一、人脸识别技术方兴未艾
人脸识别,是基于人的脸部特征信息进行身份识别的一种生物识别技术。用摄像机或摄像头采集含有人脸的图像或视频流,并自动在图像中检测和跟踪人脸,进而对检测到的人脸进行识别的一系列相关技术,通常也叫做人像识别、面部识别。作为一种生物识别技术,人脸识别和指纹识别、手掌几何学识别、虹膜识别、视网膜识别、签名识别、声音识别等一样与生俱来,基于人体特征,具有人体所固有的不可复制的唯一性。因此,利用人脸识别技术,可以精准锁定某一个特定个体。与其它类型的生物识别比较人脸识别还具有如下特点:获取的便利性:用户不需要专门配合人脸采集设备,几乎可以在无意识的状态下就可获取人脸图像;非接触性:用户不需要和设备直接接触就能获取人脸图像;并发性:在实际应用场景下可以进行多个人脸的分拣、判断及识别。除此之外,还具备操作简单、结果直观、隐蔽性好等特点。
二、 信息安全隐忧屡见不鲜
然而,人脸识别技术像一把双刃剑,在给我们的生活带来便利的同时,在应用越来越广泛的同时,也暗中威胁着我们的个人信息安全,这种倾向值得高度关注。
目前,人脸识别技术开发企业的技术水平和安全意识参差不齐。头部企业一般注重对人脸识别技术的安全保障,一方面升级软件和硬件提高识别精确度,另一方面通过加密避免使用过程中储存原始人脸信息。但是,一些未经加密,直接保存原始人脸数据的应用,就可能会存在个人信息泄露的风险。部分APP存在随意收集、滥用人脸信息和身份信息的情况,一些内部员工将这些信息予以倒卖。更有甚者,则通过赠送礼品等方式,诱使公民提供人脸信息及相关动态认证视频。
令人担忧的是,非法收集、售卖人脸信息正在成为一条黑色产业链。据媒体曝光,有卖家在网络交易平台和社交媒体上,专门出售人脸数据和“照片活化”工具,利用这种工具,可将人脸照片修改为执行“眨眨眼、张张嘴、点点头”等操作的人脸验证视频。几元一套的合成人脸动态视频、几十元的“照片活化”工具、100元一套的“四件套”(包含身份证正反面照片、手持身份证照片和点头、摇头张嘴视频),正在以低廉的价格、肆意蔓延的购买渠道,落入犯罪分子之手,降低了犯罪成本,而网络服务提供者由于缺乏对平台环境的有效约束,为这一黑色产业链提供了土壤。从技术角度看,将人脸信息和身份信息相关联后,利用系统漏洞‘骗过’部分平台的人脸识别机制是有可能的。这些人脸信息很可能被用于虚假注册、电信网络诈骗等违法犯罪活动。
今年的央视“3.15”晚会上,人脸识别技术的滥用成为曝光重点。据报道,在科勒卫浴、宝马、MaxMara等门店,都安装了人脸识别摄像头,一进店,顾客性别、年龄、第几次到店,甚至心情状态等信息都被打上标签,上传至后台,成为营销依据。除了为科勒卫浴提供摄像头设备的苏州万店掌,被曝光的还有广州雅量科技、上海悠络客、苏州万店掌、深圳瑞为等3家。报道中,仅其中一家就已经在全国范围内安装了上百万个终端设备,收集上亿条个人数据。很多消费者在不知情的情况下,悄然被收集面部信息,一旦泄露,后果不堪设想。
三、人脸信息保护的法律发展
技术进步与信息安全的冲突不断升级,商业效益与公共利益的矛盾逐渐显现。解决人脸识别技术在应用中的问题,日益成为社会关注的焦点,人脸信息保护迫在眉睫。
纵观人脸信息保护的进程,我们看到国外已经开始了探索,形成了一些可借鉴的经验。
国际层面对人脸识别技术的规制主要通过数据保护法律法规进行的。
域外相关法律先行一步
以美国为例,目前共有六个州或城市制定了与生物识别数据相关的法案。其中,伊利诺伊州颁布的《生物信息隐私法案》(Biometric Information Privacy Act, 简称“BIPA”)非常具有参考意义。该法案于2008年颁布,是美国境内第一部旨在规范“生物标识符和信息的收集,使用,保护,处理,存储,保留和销毁”的法律。BIPA规制的范围并不在于能否使用生物识别数据,而在于使用生物数据的方式,具体体现在以下三个方面:初次收集某自然人的生物标识符或生物识别信息时,须告知该自然人其生物数据被收集的情况、收集目的、数据的保留时间,并获得该自然人的书面授权;企业须制定书面政策设定生物识别数据的保留时间表,且当收集数据的目的已达到或距信息主体与企业最后一次联络已满三年时(以先发生者为准),应当摧毁该数据;生物识别数据不得出售,且除非获得相关自然人的同意或如法律规定的特定例外情况不得对他人披露。2019年5月旧金山出台法令,禁止警察和其他政府机构使用人脸识别技术,随后萨默维尔、奥克兰、波士顿等多个城市,以及纽约州、弗吉尼亚州等,纷纷颁布了类似禁令。在美国,针对政府部门和校园的人脸识别禁令已经落地。
欧盟的保护人脸识别数据的相关法律也在近几年密集出台,2018年施行了《通用数据保护法规》(General Data Protection Regulation, 简称“GDPR”)。其中规定,生物特征数据属于个人数据的“特殊类别”,除非某些特殊情况外,不得处理该等数据。人脸识别技术的商业应用可适用的唯一例外是“数据主体已明确表示同意”,同意须“自由给予、明确、具体、不含混”,数据主体任何形式的被动同意均不符合GDPR的规定。
人脸信息保护法案在司法实践领域落地见效
当地时间2月26日,美国联邦法官正式批准Facebook侵犯用户隐私案的和解协议,同意这家社交网络巨头通过支付6.5亿美元解决集体诉讼纠纷。这场诉讼可以追溯到2015年。Facebook被控在没有事先通知或征得用户同意的情况下收集和存储个人用户的面部数字扫描信息,违反了伊利诺伊州《生物识别信息隐私法》,共有约160万Facebook用户提交索赔申请。根据和解协议,Facebook将把 “人脸识别 ”的默认用户选项设置为 “关闭”,并将删除所有参与集体诉讼用户的现有人脸数据(模板)与存储的数据(模板)。如果参与集体诉讼的用户在三年内没有在Facebook上开展任何活动,Facebook也将对其人脸模板进行删除。这是有史以来最大的隐私诉讼之一,以消费者的重大胜利而告终,具有里程碑意义。
无独有偶,在我国备受关注的“国内人脸识别第一案”,也实现了消费者的胜利。2019 年 10 月 28 日,郭兵诉杭州野生动物世界,因其入园方式由指纹识别变更为人脸识别,要求客户进行人脸激活。郭兵认为,“园区升级后的年卡系统进行人脸识别将收集他的面部特征等个人生物识别信息,该类信息属于个人敏感信息,一旦泄露、非法提供或者滥用,将极易危害包括原告在内的消费者人身和财产安全。”2020年11月20日,杭州市富阳区人民法院作出一审判决,判令杭州野生动物世界赔偿郭兵合同利益损失及交通费共计1038元;删除郭兵办理指纹年卡时提交的包括照片在内的面部特征信息;驳回郭兵要求确认店堂告示、短信通知中相关内容无效等其他诉讼请求。郭兵与杭州野生动物世界均不服,向杭州中院提起上诉。2020年12月11日,杭州中院立案受理该案,并于同年12月29日公开开庭进行审理。2021年4月9日,杭州中院做出了二审判决,增判杭州野生动物世界删除郭兵办理指纹年卡时提交的指纹识别信息。杭州中院经审理认为,生物识别信息作为敏感的个人信息,深度体现自然人的生理和行为特征,具备较强的人格属性,一旦被泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到不测危害,更应谨慎处理和严格保护。该案涉及人脸等个人生物识别信息采集、使用等问题,受到舆论广泛关注,引起了大众对于个人隐私权的重视,也引起了人们对于相关技术法律监管的思考。
我国法律法规逐步健全完善
令人鼓舞的是,我国关于人脸识别的立法进程也在不断推进。
从中央层面,今年1月1日施行的《中华人民共和国民法典》将人格权独立成编,以“隐私权和个人信息保护”专章方式,对隐私权和个人信息的定义、保护原则、法律责任、主体权利、信息处理等问题作出规定。《民法典》第1034条明确规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。《个人信息保护法(草案二审稿)》第六十一条规定,国家网信部门统筹协调有关部门依据本法推进以下个人信息保护工作:……(二)针对敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准……
从地方层面,今年1月施行的《天津市社会信用条例》第十六条规定,市场信用信息提供单位采集自然人信息的,应当经本人同意并约定用途,法律、行政法规另有规定的除外。市场信用信息提供单位不得采集自然人的宗教信仰、血型、疾病和病史、生物识别信息以及法律、行政法规规定禁止采集的其他个人信息。
从行业层面,结合经济法的适用范围,今年1月,中国支付清算协会还制定了《人脸识别线下支付行业自律公约(试行)》,指出会员单位应建立人脸信息全生命周期安全管理机制。在采集环节,要坚持“用户授权、最小够用”,明确告知用户信息使用目的、方式和范围,并获得用户授权,避免与需求无关的特征采集。在存储环节,将原始人脸信息加密存储,并与银行账号或支付账号、身份证号等用户个人隐私进行安全隔离。在使用环节,收单机构、商户等中间环节不得归集或截留原始人脸信息,实现端到端的个人隐私保护。
上述法律法规从民事角度对个人信息保护作出详细规定,具有开创意义,有助于从法治层面推动解决痛点难点问题。此外,如果侵犯个人信息的行为达到一定情节,也将受到刑事法律的规制。《中华人民共和国刑法》第二百五十三条“侵犯公民个人信息罪”、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》亦对个人信息保护作出明确规定,人脸信息属于个人信息的一种,理应受到上述刑事法律规范的保护。
四、探索全方位多形式的人脸信息保护模式
从中外法律对比发现,我国的个人信息保护立法正在积极推进,其精神主旨有异曲同工之妙。然而,我国法律对公共空间的人脸识别采集、应用没有明确规定,欧美法律则禁止在公共空间进行生物识别(特殊情况除外)。随着我们法律的进一步细化,我们相信,也将不断规范约束人脸信息的采集和使用。
除了让相关政策法规予以规范,具有公共管理职能的行政部门、掌握核心技术的科技巨头也责无旁,消费者本身亦应提高自身防范意识,共同促进人脸信息保护形成整体格局。
一是坚持政府主导。首先要依法规范人脸识别的监管机构。目前,国家网信办负责落实互联网信息传播方针政策和推动互联网信息传播法制建设,指导、协调、督促有关部门加强互联网信息内容管理,近日查处了百余款违法违规收集使用个人信息的App,起到了较强的震慑作用。但是,其监管行为尚未覆盖人脸识别采集应用的各个方面。因此,设置专门的人脸识别管理机构或运用联合执法机制协同多部门解决人脸识别的监管问题,可以作为一种解决途径。其次,要明确人脸识别技术应用的边界,政府为维护公共利益,可以适当收集人脸信息,并将其进行安全存储和应用。而在其他公共空间,如商场、小区、医院、学校等,则要严格加以限制,非经公民本人同意,不得采集人脸信息。使用人脸识别技术进行识别或验证的实体必须确保其使用的产品或服务的设计符合目的限制、数据最小化和存储期限有限的原则,以及加密、分片段等技术体系作为安全原则和底线。最后,要加大惩治力度。对侵害人脸信息的单位、个人进行依法严厉打击,逐步将此类违法行为纳入行政公益诉讼范围,检察机关还可通过制发诉前检察建议和社会治理类检察建议,依法督促行政机关履职整改,推动信息处理主体加强安全保护措施,堵塞漏洞、防控风险。
二是加强行业自律。加强市场主体的行业管理,加快推进人脸识别行业相关标准的健全完善,以解决人脸数据滥采,泄露或丢失,以及过度存储、使用等问题,并对《个人信息保护法》草案中人脸识别有关规定进行进一步细化。此外,还应当对人脸识别的开发商提出了技术资质门槛,确定行业准入标准,亦可以建立行业准入审判制度,确保技术开发企业具备相应的数据安全防护和个人信息保护能力,以防范人脸识别被非法破解或窃取。而一些互联网巨头也应当在采集用户信息的过程中坚持合理适度原则,避免包括人脸信息在内的个人信息的过度采集和滥用,保护处于相对弱势地位的消费者的合法权益。
三是强化公民的自我保护意识。加大对人脸识别相关技术、常识的宣传,加强消费者教育,配合《个人信息保护法》等的实施,在全社会范围内加强普法宣传,提高公民甄别违法行为的能力,增强风险防范的能力。
人脸信息保护的复杂性、专业性和高风险性使其单靠政府一方的力量难以实现,需要监管部门、互联网企业、网络平台、数据和信息处理主体、行业自律组织、公民个人共同参与,我们相信,随着法律法规的日臻完善、行政监管的日趋严格、市场行为的逐步规范、公民安全意识的日益提升,在不远的将来,我们将迎“共建共治共享”的治理机制,实现公共利益、技术应用、市场主体利益的均衡和谐发展。
注:参考文献
《生物信息隐私法案》(Biometric Information Privacy Act)
《通用数据保护法规》(General Data Protection Regulation)
《中华人民共和国民法典》
《个人信息保护法(草案二审稿)》
《天津市社会信用条例》
《人脸识别线下支付行业自律公约(试行)》
《中华人民共和国刑法》
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》
