雷石普法
LEISHILAW
2021年2月26日,美国联邦法官批准了一起针对Facebook的集体诉讼和解协议。这起集体诉讼于2015年在伊利诺伊州发起,Facebook被指控未经用户许可通过“人脸识别”收集和存储用户面部数字扫描信息和其他生物信息。最终,Facebook赔偿6.5亿美元。本案中,原告集体代理人称,Facebook违反伊利诺伊州生物特征隐私法,在未经许可的情况下,从该州数百万用户的照片中获取面部数据用于标签建议,未告知用户这些数据的保留期限。
人脸信息属于特殊的个人信息,具有专属性、可识别性、身份表征性与不可更改性等特点,基于线性判别分析、非线性向量机分类或神经网络分析等方法进行机器识别后传入数据库,实现从普通社交到身份表征加密的转变,其与普通意义的个人联系方式、邮箱、地址等个人信息有一定的差别,其作为ID密匙已突破传统的法律保护界限和原则,对其保护必须探索新的路径。
作为个人数据保护立法内容之一,如何规制人脸信息的收集与使用,欧美国家在立法上已经有了应对措施。但不同国家的保护措施与理念也不同。美国优先保障企业的高效且安全使用的同时兼顾公民个人信息的保护;欧盟较为严格,最初完全采用临时禁令式的规则,随着网络技术的发展现在逐渐转向审慎使用的治理模式。因此,在政府或者企业的收集与使用与公民个人信息的保护之间如何平衡,牵涉技术使用限制、信息保护、互联网产业发展伦理诸多方面,也一直是人脸识别立法的核心问题,截止目前国内并没有主旨明确、针对性强的人脸识别法律规定,因此借鉴国外法律有重要意义。
北京雷石律师事务所:李明世
欧盟《通用数据保护条例》第7条确立了书面告知且用户有效同意的原则。数据控制者必须以数据主体明确同意为前提才可以收集并使用。作为美国已颁布的人脸识别最“强硬”的州法律,《伊利诺伊州生物特征信息隐私法》规定收集人脸信息的主体必须明确告知被收集者,而且需要告知收集、存储和使用生物识别符或生物识别信息的目的与存储期限,在没有收到信息主体的书面豁免协议之前,不可以收集并使用。
《民法典》第1034条规定,自然人的个人信息受法律保护,个人信息是以电子或者其他方式记录的,能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。但此规定确存有些模糊,2018年10月,《十三届全国人大常委会立法规划》已经将个人信息保护法草案列入“条件比较成熟、任期内拟提请审议”的第一类目,如此一来,我国个人信息的使用或将得到更有效的规制。《个人信息保护法(草案)》通过之前,可以将关于人脸识别的部门规章所带来的成功的经验提取、总结,针对人脸识别领域进行具体的立法,并借鉴国外立法保护所使用的告知并同意原则、独立使用原则、多元救济原则等,实现个人信息保护有法可依的局面。
总结
人脸识别是把双刃剑,既要注重人脸识别技术的合理使用不被限制又要权衡其滥用的责任,同时兼顾公民个人信息安全与利益保护。法律固然是滞后的,但是其调整和规范社会公共机构与公众活动的目的是应当一贯秉持的,人脸识别法律规制应该平衡数据产业发展与个人信息保护之间的矛盾,实现规范人脸识别技术和促进人脸识别技术发展的目标。
原文始发于微信公众号(个人业务法律服务专线):雷石普法|从Facebook人脸识别集体诉讼案看法律规制措施