图片来源:富阳法院官方微信
无论判决结果如何,正如当事人郭兵所说,他的起诉其实是出于一种公益目的,为了提高更多人对个人信息保护的警觉性。诚然,大数据发展迅猛的今天,面部信息、指纹等生物数据作为个人敏感信息,更具有法律保护价值。
浙江大学光华法学院互联网法律研究中心主任高艳东接受科技日报记者采访时表示,当前人脸识别等新技术被广泛应用,但相关法律仍存空白,个人信息的采集和应用边界有待明确。此次案件,不仅可以提高民众的意识,同时也可以警示企业和商家注意对用户隐私的尊重和保护。
人们对人脸识别技术安全性的质疑,从其诞生以来伴随至今。
以此次案件为例,动物园要求人脸识别,其是否具备相应采集公民人脸敏感信息的资质?如果任何一个商家主体都可以随意采集人脸信息,那么人脸识别固然方便了人们的生活,但同时人们的个人信息安全该如何得到保障?
“此次案件中,当事人提起诉讼的直接案由,是他认为消费者的选择权被侵犯,因为这个案件涉及到了人脸识别,才会引起诸多关注。”杭州电子科技大学法学院副教授李庆峰介绍说,但从现有的人脸数据泄露、利用AI换脸技术犯罪的隐患来看,这一案件将起到重要的警示作用。
今年2月,一家美国AI创业公司Clearview AI被爆出泄露客户超过30亿人脸数据的丑闻。回到国内,新冠肺炎期间,“上万张戴着口罩的脸部照片在网上被贱卖”的资讯也见诸报端。
据公安部4月15日发布的统计数据,新冠肺炎疫情发生以来,全国公安机关已经对1522名网上传播涉疫情公民个人信息的违法人员进行了治安处罚。
“案件当事人是出于保护个人隐私的意图,但状告理由却是‘服务合同违约’。这表明我国对此的相关法律制度仍然不健全。”高艳东表示,关于个人隐私保护,一方面,刚刚通过的《民法典》未对此做出详细规定,另一方面,2020年出台的《个人信息安全规范》虽然作出了较为详尽的规定,但作为行业推荐性规范,其法律层级不高,难以作为诉讼理由。
高艳东补充道,包含人脸数据在内的个人信息泄露的现象不容忽视,要从根本上遏制信息泄露问题,需要充实个人信息权的内容,推动个人信息保护模式从“国家保护”转向兼顾“私人自卫”,明确个人信息权的内容及赔偿标准,推动个人维权机制。
现如今,出入小区、去居民楼下的便民超市购物,或许都可以实现刷脸进出、刷脸支付,人脸识别技术应用场景逐渐增多,其便捷性越来越为大众所熟知。
据《2019年中国刷脸支付技术应用社会价值专题研究报告》显示,2019年正式开启了刷脸支付的“新元年”,国内刷脸支付用户达到1.18亿人。预计到2022年,刷脸支付用户规模超7.6亿人。在李庆峰看来,人脸识别技术的应用须遵循客观需要,为“炫技术”、“赶时髦”而用显得本末倒置,公民对于人脸信息是否该被采集有着选择权。
图片来源:视觉中国
对此,高艳东表示,人脸识别应用场景所在行业首先需要具有法律的实名制要求,在此基础上才可申请人脸识别应用,主要应用于对安全性要求较高的行业领域,如金融、交通等行业及政府行政需求等。
如果该行业不要求实名认证用户身份,那么其人脸识别技术则应当视为滥用。
《个人信息安全规范》规定,“收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围以及存储时间等规则,并征得个人信息主体的明示同意”,同时在企业个人信息保护政策中,对这类敏感信息应当着重突出显示,提醒用户注意。
去年11月,有媒体报道,西安市曲江新区某小区对门禁进行升级,贴出公告采用“人脸识别”,却遭到业主质疑、担心人脸数据泄密。此外,在APP下载应用、员工上班打卡等场景下,也存在强制应用人脸识别的现象,很多应用软件,存在用户授权不到位、超范围收集、申请权限目的不明、滥用个人敏感信息的行为。
“在某些需要用户检验、支付的场景下,一个显示屏直接拦在你面前,用户只能选择同意,其选择权形同虚设,这种行为涉嫌违法,但目前来看,这类情况比较普遍,是非常令人担忧的。”李庆峰表示。
高艳东认为,人脸识别技术应当以用户自愿为前提,不可强制收集。如果需要采集用户的人脸信息,商家或企业首先要请求获得用户的授权,并提供相应明确的协议,告知用户采集信息的使用用途,保证用户的知情同意权,方可进行。
今年两会期间,全国人大常委会工作报告在下一步主要工作安排中指出,今年将围绕国家安全和社会治理,制定个人信息保护法。消息一出,引发广泛热议。
“这说明个人信息保护法顺应了老百姓对信息安全需求的呼声。”李庆峰对此表示,目前,因人脸识别技术直接导致的数据泄露案例虽然有限,但它的隐患巨大,只是这个黑色产业链还没有浮出水面,个人信息保护法的研究出台可谓未雨绸缪。
图片来源:视觉中国
高艳东说,《个人信息保护法》是我国第一部对于公民个人信息问题的专门立法,体现了我国对公民个人隐私保护的重视。该法律出台能够使个人隐私的保护真正落脚实处,使公民在维护个人隐私时有法可依。同时,该法律应当对当前社会各应用场景中面临的问题尽可能做出具体回应,例如人脸识别问题,小程序授权获取信息问题等,并给出相应的处理措施。
除了法律层面的完善,如何以技术约束技术?今年以来,“加快5G网络、数据中心等新型基础设施建设”被官方多次提及,意味着新基建将更深入、更广泛地融入实践。
“要通过技术手段,让包括人脸识别数据在内的个人信息流转得到清晰可靠的追溯,或许可搭载新基建来实现。”李庆峰说,具体是强制要求个人信息的采集单位,将相关数据通过新型基础设施完成报备,包括信息的采集、加工、处理、流转、使用等等各个环节,以实现个人信息流程溯源和责任追踪。
李庆峰认为,搭载新基建的同时,在立法、执法层面,应完善对滥用人脸识别技术、导致人脸等个人信息泄露行为的惩罚规范并加大惩处力度,三方面共同作用,消除人脸识别技术误用、滥用的隐患,保护公民个人隐私、保障社会安全。
来源:科技日报
