看房人被"無感抓拍" 檢察公益訴訟劍指非法採集人臉信息

售樓處，看房人被“無感抓拍”

檢察公益訴訟劍指非法採集人臉信息

盧志堅 王金豔

日前，江蘇省蘇州市相城區檢察院檢察官對轄區內的多家售樓處進行明察暗訪，發現被查單位確已拆除了相關人臉識別系統和設備。

該院第四檢察部主任何俊強告訴記者，這次明察暗訪是對該院2020年辦理的一起個人信息保護領域行政公益訴訟案進行跟蹤監督，確保檢察建議做到剛性、做成剛性。

人臉識別系統被售樓處用於客戶分類

蘇州市民小陳準備購買婚房。2020年9月的一天，他和朋友走進相城區某樓盤售樓處，瞭解了價格、戶型、地理位置等信息後，小陳覺得房子性價比較高，便與銷售員詳談，詢問相關的優惠信息。銷售員告訴小陳，樓盤沒有其他優惠，除非是中介帶過來的會有“返點”。

“這還不簡單，我下次找個中介過來，不就可以了？”小陳笑着說。

“不可以的，您剛纔進來的時候已經被我們的人臉識別系統記錄了，下次再來我們就知道您不是中介帶來的客戶了。”銷售員指着門口的攝像頭說。

“啊？那是人臉識別系統？不是安保的攝像頭嗎？你們怎麼不早說……”小陳十分驚訝。

“如果每個客戶都像您說的那樣，知道了消息就去找中介來，那我們要付出多少不該給的‘返點’呀。安裝人臉識別系統就是爲了幫我們區別自訪客戶和中介渠道客戶的。”銷售員解釋道。

走出售樓處時，小陳又看了一眼頭頂的攝像頭。

檢察公益訴訟推動整治非法採集公民個人信息

隨後，小陳向相關職能部門反映了售樓處侵害個人隱私的行爲。而蘇州市相城區檢察院在日常走訪期間，也發現了有公民個人信息遭受侵害的情形，該院決定在轄區內開展個人信息保護專項行動。

“個人生物識別信息的收集、使用必須在合法的界限內。”2020年11月，該院檢察官對轄區內售樓處安裝人臉識別系統情況展開調查，並隨機走訪了轄區內多個小區附近的近10家中介機構，得到的回答均是客戶如果自行前往售樓處後再由中介帶看可能因爲被人臉識別系統區分爲非渠道客戶而無法享受中介帶看的額外優惠，中介亦不能從售樓處取得服務費。

檢察機關認爲，售樓處節省成本的營銷手段不能通過違法的方式實現。同年12月4日，該院對房產銷售機構違法收集人臉信息案立案調查。檢察官對轄區內的20餘家售樓處展開了調查，發現多家售樓處使用的人臉識別屬於“無感抓拍”，消費者的面部信息在不經意間就會被抓取、收集，而售樓處的門口或者樓內均沒有相關人臉識別的提示。

該院認爲，人臉信息作爲個人生物識別信息非常重要且極爲敏感，售樓處在未向消費者告知且未經消費者同意的情況下，基於商業目的，擅自收集、使用消費者人臉信息，侵犯了公民個人信息受保護的權利，也侵犯了消費者的知情權、肖像權、隱私權。在無妥善的管理機制和防範措施下，售樓處收集的個人信息還存在泄露風險，無法確保信息安全。

12月8日，該院啓動了行政公益訴訟訴前程序，向該區房產銷售主管部門發出檢察建議，要求房產銷售主管部門履行職責，及時制止售樓處侵犯消費者合法權益的行爲，維護社會公共利益。

該區房產銷售主管部門非常重視，在收到檢察建議後不久，就組織全區40個在售樓盤召開公民個人信息保護專題會議，對房地產企業進行風險提示，要求房地產企業對各自在售樓場所人臉識別系統安裝情況開展自查摸排並立即整改相關違法行爲。

12月24日，該區房產銷售主管部門對檢察建議作出回覆。目前，相關房地產企業已對相關係統和設備進行了拆除，擅自收集的人臉信息也已被全部刪除。

爲人臉信息安全織起立體“防護網”

購房者小陳的遭遇並非孤例。2020年10月底，一則濟南購房者戴着頭盔去看房的視頻在網上熱傳，引發了售樓處安裝人臉識別系統是否侵犯客戶隱私的熱議。

事實上，人臉識別技術在國內的應用早已從公共安全領域擴展到商業領域，滲透人們的日常生活，手機解鎖、支付轉賬、交通安檢甚至考勤打卡等，應用場景隨處可見。今年央視“3·15”晚會也曝光了多個商家偷偷獲取人臉信息的問題。

人臉識別技術給社會經濟發展和個人生活帶來便利的同時，信息安全問題也面臨挑戰，並引起公衆擔憂。

江蘇省檢察院第一檢察部副主任柳慧敏認爲，個人信息保護之所以面臨嚴峻挑戰，與法律法規不健全、監管措施缺位乏力、個人保護意識不足等多種原因有關。如何在風險可控的前提下妥善運用人臉識別技術，在有效性和安全性之間尋求平衡，需要在立法、執法、監管等層面建立多維度的立體防護體系。

近年來，爲應對這一新問題，我國正逐步建立和完善相關法律法規。2017年6月1日施行的網絡安全法將個人生物識別信息納入個人信息的範疇，確立了“誰收集，誰負責”的原則。2021年1月1日正式實施的民法典明確了公民個人信息處理原則和條件，處理個人信息的，應當遵循合法、正當、必要原則，並徵得該自然人或者其監護人的同意。正在徵求意見的個人信息保護法(草案)再次明確了“告知—同意”爲核心的個人信息處理規則。國家市場監管總局發佈的《個人信息安全規範》也明確規定收集人臉信息時應獲得個人信息主體的授權同意。國家網信辦發佈的《常見類型移動互聯網應用程序(App)必要個人信息範圍(徵求意見稿)》顯示，各類型App需要的必要個人信息中均不涉及人臉、指紋等生物識別信息。

隨着法律法規的逐步完善，在執法、監管層面如何有效落實也值得深思。

蘇州市相城區檢察院副檢察長史軼晴認爲，要根據“誰收集，誰負責”的原則，落實主體責任。人臉信息的採集和使用應遵循“最小必要”原則，可以通過場景分類、信息分級等手段，爲人臉信息的安全加碼。如公共安全領域和商業領域的使用應有區別；刷臉支付線下技術較爲成熟，線上仍存在諸多風險。

江蘇省檢察院第七檢察部主任周合星認爲，相較於一般的公民個人信息，對個人生物識別信息應予以更嚴格的保護，防止人臉信息的濫用。要加強對人臉識別系統、設備的生產、銷售監管，尤其注重線上銷售行爲的管控，嚴厲打擊非法獲取、售賣人臉信息的行爲，斬斷人臉信息非法交易產業鏈。更要發揮好檢察公益訴訟職能，織密信息安全保護網。