日前,天津一项地方性立法消息几乎刷爆各大社交平台,该市人大常委会表决通过的《社会信用条例》明确,市场信用信息提供单位不得采集包括自然人生物识别信息在内的多项个人信息,而按照相关国家标准,“个人生物识别信息”涵盖个人面部识别特征、基因、指纹、声纹、掌纹等内容,这也使得“天津立法禁止采集人脸识别信息”的新闻被热议。
首先需要厘清,此番天津立法仅是以社会信用管理规范的角度触及个人信息保护问题,事实上并非对个人信息安全的直接规制与保护,严格说来“立法禁止采集人脸识别信息”的说法并不准确。天津规范更多是从必要性角度,对市场信用采集领域过度收集个人信息行为予以约束,在此之前,其他地方性《社会信用条例》文本也多有个人信息收集的某种排除条款。当然,在地方性立法中明确禁止市场信用信息提供主体收集个人生物识别信息,依然可视为地方立法机关对公众忧虑人脸识别技术被滥用的一种回应和反馈。
与此同时,全国多地事实上也在加强对人脸识别技术的相关约束。今年11月,南京市住房保障与房产局发文要求,商品房销售现场禁止使用人脸识别系统。而杭州也拟立法禁止物业服务机构强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备。
人脸识别从技术新宠到成为众矢之的,审慎使用与高度警惕的社会共识正在形成。
人脸识别技术的使用及其泛滥,技术的便利性往往被强调,但其对人体生物信息的安全隐患却在被刻意遮掩。在不强制、可选择的要求下,人为加大非人脸识别方式繁琐度的现象普遍存在,客观上将用户逼到“表面上有选择而实质上没得选”的窘境。
需要明确的是,对于收集、使用个人信息,现行法律的态度正在逐步明确,在即将正式实施的《民法典》中,要求个人信息的收集使用必须遵循合法、正当、必要原则,并满足征得同意、明示目的方式与范围等多项条件,应当说是直接针对个人生物信息保护的高位阶立法规范。当然,在收集和使用个人信息中的“单独告知”和“明示同意”要求,仅出现在《信息安全技术个人信息安全规范》这一约束力有限的标准性规范中,亟待通过正式的立法赋予其法律的强制约束力。
个人生物识别信息作为公民个体的隐私权利,被收集、使用的过程与程序应当秉承“最少够用”原则,从必要性角度进行严格把关。而不管是带有探索性质的地方立法实践,还是国家层面的立法演进,都同样面临着一个“如何确保法律有效实施”的问题。
徒法不足以自行,即便是日前备受热议的《天津社会信用条例》,其对相关市场主体收集公民个人生物识别信息的规制,也仍旧需要解决规范的有效执行与常态监管问题。最实际的检验则是,当普通公民的个人生物信息未经同意被采集、储存和使用,其申诉、维权渠道是否得到畅通保障?而在采取普通民事纠纷方式“不告不理”之前,执法监管机构对于市场主体公然滥用人脸识别的做法,尤其需要强有力的响应、监管与处罚。房产企业等地方经济依赖,在滥用人脸识别技术时能否得到有效的执法监管,物业管理等社会治理基础单元,其对公民生物识别信息的过度获取企图,事实上也需要包括行政执法、检察公益诉讼在内的治理力量介入,以达成公民合法权益与社会治理需求的稳妥平衡。
公众对天津立法的“美好误会”,是一种权利救济匮乏下的迫不得已。在国家立法层面,对违法收集个人信息的主体,已经有包括责令改正、警告、罚没、停业整顿、吊销执照直至追究刑事责任的全套规制手段,给积极有为的政府治理留足了空间。有效的监管执法是杜绝侵犯公民个人信息权利的最直接手段,也是避免人脸识别技术被滥用、逐步改变“法不责众”现象的治理途径,更是外界期待之焦点所在。
