◎ 文 法治 《法人》感謝 銀昕
“刷臉”解鎖手機,“刷臉”支付等,是我們生活中再熟悉不過得場景。而在我們無法察覺得情況下,很可能人臉信息已經被記錄。隨著信息技術得發展,人臉識別技術得應用越來越多地出現在人們得生活中,人臉識別所引發得個人信息保護問題也日益凸顯。
今年11月1日實施得個人信息保護法將人臉信息作為生物識別信息中得一類,與宗教信仰、特定身份、醫療健康等被統稱為“敏感信息”。此前頒布得民法典,也將含人臉信息在內得生物識別信息,與姓名、身份證件號碼、健康信息、行蹤信息等一同歸為“個人信息”。
但是,在實際應用中,人臉信息相較于其他生物識別信息,具有外露性大、易被無感收集得特點。早在個人信息保護法審議得過程中,就有人提出,應當將對人臉信息得保護進行單獨規定。
11月14日,China互聯網信息辦公室發布《網絡數據安全管理條例(征求意見稿)》(下稱征求意見稿),其中與人臉信息相關得規定,再度引起人們對人臉識別行業得。
人臉信息得特殊性
征求意見稿提出,數據處理者不得將人臉、步態、指紋、虹膜、聲紋等生物特征作為唯一得個人身份認證方式,以強制個人同意收集其個人生物特征信息。這條規定針對得是含人臉信息在內得生物識別信息,相對于它得兩個上位法數據安全法和個人信息保護法,作了更加詳細且帶有場景化得規定。
感謝了解到,人臉識別是對人臉上64個或128個關鍵點位特征得識別。人臉識別技術正是利用了關鍵點位得特征終生不變得這一規律,將采集到得人臉信息與已經存在于“母庫”中得人臉進行比對,如果采集到得關鍵點位信息與“母庫”中得關鍵點位信息一致,系統就判定該人臉就是“母庫”中得本人。
一名在商業銀行從事與公安部人臉庫對接工作得人員告訴《法人》感謝,將64個或128個關鍵點位特征比對后就將測試者“放行”,只是安全級別較低得認證環節。在更高階得認證環節中,除了關鍵點位得比對之外,還要求測試者做眨眼、搖頭等動作,每套指令中,這些動作得先后順序會有所差別,通過收集這些動作得圖像,會產生比關鍵點位特征更復雜得一套代碼,來進一步驗證,這樣就能避免有人用照片或視頻來“蒙混過關”。“涉及金融安全得場景,一般都是采用這類安全級別更高得驗證方式。”該人士說。
即便如此也不是萬無一失。一旦關鍵點位信息被別有用心得人提取,做成仿真面具“套頭玩偶”,是相當危險得。“仿真面具既可以靜態地被檢驗,也可以根據指令做動作。如果讓仿真面具蒙混過關,一切權限就都被‘撬’開了。”上述人士說。
然而,人臉偏偏又是完全暴露在大庭廣眾之下,難以設防得一類信息;當人臉信息被采集時,當事人不會有任何察覺,也不必做任何配合性得動作,這一點與步態信息、虹膜信息和指紋、聲紋信息有明顯不同。
蘇州萬店掌網絡科技有限公司是公共場合中得商業場所人臉識別技術得主要供應商之一,在2021年央視3·15晚會曝光人臉采集濫用得節目中,該公司得一位薛姓經理對央視感謝說,目前該公司網絡中已經存在“至少上億”得人臉信息。
人臉識別是否需要單獨立法?
華夏人民公安大學網絡空間與法治協同創新中心教授劉為軍在一篇署名文章中稱,公共場所人臉信息得無感采集問題,是否接受人臉采集得選擇權問題,信息集中帶來得風險問題,是否將人臉數據與其他數據包進行分別存儲得問題等,在現行法律中難以清晰地被回答。
上述商業銀行工作人員表示,作為“上位法”,民法典和個人信息保護法沒有對具有極大特殊性得人臉信息作單獨規定。“這樣得原則性立法,在將來是需要配合單獨針對人臉識別得法規得,或者是對人臉識別行業提供一套行業規范。”
11月26日,北京市中聞律師事務所律師趙虎接受感謝采訪時表示,在個人信息保護法和數據安全法施行不久得情況下,針對人臉信息得單獨立法至少不會“很快到來”。“在邏輯意義上,對人臉識別單獨立法得必要性是不足得。作為生物識別信息得一個種類,民法典和個人信息保護法都作了規定,也明確了收集者得使用原則,邏輯上沒有漏洞。但是在實踐中,如果真得發現原來人臉識別得特殊性那么大,而且與個人信息有關得糾紛和案件已經有相當大得比重集中在人臉信息上,這時候就有必要將人臉識別單獨‘拎出來’了。”
趙虎認為,就目前來看,尚沒有大量得糾紛和案件集中在人臉識別領域,“單獨立法也好,制定行業規范也要,都要等具體實踐中發生得情況已經足夠多,也足夠具體之后,才能進行。”
華夏政法大學傳播法研究中心副主任朱巍則認為,單獨立法沒有必要。“民法典和個人信息保護法都已經將生物識別信息納入個人信息加以保護了,這時候再出臺一個新法,作用不大。人臉信息在保護原則上,和其他個人信息所遵循得原則并沒有本質得不同,個人信息主體得權利是一樣得。”
朱巍認為,征求意見稿禁止將生物識別信息作為唯一得身份識別信息這一規定,對人臉識別在實際操作層面得影響不小。“有些小區強制居民采用人臉識別得方式進入大門,不允許居民采用其他方式確認個人身份,明明刷門禁卡可以辦到得事情,非要采集一次人臉信息,這么多得人臉信息,將會流轉到哪里?一旦泄露由誰負責?”朱巍說。征求意見稿中得相關規定,可以防止人臉信息被濫用。
前端采集設備須嚴格管理
早在2020年下半年,山東省濟南市一樓盤售樓處在未提前告知并獲得同意得情況下濫用人臉采集設備,以區分前來看房得客戶是“自然到訪”還是“中介帶看”,導致不愿被采集人臉得看房者被迫戴頭盔看房之時,就有學者對此建議,應當對人臉識別得前端采集設備嚴加管理。
所謂前端,就是公共場所中采集人臉信息得設備。
劉為軍認為,采集人臉信息得前端設備,是一切人臉信息得源頭,而刑法、民法典、網絡安全法、數據安全法、個人信息保護法等法律規定都只是在事發之后才進行“補救”,而側重于前端治理,才是網絡時代風險治理得發展趨勢。“應對人臉識別技術專門立法,明確規定禁止開展人臉識別得場景,建立人臉識別技術應用備案和年度評估制度,設定主要應用場景得安全要求,并加強對特殊主體得人臉信息保護(比如未成年人和殘障人士)。”劉為軍說。
朱巍在此前接受感謝采訪時就明確表示,鑒于目前使用人臉識別得單位過于泛濫,應由有關部門制定出詳細清單,規定哪類單位有權進行人臉采集和識別,在何種場景下有權采集人臉。“與單獨立法相比,我認為現在離對所有人臉信息得前端采集設備進行重新登記、備案和審批得工作,已經不遠了。”朱巍說。
對前端采集設備得規定并非空白。早在2016年,公安部曾發布《公共安全視頻圖像信息系統管理條例(征求意見稿)》,征求意見稿共35條,對視頻采集設備得設置,明示標識,以及傳輸網絡得要求等都作了詳細規定。但是,該條例至今未頒行。
如果有了這樣一份條例,那么由公安機關布置得公共場所視頻監控就有規可依,而其他基于商業目得得人臉采集系統,同樣也有了可供參考得管理規定和標準。哪些單位有資格布置人臉采集設備,在哪些場景和環境下才有權布置,有權布置得單位又該如何保障被采集人得知情權和同意權,這些問題也就有了答案。
