啟用超市儲物柜、進入小區(qū)樓宇……輕輕一掃人臉,方便又快捷。如今,人臉識別在日常生活中的應用場景越來越多。
然而便捷的背后,濫用人臉識別帶來的風險也不容忽視。去購物,有的商家悄悄對人臉信息進行數(shù)據(jù)統(tǒng)計分析,以便實現(xiàn)精準營銷;進小區(qū),有的物業(yè)將人臉識別作為唯一驗證方式;有的服務商甚至強制將錄入人臉信息作為提供服務的前置條件……
(資料圖片僅供參考)
濫用人臉識別將帶來哪些隱患和危害?使用人臉識別的法律邊界在哪?如何治理人臉識別濫用現(xiàn)象以更好地保護個人信息?
危 害
人臉信息一旦泄露,將很難得到有效救濟
2021年初秋,浙江省湖州市一名游客通過“益心為公”檢察云平臺,提交了一條景區(qū)涉嫌侵害游客人臉信息的舉報線索。收到線索后,最高人民檢察院將該線索移交給浙江省人民檢察院。
浙江省湖州市人民檢察院成立專案組立案調(diào)查,電子取證后發(fā)現(xiàn)——景區(qū)現(xiàn)場購票除要求游客提供身份證外,還強制要求游客進行刷臉認證。與此同時,景區(qū)運營公司并未對儲存在服務器中的游客人臉信息設置定期清除機制。
除了強制刷臉,更值得關注的是,人臉信息采集具有遠距離、非接觸、無感的特征,很可能在渾然不知的情形下,人臉信息已然被惡意獲取。
2022年底,上海市普陀區(qū)人民檢察院發(fā)現(xiàn),轄區(qū)內(nèi)有超市為應對物品失竊、惡意索賠等情況,在超市出入口安裝采集消費者人臉信息的攝像頭及相關設備。在其中一家超市的人臉數(shù)據(jù)處理設備上,可以清楚地看到每名消費者的進出信息,該設備還會對消費者的消費數(shù)據(jù)進行分析并予以差異化提示,有消費者還被打上了“疑似小偷”等標簽,而消費者對此毫不知情。
濫用人臉識別會帶來哪些隱患和危害?“人臉信息一旦泄露,將很難得到有效救濟。相較于數(shù)字密碼等信息,人臉信息這樣的生物特征具有唯一性、難以改變的特性。密碼丟失尚可更改,但‘換臉’卻很難實現(xiàn)?!北本┐髮W法學院教授薛軍認為,濫用人臉識別,將讓人更“透明化”。無論是個人經(jīng)濟價值,還是個人隱私,都將被精確計算。
薛軍解釋,人臉數(shù)據(jù)的準確抓取,疊加強大的算法分析,個人的經(jīng)濟價值被精準定義,或用于實現(xiàn)精準營銷、大數(shù)據(jù)殺熟等利潤攫取。此外,如果人臉抓取無處不在,個人的出行軌跡、人際關系、財產(chǎn)利益等個人信息都將暴露。
“更關鍵的是,人臉識別的濫用,將容易形成‘我還是我嗎?’的困境。”薛軍說,依托被抓取的人臉信息和AI換臉技術(shù),敲詐勒索、電信網(wǎng)絡詐騙、網(wǎng)絡暴力等違法犯罪活動更易發(fā)生。近日,內(nèi)蒙古包頭警方發(fā)布一起利用AI實施電信詐騙的典型案例——郭先生的“好友”通過微信視頻聯(lián)系他,稱自己的朋友在外地競標,想借用郭先生公司賬戶走賬。通過視頻聊天“核實”身份后,郭先生遂將430萬元轉(zhuǎn)給“好友”。但事實上,該“好友”是犯罪分子用AI換臉假冒的。
邊 界
應當遵循合法、正當、必要原則,不得過度處理
防止人臉識別被濫用,依法保護人臉信息,需要明晰其合法使用的邊界在哪里。
民法典規(guī)定,自然人的個人信息受法律保護,同時將生物識別信息列舉為個人信息。北京德和衡律師事務所律師陳江濤說,根據(jù)民法典第一千零三十五條的規(guī)定,處理個人信息的,應當遵循合法、正當、必要原則,不得過度處理,并符合下列條件:(一)征得該自然人或者其監(jiān)護人同意,但是法律、行政法規(guī)另有規(guī)定的除外;(二)公開處理信息的規(guī)則;(三)明示處理信息的目的、方式和范圍;(四)不違反法律、行政法規(guī)的規(guī)定和雙方的約定。
2021年7月28日,最高人民法院發(fā)布關于審理使用人臉識別技術(shù)處理個人信息相關民事案件適用法律若干問題的規(guī)定,對人臉識別的應用場景、使用目的、責任認定等作出規(guī)范。在民法典第一千零三十五條的基礎上,進一步將“同意”細化為“單獨同意”。根據(jù)該司法解釋,信息處理者采取未單獨征求用戶同意、強制刷臉等方式處理用戶人臉信息的行為,在相關民事訴訟案件中都會被認定屬于侵害自然人人格權(quán)益的行為。
針對備受關注的濫用人臉識別技術(shù)問題,個人信息保護法第二十六條規(guī)定,在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規(guī)定,并設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全的目的,不得用于其他目的;取得個人單獨同意的除外。
在陳江濤看來,針對防止濫用人臉識別、依法保護人臉信息,相關法律已經(jīng)明確了基本原則、厘清了邊界,織就起較為完備的“法律保護網(wǎng)”。但針對人臉信息“無感知收集”“一攬子收集”等現(xiàn)實情況,仍可采取更多舉措予以更詳細清晰地規(guī)范。例如,就人臉識別和人臉圖像處理等事項,可進行單獨彈窗以獲得單獨同意;APP在征得個人同意時應明示處理個人信息的目的、方式和范圍等;個人信息主體享有撤回授權(quán)的權(quán)利,以及不得頻繁地彈窗以獲得個人同意等。
治 理
須強化執(zhí)法司法力度,完善行業(yè)自律機制
如何治理人臉識別濫用?強化執(zhí)法司法力度是關鍵。
“景區(qū)強制游客錄入人臉信息的行為已經(jīng)超過了正常經(jīng)營需要,經(jīng)過聚集后的海量信息在沒有嚴格監(jiān)管制度、技術(shù)措施保障下,面臨違規(guī)使用和被泄露的風險,嚴重危害了社會公共利益?!焙菔心蠞^(qū)人民檢察院第五檢察部主任趙坤堯說,根據(jù)民法典、個人信息保護法等相關法律法規(guī)規(guī)定,人臉屬于生物識別類敏感個人信息,服務場所經(jīng)營者對此類信息的采集應出于維護公共安全的需要,并保障公民的知情權(quán)、決定權(quán)、選擇權(quán)、刪除權(quán),任何一項都不得侵害。
對此,浙江省三級檢察院會同當?shù)芈糜味燃賲^(qū)管委會、景區(qū)運營公司召開磋商會,并邀請浙江省消費者權(quán)益保護委員會相關工作人員和法律專家參加。磋商會上,大家一致認為,景區(qū)運營公司應刪除前期采集儲存的人臉信息數(shù)據(jù),規(guī)范人臉信息的收集和使用。同時,湖州市檢察院與市網(wǎng)信辦開展磋商,市網(wǎng)信辦對景區(qū)運營公司提出整改要求。隨后,湖州市檢察院向景區(qū)運營公司制發(fā)檢察建議,最終該景區(qū)前期采集、儲存的120萬余條游客人臉信息被完全刪除。
“人臉識別技術(shù)產(chǎn)業(yè)是高新產(chǎn)業(yè),但相關行業(yè)內(nèi)的企業(yè)良莠不齊,監(jiān)管機構(gòu)應對行業(yè)企業(yè)加強監(jiān)管核查?!毖娊ㄗh,建立相關行業(yè)協(xié)會,設立人臉識別技術(shù)行業(yè)標準,通過行業(yè)內(nèi)部監(jiān)督,減少對人臉信息的侵權(quán)行為。
2021年4月,中國信息通信研究院云計算與大數(shù)據(jù)研究所發(fā)起“可信人臉應用守護計劃”,聯(lián)合企業(yè)、金融機構(gòu)、法律機構(gòu)和學術(shù)團體,共同推動人臉識別生態(tài)安全和合規(guī)共治。截至2022年底,該計劃成員單位達到148家。今年1月,在“可信人臉應用守護計劃”最新一輪評測結(jié)果中,有多家企業(yè)及產(chǎn)品通過“人臉識別安全專項評測”“人臉識別系統(tǒng)保護人臉信息專項評測”等。
“我國人臉識別的相關立法也在不斷完善,但各個法律法規(guī)之間的銜接需要進一步明確;一些上位法的規(guī)定較為籠統(tǒng),還需要制定完善專門的與人臉識別技術(shù)相關的個人信息保護規(guī)則、標準等?!标惤瓭J為,在完善法律的過程中,既要促進人臉識別技術(shù)在應用場景中讓用戶受益,保障技術(shù)不斷創(chuàng)新進步,也要將人臉信息的安全放在更重要位置,將技術(shù)可能造成的潛在風險降到最低。(記者 倪 弋)
關鍵詞: