人脸识别与个人信息保护:人脸焦虑如何破解?
来源: 中国消费者报 作者: 发布时间: 2022-01-24

        编者按 去商场、住酒店、吃饭、逛公园、看电影、开会、乘坐交通工具安检……忽然有一天,人们觉察到,不知不觉间我们已经处在了人脸识别的场景中。

  一定程度上的放弃隐私,是否可以换来更高级别的安全保障?哪些场景属于法定的公共场所?人脸识别的必要性如何确定?人脸信息究竟被谁收集、如何被利用?法律如何界定收集人脸信息的边界?法律的保护界限在哪里?人脸信息是否不适合作为密码?针对公众的人脸焦虑,在洪范法律与经济研究所日前召开的“真名实姓——人脸识别的法律问题”研讨会上,多位学者对此进行了探讨,本报记者也对相关专家进行了采访。

  记者 武晓莉

  元旦前后,北京推出了实名制常乘客快速进站服务试点,第一期快速进站试点车站包含天通苑等5个车站。虽然地铁方强调此举是为了让高峰期乘客能够快速进站,但依然掀起了轩然大波。其实,此前多个城市的地铁已经试点开通人脸识别安检通道,但同时,公众对公共交通进行人脸识别的必要性以及人脸信息是否会得到合法利用、有效保护产生了质疑。

  人脸焦虑如何破解?采访中,专家们一致认为,应当划定红线、单独立法。

  人脸识别具有特殊性

  清华大学法学院教授劳东燕告诉记者,在国外,人脸识别技术受到了一定程度的抑制,而在我国则相对宽容一些,尤其是在特定时期,为了获得更高程度的安全和便利,公众愿意牺牲包括人脸信息在内的一些隐私权。但是劳东燕也指出:“如果允许无限制地收集人脸信息和其他个人信息的话,公众最终可能既丧失隐私权,也没有且不可能获得相应的其他安全。”

  劳东燕解释说,人脸识别技术的实质是收集用户的生物信息,其最常见的使用目的、场景都是身份认证。技术上,一次人脸识别差不多会涉及一两百个个人生物信息,这就是为什么在一些安检口,即便乘客戴着口罩也能被识别出来的原因。因为这些人脸信息——比如额头骨骼、瞳孔距离等是无法修改的,收集到的个人生物数据会经过累积、分析,为锁定的特定个人勾勒个人画像,类似于个人档案。

  “身份认证本身没有多大风险,人脸识别的风险主要在于通过人脸这种独特的、具有可识别性的生物信息,同特定的个人锁定之后,就可以对某个特定个人的所有行踪进行识别、追踪。对商家来说,可以在此基础上影响主体的行为选择,比如进行个性化推荐等。”劳东燕说。

  人脸焦虑逐渐被关注

  这几天,家住北京增光路的吴女士正为小区让住户设置人脸识别门禁卡而烦恼,她不愿意为进出家门而交出个人信息。

  为什么人们对人脸识别技术的使用更敏感?劳东燕认为,这是人脸识别自身特点所决定的。一是无意识性,一个大城市的人每天可能被识别数百次,很多时候都是在本人完全不知情的情况下,人脸信息就已经被提取了。二是非接触性,像指纹信息虽然也是生物识别信息,但使用指纹的时候,用户既知情又需要有接触。三是侵入性强,即人脸识别侵犯个人隐私所带来的风险往往会更大。

  “人们对人脸识别技术的困扰,并不是隐私权跟公共安全之争。”面对城市密密麻麻的摄像头,劳东燕指出,人脸识别技术肯定有很多好处,但对于个体来说,必须意识到滥用带来的巨大危害。比如黑市交易中泄露的人脸信息,可能被用于淫秽录像制作、开设诈骗账户、骗贷、精准电信诈骗等刑事犯罪活动,也可能被用于基于人脸识别数据画像下的“杀熟”等。个人生物信息过度暴露,会让个体觉得自己是透明人,这些都会使个人的人身、财产安全受到威胁。而眼下,随着人脸识别应用的铺开,个人信息泄露也带来了严重的公共安全问题,甚至在某种程度上带来了更多的违法犯罪。“人脸识别技术像是打开了一个潘多拉魔盒,你不知道里面会有什么东西出来。”她说。

  中国人民大学法学院教授、民商事法律科学研究中心执行主任石佳友对记者说,任何一个个体都有行动往返的自由,要实现这个行动自由,很重要的一点就是要保持匿名性。而广泛的人脸识别应用会对人的基本权利——隐私和自由造成严重威胁。

  使用合法性须重视

  我国《个人信息保护法》规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,设置显著的提示标识,无须获得个人的单独同意。

  劳东燕认为,地铁安检刷脸折射的,恰好是如何界定相关使用场景是否为公共场所,以及是否为公共安全所必需等问题。

  石佳友认为,在我国的立法框架内,人脸属于敏感信息。按照《个人信息保护法》,人脸识别需要有特定目的、充分必要性,以及特别的安全保护措施。地铁安检的必要性在于识别出乘客是否携带了危及公共安全的危险物品,而非通过人脸识别技术识别出乘坐地铁的每个人的具体身份。因此,在地铁等场景下进行人脸识别安检的同时,也应该保留普通安检通道供不想使用人脸识别的乘客使用。

  “《个人信息保护法》第26条特别强调,在公共场所如果要使用人脸识别技术,一定要基于维护公共安全所必需,且不得用于其他目的。”石佳友认为,从这个意义上讲,基于商业目的的收集使用就是违法的。

  对外经贸大学数字经济与法律创新研究中心主任许可对记者说:“监控,尤其是大面积、远程监控,显然很难证明其合法性、正当性。”

  专家建议应单独立法

  “2021年7月,最高人民法院颁布了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,明确规定信息处理者不得对信息主体采取禁止强迫同意、捆绑同意等手段,这个司法解释具有里程碑式的意义。”石佳友说,“比如刷脸进小区,用户可以选择同意,也可以选择其他方式如刷身份证,总之不能强迫只能用刷脸的方式,至少给信息主体一个选择权。”

  “无论是基于国家公共安全,还是基于企业的商业目的,知情都是必不可少的。”许可认为,没有知情权就很难保障后续权利。“尤其是公共场所的各种监控摄像头,用户根本不知道哪个是合法的、哪个是非法的,以及基于什么理由收集信息的。我一直建议在摄像头上放一个二维码,用户扫一扫就知道摄像头是谁装的、谁在收集信息、收集了哪些信息、信息是如何处理的、保存期限以及如何主张权利等。”许可说。

  “自主选择理应建立在充分知情的基础之上。”劳东燕说,“很多时候,公众对收集与处理人脸信息的相应风险并不知情,知情同意是否真正体现个人的自主选择,就要打上一个大大的问号。”因此她认为,目前关于人脸识别的法律层级和权威性都还不够,《个人信息保护法》对人脸信息的保护还不够有力,因此,对于包括人脸信息在内的生物识别信息,非常有必要专项立法。她认为,行政法或许会起到更大的作用。因此她建议采用一般禁止、特别许可的方式来保护人脸信息。“在专项立法中采取特别许可制度,无论是企业还是政府部门收集人脸信息,都需要法律的特别授权。”她说。

  许可对此表示赞同:“我非常同意人脸识别应该单独立法。”他认为,未来的人脸识别制度设计首先需要划出“红线”,比如禁止无差别地远程监控、禁止无差别地对人群进行分类和决策等。另外,无论是政府还是企业,对于人脸识别的高风险情景都应做充分性论证,“是不是非使用人脸识别不可?”然后就是赋权,让用户决定交不交出去,这是很重要的。

  许可认为,在《个人信息保护法》中,绝大部分情况下,告知基本上是没有什么豁免的。除非为了侦查犯罪需要进行的收集不需要告知,大部分情况下都需要告知。此外,保障收集到的个人信息的安全,是一个重大的基础性权利。

地方动态

中国信息协会召开分支机构专项整治工作会

2022年(第二届)信息技术服务业应用技能大赛合作签约仪式在京举行

中国信息协会2021年度总结表彰大会圆满召开

中国信息协会《科学数据安全管理指南》等15项团体标准立项评审会在京顺利召开

  • 协会要闻
  • 通知公告