日前，十三届全国人大常委会第二十八次会议分组审议个人信息保护法草案二审稿，全国人大常委会组成人员就公众关心的人脸识别、涉疫情个人信息保护以及侵犯个人信息违法犯罪的惩处等问题展开讨论。

“采脸”不该太“任性”

生活中，人脸识别技术被滥用的情况比较普遍——有的地方，业主进入小区要刷脸、进入电梯要刷脸；除了看得见的“索脸”行为，据媒体报道，还有一些商家存在安装带有人脸识别功能的摄像头、偷偷抓取人脸数据、生成人脸 ID的“偷脸”行为。

“目前人脸识别使用的地方越来越多了，一定程度上威胁了个人信息的安全，个人的行踪信息都可以被揭露出来。”杨震委员建议，由专门机构承担人脸识别应用的审批和监管职能、界定设备及数据主管的职责等。

全国人大常委会香港基本法委员会副主任谭惠珠提出，草案第27条规定“在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必须，遵守国家有关规定，并设置显著的提示标识”，这一条规定的“公共场所”没有定义。建议在本条中加一款作为第2款规定“本条规定中的公共场所是指向不特定公众开放，供其使用的区域”。

“我认为这个定义需要进一步明确，公共场所应该是指整体上供不特定公众使用的地方，比如图书馆、博物馆、医院、商场、公共交通设施等，而不应该包括私人场所的附带区域，例如居民小区的公共区域。”谭惠珠举例说，居民小区等本质上属于私人场所，不能以维护公共安全为由强制使用个人身份识别的设备。

吕薇委员认为，个人身份特征信息只能用于维护公共安全或履行法定义务的目的，因此建议草案第27条修改为：在公共场所安装图像采集个人身份识别设备，应当为维护公共安全或履行法定义务所必须。

有必要强化法律责任

近年来，我国个人信息保护力度不断加大，但在现实生活中，依然存在一些企业、机构和个人，过度收集、违法获取、非法买卖个人信息，利用非法获取的个人信息侵害人民群众合法权益的现象。

李学勇委员说，从草案目前法律责任条款看，行政保护占大多数，但行政处罚力度不大，处罚裁量空间比较大，不足以形成应有威慑。民法典第1034条明确将个人信息作为民事利益予以保护。在充分发挥行政保护作用的同时，应进一步加大民事保护和刑事保护力度。

“传统的损害赔偿制度，已很难起到有效遏制侵害个人信息行为的作用。”曹建明副委员长提出，司法实践中，由于侵害个人信息造成的损害一般难以量化，而且单个受害人能够证明所受损害程度与加害人因侵权行为可能获得的利益相比，往往很不成比例。因此，建议在草案中增设严重侵害个人信息权益的惩罚性赔偿制度，以加大对侵害个人信息权益行为的惩罚，并对侵害个人信息权益的行为人形成震慑。

郑功成委员说，公众对这部法律的关注度很高，但这部法律的法律责任规定中缺具体目标指向，因而有必要强化法律责任。他认为，应当在法律责任中列明网信企业违法该怎么样，个人违法该怎么样，这样更有针对性、约束力，这部法律执行起来也容易操作。此外应当加大处罚力度。“现在法条中对违法行为还算是比较严重行为的处罚，也只在5000元以下，这种处罚力度太小，实质上没有处罚的意义，应当大幅加大惩罚力度。”

疫情期收集的信息如何保护

此次提请全国人大常委会审议的个人信息保护法草案二审稿第4条第2款规定：个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

对这一内容，全国人大华侨委员会委员王辉忠建议在“公开”后面增加“销毁”两字。他说，“目前几乎没有文件明确提出疫情结束后的数据处理方式。随着疫情逐渐好转，个人信息保护工作的重点也应从收集、使用转移到存储和销毁。”

李巍委员也提出，个人信息处理的销毁、删除是保护个人信息制度中的重要组成部分。“比如在这次新冠肺炎疫情过程当中，人脸识别也好、个人信息也好，几乎每个人都被采集利用，都有所感受，这些信息储存多长时间？什么时候销毁？都应该有所交待。疫情消除之后，如果不加妥善保管，个人信息就会产生不安全的隐患和风险。”

据《光明日报》