网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　5.对生物信息的处理作出原则性规定。值得注意的是，人脸识别技术由于对隐私可能带来的侵犯而在国外引发了普遍的争议与忧虑。而在我国，人脸识别技术在当下得到十分广泛的应用，人脸支付已经形成一个庞大的产业。但现有的人脸支付仍然存在一些合法性层面的问题，譬如，采集人脸等生物信息是否得到信息主体的同意？所采集的信息的处理与存储规则为何？用来比对的身份信息来自何方？该机构提供比对信息是否获得信息主体的同意？

　　其实，人脸识别技术是生物识别技术的一项内容。生物识别信息包括：指纹、声音、虹膜、脸相、静脉等生物信息；生物识别信息属于敏感信息(GDPR第9条)，原则上禁止处理，但经明确同意或为履行法定职责等需要可以处理。草案第800条第3款仅仅规定了国家机关依法履行职责可使用肖像，不足以应对人脸识别监控的问题，因为人脸识别涉及生物信息的收集、处理、匹配、比对及核实，本质上属于个人信息处理的问题。因此，应在个人信息之下设置专门条款：除基于公共利益，任何机构收集和处理此类信息需征得信息主体的明示同意；对所收集的肖像信息的储存、处理需严格符合法律规定；未经许可，不得与第三方分享信息。(57)另外，人脸识别技术中的信息处理，要特别强调禁止歧视原则，防止出现歧视特定的群体(特定性别、特定种族、特定人体特征等)，禁止通过人脸识别技术所造成的社会排斥现象。

　　6.应针对自动化处理与网络画像(digital profiling)做出规定。网络画像是互联网企业最常用的营销手段之一，直接涉及个人信息的合法使用与保护问题。就网络画像，欧盟GDPR条例第4条第4款给出了定义：“系指对个人信息任何形式的自动化处理，通过使用个人信息来评价某一自然人的某些个人特征，尤其是分析或者预测该自然人的工作表现、经济状况、健康、个人偏好、兴趣、可信度、行为、位置或行迹”。

　　而针对所谓“算法歧视”，应规定信息处理的透明度和禁止歧视原则。基于各种不同的适用目的(反恐、预测欺诈的可能性、预测消费倾向、实现人力资源的最优化等等)，相信算法预测的客观性、相信其有效及具有可操作性，这其实经常回避了对其的批判性评估，因为这种预测通常以建议或者辅助决策的面目出现。(58)我们常常所忽视的是，在一个所谓中立的数字化世界中，“通过对行为的数字化算法决策与司法决策有着根本性的差别。算法决策不仅忽视了人及其行为的差别一而这对于法官和司法来说是根本性的，也忽视了人、其‘倾向’或能力之间的区别”。(59)实际上，这种技术中性的客观中立往往使我们忘记网络画像之后的主体，这在本质上是一种简约主义，回避了法律的人类学功能。(60)就此而言，国外的有关立法尤其值得关注。意大利国会2016年所通过的“网络权利宣言”第8条：任何严重影响个人私人领域的司法、行政决定或命令，不得仅仅依靠针对其个人信息所进行的、意图建立起信息主体画像或人格的自动化处理。尤其值得注意和借鉴的是欧盟GDPR条例第22条，根据该条文，针对自动化处理所形成的针对个人的决定，须确保信息主体要求人工干预的权利、表达其观点的权利以及对决定提出异议的权利。此外，根据条例第35条第3款，如实施自动化处理包括网络画像行为，需要对自然人进行系统性和广泛性的个人情况评估，基于影响评估结果才能做出对该自然人产生法律效力的决定。(61)

　　显然，需要注意的是网络画像技术在人的保护方面所带来的风险。“基于自动化处理而生成的网络画像，意味着用户提出异议权利的消失，这在本质上是一种逃避责任的方式，使得作为网络画像的对象很难提出质疑”。(62)另外，在网络画像中，其立足于技术中立(真实)和正义之间的完全重叠的假设(技术客观性、不含偏见、算法自动生成)；而这种表面上的客观性很可能掩盖所谓的“算法歧视”。由此，强调对基于自动化系结果的所有决定的司法可诉性而非仅仅是被动的服从与接受就尤其重要，以确保决定的公正、公平和合法性。(63)在信息技术日益发达、自动化信息处理应用日益普遍的背景下，对这些问题的回应就尤其具有紧迫性!

　　五、余论：人格权编的立法体例