随着国内“人脸识别第一案”日前宣判,人脸数据信息保护问题再一次引发关注和讨论。11月20日,杭州野生动物世界因强制刷脸入园,被判赔偿当事人郭先生1038元。紧随其后的21日,合肥市公安局也在政务平台上答复了市民对刷脸门禁是否会泄露信息的担忧。与快速应用的人脸识别技术共同发展起来的,是人们隐私保护意识的不断增强。那么,人脸识别技术滥用存在哪些风险?如何界定人脸识别是否侵犯个人信息安全?在法律上又该如何筑牢防线呢?
强制刷脸判赔千元
案件的起因要追溯到2019年4月,郭先生花1360元购买了杭州野生动物世界“畅游365天”双人年卡,明确了同时验证年卡和指纹即可入园。但此后园方却单方面将指纹识别“强制”升级为“刷脸”入园,当事人为此将园方告上法庭。
对此案,杭州富阳法院作出一审判决,认定杭州野生动物世界单方面将指纹识别强制升级为刷脸入园的做法“超出必要,不具正当性”,判决园方赔偿当事人郭先生合同利益损失及交通费共计1038元,删除当事人办理指纹年卡时提交的包括照片在内的面部特征信息。
近年来,“人脸识别”技术已经在日常生活的方方面面得到广泛应用。刷脸支付、刷脸门禁、银行自助、单位考勤、刷脸使用App,人们对这些新兴手段已经不再陌生。据《2019年中国刷脸支付技术应用社会价值专题研究报告》显示,2019年正式开启了刷脸支付的“新元年”,国内刷脸支付用户达到1.18亿人。预计到2022年,刷脸支付用户规模超7.6亿人。
泛滥的人脸识别技术使用也带来潜在的风险,北京市盈科律师事务所高级合伙人高同武在接受北京商报记者采访时表示,利用人脸信息来快速、精确识别个人主体,对于个人行动轨迹的追踪非常高效,而且这种技术不仅用来抓取个人的面部生物信息,并与已有数据库中的相应数据做比对,能进一步追踪到个人的身份信息、日常的行踪轨迹、人与车的匹配、亲属关系以及经常接触的人员,增加诈骗、盗窃等事件发生可能性,造成财产损失和其他人身权益的侵犯。
面对风险,人们的敏感度和警惕性也在相应提高。就在11月21日,合肥市公安局在12345政府服务直通车回复网友对“智慧平安小区”人脸识别会不会造成信息泄露的担忧,表示人脸识别并未进行强制要求,业主采取自愿录入人脸识别,不愿录入可采用刷门禁卡。
如何界定侵权
事实上,刷脸导致信息泄露的风险并非杞人忧天,在国内外的现实生活中都已经不乏其例。
今年3月,有媒体曝出几十万张戴口罩的人脸照片正以2毛钱一张贩卖,而据卖家介绍,这些照片“一半是从网络上爬(虫)的,一半来自于现实世界”。也就是通过“网络爬虫”自动抓取网上信息的程序或者脚本,或通过日常生活中的打卡保存下来的。
无独有偶,近日,上海一快递代收点也引发质疑,只因推出新规:“为防止偷窃和误拿,所有前来取件的人必须要拍照存档才可取走快递。”不少市民认为此举可能泄露隐私,“被人拿去人脸识别付款怎么办”?
相似的案例已经成为各国共同的隐患。近日,美国洛杉矶警察局被曝使用了美国人脸识别公司Clearview AI开发的应用程序,回应称禁止警员使用商业公司提供的人脸识别系统。值得注意的是,这家公司在2019年未经当事人允许,在Facebook、Twitter、Instagram、YouTube等多个社交平台上抓取大约30亿张人脸照片。
而Facebook自身也深陷信息安全旋涡,2019年,因其照片标签服务使用面部识别软件在用户照片中显示人名而遭到集体诉讼,今年初,Facebook同意支付5.5亿美元达成和解。
诸多案例在不同领域、以不同理由应用着人脸识别技术,被搜集了面部特征的人也作出不同的反应。那么,究竟在什么情况下采用人脸识别技术才构成侵权呢?
高同武指出,《消费者权益保护法》第29条规定,“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意”。《网络安全法》第四十四条规定,“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息”。
“我国法律强调监督和管理在个人信息的收集过程中要遵循‘合法、正当、必要’原则以及需要征得当事人的同意;在个人信息利用的过程中要遵循确保安全原则,不得泄露、出售或者非法向他人提供。”高同武解释说。
对于上述郭先生的案件,北京观韬中茂律师事务所高级合伙人李洪江律师对北京商报记者表示,本案中既然郭先生已经与园方签署了“指纹信息采集”协议,那么园方单方面变更协议内容,增加收集“脸部信息”的要求明显违约并超出了“必要性”。
提高数据保管责任
近年来,个人的信息保护已经引起了社会公众、相关从业者以及政府部门的高度重视。国家也在不断制定新的法律法规,完善个人信息保护制度。
李洪江对北京商报记者表示,从即将实施的《民法典》到《个人信息保护法(草案)》来看,个人信息概念的界定、权利的保护范围、处理个人信息的规则和相关法律后果都在逐渐明确和细化,对于如何具体保护公众的个人信息提供了很好的指引作用。
“在技术革新的浪潮下,人脸识别技术的商业性运用势不可挡,收集方必须严格遵守有关个人保护方面的法律规定。”高同武建议,在现有法律的基础上,提高违反保管义务的法律责任,同时,如果被收集人撤回或者要求删除自己的数据,储存保管方应当对相应数据予以删除;人脸识别技术的应用场景必须合法与合理,不能擅自扩大应用场景,否则收集方以及保管方应当承担相应的法律责任。
“作为个人在日常生活中也要进行防范,不要为了娱乐使用换脸软件,尽量避免开通各类渠道的刷脸支付,避免在各类App、电商平台上进行刷脸识别,尤其是互联网广告。”高同武提醒。
数字时代与信息保护成为当下我国立法不得不权衡的一个议题。除了今年10月1日《信息安全技术个人信息安全规范》正式实施,一些针对数据信息的地方立法也已在路上。11月6日,北京市人大常委会副主任闫傲霜带队开展人脸识别技术应用及数据立法调研,闫傲霜表示,要成立数据立法研究课题组,对数据立法的前沿、关键问题持续跟踪研究。
“在法律的制定方面可在平衡个人信息与数字经济发展及维护公众利益关系的同时,加大个人信息的保护力度和对于违法责任人的处罚力度,以便真正使个人信息得以被合理利用和得到切实保护。”李洪江说。