作者简介:刘珊珊,中国工商银行法律事务部
文章来源:现代金融导刊.(07)
摘要:大数据时代,以人脸识别为代表的个人生物信息识别大面积推广,广泛应用于各场景,在提供便利体验的同时,“十步一刷脸”“五步一验指纹”这一现状也引发了社会大众对个人生物识别信息收集使用安全边界模糊的担忧。鉴于生物信息的识别已逐步成为金融领域业务办理、身份验证、移动支付等环节的重要应用,随着年4月国内“人脸识别第一案”终审落锤,有必要厘清生物信息识别应遵循的法律规制和基本要点,为个人生物识别信息在金融领域的保护和利用提出对策及建议。
一、案例详情
年4月27日,郭某支付元购买了杭州野生动物世界(以下简称野生动物世界)双人年卡,留存了相关身份信息并录入指纹和拍照,该卡通过同时验证卡片及指纹入园。年10月,野生动物世界在未与郭某协商,亦未征得其同意的情况下,短信通知其园区系统已升级为人脸识别入园,原指纹识别取消,未注册人脸识别的用户无法入园。双方协商未果,郭某于10月28日向杭州市某区人民法院提交诉状,诉讼请求包括:确认野生动物世界“年卡办理流程”告示中的相关采集个人信息、“请未进行人脸激活的年卡用户携带实体卡至年卡中心激活”“凭年卡及人脸扫描入园”等内容无效,退还年卡费元等。年11月20日,法院一审判决野生动物世界删除郭某办理年卡时提交的面部特征信息,赔偿郭某合同利益损失及交通费共计元,驳回了郭某提出的确认野生动物世界店堂告示、短信通知中相关内容无效等其他诉讼请求。
郭某不服,遂上诉至杭州中级人民法院。杭州中院经审理认为:一是郭某在知悉野生动物世界指纹识别店堂告示内容的情况下,自主作出办理年卡的决定并提供相关个人信息,该店堂告示对双方均具约束力且不符合格式条款无效的法定情形;而人脸识别店堂告示并非双方的合同条款,对郭某不发生效力。二是野生动物世界为游客游览提供了不同入园方式的选择,郭某知情同意后办理指纹年卡,其选择权未受到侵害,野生动物世界亦不存在欺诈行为。三是野生动物世界单方变更入园方式构成违约,应承担违约责任。四是野生动物世界欲将其已收集的照片激活处理为人脸识别信息,超出事前收集目的,违反正当性原则,故应删除郭某办卡时提交的包括照片在内的面部特征信息。鉴于野生动物世界停止使用指纹识别闸机,致使原约定的入园服务方式无法实现,亦应当删除郭某的指纹识别信息。据此,二审在原判决的基础上,增判野生动物世界删除郭某办理年卡时提交的指纹识别信息。
二、现状与问题
(一)法律法规监管规定现状
本案服务合同履行方式涉及指纹、人脸信息的收集使用,二审法院在判决中强调了个人生物识别信息应当引起重视和受到保护。鉴于生物信息的识别已逐步成为金融领域业务办理、身份验证、移动支付等环节的重要应用,有必要厘清个人生物信息识别应遵循的法律规制和基本要点。我国现行法律法规和金融监管对生物识别信息的规范主要体现在以下两方面:
一是从基本法律制度上明确了生物识别信息属于个人信息范畴,受到法律保护。《民法典》第一千零三十四条规定,自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。第一千零三十五条还明确了处理个人信息应当遵循合法、正当、必要三大原则,且需明示处理信息的目的、方式和范围,公开处理信息的规则,并征得自然人及其监护人同意。
二是通过国家或行业标准将个人生物识别信息纳入个人敏感信息管理,对个人生物识别信息的收集、使用提出“单独授权”“分开存储”“原则上不应共享、转让”等具体要求。《信息安全技术个人信息安全规范》(GB/T-)第3.1、5.4条规定,个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等,个人生物识别信息属于个人敏感信息。收集个人生物识别信息前,应单独向个人信息主体告知收集、使用信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。第6.3条要求传输和存储个人敏感信息时,应采用加密等安全措施,个人生物识别信息应与个人身份信息分开存储,原则上不应存储原始个人生物识别信息。第9.2条规定,个人生物识别信息原则上不应共享、转让。因业务需要确需共享、转让的,应单独向个人信息主体告知目的、涉及的信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。此外,《个人金融信息保护技术规范》(JR/T-)还将生物识别信息列为敏感性最高的C3类信息,并要求金融机构不应委托或授权无金融业相关资质的机构收集C3类信息,金融机构及其受托人收集、通过公共网络传输、存储C3类信息时,应使用加密措施。
(二)存在的问题值得注意的是,在基本法律制度与国家或行业标准之间,个人生物识别信息的法律规制存在一个空缺——缺乏具有强制执行力的专门法律法规。
《民法典》作为基本法律制度的性质决定了其不可能对个人生物识别信息进行专门规范,而《信息安全技术个人信息安全规范》等作为国家推荐标准不具有强制执行力,更多依赖信息处理者的自觉。年9月1日实施的《数据安全法》也没有专门针对个人敏感信息或生物识别信息相关事宜出台规定。此外,《金融消费者权益保护实施办法》(中国人民银行令年第5号)虽然单独设立“消费者金融信息保护”一章,并对金融机构处理消费者金融信息做出了“明示授权”“明示收集、使用信息的目的、方式、范围和可能后果”等规定,但并未就个人生物识别信息做出特别规定。
个人生物识别信息的独特性、敏感性决定了其不宜与一般个人信息进行同等力度的规范。全国人大常委会年4月30日发布的《个人信息保护法(草案二次审议稿)》将一般个人信息与敏感个人信息的处理规则进行区分,明确了“个人生物特征”属于敏感个人信息,处理敏感个人信息应取得个人的单独同意,并告知处理敏感信息的必要性及对个人的影响。鉴于此,后续《个人信息保护法》的实施可能对金融领域个人生物识别信息的保护和利用带来实质性影响。
三、启示与思考(一)启示从上述我国现行和即将出台的法律法规以及国家、行业标准看,金融领域处理个人生物识别信息应遵循的基本要求可归纳为以下几点:一是以正当、合法、必要为前提,出于为个人办理业务所必需;二是需经个人单独授权同意;三是明示收集、使用信息的目的、方式、范围及存储时间和可能后果等;四是个人生物识别信息应与个人身份信息分开存储,原则上不应共享、转让。
(二)思考金融领域处理个人生物识别信息应遵循的基本要求看似较为严苛,但数字经济的快速发展决定了金融领域不可避免需要接触和处理个人生物识别信息,如何在消费者权益保护与数字经济发展之间寻求平衡,是金融领域个人生物识别信息保护和利用面临的重要课题。笔者认为:
首先,应审慎理解“正当、合法、必要”“为个人办理业务所必需”这个收集、使用个人生物识别信息的前提。金融领域部分机构将“必要”“为个人办理业务所必需”进行广义理解,认为只要是在机构范围内为客户办理业务(无论是客户申请的某项业务,还是机构主动对客户开展的业务和服务)均符合出于“必要”“必需”之目的。此种理解,可能扩展了“办理业务”的范围,若后续因是否“必要”“必需”与客户发生争议,机构的解释较难站住脚。实践中应审慎理解,如将其界定为“为客户办理该项业务所必需”,防范个人生物识别信息被滥用。
其次,要充分尊重个人客户的知情权、选择权。个人生物信息识别的大面积推广应用,可能出于方便管理、便利客户或是其他商业目的,但技术的推广必须让个人客户有充分的知情权和选择权。笔者认为,在保障知情权方面,应遵循“单独授权”“明示目的、方式、范围等信息”的要求,在收集、使用个人生物识别信息前,应以醒目方式提示个人客户
本文编辑:佚名
转载请注明出地址 http://www.yiyelana.com/yylpz/8123.html
