【摘要】當前“刷臉”技術廣泛應用于網絡支付、交通出行、酒店入住等領域,為用戶提供便捷之余,也隱藏著巨大的安全隱患。因此,迫切需要通過制定“刷臉”技術數據采集、處理、儲存標準,劃定立法邊界;明確技術研發、經營、使用責任,劃定責任邊界;構建事前、事中、事后監管體系,劃定監管邊界。只有“刷臉”技術法律邊界明確,才能促進“刷臉”技術持續健康發展。
【關鍵詞】“刷臉”技術 數據采集 法律邊界 【中圖分類號】D602 【文獻標識碼】A
制定數據采集、處理、存儲法律標準,為“刷臉”數據安全劃定立法邊界
“刷臉”技術實際上是大數據技術的一種應用,通過采集人臉生物信息,對其進行儲存和處理,達到支付、簽到、乘車、就醫等目的。但是,由于我國大數據技術起步較晚,相關法律法規尚不健全,在數據采集、處理、存儲缺乏法律標準,應盡快劃定立法邊界。
第一,明確數據采集、處理、存儲基本法律原則。我國個人信息保護法尚處于制定當中,應參照其他國家個人信息保護做法,制定基本原則。其一,特定目的原則,“刷臉”技術在采集人臉信息時,應具有特定目的,超越目的范疇之外,不允許采集用戶信息,最大限度防止信息泄露;其二,限制采集原則,“刷臉”系統研發者、經營者、使用者應在得到法律允許、用戶授權后,方能開展信息采集工作;其三,信息質量原則,“刷臉”技術采集、使用信息,要確保信息真實完整,避免不實信息給用戶帶來負面影響;其四,安全保障原則,“刷臉”技術研發者、經營者、使用者要確保信息采集、處理、儲存等環節安全,一旦發生信息泄露應及時補救,給予用戶適當賠償。
第二,構建數據采集、處理、存儲法律保護體系。“刷臉”技術尚處于初級階段,應構建完整法律保護體系,確保數據信息采集、處理、存儲有法可依。在橫向方面,除制定個人信息保護法專項立法之外,要在“刷臉”技術集中應用領域,設立專項法律法規,比如金融數據信息保護細則、醫療數據信息保護條例等,通過這些專項立法,彌補個人信息保護法存在的不足,形成全面的個人信息保護法律體系;在縱向方面,目前關于個人信息保護規定散見于各類法律法規,部分法律法規立法層級不高、約束力不強,應制定個人信息保護法,提高立法層級。同時,應將個人信息保護法與民法、刑法銜接,構建完整的法律保護體系。
第三,創新數據采集、處理、存儲分級保護模式。鑒于“刷臉”技術提高社會生活便捷度,應平衡商業利益與個人信息保護之間關系,既要確保“刷臉”技術便捷性,又要保障個人信息安全性,應創新數據采集、處理、存儲分級保護模式。一方面,依照信息內容進行分級處理,根據個人信息內容劃分隱私信息、身份信息、日志信息及公開信息,隱私信息、身份信息是立法保護的重點;另一方面,明確不同等級信息保護模式,在“刷臉”技術中,不允許碰觸隱私信息,身份信息采集、處理、儲存也需要經用戶同意,但應嚴禁身份信息轉移、共享,日志信息主要是“刷臉”行為的記錄與匯總,其不涉及特定用戶,應允許自由使用與共享,激發企業利用日志信息持續創新。
明確技術研發、經營、使用法律責任,為“刷臉”隱私保護劃定責任邊界
一是明確“刷臉”數據研發、經營、使用歸屬權。“刷臉”數據可分為個人數據和企業數據,個人數據涉及用戶個人信息,企業數據則是以個人數據為基礎,在個人數據基礎上加工、處理所得,只有劃分歸屬權,才能更好地明確數據研發者、經營者、使用者法律責任。在個人數據方面,民法、刑法等部分內容都對個人數據進行了相應的保護,即將出臺的個人信息保護法更將對個人數據進行全面保護,肯定個人數據歸屬權為用戶,只有個人用戶明確授權,研發者、經營者、使用者才能對個人信息進行采集、處理、存儲,但是否允許出售、交易、共享有待商榷;在企業數據方面,為推動“刷臉”技術創新與發展,應允許企業自由處理企業數據,尤其是不涉及特定用戶信息、匿名信息,應將歸屬權交由研發者、經營者、使用者,保護研發者、經營者、使用者使用企業數據不受干擾。
二是明確“刷臉”數據交易違約責任與侵權責任。與其他商品和服務一致,“刷臉”數據交易容易產生糾紛,比如主體之間合同糾紛、與第三人產生的侵權糾紛,都需要法律為其劃定責任邊界。在違約責任方面,研發者、經營者、使用者之前需要簽訂交易合同,通過合同明確“刷臉”數據使用范疇;在侵權責任方面,研發者、經營者、使用者開展數據交易,應限定在企業數據范疇之內,若違規收集個人數據,并將其對外出售,勢必會侵犯第三人合法權益,此時需要侵權者承擔賠償責任。
三是明確“刷臉”數據研發者、經營者、使用者連帶責任。為加大個人信息保護力度,應依法確立研發者、經營者、使用者連帶責任,允許用戶尋求任意一方索賠,確保個人利益不受損害。“刷臉”數據研發者是數據采集、處理、儲存的重要主體,其在采集過程中應遵循法律法規,依法采集用戶明確授權信息,尤其是人臉生物信息,不允許利用照片、視頻等途徑非法采集。“刷臉”數據經營者為網絡平臺,將研發者系統、數據信息進行匯總分類,形成“刷臉”支付、“刷臉”簽到、“刷臉”出行等各類產品,用戶通過網絡平臺提供人臉生物信息,授權使用范疇。“刷臉”數據使用者為企事業單位、交通部門、酒店等,從經營者處購置設備,允許用戶刷臉使用,雖不具備修改“刷臉”權限,但依然與用戶產生關系。當用戶“刷臉”數據泄露或遭遇非法篡改,可以向任意主體追責,由該主體賠償用戶損失。
積極構建事前、事中、事后監管體系,為“刷臉”長效發展劃定監管邊界
一是構建事前監管體系,“刷臉”技術發展迅速、應用廣泛,逐漸形成一種新興產業,應構建行業協會,通過自律監管機制,強化“刷臉”事前監管工作。不同于法律監管,行業自律協會具有極強的靈活性,對行業理解更為深刻,善于發現“刷臉”行業潛藏的風險,及時糾正部分企業的錯誤行為,防止企業非法數據采集、處理、存儲擴大蔓延。“刷臉”行業自律協會可以參照域外模式,由“刷臉”技術研發企業、網絡平臺、服務供應商共同組成,定期召開行業自律會議,頒布行業公約,責令違規企業及時改正,將侵害公民個人信息行為扼殺在搖籃里,防止企業發展路線偏離正軌。
二是構建事中監管體系,鑒于個人信息保護法尚處于制定當中,應成立個人信息保護機構,比如個人信息保護委員會,個人信息保護機構應依法設立,積極履行自身權利與義務,負責對“刷臉”系統研發者、經營者、使用者進行監督管理,對現有“刷臉”涉及的企業、產品、服務定期檢查,發現其中存在的違法違規行為,責令相關主體及時糾正。同時,應賦予個人信息保護機構執法權限,允許個人信息保護機構依法對違規主體進行懲處,清除存在主觀故意侵犯公民個人信息的企業。此外,個人信息保護機構工作人員應具備法律背景、專業技術背景,秉承高效管理原則,以線上監測、線下檢查的方式,減少“刷臉”技術對個人信息的侵害行為。
三是構建事后監管體系,由于“刷臉”技術具有專業性、隱蔽性等特點,事前、事中監管不足以徹底清除違法違規行為,應構建事后監管體系,對“刷臉”技術網絡平臺、產品和服務進行系統評測,通過持續性、專業性的評測,查處“刷臉”技術中侵犯個人信息行為。系統評測具有較強的專業技術要求,應交由第三方負責,第三方評測企業向個人信息保護機構提交報告,對網絡平臺、“刷臉”軟件進行評分,并對外公布。同時,應暢通用戶舉報與投訴通道,關注用戶集中投訴、舉報企業,借助社會公眾的力量查處違法違規行為。
(作者為四川大學法學院博士研究生)
【注:本文系教育部人文社會科學研究青年基金項目“司法改革背景下法官流動問題的實證調查與對策研究”(項目編號:17YJC820008)研究成果】
【參考文獻】
①扶青:《對刷臉支付保持審慎態度》,《智慧中國》,2019年第10期。
責編/孫娜 美編/王夢雅
聲明:本文為人民論壇雜志社原創內容,任何單位或個人轉載請回復本微信號獲得授權,轉載時務必標明來源及作者,否則追究法律責任。
