封面文章I CouerStory
亟待有效监管
■王紫薇董宏伟丨文
刷脸支付、红外测温、人脸考勤机、视频软件中的动态贴纸等应用的出现与普及,表明人 脸识別技术已经以强势姿态渗入到社会生活的方方面面,为大众所接触和感知。从国家经济发 展到个人日常生活,人脸识别是顺应网络化生产方式而生的技术,基于其便捷性和先进性等特 征,在数字化时代广泛应用于金融、税务、安保、教育等领域。然而正如今年“3 _ 15”晚会所 展示的,由于目的异化和利益驱使,人脸识别技术已有滥用之势,在新一轮个人信息泄露中扮 演着重要推手,给个人的人身和财产安全带来巨大风险,甚至可能贬损人格尊严引发道德难题。 法律作为效能强大的社会调节器,必须及时回应人脸识别技术应用带来的监管需要。
人脸识别技术滥用
引发个人信息新风险
人脸识别技术应用的新趋势
人脸识别技术是一种生物特征图像捕获
终连接从而分析比较,用于身份验证或识别
个人。无感性、便利性和准确性的先进特征
使得该项技术得以应用于各领域。
数据时代顺势而生的人脸识别技术已经
呈现出新的发展态势。
重力加速度的测量应用门槛逐渐降低。作为一项生物信息
技术,人脸识别无需接触、符合人类识别习
惯、交互性强、不易被盗取、高效迅速等优
势使得人脸数据的积累简便和实践场景多元,
加之算法的开源化和免费化、技术人员数量 的增加与研究的深入,人脸识别技术运用的 门槛变低,逐渐成为生物识别技术中为较为 成熟的技术。
运用价值较高。有研究数据表明,到 2025年全球人脸识别设备的市场价值将达71.7亿美元。除蕴含巨大的商业价值外,适 当使用该项技术无疑会给经济发展和社会生 活带来巨大便利,促进公共安全,提升公共 管理效率,是企业产品和服务研发新一轮的 创新点,人身财产安全性也会因人脸识别技 术的普及而增强。
中国电傕让
CHINA TELECOMMUNICATIONS TRADE
16
保护好我们的脸April 04 2021 244
运用场景广泛。基于低门槛、高价值的 特点,人脸识别技术的运用场景较为广泛。包括以金融行业为代表的线下运用场景,以 及依托智能手机进行数据采集和分析的线上 运用场景。
人脸识别技术滥用的新风险
侵犯个人隐私
例如,在“3 • 15”晚会曝光的视频中,科勒卫浴的摄像头捕捉客户人脸数据,以一 种全体门店数据共享的形式进行分析用以精 准提供导购服务。然而在数据收集的过程中,若非刻意关注和提前知悉,客户几乎是无法 察觉自己在门店内的所有活动已经以人脸数 据为媒介与数据库中的人脸信息进行比对生 成“私人定制”的销售方案,个人信息收集 的基石原则“知情同意”更是无从谈起。
根据I H S的研究报告,到2021年,全 球将有超过10亿个监控摄像头安装运行,而 超过50%的摄像头将位于中国。相关数据库 的安全防线脆弱、平台应用的过度收集以及 几乎无所不在的人脸识别设备导致人脸识别 技术和个人隐私之间的平衡点难觅,随着人 脸识别进一步包围个体生活,双方几乎是处 在随时失衡的状态。
侵犯个人信息
人脸识别信息是人脸识别技术的直接产 物,若将“可识别性”作为个人信息及其保 护的标准的话,人脸甚至是最具有代表性的 个人信息。《个人信息安全规范》明确规定 人脸信息属于生物识别信息以及个人敏感信 息,收集时应获得信息主体的授权同意;根 据《民法典》第1035条的规定,收集自然人 信息的主体应征得该自然人或者其监护人同
然而,如何认定被收集信息的自然人对 其人脸数据收集处理的知情程度和同意范围,信息收集者如何在公共场所获得信息主体对人脸数据采集和处理的“同意”?根据《民 法典》第四编、《网络安全法》和相关司法 解释的规定可知,我国对于“个人隐私”和“个 人信息”一直坚定采取双轨并行保护的立法 理念。人脸识别信息既关乎隐私,也是能单 独识别特定自然人身份或反映其活动情况的 公民个人信息。并且由于人脸特征具有唯一 性,一旦泄露就会因其不可更改性而导致永 久泄露,信息主体即使通过漫长的维权途径 获得赔偿,其不再私密的个人信息也会对其 人身和财产安全造成严重甚至是永久性的威 胁。因此,无论是政府部门还是商业机构,
若在收集、存储、运用人脸信息过程中没有 遵守法律原则或者程序不合规,都应当承担 相应的法律责任。
由于用户隐私协议不规范、数据泄露可 能性大等问题,收集并使用人脸识别信息的 平台企业往往在
合法性边缘徘徊,对所获取的 信息安全无以保障,比如2019年软件“ZA〇”的所属公司就因其默认授权公司有永久使用
权等不规范商业行为被工信部约淡。当然这 并非个例,因数据安全问题被约谈的互联网
公司企业不在少数。利益驱动下,因非法收集、处理、使用人脸数据信息而获罪的案例在司
法实务中也屡见不鲜。
潜在的安全隐患
人脸信息的收集和应用貌似只是从个人 面部特征到生活轨迹的简单相加,但个人信 息中蕴含的经济利益以及商业潜能已不再是 讳莫如深的机密。通过将生活中散乱置于不 同摄像头下的人脸进行整合、挖掘,可以从 中得到个体不想为人所知的私密信息。
同时,人脸识别技术被广泛应用于公共 安全、场所进出、信息处理等领域,事关社 会稳定和国家安全。《人脸识别应用公众调 研报告(2020 )》的数据表明,受访者中
有九成以上表示自己主动或被动地使用过人
中国电信业
iCOMMUNICATIONS TRADE
封面文章I CouerStory
脸识别技术,超半数的人认为人脸识别技术 已经有滥用趋势,有三成受访者表示自己曾 因人脸数据被泄露隐私遭受侵犯甚至有财产 损失。
现标纖寸^«?思言息足
A M信息采集应用的法律依据尚待明确
人脸识别技术自面世以来发展至今,早 已不仅仅作为私人企业的营利工具而为国家 社会治理所采用,在公安、教育、防疫等方 面发挥巨大作用。人脸识别技术应用于公司 企业等私主体时,信息收集者是否有权采集 个体脸部数据信息并应用,用户能否选择以 及能否拒绝,都没有明确的法律依据。
比如国内人脸识别第一案的郭某诉野生 动物园一案,原告提出游客必须通过人脸识 别才能入园作为格式条款,实际上是限制游 客对是否允许动物园采集其面部信息的选择 权,这种限制的法律依据难觅合理性也值得 商榷。根据《合同法》第40条的规定:凡 是免除提供格式条款一方当事人主要义务,排除对方当事人主要权利的,一律无效。因 而,商业主体单方面强制采集用户人脸数据 否则不
予服务的行为,必须明确立法予以严 加规范。
人脸信息监管措施滞后
“3 _ 15”晚会曝光的视频中以科勒卫 浴、Max M a r a、宝马等企业为代表的大量 商家在客户无感的情况下采集人脸数据信息,可见相较其他类型的个人信息的采集,人脸数据被采集者的知情权和同意权往往较 难得到保障。
对此清华大学的劳东燕教授指出:包含 人脸识别在内的生物学数据的个人指向性更 为明确,尽管生物学数据的收集按规定需要 征得被收集人的同意,但在实践中,由于收 集过程非接触性、隐蔽性等特点,信息收集 者可能会主观上忽略或者客观上无法达到法 律要求的“知情同意”要求。除此之外,企 业收集海U数据后,可能会建立商业数据库,这些都可能会被不法分子利用。
在人脸信息数据保管环节,采集到的信 息如何进行处理也存在很大的隐患。数据保
管的平台公司未必就有完善的风控制度和技流水工艺
保护好我们的脸
集滤器April 04 2021 244
钢结硬质合金
术措施防止存储的用户敏感信息被泄露。计 算机视觉产业发展参差不齐,业内人士表示 存在大量人脸识别设备相似度仅匹配到六成 就认定为同一个人。在人脸识别技术尚未形 成一个统一的、完善的行业技术标准(目前 仅有针对人脸识别技术中部分技术问题的国 家标准,如《公共安全人脸识别应用图像技 术要求》)之前大规模普及人脸识别设备,将给个人信息的安全带来巨大隐患。
法律监管针对性不强
人脸识别技术是以人脸信息作为识别对 象的生物识别技术,根据《信息安全技术个 人信息安全规范》的规定,生物识别信息不仅属于个人信息的一种,也是作为保护要求更高的个人敏感信息。同时,随着技 术的发展,人脸识别技术中受到保护的信息已不止于直接来源于用户的个人信息,利用大数据等技术将用户信息进行处理后生成的可识别图像等同样也成为了法律监管和保护的一部分。
然而我国目前的相关立法针对性不强,司法实务中无法可依,没有统一适用的法律规章作为监管依据。《民法典》将个人 信息和隐私保护区分,对以人脸数据信息等为代表的个人信息采取双重保护模式,但没有具体细化的部门法规作为接续得以有效规制人脸识别技术的应用。法律空白 明显无法及时回应实践中层出不穷的侵权案例,法规泛化给违法犯罪行为留有大面积的监管空洞。
强化对人脸识别技术应用的法律监管
为了平衡上文中阐述的各方利益,中和 人脸识别技术对于公共安全和经济发展的好处和使用该技术带来的潜在风险,必须实施行之有效的法律监管。这些法律应同时适
用于收集面部识别数据的政府机关和公司。
当然,法规政策不应该完全禁止使用这项技
术,因为这项技术的负面潜力,就等于因为
汽车有可能发生事故所以禁止使用汽车,与
数据时代的发展要义相悖。虽然不能够完全
禁止,但实施行之有效的法律监管,提升违
法成本明确法律界限,仍然可以最大程度防
止技术滥用带来的隐忧和风险,类似于使用
电压互感器柜
安全带以防止受伤。本文从比较法的视野出
发,借鉴域外先进立法理念,认为我国构建
法律监管体系时应着眼于注重对个人的隐
私保护、明确责任主体和重视监管透明度等
问题。
着眼于个人信息保护与技术麵勺平衡点
人脸识别技术法规应最大程度保护所有
公民的隐私,因为人脸识别技术滥用最令人
担忧的后果之一是对公民隐私的侵犯。虽然
人脸识别技术在公安、教育、防疫等公共领
域中发挥重要作用,法律政策也不应逆时代
潮流遏制技术发展,这可以通过允许执法部
门使用该技术来实现。但必须以保护公民隐
私为前提,这就要求隐私保护设计应该融于
企业产品的设计理念和服务架构中,而法律
监管体系也必须着眼于对技术的使用过程的
合理性和合规性,以及收集存储信息与隐私
侵扰的界限。
明确麵收駐体责ffi呆障信息主体权利
规范人脸识别技术的第一步应该是明
确数据收集和使用主体在人脸识别技术应
用过程中的责任和义务,确保技术得到正确
使用。但更为重要的是该技术的所有用户得
以享受技术红利充分行使自己的权利。这将
幻听的中药
通过保护公民的知情权、撤销权以及寻求法
律救济的诉权得以实现。未来对于生物特征
隐私保护的法律规章应在保障公民的实体
权利的同时着重保护其诉讼权。如果没有诉
中国电倍让
CHINA TELECOMMUNICATIONS TRADE
19
封面文章I CouerStorg
讼权,任何侵犯生物特征隐私的行为都将由 政府决定是否参与,而不是由隐私受到侵犯 的公民决定。
同样,滥用生物识别技术的诉讼权将提 高人们对该技术相关问题的认识。私人诉因 允许公民注意到有关面部识别技术和生物识 别隐私的问题,这将有助于让私人公司和政 府对他们使用这项技术负责。
建立以透明度监管为核心的法规体系
有效监管人脸识别技术的第二步是确保 使用该技术的公司和政府在使用该技术时对 用户透明和诚实。应要求所有使用该技术的 主体公布其隐私政策,如今,大多数提供的 公司往往故意含糊其辞,排除了有关所收集 数据使用的目的和细节。为了解决这些问题,鼓励用户透明,法律法规还应明确规定这些 隐私政策中需要哪些信息。
例如,美国伊利诺伊州法规要求制定私人实体书面政策,并为收集的信息制定“保留时间表”,即要确保公司保留信息的时间不会超过必要的时间。提高隐私政策的透明度,使人们对信息收集范围和处理标准有明确的了解,将确保司法适用的统一性和高效性,便于实施有效的法律监管,并确保所有公民平等地了解他们在该技术方面的权利。为此,必须以《民法典》对个人信息保护的相关规定为基础,以数 据采集透明度为监管要义,构建人脸识别技术应用的法律规范体系。
继2020年6月IB M宣布退出人脸识别 业务,亚马逊和微软也相继表示将暂停向警 方提供人脸信息。黑人弗洛依德事件是这一系列决定的触发点,然而更是因为人脸识别与公民个人信息保护冲突。人脸识别 技术滥用带来的对包括人格权、隐私权、财产安全等在内的私权利的侵犯在以美国为代表的西方国家已经引起广泛争议,并 导致相继出台法规政策以应对技术异化。就国内而言,“3 • 15”晚会作为保障消费 者合法权益的公共发声平台,已经连续两年 关注人脸识别技术对公民私人生活的不合理侵袭。
必须看到,尽管人脸识别技术为人 类社会的发展进步带来了诸多益处,但人脸 识别技术的过度使用已经对个人信息甚至是公共安全造成威胁。随着我国科技水平的 曰益提升,人脸识别技术也面临新的发展趋 势,所以应当加快完善法规政策的建设,提 高法律监管水平。科技和人权从来不是剑拔 弩张的对立关系,以牺牲个体私益换取体 发展也不是长久之道,人脸识别技术势必会 在保护个人信息安全的框架内蓬勃发展,进而创造更大财富。3D
作者单位:南京信息工程大学、国家计算机网络与信息安全管理中
心江苏分中心
20中国电信业
CHINA TELECOMMUf
