“人脸”算个人信息吗? 进社区,需要先合规
近日,《杭州市物业管理条例(修订草案)》引发网络热议,其中规定了物业服务人不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备,保障业主对共用设施设备的正常使用权。随着智慧社区建设的推进,越来越多的小区开始安装人脸识别门禁,点赞者称人脸识别方便小区安保管理,拍砖者则认为随意采集个人信息程序违法,甚至担心数据信息泄露造成不良后果。众说纷纭的背后,是对收集个人信息的合理性与合法性的讨论。■ 秦鹏博据《北京日报》
个人敏感信息包括“人脸”
个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
2020年10月1日实施的《信息安全技术个人信息安全规范》,进一步区分了一般个人信息和个人敏感信息。个人敏感信息指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。个人信息控制者通过个人信息或其他信息加工处理后形成的信息,如一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的,也属于个人敏感信息。
因此,将“人脸”界定为个人敏感信息是合理的。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等,社区推广人脸识别引发争议的焦点集中于信息的收集行为。
“人脸”采集的合法性与合理性
民法典将收集行为列为处理个人信息的一种,应当遵循合法、正当、必要原则,不得过度处理,并遵循四个条件:一是征得该自然人或者其监护人同意;二是公开处理信息的规则;三是明示处理信息的目的、方式和范围;四是不违反法律、行政法规的规定和双方的约定。
因此,对于人脸识别进社区,其合法性是在个人信息保护的多层法律框架内讨论,即是否符合民法典及《信息安全技术个人信息安全规范》等相关法律的规定。例如不应以欺诈、诱骗、误导的方式收集个人信息;不应隐瞒产品或服务所具有的收集个人信息的功能;不应从非法渠道获取个人信息。今年10月首次亮相的《个人信息保护法(草案)》中,规定了个人在个人信息处理活动中的权利,即个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理。
而人脸识别进社区的合理性,是在法律上常用的比例原则内进行讨论,即生活日常的场景下是否有必要收集、利用个人敏感信息。我们应当坚持收集个人信息的最小必要原则,一方面收集的个人信息的类型应与实现产品或服务的业务功能有直接关联,直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现;另一方面,自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率。再者,间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。
人脸识别进社区的正确方式
首先,业主知情同意是前提。依据《信息安全技术个人信息安全规范》的要求,收集个人敏感信息前,一方面,应征得个人信息主体的明示同意,并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示;另一方面,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。
其次,给予业主充分的决定权。无论采用何种方式进行社区建设,其目的都是为业主营造舒心、温暖的居住环境,社区管理只是营造居住环境的手段而不能作为目的。人脸识别进小区的同时,要为有异议的业主提供其他身份核验的选项,例如NFC卡、出入证、手动登记等多元化的选择。
最后,明确人脸识别的责任主体。民法典明确了个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等,任何一个环节出现问题,都将导致数据泄露,将权利人置于未知风险之下。现有的人脸识别进社区活动牵头者众多,招标标准不同,对外宣称的数据保管方式也千差万别,因此需要加快立法明确责任主体。在法律保护框架不完善的现实情况下,是否可以参照产品质量责任中销售者与生产者连带责任的方式,确定所有环节责任主体连带责任,以提高上游收集者对于下游进一步处理者的选择门槛,提高数据安全性。
新闻推荐
厉敏村里老人领养老金不容易是显而易见的。市人社部门与市农业银行在基层增设惠农通服务点,帮助参保村民“足不出村”...