明确“知情同意规则”中同意的形式。处理人脸识别信息时必须获得信息主体单独的专项同意,在法律、行政法规有特殊规定时还需取得信息主体的书面同意,以满足信息主体对其人脸识别信息保护的要求。第四,进行事前个人信息保护影响评估。要求信息处理者在处理人脸识别信息时进行事前个人信息保护影响评估,以检验处理人脸识别信息的目的、方式是否合法、正当、充分必要,所采取的保护措施是否合法、有效且与此处理行为对信息主体权益的影响相匹配。
人脸识别技术的无接触性令信息处理者在未取得信息主体同意的情况下即可处理人脸信息。尤其在公共场所,该技术的强隐蔽性对个人信息处理规则的破坏表现得更为突出,更遑论信息处理者取得人脸信息主体单独、书面的同意。因此,个人信息保护法对此作出了特别规定,在公共场所安装个人身份识别设备时须为保障公共安全所必需,并设置显著标识进行提示;所收集到的个人画像和身份特征信息只能用于维护公共安全目的,除非获得信息主体单独的同意,原则上禁止向他人提供或公开。
个人信息保护法为保护人脸识别信息构建了严格的事前信息处理规则,除此之外还为侵害人脸识别信息的行为规定了罚款、吊销营业执照、损害赔偿等行政、民事乃至刑事责任,以增强对违规使用人脸识别技术、侵害人脸识别信息的行为的威慑力。