法律沙龙
content
本期目录
一、人脸信息的法律属性
二、人脸信息处理的法律规则
三、人脸信息处理的法律边界
四、人脸信息处理与公益诉讼检察办案
案例链接
向上滑动阅览
案例一:K公司侵犯公民个人信息安全案
(案例来源:央视“3.15”晚会报道)
K(中国)投资有限公司(以下简称“K公司”)违反法律规定,在未征得消费者同意并明示处理目的、方式和范围的情况下,使用人脸识别摄像设备,实施了收集大量人脸信息并存储、加工、使用等行为,采集数量共计22万余条。检察机关介入后,K公司主动采取下架设备、删除数据等整改措施,并向公证处预付损害赔偿保证金50万,用以优先赔付可能造成的消费者权益损失。
案例二:C区公租房管理部门违规使用人脸识别技术案
C区房管局管理的三处公租房项目使用人类识别智能门禁,住户仅能通过人脸识别出入,只有物业管理人员才能使用门禁卡。2021年8月18日,C区检察院向该区住房保障和房屋管理局制发检察建议,要求依法督促区公租房公司履行职责。2022年1月4日,在检察建议“回头看”活动中发现,该区公租房小区已增加门禁卡模块,公共利益受损的状态已经消除。
案例三:河北省保定市人民检察院诉李某侵害公民个人信息民事公益诉讼案
(案例来源:2021年4月最高检发布的检察机关个人信息保护公益诉讼典型案例)
2017年以来,李某非法获取包含姓名、电话、住址等公民个人信息共计1290万余条,并伙同他人将其中1.9万余条个人信息非法出售获利。除对李某就侵犯公民个人信息罪提起公诉外,保定市检察院向保定市中级人民法院提起民事公益诉讼,请求依法判令被告李某支付三倍惩罚性赔偿金;采取有效措施删除所有非法持有的公民个人信息数据;在国家级媒体上公开赔礼道歉,法院判决支持检察机关全部诉讼请求。
本期召集人林仪明
上海市检察机关公益诉讼检察专业化团队召集人、上海市检察院检察官
随着数字时代的到来,在人工智能和大数据基础之上发展起来的人脸识别技术正在深入渗透到社会生活的各个领域。在日常生活中,部分商家乐于采用人脸识别技术精准“发现”潜在客户,一些居民小区出入门禁、员工上下班考勤也用上了“刷脸”模式。这些技术应用固然有助于便利人们的生产生活,但也不可避免地带来“丢脸”的恐慌。相较于姓名、手机号等基本的个人信息,“人脸信息”这一面部特征信息属于个人不可更改的生物识别信息,一旦泄露就难以逆转。我国民法典、刑法、网络安全法、消费者权益保护法、个人信息保护法等对个人信息采集、使用、存储等方面的合法界限作出了规定,但是司法实践具体应如何合法合规处理人脸信息的问题仍有待思考和解决。2021年以来,上海市检察机关先后办理了多起涉及人脸信息安全的公益诉讼案件,比较典型的包括K公司违法收集人脸信息用于精准营销侵犯个人信息安全案(案例一)以及某区公租房管理部门违规使用人脸识别技术案(案例二)等。结合案件办理,今天,我们邀请相关专家、学者,和全市检察机关公益诉讼专业化团队成员一起,围绕“人脸信息安全”这一热点话题进行深入探讨,厘清基础概念、法律适用、证据规则等方面的关键问题,以期为检察办案提供有针对性的指引和参考。
首先就“人脸信息”的法律属性听听各位嘉宾的意见,具言之,包括三个问题:一是作为个人信息的一部分,人脸信息具备什么特殊性,为何要加以特别保护?二是所要保护的具体是什么权利?三是社会生活中有时很难避免人脸信息被采集,那么现有技术条件下有无可能通过采取可靠的技术措施防止泄露?
吴允锋
华东政法大学教授
从刑法角度来看,个人信息是一个上位概念,包括财产信息、征信信息、行程轨迹信息以及生物识别信息等,而人脸信息就是生物识别信息中的一种,是一个下位概念。我们在讨论人脸信息的属性过程中,可以关注一个共性问题,即人脸信息首先必须是一种具有可识别性的信息。人脸信息又兼具双重属性——本体属性和社会属性,本体属性体现在人脸信息与自然人本体紧密关联,社会属性则体现在其已变成重要的出行、交易工具,在生活中承载着重要的功能和作用。然而,人脸信息一旦泄露或被不当收集,容易遭不法分子非法利用,衍生成盗窃、诈骗等违法事件,因此需要刑法及时介入,适当干预。
陈越峰
华东政法大学教授
我国个人信息保护法第28条第1款规定,敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。同条第2款进一步规定,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。而人脸信息是生物识别信息,与特定的自然人唯一对应,其涉及肖像、身体、健康、年龄以及银行账户等私密信息,属于敏感信息和核心隐私,并且难以或者无法改变。随着人脸识别技术的发展,人脸信息机器可读性大幅提升,这些信息一旦泄漏,数据化的个人生物特征可以被永久性使用。如处理不慎,相关高位阶法益将受到影响。因此,人脸信息要加以特别保护。基于此,行政机关就人脸信息保护承担着双重职责:一方面,行政机关要履行对人脸信息处理活动监管的职责;另一方面,行政机关乃至国家处理人脸信息也应当依法合规进行。
李兴
上海市第一中级人民法院法官
近年来,人脸信息问题之所以受到公众关注,一定程度上是基于广大人民群众自我维权意识的逐步增强。由于我国正在高速发展数字经济,人脸信息保护也便相应成为社会发展的需要。正如陈教授所言,人脸信息作为一种生物识别信息,应当划入敏感个人信息范围,也就是要归入个人信息保护法第2章第2节“敏感个人信息的处理规则”中进行特别保护。如果人脸信息泄露,可能造成多种实质性损害。生活中,有人故意将别人的人脸信息嫁接到一些负面事件上发布,给受害者造成严重的精神损害,侵害了人格权。而人格权是典型的支配权,具有排他的效力,我们每一个人都有免于恐惧的自由。因此,对人脸信息的保护应当前移,而不是等到人身或财产损害发生才采取保护措施,这就需要各部门法相互协调、综合保护,争取打造人脸信息法治保护共同体。
高峰
公安部第三研究所副研究员
当我们谈人脸信息识别安全时,其实包含两方面的内容:一是技术安全;二是数据安全。很多产品在进行采集时都是线下收集个人照片,然后进行集中注册。这个过程中任何管理和保存不当,都有可能导致信息和照片泄漏。面对“刷脸”的必然与“丢脸”的困境,人脸识别安全保护是个系统性问题,需要实现终端、传输、平台三位一体的安全防护,在采集、获取、交互、存储等各步骤上做好防护措施。例如,可在终端上对算法和模型进行安全芯片固化加密,防止黑客攻击;在设备与系统通讯过程中,要采用白盒加密,确认传输过程中不被拦截破解。此外,终端系统与后台软件需要定时定期地进行安全漏洞攻防检测,终端设备不留照片,只留特征码。
去年,我国新制定实施的个人信息保护法以及最高法发布的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《规定》)均对人脸信息处理作了规定。
向上滑动阅览
《个人信息保护法》
第一条 为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。
《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》
第二条 信息处理者处理人脸信息有下列情形之一的,人民法院应当认定属于侵害自然人人格权益的行为:
(一)在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析;
......
(三)基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意。
但这些规定仍存在理解把握上的问题,有待进一步厘清。比如,如何理解个人信息保护法第1条中的“保护”“规范处理”“合理利用”?如何认定《规定》第2条第1项中的“经营场所”“公共场所”?如何理解《规定》第2条第3项中的“告知 同意”“单独同意”?而从社会生活中更为具体的视角切入,在自家门口安装监控时又该如何平衡本人的安全权与邻居的人脸信息权利?许多商家在店内外安装监控或人脸采集设备,是否需要进行事前行政审批?人脸信息采集系统的生产、研发、采集、存储、处理又是否应当纳入行政许可的范畴?
第一,关于“告知 同意”的理解。站在民法角度,我个人认为,“告知 同意”比较接近“要约 承诺”这一合意的意思表示规则,即个人作出了信息处理的授权,则处理者也必须根据约定合法处理。比如《规定》第11条就谈到了格式条款问题,实践中,这种“告知 同意”通常会体现为一种电子文本、电子合同,尤其是电子合同文本的自动化处理,其必然涉及民法典关于格式条款的审查规则运用。但即便满足上述知情同意的要件,也不代表行为合法,还须以行为必要性、正当性兜底。第二,关于《规定》第2条第3项“单独同意”的理解。有观点认为“单独同意”是单次同意,也即一次性同意,并非一种长期的永久性授权;而且,从告知者的角度看,不能是概括性的告知,必须针对人脸信息进行独立具体的提示,在此前提下的同意才是单独同意。由于人脸信息属于敏感个人信息,因此我认为在适用知情同意的时候,要格外注意这一点。第三,关于“经营场所”“公共场所”的理解。个人认为相对应的是一种经营主体的行为和公共场所管理行为,相对于自然人个人交往场域而言,其本身拥有技术上的优越性,存在一种提供服务和被服务的关系、管理和被管理的关系。林检察官刚提到在家门口安装监控这个问题,从法院近年来审理的案件看,此类纠纷确实是比较多的。如今可视化门铃普及,且有些具有录播甚至人脸识别功能,可以拍到邻居的生活轨迹,或多或少是对隐私的侵犯。但同时,这些设备的存在一定程度上可以缓解不少独居女性和老年人对自身安全的担忧。因此,此类案件的处理需要法官根据实际情况作出合理判断。这类案件中,有的案件判决拆除;也有的案件通过调解,改变了门铃的拍摄角度,避开邻居家门口。我认为只要是实现了双方权利的平衡,都不失为较妥善的处理方式。不论如何,这些纠纷说明科技的运用也需要受到人格权的制约,个人信息保护将渗透到现代社会的方方面面。
我国个人信息保护法第26条和《上海市数据条例》第23条均作出规定,在商场安装图像采集、个人身份识别设备,应当为维护公共安全所必需,且只能用于维护公共安全之目的,用于其他目的须取得个人单独同意。关于“单独同意”,我的理解是需要进行强制性特别同意,而不是一般概括性同意,必须提高同意的标准和要求。但目前,针对人脸信息采集系统的生产、研发、采集、存储、处理等方面,并没有规定应设定行政许可。我国行政许可法第12条第4项规定了“直接关系公共安全、人身健康、生命财产安全的重要设备、设施、产品、物品,需要按照技术标准、技术规范,通过检验、检测、检疫等方式进行审定的事项”。但是,该法第13条也规定,行政机关采用事后监督等其他行政管理方式能够解决的,可以不设定行政许可。个人信息保护法第32条规定,法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。因此,人脸信息系统的生产和应用是否设定行政许可,需要详细论证其必要性和正当性。我个人认为,目前来看,就人脸信息采集系统的生产和研发,采用技术标准加以规范即可;运用系统采集、存储、处理人类信息,采用事后处罚的行政管理方式也是能够解决问题的。若商家违反法律法规在授权范围外安装并使用,则适用个人信息保护法、《上海市数据条例》予以处罚;如侵犯个人隐私,则适用治安管理处罚法给予行政处罚。
关于个人信息保护法中的“保护”“规范处理”“合理利用”的理解,个人认为应结合开展人脸验证或人脸辨识的场景来保护人脸信息安全,至少应满足以下要求:一是非人脸识别方式的安全性或便捷性显著低于人脸识别方式。例如机场、火车站进行人证比对时,使用人脸识别以外的身份识别方式会导致相关服务便捷性的明显下降。二是原则上不应使用人脸识别方式对不满十四周岁的未成年人进行身份识别。三是应同时提供非人脸识别的身份识别方式,并提供数据主体选择使用。四是应提供安全措施保障数据主体的知情同意权。五是人脸识别数据不应用于除身份识别之外的其他目的,包括但不限于评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等。
在保护人脸信息等敏感个人信息方面,刑事法律应当如何进行适当而必要的规制?对于包括人脸信息在内的个人信息犯罪,应当秉持一种什么样的司法理念?
实务中涉及人脸信息的大量刑事案件是在交易这种中间环节被发现和定罪,而收集信息这一前端行为很少被定罪。因为在法益实际受损前,当事人对违法采集人脸信息的认识度不够,往往都是在意识到法益受损后,才反过来回溯自身人脸信息遭受侵权。在刑法规制方面,我认为最关键的是要遵守二次违法性原理,也即民事、行政判定不违法的,刑法不能介入。同时也要注意,对于在民事、行政方面的侵权判定,刑法不能照单全收,而要保持刑法判断的独立性。针对有关人脸信息的违法行为,我国刑法第253条之一规定非常明确,只规制“非法获取”“非法提供”这两种行为,对于其他各行为类型要慎重区分处理。
在国家数字经济发展的大背景下,如何在保护个人信息权利与促进大数据产业发展之间寻求平衡?企业收集的人脸信息是否可以作为企业数据的一部分与其他主体进行交易?如果用于数据交易,应当满足哪些条件?
针对吴教授提到的人脸信息在收集过程中就已经产生危害,但通常等到交易环节才显现出来这一现象,我认为应当实行保护前移,也就是说要增强对非法收集人脸信息行为的认识度和敏锐度。第一,考虑到大数据产业发展问题,在人脸信息采集、处理、使用等过程中,确实需要权衡好二者之间的关系。具体来说,一般情况下,企业收集人脸信息须征得自然人本人同意,但如若企业的收集行为是出于公共安全之必需目的,此时无需本人同意,但需符合国家标准和行业标准,如案例二中某区房管局收集住户人脸信息明显是出于方便管理,而非公共安全。同时我们也要厘清,数字经济的长远发展离不开网络安全和数据安全,这就要求人脸信息的处理者、管理者须严格遵守保密义务。第二,关于人脸信息的交易问题。个人认为,企业并购时,人脸数据同时融合,一般无需再征询本人同意;但如果是两家经营范围、性质不同的企业合并,处理主体、处理目的均已改变,则需要再另外取得同意。第三,关于将人脸信息用于数据交易须满足的条件。个人认为在匿名化、去标识化后的人脸数据可以用于合法交易,因为此时不借助额外信息就无法指向特定的自然人,而仅仅是一个数据集。
毛文静
静安区检察院检察官
关于如何在保护个人信息权利与促进大数据产业发展之间寻求平衡,我谈谈我的看法。以案例一为例,涉事公司在上海是很有名的公司,全国的合作单位也有成百上千家,如果说这些企业收集人脸信息违反了个人信息保护法,构成刑事犯罪,可能会产生法不责众的结果,对大数据产业的发展可能带来重大影响。对此,检察机关应当谨慎处理,具体而言就是在处理一个案件、打击一种犯罪时,应当将其背后的产业发展作为一种考量因素,进一步平衡案件办理与企业生存之间的关系,争取实现利益平衡的最适化、最优化。
人脸信息交易须满足的条件随着所处阶段变化而不同,可以据此进行分级分层讨论。在数据收集方面,收集人脸识别数据时,应向数据主体告知收集规则,包括但不限于收集目的、数据类型和数量、处理方式、存储时间等,并征得数据主体明示同意;在自然人拒绝使用人脸识别功能或服务后,不应频繁提示以获取自然人对人脸识别方式的授权同意;不应因数据主体不同意收集人脸识别数据而拒绝数据主体使用基本业务功能;用于采集人脸识别数据的设备应遵循相关标准要求等。在数据存储、传输方面,应采取安全措施存储和传输人脸识别数据,包括但不限于加密存储和传输人脸识别数据,采用物理或逻辑隔离方式分别存储人脸识别数据和个人身份信息等。不应存储人脸图像,经数据主体单独书面授权同意的除外。在数据使用和委托处理、共享、转让、公开披露等方面,相关主体应在完成验证或辨识后立即删除人脸图像;不应公开披露人脸识别数据,原则上不应共享、转让人脸识别数据等。
本市检察机关在办理的多起涉及“人脸信息安全”案件中发现了一些共性问题,比如案件线索如何获取、人脸信息保护公益诉讼的立案标准如何掌握、调查取证时相关单位以涉及商业机密为由拒不配合如何应对等等,这些问题确实给我们检察机关办案带来了一定困扰,在此请各位嘉宾出谋划策。
关于案件线索来源,就基层院而言,现阶段主要通过媒体曝光、投诉举报、市分院转办交办以及自办刑事案件挖掘潜在的线索,其中新闻媒体曝光和投诉举报居多。建议今后增加“12345”“检察云”等线上平台,形成多渠道线索发现机制。关于调查取证,现阶段仍有障碍,检察机关的调查手段较薄弱,调查核实权尚未完全发挥作用。以案例一为例,涉事APP删除下架后难以获取信息数据,检察机关介入取证存在实际困难,即便是专业性更强的市场监管部门,也无法凭一己之力成功取证。对此,个人认为需要进一步依托技术调查官等外部力量,提高检察机关调查取证的专业程度。
吴晓东
上海市检察院第二分院检察官
关于线索来源。我认为可以从三个方面获取:一是要在立案监督中挖掘线索,重点关注公安机关应立案不立案、错误立案的刑事案件;二是要立足四大检察职能获取线索,关注民事和行政检察、未成年人检察等;三是要通过关注履行个人信息保护职责的部门公开发布的信息获取线索,例如网信部门对于手机APP违法采集用户个人信息的行为会定期公开通报,可主动对接网信部门获取相关线索。
关于立案标准。检察机关对公益诉讼的立案标准始终是评判社会公共利益是否受到侵害,以及侵权人行为的违法性程度。就人脸信息保护公益诉讼案件来说,主要是对社会公共利益的评价,人脸信息在民法上属于人格权范畴,不同于诸如环境利益等的非排他性。这类案件如何体现公共属性?除了关注信息数量大小、侵害频次、用途的合法性等因素以外,更应该关注侵权人的行为对公益造成的危险程度。比如销售人员将收集到的人脸信息仅用于实现业绩考核的要求,和直接用于买卖获利的行为,二者所产生的危险性大相径庭,检察机关需要据此加以研判区别是否有介入的必要。
关于调查取证。电子数据作为独立的证据种类,其具有技术依赖性、存储与传递的隐蔽性、易于变造性等特点,证据形式要求高,调查取证难度大,证据调取的主体、方法、过程等都会直接影响证据效力甚至导致证据灭失。就目前实践来说,如何增强公益诉讼部门自身调查获取的电子数据的证据效力成为亟需解决的问题。在案例二中,二分院和静安区院根据《上海市人大常委会关于加强检察公益诉讼工作的决定》第5条的规定,首次委托公证机关全程参与调查工作,形成了有益的经验。个人认为,对于检察机关直接调取的侵权人存储的个人信息数据,或者侵权人利用互联网、手机APP等收集个人信息并以网页等形式呈现的电子数据,可以考虑委托公证机关对取证过程进行公证,加强关键证据的证明效力。
“两高”《关于检察公益诉讼案件适用法律若干问题的解释》第6条和《人民检察院公益诉讼办案规则》第35、36条对检察机关进行调查取证提供了规范指引,但也规定了不得采取限制人身自由或者查封、扣押、冻结财产等强制性措施。从实践来说,检察机关在关键性电子数据的调查取证过程中,如果没有相应的保障措施,极易造成电子数据的灭失和篡改,对案件进展造成不利影响。因此,检察机关调查取证需要改变方式和策略,以顺应对数字经济进行监管和调查的趋势和要求:一是借助外力,依托行政机关调查、公安机关刑事侦查、法院证据保全等联合开展调查核实;二是从技术手段和技术措施上切入,增加暗访、抽查等技术调查方式;三是善用诉讼法手段,比如在明晰举证责任分配方面下功夫。
从技术层面看,个人认为,检察机关在对侵犯人脸信息案件进行调查取证时,应当参照全国信息安全标准化技术委员会于2020年发布的《信息安全技术个人信息安全规范》这一国家标准。此外,还要借助科技赋能,采用专业技术手段支撑,注重大数据分析及高科技设备的选用;借助专业人士“外脑”赋能,邀请有资质的第三方提供专业服务,邀请专业人士进行答疑论证,作为检察公益诉讼办案的有益补充。
实践中,人脸信息被违法收集、使用的情况通常批量出现,同一事件中往往受害者较多,此种情况下能否提起刑事附带民事公益诉讼(如何体现其中附带民事诉讼部分的独立价值)?程序上如何衔接?可否就惩罚性赔偿提出诉讼请求?
就侵犯公民人脸信息犯罪提起刑事附带民事公益诉讼,我认为存在一定的必要性。原因在于:一是单独看非法收集、使用人脸信息的行为,表面上是侵害了个人法益,但总体看却是侵害了不特定多数人的法益,既有提出刑事附带民事公益诉讼的法理基础,也因符合启动条件而具备正当性。二是将刑事诉讼程序和民事诉讼程序合并,可以合理简化诉讼流程,将刑事责任、民事责任一并解决,大幅减少诉累,提高司法效率,具有良好的司法效应。三是对出于商业目的又有一定默示同意情形的违法处理人脸信息的案件,认为适用该程序具有难度的,我觉得可从一些缺乏任何知情同意要件并大量收集人脸信息的典型刑事案件作为突破口,启动刑事附带民事公益诉讼。
关于损害赔偿,在去年最高检发布的检察机关个人信息保护公益诉讼典型案例中,主要以向社会公众公开赔礼道歉的形式居多,还有就是删除违法收集和发布的个人信息、关闭网站、注销账户、解散微信群、支付赔偿金等。只有在河北省保定市人民检察院诉李某侵害消费者个人信息民事公益诉讼案(案例三)中,法院判决支持了检察机关提出的支付三倍惩罚性赔偿金的诉求。可见,司法实践中惩罚性赔偿尚未普及适用。基于个人信息保护法的规定,无论是自然人犯罪还是单位犯罪,对直接责任人员都有少则1万多至100万的惩罚性赔偿标准,还规定了一定期限的从业禁止,惩罚力度较大。故个人认为在个人信息保护公益诉讼案件中,惩罚性赔偿应严格、谨慎适用。比如,在主张惩罚性赔偿时,应当以行为人的获利作为基准,并根据具体案情以及综合对行为人已作出的处罚决定,适当予以调整,确保罪罚相当。
对于侵犯人脸信息犯罪是否能够提起刑事附带民事公益诉讼,个人认为,如果符合公益保护的目的和条件,当然可以启动这一程序。同时可以借鉴知识产权诉讼中对无形财产的保护措施,比如效仿由知识产权诉讼衍生的诉前禁令,在侵犯人脸信息刑事附带民事公益诉讼中视情实施人格权禁令,实现在诉讼进程中和判决下达前第一时间终止侵权行为,避免受害者的人格权随着诉讼时间的流失而持续遭受侵犯。还有一点,除了刑事附带民事公益诉讼以外,还应当结合整个法律程序体系考量,尝试将不特定多数人的普通代表人诉讼、支持起诉和公益诉讼相结合,多项制度形成合力,妥善做好程序衔接,争取优化诉讼效率。
今天,围绕“人脸信息安全”这一主题,各位嘉宾分别从人脸信息的法律属性、处理规则和边界以及公益诉讼检察应对等层面发表了真知灼见,为有效避免人脸信息处理中的法律风险提供了重要建议,也为如何做优做强涉人脸信息公益诉讼检察指明了方向,再次感谢!接下来,检察机关将继续紧跟数字经济高速发展的步伐,跑出人脸信息检察保护的加速度!
文稿整理:静安区检察院 王 嘉
黄浦区检察院 陈 静
法条链接
《刑法》
第二百五十三条之一 违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
《个人信息保护法》
第二十六条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
第三十二条 法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。
第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
《行政许可法》
第十二条 下列事项可以设定行政许可:
……
(四)直接关系公共安全、人身健康、生命财产安全的重要设备、设施、产品、物品,需要按照技术标准、技术规范,通过检验、检测、检疫等方式进行审定的事项;
……
第十三条 本法第十二条所列事项,通过下列方式能够予以规范的,可以不设行政许可:
(一)公民、法人或者其他组织能够自主决定的;
(二)市场竞争机制能够有效调节的;
(三)行业组织或者中介机构能够自律管理的;
(四)行政机关采用事后监督等其他行政管理方式能够解决的。
第十一条 信息处理者采用格式条款与自然人订立合同,要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利,该自然人依据民法典第四百九十七条请求确认格式条款无效的,人民法院依法予以支持。
“两高”《关于检察公益诉讼案件适用法律若干问题的解释》
第六条 人民检察院办理公益诉讼案件,可以向有关行政机关以及其他组织、公民调查收集证据材料;有关行政机关以及其他组织、公民应当配合;需要采取证据保全措施的,依照民事诉讼法、行政诉讼法相关规定办理。
《人民检察院公益诉讼办案规则》
第三十五条 人民检察院办理公益诉讼案件,可以采取以下方式开展调查和收集证据:
(一)查阅、调取、复制有关执法、诉讼卷宗材料等;
(二)询问行政机关工作人员、违法行为人以及行政相对人、利害关系人、证人等;
(三)向有关单位和个人收集书证、物证、视听资料、电子数据等证据;
(四)咨询专业人员、相关部门或者行业协会等对专门问题的意见;
(五)委托鉴定、评估、审计、检验、检测、翻译;
(六)勘验物证、现场;
(七)其他必要的调查方式。
人民检察院开展调查和收集证据不得采取限制人身自由或者查封、扣押、冻结财产等强制性措施。
第三十六条 人民检察院开展调查和收集证据,应当由两名以上检察人员共同进行。检察官可以组织司法警察、检察技术人员参加,必要时可以指派或者聘请其他具有专门知识的人参与。根据案件实际情况,也可以商请相关单位协助进行。
在调查收集证据过程中,检察人员可以依照有关规定使用执法记录仪、自动检测仪等办案设备和无人机航拍、卫星遥感等技术手段。
《上海市数据条例》
第二十三条 在本市商场、超市、公园、景区、公共文化体育场馆、宾馆等公共场所,以及居住小区、商务楼宇等区域,安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著标识。
所收集的个人图像、身份识别信息,只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
本条第一款规定的公共场所或者区域,不得以图像采集、个人身份识别技术作为出入该场所或者区域的唯一验证方式。
《上海市人民代表大会常务委员会关于加强检察公益诉讼工作的决定》
五、检察机关办理公益诉讼案件,应当依法行使调查核实权,全面、客观收集证据材料。检察机关调查核实案件事实、调取证据材料,委托公证或者证据保全,以及开展其他必要的调查取证工作,有关单位和个人应当积极配合。对拒不履行协助调查义务或者阻扰检察机关调查核实的,检察机关可以约谈相关人员,依照本决定第七条、第十一条、第十二条、第十八条的规定,建议有关机关或者部门处理。
根据调查核实工作需要,检察机关可以指派司法警察、检察技术人员协助检察官履行调查核实职责,也可以委托、聘请其他专业机构、人员参与调查核实工作。
数智时代的司法观系列回顾
◆75号咖啡|“智慧检察”的可能与限度
◆75号咖啡|数字时代的司法观(一): 司法人工智能开发的原则与政策
◆75号咖啡|数字时代的司法观(二):法律人工智能的技术、理论与应用问题
◆75号咖啡|数字时代的司法观(三):深耕数据治理 赋能检察未来——“十四五”期间检察业务数据应用与发展
◆75号咖啡|未来已来!自动驾驶汽车的挑战及法律应对
◆75号咖啡|数据霸权:“大数据杀熟” 等滥用用户数据行为的检察之治
◆75号咖啡|数据安全法与检察职能作用发挥
◆75号咖啡|守护你的“刷脸”安全——人脸信息安全的公益保护思考
◆75号咖啡|不准随便动我的“脸”——生物识别技术的风险与应对
◆75号咖啡|数据爬虫的法律合规
,
