近年来,“人脸”已然成为一种时尚而流行的认证方式,随着“人脸识别”技术的普及,刷脸登记、刷脸支付、刷脸办事等顺利实现,并与互联网、*等行业同步发展,渗透到居民公共安全、资金安全以及个人账户安全的方方面面。然而有数据显示,近半数的商家在使用人脸识别功能时没有征得用户同意,在“大数据”大规模运用的当下,个人信息泄露可能会带来更多问题。
2019年4月27日,郭兵一家前往杭州野生动物园游玩时购买了一张双人年卡。时隔不久,该动物园在未与郭兵协商也未征得其同意的情况下,短信要求年卡用户进行人脸识别注册,如不注册将无法入园,也无法办理退卡退费手续。郭兵(下称“原告”)以杭州野生动物世界有限公司(下称“被告”)变相强制收集人脸识别信息侵害用户合法权益为由,依据《网络安全法》及《消费者权益保护法》等相关法律规定提讼。
本案在中回应了备受争议的人脸识别技术相关合法性问题,在国内并无先例,故被誉为中国“人脸识别案”。认定“被告基于年卡用户可在有效期内无限次入园畅游的实际情况,使用指纹识别、人脸识别等生物数据识别技术,以达到甄别年卡用户身份、提高年卡用户入园效率的目的,该行为本身符合法律规定的‘合法、正当、必要’三原则的要求。”但明显回避了某些问题,如未讨论动物园收集被告照片信息未告知将用于人脸识别的行为是否构成侵权,书也未深入对被告收集人脸信息的正当性、必要性范围展开论述,让人禁不住发问,“优化用户产品体验”的正当性和必要性如何体现?此类理由能否构成信息收集、处理者收集、处理人脸识别信息的免责事由?自然人对人脸识别信息相关事项的“知情”范围如何认定?原告郭兵对这一结果并不满意,目前已提出上诉。4月9日下午3点,“人脸识别案”在杭州市中级人民迎来二审。从结果来看,维持了一审对郭兵合同利益损失的认定和赔偿金额的确定;以及要求杭州野生动物世界删除当初所采集拍摄的面部照片;同时,增判了一项,要求野生动物世界删除当时采集的郭兵的指纹识别信息;郭兵的其他诉讼请求被驳回。
随着市场精细化程度的深入,人脸识别技术的应用已呈纵深化趋势,不仅普遍存在于刷脸支付、人脸搜索等智能终端应用,而且被广泛应用于医疗保健、产品服务营销、金融安保、刑事等领域,并逐渐渗透至社会生活的方方面面。事实上,人脸识别信息具有特殊性和高度敏感性,技术上存在非接触性,能够隐蔽地获取人脸信息并能将其与个人身份、偏好、位置、财产等信息关联,加之技术应用场景复杂广泛、数据群体体量庞大等特点,一旦人脸信息被非法收集、不正当使用或发生数据泄露、买卖等问题,将对信息主体的个人名誉、身心、财产造成长久、持续的严重损害,而现有法律及行政治理手段滞后,对损害存在切实的救济困难,人脸识别技术应用确实让人担忧。
国外立法者普遍采取审慎的态度监管人脸识别技术的实际应用。欧盟委员会在《人工智能战略》中提及欧盟正在考虑是否限制政府部门和私营机构在公共场所使用摄像头收集生物识别信息并识别个人身份 。英国“人脸识别案”的二审中,上诉提及依据《英国2018年数据保护法》未能正确评估面部识别技术对数据主体权利的安全风险,未能提供证明说明清单监视人员范围与面部识别设备部署地点选择的正当性,并指出该技术需要抓拍和采集英国公民的面部照片与数据,涉及个人敏感信息,被告设置面部识别设备未能证明其已采取合理步骤评估该项技术可能存在的歧视问题。 目前我国尚无任何一部法律对“人脸识别技术”的法律内涵和外延作出明确界定,在我国现行立法体例中,人脸识别信息是作为个人信息的子概念受到保护。虽然《网络安全法》《数据安全法(征求意见稿)》等规范性文件对“自然人对个人信息享有民事权益”进行了法律确认,我国今年颁布的《民法典》 也在“民事权利”一节明确规定了“自然人的个人信息受到法律保护”,并对 “个人信息”保护问题作出了回应,在人格权编确立了一般个人信息的收集、存储、使用、加工、传输、提供、公开应遵守第1035条的规定,采取“合法正当必要”以及“知情同意”的保护原则,但是如何判断“合法正当必要”的标准、如何判断自然人是否对人脸识别信息获取及处理的行为“知情”以及公共场合如何获取自然人或其监护人的“同意”等事项,仍有待法律进一步规范或解释明确。
以“人脸识别案”为起点,高速发展迭代的人脸识别技术已经对法律及其他社会治理手段提出了严峻的挑战,但管控不应成为技术创新发展的桎梏。未来我国法律大致可采取以下保护路径:一是立法明确区分政府部门及政府行为与非政府部门及其委托机构的行为边界,避免行政监管可能造成对技术创新的束缚,从人脸识别信息的*性出发,通过立法规制人脸识别信息的法律性质,体现人脸识别信息的*性,规范此类信息的人格利益以及财产利益在商业实践中的表现形式,并细化人脸识别技术的法律风险与损害权益的具体形式;二是在现有的法律框架下,针对非政府部门在公共场所采集、维护人脸识别信息的行为制定统一的行为规范,明确信息收集者和具体可借鉴欧盟《通用数据保护条例》(GDPR)的思路,除了提供一般意义上的个人信息处理行为规范,强化人脸识别技术对个人信息安全的影响评估,包括人脸大数据建构的合规性评估、人脸识别技术更新的安全评估、人脸识别信息及其数据库的更新维护评估等内容,这也是《数据安全法》(征求意见稿)第25条及28条的应有之意;三是除应明确采集、维护信息的标准外,法律还应明确普通人对于非政府部门使用自身人脸识别信息有“选择权”,例如在日常生活中进行认证等重要事项时,应制定行业统一的认证标准,要求银行提供除人脸识别认证方式外其他可选的认证方式,如可以增加远程视频对话等其他手段作为核实身份的主要途经,避免将人脸识别作为的甄别方式,以此减轻普通人提供人脸识别信息的责任,防止普通人因某处数据泄露而被暴露在更重大的风险之下。
新技术的使用提高了整个社会运行的效率,但是对人脸识别技术的正面作用,应当有理性的认识和思考。我们不应拒绝这种技术,但在个人信息保护的意识觉醒的情况下,我们需要能够兼顾安全和隐私保护,人脸识别涉及身份信息采集识别与个人隐私保护等话题,需要法律的保驾护航,希望通过立法,进一步明确具备采集资格的主体范围,从制度层面保证信息的流转安全,从法律和制度上去约束人脸数据的收集,防止信息泄露。也希望建立更严格的标准和规范,加强对人脸信息的采集和存储的监管。尤其是技术开发方和运营方应在更趋严格的监管和法律、行业规范下采集、使用、存储人脸信息数据。
人脸识别势不可挡,如何让这个技术在互联网时代下长久、平稳的发展?需要进行风险的防范,需要规范安全的监管,更需要保持一个清醒的态度。只有这样,才能更好的推动“人脸识别”技术提升管理效率,提升交互体验。才能使行业更规范的发展,让科技有温度的为民服务,为社会服务。
文章来源:中国安防行业网
