人脸识别技术:风险如何防控　如何依法规制(2)

　　信息时代下的社会结构中存在三方关系:个人是数据主体;企业是数据控制者和处理者;政府则承担双重角色,既是数据控制者和处理者,会收集使用分析数据,也是个人与企业之间的调停者。信息时代的三方关系中,个人处于绝对的弱势,眼下除了极少数网络大V借助互联网技术,使自己的话语权和影响力大大扩张之外,绝大部分作为个人的普通民众仍是绝对的弱势方。眼下数据领域基本实行的是丛林规则,强势的是企业,科技企业通过互联网信息技术获得的强势地位是普通企业无法想象的,传统企业不可能获得这样的影响和地位。另外是政府,政府一方面收集使用数据,也处于数据控制者与处理者的地位,另一方面是调停者,关键是政府作为调停者往往更为强调产业的发展,如此一来便导致企业与政府更加强势,个人更为弱势,从自然意义和事实意义上看,三方关系结构之中,个人本来就最为弱势,加之稀薄的法律保护都被虚置,只会使其处于更加弱势的地位。
　　建立合理法律保护框架
　　在法律上,个人信息的保护,不是以隐私作为判断标准,而是以可识别性来认定的。所以,我们会发现,个人信息是否受到法律的保护跟个人隐私没有太大的关系,只要识别到个人,即便是在公共场合的行踪轨迹信息也是受到保护的。
　　关于个人信息保护,有一种观点认为,信息的保护涉及个人隐私与公共安全之争,为公共安全考虑可以牺牲个人隐私。应当说,这一观点是存在问题的。
　　眼下个人信息的保护框架中,让人比较受到鼓舞的是今年3月6日发布并于10月1日开始生效的《个人信息安全规范》,它明确规定,收集个人信息除应单独向个人信息主体告知外,还应告知目的、方式、范围、储存时间,征得信息主体的独立的明示同意。当然,这还不是法律规定,而只是行业性标准。
　　在我看来,合理的法律保护框架应考虑如下几个方面的因素。第一,应该加强对收集与使用数据方面的合规,对企业或者政府部门收集使用数据的行为进行规范。这不意味着由相关部门加强直接的监管,而应当间接地进行调控,包括使用商业化的手段,比如加强安保技术的商业化,由政府来购买安保技术方面的服务。第二,明确个人数据和信息保护的主要责任主体。之所以收集和使用数据的一方应当作为主要责任主体,是因为风险乃是由其收集、使用行为所制造,且相应的利益也主要由其所享有。基于此,数据的控制者与处理者理应承担更多的风险。第三,法律规制重心的转变,规制的重点由对个人数据的收集转移到对个人数据的滥用上。第四,应根据类型与场景进行不同程度的保护,数据当中要区分敏感数据跟一般数据,敏感数据当中又要区分生物数据与一般的敏感数据,后者包括涉及个人的宗教信仰、政治立场等。
　　(作者单位:清华大学法学院)

 

(题图设计:姚雯)
建立接受公众监督的数据库

　　王锴
　　人脸信息属于个人信息,而不属于隐私。隐私不仅要具备“私”的属性,还要“隐”,即不希望被别人看到。但我们的人脸每天暴露在外面,无法享有合理的隐私期待,因此应该属于个人信息的范畴。
　　个人信息法律保护的现状与短板
　　关于个人信息的保护,目前民法典作了一些规定,但仅仅有民法典的规定还是不够的。因为大家都知道,民法调整的是平等主体关系,即使涉及到国家机关,也是国家机关作为民事主体时提出了人脸识别的要求,才有可能适用民法典。如果国家机关行使公权力、采用强制命令的方式要求公民进行人脸识别,我们就很难用民法典来解决这个问题,不可能最后提起行政诉讼或在行政诉讼里面说依据民法典哪一条来作出判决,否则公私法之间的界限就不存在了。