郭兵:浙江理工大学特聘副教授
摘要:
《个人信息保护法》在涉及到敏感个人信息处理相关规则的时候调整非常明显。《个人信息保护法》第一条,新增一个规定就是根据《宪法》制定本法,根据《宪法》制定本法很重要的一个考虑可以说它是回应了目前我们社会各界对于敏感个人信息特别是生物识别信息的一个非常大的关切。
第一个调整是对于敏感个人信息的类型界定,在一定程度上体现了我们立法对于以生物识别信息为主的,或者是生物识别信息在我们敏感个人信息保护范围内可能是作为首要的一个保护对象。把生物识别信息作为一个很明确的位置上的修改。还有一个很重要的变化,就是敏感个人信息类型界定里面,把不满14周岁成年人个人信息纳入到敏感个人信息范围里面。目前这个条例26条里面图像这个信息的采集到底做怎么样的界定,我觉得这个是不是要跟敏感个人信息处理规则里面的生物识别信息对应得上,还需要靠后面的执法或者相关实践当中进一步的加以明确。
第二个调整是对于公共安全下的图像采集的限制性调整,正式稿里面直接把公开和向他人提供范围做了进一步更加严格的限定,不得用于其他目的。我认为这次敏感个人信息处理规则里面的调整有非常大的积极意义。
关于图像采集方面存在的两个方面的问题:第一个是企业在使用人脸识别技术的时候,公共安全这个目的怎么有效识别。第二个是26条里面规定设置显著的提示标识,需要后面配套立法加以明确。关于正式稿的第31条,规定了法律、行政法规规定处理敏感个人信息应当取得相应行政许可或者做出更严格限制的规定,与我们目前监管实践有非常大的出入。地方立法可不可以对敏感个人信息处理做出限制。国家层面各个部委的规章,甚至不是规章的规范性文件也对处理敏感个人信息做出限制性规定,到底符不符合32条,存在一定的争议。未来在立法这个法律、行政法规对敏感个人信息处理做出其他限制的时候要从一个更加有利于保护个人信息主体的这么一个角度去加以解释。
我今天主要围绕《个人信息保护法》的正式稿里面的敏感个人信息处理规则的调整以及在这个敏感个人信息处理规则上面的两个方面的问题,跟大家做一个交流。
《个人信息保护法》在三审的时候调整非常大,即便是在涉及到敏感个人信息处理相关规则的时候这个调整也是非常明显的。我首先围绕着我们跟敏感个人信息规则相关的一个,最核心的前提性的条款,《个人信息保护法》第一条,新增一个规定就是根据《宪法》制定本法,根据《宪法》这个规定,当然很多学者有不同的角度,很多是从《宪法》人格遵守基本条款的角度去进行解读。但是我亲身经历的一个感受,根据《宪法》制定本法很重要的一个考虑可以说它是回应了目前我们社会各界对于敏感个人信息特别是生物识别信息的一个非常大的关切。我自己的一个经历,2019年起诉了杭州野生动物世界,当时我起诉的是一个民事纠纷,或者是一个消费者权益保护的纠纷,但是我没想到这个案件最终评选为了人民大学2019年十大《宪法》事例,去年我参与了《杭州物业管理条例》的立法,是在修订草案当中增加了一个规定,就是物业企业强制业主通过指纹识别、人工智能等生物识别方式使用公共设施设备,当时只是一个草案,这个草案直到今年上半年才正式通过。这两个事例都是跟我今天要跟大家交流的敏感个人信息处理规则调整和问题密切相关。特别是《杭州物业管理条例》这个规定和这次敏感个人信息处理规则里面还存在着可能有争议的一个问题密切相关。
第一个调整,这次正式稿里面一个非常大的调整就是对于敏感个人信息的类型界定,这次敏感个人信息类型界定把之前二审稿以及一审稿里面提到的排在最前面的种族、民族这些直接删掉了,修改为敏感个人信息种类放在最前面的是生物识别信息,这个可以说在一定程度上体现了我们立法对于以生物识别信息为主的,或者是生物识别信息在我们敏感个人信息保护范围内可能是作为首要的一个保护对象。这次立法里面关于调整范围其中敏感个人信息调整很重要的范围是把生物识别信息作为一个很明确的位置上的修改,当然在表述上也有一些变化,之前二审是用个人生物特征,其实跟《民法典》、《网络安全法》在个人信息类型化界定的时候表述也是不一致的,无论是《网络安全法》第76条还是《民法典》1034条第二款,都对个人信息类型做了一个列举式界定的时候用到的是生物识别信息,这次立法里面把与之前相关的法律规定的概念不一致的可以说进行了调整。还有一个很重要的变化,就是敏感个人信息类型界定里面,把不满14周岁成年人个人信息纳入到敏感个人信息范围里面,我们如果从目前敏感个人信息界定来说类型界定很大程度上是与无论是2017年还是2020年个人信息安全规范国家标准存在着很大关联性,但是唯独不满14周岁未成年个人信息从之前一般规定里面修改到了敏感个人信息的规则里面。当然我们立法里面如果从敏感个人信息类型界定来看,密切相关的还包括正式稿26条,我看到很多无论是媒体还是学者解读,其实都认为这条是与敏感个人信息规定是密切相关的,虽然放在第一节一般规则规定里面,特别是26条涉及到图像采集问题,其实很多学者包括立法的相关人大审议过程中也都把这个图像采集问题与人脸识别问题密切的相关。但是我们在26条规定里面,在这个概念界定上用的是图像,上个月最高人民法院出台人脸识别司法解释里面明确用到的是人脸信息,目前这个条例26条里面图像这个信息的采集到底做怎么样的界定,我觉得这个是不是要跟敏感个人信息处理规则里面的生物识别信息对应得上,这个可能还是要靠后面的执法或者相关实践当中进一步的加以明确。
第二个非常大的调整就是对于公共安全下的图像采集的限制性调整,也就是26条的一个很重要的调整,就是将之前二审稿里面规定的以公共安全为目的进行图像采集这么一个限制是不得公开或者向他人提供,这次正式稿里面直接把公开和向他人提供范围做了进一步更加严格的限定,不得用于其他目的。如果是在公共场所安装图像采集的相关设备收集个人信息的话,这个目的只能是而且必须是公共安全这个目的。之前二审稿27条和现在的变化我认为是有非常大的积极意义的,当时在二审提出意见的时候我也提出来了,之前二审稿里面规定是不得公开向他人提供的话,其实有很多企业可能都不会违反我们说到的《个人信息保护法》图像采集规定,其实有很多的违规使用人脸识别技术的一些场合,包括现在已经面临处罚的很多售楼处,浙江看到至少有几十起类似的处罚出现,这种处罚很多时候这些企业都没有公开或者是向他人提供它收集的这些图像信息,这种情况下如果按照我们之前二审稿的规定的话可能那些企业还可以为自己的一些做法做出一些辩解,它可以说这种做法唯一目的就是公共安全,如果执法部门不去深入的对它相关人脸识别设备包括服务器核实的话,其实是很难发现会有其他的目的。这是这次敏感个人信息处理规则里面调整了一个非常有积极意义的方面。
这里面也存在着一些问题。第一个方面的问题,目前正式稿第26条公共安全目的下的录像采集还是会存在一个什么样的目的呢,到底公共场所安装图像采集设备收集,仅仅是政务领域还是一些企业或者其他组织也可以使用这种技术手段呢,如果允许其他企业或者是组织来使用,非政务领域下使用这个图像采集技术的话其实在一定程度上这个规定其实并不禁止为了公共安全目的的人脸识别的这种技术,因为从26条规定来看并没有说禁止你为了公共安全的目的或者为了公共安全这个唯一目的来使用这个技术。如果企业使用的话会面临什么问题呢,我们监管部门到时候怎么界定企业使用这个人脸识别的技术进行图像采集的时候唯一目的是公共安全,今年315晚会曝光苏州店提供人脸识别的规定,有一家非常知名的品牌企业,就是喜茶,有很多连锁店,当时受到舆情压力之后苏州这家提供人脸识别的技术企业就给他们提供了一个证明函,说喜茶门店使用这些人脸识别技术的时候只是为了仅用于公共安全,并且也说了只是内部使用,也就是说它的目的和我们现在这个正式稿26条是一致的,但是这种企业在使用人脸识别技术的时候,央视记者通过各种方式的暗访后曝光,很多执法部门也是突击执法才能发现很多无论是售楼处还是门店其实是打着公共安全的旗号用于商业目的,这就会使得26条面临非常大的监管挑战,就是公共安全这个目的怎么有效识别。这是很有争议的一个问题。同时在26条里面规定设置显著的提示标识,现在很多因为违规使用人脸识别技术被查的一些售楼处也好还是门店也好,其实里面都会有一个标识,说你已进入监控采集区域,这里到底属不属于显著标识,这个还需要后面配套立法加以明确。这是关于图像采集方面存在的两个方面的问题。
第二个方面的问题,这次正式稿跟之前二审稿包括一审稿基本上没有变化的条文,就是正式稿的第31条,包括以前二审稿32条,里面规定了法律、行政法规规定处理敏感个人信息应当取得相应行政许可或者做出更严格限制的规定。这个地方就有一个问题,可能与我们目前监管实践有非常大的出入,我们监管实践是很多对敏感个人信息处理做出许可的肯定很少,许可的因为有《行政许可法》我们不去说,目前规定如果做出其他限制的话,条文解释里面其实就是说如果对于处理敏感个人信息做出其他限制必须要有法律和行政法规来做出规定。像杭州那个立法,属于地方性法规,这个规定里面规定的物业不得强制业主通过生物识别方式使用公共设施设备,这个时候其实就是对于这种使用,对于敏感个人信息处理做出限制性规定,这个时候地方立法可不可以做出这样的限制。包括还有国家层面各个部委的规章,甚至不是规章的规范性文件也对处理敏感个人信息做出限制性规定,这个到底符不符合32条,这是目前没有变化的正式稿31条的规定里面就是对于敏感个人信息处理的立法限制的问题可能会后面存在一定争议的一个问题,因为很多地方立法,包括深圳《数据条例》,包括天津、广东以及浙江《社会信用条例》其实都对社会身份识别信用作出了限制性规定,这些立法都通过了全国人大合法性审查,可能未来在立法这个法律、行政法规对敏感个人信息处理做出其他限制的时候要从一个更加有利于保护个人信息主体的这么一个角度去加以解释。