针对人脸识别侵犯个人隐私的争议,全国人大常委会法工委12月21日回应称,个人信息保护法草案对处理包括人脸等个人生物特征在内的敏感个人信息作出专门规定,要求只有在具有特定目的和充分必要性的前提下,方可处理敏感个人信息,并应在事前进行风险评估。
一段时间以来,“人脸识别第一案”与戴头盔看房等事件,引发了公众对人脸识别技术应用边界的广泛讨论,也让“如何规范人脸识别”成为坊间热议的话题。这些公共讨论促进了社会对人脸识别等新技术在应用和规制上的许多共识。
我们乐于看到人脸识别等新技术的应用和发展,但人脸识别也为个人信息保护带来了新挑战。
面对社会关切,两个多月前,十三届全国人大常委会第二十二次会议首次审议了个人信息保护法草案。10月21日,全国人大常委会法工委在官网公开了这部草案的征求意见稿,并向社会征求意见。
从立法程序上看,个人信息保护法出台无疑需要进一步论证,从“应该立法规制”到“具体怎样立法规制”,也要经历各方的反复博弈及后续的多次审议。
值得注意的是,在法工委21日的回应中,“特定目的”和“充分必要性”两个关键词作为敏感个人信息在应用场景中的前提,备受关注。规定这两个“前提”无疑是必要的,接下来,在立法过程中,显然还有必要针对这样概括和开放的表述进行细化。
处理个人信息应遵循的原则很多。从现实需要和各国立法经验来说,至少应包括合法性原则、正当性原则、必要性原则、诚信原则、比例原则等。在这些抽象的表述之下,用具体的法律程序和责任机制确保个人信息的收集、存储、使用、加工、 传输、提供、公开等活动均能合乎上述原则,才是立法的核心内容,也是难点所在。
对人脸识别等新技术,保护创新和保护隐私,是法律天平的两端。基于国防安全、反恐需要,这是“特定目的”,可以启用人脸识别。
但需要讨论的是,基于治安管理、交通秩序、医疗教育等需要,是否也要纳入“特定目的”的范畴?理论上,设立于政府机构、医院学校、交通工具、景区景点、公园广场等有人出入的公共空间,都有“维护公共利益”的理由。但相关立法显然不能对“特定目的”进行泛义的理解。
事实上,对“公共利益”的解释,已在多部法律中成为争议的焦点。立法能解决的,就无需甩给“实施细则”和“司法解释”。以正面清单式的列举法,或是一条可行的路径。
“特定目的”和“充分必要性”并不是可以“二选一”的前提。启用人脸识别,不但应有“特定目的”,还应是“必要”的、不得不做的处理。这种“必要”是指,在若干适合实现“特定目的”的方式中,必须选择使用对相关当事人和公共利益造成损失最小的方式。换句话说, 已经没有任何其他能给相关当事人和公共利益造成更小侵害的措施,来取代该项新技术的应用了。
这样一来,似乎对人脸识别等新技术的应用范围限定得较为严格。但这绝非多余:像人脸识别这样的新兴技术,因为存在非接触的侵入性,监测、抓取、匹配、记录、处置等行为都来得太容易,也需要足够的监管约束力度与之匹配。
作为弱势一方的个人信息的权利主体,只能通过立法来增强隐私保护的防御性机制。把人脸识别等新技术关进法治的笼子,让天然失衡的创新保护和个人信息保护在法律的规制下并行不悖,这将是个人信息保护立法能否修成正果的关键。