从“中国人脸识别第一案”看个人信息保护原则

□特约撰稿 高通 宋星衡

近日，随着发生在杭州的“中国人脸识别第一案”被法院正式受理，关于个人信息保护的话题又一次成为人们关注热点。据《北京青年报》等媒体报道，浙江理工大学特聘副教授郭兵，因不愿意使用杭州野生动物世界设置的人脸识别，将其告上了法庭。该案也成为国内消费者起诉商家的“人脸识别第一案”。据媒体报道，杭州野生动物世界在未与郭兵进行任何协商亦未征得同意情况下，通过短信的方式告知其“园区年卡系统已升级为人脸识别入园，原指纹识别已取消，未注册人脸识别的用户将无法正常入园。”当前，我国已注意到数据安全问题，并就不当获取和使用问题已发布了相关规范。总体来看，对个人敏感信息的保护主要需奉行三大原则：告知与选择原则、最小必要原则、风险评估原则。

第一，告知与选择原则。告知与选择原则是指用户在被企业收集个人信息时有获得告知权，且允许用户在知情的前提下决定是否允许个人信息被收集。“告知”是公开透明要求的体现，目的在于克服信息不对称而产生的市场失灵现象；而“选择”的内涵为同意，即用户在知情的前提下进行理性选择。在这一机制下，用户被企业告知产品服务信息及相关隐私政策；用户选择是否使用该在线产品或服务，并期望企业充分保障自己的个人信息或隐私安全。同时，这里面的“选择”是在平等关系下的一种选择，即无论选择与否都不会对用户造成不利影响。如我国《数据安全管理办法（征求意见稿）》第9条规定“如果收集使用规则包含在隐私政策中，应相对集中，明显提示，以方便阅读。另仅当用户知悉收集使用规则并明确同意后，网络运营者方可收集个人信息”；第11条规定“网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。”

第二，最小必要原则。最小必要原则的内涵包括两方面内容：一是收集的个人信息必须是与实现产品或业务功能有直接关联，且如果没有这些信息则产品或服务的功能就无法实现的信息；二是自动采集个人信息的频率必须是所必需的最低频率，且间接获取的信息数量应当是所必需的最小数量。虽然现在已进入“信息共享”时代，但是作为企业等信息采集者更应当明确产品与服务的功能，以及为实现该功能所需要的个人信息种类、收集频率和数量，不能无节制地收集用户信息。之所以确立最小必要原则，一方面是基于个人隐私的考虑，另一方面也是基于数据安全的考虑。我国《儿童个人信息网络保护规定》对此有明确规定，其第11条规定，“网络运营者不得收集与其提供的服务无关的儿童个人信息，不得违反法律、行政法规的规定和双方的约定收集儿童个人信息”，第12条规定“网络运营者存储儿童个人信息，不得超过实现其收集、使用目的所必需的期限。”事实上，瑞典政府也是基于最小必要原则而对前述人脸识别案件作出处罚的，其认为，统计课堂出勤记录可以采取其他方式进行，为此收集面部识别特征等高度敏感性数据超出了实现目的所必需，并不满足GDPR对于个人数据处理的目的限制和数据最小必要基本原则。

第三，风险评估原则。该原则是个人信息保护的重中之重，如果不能做好风险的评估及管理，则个人信息保护就根本无从谈起。随着技术的发展，个人信息的泄露所造成的损失会不断扩大，之前火爆一时的换脸软件“ZAO”引发广泛讨论也正源于人们对信息泄露的担忧。收集何种信息、怎样收集、收集多少、如何使用收集来的信息，以及以何种方式防范信息泄露等，这些都属于应当明确告知用户的隐私政策。风险评估，使信息收集者能够评估收集信息可能带来的风险及为其提供应对方案，从而能够更准确地制定相应隐私政策。当然，不能仅凭企业内部的管理规制来保护个人信息安全，政府在其中应当通过制定相应立法来对个人信息进行保护。同时，政府应当加大执法监督力度并根据技术及社会发展及时改善监管手段，更好地保护个人信息，尤其是敏感信息安全。

（作者分别为南开大学法学院副教授、南开大学法学院硕士研究生）