启用超市储物柜、进入小区楼宇……轻轻一扫人脸,方便又快捷。如今,人脸识别在日常生活中的应用场景越来越多。
然而便捷的背后,滥用人脸识别带来的风险也不容忽视。去购物,有的商家悄悄对人脸信息进行数据统计分析,以便实现精准营销;进小区,有的物业将人脸识别作为唯一验证方式;有的服务商甚至强制将录入人脸信息作为提供服务的前置条件……
滥用人脸识别将带来哪些隐患和危害?使用人脸识别的法律边界在哪?如何治理人脸识别滥用现象以更好地保护个人信息?
(资料图片)
危 害
人脸信息一旦泄露,将很难得到有效救济
2021年初秋,浙江省湖州市一名游客通过“益心为公”检察云平台,提交了一条景区涉嫌侵害游客人脸信息的举报线索。收到线索后,最高人民检察院将该线索移交给浙江省人民检察院。
浙江省湖州市人民检察院成立专案组立案调查,电子取证后发现——景区现场购票除要求游客提供身份证外,还强制要求游客进行刷脸认证。与此同时,景区运营公司并未对储存在服务器中的游客人脸信息设置定期清除机制。
除了强制刷脸,更值得关注的是,人脸信息采集具有远距离、非接触、无感的特征,很可能在浑然不知的情形下,人脸信息已然被恶意获取。
2022年底,上海市普陀区人民检察院发现,辖区内有超市为应对物品失窃、恶意索赔等情况,在超市出入口安装采集消费者人脸信息的摄像头及相关设备。在其中一家超市的人脸数据处理设备上,可以清楚地看到每名消费者的进出信息,该设备还会对消费者的消费数据进行分析并予以差异化提示,有消费者还被打上了“疑似小偷”等标签,而消费者对此毫不知情。
滥用人脸识别会带来哪些隐患和危害?“人脸信息一旦泄露,将很难得到有效救济。相较于数字密码等信息,人脸信息这样的生物特征具有唯一性、难以改变的特性。密码丢失尚可更改,但‘换脸’却很难实现。”北京大学法学院教授薛军认为,滥用人脸识别,将让人更“透明化”。无论是个人经济价值,还是个人隐私,都将被精确计算。
薛军解释,人脸数据的准确抓取,叠加强大的算法分析,个人的经济价值被精准定义,或用于实现精准营销、大数据杀熟等利润攫取。此外,如果人脸抓取无处不在,个人的出行轨迹、人际关系、财产利益等个人信息都将暴露。
“更关键的是,人脸识别的滥用,将容易形成‘我还是我吗?’的困境。”薛军说,依托被抓取的人脸信息和AI换脸技术,敲诈勒索、电信网络诈骗、网络暴力等违法犯罪活动更易发生。近日,内蒙古包头警方发布一起利用AI实施电信诈骗的典型案例——郭先生的“好友”通过微信视频联系他,称自己的朋友在外地竞标,想借用郭先生公司账户走账。通过视频聊天“核实”身份后,郭先生遂将430万元转给“好友”。但事实上,该“好友”是犯罪分子用AI换脸假冒的。
边 界
应当遵循合法、正当、必要原则,不得过度处理
防止人脸识别被滥用,依法保护人脸信息,需要明晰其合法使用的边界在哪里。
民法典规定,自然人的个人信息受法律保护,同时将生物识别信息列举为个人信息。北京德和衡律师事务所律师陈江涛说,根据民法典第一千零三十五条的规定,处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。
2021年7月28日,最高人民法院发布关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定,对人脸识别的应用场景、使用目的、责任认定等作出规范。在民法典第一千零三十五条的基础上,进一步将“同意”细化为“单独同意”。根据该司法解释,信息处理者采取未单独征求用户同意、强制刷脸等方式处理用户人脸信息的行为,在相关民事诉讼案件中都会被认定属于侵害自然人人格权益的行为。
针对备受关注的滥用人脸识别技术问题,个人信息保护法第二十六条规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
在陈江涛看来,针对防止滥用人脸识别、依法保护人脸信息,相关法律已经明确了基本原则、厘清了边界,织就起较为完备的“法律保护网”。但针对人脸信息“无感知收集”“一揽子收集”等现实情况,仍可采取更多举措予以更详细清晰地规范。例如,就人脸识别和人脸图像处理等事项,可进行单独弹窗以获得单独同意;APP在征得个人同意时应明示处理个人信息的目的、方式和范围等;个人信息主体享有撤回授权的权利,以及不得频繁地弹窗以获得个人同意等。
治 理
须强化执法司法力度,完善行业自律机制
如何治理人脸识别滥用?强化执法司法力度是关键。
“景区强制游客录入人脸信息的行为已经超过了正常经营需要,经过聚集后的海量信息在没有严格监管制度、技术措施保障下,面临违规使用和被泄露的风险,严重危害了社会公共利益。”湖州市南浔区人民检察院第五检察部主任赵坤尧说,根据民法典、个人信息保护法等相关法律法规规定,人脸属于生物识别类敏感个人信息,服务场所经营者对此类信息的采集应出于维护公共安全的需要,并保障公民的知情权、决定权、选择权、删除权,任何一项都不得侵害。
对此,浙江省三级检察院会同当地旅游度假区管委会、景区运营公司召开磋商会,并邀请浙江省消费者权益保护委员会相关工作人员和法律专家参加。磋商会上,大家一致认为,景区运营公司应删除前期采集储存的人脸信息数据,规范人脸信息的收集和使用。同时,湖州市检察院与市网信办开展磋商,市网信办对景区运营公司提出整改要求。随后,湖州市检察院向景区运营公司制发检察建议,最终该景区前期采集、储存的120万余条游客人脸信息被完全删除。
“人脸识别技术产业是高新产业,但相关行业内的企业良莠不齐,监管机构应对行业企业加强监管核查。”薛军建议,建立相关行业协会,设立人脸识别技术行业标准,通过行业内部监督,减少对人脸信息的侵权行为。
2021年4月,中国信息通信研究院云计算与大数据研究所发起“可信人脸应用守护计划”,联合企业、金融机构、法律机构和学术团体,共同推动人脸识别生态安全和合规共治。截至2022年底,该计划成员单位达到148家。今年1月,在“可信人脸应用守护计划”最新一轮评测结果中,有多家企业及产品通过“人脸识别安全专项评测”“人脸识别系统保护人脸信息专项评测”等。
“我国人脸识别的相关立法也在不断完善,但各个法律法规之间的衔接需要进一步明确;一些上位法的规定较为笼统,还需要制定完善专门的与人脸识别技术相关的个人信息保护规则、标准等。”陈江涛认为,在完善法律的过程中,既要促进人脸识别技术在应用场景中让用户受益,保障技术不断创新进步,也要将人脸信息的安全放在更重要位置,将技术可能造成的潜在风险降到最低。(记者 倪 弋)
《人民日报》(2023年06月21日11版)
责编:秦雅楠