【摘要】当前“刷脸”技术广泛应用于网络支付、交通出行、酒店入住等领域,为用户提供便捷之余,也隐藏着巨大的安全隐患。因此,迫切需要通过制定“刷脸”技术数据采集、处理、储存标准,划定立法边界;明确技术研发、经营、使用责任,划定责任边界;构建事前、事中、事后监管体系,划定监管边界。只有“刷脸”技术法律边界明确,才能促进“刷脸”技术持续健康发展。
【关键词】“刷脸”技术 数据采集 法律边界 【中图分类号】D602 【文献标识码】A
制定数据采集、处理、存储法律标准,为“刷脸”数据安全划定立法边界
“刷脸”技术实际上是大数据技术的一种应用,通过采集人脸生物信息,对其进行储存和处理,达到支付、签到、乘车、就医等目的。但是,由于我国大数据技术起步较晚,相关法律法规尚不健全,在数据采集、处理、存储缺乏法律标准,应尽快划定立法边界。
第一,明确数据采集、处理、存储基本法律原则。我国个人信息保护法尚处于制定当中,应参照其他国家个人信息保护做法,制定基本原则。其一,特定目的原则,“刷脸”技术在采集人脸信息时,应具有特定目的,超越目的范畴之外,不允许采集用户信息,最大限度防止信息泄露;其二,限制采集原则,“刷脸”系统研发者、经营者、使用者应在得到法律允许、用户授权后,方能开展信息采集工作;其三,信息质量原则,“刷脸”技术采集、使用信息,要确保信息真实完整,避免不实信息给用户带来负面影响;其四,安全保障原则,“刷脸”技术研发者、经营者、使用者要确保信息采集、处理、储存等环节安全,一旦发生信息泄露应及时补救,给予用户适当赔偿。
第二,构建数据采集、处理、存储法律保护体系。“刷脸”技术尚处于初级阶段,应构建完整法律保护体系,确保数据信息采集、处理、存储有法可依。在横向方面,除制定个人信息保护法专项立法之外,要在“刷脸”技术集中应用领域,设立专项法律法规,比如金融数据信息保护细则、医疗数据信息保护条例等,通过这些专项立法,弥补个人信息保护法存在的不足,形成全面的个人信息保护法律体系;在纵向方面,目前关于个人信息保护规定散见于各类法律法规,部分法律法规立法层级不高、约束力不强,应制定个人信息保护法,提高立法层级。同时,应将个人信息保护法与民法、刑法衔接,构建完整的法律保护体系。
第三,创新数据采集、处理、存储分级保护模式。鉴于“刷脸”技术提高社会生活便捷度,应平衡商业利益与个人信息保护之间关系,既要确保“刷脸”技术便捷性,又要保障个人信息安全性,应创新数据采集、处理、存储分级保护模式。一方面,依照信息内容进行分级处理,根据个人信息内容划分隐私信息、身份信息、日志信息及公开信息,隐私信息、身份信息是立法保护的重点;另一方面,明确不同等级信息保护模式,在“刷脸”技术中,不允许碰触隐私信息,身份信息采集、处理、储存也需要经用户同意,但应严禁身份信息转移、共享,日志信息主要是“刷脸”行为的记录与汇总,其不涉及特定用户,应允许自由使用与共享,激发企业利用日志信息持续创新。
明确技术研发、经营、使用法律责任,为“刷脸”隐私保护划定责任边界
一是明确“刷脸”数据研发、经营、使用归属权。“刷脸”数据可分为个人数据和企业数据,个人数据涉及用户个人信息,企业数据则是以个人数据为基础,在个人数据基础上加工、处理所得,只有划分归属权,才能更好地明确数据研发者、经营者、使用者法律责任。在个人数据方面,民法、刑法等部分内容都对个人数据进行了相应的保护,即将出台的个人信息保护法更将对个人数据进行全面保护,肯定个人数据归属权为用户,只有个人用户明确授权,研发者、经营者、使用者才能对个人信息进行采集、处理、存储,但是否允许出售、交易、共享有待商榷;在企业数据方面,为推动“刷脸”技术创新与发展,应允许企业自由处理企业数据,尤其是不涉及特定用户信息、匿名信息,应将归属权交由研发者、经营者、使用者,保护研发者、经营者、使用者使用企业数据不受干扰。
二是明确“刷脸”数据交易违约责任与侵权责任。与其他商品和服务一致,“刷脸”数据交易容易产生纠纷,比如主体之间合同纠纷、与第三人产生的侵权纠纷,都需要法律为其划定责任边界。在违约责任方面,研发者、经营者、使用者之前需要签订交易合同,通过合同明确“刷脸”数据使用范畴;在侵权责任方面,研发者、经营者、使用者开展数据交易,应限定在企业数据范畴之内,若违规收集个人数据,并将其对外出售,势必会侵犯第三人合法权益,此时需要侵权者承担赔偿责任。
三是明确“刷脸”数据研发者、经营者、使用者连带责任。为加大个人信息保护力度,应依法确立研发者、经营者、使用者连带责任,允许用户寻求任意一方索赔,确保个人利益不受损害。“刷脸”数据研发者是数据采集、处理、储存的重要主体,其在采集过程中应遵循法律法规,依法采集用户明确授权信息,尤其是人脸生物信息,不允许利用照片、视频等途径非法采集。“刷脸”数据经营者为网络平台,将研发者系统、数据信息进行汇总分类,形成“刷脸”支付、“刷脸”签到、“刷脸”出行等各类产品,用户通过网络平台提供人脸生物信息,授权使用范畴。“刷脸”数据使用者为企事业单位、交通部门、酒店等,从经营者处购置设备,允许用户刷脸使用,虽不具备修改“刷脸”权限,但依然与用户产生关系。当用户“刷脸”数据泄露或遭遇非法篡改,可以向任意主体追责,由该主体赔偿用户损失。
积极构建事前、事中、事后监管体系,为“刷脸”长效发展划定监管边界
一是构建事前监管体系,“刷脸”技术发展迅速、应用广泛,逐渐形成一种新兴产业,应构建行业协会,通过自律监管机制,强化“刷脸”事前监管工作。不同于法律监管,行业自律协会具有极强的灵活性,对行业理解更为深刻,善于发现“刷脸”行业潜藏的风险,及时纠正部分企业的错误行为,防止企业非法数据采集、处理、存储扩大蔓延。“刷脸”行业自律协会可以参照域外模式,由“刷脸”技术研发企业、网络平台、服务供应商共同组成,定期召开行业自律会议,颁布行业公约,责令违规企业及时改正,将侵害公民个人信息行为扼杀在摇篮里,防止企业发展路线偏离正轨。
二是构建事中监管体系,鉴于个人信息保护法尚处于制定当中,应成立个人信息保护机构,比如个人信息保护委员会,个人信息保护机构应依法设立,积极履行自身权利与义务,负责对“刷脸”系统研发者、经营者、使用者进行监督管理,对现有“刷脸”涉及的企业、产品、服务定期检查,发现其中存在的违法违规行为,责令相关主体及时纠正。同时,应赋予个人信息保护机构执法权限,允许个人信息保护机构依法对违规主体进行惩处,清除存在主观故意侵犯公民个人信息的企业。此外,个人信息保护机构工作人员应具备法律背景、专业技术背景,秉承高效管理原则,以线上监测、线下检查的方式,减少“刷脸”技术对个人信息的侵害行为。
三是构建事后监管体系,由于“刷脸”技术具有专业性、隐蔽性等特点,事前、事中监管不足以彻底清除违法违规行为,应构建事后监管体系,对“刷脸”技术网络平台、产品和服务进行系统评测,通过持续性、专业性的评测,查处“刷脸”技术中侵犯个人信息行为。系统评测具有较强的专业技术要求,应交由第三方负责,第三方评测企业向个人信息保护机构提交报告,对网络平台、“刷脸”软件进行评分,并对外公布。同时,应畅通用户举报与投诉通道,关注用户集中投诉、举报企业,借助社会公众的力量查处违法违规行为。
(作者为四川大学法学院博士研究生)
【注:本文系教育部人文社会科学研究青年基金项目“司法改革背景下法官流动问题的实证调查与对策研究”(项目编号:17YJC820008)研究成果】
【参考文献】
①扶青:《对刷脸支付保持审慎态度》,《智慧中国》,2019年第10期。
责编/孙娜 美编/王梦雅
声明:本文为人民论坛杂志社原创内容,任何单位或个人转载请回复本微信号获得授权,转载时务必标明来源及作者,否则追究法律责任。