消費者勝訴人臉識別第一案 信息泄露隱憂仍存
隨着國內“人臉識別第一案”日前宣判,人臉數據信息保護問題再一次引發關注和討論。11月20日,杭州野生動物世界因強制刷臉入園,被判賠償當事人郭先生1038元。緊隨其後的21日,合肥市公安局也在政務平臺上答覆了市民對刷臉門禁是否會泄露信息的擔憂。與快速應用的人臉識別技術共同發展起來的,是人們隱私保護意識的不斷增強。那麼,人臉識別技術濫用存在哪些風險?如何界定人臉識別是否侵犯個人信息安全?在法律上又該如何築牢防線呢?
強制刷臉判賠千元
案件的起因要追溯到2019年4月,郭先生花1360元購買了杭州野生動物世界“暢遊365天”雙人年卡,明確了同時驗證年卡和指紋即可入園。但此後園方卻單方面將指紋識別“強制”升級爲“刷臉”入園,當事人爲此將園方告上法庭。
對此案,杭州富陽法院作出一審判決,認定杭州野生動物世界單方面將指紋識別強制升級爲刷臉入園的做法“超出必要,不具正當性”,判決園方賠償當事人郭先生合同利益損失及交通費共計1038元,刪除當事人辦理指紋年卡時提交的包括照片在內的面部特徵信息。
近年來,“人臉識別”技術已經在日常生活的方方面面得到廣泛應用。刷臉支付、刷臉門禁、銀行自助、單位考勤、刷臉使用App,人們對這些新興手段已經不再陌生。據《2019年中國刷臉支付技術應用社會價值專題研究報告》顯示,2019年正式開啓了刷臉支付的“新元年”,國內刷臉支付用戶達到1.18億人。預計到2022年,刷臉支付用戶規模超7.6億人。
氾濫的人臉識別技術使用也帶來潛在的風險,北京市盈科律師事務所高級合夥人高同武在接受北京商報記者採訪時表示,利用人臉信息來快速、精確識別個人主體,對於個人行動軌跡的追蹤非常高效,而且這種技術不僅用來抓取個人的面部生物信息,並與已有數據庫中的相應數據做比對,能進一步追蹤到個人的身份信息、日常的行蹤軌跡、人與車的匹配、親屬關係以及經常接觸的人員,增加詐騙、盜竊等事件發生可能性,造成財產損失和其他人身權益的侵犯。
面對風險,人們的敏感度和警惕性也在相應提高。就在11月21日,合肥市公安局在12345政府服務直通車回覆網友對“智慧平安小區”人臉識別會不會造成信息泄露的擔憂,表示人臉識別並未進行強制要求,業主採取自願錄入人臉識別,不願錄入可採用刷門禁卡。
如何界定侵權
事實上,刷臉導致信息泄露的風險並非杞人憂天,在國內外的現實生活中都已經不乏其例。
今年3月,有媒體曝出幾十萬張戴口罩的人臉照片正以2毛錢一張販賣,而據賣家介紹,這些照片“一半是從網絡上爬(蟲)的,一半來自於現實世界”。也就是通過“網絡爬蟲”自動抓取網上信息的程序或者腳本,或通過日常生活中的打卡保存下來的。
無獨有偶,近日,上海一快遞代收點也引發質疑,只因推出新規:“爲防止偷竊和誤拿,所有前來取件的人必須要拍照存檔纔可取走快遞。”不少市民認爲此舉可能泄露隱私,“被人拿去人臉識別付款怎麼辦”?
相似的案例已經成爲各國共同的隱患。近日,美國洛杉磯警察局被曝使用了美國人臉識別公司Clearview AI開發的應用程序,迴應稱禁止警員使用商業公司提供的人臉識別系統。值得注意的是,這家公司在2019年未經當事人允許,在Facebook、Twitter、Instagram、YouTube等多個社交平臺上抓取大約30億張人臉照片。
而Facebook自身也深陷信息安全旋渦,2019年,因其照片標籤服務使用面部識別軟件在用戶照片中顯示人名而遭到集體訴訟,今年初,Facebook同意支付5.5億美元達成和解。
諸多案例在不同領域、以不同理由應用着人臉識別技術,被蒐集了面部特徵的人也作出不同的反應。那麼,究竟在什麼情況下采用人臉識別技術才構成侵權呢?
高同武指出,《消費者權益保護法》第29條規定,“經營者收集、使用消費者個人信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和範圍,並經消費者同意”。《網絡安全法》第四十四條規定,“任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息”。
“我國法律強調監督和管理在個人信息的收集過程中要遵循‘合法、正當、必要’原則以及需要徵得當事人的同意;在個人信息利用的過程中要遵循確保安全原則,不得泄露、出售或者非法向他人提供。”高同武解釋說。
對於上述郭先生的案件,北京觀韜中茂律師事務所高級合夥人李洪江律師對北京商報記者表示,本案中既然郭先生已經與園方簽署了“指紋信息採集”協議,那麼園方單方面變更協議內容,增加收集“臉部信息”的要求明顯違約並超出了“必要性”。
提高數據保管責任
近年來,個人的信息保護已經引起了社會公衆、相關從業者以及政府部門的高度重視。國家也在不斷制定新的法律法規,完善個人信息保護制度。
李洪江對北京商報記者表示,從即將實施的《民法典》到《個人信息保護法(草案)》來看,個人信息概念的界定、權利的保護範圍、處理個人信息的規則和相關法律後果都在逐漸明確和細化,對於如何具體保護公衆的個人信息提供了很好的指引作用。
“在技術革新的浪潮下,人臉識別技術的商業性運用勢不可擋,收集方必須嚴格遵守有關個人保護方面的法律規定。”高同武建議,在現有法律的基礎上,提高違反保管義務的法律責任,同時,如果被收集人撤回或者要求刪除自己的數據,儲存保管方應當對相應數據予以刪除;人臉識別技術的應用場景必須合法與合理,不能擅自擴大應用場景,否則收集方以及保管方應當承擔相應的法律責任。
“作爲個人在日常生活中也要進行防範,不要爲了娛樂使用換臉軟件,儘量避免開通各類渠道的刷臉支付,避免在各類App、電商平臺上進行刷臉識別,尤其是互聯網廣告。”高同武提醒。
數字時代與信息保護成爲當下我國立法不得不權衡的一個議題。除了今年10月1日《信息安全技術個人信息安全規範》正式實施,一些針對數據信息的地方立法也已在路上。11月6日,北京市人大常委會副主任閆傲霜帶隊開展人臉識別技術應用及數據立法調研,閆傲霜表示,要成立數據立法研究課題組,對數據立法的前沿、關鍵問題持續跟蹤研究。
“在法律的制定方面可在平衡個人信息與數字經濟發展及維護公衆利益關係的同時,加大個人信息的保護力度和對於違法責任人的處罰力度,以便真正使個人信息得以被合理利用和得到切實保護。”李洪江說。