民法典将收集行为列为处理个人信息的一种,应当遵循合法、正当、必要原则,不得过度处理,并遵循四个条件:一是征得该自然人或者其监护人同意;二是公开处理信息的规则;三是明示处理信息的目的、方式和范围;四是不违反法律、行政法规的规定和双方的约定。有规则,就有例外。处理个人信息免除民事责任的三个例外条件是:一是在该自然人或者其监护人同意的范围内合理实施的行为;二是合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;三是为维护公共利益或者该自然人合法权益,合理实施的其他行为。
因此,对于人脸识别进社区,其合法性是在个人信息保护的多层法律框架内讨论,即是否符合民法典及《信息安全技术个人信息安全规范》等相关法律的规定。例如不应以欺诈、诱骗、误导的方式收集个人信息;不应隐瞒产品或服务所具有的收集个人信息的功能;不应从非法渠道获取个人信息。今年10月首次亮相的《个人信息保护法(草案)》中,规定了个人在个人信息处理活动中的权利,即个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理。
而人脸识别进社区的合理性,是在法律上常用的比例原则内进行讨论,即生活日常的场景下是否有必要收集、利用个人敏感信息。我们应当坚持收集个人信息的最小必要原则,一方面收集的个人信息的类型应与实现产品或服务的业务功能有直接关联,直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现;另一方面,自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率。再者,间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。
3、人脸识别进社区的正确方式
大规模推行人脸识别进社区,方式不当或将会引发法律纠纷。因此,人脸识别进社区也需要先合规,什么是人脸识别进小区的正确方式呢?
首先,业主知情同意是前提。依据《信息安全技术个人信息安全规范》的要求,收集个人敏感信息前,一方面,应征得个人信息主体的明示同意,并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示;另一方面,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意;
其次,给予业主充分的决定权。无论采用何种方式进行社区建设,其目的都是为业主营造舒心、温暖的居住环境,社区管理只是营造居住环境的手段而不能作为目的。人脸识别进小区的同时,要为有异议的业主提供其他身份核验的选项,例如NFC卡、出入证、手动登记等多元化的选择。
最后,明确人脸识别的责任主体。民法典明确了个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等,任何一个环节出现问题,都将导致数据泄漏,将权利人置于未知风险之下。现有的人脸识别进社区活动,牵头者众多,有住建委等政府机构,也有街道办、居委会、村委会等基层自治组织,还有小区产权单位等企事业组织。五花八门的组织单位,招标标准不同,对外宣称的数据保管方式也千差万别,因此需要加快立法明确责任主体。在法律保护框架不完善的现实情况下,是否可以参照产品质量责任中销售者与生产者连带责任的方式,确定所有环节责任主体连带责任,以提高上游收集者对于下游进一步处理者的选择门槛,提高数据安全性。
来源 北京日报客户端|记者 袁京