界面新聞記者 | 呂雅萱
界面新聞編輯 | 翟瑞民
人臉識別技術(shù)在現(xiàn)實生活中應(yīng)用正越來越廣泛。如何確保其合理規(guī)范發(fā)展,已成為個人信息保護領(lǐng)域的一個焦點問題。
日前,國家互聯(lián)網(wǎng)信息辦公室起草了《人臉識別技術(shù)應(yīng)用安全管理規(guī)定(試行)(征求意見稿)》(下稱《征求意見稿》),并面向社會公開征求意見,意見反饋截止時間為2023年9月7日。
專家指出,《征求意見稿》回應(yīng)了人臉識別技術(shù)濫用等問題,對人臉識別技術(shù)的使用條件、使用禁則、備案要求、數(shù)據(jù)保護作了規(guī)定,為保護個人信息權(quán)益及財產(chǎn)權(quán)益、維護社會秩序和公共安全指明了方向。
人臉識別,是基于人的臉部特征信息進行身份識別的一種生物識別技術(shù)。
近些年,人臉識別技術(shù)應(yīng)用引發(fā)的爭議不斷。前有杭州野生動物園因強制游客“刷臉”入園被告上法庭,被媒體稱作“人臉識別第一案”,后有清華大學(xué)法學(xué)院教授勞東燕拒絕小區(qū)使用人臉識別作為門禁方式引發(fā)網(wǎng)絡(luò)熱議,公民個人敏感信息保護問題伴隨著人臉識別技術(shù)應(yīng)用日益浮現(xiàn)。
人臉識別技術(shù)之所以被廣泛應(yīng)用,中國人民大學(xué)法學(xué)院教授、民商事法律科學(xué)研究中心執(zhí)行主任石佳友對界面新聞表示,一方面離不開這項技術(shù)相比于傳統(tǒng)驗證方式迅捷、準(zhǔn)確、降低人力成本的特點,另一方面,也跟技術(shù)開發(fā)者主動大力推介有關(guān),“過去很多年,技術(shù)開發(fā)者會主動跟不同單位形成數(shù)據(jù)收集合作關(guān)系,不計成本地推行人臉設(shè)備,用來收集大量數(shù)據(jù)、訓(xùn)練模型并提高技術(shù)精度?!?/span>
2021年11月1日,我國個人信息保護法正式施行,為公民個人信息保護提供法律保障。目前,我國采用分散立法模式對公民個人信息進行保護,民法典、個人信息保護法、網(wǎng)絡(luò)安全法等法律均對此領(lǐng)域有所涉及。針對人臉識別技術(shù),2021年,最高人民法院曾發(fā)布關(guān)于審理使用人臉識別技術(shù)處理個人信息的司法解釋,為人臉識別技術(shù)相關(guān)的民事案件提供參考。
“人臉識別技術(shù)為企業(yè)和社會管理帶來便利的情況下,也正在帶來個人信息泄露、財產(chǎn)損失甚至人身安全威脅等風(fēng)險,因此有必要采取法律規(guī)制,在個人權(quán)益保護和公共利益之間尋求平衡。”石佳友告訴界面新聞。
《征求意見稿》的亮點之一是從網(wǎng)絡(luò)信息安全使用的角度對“人臉識別技術(shù)使用者”進行規(guī)制。此外,《征求意見稿》還區(qū)分了“公共場所”和‘組織機構(gòu)實施內(nèi)部管理’兩種技術(shù)應(yīng)用場景,對其安裝圖像采集、個人身份識別設(shè)備的行為提出了不同要求。
人臉識別技術(shù)中隱藏在暗處的攝像頭是公眾的心頭隱患,《征求意見稿》第6條明確指明,旅館客房、公共浴室、更衣室、衛(wèi)生間及其他可能侵害他人隱私的場所不得安裝圖像采集、個人身份識別設(shè)備。
《征求意見稿》第9條規(guī)定,賓館、銀行、車站、機場、體育場館、展覽館、博物館、美術(shù)館、圖書館等經(jīng)營場所,除法律、行政法規(guī)規(guī)定應(yīng)當(dāng)使用人臉識別技術(shù)驗證個人身份的,不得以辦理業(yè)務(wù)、提升服務(wù)質(zhì)量等為由強制、誤導(dǎo)、欺詐、脅迫個人接受人臉識別技術(shù)驗證個人身份。
石佳友表示,該條規(guī)定指明,經(jīng)營性場所為了驗證身份信息而使用人臉識別技術(shù)的,也應(yīng)當(dāng)提供除了人臉識別之外能夠核實身份信息的方式來供用戶自主選擇。此外,此處限定的是經(jīng)營性的公共場所,對于國家機關(guān)單位的辦事大廳等非經(jīng)營性場所來說,并不受本條款限制。
《征求意見稿》第16條還規(guī)定,在公共場所使用人臉識別技術(shù),或者存儲超過1萬人人臉信息的人臉識別技術(shù)使用者,應(yīng)當(dāng)在30個工作日內(nèi)向所屬地市級以上網(wǎng)信部門備案。石佳友認為,該規(guī)定對人臉識別技術(shù)使用者增加了“備案”的要求,加強了對人臉識別技術(shù)使用者的監(jiān)管,且規(guī)定了什么樣的場景下必須要備案,有利于形成統(tǒng)一、規(guī)范、透明的備案制度。而備案制度讓人臉識別技術(shù)使用門檻提高,小區(qū)物業(yè)、手機應(yīng)用、打卡公司等企業(yè)或?qū)⒔档腿四槻杉夹g(shù)的應(yīng)用頻率。
人臉識別技術(shù)抓取人臉信息之后,如何處理這一類個人敏感信息是公眾擔(dān)心的問題。對此,《征求意見稿》第17條指出,除法定條件或者取得個人單獨同意外,人臉識別技術(shù)使用者不得保存人臉原始圖像、圖片、視頻,經(jīng)過匿名化處理的人臉信息除外。
石佳友認為,此條規(guī)定嘗試從源頭杜絕人臉數(shù)據(jù)被泄露和不法使用的問題,“人臉信息收集的目的就是識別,按原則來說,達到識別目的后,原始人臉信息就應(yīng)該被刪除,沒有保存一說,技術(shù)使用者如果在應(yīng)用中能落實這一條,后續(xù)個人信息泄露所引發(fā)的問題將大大減少?!彼f。
遠距離、無感知識別指的是在被識別者不知情的情況下對其進行人臉辨別。近些年,有房地產(chǎn)銷售商為判定客源,在消費者進入售樓中心后使用該技術(shù)抓拍消費者的人臉照片并記錄其行動軌跡,以分析其購買意愿、心理特征等,引發(fā)社會爭議。
對此,《征求意見稿》指出, “遠距離、無感式辨識特定自然人”的使用前提應(yīng)當(dāng)是“為維護國家安全、公共安全或者為緊急情況下保護自然人生命健康和財產(chǎn)安全所必需”。石佳友表示,這類使用目的對應(yīng)到實際場景中通常是尋找失蹤人員、犯罪嫌疑人、犯罪受害人等,使用者也多是公安機關(guān)等國家單位。實際上,這也是國際上公認的人臉識別技術(shù)所允許應(yīng)用的場景。
《征求意見稿》還指明,使用未成年人人臉信息需要其監(jiān)護人同意。石佳友指出,未成年人的風(fēng)險認知能力較弱,“在網(wǎng)絡(luò)游戲等一些場景中,或出于小恩小惠就把人臉信息提供出去,而人臉信息不可更改,一旦泄露并被濫用,或?qū)ζ湟簧a(chǎn)生重大影響。因此,采集未成年人人臉識別技術(shù)需要警惕。”
此外,《征求意見稿》中部分條款是對個人信息保護法的重申或細化落實。比如第4、5條規(guī)定,使用人臉識別技術(shù)需要具有“特定目的”和“充分必要性”,且應(yīng)當(dāng)“取得個人同意”,分別是對個人信息保護法第28條和第13條的細化落實。
石佳友認為,上述兩條法規(guī)在人臉識別技術(shù)的實際應(yīng)用中并未得到嚴格執(zhí)行。“生活里很多本可以使用刷卡等驗證方式的場景,諸如進出校園、小區(qū)等,卻升級為人臉識別驗證。且人臉識別服務(wù)存在‘使用即同意'的現(xiàn)象,或者將人臉識別設(shè)置為唯一的識別方式,導(dǎo)致個體因需要選擇服務(wù)而不得不同意,這并不符合法律規(guī)范”,他說,“《征求意見稿》中重申這兩條法規(guī),希望技術(shù)使用者能落地執(zhí)行,人臉識別技術(shù)不可以被隨處使用,也不能不經(jīng)個人同意就施加使用?!?/span>
值得注意的是,《征求意見稿》中首次提出“人臉識別技術(shù)使用者”這一主體,而個人信息保護法中使用的是“個人信息處理者”表述。石佳友表示,目前,法律對這兩個主體概念范圍的辨析尚不明確,建議《征求意見稿》可進一步對“人臉識別技術(shù)使用者”這一關(guān)鍵詞進行解釋界定,明確主體含義后,才能精準(zhǔn)地界定適用對象和范圍。
石佳友認為,法律應(yīng)對人臉識別技術(shù)使用者違法行為的具體認定標(biāo)準(zhǔn)和處罰措施進一步細化。目前,《征求意見稿》中對人臉識別技術(shù)使用者的監(jiān)督機制較弱,對于違法行為的認定和處罰措施參照的是個人信息保護法、網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法等上位法。他建議,可以在《征求意見稿》中細化法律責(zé)任,“何種情況下約談?何種情況下罰款,罰多少?都可以細化,法律責(zé)任部分充實了,才能對違法者起到震懾作用。”
此外他建議,《征求意見稿》中尚且缺乏對公民在人臉識別場景下個人信息權(quán)益具體的保護措施,當(dāng)公民個人敏感信息被泄露或不法使用時,需要為個體指明救濟途徑和渠道,以及當(dāng)發(fā)生嚴重的人臉信息泄露問題,需要具備應(yīng)對問題的應(yīng)急預(yù)案。