新冠疫情发生后,大数据、人工智能、人脸识别等技术广泛应用在防疫中。突然增加的信息曝光,让很多人担忧自己的个人信息是否能得到有效保护。
今年全国两会,部分代表委员也提出了这一问题,并形成议案、提案、建议等,为个人信息保护提供政策参考。
全国人大代表、上海财经大学公共经济与管理学院院长刘小兵认为,为了应急防疫采取的一些措施,在疫情缓解之后应尽量取消,不能将暂时措施变成永久措施。全国政协委员、百度董事长李彦宏也建议,新冠肺炎疫情期间采集的个人信息应设立退出机制。
全国人大常委会法工委近日透露,《个人信息保护法》正在研究起草中,目前草案稿已经形成。起草该法的背景,就包括大数据、人工智能等新技术发展对个人信息保护带来的难题。
已经提请十三届全国人大三次会议审议的民法典,也对“AI换脸、换声”等问题进行了回应,作出相关规定。中国人民大学法学院教授,中国法学会民法典起草领导小组成员和侵权责任编召集人张新宝在接受新京报采访时提到,民法典对于人工智能等一系列技术的未来发展,还是留下了足够空间。
建议1
个人信息应分类分级保护
近日,一份在京发布的《人脸识别与公共卫生调研报告》,对疫情期间公众对人脸识别的接受度进行了研究。报告显示,疫情中大规模使用的人脸识别及其增强形式,让很多受访者担忧其自身信息安全。受访的1100多人中,60.3%的受访者不知道哪些实体拥有自己的面部数据,93.8%的受访者认为自己有权知道,仅有33.5%认为自己的面部数据是安全的。
这一现象也受到全国政协委员、北京国际城市发展研究院院长连玉明关注。他注意到,这次新冠肺炎疫情防控在不断扩大公众知情权的同时,也出现了由于信息权保护缺失导致某些信息泄露的问题。
例如,缺乏根据应用场景对个人信息的分类分级保护,导致个人信息无序传播。掌握个人信息的主体多元,对这些机构主体在信息收集、使用、处理和保护方面,还缺乏规范和监管。另外,缺乏收集、使用和处理个人信息的合法性基础,无法保证个人信息有效使用于合法性事由,导致类似“人肉搜索”等隐私泄露问题。从另一方面看,个人信息泄露也直接影响公众对公共机构的信任,对疫情防控带来负面影响。
连玉明提醒,《个人信息保护法》应充分考虑根据应用场景对个人信息进行分类分级保护的条款。借鉴欧盟GDPR,个人信息分为一般个人信息和特殊类型信息,后者也被称为敏感个人信息。
因此,在突发公共卫生事件应急处置中,姓名、出生日期、身份证件号码、生物识别信息、住址、电话、电子邮箱、定位数据、在线活动等行踪信息,也应“升格”为特殊类型信息,从个人信息权高度加以法律保护。基因数据、生物数据和健康数据等本身作为特殊类型信息,更应特别保护。
建议2
疫情缓解后部分应急措施应解除
全国人大代表、上海财经大学公共经济与管理学院院长刘小兵认为,为了应急防疫采取的一些措施,在疫情缓解之后,应该尽量取消,不能将暂时措施变成永久措施。
这一观点与调研报告不谋而合。上述调研报告显示,超八成受访者认为,公共卫生危机结束后,应销毁在非公共空间内搜集的人脸信息,超七成受访者希望减少不必要的人脸识别应用场景。
尤其是在恢复正常生活后,受访者普遍认为,应削减出于应对危机需要采集的人脸信息和部署的人脸识别应用。
“从政府管理角度,拥有更多居民信息或许有利,但从个人角度出发,自由一定会受到部分限制,这些临时应急措施不能称为常态。”刘小兵说。
全国政协委员、百度董事长李彦宏也建议,针对新冠肺炎疫情期间采集的个人信息设立退出机制,加强对已收集数据的规范性管理,研究制定特殊时期的公民个人信息收集、存储和使用的标准和规范。
针对后疫情时期个人信息管理,连玉明则建议,尽快启动建立专门的个人信息保护监管机构。借鉴香港个人资料私隐专员公署的做法,如果违反相关原则,隐私署有权发布强制执行通知、约谈数据使用者,并系统调查数据使用情况。“随着《网络安全法》的颁布实施和《个人信息保护法》《数据安全法》陆续颁布,建立个人信息保护监管机构势在必行。”
建议3
公共机构收集使用信息需依法规范
连玉明建议,行政机关、公共机构的信息收集、使用和处理需要在《个人信息保护法》中加以规范。
我国《传染病防治法》《突发公共卫生事件应急条例》对重大传染病疫情突发公共卫生事件应急处置中,授权进行个人信息收集和使用均做出明确规定。但现实中掌握个人信息的主体众多,包括地方教育部门、公安部门、铁路航空交通部门、基层政府工作人员、电信运营商以及互联网公司等。这些主体在什么条件下可以收集信息、收集哪些信息、如何收集信息,以及这些信息在收集后的安全使用,都应划定边界并依法规范。
连玉明说,对基于数据关联分析的个人信息应加大监管力度,对未经授权披露在传染病暴发期间收集的个人信息可能会使个人面临风险,包括污名化、歧视、暴力等,应依法提供足够的保护。
“现在有的小区强制安装人脸识别门禁,有的商店只接受移动支付,这些做法其实都将个人信息暴露在各种平台上,是有风险的。”刘小兵说。他认为,个人生活便利和隐私保护之间存在权衡关系,很多人为了获取便利将个人信息暴露在技术提供者的视野里,如果技术提供者没有受到良好的规范,就有隐私泄露的危险。
“比如小区强制安装人脸识别门禁,个人可以请政府出面阻止,也可以起诉,外国就有这样的事件发生。”刘小兵说,归根结底,在技术发展越来越快的形势下,个人永远要为自己的意识安装“防盗网”。
连玉明建议,面对在重大突发公共卫生事件应急处置中对侵害众多公民个人信息权的行为,以及相关行政机关违法行使职权或不作为致使众多公民个人信息权被侵害的,应当纳入检察机关公益诉讼范畴加以法律保护。
■ 链接
个人信息保护立法循序渐进
至少从2018年开始,个人信息保护就成了全国两会上的热点话题。
全国人大常委会法工委有关部门负责人近日透露,随着大数据、人工智能等新技术发展,个人信息的收集、应用更加广泛,加强个人信息保护的任务更加艰巨。2018年开始,全国人大常委会法工委会同中央网信办,抓紧开展个人信息保护法的研究起草工作。目前,个人信息保护法草案稿已经形成,根据各方面意见进一步完善后,将按照全国人大常委会立法工作安排,争取尽早提请全国人大常委会会议审议。
今年两会中,我国首部民法典草案提请十三届全国人大三次会议审议,其中人格权编草案也对公民的“脸”和“声音”作出了新技术环境中的保护规定。
二审稿中新增规定:任何组织或个人不得以丑化、污损,或者利用信息技术手段伪造等方式侵害他人的肖像权。未经肖像权人同意,不得制作、使用、公开肖像权人的肖像,但是法律另有规定的除外。
二审稿还将“声音”纳入了人格权的保护范围,增加规定:对自然人声音的保护,参照适用肖像权保护的有关规定。
也就是说,利用信息技术手段“恶搞换脸”;伪造他人的声音、面部表情及身体动作,拼接合成虚假内容,均属于侵犯肖像权、声音权。