肖飒:企业如何应对生物识别信息合规问题?

中新经纬   2023-07-07 19:36:03


(资料图)

中新经纬7月7日电 题:企业如何应对生物识别信息合规问题?

作者 肖飒 北京大成律师事务所合伙人

肖飒

生物识别(Bio-metrics)简单地说就是基于一个特定个人的生理或行为特征,将其与其他人相区分、识别的技术。目前已经成为当今世界上最为方便、安全可靠的识别方式之一。

在处理生物识别信息方面,中国《个人信息保护法》作出了明确的规定,并对个人信息依保护登记作出细化分类。2020年3月6日,《信息安全技术个人信息安全规范》(GB/T 35273-2020)也随之正式出台,明确且详细地列举了个人信息的类别。并于同年10月1日起实施,是中国个人信息保护走出的关键一步。但是不同于其他国家的是,中国在《个人信息保护法》并没有明确公民可以对公司、企业侵犯公民个人信息的行为提起诉讼。因此公民尚不能以“生物识别信息被侵犯”为由对公司、企业等侵权行为实施者提起民事诉讼请求赔偿。 

2021年,元宇宙概念大行其道,深度合成和AIGC技术崭露头角,某跳动短视频平台顺势推出了一键AI换脸功能收割了一波流量和关注。但是,AI换脸的前提是以收集用户面部生物识别信息为前提的。如此一来,美国伊利诺伊州的几位公民指控某跳动公司通过该AI换脸功能获得了用户的生物识别数据,并进行了非法记录和共享。伊利诺伊州对生物识别信息管理较为严格,曾于2008年通过了《生物信息识别隐私法》(下称“BIPA”),专门针对生物识别信息作出了一系列规定,该法案允许被侵害生物信息的人,对侵权人提起诉讼以获得民事赔偿。

此后该事件进一步发酵,越来越多的当地用户闻风而动发起了类似的控告,且用户们还表示某跳动有利用生物识别数据和其他数据生成用户画像,以帮助定向推广广告和盈利的行为。如果原告举证成功,那么某跳动公司所手机的生物识别信息很大程度上机会被认定为属于BIPA法案中需要履行一系列合规义务的“占有”数据行为。为了防止事情向着不可预测的方向发展,某跳动公司最终与原告达成了9000多万美元的天价和解。

生物识别信息作为个人信息的一种,是一种敏感程度更高、需要更严格保护的一种特别的信息,但是从美国的司法实践来看,将生物识别信息作为公民的一项具体权利予以保护且赋予其在受到侵害时得以请求法院保护、要求侵权人赔偿的法律制度极大的加重了公司和企业的违法成本,在此类侵权纠纷之下,也只有巨头公司能够有能力“花钱消灾”,对于中小型企业而言,往往就是“灭顶之灾”。另外,以消费者权利保障为名,通过诉讼获利的人正在不断增加,如果法律不能适时作出调整,那么对消费者权利的保护将会出现“矫枉过正”的情况,最终阻碍科技发展。(中新经纬APP)

本文由中新经纬研究院选编,因选编产生的作品中新经纬版权所有,未经书面授权,任何单位及个人不得转载、摘编或以其它方式使用。选编内容涉及的观点仅代表原作者,不代表中新经纬观点。

责任编辑:孙庆阳 实习生 饶奎