2020年5月发布的《中华人民共和国民法典》人格权编关于“隐私权和个人信息保护”明确了国家法律层面对公民个人信息的保护。其中,“自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”2020年10月,第十三届全国人大常委会第二十二次会议对《中华人民共和国个人信息保护法(草案)》进行了审议,同时也就该草案向社会公众征求意见。从立法层面来看,“保护个人信息权益,规范个人信息处理活动,保障个人信息依法有序自由流动,促进个人信息合理利用”是立法的主旨。
新冠疫情以来,到访者进入药店、银行、大型商场等公共场所时,均需测量体温、扫健康二维码、出示近期行程卡、登记个人信息。公民所登记的个人信息,包括但不限于姓名、性别、年龄、籍贯、联系方式、住址、工作地址、身份证号码、体温、近十四天行踪等,几乎涵盖了所有与个人相关联的重要、核心、实质的信息要素。在登记个人信息时,绝大部分公共场所管理人员采取纸质表格登记,由到访者自己在表格上填写,到访者既可以完整查阅到其他到访者的个人信息,其个人信息也将为别的到访者所知悉,从保护公民个人信息安全的角度来说,极为不利。随着人工智能人脸识别技术的迭代与普及,越来越多的商户及各公共场所管理者采用人脸识别技术对到访者进行管理,基础功能如信息识别、体温检测,更有对到访者进行行踪识别、行为偏好分析等进阶功能,超过了疫情监管要求的合理使用范围。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。从保护公民个人信息的角度来说,应当限制对公民个人信息的处理,这既符合立法的本意,也回应了现实的需求。
建 议:
1、商户及各公共场所管理者不应当直接对公民的个人信息进行可窥见其信息内容的处理,而应该接入政府和/或其委托的第三方监管机构的系统,通过二维码扫描、身份证读卡器等方式,直接获取到访者行踪信息的登记,商户及各公共场所管理者只需要再录入该到访者的体温数据即可。
2、商户及各公共场所管理者未经到访者个人同意,不可基于对到访者信息进行处理的理由对到访者进行人脸识别等个人信息的采集。
3、商户及各公共场所管理者在特殊时期,获得政府部门的授权委托代为处理公民个人信息的,其对信息处理与数据存储应当具有可溯源性;其作为个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全,如产生信息泄漏和不当利用,应当苛责。
4、个人信息处理者在处理个人信息前,应当清晰、直白地向个人告知包括但不限于个人信息的处理目的、处理方式、保存期限等。任何机关、机构、个人等个人信息处理者在处理个人信息时,应当采用合法、正当的方式,遵循诚信原则,不得通过欺诈、误导等方式处理个人信息,处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的的最小范围,不得进行与处理目的无关的个人信息处理。
|
