敏感个人信息更需被“敏感”对待

发布时间:2024-12-24 16:56:36 来源: sp20241224

  刷脸支付、刷脸打卡、刷脸门禁……近年来,人脸识别作为一项新的信息技术在各领域得到广泛应用,同时,因此产生的个人信息侵权纠纷也随之而来。

  近日,成都铁路运输中级法院对高铁乘客汪某某与中国铁路成都局集团有限公司的个人信息保护纠纷案作出判决,对原告汪某某请求判令对方停止违法采集人脸信息、赔礼道歉、赔偿损失等诉讼请求不予支持。据悉,这也是全国首例公共交通领域使用人脸识别技术引发的个人信息侵权案件(据1月7日央视网)。

  敏感个人信息,是该案涉及的第一个关键词。

  我国个人信息保护法第28条规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,具体包括生物识别、特定身份、医疗健康、金融账户、行踪轨迹等信息。很显然,人脸信息可归入上述生物识别的范畴,属于敏感个人信息。

  对于敏感个人信息的处理,个人信息保护法第29条规定,处理敏感个人信息应当取得个人的单独同意;而同时,该法第13条规定,为履行法定义务而处理个人信息的,不需经个人同意。那么,这两个法条之间究竟是特别规定与一般规定的关系(特别规定优先适用),还是针对不同情形分别作出的规定?也就是说,高铁站在验票时收集人脸信息,到底应不应该取得每个乘客的单独同意?对此法院予以了明确:铁路部门基于履行维护公共安全的法定义务处理乘客人脸信息,符合个人信息保护法中不需取得乘客个人同意的情形。由此可见,法院认为第29条仅是针对该法中“应取得个人同意”的情况作出的,并不能覆盖“因履行法定义务”而处理个人信息的情形。应该说,这个认定符合高铁运营的实际状况,也充分考虑了维护公共安全的客观需求。

  告知义务,是该案所涉的第二个关键词。

  公共安全与个人信息保护应该如何兼顾与平衡?法院指出:取得同意义务的免除并不意味着告知义务的免除,铁路局未对采集乘客人脸信息的目的、方式、信息处理等事项履行告知义务,存在告知缺陷。没错,根据个人信息保护法第17条规定,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息的处理目的、处理方式、处理的个人信息的种类、保存期限等事项。在进站乘车时,很多人也许对上述事项并不清楚也没想多问,就习以为常地刷脸进去了。该案中被告的答辩内容让我们清楚知晓:进站刷脸,车站只是检验人、票、证的一致性,并不实施人脸信息的存储、传输和其他处理行为。同时,铁路方面也可能因法院的认定而通过相关改革,充分尽到明确告知义务。这些,都可以说是此案带给广大乘客的“实在收获”。

  信息、传播技术的飞速发展和广泛应用,很容易让人们对新的生活、交易方式迅速适应并习以为常。但就在这种“习以为常”之下,公民的人脸信息、行踪轨迹、就诊病历等信息被非法获取、扩散的侵权事件也层出不穷。这就提醒我们,无论公民个人还是信息处理者、行政监管部门,对个人信息,尤其是敏感个人信息,都应当时刻保持足够的“敏感度”。此外,科技的应用是为了给人们带来方便,而不应是让“路”越走越窄。正如该案中铁路部门所称,除了刷脸进站,车站还保留着人工检票口。必须承认,这是一种很值得肯定的做法。

  (检察日报 柴春元) 【编辑:李润泽】