敏感個人信息更需被“敏感”對待
刷臉支付、刷臉打卡、刷臉門禁……近年來,人臉識別作為一項新的信息技術(shù)在各領(lǐng)域得到廣泛應(yīng)用,同時,因此產(chǎn)生的個人信息侵權(quán)糾紛也隨之而來。
近日,成都鐵路運輸中級法院對高鐵乘客汪某某與中國鐵路成都局集團有限公司的個人信息保護糾紛案作出判決,對原告汪某某請求判令對方停止違法采集人臉信息、賠禮道歉、賠償損失等訴訟請求不予支持。據(jù)悉,這也是全國首例公共交通領(lǐng)域使用人臉識別技術(shù)引發(fā)的個人信息侵權(quán)案件(據(jù)1月7日央視網(wǎng))。
敏感個人信息,是該案涉及的第一個關(guān)鍵詞。
我國個人信息保護法第28條規(guī)定,敏感個人信息是一旦泄露或者非法使用,容易導(dǎo)致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息,具體包括生物識別、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息。很顯然,人臉信息可歸入上述生物識別的范疇,屬于敏感個人信息。
對于敏感個人信息的處理,個人信息保護法第29條規(guī)定,處理敏感個人信息應(yīng)當取得個人的單獨同意;而同時,該法第13條規(guī)定,為履行法定義務(wù)而處理個人信息的,不需經(jīng)個人同意。那么,這兩個法條之間究竟是特別規(guī)定與一般規(guī)定的關(guān)系(特別規(guī)定優(yōu)先適用),還是針對不同情形分別作出的規(guī)定?也就是說,高鐵站在驗票時收集人臉信息,到底應(yīng)不應(yīng)該取得每個乘客的單獨同意?對此法院予以了明確:鐵路部門基于履行維護公共安全的法定義務(wù)處理乘客人臉信息,符合個人信息保護法中不需取得乘客個人同意的情形。由此可見,法院認為第29條僅是針對該法中“應(yīng)取得個人同意”的情況作出的,并不能覆蓋“因履行法定義務(wù)”而處理個人信息的情形。應(yīng)該說,這個認定符合高鐵運營的實際狀況,也充分考慮了維護公共安全的客觀需求。
告知義務(wù),是該案所涉的第二個關(guān)鍵詞。
公共安全與個人信息保護應(yīng)該如何兼顧與平衡?法院指出:取得同意義務(wù)的免除并不意味著告知義務(wù)的免除,鐵路局未對采集乘客人臉信息的目的、方式、信息處理等事項履行告知義務(wù),存在告知缺陷。沒錯,根據(jù)個人信息保護法第17條規(guī)定,個人信息處理者在處理個人信息前,應(yīng)當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知個人信息的處理目的、處理方式、處理的個人信息的種類、保存期限等事項。在進站乘車時,很多人也許對上述事項并不清楚也沒想多問,就習以為常地刷臉進去了。該案中被告的答辯內(nèi)容讓我們清楚知曉:進站刷臉,車站只是檢驗人、票、證的一致性,并不實施人臉信息的存儲、傳輸和其他處理行為。同時,鐵路方面也可能因法院的認定而通過相關(guān)改革,充分盡到明確告知義務(wù)。這些,都可以說是此案帶給廣大乘客的“實在收獲”。
信息、傳播技術(shù)的飛速發(fā)展和廣泛應(yīng)用,很容易讓人們對新的生活、交易方式迅速適應(yīng)并習以為常。但就在這種“習以為常”之下,公民的人臉信息、行蹤軌跡、就診病歷等信息被非法獲取、擴散的侵權(quán)事件也層出不窮。這就提醒我們,無論公民個人還是信息處理者、行政監(jiān)管部門,對個人信息,尤其是敏感個人信息,都應(yīng)當時刻保持足夠的“敏感度”。此外,科技的應(yīng)用是為了給人們帶來方便,而不應(yīng)是讓“路”越走越窄。正如該案中鐵路部門所稱,除了刷臉進站,車站還保留著人工檢票口。必須承認,這是一種很值得肯定的做法。
(檢察日報 柴春元)
版權(quán)聲明:凡注明“來源:中國西藏網(wǎng)”或“中國西藏網(wǎng)文”的所有作品,版權(quán)歸高原(北京)文化傳播有限公司。任何媒體轉(zhuǎn)載、摘編、引用,須注明來源中國西藏網(wǎng)和署著作者名,否則將追究相關(guān)法律責任。