“臉面”的安全

文/朱政

2019年4月，郭某支付1360元購(gòu)買野生動(dòng)物世界“暢游365 天”雙人年卡，確定指紋識(shí)別入園方式。郭某與妻子留存了姓名、身份證號(hào)碼、電話號(hào)碼等，并錄入指紋、拍照。

2019 年7 月、10 月，野生動(dòng)物世界兩次向郭某發(fā)送短信，通知年卡入園識(shí)別系統(tǒng)更換事宜，要求激活人臉識(shí)別系統(tǒng)，否則將無(wú)法正常入園。郭某認(rèn)為人臉信息屬于高度敏感個(gè)人隱私，不同意接受人臉識(shí)別，要求園方退卡。雙方協(xié)商未果，2019 年10 月28日，郭某向浙江省杭州市富陽(yáng)區(qū)人民法院提起訴訟。

2021 年4 月9 日下午，全國(guó)“人臉識(shí)別第一案”在杭州中院二審判決。二審判決維持一審判決第一項(xiàng)、第二項(xiàng)，即判決野生動(dòng)物世界賠償郭某合同利益損失及交通費(fèi)共計(jì)1038元；判決野生動(dòng)物世界刪除郭某辦理指紋年卡時(shí)提交的包括照片在內(nèi)的面部特征信息，以及指紋識(shí)別信息。

濫用人臉識(shí)別技術(shù)會(huì)面臨極大的法律風(fēng)險(xiǎn)

供圖/視覺(jué)中國(guó)

人臉識(shí)別技術(shù)是基于人的臉部特征，用攝像機(jī)或攝像頭采集含有人臉的圖像或視頻，并自動(dòng)在圖像中檢測(cè)和跟蹤人臉，進(jìn)而對(duì)檢測(cè)到的人臉進(jìn)行臉部識(shí)別的一系列相關(guān)技術(shù)。近年來(lái)，人臉識(shí)別技術(shù)普及度逐年大幅升高，加上該技術(shù)與其他生物特征識(shí)別技術(shù)相比，具有使用簡(jiǎn)單、獲取方便、結(jié)果直觀、非接觸性驗(yàn)證及可擴(kuò)展性良好等眾多優(yōu)勢(shì)，已經(jīng)被廣泛地運(yùn)用到金融、保險(xiǎn)、教育、電子商務(wù)等領(lǐng)域，刷臉支付、刷臉開(kāi)門、面容解鎖的應(yīng)用場(chǎng)景也越來(lái)越廣泛。特別是在新冠肺炎疫情常態(tài)化防控的大背景下，由于人臉識(shí)別設(shè)備可以與測(cè)溫設(shè)備完美融合，在體溫監(jiān)測(cè)的同時(shí)，可以同步上傳個(gè)人信息，與行程數(shù)據(jù)庫(kù)、健康碼數(shù)據(jù)庫(kù)信息進(jìn)行比對(duì)，準(zhǔn)確識(shí)別通行人員是否為高風(fēng)險(xiǎn)人員，實(shí)現(xiàn)“一機(jī)二用”，使得相關(guān)設(shè)備快速地廣泛運(yùn)用于商場(chǎng)、辦公樓、居民小區(qū)等入口處。

然而，在技術(shù)便捷人們生活的同時(shí)，多起由人臉識(shí)別引發(fā)的糾紛敲響個(gè)人信息保護(hù)的警鐘，由于面部特征具有終身惟一且無(wú)法改變的特點(diǎn)，一旦泄露，后果十分嚴(yán)重。2021 年的3 · 15 晚會(huì)，開(kāi)篇就重點(diǎn)報(bào)道了科勒衛(wèi)浴、寶馬、MaxMara 商店等安裝人臉識(shí)別攝像頭，搜集海量的人臉信息，該人臉識(shí)別攝像頭可以在顧客不知情的情況下抓取包括性別、年齡在內(nèi)的個(gè)人信息，進(jìn)行精準(zhǔn)營(yíng)銷，濫用人臉識(shí)別技術(shù)的勢(shì)頭愈演愈烈。因此，如何尋找到一個(gè)科技進(jìn)步方便大眾與個(gè)人隱私保護(hù)之間的平衡點(diǎn)，成為擺在政府和公眾面前的一道難題。

人臉識(shí)別信息屬于“公民個(gè)人信息”的范疇，依法應(yīng)當(dāng)?shù)玫椒傻谋Ｗo(hù)，濫用人臉識(shí)別技術(shù)，可能面臨較大的法律風(fēng)險(xiǎn)。民法典第一千零三十四條就明確規(guī)定，個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號(hào)碼、生物識(shí)別信息、住址、電話號(hào)碼、電子郵箱、健康信息、行蹤信息等。該規(guī)定明確將人臉信息為代表的生物識(shí)別信息納入了個(gè)人信息的保護(hù)范疇，并規(guī)定了處理個(gè)人信息，應(yīng)當(dāng)遵循“合法、正當(dāng)、必要”的原則。早在2017年實(shí)施的網(wǎng)絡(luò)安全法第四十一條也規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開(kāi)收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。

此外，2020年修訂的《信息安全技術(shù)個(gè)人信息安全規(guī)范》中，特別新增了用戶畫像的使用限制、個(gè)人信息處理活動(dòng)記錄等多項(xiàng)內(nèi)容，明確規(guī)定個(gè)人生物識(shí)別信息屬于敏感信息，在收集前，需單獨(dú)向用戶告知收集、使用個(gè)人生物識(shí)別信息的目的、方式和范圍以及存儲(chǔ)時(shí)間等規(guī)則，并應(yīng)征得用戶的明示同意。該規(guī)范確定了個(gè)人信息在收集、存儲(chǔ)、使用、共享、轉(zhuǎn)讓與公開(kāi)披露等信息處理環(huán)節(jié)中的相關(guān)行為，旨在遏制個(gè)人信息泄露，最大程度地保護(hù)個(gè)人的合法權(quán)益和社會(huì)公共利益。

在刑事司法領(lǐng)域，濫用人臉識(shí)別技術(shù)，也會(huì)面臨極大的法律風(fēng)險(xiǎn)，早在2015 年頒布的《刑法修正案（九）》中，就擴(kuò)大了侵犯公民個(gè)人信息罪的犯罪主體和個(gè)人信息的范圍。2017年，針對(duì)個(gè)人信息保護(hù)領(lǐng)域出現(xiàn)的新情況，最高人民法院、最高人民檢察院出臺(tái)了《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》，第一條就規(guī)定了“公民個(gè)人信息”是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息，包括姓名、身份證件號(hào)碼、通信通訊聯(lián)系方式、住址、賬號(hào)密碼、財(cái)產(chǎn)狀況、行蹤軌跡等。

如今人臉識(shí)別技術(shù)越來(lái)越多得到了主流媒體的廣泛關(guān)注，也在司法領(lǐng)域得到了廣泛的回應(yīng)。據(jù)統(tǒng)計(jì)，目前，我國(guó)已有40 多部法律和部門規(guī)章、近百部地方性法規(guī)和規(guī)范性文件涉及人臉識(shí)別技術(shù)，筑牢個(gè)人信息安全的法治屏障。相信在不遠(yuǎn)的未來(lái)，隨著配套制度的不斷完善，人臉識(shí)別技術(shù)的使用規(guī)則將會(huì)得到進(jìn)一步細(xì)化。

要從“三個(gè)層面”高度重視個(gè)人信息安全

個(gè)人層面，要謹(jǐn)慎向來(lái)路不明的機(jī)構(gòu)、企業(yè)及個(gè)人提供自己的個(gè)人信息，特別是人臉識(shí)別信息、指紋信息等不可變信息。在提供相關(guān)信息前，要仔細(xì)詢問(wèn)采集相關(guān)信息的原因和用途，是否有合法依據(jù)，以及相關(guān)企業(yè)數(shù)據(jù)安全的保護(hù)措施。在可以選擇其他識(shí)別方式的情況下，建議選擇刷卡、密碼等可變識(shí)別方式，以保護(hù)自身的個(gè)人信息安全。針對(duì)不合理的強(qiáng)制性采集，應(yīng)當(dāng)事前拒絕或者在事后主動(dòng)收集證據(jù)，并及時(shí)向互聯(lián)網(wǎng)管理部門、工商部門、消費(fèi)者保護(hù)協(xié)會(huì)、公安機(jī)關(guān)等相關(guān)機(jī)構(gòu)進(jìn)行投訴。如果因個(gè)人信息泄露受到人身、財(cái)產(chǎn)上的損害時(shí)，還可以通過(guò)刑事報(bào)案、民事訴訟等方式，追究相關(guān)責(zé)任人的法律責(zé)任。

企業(yè)層面，在遵守法律的基礎(chǔ)上，要加強(qiáng)行業(yè)自律，規(guī)范需要采集用戶個(gè)人信息的場(chǎng)合，解決目前突出的人臉識(shí)別信息“強(qiáng)制采集”的問(wèn)題。在需要采集用戶人臉識(shí)別信息等敏感信息的場(chǎng)合，應(yīng)自覺(jué)提示并主動(dòng)釋明。在更新服務(wù)協(xié)議、新增識(shí)別方式時(shí)，應(yīng)保留用戶選擇的權(quán)利，避免技術(shù)上或措施上的“一刀切”，確保協(xié)議能夠在原模式下繼續(xù)履行。此外，對(duì)于企業(yè)自身存儲(chǔ)的用戶個(gè)人信息，應(yīng)本著合法、透明、適度的原則，強(qiáng)化對(duì)數(shù)據(jù)的加密級(jí)別和脫敏層級(jí)，避免數(shù)據(jù)泄露。

政府層面，在正確引導(dǎo)人臉識(shí)別技術(shù)相關(guān)的產(chǎn)業(yè)發(fā)展的同時(shí)，要加強(qiáng)監(jiān)管力度，明確監(jiān)管者和數(shù)據(jù)掌控者的責(zé)任，盡快解決目前在個(gè)人信息保護(hù)領(lǐng)域還存在的法律適用不統(tǒng)一、裁判尺度有差別的問(wèn)題，使得法律之間更加協(xié)調(diào)。同時(shí)，建議政府主導(dǎo)建設(shè)由政府監(jiān)管、權(quán)威機(jī)構(gòu)運(yùn)營(yíng)的數(shù)據(jù)存儲(chǔ)中心，要求企業(yè)將收集的個(gè)人信息進(jìn)行集中監(jiān)管，解決目前人臉識(shí)別信息泄露等問(wèn)題。此外，在推動(dòng)新技術(shù)應(yīng)用和新產(chǎn)業(yè)發(fā)展的同時(shí)，要健全人臉識(shí)別信息的合法獲取機(jī)制，運(yùn)用刑事、行政、民事等多種手段從源頭上懲治信息的非法收集與販賣行為，杜絕技術(shù)的野蠻生長(zhǎng)，保護(hù)我們每個(gè)人的“臉面”安全?！?/p>