本文来自微信公众号:界面新闻 (ID:wowjiemian),作者:程大发,编辑:翟瑞民,头图来自:视觉中国
近日,最高人民检察院发布了个人信息保护检察公益诉讼8起典型案例,其中有3起涉及人脸识别(俗称“刷脸”)被违法违规乱用问题。
随着数字技术飞速发展,人脸识别当前已被广泛使用于安防、金融、医疗、支付、教育、文娱等诸多领域。“刷脸”消费为经济社会发展带来新机遇的同时,人脸识别技术被滥用的风险也在加剧。
北京科技创新中心研究基地副主任、北京航空航天大学法学院副教授赵精武向界面新闻介绍,当前经营者对人脸识别技术的应用存在一些乱象。诸如数据泄露、强制采集和过度采集是当前人脸识别技术应用中主要存在的侵权问题。
上海政法学院人工智能法学院教授杨华日前在法治日报发文称,关于人脸识别技术应用的边界、如何避免人脸识别技术滥用、人脸识别信息受到侵害后如何救济等等,亟待通过专门立法予以明确。
一、滥用存四大严重问题
人脸识别是基于人的脸部特征信息进行身份识别的一种生物识别技术。近年来,人脸识别技术在社会生活中应用导致问题频发。
据媒体报道,2019年2月,以人脸识别、AI和安防为主营业务的深圳市深网视界科技有限公司被曝发生数据泄露,致使250万人的私人信息能够不受限制被访问,同时被泄露的还有身份证数据、照片、工作信息等。
也是在2019年,因杭州野生动物世界强制要求消费者“刷脸”入园,浙江理工大学法政学院特聘副教授郭兵将其告上法庭。此案也被称为国内“人脸识别第一案”。
“在2019年前后,人脸识别侵权的案件还比较少见,但也出现了一些不法分子利用人脸识别来盗刷钱财的案件。”郭兵告诉界面新闻,人脸具有独特性和唯一性,是敏感的个人信息。从个人信息保护的角度来说,人脸识别技术所收集、处理的信息,比普通个人信息风险更高。
相比传统的安保手段,景区人脸识别闸机因能极大提升了安全检查的速度和准确性,而受旅游市场欢迎。据市场研究机构统计,2021年我国景区人脸识别闸机市场规模已达到50亿元,预计未来几年还将持续增长。
同时增长的还有中国裁判文书网上的相关案例。界面新闻以“人脸识别”为关键词,检索结果显示,案由为侵犯公民个人信息罪的刑事案件有45条,涉及隐私权的民事纠纷则有51条。
其中,被称为国内人脸数据刑事第一案的案件发生于2018年,张富等5人非法窃取人脸数据近2000万条,用软件制作3D头像通过支付宝人脸识别认证诈骗钱财。2020年,浙江省衢州市中级人民法院作出终审判决,5人因犯有侵犯公民个人信息罪、诈骗罪,分别被判处6个月到4年8个月不等的有期徒刑,以及2000到15000元不等的罚金。
根据全国信息安全标准化技术委员会等机构2020年发布的《人脸识别应用公众调研报告》,在2万多名受访者中,94.07%的受访者用过人脸识别技术,64.39%的受访者认为人脸识别技术有被滥用的趋势,30.86%受访者已经因为人脸信息泄露、滥用等遭受损失或者隐私被侵犯。
在2023年1月召开的人脸识别相关研讨会上,中国人民大学法学院教授、网络与信息法学研究会副会长张新宝介绍,“当前,人脸识别的泛用与滥用存在四大严重问题,即处理人脸识别信息缺乏合法性基础,很多并未经过单独同意;背离原始采集目的用于其他场景;泄露引致人身和财产安全隐患;超过保存期限未及时删除等。”
二、违法行为具有隐蔽性
2021年,央视“3·15”晚会就曾曝光科勒卫浴、宝马4S店等商家安装“人脸识别系统”,在消费者不知情的情况下采集人脸信息的乱象。此次最高检发布的典型案例中,也有江苏无锡某健身房以及浙江湖州某景区,强制要求消费者“刷脸进入”的侵权案件。
根据界面新闻对中国裁判文书网相关案例梳理,人脸识别技术不规范采集,集中体现在三个领域:
一是商场、健身房、景区等商业场景的应用;
二是以及小区、写字楼等为主物业门禁系统的应用;
三是部分线上平台或者应用软件,通过拒绝使用软件的方式强制索取用户人脸信息。
郭兵介绍,人脸识别违法的行为具有隐蔽性,导致对其进行监管有一定难度。
由于人脸识别技术带有“无感式”采集特点,信息处理者常常在未经同意的情况下就擅自采集消费者人脸信息。“最典型的场景就是商场、商店等,商家使用的摄像头,有的可能不一定具有人脸识别功能。只是为了防范小偷。但实际上它到底具不具备人脸识别功能?消费者其实是没办法判断的。”郭兵说。
对于被侵权人而言,赵精武介绍,由于与个人信息处理者之间存在巨大的信息差,维权也存在侵权行为隐蔽、举证困难、维权成本较高等诸多问题。
这也是最高人民检察院大力倡导并推进这一领域公益诉讼的原因之一。观韬中茂律师事务所合伙人王渝伟对界面新闻表示,我国针对个人信息保护的相关法律,已赋予用户在个人信息处理活动中的权利以保证个人能够有维权的途径。
“但从立法初衷以及立法效果来看,是更倾向于通过行政监管,比如直接进行行政处罚,或是在众多个人权益受到侵害后,通过专门机构比如人民检察院、法律规定的消费者组织和由国家网信部门确定的组织依法提起公益诉讼等方式,来达到规范个人信息处理者违法行为的目的。”王渝伟说。
若被侵权人维权难度较高,是否能通过设立相关技术门槛,提高人脸识别准入标准?
王渝伟介绍,对人脸识别等技术开发及应用的监管本身也需要考虑到规范与发展之间的平衡,其中更会涉及到很多技术层面的专业问题。因此,一方面需要有关部门对敏感个人信息的使用乱象加强监管,但另一方面,如果法律对此规定得太细,可能会限制行业发展,从而限制技术发展带来的利好,这就需要更多思考如何做到精细立法与精准执法。
三、专门立法是否可行?
2023年全国两会期间,全国政协委员胡诚林提交《关于将人脸识别保护纳入国家立法计划的提案》,建议尽快着手制定《人脸识别数据处理条例(草案)》,报请全国人大纳入立法审议程序,一经通过后公布实施,实现人脸识别技术推广使用的同时,切实保护公民合法权益。
界面新闻注意到,当前,我国对人脸识别技术应用尚无出台专门的法律规定。杨华在《人脸识别信息保护亟待专门立法》一文中表示,与人脸识别信息保护密切相关的法律有个人信息保护法、数据安全法和网络安全法,三部法律通过对个人信息或数据保护的法律规范,对人脸识别信息保护起到了间接规范作用。但除此之外,宪法、民法典、刑法等法律、行政法规,均无法直接适用于人脸识别信息保护。
杨华还指出,此前很多地方政府或人大已制定了涉及人脸识别应用的法律法规,显示人脸识别在全国很多地方正在走向法制化道路。然而,这些地方立法大都是参照现有国家立法所做的简单重复,而且条文比较少,对人脸识别技术应用的过程规范性、对自然人人脸识别信息的保护及其受到侵害后的损害救济,均缺乏相应规定。
此前在2021年,最高人民法院曾发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》。该司法解释从人格权和侵权责任角度,明确了滥用人脸识别技术处理人脸信息行为的性质和责任,对滥用人脸识别问题作出统一规定。
对此,赵精武认为,在现行立法框架下,人脸识别技术应用相关立法已经相当成熟,不需要单行立法,将既有的立法资源激活即可,比如细化相关司法解释中的相关规则。
根据现行个人信息保护法第六十六条规定,对于个人信息处理的违法行为,除没收违法所得之外,还可处以5000万元以下或者上一年度营业额5%以下罚款。但是,郭兵介绍,从实践中看,对侵犯个人信息行为采取高额罚款的案件非常少,“监管部门一方面要考虑保护个人信息,另一方面也需要考虑保护企业的发展。这也是涉及到执法平衡考量的问题。”
如何规范应用人脸识别技术?郭兵指出,按照我国法律规定,个人信息已经不需要使用时,个人信息处理者应当主动删除个人信息。这也是保护敏感个人信息的一个有效方式。
此前已有范例可以参考。根据“平安无锡”微信公众号消息,2023年3月2日,江苏省无锡市举行了涉疫个人数据销毁仪式,在第三方审计和公证处参与下,确保数据彻底销毁、无法还原,首批共销毁数据10亿条。同时,门铃码、疫查通、货运通行证等“数字防疫”40多项应用,也陆续下线。
本文来自微信公众号:界面新闻 (ID:wowjiemian),作者:程大发,编辑:翟瑞民