從5月份的杭州“漸變色”健康碼,到本月初的蘇州“文明碼”,再到這次北京的垃圾分類人臉識別,數字技術的“創新”應用又一次引起了大家對隱私保護的熱烈討論。所不同的是前兩項都是政府主導推行的,在提議階段或者“測試階段”就收到了大量的公眾反饋,最終沒有選擇繼續推行。而北京某小區的人臉識別垃圾桶已經使用一年多了,屬於試點投放。根據天眼查提供的資訊,該裝置的管理單位是北京市的某家政服務公司。媒體報道稱在該裝置的操作上,“刷臉”只是選項之一,還可以選擇使用按鈕或者刷卡操作,只是使用“刷臉”功能的使用者會獲得積分鼓勵。北京市的相關管理部門在這些業務當中起到怎樣的推動和監督作用,裝置的投資和回報,以及該類裝置是否會全市推廣使用等資訊目前尚未見報道。
目前大家最擔心的仍然是隱私保護的問題。人臉識別涉及敏感的人體生物資料,一旦洩露,將無法更改或者替換。因此人臉資料商用問題一直是個具有爭議的話題。政府在隱私保護的立法上還有許多工作要做。杭州衛健委在“漸變色”健康碼的熱議之後的次月出臺了《杭州健康碼開發執行規範管理辦法》,對健康碼規範管理職責許可權、個人資訊及隱私保護等方面給予了明確界定。而蘇州市的“文明碼”則在熱議4天之後,果斷地選擇了“結束測試”。由此可見,政府作為規則的制定者,本身也需要聽到不同方面的聲音,從而做出更全面的考慮。對於市民的隱私資料,尤其是人體生物資料,在其收集、儲存和使用,以及資料的所有者、使用者、保管者(控制者)和爭議的仲裁者都應當有清晰的界定。
在這方面,歐盟的《通用資料保護條例》(General Data Protection Regulation, GDPR)可以作為其中的一個參照。該條例2018年5月25日起生效,適用於在歐盟境內設有業務機構的組織,只要這些組織的業務機構在歐盟境內的活動中處理個人資料(而不論此類處理行為是否實際發生在歐盟境內),也包括提供產品或服務的過程中涉及歐盟境內個體使用者資料的非歐盟組織,都必須遵循該條例。可識別特定個人的生物識別資料,包括人臉資料,是GDPR認定的敏感資料,並對這些資料的管理做出了相當嚴格的規定,包括資料主體的隱私保護和知情權、訪問、更正和可攜權等內容。
目前我國的資料商業生態發展非常迅速,先是各大網際網路公司和金融公司,逐漸到後來各行各業都紛紛推出了基於人臉識別的各種自助服務,現在甚至都已經延伸到了垃圾處理上了。對於有些服務,例如銀行的賬戶持有人的身份確認程式,人臉識別往往是必選項,否則服務無法繼續。而其他更多的則是藉助人臉識別來提供便利,例如本次熱議的智慧垃圾桶。李彥宏曾經評價道“中國人對隱私問題沒那麼敏感,很多情況下願意用隱私交換便捷性”。而我們透過這幾次熱議看到的是大家對這方面的認識已經甦醒,那麼相關的管理部門也是時候需要挑起監管和立法的重任。在推動資料保護立法這方面,個人、商家和政府都有各自的作用。
