国家网信办日前发布关于《网络数据安全管理条例(征求意见稿)》公开征求意见的通知。《意见稿》提出,数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。(11月15日《北京青年报》)
随着生物识别技术的发展,越来越多的领域开始使用指纹、脸像、虹膜等生理特征和声音、步态等行为特征进行个人身份鉴定。在鉴定方看来,这些生物特征具有唯一性、永久性,比传统的密码验证更安全。不过,对于被鉴定者来说,生物特征信息一旦泄露,其结果可能是永久性、不可逆的,将对个人的人身和财产安全造成极大危害。
国内“人脸识别第一案”中,浙江理工大学副教授郭兵因不满杭州野生动物世界强制游客刷脸入园将其告上法庭,引发社会对于人脸等识别信息采集、使用安全风险的关注。据新华社记者调查,一些网络黑产从业者利用电商平台,批量倒卖非法获取的人脸等身份信息和“照片活化”网络工具及教程,“五毛一张,打包带走”。去年10月发布的一项调查报告显示,在2万多名受访者中,94.07%的受访者用过人脸识别技术,64.39%的受访者认为人脸识别技术有被滥用的趋势,30.86%受访者已经因为人脸信息泄露、滥用等遭受损失或者隐私被侵犯。
根据《民法典》,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,其中包括生物识别信息。个人信息受法律保护,处理个人信息应当遵循合法、正当、必要原则,不得过度处理。除了法律、行政法规另有规定外,还应征得该自然人或者其监护人同意。“我的人脸我做主”,体现了对于个人权益的保护,是法律应有之义。
但在现实生活中,一些公园、小区管理者为图管理便利,动辄将人脸等生物特征作为唯一验证方式,消费者、居民往往只能“被同意”。这不仅违背了法律关于个人信息的保护原则,也涉嫌加重对方责任,排除对方主要权利,应属于无效条款。
近年来,一些地方和部门已经在物业领域予以规范。去年以来,杭州、云南、四川等地纷纷拟修订物业管理条例,要求物业服务人不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备。今年7月,最高人民法院发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,明确指出:“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。”
相比之下,网信办发布《网络数据安全管理条例(征求意见稿)》,明确“不得将人脸等生物特征作为唯一的个人身份验证方式”,有助于全面规范生物识别技术,遏制滥用现象。只有立法禁止强制刷脸,才能更好地保护公众的知情同意权和选择权,倒逼数据处理者有力规避个人信息安全风险。(张淳艺 漫画/陈彬)
