如今,手机刷脸解锁、购物刷脸支付、进出小区刷脸开门……人脸识别的应用已经深入到社会生活的方方面面,在工商、人社、交通、金融等政务领域编织起一张大网后,又“进军”园区门禁、会员识别、员工考勤等商业领域安营扎寨。
人们在享受“刷脸”带来的便利的同时,也会对其背后隐藏的“侵犯隐私”“信息泄露”风险产生担忧。
从中国“人脸识别第一案”到清华大学劳东燕教授维权,从5000多张人脸打包兜售到售楼处暗中使用人脸识别,“人脸识别技术侵犯个人信息安全”的案例一再披露,每每都能挑逗起人们警觉的神经。
因此,如何让个人信息在发挥价值的同时又不被非法获取或利用?如何明晰人脸识别技术的应用边界?如何通过立法和监管更有效地保护我们的脸,让普罗大众不再为“颜面何存”而忧?这些都是亟须关注和解决的问题。
《民法典》提出合法、正当、必要三原则
大数据时代,个人信息被誉为“新时代的石油”。而人脸信息是高度敏感的个人信息,人脸识别技术就是基于人的脸部特征信息及其不可更改的特性进行身份核验的一种生物识别技术。这一技术还具有无接触、交互性强、高效迅速、符合人类识别习惯等优势。
当前,人脸识别技术愈加成熟,应用场景逐渐广泛,成本也在不断降低,一个个本具生命体征的人便转化成了一串串代码,面临着被替代、被冒用的风险。
今年3月,清华大学教授劳东燕就在小区门禁问题上绷紧了谨慎的弦,因她所居住的小区实施安装人脸识别门禁计划,她特地写了法律函寄到物业公司和居委会以引起他们对“人脸识别潜在风险”的注意。最终,小区在“刷脸”进出方式之外,增加了刷门禁卡、手机等方式。
此前,关于保护个人信息的专门立法一直未出台,以至于“强制刷脸是否合规合法”的问题步入到相对尴尬的境地之中,于今年实现落地的《民法典》在一定程度上填补了这一领域的空白。
《民法典》规定,处理个人信息应当遵循合法、正当、必要原则,不得过度处理。但相应规定在适用过程中仍存诸多难题。劳东燕认为,除了得到个人授权外,个人信息在保管和使用方面都应该得到明确,“《民法典》只能做比较概括性的规定,未来还需要有一些细节性的规范。”
中国信息安全研究院副院长左晓栋表示,由于人脸识别技术应用场景很多,所以还需要专门的文件予以规范,“例如,什么叫人脸识别技术应用的‘合法正当必要’?这需要专门作出规定。”
仍需对人脸识别不同场景进行规范
2020年10月13日第十三届全国人大常委会第二十二次会议对《个人信息保护法(草案)》进行了初次审议。九天之后,中国人大网公布《中华人民共和国个人信息保护法(草案)》并对其公开征求意见。
相较于《民法典》而言,《个人信息保护法(草案)》深入总结了《民法典》《网络安全法》等法律法规和《个人信息安全规范》等国家标准的实施经验,更加具体地规定了个人信息保护的原则,将个人信息保护实践中行之有效的做法和措施上升为法律规范。
但部分条文仍有待进一步探讨和调整。对此,中国社科院大学互联网法治研究中心执行主任刘晓春表示,目前而言,《民法典》、《网络安全法》、《消费者权益保护法》和即将出台的《个人信息保护法》所构建的法律体系已经相对完备,但需要针对具体的领域,比如金融、生物信息识别、人脸识别等不同场景进行整治,从而清晰地指引具体实践操作。
同时,她还认为,人们对人脸信息被收集之后因保护不周而被泄露的担忧在当前更多的是一种猜测,到目前为止没有证据显示人脸的滥用和泄露形成了一种明显的趋势。因此在风险可控的情况之下,信息采集、处理、保护得当,人脸识别作为一种身份验证的手段,不能被当作“洪水猛兽”。
在她看来,个人信息售卖的黑色产业链才是对个人信息威胁最大的部分,以黑客的犯罪活动为代表的个人信息买卖,已经成为一种产业链。暗网中出售个人信息的行为被称做黑产灰产,犯罪分子会在侵害个人信息的基础上进行诈骗或者传播违法内容。
2019年以来,人脸识别技术在不断更新迭代的同时,人脸信息泄露并被违法售卖的事情也有增无减。近期,上海检方公诉的一起涉案金额超5亿元的虚开发票案就牵出了非法人脸识别案。
在此案中,犯罪嫌疑人先从他处以30元每个的价格购买他人的高清头像和身份证信息,之后利用“活照片”APP对高清头像进行处理,让照片“动起来”,形成包括点头、摇头、眨眼、张嘴等动作视频然后利用特殊处理的手机“劫持”摄像头,在人脸认证环节时,手机摄像头不会启动,系统获取的是之前做好的视频。系统会认为是本人在摄像头前,最后通过认证,完成“皮包公司”注册,用于为他人开具增值税普通发票。据犯罪嫌疑人交代,其破解的APP类别非常广泛,涉及政务、安防、金融、支付、生活消费等用户量巨大的APP。每单的破解价格从25元到300元不等。
专家建议:用行政监管的手段引导技术向善
刘晓春指出,在我国个人诉讼仍然存在很大障碍。其中关键因素就是在取证方面,需证明网站、平台、小区收集了人脸数据且造成损害,取证的过程比较难,成本比较高,普通人可能不太具备取证所需的专业能力。所以人脸信息被盗用并对个人利益造成损害,在没有产生实际损害的基础上,个体很难有动力去起诉。
刘晓春提到,杭州“人脸识别第一案”中,起诉人的起诉目的带有公益性质,起到了弘扬社会责任感的示范作用,超越了个案的意义。但这种案例无法大量复制,我国诉讼制度本身无法提供匹配的集体诉讼支持。
此外,在国内外的法律中,法定的赔偿制度是很难证明损害金额的。就中国的具体情况而言,《民法典》的内容作为主要的赔偿依据,但法律上没有更有针对性的相关规定。刘晓春认为,长远来看,我们现在仍要继续推动人脸信息的相关立法,补足生物识别监管合规要求的空缺,推动技术标准的制定,建构完善的侵害认定的司法规则。
总而言之,针对于国内外案例和法案探讨如何保护“我们的脸”的问题,多位专家建议,除了立法,在执法层面也要针对个人信息泄露的事实现状进行针对性的执法。
此外,在企业层面还需强化企业自律,在获取和使用个人信息时遵循合法、正当、必要三原则;同时,提升企业在大数据环境下的网络安全防护技术;以及规范应用隐私条款,为用户删除数据、注销账户提供渠道,明确告知用户争议解决机制等。
最后,在个人层面。一方面,要注意留存大数据杀熟、动态定价、价格操纵和个人信息泄露的相关证据;另一方面,应了解我国个人信息保护的相关法律,依法维护好自身权益。
中国电子技术标准化研究院网安中心测评实验室副主任何延哲表示,整体而言,现在还是摸着石头过河,但希望技术应用能够有利于经济发展,也有利于社会进步,所以我们需要通过行政监管的手段引导技术向善,坚持好安全发展相统一的原则。