“刷脸”支付、“刷脸”存取物品、“刷脸”进入小区……如今,使用人脸识别技术的场景越来越多,影响人们生活方方面面,但在方便高效的背后,也存在着信息泄露和个人身份被盗用等风险隐患。
“刷脸”支付、“刷脸”存取物品、“刷脸”进入小区……如今,使用人脸识别技术的场景越来越多,影响人们生活方方面面,但在方便高效的背后,也存在着信息泄露和个人身份被盗用等风险隐患。
为规范人脸识别技术应用,保护个人信息权益及其他人身和财产权益,维护社会秩序和公共安全,国家互联网信息办公室起草了《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称《征求意见稿》),近日向社会公开征求意见。
《征求意见稿》指出,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可使用人脸识别技术处理人脸信息。实现相同目的或者达到同等业务要求,存在其他非生物特征识别技术方案的,应当优先选择非生物特征识别技术方案。
滥用的危害性极大
某野生动物世界强制消费者“刷脸”入园、知名卫浴品牌被曝抓拍消费者人脸信息、一些售楼处擅自安装人脸识别设备……近年来,关于人脸识别的争议和担忧层出不穷。
浙江大学网络空间安全学院双聘教授王春晖告诉记者,人脸识别给人们带来便利的同时,滥用人脸识别技术的现象极为严重,已经导致高危害性与高隐蔽性并存的趋势,这不但背离了借助新兴技术推动经济社会发展的初衷,还为本应便民利民的人脸识别技术的应用蒙上了阴影。
“人脸信息具有唯一性和不可更改性,一旦泄露将对个人的人身和财产安全造成极大危害,甚至还可能威胁公共安全。”王春晖说,我国个人信息保护法规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括
生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
“部分经营者在进行刷脸验证之前,既没有对人脸识别应用系统的安全性进行事前评估,也没有向公民明确告知人脸识别信息收集目的、范围与处理方式,侵害了公民的知情权。”北京航空航天大学法学院副教授、北京科技创新中心研究基地副主任赵精武说。
中央财经大学数字经济与法治研究中心执行主任刘权教授说,人脸识别技术可能侵犯隐私。人脸信息可能被不当收集,甚至用来非法交易,只要拥有人脸信息,个人行踪轨迹和行为内容就可能一直被
监控。而如果人脸识别被用于深度伪造,可能侵犯肖像权、名誉权、知识产权等权利,还可能被用于诈骗等犯罪活动。
“违法使用人脸识别技术对社会的危害性极大,特别是依托被抓取的人脸信息和AI换脸技术实施电信诈骗,这比传统电信诈骗成本更低、角色更多、概率更高和防范更难,对社会造成的危害也更大。”王春晖说。
“人脸识别技术可能导致歧视,造成新的不平等。”刘权说,通过人脸识别出不同的种族、性别、身份等信息,个人可能受到不公平对待,算法歧视问题可能更严重。
此外,如果一国的大规模人脸信息不当出境,没有遵守个人信息出境安全评估的要求,还可能影响到国家安全。
明确禁止使用场景
此次公布的《征求意见稿》亮点颇多。
“总体上看,《征求意见稿》明确了一项义务性规定和一项禁止性规定。首先,使用人脸识别技术应当遵守法律法规,遵守公共秩序,尊重社会公德,承担社会责任,履行个人信息保护义务;其次,不得利用人脸识别技术从事危害国家安全、损害公共利益、扰乱社会秩序、侵害个人和组织合法权益等法律法规禁止的活动。”王春晖告诉记者。
王春晖认为,依据《征求意见稿》,在以下三种情形下方可使用人脸识别:一是具有特定的目的和充分的必要性;二是采取严格保护措施;三是取得个人的单独同意。在这三种条件同时具备的情形下,方可使用人脸识别技术处理人脸信息。“特定目的+充分必要+单独同意+保护措施”,这是任何单位和个人采集和使用人脸识别技术的基本准则。
刘权指出,《征求意见稿》对一些具体场景中的人脸识别技术应用划了“红线”,明确禁止使用,有利于更好地保护个人隐私。例如,第六条规定旅馆客房、公共浴室、更衣室、卫生间及其他可能侵害他人隐私的场所不得安装图像采集、个人身份识别设备。
王春晖介绍说,《征求意见稿》列举了九类经营场所,即宾馆、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆等经营场所,明确它们除法律、行政法规规定应当使用人脸识别技术验证个人身份的,不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。
“《征求意见稿》回应民生,专设一条规定物业刷脸问题。物业服务企业等建筑物管理人不得将人脸识别技术作为出入物业管理区域的唯一方式,应当提供其他合理便捷的身份验证方式。”赵精武说。
刘权补充说,《征求意见稿》明确不得将“刷脸”作为进小区的唯一方式,有助于消除物业服务企业滥用人脸识别技术的乱象。
赵精武认为,《征求意见稿》落实个人信息保护法规定的个人信息保护影响评估制度,明确技术使用者在处理人脸识别信息之前应当对处理个人信息是否具有特定目的和充分必要性等重要事项进行评估,有助于在事前阶段降低风险。
“《征求意见稿》明确规定使用人脸识别技术应当事前进行个人信息保护影响评估,并详细规定了评估内容,有利于防止评估的形式化。”刘权认为。
建议细化相关规定
谈及如何进一步规范人脸识别技术应用,刘权认为,“《征求意见稿》的相关条款需要进一步具体化。”
刘权举例说,如关于人脸识别技术应用的条件,《征求意见稿》第四条规定中“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可使用人脸识别技术处理人脸信息”,对“特定的目的”“充分的必要性”等作出更具体的规定,可能更有助于该条款的适用。
在法律责任方面,《征求意见稿》第二十三条规定,“人脸识别技术使用者或者相关产品、服务提供者违反本规定的,由网信、电信、公安、市场监管等有关部门在职责范围内依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规进行处罚。违反《治安管理处罚法》的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。违反本规定,给他人造成损害的,依法承担民事责任。”
“法律责任的设置过于简单,第二十三条只作了非常宽泛的规定,不利于人脸信息保护执法,建议细化责任设置。”刘权说。
对于如何进一步规范人脸识别技术应用,王春晖建议,从以下三个方面治理人脸识别技术的滥用:一是人脸识别技术的应用与发展应当体现对人权的保护;二是应高度重视和优先考虑人脸识别技术对法律、社会伦理和侵犯个人隐私的冲击;三是要通过更高阶位的立法和强制性标准的制定和实施,削弱人脸识别技术对人类社会的风险和负面影响。
赵精武认为,在日常生活中,进出健身房、小区以及部分商场仍然存在未经告知的人脸识别图像采集设备,理应在立法层面进一步明确相关场所经营者不得隐瞒人脸图像采集事实的相关义务,禁止相关场所经营者以拒绝服务、诱导接受等方式强制或变相强制自然人接受人脸识别技术服务。