如今,手机刷脸解锁、购物刷脸支付、进出小区刷脸开门……人脸识别的应用已经深入到社会生活的方方面面,在工商、人社、交通、金融等政务领域编织起一张大网后,又“进军”园区门禁、会员识别、员工考勤等商业领域安营扎寨。
人们在享受“刷脸”带来的便利的同时,也会对其背后隐藏的“侵犯隐私”“信息泄露”风险产生担忧。
从中国“人脸识别第一案”到清华大学劳东燕教授维权,从5000多张人脸打包兜售到售楼处暗中使用人脸识别,“人脸识别技术侵犯个人信息安全”的案例一再披露,每每都能挑逗起人们警觉的神经。
因此,如何让个人信息在发挥价值的同时又不被非法获取或利用?如何明晰人脸识别技术的应用边界?如何通过立法和监管更有效地保护我们的脸,让普罗大众不再为“颜面何存”而忧?这些都是亟须关注和解决的问题。
《民法典》提出合法、正当、必要三原则
大数据时代,个人信息被誉为“新时代的石油”。而人脸信息是高度敏感的个人信息,人脸识别技术就是基于人的脸部特征信息及其不可更改的特性进行身份核验的一种生物识别技术。这一技术还具有无接触、交互性强、高效迅速、符合人类识别习惯等优势。
当前,人脸识别技术愈加成熟,应用场景逐渐广泛,成本也在不断降低,一个个本具生命体征的人便转化成了一串串代码,面临着被替代、被冒用的风险。
中国社科院大学互联网法治研究中心执行主任刘晓春指出,个人信息泄露的风险是不容忽视的。人脸识别技术在现阶段并不算成熟,很多人脸采集的主体没有严格的安全措施要求和技术测试,有时使用照片或者一段视频就可以被识别,存在密码泄露、账户盗用的风险。
今年3月,清华大学教授劳东燕就在园区门禁问题上绷紧了谨慎的弦,因她所居住的小区实施安装人脸识别门禁计划,她特地写了法律函寄到物业公司和居委会以引起他们对“人脸识别潜在风险”的注意。最终,小区在“刷脸”进出方式之外,增加了刷门禁卡、手机等方式。
此前,关于保护个人信息的专门立法一直未出台,以至于“强制刷脸是否合规合法”的问题步入到相对尴尬的境地之中,于今年实现落地的《民法典》在一定程度上填补了这一领域的空白。
一方面,它规定了个人信息的处理原则和条件。要求处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理。另一方面,它也明确了个人信息主体的权利,即自然人可以向信息处理者查阅或者复制其个人信息,有权提出异议并请求及时采取更正等必要措施,发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。
但《民法典》中的相应规定在适用过程中仍存诸多难题。劳东燕认为,保护个人信息不只是“同意”的问题,除了得到个人授权外,个人信息在保管和使用方面都应该得到明确,“《民法典》只能做比较概括性的规定,未来还需要有一些细节性的规范。”
中国信息安全研究院副院长左晓栋表示,由于人脸识别技术应用场景很多,所以还需要专门的文件予以规范,“例如,什么叫人脸识别技术应用的‘合法正当必要’?这需要专门作出规定。”
中国电子技术标准化研究院网安中心测评实验室副主任何延哲也指出,人脸识别特殊的场景需要在法律法规中得到细化,“合法、正当、必要”三原则虽然能把所有的个人信息保护的事情涵盖,但这样的原则通常比较笼统,所以有一些企业在应用人脸识别的时候,可能会钻一些空子,变得更倾向于商业利益,而不是倾向于个人消费者的权益。
仍需对人脸识别不同场景进行规范
2020年10月13日第十三届全国人大常委会第二十二次会议对《个人信息保护法(草案)》进行了初次审议。九天之后,中国人大网公布《中华人民共和国个人信息保护法(草案)》并对其公开征求意见。
相较于《民法典》而言,《个人信息保护法(草案)》深入总结了《民法典》《网络安全法》等法律法规和《个人信息安全规范》等国家标准的实施经验,更加具体地规定了个人信息保护的原则,将个人信息保护实践中行之有效的做法和措施上升为法律规范。同时,后者还做好了与前者的衔接工作,也就实践中出现的个人信息保护新问题、新场景进行了必要的规制和留下弹性的空间。
但部分条文仍有待进一步探讨和调整。对此,刘晓春表示,目前而言,《民法典》、《网络安全法》、《消费者权益保护法》和即将出台的《个人信息保护法》所构建的法律体系已经相对完备,但需要针对具体的领域,比如金融、生物信息识别、人脸识别等不同场景进行整治,从而清晰地指引具体实践操作。
同时,她还认为,人们对人脸信息被收集之后因保护不周而被泄露的担忧在当前更多的是一种猜测,到目前为止没有证据显示人脸的滥用和泄露形成了一种明显的趋势。因此在风险可控的情况之下,信息采集、处理、保护得当,人脸识别作为一种身份验证的手段,不能被当作“洪水猛兽”。
在她看来,个人信息售卖的黑色产业链才是对个人信息威胁最大的部分,以黑客的犯罪活动为代表的个人信息买卖,已经成为一种产业链。暗网中出售个人信息的行为被称做黑产灰产,犯罪分子会在侵害个人信息的基础上进行诈骗或者传播违法内容。
2019年以来,人脸识别技术在不断更新迭代的同时,人脸信息泄露并被违法售卖的事情也有增无已。近期,上海检方公诉的一起涉案金额超5亿元的虚开发票案就牵出了非法人脸识别案。
在此案中,犯罪嫌疑人先从他处以30元每个的价格购买他人的高清头像和身份证信息,之后利用“活照片”APP对高清头像进行处理,让照片“动起来”,形成包括点头、摇头、眨眼、张嘴等动作视频然后利用特殊处理的手机“劫持”摄像头,在人脸认证环节时,手机摄像头不会启动,系统获取的是之前做好的视频。系统会认为是本人在摄像头前,最后通过认证,完成“皮包公司”注册,用于为他人开具增值税普通发票。据犯罪嫌疑人交代,其破解的APP类别非常广泛,涉及政务、安防、金融、支付、生活消费等用户量巨大的APP。每单的破解价格从25元到300元不等。
由此来看,人们在APP的使用中同样面临着个人信息泄露的风险。何延哲指出,APP的应用中一是存在保护意识薄弱的问题,安全措施不到位,该加密的没有加密,该做访问设置的没有做访问设置;另一方面就是APP本身存在的过度收集个人信息的问题。
因此,从摄像头、手机等硬件设备到所配备的收集管理软件都需要依法进行把关,从而防范信息泄露、财产损失、身份冒用等问题。
何延哲称,在APP治理方面,需要通过检测、评估和整改这一系列的措施来弥补“规则尚不明晰”的缺陷,“但这是全球范围内进行数据治理的共同挑战,考验的是监管部门的智慧。”
国外案例是否适应中国国情还需探讨
2020年2月,谷歌公司遭到集体诉讼,诉讼称其Google Photos服务使用的面部识别技术在未经许可的情况下收集了用户的面部印记数据,同年,微软公司也因相似原因遭到集体诉讼。不久,谷歌、微软、亚马逊三名科技巨头又被指控违反了美国伊利诺伊州的《生物识别信息隐私法》。
《生物识别信息隐私法》早在2008年10月3日就已在伊利诺伊州诞生,这个州是美国第一个规范生物识别信息收集的州,该法律禁止私立公司收集生物识别数据,除非书面告知用户正在收集或存储哪些数据、收集和使用数据的具体目的和储存时间、并获取用户的同意。
自 2019 年至今,美国已有旧金山、萨默维尔、奥克兰等十几个城市通过地方条例禁止政府机构使用人脸识别技术。
除美国外,人脸识别的案例也分布在加拿大、瑞典、印度等地。各个国家也为此拟定或出台了专门的法案法规。例如,加拿大《数字宪章实施法案2020》中包含的《消费者隐私保护法》和《个人信息和数据保护法庭法》、瑞典的《犯罪数据法》、印度的《个人数据保护法案(草案)》等等。
国外的法案能切实在我国推行实施吗?对此左晓栋表示,相对而言,美国部分州颁布的法律很严格,这代表了一种对生物特征识别技术应用的立法态度。但这类规定过于严格,至于它是否适合中国国情的政策,还需要在实践中探讨,不宜对人脸识别技术应用“一刀切”。
专家建议:用行政监管的手段引导技术向善
刘晓春指出,在美国众多个人信息泄露诉讼案中,受害者可以采取集体诉讼来起诉企业,但目前在我国并没有集体诉讼制度,个人诉讼仍然存在很大障碍。其中关键因素就是在取证方面,主体需证明网站、平台、小区收集了人脸数据且造成损害,取证的过程比较难,成本比较高,需要技术性,普通人可能不太具备取证所需的专业能力。所以人脸信息被盗用并对个人利益造成损害,在没有产生实际损害的基础上,个体很难有动力去起诉。
刘晓春提到,杭州“人脸识别第一案”中,起诉人的起诉目的带有公益性质,起到了弘扬社会责任感的示范作用,超越了个案的意义。但这种案例无法大量复制,民众若想要发起集体诉讼,诉讼制度本身无法提供匹配的支持。
“虽然个人无法提起集体诉讼,但可以通过公益诉讼,如消费者保护协会提起诉讼,检察院提起检察公益诉讼,从而实现司法保护的能动作用,推动实践发展。”刘晓春表示。
此外,在国内外的法律中,法定的赔偿制度是很难证明损害金额的。人脸识别技术带来的损害无法被确定,就中国的具体情况而言,《民法典》的内容作为主要的赔偿依据,但法律上没有更有针对性的相关规定。刘晓春认为,长远来看,我们现在仍要继续推动人脸信息的相关立法,补足生物识别监管合规要求的空缺,推动技术标准的制定,建构完善的侵害认定的司法规则。
总而言之,针对于国内外案例和法案探讨如何保护“我们的脸”的问题,多位专家建议,除了立法,在执法层面也要针对个人信息泄露的事实现状进行针对性的执法。
此外,在企业层面还需强化企业自律,在个人信息获取和使用时遵循合法、正当、必要三原则;同时,提升企业在大数据环境下的网络安全防护技术;以及规范应用隐私条款,为用户删除数据、注销账户提供渠道,明确告知用户争议解决机制等。
最后,在个人层面。一方面,要注意留存大数据杀熟、动态定价、价格操纵和个人信息泄露的相关证据;另一方面,应了解我国个人信息保护的相关法律,一旦发现个人信息泄露和违法使用的行为,也能立即向相关监管部门举报或者到法院起诉,依法维护好自身权益。
何延哲表示,整体而言,现在还是摸着石头过河,但希望技术应用能够有利于经济发展,也有利于社会进步,所以我们需要通过行政监管的手段引导技术向善,坚持好安全发展相统一的原则。
新京报记者 薄其雨 实习生 陈玖阳 谢婧雯 慕宏举 汪媛
编辑 刘倩
校对 杨许丽