全国人大常委会会议分组审议个人信息保护法草案：使用人脸识别应有严格规制 为APP“霸王条款”划定红线

中国青年报客户端北京4月29日电 （中青报·中青网 记者王亦君）“个人信息保护已成为公众最关心最直接最现实的问题之一，新冠肺炎疫情发生后，大数据、人工智能等技术广泛应用在防疫中，制定个人信息保护法十分必要且迫切。我国还没有系统全面地针对个人信息保护相关问题进行专门立法，现行民法典、刑法、网络安全法等多部法律法规对个人信息保护的规定较为原则且分散，难以适应信息化快速发展的现实情况和人民群众对个人信息保护的迫切需求。”4月27日下午，十三届全国人大常委会第二十八次会议对个人信息保护法草案二审稿（以下简称“草案”）进行了分组审议，全国人大常委会委员李飞跃表示。

参加审议的人员对草案中个人信息的处理规则，敏感个人信息的范围，人脸识别的规制，APP授权操作、未成年人个人信息的保护等备受社会公众关注的问题提出了建议。

建议对敏感个人信息实施特殊保护

草案专设一节，针对敏感个人信息规定了特殊的处理规则。对于如何完善草案中的现有规定，参加审议的多名人员建议进一步明确敏感个人信息的范围。

沈跃跃副委员长建议，身份证、家庭住址、联系方式等也应列入敏感个人信息。

杜黎明委员说，草案中列举的“敏感个人信息”包括的内容还不够全面，遗漏了一些重要信息。建议增加“居住场所、家庭成员构成”为敏感个人信息。

多名委员建议增加对敏感个人信息的保护措施。王东明副委员长表示，建议明确对敏感个人信息实施特殊保护规则，体现更严格的保护。现实中，过度收集、处理甚至滥用敏感个人信息的情况较多，比如通过手机移动客户端办理金融保险业务时、使用小区门禁系统时，经常要采集人脸、指纹、掌纹、虹膜等个人生物识别信息。

“对敏感个人信息的处理，应当提出更有针对性的处理规则。比如对金融机构、医疗机构、科技公司等特定企业组织采集、存储、处理敏感个人信息作出明确规定，规定对存储敏感个人信息必须采取加密处理和技术安全保障，使用敏感个人信息后，及时删除等等。”王东明表示。

曹建明副委员长建议，草案可以在规定敏感个人信息的基础上，进一步区分界定敏感个人信息种类，如普通敏感个人信息和极度敏感个人信息，并在规定处理敏感个人信息应取得个人单独同意的基础上，进一步建立备案审查制度和行政许可制度，以判断有关机构采集和使用敏感个人信息是否合法、必要和正当。

建议规定公共场所人脸识别不得用于商业目的

人脸识别信息备受社会关注的一种个人信息。杨震委员说，目前人脸识别使用的地方越来越多，一定程度上威胁了个人信息安全，个人的行踪信息很容易通过人脸识别被泄露，建议规定由专门机构承担人脸识别应用的审批和监管职能、界定设备及数据主管的职责、数据使用和管理的权限。

周敏委员建议，在公共场所进行图像采集、个人身份识别“不得用于商业等其他目的”。

全国人大常委会香港基本法委员会副主任谭惠珠说，草案规定“在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识”，这一条规定的“公共场所”没有明确定义。

谭惠珠表示，“公共场所”的定义需要进一步明确，公共场所应该是指整体上供不特定公众使用的地方，比如图书馆、博物馆、医院、商场、公共交通设施等，而不应该包括私人场所的附带区域，例如居民小区的公共区域。

谭惠珠认为，居民小区属于私人场所，不能以维护公共安全为由强制使用个人身份识别设备，明确界定公共场所的范围，可以减少法律适用中的争议。

王超英委员提出，现在人脸识别线上线下都在用，线上购物，行政机关办理一些业务都需要人脸识别，线下的公共场所、小区、单位的门禁都需要人脸识别，“比如去一家房产公司去看房，这家房产公司采集了人脸信息，可能就把这个信息分享给其他的房地产企业了，这就属于对于人脸识别信息的滥用。”

王超英委员建议，对于人脸识别信息，还有其他的、比如指纹等个人生物信息，在这个人信息保护法中应该有更具体、更有针对性的规范，比如进小区不能只允许通过刷脸的方式，如果业主不同意，就要提供其它的、可供选择的进出方式，保证个人的和选择权和决定权。

另外，应当规定在个人不知情的情况下，禁止商业机构对个人生物信息进行识别和分析，也应规定哪些机构可以在公共场所使用摄像头、怎么使用得规范，“比如为了侦查犯罪、进行交通管理，要有针对性的规定，即使作不作具体规定，也应该有原则性的要求，而且应当要求有关部门及时制定个人信息保护法的配套规定，对于这些内容予以规范。“王超英说。

建议规定禁止“不授权就强退”  为APP“霸王条款”划定红线

日常生活中，特别是在使用手机应用程序中，许多网络服务商家不管所提供的产品或服务与要求提供的个人信息是否有直接关联、是否必要，往往把收集个人信息作为提供产品或服务的前提条件，不填报个人信息就无法继续安装或使用该应用程序。

“这是目前公众感受最深、反映最强烈的问题。”全国人大社会建设委员会副主任委员宫蒲光说。

万鄂湘副委员长说，鉴于当前一些互联网平台服务提供者通过“以服务换授权”迫使用户同意提供个人信息，侵害了自然人处理个人信息的自主决定权，建议草案增加规定，禁止“不同意提供个人信息，就拒绝提供产品和服务”的方式迫使用户同意提供非必要个人信息。

宫蒲光也建议增加一段表述，即“个人信息处理者不得将让渡非必要的个人信息权益作为提供产品或服务的前提条件”。

万鄂湘副委员长还说，考虑到当前个人信息处理者在收集个人信息时往往将个人信息授权包括在“用户协议”内，冗长的用户协议使得自然人往往只能被迫授权，建议新增一款，明确个人信息处理者在获取个人信息时，需以单独环节或提示方式获得用户的个人同意。

杜黎明委员说，目前，大量线上平台都以必须同意其格式化的授权许可声明作为自然人试用期服务的前提，导致自然人被迫接受以获取其服务，进而导致使用服务过程中大量个人信息及通过线上分析所形成的个人信息被滥用。

杜黎明委员建议，对线上平台的有关搜集、使用个人信息的格式条款作出限制，从而对处于弱势一方的自然人提供保护；增加关于通过以分析自然人行为而获取的自然人个人信息应如何保护的相关条款。

建议完善处理未成年人个人信息的相关规定

吕薇委员建议，草案规定：个人信息处理者处理不满14周岁未成年人个人信息的，应当取得未成年人父母或其他监护人的同意。为提升法律适用的确定性，建议细化表述，即规定：个人信息处理者知道或应当知道其处理的个人信息为不满14周岁的未成年人的个人信息的，应当取得未成年人父母或其他监护人的同意。

吕薇委员进一步分析说，从国际经验来看，都是把针对未成年人个人信息保护的更高要求聚焦于特定场景，一般是在网站上标注哪些内容或者哪些网站是不适合未成年人观看或者进入的，建议个人信息保护法中对适用范围也作出明确限定。

这一建议得到了王东明副委员长的赞同，他表示，未成年人个人隐私、个人信息更容易受到侵害，现实中大量存在未成年人因个人信息被泄露和滥用，造成个人和家庭财产甚至人身安全受到危害的问题。从国际上看，加强对于未成年人个人信息的保护已是一种趋势，欧盟通用数据保护条例、美国隐私保护法案等对未成年人的个人信息保护均有明确规范。

万鄂湘副委员长建议，与未成年人保护法保持一致，将此条规定修改为“处理不满十四周岁未成年人个人信息的，应当征得未成年人的父母或者其他监护人同意，但法律、行政法规另有规定的除外。”此处的监护人同意不能成为所有处理活动的前提，应当允许存在法律特别规定的例外情形。