两元能买上千张人脸照片 专家:人脸识别亟待完善法律防止滥用
生物识别技术是指通过计算机利用人体所固有的生理特征进行个人身份鉴定的技术。目前,在生活中使用最多的生物识别技术是指纹识别和人脸识别
人脸信息属于个人信息中的敏感个人信息,其一旦泄露或者被非法使用,可能导致人脸的主体受到歧视或者人身、财产安全受到严重威胁或危害
在法律法规已有明确要求的“强认证”场景(如公共安全、金融支付)下,使用人脸识别完成精确的身份比对和验证,有其必要性和合理性,但也要对人脸数据进行妥善保管,不得泄露、滥用。对于一些没有明确法律规定的场景,不宜使用人脸识别作为唯一的验证方式
如今,我们已进入“刷脸”时代。从扫码支付、指纹支付到人脸识别,数字技术的发展成熟将人们的生活不断简化,人们对新技术在社交、生活场景中的广泛应用也习以为常。
然而,随着人脸识别技术的广泛运用,个人信息泄露、信息被盗取的情况时有发生。近日,有媒体报道称,在某些网络交易平台上,只要花两元钱就能买到上千张人脸照片,而5000多张人脸照片标价还不到10元。
在警方今年破获的两起盗用公民个人信息案中,犯罪嫌疑人都是利用“AI换脸技术”非法获取公民照片进行一定预处理,再通过“照片活化”软件生成动态视频,成功骗过人脸核验机制,从而实施犯罪。
人脸识别广泛应用存在信息泄露风险
采访中,北京理工大学法学院民法典研究中心主任孟强介绍,人脸识别是生物识别技术的一种。生物识别技术是指通过计算机利用人体所固有的生理特征进行个人身份鉴定的技术。目前,在生活中使用最多的生物识别技术是指纹识别和人脸识别,主要的使用场合为手机支付、银行金融机构软件的登录使用、智能手机的解锁、学校或小区的门禁门锁、单位考勤等生活场景。人脸识别技术在目前得到了较快发展,识别的精准程度相当高,疫情期间甚至发展到能够自动识别戴口罩的人脸。人脸识别对于相关单位和机构业务的展开、用户的管理具有较高的便利性,因此得到了许多机构的欢迎。
企查查数据显示,目前我国共有超过1万家人脸识别相关企业,2019年新增企业2110家,同比增长36%。今年前三季度注册量达1161家,同比下降17.7%,其中三季度新增387家。
《人脸识别应用公众调研报告(2020)》(以下简称《报告》)显示,受访者更能接受基于安防场景的人脸识别应用,如公共安全摄像头、闯红灯记录系统。此外,《法治日报》记者在调查过程中发现,普通人更加关注获取到个人信息的主体,相比较一些私企、小公司,人们普遍认为官方通过人脸识别等技术进行信息核验的方式,在安全性上更有保障。
家住江苏南通的季女士因工作到北京出差。一路上,从走进高铁站的身份核验到北京健康宝的个人信息验证都要通过人脸识别功能完成。季女士认为人脸验证为大家节省了很多不必要的排队时间,提高了各个地方的工作效率。
“疫情防控期间,很多地方出入都要登记个人信息,而且是手写的那种,经常会出现排队填表的情况,很麻烦又浪费时间,这个健康宝我觉得设计的很科学、合理,你是谁、什么身份、长什么样子、去过哪里,一次性把信息都核查到位了。”对于当前人脸识别带来的信息泄露问题,季女士认为没必要因为个例就过分担心,这属于因噎废食。
在季女士看来:“信息被盗其实还是极少数的现象,个人一定要具备安全防范意识。比如像高铁站、“健康宝”背后的责任单位都是国家相关部门,所以信息泄露的问题是完全没必要担心的。但是一些个人创办的App需要人脸验证,可能就需要大家衡量一下是否有这个必要,以及考虑它是否会带来信息泄露的风险。”
目前正在就读法学类别的研究生王浩说,研究生入学时,他就体验了一把人脸识别报道注册。“在学校用人脸识别技术收集同学们的数据信息,我个人认为是挺方便的,不管是出入校门还是统计信息,都大大节省了我们的时间。而且学校一定会保护个人信息不外泄,这一方面是可以放心的。”
不过王浩也提出,有个别高校运用人脸识别收集学生的抬头率、上课的专注情况,可能侵犯学生权益。“首先,如果要进行这种检测,需要提前告知学生,因为大家有权利决定是否被记录,这也是学生基本的权利。其二,大学生都是成年人了,可以对自己的行为负责,上课是否专注这种事情,其实学校没有必要再监管。其三,用抬头率这种标准来检测学生是否专注,得到的结果也未必靠谱。”王浩说。
对于人脸识别技术的应用,来自某师范大学的刘同学则感到十分担忧。刘同学认为,按照以前的观念,个人证件照、身份证等对于个人的重要性都是毋庸置疑的,但是现在商家居然可以随意获取个人身份证信息,真是让人不寒而栗。
“我有同学身份证丢失,然后被别有用心的人拿去网贷,而这种借贷除了要有身份证,原本还需要通过人脸识别才能完成办理,但居然也通过了,于是莫名其妙就“被”网贷了。后来去报了案,但是对方太狡猾了,一直都没有被抓到。”刘同学说。
亟待完善法律规范有效防止技术滥用
近年来,人脸识别技术呈现加速落地的趋势。不过,各地关于人脸识别技术使用的争议也不断出现。如2020年9月,清华大学法学院教授劳东燕拒绝小区采用人脸识别作为门禁手段,此事经媒体报道后引发热议。今年以来,广西、陕西、浙江等地的一些居民小区也曾出现人脸识别门禁引发的争议事件。
2020年6月,我国“人脸识别第一案”开庭。该案中,浙江某大学一名副教授于2019年4月从动物园购买了野生动物世界年卡,可通过验证年卡及指纹入园游玩,同年10月他被告知未注册人脸识别的用户将无法正常入园”。于是,该副教授将动物园诉至法院。
相较于身份证号、手机号之类的个人信息泄露,目前曝光于大众视野的人脸数据泄露事件并不多。但《报告》显示,64.39%的受访者认为人脸识别技术有滥用趋势,超过三成的受访者表示已经因人脸信息泄露、滥用等遭受损失或隐私被侵犯。
采访中,中国传媒大学人类命运共同体研究院副院长王四新表示,滥用主要指小题大作,或者说根本不需要做人脸识别的,但偏偏要将其作为进入下一道程序的必要条件。
中国传媒大学文化产业管理学院法律系主任郑宁认为,人脸信息作为个人信息中最为敏感的一类“个人生物识别信息”,更应该成为重点关注和保护的对象。值得注意的是,个人信息保护法草案已把个人生物特征列入敏感个人信息,处理敏感个人信息应当取得个人的单独同意,个人信息处理者应当告知处理的必要性及对个人的影响。草案还拟规定公共场所安装图像采集、个人身份识别设备,应该为维护公共安全所必需,且只能用于维护公共安全的目的。
“人脸识别的滥用在实践中是肯定存在的,是否需要急刹车主要取决于人脸识别的使用者和被使用者之间的博弈,公共机构一般不易介入这样问题的决策。”王四新认为,“因为人脸识别需要成本,滥用涉及使用者成本承担的问题,这会限制人脸识别被滥用的程度。如果仅仅是滥用,滥用之后没有其他的非法诉求,或者没有以人脸识别所获取的数据进行其他牟利或犯罪行为的,一般上作为监管机构来讲不需要主动插手,也不用担心是不是需要“急刹车”的问题。”
在采访中,《法治日报》记者也注意到,目前法律对个人信息的保护主要是以个人同意为基础。但不少受访者则表示,很多人在表达同意的时候,其实根本没有获得充分有效的信息告知,并不知道其中蕴含的重大风险,或者因没有其他的选项不得不作出同意。
“如果不是法定强制人脸识别的场景,应提供其他替代性的验证机制,赋予公众选择权。”郑宁说。
北京师范大学法学院教授刘德良认为,个人信息至少有三种属性,对个人来讲,它是个人在社会当中一种自我表征身份;对社会公众来讲,个人信息也是社会公众识别个人的符号形式;对国家来讲,个人信息是国家治理的一个重要手段。
“人脸识别主要需要防止它滥用,而不是通过规定哪些信息可以用、哪些信息不可用。对个人信息的滥用要作出科学的界定,明确有哪些类型,然后通过法律来对滥用进行规制。”在刘德良看来,人们现在都在强调保护、防止泄露,而没有做到有效防止滥用,结果导致我们越强调保护,现实中出现的问题越多。
(原题为《人脸识别应用边界何在》)
更多阅读:
强化落实人脸信息处理“告知—同意”规则
对话人
北京理工大学法学院民法典研究中心主任
孟 强
北京师范大学法学院教授
刘德良
中国传媒大学文化产业管理学院法律系主任
郑 宁
中国传媒大学人类命运共同体研究院副院长
王四新
人脸信息保管不当容易导致数据泄露
记者:《人脸识别应用公众调研报告(2020)》(以下简称《报告》)显示,在安全性感受方面,受访者给出的分数则明显偏低,仅有交通安检场景的平均分超过4分,这是否体现了受访者对人脸识别安全风险的忧虑态度?
郑宁:当前,公众对人脸识别安全风险的态度较为消极。在当下社会,以国家安全、社会安全、公共利益的名义采集个人生物数据越来越普遍。人脸信息可能在我们根本不知情的情况下,每天被捕捉、识别达数百次,而不健全的数据安全管理制度让人们心生忧虑。如果犯罪分子用个人人脸数据,开通相关账户用于违法犯罪,比如洗钱、涉黑、恐怖主义,个人可能会因此而卷入刑事诉讼之中。
孟强:人脸信息属于个人信息中的敏感个人信息,其一旦泄露或者非法使用,可能导致人脸的主体受到歧视或者人身、财产安全受到严重威胁或危害。而目前不少单位或企业对于人脸信息的采集较为随意甚至泛滥,并且对所采集的人脸信息并未能够依法妥当保管,导致数据泄露,在网络上甚至形成了买卖人脸数据的黑色产业链,进而导致了人脸信息的非法使用,给不少人带来了财产损失和人身权益损失,因此引起了社会层面不少的忧虑。
记者:此外,人脸识别还存在比较突出的“强制使用”问题。《报告》显示,在“交通安检”场景遇到强制人脸识别的受访者最多,达到27.39%,随后是“实名登记”(26.42%)、“开户销户”(25.94%)、“支付转账”(25.81%)、“门禁考勤”(21.76%)。
郑宁:在法律法规已有明确要求的“强认证”场景(如公共安全、金融支付)下,使用人脸识别完成精确的身份比对和验证,有其必要性和合理性,但也要对人脸数据进行妥善保管,不得泄露、滥用。
对于一些没有明确法律规定的场景,不宜使用人脸识别作为唯一的验证方式。根据《报告》,相较于人脸识别,公众更愿意使用手机验证码、密码等验证手段,没有合法正当目的,不宜大规模推广人脸识别。
记者:我们也注意到,近期公开征求意见的个人信息保护法草案第二十九条拟规定,个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息。
孟强:这一规定其实具有现实针对性。因为不少单位、企业存在随意采集人脸信息的现象,未能遵循“特定的目的”和“充分的必要性”的要求。在机场、高铁站等人流集中、高度关乎公共安全的场合采集人脸信息,针对不特定人流进行扫描,并且在具体个人搭乘交通工具时要求进行人脸识别认证,这种做法是为了公共安全,也是出于社会公共利益和国家安全,因此这种“强认证”具有一定的合理性。
但是有些单位,其要求用户、顾客进行人脸识别认证与公共利益关联度不大,而且并没有充分的必要性,但也无差别要求对用户或顾客进行人脸识别认证。这类行为极易引起人们的警惕和反感。
强化获取信息管理,严惩违规搜集行为
记者:对于人脸识别技术,很多评论也指出不能一味抵抗和反对。因为科技的进步能够给全人类带来前所未有的便利,人脸识别技术在公共安全维护、犯罪侦查、嫌疑人抓捕、用户金融财产安全保护、办公及住宅安全保护等方面发挥着不可替代的作用,这在我国疫情防控工作中得到了充分体现。
孟强:但是,科技也会是一柄双刃剑,必须以法治进行驾驭,否则可能刀刃向内,损害用户利益。对于人们担忧人脸识别技术的滥用,应当从三方面加强管理:
一是强化获取人脸信息的管理。要在全社会进行宣传,使各个单位和人民群众普遍认识到人脸信息属于高度敏感的个人信息,必须严格保护。进而,必须严格贯彻对获取人脸信息“特定的目的”和“充分的必要性”的条件限制,对于不符合条件而强行搜集获取人脸信息的行为进行严厉惩罚。
二是强化落实人脸信息处理的“告知—同意”规则。实践中对于取得用户同意才能搜集使用其个人信息的要求,许多单位或机构利用其优势地位,或者利用格式条款,强迫用户作出同意,或者作出“一揽子”授权许可,导致用户权益依然受到侵犯。未来应当制定单行法律法规,强化重点领域的人脸识别规范,对一些高风险领域应当强调同意必须以书面形式做成,进一步保障用户的知情同意权。
三是强化落实国家机关搜集和处理人脸信息的相关义务和责任。国家机关及其授权的主体是搜集采集人脸信息的主要主体。这一类行为由于出发点是为了公共安全或者行政管理的需要,具有正当性,但也必须遵循对用户告知并征求同意的规则,并且对人脸信息数据的处理要严格依法进行,否则一旦有国家机关工作人员滥用职权或者玩忽职守,则极可能发生大规模人脸信息泄露的事件,后果极为严重。
王四新:对于法律没有明确要求的“强制性”应用场景,实践中也并不一定意味着就不能这么做。一般来讲,衡量一项强制认证是否合理的标准,可以从几个方面来衡量:
第一,相应的程序性要求是否已经具备,比如授权同意是否已经出具,使用者是否能够作出自由的选择;第二,如果不能做出自由选择的话,消费者被迫进入的使用模式会不会给消费者带来不利的影响,尤其是对个别消费者,强制使用过程中会不会形成歧视或者区别对待;第三,强制认证的实施方是否已经有相应的安全措施,是否把这些安全措施向被使用者充分展示。
记者:在未来,是否法律应将保护数据安全的主要责任放在数据控制者与处理者的身上,毕竟相应的风险是由数据控制者与处理者的收集、保管、使用等行为所制造,而主要的利益也由其所享有。
郑宁:数据控制者和处理者是数据安全的第一责任主体,也是主要的受益方,风险与回报应当成比例。当然,有关部门也要加强监管和执法。
刘德良:个人信息保护法强调的主要是保护,目前缺少有效解决滥用问题的法律。目前来讲,我们各个场所里人脸识别的要求基本都是正当的,目前要担心的是后面的滥用。我们的教育引导和立法,要把重点放在如何有效的防止滥用。
王四新:我认为对人脸信息进行单独立法完全没有必要,不需要制定专门限制人脸识别使用场景、使用条件,或者对人脸识别提出系统性规范性要求的必要。人脸识别问题主要涉及到个人数据个人隐私的保护,它是属于个人数据个人隐私保护的组成部分,这个领域存在的问题完全可以通过已有的对个人数据保护的相关法律来完成。(本文来自澎湃新闻,更多原创资讯请下载“澎湃新闻”APP)
新闻推荐
国家组织冠脉支架集中带量采购开标 曾高达万元的冠脉支架进入“千元时代”
本报讯(记者李丹青)曾经高达万元的冠脉支架,进入了“千元时代”。记者从国家组织高值医用耗材联合采购办公室获悉,从冠脉支架...