近年來,“人臉”已然成為一種時尚而流行的認證方式,隨著“人臉識別”技術的普及,刷臉登記、刷臉支付、刷臉辦事等順利實現,并與互聯網、*等行業同步發展,滲透到居民公共安全、資金安全以及個人賬戶安全的方方面面。然而有數據顯示,近半數的商家在使用人臉識別功能時沒有征得用戶同意,在“大數據”大規模運用的當下,個人信息泄露可能會帶來更多問題。
2019年4月27日,郭兵一家前往杭州野生動物園游玩時購買了一張雙人年卡。時隔不久,該動物園在未與郭兵協商也未征得其同意的情況下,短信要求年卡用戶進行人臉識別注冊,如不注冊將無法入園,也無法辦理退卡退費手續。郭兵(下稱“原告”)以杭州野生動物世界有限公司(下稱“被告”)變相強制收集人臉識別信息侵害用戶合法權益為由,依據《網絡安全法》及《消費者權益保護法》等相關法律規定提訟。
本案在中回應了備受爭議的人臉識別技術相關合法性問題,在國內并無先例,故被譽為中國“人臉識別案”。認定“被告基于年卡用戶可在有效期內無限次入園暢游的實際情況,使用指紋識別、人臉識別等生物數據識別技術,以達到甄別年卡用戶身份、提高年卡用戶入園效率的目的,該行為本身符合法律規定的‘合法、正當、必要’三原則的要求。”但明顯回避了某些問題,如未討論動物園收集被告照片信息未告知將用于人臉識別的行為是否構成侵權,書也未深入對被告收集人臉信息的正當性、必要性范圍展開論述,讓人禁不住發問,“優化用戶產品體驗”的正當性和必要性如何體現?此類理由能否構成信息收集、處理者收集、處理人臉識別信息的免責事由?自然人對人臉識別信息相關事項的“知情”范圍如何認定?原告郭兵對這一結果并不滿意,目前已提出上訴。4月9日下午3點,“人臉識別案”在杭州市中級人民迎來二審。從結果來看,維持了一審對郭兵合同利益損失的認定和賠償金額的確定;以及要求杭州野生動物世界刪除當初所采集拍攝的面部照片;同時,增判了一項,要求野生動物世界刪除當時采集的郭兵的指紋識別信息;郭兵的其他訴訟請求被駁回。
隨著市場精細化程度的深入,人臉識別技術的應用已呈縱深化趨勢,不僅普遍存在于刷臉支付、人臉搜索等智能終端應用,而且被廣泛應用于醫療保健、產品服務營銷、金融安保、刑事等領域,并逐漸滲透至社會生活的方方面面。事實上,人臉識別信息具有特殊性和高度敏感性,技術上存在非接觸性,能夠隱蔽地獲取人臉信息并能將其與個人身份、偏好、位置、財產等信息關聯,加之技術應用場景復雜廣泛、數據群體體量龐大等特點,一旦人臉信息被非法收集、不正當使用或發生數據泄露、買賣等問題,將對信息主體的個人名譽、身心、財產造成長久、持續的嚴重損害,而現有法律及行政治理手段滯后,對損害存在切實的救濟困難,人臉識別技術應用確實讓人擔憂。
國外立法者普遍采取審慎的態度監管人臉識別技術的實際應用。歐盟委員會在《人工智能戰略》中提及歐盟正在考慮是否限制政府部門和私營機構在公共場所使用攝像頭收集生物識別信息并識別個人身份 。英國“人臉識別案”的二審中,上訴提及依據《英國2018年數據保護法》未能正確評估面部識別技術對數據主體權利的安全風險,未能提供證明說明清單監視人員范圍與面部識別設備部署地點選擇的正當性,并指出該技術需要抓拍和采集英國公民的面部照片與數據,涉及個人敏感信息,被告設置面部識別設備未能證明其已采取合理步驟評估該項技術可能存在的歧視問題。 目前我國尚無任何一部法律對“人臉識別技術”的法律內涵和外延作出明確界定,在我國現行立法體例中,人臉識別信息是作為個人信息的子概念受到保護。雖然《網絡安全法》《數據安全法(征求意見稿)》等規范性文件對“自然人對個人信息享有民事權益”進行了法律確認,我國今年頒布的《民法典》 也在“民事權利”一節明確規定了“自然人的個人信息受到法律保護”,并對 “個人信息”保護問題作出了回應,在人格權編確立了一般個人信息的收集、存儲、使用、加工、傳輸、提供、公開應遵守第1035條的規定,采取“合法正當必要”以及“知情同意”的保護原則,但是如何判斷“合法正當必要”的標準、如何判斷自然人是否對人臉識別信息獲取及處理的行為“知情”以及公共場合如何獲取自然人或其監護人的“同意”等事項,仍有待法律進一步規范或解釋明確。
以“人臉識別案”為起點,高速發展迭代的人臉識別技術已經對法律及其他社會治理手段提出了嚴峻的挑戰,但管控不應成為技術創新發展的桎梏。未來我國法律大致可采取以下保護路徑:一是立法明確區分政府部門及政府行為與非政府部門及其委托機構的行為邊界,避免行政監管可能造成對技術創新的束縛,從人臉識別信息的*性出發,通過立法規制人臉識別信息的法律性質,體現人臉識別信息的*性,規范此類信息的人格利益以及財產利益在商業實踐中的表現形式,并細化人臉識別技術的法律風險與損害權益的具體形式;二是在現有的法律框架下,針對非政府部門在公共場所采集、維護人臉識別信息的行為制定統一的行為規范,明確信息收集者和具體可借鑒歐盟《通用數據保護條例》(GDPR)的思路,除了提供一般意義上的個人信息處理行為規范,強化人臉識別技術對個人信息安全的影響評估,包括人臉大數據建構的合規性評估、人臉識別技術更新的安全評估、人臉識別信息及其數據庫的更新維護評估等內容,這也是《數據安全法》(征求意見稿)第25條及28條的應有之意;三是除應明確采集、維護信息的標準外,法律還應明確普通人對于非政府部門使用自身人臉識別信息有“選擇權”,例如在日常生活中進行認證等重要事項時,應制定行業統一的認證標準,要求銀行提供除人臉識別認證方式外其他可選的認證方式,如可以增加遠程視頻對話等其他手段作為核實身份的主要途經,避免將人臉識別作為的甄別方式,以此減輕普通人提供人臉識別信息的責任,防止普通人因某處數據泄露而被暴露在更重大的風險之下。
新技術的使用提高了整個社會運行的效率,但是對人臉識別技術的正面作用,應當有理性的認識和思考。我們不應拒絕這種技術,但在個人信息保護的意識覺醒的情況下,我們需要能夠兼顧安全和隱私保護,人臉識別涉及身份信息采集識別與個人隱私保護等話題,需要法律的保駕護航,希望通過立法,進一步明確具備采集資格的主體范圍,從制度層面保證信息的流轉安全,從法律和制度上去約束人臉數據的收集,防止信息泄露。也希望建立更嚴格的標準和規范,加強對人臉信息的采集和存儲的監管。尤其是技術開發方和運營方應在更趨嚴格的監管和法律、行業規范下采集、使用、存儲人臉信息數據。
人臉識別勢不可擋,如何讓這個技術在互聯網時代下長久、平穩的發展?需要進行風險的防范,需要規范安全的監管,更需要保持一個清醒的態度。只有這樣,才能更好的推動“人臉識別”技術提升管理效率,提升交互體驗。才能使行業更規范的發展,讓科技有溫度的為民服務,為社會服務。
文章來源:中國安防行業網
