如何依法织密个人信息保护网( 三 )

郭兵认为，人脸属于敏感个人信息，搜集需要符合相应条件，即合法性、正当性、必要性，而且即使符合这些原则，也应当告知用户使用目的并征得用户同意。 “收到短信时，我还以为是要求采集人脸信息。但没想到这只是告知我已经升级为刷脸入园，要求激活而已。也就是说，被告之前已经收集了我的人脸信息，但此前从没有告诉用户需要采集面部信息。 ”郭兵说。此次庭审，法院未当庭宣判。
这起官司因涉及过度采集公民生物特征信息、个人隐私安全等，引起了社会公众的广泛关注。近年来，随着人工智能、信息技术快速发展，面部特征、指纹、虹膜、声音、步态等“个人生物识别信息”得以广泛运用，一方面给经济社会发展提供巨大助力、为公民日常生活带来更多便利，但另一方面，也存在着泄露个人信息、侵害个人隐私安全的隐患。
“在我国，包括生物识别信息在内的个人信息的法律保护，经历了一个从无到有、从刑法保护为主到公法私法并重的发展历程。 ”清华大学法学院副院长程啸表示， 2009年，刑法修正案（七）首次将窃取或以其他方式非法获取公民个人信息情节严重的行为规定为犯罪。 2017年施行的网络安全法，不仅明确界定了个人信息的含义，把个人生物识别信息纳入个人信息范畴，同时还对个人信息的收集、存储、保管和使用进行了更详细、全面的规范。
“在新出台的民法典人格权编中，对个人生物识别信息也提供了多重保护。 ”程啸说，在一定载体上所反映的特定自然人可以被识别的外部形象属于肖像，应当受到肖像权的保护，任何组织或者个人不得以利用信息技术手段伪造等方式侵害他人的肖像权， “采取偷拍偷录等方式采集自然人人脸等生物识别信息的行为，将构成对隐私权的侵害。对既不属于肖像，也不属于隐私的生物识别信息，还可以适用民法典人格权编个人信息保护的规定” 。
“手机号码、邮箱、银行账号等个人信息，比较容易进行更改，但个人生物识别信息要更改则非常困难。这意味着个人生物识别信息一旦被非法收集、泄露，不仅会对自然人的人身财产安全产生威胁或现实损害，而且无法以修改、重置等方式预防后续损害。 ”程啸认为，人脸信息等个人生物识别的特殊性还在于容易在未经自然人主动配合的情形下进行收集， “在这种情况下，网络安全法等法律规定的告知同意原则实际上难以落实，这就要求法律对哪些组织或者个人在哪些场合可以收集人脸等生物识别信息，作出更明确的规定” 。
在庭审中，郭兵说：“我并不是一个技术上的‘保守者’ ，但是面对类似人脸识别等技术创新时，也要同时绷紧个人信息保护这根‘弦’ 。希望这起案件的审理能够成为一堂普法课，让更多人关注和思考如何更好实现技术应用与个人信息保护的统筹兼顾。 ”
《人民日报》（ 2020年07月02日 19 版）