政府你该如何收脸?
政府你该如何收脸?
上周参加了南方都市报一年一度的啄木鸟安全大会,其中专门有一个话题关于人脸识别技术的安全与规制,并且南都还发布了《人脸识别落地场景观察报告》(https://m.mp.oeeee.com/show.php?m=Thinktank&a=reportDetail#/?id=224)。另外,洪延青博士也特别写文关于《人脸识别技术的规制框架(PPT+讲稿)》。可以看出,大家现在对人脸影像在收集使用环节,普遍认同需要分场景分析并匹配不同的法律目的作为框架进行相关的规则。
但是不知大家有否发现,无论是南都的报告还是洪博士文章对场景的分析与梳理中,获取及使用人脸最多的场景还是政府(或者准政府机构/事业单位,以下统称政府部门)所控制的场所范围内,比如火车站的扫脸进闸机、街头大屏拍摄闯红灯者、公共厕所扫人脸取手纸、摄像头走进了学校教室还进入了动物园(被堪称“人脸诉讼第一案”)……特别近日,又有多家媒体报道,北京地铁即将推出“刷脸”通过安检的服务,一时间引起广泛争议。人脸识别技术近年来在国内一直热度不减,各行各业、包括各类各级政府部门都纷纷试水。随着互联网+以及人工智能技术的进一步发展,政府部门收集和使用公众人脸的目的,已经不纯粹是为了安全监控了,他们有的开始进行统计流量,有的为了识别会员,有的用人脸进行个体或者群体画像进行信息推送(包括精准推送),还有诸如用于进门打卡考勤,甚至还有跟踪相关人员或者智能公交或者地铁……。 人脸识别技术越发达,可能发生的场景就越丰富。目前已经有许多学者写了很多篇关于人脸与隐私保护方面非常有价值的文章,给隐私合规与安全界提供了诸多思路与参考。M姐曾经也接受过一些媒体关于对此话题的采访,例如上海市政府启动小区人脸识别进门(人脸钥匙取代了传统的普通钥匙进门)、公厕扫人脸取纸(用人脸来限制多次取纸),M姐自己也曾在朋友圈发过一些牢骚例如只要进入北京火车站的大门,就需要掏身份证由站在门口的工作人员拿手机进行拍摄,不但没有任何告知还使得进闸人群排起长队等。以上这些事件基本上还在与政府部门采用人脸识别技术收集公众的人脸影像有关。事实上,我国政府部门使用人脸识别技术起步很早,例如,中央政法委、公安部2005年起联合主导的“平安城市”以及后来的“天网工程”就是利用人脸识别技术的典型例子。然而,尽管实践先行,我国迄今尚未建立专门规制政府部门使用该技术的相关规范。 政府是具有超强职能的一方民事主体,同时他又是监管方。如果政府收集个人信息,甚至如人脸这种个人敏感信息,并不是为了公共利益、社会安全、第三方利益或者其他可以豁免同意的这种理由以外,是否可以利用自己的行政权力任意获取用户的人脸数据?一旦海量数据聚集以后,政府手上的数据是否会形成一定的垄断优势,而使同类其他企业的竞争优势失灵?政府收集了这些人脸数据以后,都存在了哪儿?是否有采取更高要求的网络安全保护机制与措施?公民以后在政府部门管辖的活动范围中,是否更加真空没有个人的隐私了?以上种种的疑问,导致我们团队,特别想写写关于政府部门采集人脸信息应该如何合理规制的问题。究竟应该采取一刀切来进行规制,还是也应该如规则同私营部门的行为一样分收集人脸的不同场景来进行管理?由于政府部门拥有公权力色彩的背景,其在收集人脸时是否还应该与普通的私营部门在采集人脸信息的合规要求上有所不同?如有不同,在哪些点上应当有所区分而在哪些点上又应该一视同仁,甚至作为国家权力的代表机关在规制其行为时需以更加严格的标准对待呢?下文拟对政府部门应该如何使用人脸识别技术收集使用人脸影像作简要的探讨,以供学者与实务界参考后做更加深入与细致的分析与研究。
一、 政府能否使用人脸识别技术背后的利益平衡
世界范围内,规制政府使用人脸识别技术的立法不多。从现有的立法例来看,不同法域大多采取严格限制、或者原则禁止政府使用该技术的态度。探究背后的立法意图,立法者一直在政府履行职能的公共目的、与个人信息主体的权利与自由之间进行衡量,并试图作出较为合理的选择。
具体而言,一方面,政府使用人脸识别技术是为了履行政府职能,例如警察对大型集会的安保、对犯罪嫌疑人的追踪等,具有保护公共利益的特征。另一方面,由于人脸数据具有唯一性、与个人信息主体高度相关的敏感性,政府对该技术的使用极易侵扰个人信息主体的基本权利与自由,破坏个人信息主体对隐私保护的合理期待。 目前,正是由于人脸识别技术还不够完善,对有色人种、女性等的识别错误率远高于其他群体,导致种族歧视、性别歧视等严重侵犯个人权利的问题泛滥,各国才对政府使用该技术持非常谨慎的态度。二、规制政府使用人脸识别技术的域外法经验
人脸数据是人脸识别技术的基础,一般而言,属于生物识别信息的一种。根据我国《信息安全技术 个人信息安全规范(征求意见稿)》(2019.10.22)(以下简称“《个人信息安全规范》”)第3.2条,“个人生物识别信息”属于一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇的个人敏感信息。
综合考虑人脸数据的敏感性等因素,如政府能够合法获取人脸数据,其作为数据控制者在处理人脸数据过程中,除了应当遵守个人信息保护合法、正当、必要原则外,很可能还需遵守其他更严格的条件。我国目前无专门规制政府使用人脸技术的规则,我们不妨先对目前世界上已有的立法进行调研与剖析。欧盟2016年《通用数据保护条例》
欧盟《通用数据保护条例》(GDPR)对人脸数据未作特别的规定。根据GDPR第4条定义,人脸数据属于生物识别数据的一种,在GDPR下作为“特殊类别的数据”进行统一规制。根据GDPR第9条,欧盟原则上禁止处理特殊类别的数据,除非具有法定的正当事由。
GDPR第9条列举的正当事由包括:(1)征得个人信息主体明示同意;
(2)政府在劳动、社会保障等方面履行义务以及行使自身或个人信息主体权利所必须;
(3)保护个人信息主体或其他个人重大利益所必须;
(4)非盈利机构处理其成员信息;
(5)个人信息已经向公众公开;
(6)司法程序中提出、行使或抗辩法律主张所必须,或法庭行使司法权力;
(7)保护重大公共利益所必须;
(8)保护公共卫生领域的重大利益所必须;或者
(9)实现公共领域存档等目的。
同时,GDPR第9条还在政府处理生物识别信息的问题上,赋予成员国进一步立法限制政府处理生物识别信息的权力。例如,英国《数据保护法》就在政府处理该问题方面做了较为细致的规定。
英国2018年《数据保护法》
英国2018年《数据保护法》(以下简称“《数据保护法》”)对政府使用人脸识别技术的规制主要体现于第3部分“与执法相关的信息处理”(Law Enforcement Processing)中。该部分专门规制政府在防止、调查、侦查或起诉刑事犯罪或执行刑事处罚(包括防止对公共安全造成威胁)过程中的执法行为,不涉及其他类型的政府行为。
《数据保护法》第34条规定,政府在执法过程中处理个人信息应遵守六项原则:(1)行为合法公平原则;
(2)目的合法清晰原则;
(3)收集个人信息最小化原则;
(4)保证个人信息准确性原则;
(5)个人信息及时删除原则;
(6)采取措施保护个人信息原则。
《数据保护法》第35条对第34条第(1)项行为合法性原则进行了阐释。其中,政府处理个人敏感信息(包括以识别个人为目的,对生物识别信息的处理)只在以下两种情形下具有合法性:(1)政府征得个人信息主体的同意,并且政府在处理敏感信息时具有完备的细则文件。[1] 或者
(2)政府的处理行为是为执法目的所必须的,处理行为至少满足附件8规定正当事由的一项,[2] 并且政府在处理敏感信息时具有完备的细则文件。
其中,附件8列举的正当事由概括如下:
(1)执行法定目的(Statutory etc purposes);
(2)执行司法的要求(Administration of justice);
(3)保护个人重大利益(Protecting individual’s vital interests);
(4)保护儿童及处于风险的个人 (Safeguarding of children and of individuals at risk);
(5)个人数据已经公之于众(Personal data already in the public domain);
(6)法律主张所要求(Legal claims);
(7)司法行为所要求(Judicial acts);
(8)为了阻止诈骗(Preventing fraud);
(9)为了归档事由等(Archiving etc)。
以上规则在2019年9月4日,英格兰和威尔士高等法院行政庭就R (Bridges) v CCSWP and SSHD一案作出的判决中得到引述。南威尔士警方自2017年起开始试点使用自动人脸识别技术(Automated Facial Recognition technology),对从闭路电视中获取的公众人脸进行实时处理,抽取面部生物识别信息后,将该信息与监视名单上的人的面部生物识别信息进行对比。[3] 据此,原告对此提出三项主张,其中第二项认为警方利用人脸识别技术的执法行为违反了英国的《数据保护法》。 法院认为,公众的面部生物识别信息符合法条规定的“生物识别信息”的定义,构成个人敏感信息,且公众的生物识别信息被处理是为了进行对比,满足“为识别特定个体目的”。由于警方在人脸识别前未征得公众的同意(第35条第(1)款规定的情形),所以,在进行人脸识别时,警方只有满足《数据保护法》第35条第(2)款规定的三个要件,行为才具有合法性。具体而言,首先,原告对“绝对必要”的诉讼请求基于前述《欧洲人权公约》下的合比例诉讼请求,满足绝对必要的要求;其次,警方的执法行为为警方根据法律或法律授权履行职能所必需,且为保护重大公共利益所必需,满足附件8中的正当性事由;再次,警方出具的2018年11月的细则文件《为执法目的进行的敏感处理政策》满足《法案》第42(2)条细则文件的要求,但内容较为简短、缺乏细节,没有对相关政策进行系统性的认定和陈述,是否满足《数据保护法》要求仍存在疑问,建议信息官(Commission Officer)进一步提供指导。 此外,法院对《数据保护法》附件8中的多项正当性事由之一“实现法律法规规定的目的”(Statutory etc purposes)进行了阐释,认为:分析相关法律框架需要的条件时,应根据不同类型的生物识别信息本身的情况进行评估。本案政府使用该技术的法律框架充分,由三个层次构成:(1)初始立法,即《数据保护法》;(2)二级立法文件,关于《法案》的实践准则,即根据2012年《保护自由法》出台的《监控摄像机实践准则》;(3)三级立法文件,即警方自己出具的细则文件。总体上,以上法律文件组成的法律框架能够为警方的执行行为起到指引作用,因此较为充分。《数据保护法》第36-42条对第34条列举的第(2)至(6)项原则的内涵进行了阐释。不难发现,《数据保护法》强调的六项原则与GDPR、我国《个人信息保护规范》中对个人信息处理提出的原则总体上一致,是为各界广泛接受的处理个人信息的原则。 此外,英国2012年《保护自由法》还对《数据保护法》进行了补充,规定了政府处理儿童生物识别信息的要求。《保护自由法》第26条规定,原则上需要书面通知并获得监护人的书面同意,且监护人可随时撤回该同意。儿童拒绝被处理生物信息时,政府亦不得进行处理其生物识别信息,而应当使用替代性的方式。第27条规定了例外无需通知监护人的情形,如监护人无法找到,监护人缺乏监护能力,为保护儿童利益需要不通知监护人的,或者通知监护人不现实可行时。 GDPR规定任何个人数据的处理必须获取数据主体“自由给予、明确、具体、不含混”的同意,数据主体任何形式的被动同意均不符合GDPR的规定。因此,人脸识别技术的商业应用可适用的唯一例外是“数据主体已明确表示同意”。当然,GDPR第9(4)条允许欧盟各成员国规定在特定情况下不适用GDPR中对处理生物识别的数据的限制,例如,荷兰规定了为完成认证或安全需要时可以处理生物识别数据。克罗地亚的新数据保护法对生物识别数据的限制排除适用监控安全系统。但是,限制排除的仍然美国2019年《停止秘密监控法案》及一系列面部识别技术的法案
但是,也有一些州未直接禁止政府使用该类技术,而是对政府的使用行为进行了有条件的限制。例如,俄勒冈州华盛顿县警局《使用面部识别技术的规定》就从人脸数据的采集、使用、存储、销毁等生命周期,对警方使用人脸识别技术做了较为细致的指引:警方可以在宪法、法律以及华盛顿县警长办公室政策的范围内使用人脸识别技术。警方在使用该技术前,须获得个人信息主体的同意。警方仅能限于执法目的使用该技术,不能用于大规模监视。除非例外情形(如核实被捕人员犯罪记录),人脸识别结果不能单独作为证据,只能作为潜在的线索。此外,人脸数据只能存储在警局控制的服务器上,如不涉及刑事犯罪,定期将会删除。警方会对上传照片进行脱敏处理,照片不会存在任何标识或个人信息等。
此外,新罕布什尔州的《新罕布什尔州修订法》第105章D随身摄像机(Body-worn cameras),对州内警察和执法机构在执法时,如何使用摄像机收集人脸的相关信息也作出了较为细致的规定。印度2018年《个人数据保护法草案》
印度《个人数据保护法草案》(以下简称“《草案》”)规定,人脸数据属于生物识别信息[4],但《法案》未对生物识别信息作特别的规定,而是作为个人敏感信息进行统一规制。根据《草案》第7(2)条,个人敏感数据原则上禁止处理,仅得基于第四章规定的一项或几项结合的条件才能被处理。
《草案》第四章第18-21条列举可以处理人脸数据的条件有:
(1)征得个人信息主体明示同意;
(2)履行邦的某些职能所必须;
(3)根据法律或法院、法庭的命令处理;或者
(4)为迅速采取某些行动,如涉及对个人信息主体生活或健康构成严重威胁的医疗紧急情况,在公共卫生威胁期间为个人提供医疗健康服务,发生灾害或公共秩序崩溃期间为确保个人安全或向个人提供帮助或服务。
同时,《草案》第23条还规定了处理儿童个人(敏感)信息的相关规定,强调处理儿童个人(敏感)信息需要征得监护人的同意,除非服务数据处理者是专门为儿童提供咨询或者儿童保护服务的主体等。澳大利亚1988年《隐私法案》
对于政府收集个人敏感信息的正当事由,《隐私法案》第3.3条规定:
(1)需要征得个人信息主体明示同意,并且,如果收集主体为相关机构(Agency/Organization),该个人信息为该机构实现其作用或开展活动所必须或直接相关联;
(2)收集个人敏感信息有澳大利亚法律、法院/法庭命令所要求或授权;或者
(3)如果收集主体是政府执法机构(Enforcement Body),该政府执法机构合理认为,收集个人敏感信息为履行执法机构职能或开展活动所必须或直接相关联。此外,《隐私法案》附件第三部分第6.3条规定,如果使用或披露生物识别信息或生物特征模板(biometric templates),原则上只能在收集时的特定目的范围内进行使用或披露,除非是信息收集者(Agency)是面向政府执法机构(Enforcement Body)进行披露,且已经按照委员会的指引进行操作。
巴西2018年《通用数据保护法》
根据《隐私法案》第11条,个人敏感信息可以在以下情形被处理:
(1)当数据主体或其法定授权代表为特定目的而特别且重点地对处理表示同意时;
(2)在数据主体没有给予同意的情况下,以下条件必不可少:
a.控制者遵守法律或监管义务;
b.公共行政机构为执行法律法规中的公共政策而共享处理所必需的数据;
c.研究机构开展研究,并尽可能确保对个人敏感数据进行匿名化;
d.定期行使包括协议、诉讼,行政程序或仲裁程序中的权利(最后一点是根据1996年9月23日第9,307号法律(《巴西仲裁法》)做出的规定);
e.保护数据主体或第三方的生命或人身安全;
f.按医护人员或医疗机构执行的程序保护健康;或者
g.除数据主体普适性的基本权利和自由需要保护个人数据的情况外,为遵守本法第9条所述的权利,在电子系统中记录识别和认证的过程,确保防止欺诈和数据主体的安全。此外,《通用数据保护法》第14条规定,儿童个人数据的处理,应在至少其一位父母或法定监护人的特定和明确同意下进行。
三、政府使用人脸识别技术应当遵循的基本原则
总结以上域外法经验,针对政府是否能够使用人脸识别技术,目前大致呈现以下两种立法模式:
(1)原则上禁止,例外有法定正当事由时可以使用。一般情况下,法定的正当事由包括两种,即用户的明示同意,以及其他法定正当事由;
(2)原则上禁止,且无法定的正当事由。此时立法态度较为严格,不支持政府使用人脸识别技术。 立法不同态度由各法域不同的社会文化环境、价值衡量标准来决定。但可以观察到,不同的法域的立法其实呈现出很大程度的共性,例如,对政府使用人脸识别技术持原则禁止的态度;例外的正当事由始终包括用户的明示同意;例外的其他正当事由中,大多要求政府有法律的合法授权、为履行职能所必须、或为了保护公共利益及其他重大的法益等。我们理解,对于政府使用人脸技术的规则,始终离不开以下个人信息保护的普适性原则,但是在这些原则具体解释上,可能需要更为严格:
合法授权原则
同时,参考英国《数据保护法》第42条、英格兰和威尔士高等法院行政庭在R (Bridges) v CCSWP and SSHD一案中对法律框架的阐释,政府需要分层级地形成完整的法律框架,从上位法、实施细则、具体执行规范等层面,为政府在使用该技术提供完整、细致的指引。
目的明确原则
但是,参考澳大利亚《隐私法案》附件第三部分第6.3条规定,如果能够征得个人信息主体同意,政府仍有超出范围处理个人敏感信息的空间。是否允许超目的处理个人敏感信息,有赖于不同法域的价值衡量。当然,笔者建议,同一场景同一处理目的与手段的,可以在同一期限内再次授权一次;如果上述任何一个情况发生变化的或者采集人脸信息的场景非常复杂的,也应该做到请个人信息主体case by case的授权。
知情同意原则
对于处理儿童人脸数据的问题,很多法域的规定都十分严格。政府应书面通知监护人,征得监护人的书面明示同意,并且监护人可以随时撤回其同意。根据英国《数据保护法》,及时获得监护人同意,但是如果儿童表示拒绝的,政府也应当立即停止处理行为,采用替代性的方式。
最小必要原则
部分公共性质的其他组织,如学校、医院、商业银行、轨道交通运营公司等,有时会在政府授权范围内履行一定的公共职能。例如,中国人民银行、银保监会要求商业银行、证券公司等对进行金融交易的用户进行身份验证、地铁运营公司为履行安全保障职能对乘客进行安检等都属于这个范畴。从最小必要的原则出发,这类公共组织可能并不适宜直接类比政府,在履行其职能时直接享有处理人脸数据的权力。我们理解,如需处理人脸数据,此类场景可能仍以征得个人信息主体同意为宜。
比例原则
在GDPR项下,比例性原则的意思是要求控制者为实现某一目的而实施的措施应与数据处理的风险合乎比例,包括相对与所追求的目的,数据控制者需要对数据处理活动的必要性和比例性开展评估,除非数据控制者做出该行为是为了社会公共利益、科学或研究目的、统计目的而处理数据。在日常生活中,我们通常都喜欢拿大炮打苍蝇来作比方形成做某件事情的花费与收益不成比例。这里是说,获取人脸对个人信息主体造成的损害是很大的,包括有可能存在泄露的风险,但为的是一个很不等比的目的,比如为了限制人们重复获取七公分的厕所纸。又比如说最近瑞典DPA处罚的一个案例,学校教室里安装摄像头获取人脸信息,为的却只是考勤打卡。如果为了限制获取厕所纸那就干脆别提供,或者设计一种厕纸盒每次只能出七公分(为了等待出N个七公分厕纸的赶火车乘客毕竟哪有几个),记考勤可以用另外一种方式,如传统的手动签到来执行,为何一定需要获取人脸呢?
公开透明原则
除非为了社会公共安全与保护社会重大利益等例外情况,政府部门应当以明确、易懂和合理的方式公开处理人脸数据的范围、目的、规则等,并且需要让公众知道收集后的数据会使用在什么场景,会存储在什么地方。是政府自己履行数据安全保护义务还是委托第三方代为履行。政府是否存在与第三方进行数据共享,这些第三方都是哪些机构,这些机构的安全防护能力如何。政府收集数据的公开透明,也是对人权的尊重,对社会公平价值的体现以及不做失信政府短视政府。公开透明还需要接受外部监督。在利用人脸识别技术进行执法时,应保证人为的审查与干预,矫正利用该技术作出的判断所可能存在的错误,防止侵犯个人信息主体的基本权利。
确保安全原则
清华大学法学院的劳东燕教授曾指出,人脸识别技术应用广泛,但如果人脸数据如何收集、保管和使用法律并没有严格规制,一旦发生数据泄露事件,所引发的风险将难以评估。由于大规模的人脸影像信息的收集,政府应当具备与担当与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护人脸数据的保密性、完整性、可用性。由于新的业务形态需要获得人脸的,最好在开展前组织内部相关部门进行个人信息安全影响评估,考虑某此场景下使用人脸技术获得信息是否会对个人信息主体造成权益影响,这类评估在适当时候,还可以邀请一些中立的机构一起参与,比如各行业的代表、学者、律师等。
权责一致原则
政府应当采取技术和其他必要的措施保障人脸数据的安全,对人脸数据处理活动对个人信息主体合法权益造成的损害承担责任。关于责任承担形式,除了对受到侵害的个人信息主体承担民事责任外,政府部门以及其相关负责人是否需要为其不当使用公民人脸信息的行为承担行政、刑事等其他形式的责任,此处有待进一步商榷。
四、政府在不同场景下使用人脸识别技术的分析
目前,政府使用人脸识别技术的场景主要集中在公共安全、金融业务、社会保障系统等对身份验证有着高度要求的场景中。如前所述,政府处理人脸数据如果为履行职能所必须时(无可行的替代性方法),政府的处理行为无需征得个人信息主体同意。但对于政府非必须的履行职能的行为,或其他不具有正当事由的行为可能都需要征得个人信息主体的同意。举几个例子进行适当分析:
例如,警方利用人脸识别技术在交通执法、追寻逃犯等情形中对闯红灯个人进行拍照,通过识别面部特征匹配数据库中的个人身份信息,确认违反交通规则人员的身份,是为履行公共安全保障职能所必须,因此无需征得个人信息主体同意。但是,如果警方将识别出个人身份的主体身份信息,如姓氏、照片、以往闯红灯记录或者其他不良信用信息等且直接在街口的屏幕上公示,是否合适可能就存在疑问,因为警方可以有其他替代性的惩戒措施。此处可能需要考虑比例性问题。 政府在公共厕所中向市民提供免费的纸巾,通过人脸识别的方式来验证身份,以防止滥用纸张。虽然该方案对遏制浪费可能具有良好效果,但是在该场景下处理人脸信息可能有违合理性原则,政府很可能找到其他替代性技术方案来限制取纸量,为何一定需要获取人脸信息呢。由于不具有其他可能的正当事由,如果政府一定要推行人脸识别提供纸张,不但需要征得使用者的同意并告知目的与信息后续的使用与存储情况,而且最好还提供一种替代性方案(可以比扫人脸取纸慢一点点但也不能太复杂了)供消费者选择。又如,政府积极推行建立的“智慧城市”同样离不开人脸识别技术,楼宇门禁、社区管理、办税认证系统、养老金领取管理、驾驶学员身份信息认证、安全驾驶管理系统、商业智能分析等场景下,人脸数据被更广泛地运用。但是,这其中很多功能可能并非政府履行职能所必须推行的,在具体推广过程中需要我们仔细甄别。例如,如前所述,人脸门禁可以供选择,如果有业主在被充分告知后愿意使用则可以,如果不愿意被收集人脸的还应该允许继续让其用门禁卡来替代。政府不能打着“履行政府职能”的旗号,一揽子直接处理所有场景下的人脸数据。
办理银行金融业务中,银行需要进行人脸识别来验证身份。考虑到金融安全的重要性,银行按照《中国人民银行关于印发《金融科技(FinTech)发展规划(2019―2021年)》的通知》等法律规定,对交易身份的验证要求极为严格。此时,银行的人脸数据处理行为可能因落入实现法律规定监管要求的正当事由而得到承认。对于受政府委托的公共机构履行部分政府职能的情形下,如上文提及,可能并不适宜直接类比适用政府的相关规则,此类场景仍可能需要以征得个人信息主体同意为宜。近日,北京地铁2号线阜成门站开始试点人脸识别安检。在该场景下,地铁运营公司部分承担着政府进行安全检查的行政职能,但是仍然也应该通过征得用户同意的方式来处理用户人脸数据,体现着被授权公共机构与政府本身的区别。而且同意需要在被充分知悉所有数据处理情况后,由乘客自由地给出,而不是利用高峰时段让乘客扫码同意让其不得不做出一种“被迫式”的同意。当然,本次试点的另外一个问题是,地铁公司在进行人脸摄入同时还会匹配人脸信息与其掌握的用户个人历史行为、信用记录,而后者数据作为地铁运营公司又是怎么来的呢?这就有可能存在超出人脸数据的使用目的和违反必要性原则的风险;以及,地铁公司如果选择存储用户人脸数据、建立大型人脸数据库可能也存在违反必要性的合规风险等等。
五、我国未来可能的发展方向
我国目前没有专门针对人脸识别技术的专门规范,对人脸数据的保护大多通过个人敏感信息来实现。鉴于,目前我国正在大力推进“智慧城市”等的建设,从立法态度的来看也有不断有推进人脸识别等生物识别技术应用于各行业的趋势,我们理解,我国未来对政府处理人脸数据的立法态度也不宜像英国等国家比较严苛。但是,政府仍应当以上文提及的具有共性的基本原则蓝本,规范自己的处理行为,尽可能利用好人脸识别技术的优点同时,避免过分侵扰个人信息主体的基本权利、破坏公民对隐私保护的期待。
参考文献
[1]《法案》第42条:政府处理敏感信息时遵循的细则文件应包含:(1)政府保证行为合法(要求征得信息主体同意或满足其他条件)的程序;(2)政府保留、销毁信息的政策,载明信息可能被保留的时间等。
[2]《法案》附件8规定的例外目的有:法定目的、司法行政、保护个人信息主体或其他个人的重要利益、保护处于风险的儿童和个人、个人信息已经被公开、法律诉求、司法行为、防止诈骗、公共存档等。
[3]南威尔士警方自2017年起开始试点使用自动人脸识别技术(Automated Facial Recognition technology),对从闭路电视中获取的公众人脸进行实时处理,抽取面部生物识别信息,并将该信息与监视名单上的人的面部生物识别信息进行对比。若匹配未成功,抽取的面部生物识别数据和相关人员的照片不会被存储;与成功匹配相关的数据则最多会被保留24个小时;闭路电视记录根据相关标准保存31天。
[4]印度2018年《个人数据保护法草案》第一章 引 言(8)“生物数据”系指面部图像、指纹、虹膜扫描或者任何其他类似的源自对数据主体物理、生理或者行为特征进行测量或者技术处理而产生的个人数据,这些数据允许或者确认该自然人的唯一身份。
[5]澳大利亚1988年《隐私法案》第一部分第六条规定,个人敏感信息包括用于生物身份验证的生物识别信息或生物特征模板。
如需参考美国加州2019年《停止秘密监控法案》及麻省面部识别技术的法案的中译文,请点击阅读原文。