5月5日,华山帮帮帮节目邀请到宛城区检察院第三检察部检察官姚娟,给大家说说个人信息保护方面的话题。
与你我有关!这些《个人信息保护法》内容你要了解
“请正对镜头,眨一下眼睛……”提起“人脸识别”,很多人已并不陌生。商场、小区、*证办**大厅,随处可见人脸识别设备。现代社会,人脸识别技术被广泛应用于各种社会事务,而不需征求被采集者同意。
今日结合我国宣判的“人脸识别第一案”给大家科普下我们在使用人脸识别过程中应注意的问题。
下面我先把这个案件的基本案情给大家讲一下,2019年浙江理工大学法政学院的郭教授支付1360元购买了杭州野生动物世界“畅游365天”双 人年卡,并与妻子留存了姓名、身份证号码、电话号码等信息,录入指 纹并拍摄照片,“根据当时规定,入园只需要指纹识别。随后,杭州野生动物世界将年卡客户入园方式从指纹识别调整为人脸识别,更换了店堂告示,并于两次向郭教授发送短信,通知年卡入园识别系统更换事宜,要求激活人脸识别系统,否则将无法正常入园。面对园方单方面通知和刷脸入园方式,郭教授表示不接受,双方为此多次 协商,园方也曾给出过折中方案,但双方就入园方式、退卡等相关事宜一直协商未果,郭教授这才将杭州野生动物世界告上了法庭。郭教授认为人脸识别收集的面部特征信息属于个人敏感信息,一旦泄露、非法提供或者滥用将极易危害人身和财产安全。一方面,民众对个人信息保护的意识在不断提高,但另一方面,遇到问题后的维权手段不够,渠道也不够畅通。因此他提起诉讼,请求判令:一、确认野生动物世界店堂告示和短信通知中涉及指纹识别和人脸识别的内容无效;二、野生动物世界赔偿年卡卡费及为解决纠纷支出的交通费等费用;三、野生动物世界删除郭教授提交的全部个人信息等。由于涉及个人信息保护的社会热点、生物识别技术应用边界等司法前沿问题,在当今数字经济背景下,该案自受理伊始,便受到社会各界高度关注,被称为人脸识别纠纷第一案。案件一审诉讼发生时,人脸识别技术应用信息处理所遵循的法律规定散见于 《消费者权益保护法》《网络安全法》等法律,各类规定相对偏向原则性,有些规则又存在空白,此前关于人脸识别技术应用的诉讼案子还没有过,因此本案也没有前案审理经验可供参照。对于个人信息处理,“合法、正当、必要”是基本原则。但是概括性的原则缺乏适用细节或场景描述,使得司法裁判颇具难度。一审法院认为,当事人在办卡时签订的是采用指纹识别方式入园的服务合同,野生动物世界收集郭教授及其妻子的人脸识别信息,超出了“必要”这一原则的要求,不具有正当性。尽管野生动物世界在涉指纹识别 的“年卡办理流程”中规定流程包含“至年卡中心拍照”,但并未告知郭教授与其妻子拍照即已完成对人脸信息的收集,也未告知收集目的。因此, 郭教授与其妻子同意拍照的行为,不应视为对野生动物*界通世**过拍照方式收集两人人脸识别信息的同意。后杭州市富阳区人民法院一审判决,杭州野生动物世界赔偿郭教授合同利益损失及交通费1038元,删除郭教授的面部特征信息,驳回了郭教授提出的其他诉讼请求。对于判决结果,郭教授与野生动物世界均不服判决、提起上诉。二审法院认为,野生动物世界欲将收集的郭教授夫妇照片激活处理为人脸识别信息,超出事前收集目的,违反了“正当”这一原则,应当删除郭教授 办卡时提交的包括照片在内的面部特征信息。此外,由于指纹识别闸机 已停用,原约定的入园服务方式无法实现,故而还应当删除郭教授的指纹识别信息。据此,二审在原判决的基础上增判删除指纹识别信息,驳回郭教授其他诉讼请求。法院在判决时力求平衡个人信息保 护与数字产业发展需求,细致论证,审慎探索。两审判决明确肯定在信息处理者涉及违法或违约的情形时,信息主体可向信息处理者主张删除权,这算得上是个人信息保护司法发展历程中的一个亮点。
作为全国第一起涉及人脸识别技术使用纠纷的民事案件,它成功将个人生物信息保护纳入法治视野,并推动了《个人信息保护法》等法律法规的出台。
那么什么是个人信息?
个人信息是以电子或其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。例如姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等都属于个人信息。
个人信息如何处理?
个人信息处理者在处理个人信息时,最重要两个关键词为“知情”和“同意”,个人信息的处理包括收集、存储、使用、加工、传输、提供、公开、删除等。处理个人信息,应在事先充分告知的前提下取得个人同意,不得误导、欺诈、胁迫等;不得以个人不同意为由拒绝提供产品或者服务;信息处理者应当提供便捷的撤回同意的方式。
个人敏感信息如何处理?
《个人信息保护法》将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息列为敏感个人信息。只有在具有特定的目的和充分必要性,并采取严格保护措施的情形下,方可处理敏感个人信息,并向个人告知处理的必要性以及对个*权人**益的影响。同时,为保护未成年人的个人信息权益和身心健康,特别将不满十四周岁未成年人的个人信息确定为敏感信息,处理此类信息,应当取得未成年人的父母或其他监护人的同意。
对“大数据杀熟”“过度收集”“人脸识别”如何规定?
针对“大数据杀熟”,《个人信息保护法》规定,利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。针对“过度收集”问题,《个人信息保护法》规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个*权人**益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。“人脸识别”等一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。《个人信息保护法》明确规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
大型网络平台的义务是什么?
《个人信息保护法》规定,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;(四)定期发布个人信息保护社会责任报告,接受社会监督。
个人信息跨境提供的规则是什么?
关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。
对侵犯个人信息行为的惩处是怎样的?
违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。