文/意见领袖专栏机构 北京和昶律师事务所
本文作者:朱一博,北京和昶律师事务所律师
从出行刷脸进站,刷脸登记入住酒店,到人脸解锁手机、App刷脸支付转账、一键美颜换装换脸,人脸识别技术的应用在我国一路高歌猛进,逐渐与我们亲密无间,带来便利的同时也使得我们的人脸信息“处处留痕”。
一、技术可以实现,但不能越界
“人脸识别”指的是对人的脸部特征信息进行身份识别的一种生物识别技术,简单来说包括几个步骤:采集人脸图像、提取人脸特征、进行人脸比对。主要功能包括:“人脸监控”与“人脸验证”。“人脸监控”意在识别你是否是有特定身份的人,如政府部门为维护公共安全、公共利益,在车站机场、街头巷尾乃至演唱会使用人脸识别追踪犯罪嫌疑人、寻找失踪人口;“人脸验证”则是为了核实验证人与录入人是否为同一人,手机解锁、刷脸消费都是这种功能的具体应用。此外,借助算法对人脸数据进行分析,人脸识别还可以实现检测遗传病、帮助盲人识别聊天对象的面部表情等功能。
尽管人脸识别技术的适用门槛不断降低,所到之处方能彰显“人工智能”的发展,但并非所有场景都有使用此项技术的必要。2019年,杭州野生动物世界为提高入园效率将入园系统改为人脸识别,浙江理工大学副教授郭兵因不愿使用人脸识别入园,以违反消费者权益保护法为依据,将杭州野生动物世界告上法庭,被称为“人脸识别第一案”;曾红极一时的人脸识别厕纸机采用人脸识别技术只是为了限制同一个人的取纸数量,避免重复取纸;人脸识别厕纸机黯然离场,垃圾分类浪潮又催生了“神器”——人脸识别垃圾桶,为垃圾分类的局面提供积分奖励……
人脸信息属于个人敏感信息,是伴随我们一生无法变更的身份证号,当所有应用都以人脸作为入口,那么人脸信息一旦泄露,我们将一所有。人脸识别技术以获取人脸信息为代价,无论线上线下,必要性是使用该项技术的前提,当达成目的有其他替代手段,如刷卡入园、手机扫码取纸、获取积分奖励,那么人脸识别就不应当成为唯一或者首要选择。值得关注的是,根据2020年9月发布的《App个人信息保护常见问题及处置指南》(以下简称《指南》),在非必需的服务场景,诱导或者强制采集人脸信息属于强制收集非必要个人信息,除为满足法律法规规定、保护公共利益和个人重要人身财产权利之外,App不应当将使用人脸信息作为实现业务目标的唯一方式。
二、谁的“脸”,谁做主
2015年,美国伊利诺伊州三位公民认为脸书(Facebook)未向其告知并经其同意采用人脸识别技术向法院提起诉讼。据了解,2010年,脸书推出“标签建议”功能,通过人脸识别技术找出用户照片中的好友,提醒用户对好友进行标注。然而该功能默认开启,且脸书在收集和存储人脸数据时没有做到明确告知并征得用户书面同意,违反了伊利诺伊州《生物特征信息隐私法》(BIPA)的要求。2019年7月,脸书同意支付50亿美元,与美国联邦贸易委员会(FTC)就相关隐私案达成和解。9月,脸书宣布提供可开启或关闭人脸识别的切换按钮。目前,脸书滥用人脸识别的关联案件变为集体诉讼,根据法律规定,脸书可能面临最高可达350亿美元的罚金。
在我国,未向用户告知并经用户同意收集、使用人脸信息的情形屡见不鲜。如《人脸识别落地场景观察报告(2019)》提及的,未经学生或监护人同意,使用人脸识别系统检测学生抬头率、抓拍高清图片,乃至监测情绪;商场在人流密集区域部署隐蔽摄像头抓拍人脸,通过云端进行人脸识别,匹配会员信息,在多方数据的基础上形成顾客画像。2020年9月12日,创新工场董事长李开复在HICOOL全球创业者峰会上公开演讲称,曾帮助旷视科技公司找了美图和蚂蚁金服等合作伙伴,让他们拿到了大量的人脸数据”,虽然事后澄清是口误,仍无法消除公众对人脸数据被肆意共享的担忧。
人脸信息不但是个人信息,而且是个人信息中重要的部分——个人敏感信息,属于个人敏感信息中的个人生物识别信息。除非为了公共利益,用户(或顾客)对其人脸信息享有绝对控制权,是人脸信息的主人。我国法律明确规定自然人的个人信息受法律保护,获取他人个人信息应当依法取得,违法收集、使用个人信息涉嫌民事侵权、行政违法甚至刑事犯罪。
何为依法?遵循知情同意原则,告知人脸信息的主人为什么需要收集、收集哪些信息以及如何收集、使用这些信息,尊重用户(或顾客)的决定,获得同意后收集、使用才是合法的。另外,根据《指南》以及2020年10月1日实施的《个人信息安全规范》(GB/T 35273—2020)(以下简称《规范》),区别于其他个人信息,收集人脸信息等个人生物识别信息前,需要向信息主体通过单独协议或显著说明,单独、同步告知收集、使用个人的信息的目的、方式、范围以及存储时间等规则。
三、排查隐患,践行规范
即便有必要采用人脸识别技术,即便用户授权采集人脸信息,排查安全漏洞提高验证精准度、排查存储、传输等环节的隐患,防止信息泄露是人脸信息收集者应尽的责任。
《人脸识别技术在App应用中的隐私安全研究报告》显示,在测评的14款App中,共有5款存在数据泄露安全风险,问题集中于敏感数据明文传输、证书校验不当存在中间人攻击风险,部分App可以利用黑白照片或播放视频绕过真人识别检测;2019年,人脸识别技术公司深网视界公司被曝因人脸识别数据库没有设置密码导致发生大规模数据泄露……
前车之鉴,人脸信息泄露并非遥不可及,媒体曝光人脸信息买卖黑色产业链5000多张照片仅标价10元。近年来,利用他人人脸信息“换脸”制作淫秽色情视频、传播虚假信息、盗号、盗刷等违法犯罪行为逐渐增多。
“刷脸时代”,守护隐私安全既要确保人脸识别技术本身安全,保护用户通过人脸这个密码锁住的隐私,又要保护用户人脸信息的隐私安全。针对前者,人脸信息收集者需要打磨验证识别技术,避免采用静默式识别,代之以读数等方式,将照片、播放视频或动态图片拦在门外;至于后者,《规范》明确对于个人生物识别信息,应采用加密等安全措施、与个人身份信息分开存储、以不存储原始个人生物识别信息为原则等举措。
隐私安全、数据安全是人脸识别技术发展的红线,而非枷锁,注重数据安全、保护隐私方能创造合规、持久的技术,正如微软公司总裁施博德(Brad Smith)所言,“如果人们信任技术,就会使用它,为行业创造更大的机会”。
(本文作者介绍:北京和昶律师事务所是一家以刑事辩护和刑事风险防控为主的专业型、研究型律师事务所)