随着科学技术的发展,人脸识别技术应用到越来越多的生活场景中。小区门口、单位大门以及不少自动贩卖机上都安装了人脸识别系统。简单地刷一刷人脸,小区的大门就能自动打开,手机支付的钱就自动转出去了。不少人在感叹科技神奇的同时也产生疑惑:这真的安全吗?是必须的吗?应用方有强制采集的权限吗?对此,记者关注到近期相关案例并请专家进行解析。
人脸识别门禁受教授质疑
据报道,此前,清华大学法学院教授劳东燕在一次学术会议上分享了自己遇到的经历。她居住的小区贴出安装人脸识别门禁系统的公告,要求业主提供房产证、身份证、人脸识别等信息。身为法学教授,她深知人脸识别信息被滥用的风险很高,物业更是无权收集这些个人信息。她搜集到的有关人脸识别风险的报道和法律依据,发到两个各有数百名业主的微信群;接着写了一封法律函,分别寄给了居委会和物业;她又作为业主和街道、业委会、物业进行了“谈判”。很快街道同意业主出入小区,可以自愿选择门禁卡、手机或人脸识别的方式,而并不是强制要求使用人脸识别。
记者联系到劳东燕教授时,她正忙于去上课,她表示关于人脸识别维权的经历,自己年前已经在多个场合发表过意见,不多说,她希望人脸识别涉及的个人隐私泄露问题可以得到更多的重视。此前,她在接受媒体采访时表示,《个人信息保护法》草案对于个人在信息保护方面的权利规定比较多,有其积极意义。但同时,现在这个权利只是规定在法条当中,救济条款还是比较欠缺的,个人维权困难。在传统的法律体系当中,关于这种类型的信息泄露,都把主要的责任分配到个人身上,让个人保住自己的信息,但其实在网络时代这种风险很难规避。劳教授认为,关于人脸识别系统带来的信息保护问题,主要的责任应该放在数据收集者、使用者身上。在人脸识别系统的使用中,用户获得了一定的便捷,但这种便捷跟企业所获得的商业性的利益,或者跟政府部门所获得的监管性的利益相比,实际上是很少一部分。因此谁在整个事情当中获得最大的利益,谁才应该主要对这个风险来负责。
劳教授的经历和看法引起了不少网友的共鸣。“门卡可以换,密码可以换,人脸没法换,这样的较真有意义。”不少网友发出支持劳教授的看法。
为什么人脸识别容易造成隐私泄露?
人工智能研究学者、荷兰阿姆斯特丹自由大学华人教授黄智生告诉扬子晚报记者,由于人脸识别获取的是高清晰度的人脸图像信息, 如果对这些个人信息缺乏严格的管理和保护措施,就很可能被不法分子所获取用于侵犯个人隐私乃至其它犯罪行为。这包括用于伪造个人淫秽照片或影像,虚假的个人犯罪现场记录,通过网络社交媒体手段欺骗家里的老人,或诈骗等。这会给个人和社会带来严重问题。黄智生说,绝对不能滥用人脸识别技术,所以要严格立法,界定人脸识别的合法应用范围。如果海关和机场出于安全和效率方面的考虑,是可以在一定范围内使用的。但小区安保,校园管理,酒店入住,游乐园区的出入管理等就没有必要了。
那么现在人们手机,用各种支付,用各种软件,都采集了个人信息,为什么人脸识别泄露的危害更大呢?黄教授认为,个人隐私数据保护实际上是与这些个人数据的管理保护的可靠性紧密相关的。手机支付通常由大公司介入,这些大公司在管理上相对会严格一些,因为一旦个人数据外泄就足以让这些大公司破产,而使用软件小程序的公司就很难保证个人数据的管理安全。
隐私数据采集应遵循“知情同意,最小必要”原则
南京邮电大学数字经济研究所所长姚国章教授认为,人脸作为人的重要生物信息,具有唯一性、稳定性和专有性的特征,同时也是不需要人脸主体主动配合就可以被采集到的个体信息,一旦被“滥采”或“泛采”,既有可能会被不法分子伪造影像用于犯罪,也有可能造成行为主体的隐私外泄,比如个人行踪被他人获知等。目前,欧美国家在人脸识别等隐私数据第三方采集方面有着严格限制,相关的法律体系较为完善,如欧盟《通用数据保护条例》,遵循“原则禁止,特殊例外”的准则,对人脸等敏感生物特征数据有明确保护。
国内人工智能技术近年发展很快,人脸识别应用可谓遍地开花,一定程度上出现了不少乱象,相应的法律法规相对较为滞后。“个人认为物业、第三方商业机构采集人脸数据,有点过度滥采,应该作相应的限制和明确的制约,人脸数据既不能滥采,更不能滥用。”姚教授说,这两年的人工智能发展,大家都想获得一些数据,存在有意或无意的采集用于商业的应用,当前,立法规范和隐私数据保护责任的落实,防止隐私数据的泄露或被盗,人脸数据采集者和使用者的责任及业务等方面亟待明确,尤其是给人脸主体造成危害时如何追责等需要有相应的制度约束。
姚教授说,对于隐私数据过度采集的问题,比如APP对个人信息滥采的问题,包括指纹、人脸、个人通讯录等个人敏感数据的采集,工信部正在制定的《APP用户权益保护测评规范》提出了“知情同意”和“最小必要”两条原则很有价值,“知情同意”是要让用户知道采集人脸数据做什么用,用多长时间,怎么销毁等等,只有用户认可了才能被采;“最小必要”是在满足APP运行基本需要的前提下尽可能最小范围采集用户数据,因为隐私数据涉及到个人财产、行动轨迹、社会活动等方方面面,一旦泄露对个人、对社会都会产生极大危害,必须对此引起高度重视。前不久一位94岁老人为了激活社保卡被子女抬进银行进行人脸识别,这样荒唐的事希望不要再次出现。
明示目的、方式和范围且符合《民法典》规定
人脸识别技术虽然方便了管理,但也存在诸多问题和隐患。江苏天倪律师事务所王灿林律师认为,由于人脸识别技术不需要直接接触被采集者,有些人对自己被采集人脸信息都不知情;有些人虽然知情,但在某些场合不得不接受采集,否则无法获得相应的社会服务;另一方面,收集方将采集来的人脸信息有可能会用于其他场景,甚至直接提供给他人使用,以及数据安全保护方面均存在一定的安全隐患和法律风险。
针对以上问题,王灿林律师列出了相关法律规定和法律风险:
1. 人脸识别信息是法律明确规定的受法律保护的个人信息。《民法典》明确规定,自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
2. 采集人脸识别信息应征得个人同意,除此之外不容忽视的是,应当明示处理信息的目的、方式和范围。《民法典》规定处理个人信息既要遵循合法、正当、必要原则,也要满足上述条件,因而,采集方不能仅认为自然人同意被“刷脸”其收集行为就合法了,也可能涉及到侵权或者涉嫌犯罪。
3. 为了加强对公民个人信息的保护,2015年《刑法修正案(九)》增加新罪名“侵犯公民个人信息罪”,扩大犯罪主体和个人信息范围。2017年最高人民法院、最高人民检察院出台《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,规定“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。2021年开始实施的《民法典》明确提出“生物识别信息”属于个人信息,当然也适用刑法上的司法解释。那么,根据该司法解释规定,如果违反国家规定采集人脸识别信息,就属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。另外,如果未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。以上两种情况均构成侵犯公民个人信息罪,是应当值得注意的法律风险。
扬子晚报/紫牛新闻记者 任国勇 张冰晶 文/摄
校对 王菲
来源:紫牛新闻
