无处不在的刷脸是否必要?拒绝刷脸难在哪?强制刷脸合理吗?一段时间以来,与人脸识别相关的话题在网络上引发讨论,舆论普遍聚焦个人信息的收集与保管问题,反思由此产生的隐私安全。
人脸识别:谁愿以隐私换便捷
无处不在的刷脸是否必要?拒绝刷脸难在哪?强制刷脸合理吗?一段时间以来,与人脸识别相关的话题在网络上引发讨论,舆论普遍聚焦个人信息的收集与保管问题,反思由此产生的隐私安全。
近日,有全国人大代表、全国政协委员、法学专家在接受采访时表示,收集公民面部信息应遵循合法、正当、必要的原则,建议从源头治理上压实收集与保管责任,尽早出台个人信息保护法,通过立法防止人脸识别技术被滥用。
存在争议的人脸识别
门禁、购物、打卡,人脸识别技术正越来越多地被用于日常生活。
全国人大代表、华中科技大学计算机学院院长冯丹对此深有体会。她说,目前很多小区、公共场所都要刷脸通过,拒绝刷脸可能导致寸步难行。不过,新技术给人带来便利的同时,也带来了安全隐患,当使用不当或者为不法分子利用时,轻则财物损失,重则有生命安全隐患。如何从法律上规范刷脸行为,杜绝不法分子滥用个人生物信息尤显重要。
在全国政协委员、民进上海市委专职副主委、上海中华职教社副主任胡卫看来,以人脸识别为代表的生物识别技术在我国的规模化商用,确实带来了很多便利,但是生物信息属于社会基础性资源,具有终身不可更改等特点,这些数据在采集、传输、保存、使用以及第三方调用过程中,可能会出现数据泄露和滥用问题。
为何要特别关注人脸信息?北京大学法学院教授薛军解释说,这与人脸信息的特征有密切关系。人脸信息作为生物识别信息,是不可更改的,一旦泄露很难救济。这类信息也更容易被他人获取,有些甚至可以在相关当事人毫不知情的情况下发生,利用人脸信息可对个人行动轨迹进行追踪,严重侵害人们的隐私权。
压实信息收集与保管责任
个人信息保护法草案已将“个人生物特征”纳入“敏感个人信息”范围,明确个人信息处理者只有“具有特定的目的和充分的必要性”,方可处理敏感个人信息。胡卫委员表示,从法条本身来看,操作性仍然较弱,要进一步给涉及收集处理相关数据的企业以合规压力。
“人脸识别数据的收集与处理必须合法有度。”胡卫委员说,除了法律对人像采集有强制性规定的场合之外,人脸识别正在被广泛运用到火车站、机场、码头等公共场所,工厂、学校等企事业单位的刷脸签到和监控,以及银行、通信、交通、卫生等机构相关软件的身份验证等领域。上述行为是否符合网络安全法及相关信息保护法律规范的要求,值得思考。不仅如此,敏感数据被收集后,要符合怎样的安全要求才能被存储、处理和传输,目前法律还无细化的规定。
人脸等生物信息具有唯一性和不可更改性,一旦泄露易被不法分子利用,有些通过AI技术能把基础图片合成系列动图骗过机器。为此,冯丹代表建议,从源头治理压实收集与保管责任,在非必需的场景慎用人脸识别等技术,提高应用门槛,更好地保护个人信息。
同时,冯丹代表强调,信息的保管者负有保密责任,因此应采取技术措施和其他必要措施,确保信息安全,防止公民的面部信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。在防止信息泄露方面,建议采用信息安全技术,比如数据加密、访问控制、身份认证、入侵检测等,从技术上保障数据安全,同时对保管者加强法治教育。
尽快出台个人信息保护法
谈及正在制定中的个人信息保护法,冯丹代表表达了更多期待。她说,希望加快制定个人信息保护法,通过法律防止人脸识别技术被滥用,避免个人信息采集的失控。
针对频出的个人信息遭泄露、买卖等问题,胡卫委员也建议,尽快出台数据安全法、个人信息保护法等法律,在重要行业和领域要加快制定实施细则和指引,指导行业企业强化数据安全管理。同时,参照国际普遍遵守的“数据隐私六原则”,建立所有涉人脸识别数据的公私部门须遵守和符合的特殊安全认证体系,加快人脸识别的标准体系研究,明确人脸识别相关标准,提高数据安全风险监测、预警和事件处置能力。
“人脸识别技术应用单位,应建立信息安全管理体系,加强网络应用层、传输层、主机层、数据链路层、物理层安全防护,明确数据收集、传输、保存、处置、使用、共享、转让与委托处理、公开披露、数据出境、第三方服务接入等数据活动的安全管理和控制要求。”胡卫委员补充说。
薛军则更为关注具体案例的推动意义。以“人脸识别第一案”为例,薛军表示,相关行为是否属于过度收集个人信息、商家是否有义务提供替代性的身份核验方法以及谁是导致解除合同的主要责任方等,有些不是依据抽象的立法可以回答的问题,需要司法机关根据案件的具体情况,给出具体的、更加有针对性的答案。