“採臉”不該太“任性” 任意、無序採集人臉需嚴管

　　全國人大常委會分組審議個人資訊保護法草案

　　任意、無序採集人臉等個人資訊需嚴管

　　閱讀提示

　　個人資訊收集太“任性”、對違法者懲處力度不夠、疫情期間收集的個人資訊何去何從……4月27日，十三屆全國人大常委會第二十八次會議分組審議個人資訊保護法草案二審稿，全國人大常委會組成人員就公眾關注的問題展開討論。

　　“我們在大數據面前就像脫光了衣服一樣，任何人都沒有個人隱私可言。”

　　“加強個人資訊保護非常迫切，對竊取、售賣個人資訊必須嚴厲打擊。”

　　“人臉識別使用的地方越來越多了，一定程度上威脅了個人資訊的安全。”

　　“隨著疫情逐漸好轉，個人資訊保護工作的重點應從收集、使用轉移到存儲和銷毀。”

　　……

　　4月27日，十三屆全國人大常委會第二十八次會議分組審議個人資訊保護法草案二審稿，全國人大常委會組成人員就公眾關心的人臉識別、涉疫情個人資訊保護以及侵犯個人資訊違法犯罪的懲處等問題展開討論。

　　關注1 “採臉”不該太“任性”

　　生活中，人臉識別技術被濫用的情況比較普遍——有的地方，業主進入小區要刷臉、進入電梯要刷臉；除了看得見的“索臉”行為，據媒體報道，還有一些商家存在安裝帶有人臉識別功能的攝像頭、偷偷抓取人臉數據、生成人臉 ID的“偷臉”行為。

　　“目前人臉識別使用的地方越來越多了，一定程度上威脅了個人資訊的安全，個人的行蹤資訊都可以被揭露出來。”楊震委員建議，由專門機構承擔人臉識別應用的審批和監管職能、界定設備及數據主管的職責等。

　　全國人大常委會香港基本法委員會副主任譚惠珠提出，草案第27條規定“在公共場所安裝圖像採集、個人身份識別設備，應當為維護公共安全所必須，遵守國家有關規定，並設置顯著的提示標識”，這一條規定的“公共場所”沒有定義。建議在本條中加一款作為第2款規定“本條規定中的公共場所是指向不特定公眾開放，供其使用的區域”。

　　“我認為這個定義需要進一步明確，公共場所應該是指整體上供不特定公眾使用的地方，比如圖書館、博物館、醫院、商場、公共交通設施等，而不應該包括私人場所的附帶區域，例如居民小區的公共區域。”譚惠珠舉例說，居民小區等本質上屬於私人場所，不能以維護公共安全為由強制使用個人身份識別的設備。

　　曹建明副委員長說：“一些地方、企業和單位濫用人工智慧、大數據特別是人臉識別等新技術，無序、任意採集使用乃至洩露敏感個人資訊的問題愈演愈烈，有必要從法律上對敏感個人資訊處理的源頭加強規制，強化保護，並提出比個人資訊保護更嚴格的要求。”為此，他建議規定：“除法律、行政法規規定和維護國家安全、公共利益外，敏感個人資訊的採集與使用，應當報履行個人資訊保護職責的部門備案審查；極度敏感個人資訊的採集與使用，應當取得相關行政許可”。

　　呂薇委員認為，個人身份特徵資訊只能用於維護公共安全或履行法定義務的目的，因此建議草案第27條修改為：在公共場所安裝圖像採集個人身份識別設備，應當為維護公共安全或履行法定義務所必須。

　　關注2 “有必要強化法律責任”

　　近年來，我國個人資訊保護力度不斷加大，但在現實生活中，依然存在一些企業、機構和個人，過度收集、違法獲取、非法買賣個人資訊，利用非法獲取的個人資訊侵害人民群眾合法權益的現象。

　　李學勇委員說， 從草案目前法律責任條款看，行政保護佔大多數，但行政處罰力度不大，處罰裁量空間比較大，不足以形成應有威懾。民法典第1034條明確將個人資訊作為民事利益予以保護。在充分發揮行政保護作用的同時，應進一步加大民事保護和刑事保護力度。

　　“傳統的損害賠償制度，已很難起到有效遏制侵害個人資訊行為的作用。”曹建明副委員長提出，司法實踐中，由於侵害個人資訊造成的損害一般難以量化，而且單個受害人能夠證明所受損害程度與加害人因侵權行為可能獲得的利益相比，往往很不成比例。因此，建議在草案中增設嚴重侵害個人資訊權益的懲罰性賠償制度，以加大對侵害個人資訊權益行為的懲罰，並對侵害個人資訊權益的行為人形成震懾。

　　鄭功成委員說，公眾對這部法律的關注度很高，但這部法律的法律責任規定中缺具體目標指向，因而有必要強化法律責任。他認為，應當在法律責任中列明網信企業違法該怎麼樣，個人違法該怎麼樣，這樣更有針對性、約束力，這部法律執行起來也容易操作。此外應當加大處罰力度。“現在法條中對違法行為還算是比較嚴重行為的處罰，也只在5000元以下，這種處罰力度太小，實質上沒有處罰的意義，應當大幅加大懲罰力度。”

　　關注3 疫情期收集的資訊如何保護

　　此次提請全國人大常委會審議的個人資訊保護法草案二審稿第4條第2款規定：個人資訊的處理包括個人資訊的收集、存儲、使用、加工、傳輸、提供、公開等。

　　對這一內容，全國人大華僑委員會委員王輝忠建議在“公開”後面增加“銷毀”兩字。他說，“目前幾乎沒有文件明確提出疫情結束後的數據處理方式。隨著疫情逐漸好轉，個人資訊保護工作的重點也應從收集、使用轉移到存儲和銷毀。”

　　李巍委員也提出，個人資訊處理的銷毀、刪除是保護個人資訊制度中的重要組成部分。“比如在這次新冠肺炎疫情過程當中，人臉識別也好、個人資訊也好，幾乎每個人都被採集利用，都有所感受，這些資訊儲存多長時間？什麼時候銷毀？都應該有所交待。疫情消除之後，如果不加妥善保管，個人資訊就會產生不安全的隱患和風險。”

　　李飛躍委員表示，個人資訊保護已成為人民群眾最關心最直接最現實的利益問題之一，制定個人資訊保護法十分必要且迫切。一方面，我國還沒有系統全面地對個人資訊保護相關問題進行專門立法。在現行法律基礎上，針對個人資訊整個生命週期制定出臺專門法律，可以提供更強有力的法律保障，維護網路空間良好生態。另一方面，通過立法，可以在保護個人資訊權益的基礎上，促進資訊數據依法合理有效利用，推動數字經濟持續健康發展。

　　張偉傑