規(guī)范人臉識(shí)別應(yīng)用 護(hù)航個(gè)人信息安全（法治聚焦）

啟用超市儲(chǔ)物柜、進(jìn)入小區(qū)樓宇……輕輕一掃人臉，方便又快捷。如今，人臉識(shí)別在日常生活中的應(yīng)用場(chǎng)景越來(lái)越多。

然而便捷的背后，濫用人臉識(shí)別帶來(lái)的風(fēng)險(xiǎn)也不容忽視。去購(gòu)物，有的商家悄悄對(duì)人臉信息進(jìn)行數(shù)據(jù)統(tǒng)計(jì)分析，以便實(shí)現(xiàn)精準(zhǔn)營(yíng)銷(xiāo)；進(jìn)小區(qū)，有的物業(yè)將人臉識(shí)別作為唯一驗(yàn)證方式；有的服務(wù)商甚至強(qiáng)制將錄入人臉信息作為提供服務(wù)的前置條件……

濫用人臉識(shí)別將帶來(lái)哪些隱患和危害？使用人臉識(shí)別的法律邊界在哪？如何治理人臉識(shí)別濫用現(xiàn)象以更好地保護(hù)個(gè)人信息？

危害

人臉信息一旦泄露，將很難得到有效救濟(jì)

2021年初秋，浙江省湖州市一名游客通過(guò)“益心為公”檢察云平臺(tái)，提交了一條景區(qū)涉嫌侵害游客人臉信息的舉報(bào)線索。收到線索后，最高人民檢察院將該線索移交給浙江省人民檢察院。

浙江省湖州市人民檢察院成立專(zhuān)案組立案調(diào)查，電子取證后發(fā)現(xiàn)——景區(qū)現(xiàn)場(chǎng)購(gòu)票除要求游客提供身份證外，還強(qiáng)制要求游客進(jìn)行刷臉認(rèn)證。與此同時(shí)，景區(qū)運(yùn)營(yíng)公司并未對(duì)儲(chǔ)存在服務(wù)器中的游客人臉信息設(shè)置定期清除機(jī)制。

除了強(qiáng)制刷臉，更值得關(guān)注的是，人臉信息采集具有遠(yuǎn)距離、非接觸、無(wú)感的特征，很可能在渾然不知的情形下，人臉信息已然被惡意獲取。

2022年底，上海市普陀區(qū)人民檢察院發(fā)現(xiàn)，轄區(qū)內(nèi)有超市為應(yīng)對(duì)物品失竊、惡意索賠等情況，在超市出入口安裝采集消費(fèi)者人臉信息的攝像頭及相關(guān)設(shè)備。在其中一家超市的人臉數(shù)據(jù)處理設(shè)備上，可以清楚地看到每名消費(fèi)者的進(jìn)出信息，該設(shè)備還會(huì)對(duì)消費(fèi)者的消費(fèi)數(shù)據(jù)進(jìn)行分析并予以差異化提示，有消費(fèi)者還被打上了“疑似小偷”等標(biāo)簽，而消費(fèi)者對(duì)此毫不知情。

濫用人臉識(shí)別會(huì)帶來(lái)哪些隱患和危害？“人臉信息一旦泄露，將很難得到有效救濟(jì)。相較于數(shù)字密碼等信息，人臉信息這樣的生物特征具有唯一性、難以改變的特性。密碼丟失尚可更改，但‘換臉’卻很難實(shí)現(xiàn)。”北京大學(xué)法學(xué)院教授薛軍認(rèn)為，濫用人臉識(shí)別，將讓人更“透明化”。無(wú)論是個(gè)人經(jīng)濟(jì)價(jià)值，還是個(gè)人隱私，都將被精確計(jì)算。

薛軍解釋?zhuān)四様?shù)據(jù)的準(zhǔn)確抓取，疊加強(qiáng)大的算法分析，個(gè)人的經(jīng)濟(jì)價(jià)值被精準(zhǔn)定義，或用于實(shí)現(xiàn)精準(zhǔn)營(yíng)銷(xiāo)、大數(shù)據(jù)殺熟等利潤(rùn)攫取。此外，如果人臉抓取無(wú)處不在，個(gè)人的出行軌跡、人際關(guān)系、財(cái)產(chǎn)利益等個(gè)人信息都將暴露。

“更關(guān)鍵的是，人臉識(shí)別的濫用，將容易形成‘我還是我嗎？’的困境。”薛軍說(shuō)，依托被抓取的人臉信息和AI換臉技術(shù)，敲詐勒索、電信網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)暴力等違法犯罪活動(dòng)更易發(fā)生。近日，內(nèi)蒙古包頭警方發(fā)布一起利用AI實(shí)施電信詐騙的典型案例——郭先生的“好友”通過(guò)微信視頻聯(lián)系他，稱(chēng)自己的朋友在外地競(jìng)標(biāo)，想借用郭先生公司賬戶走賬。通過(guò)視頻聊天“核實(shí)”身份后，郭先生遂將430萬(wàn)元轉(zhuǎn)給“好友”。但事實(shí)上，該“好友”是犯罪分子用AI換臉假冒的。

邊界

應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過(guò)度處理

防止人臉識(shí)別被濫用，依法保護(hù)人臉信息，需要明晰其合法使用的邊界在哪里。

民法典規(guī)定，自然人的個(gè)人信息受法律保護(hù)，同時(shí)將生物識(shí)別信息列舉為個(gè)人信息。北京德和衡律師事務(wù)所律師陳江濤說(shuō)，根據(jù)民法典第一千零三十五條的規(guī)定，處理個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過(guò)度處理，并符合下列條件：（一）征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外；（二）公開(kāi)處理信息的規(guī)則；（三）明示處理信息的目的、方式和范圍；（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定。

2021年7月28日，最高人民法院發(fā)布關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問(wèn)題的規(guī)定，對(duì)人臉識(shí)別的應(yīng)用場(chǎng)景、使用目的、責(zé)任認(rèn)定等作出規(guī)范。在民法典第一千零三十五條的基礎(chǔ)上，進(jìn)一步將“同意”細(xì)化為“單獨(dú)同意”。根據(jù)該司法解釋?zhuān)畔⑻幚碚卟扇∥磫为?dú)征求用戶同意、強(qiáng)制刷臉等方式處理用戶人臉信息的行為，在相關(guān)民事訴訟案件中都會(huì)被認(rèn)定屬于侵害自然人人格權(quán)益的行為。

針對(duì)備受關(guān)注的濫用人臉識(shí)別技術(shù)問(wèn)題，個(gè)人信息保護(hù)法第二十六條規(guī)定，在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備，應(yīng)當(dāng)為維護(hù)公共安全所必需，遵守國(guó)家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識(shí)。所收集的個(gè)人圖像、身份識(shí)別信息只能用于維護(hù)公共安全的目的，不得用于其他目的；取得個(gè)人單獨(dú)同意的除外。

在陳江濤看來(lái)，針對(duì)防止濫用人臉識(shí)別、依法保護(hù)人臉信息，相關(guān)法律已經(jīng)明確了基本原則、厘清了邊界，織就起較為完備的“法律保護(hù)網(wǎng)”。但針對(duì)人臉信息“無(wú)感知收集”“一攬子收集”等現(xiàn)實(shí)情況，仍可采取更多舉措予以更詳細(xì)清晰地規(guī)范。例如，就人臉識(shí)別和人臉圖像處理等事項(xiàng)，可進(jìn)行單獨(dú)彈窗以獲得單獨(dú)同意；APP在征得個(gè)人同意時(shí)應(yīng)明示處理個(gè)人信息的目的、方式和范圍等；個(gè)人信息主體享有撤回授權(quán)的權(quán)利，以及不得頻繁地彈窗以獲得個(gè)人同意等。

治理

須強(qiáng)化執(zhí)法司法力度，完善行業(yè)自律機(jī)制

如何治理人臉識(shí)別濫用？強(qiáng)化執(zhí)法司法力度是關(guān)鍵。

“景區(qū)強(qiáng)制游客錄入人臉信息的行為已經(jīng)超過(guò)了正常經(jīng)營(yíng)需要，經(jīng)過(guò)聚集后的海量信息在沒(méi)有嚴(yán)格監(jiān)管制度、技術(shù)措施保障下，面臨違規(guī)使用和被泄露的風(fēng)險(xiǎn)，嚴(yán)重危害了社會(huì)公共利益。”湖州市南潯區(qū)人民檢察院第五檢察部主任趙坤堯說(shuō)，根據(jù)民法典、個(gè)人信息保護(hù)法等相關(guān)法律法規(guī)規(guī)定，人臉屬于生物識(shí)別類(lèi)敏感個(gè)人信息，服務(wù)場(chǎng)所經(jīng)營(yíng)者對(duì)此類(lèi)信息的采集應(yīng)出于維護(hù)公共安全的需要，并保障公民的知情權(quán)、決定權(quán)、選擇權(quán)、刪除權(quán)，任何一項(xiàng)都不得侵害。

對(duì)此，浙江省三級(jí)檢察院會(huì)同當(dāng)?shù)芈糜味燃賲^(qū)管委會(huì)、景區(qū)運(yùn)營(yíng)公司召開(kāi)磋商會(huì)，并邀請(qǐng)浙江省消費(fèi)者權(quán)益保護(hù)委員會(huì)相關(guān)工作人員和法律專(zhuān)家參加。磋商會(huì)上，大家一致認(rèn)為，景區(qū)運(yùn)營(yíng)公司應(yīng)刪除前期采集儲(chǔ)存的人臉信息數(shù)據(jù)，規(guī)范人臉信息的收集和使用。同時(shí)，湖州市檢察院與市網(wǎng)信辦開(kāi)展磋商，市網(wǎng)信辦對(duì)景區(qū)運(yùn)營(yíng)公司提出整改要求。隨后，湖州市檢察院向景區(qū)運(yùn)營(yíng)公司制發(fā)檢察建議，最終該景區(qū)前期采集、儲(chǔ)存的120萬(wàn)余條游客人臉信息被完全刪除。

“人臉識(shí)別技術(shù)產(chǎn)業(yè)是高新產(chǎn)業(yè)，但相關(guān)行業(yè)內(nèi)的企業(yè)良莠不齊，監(jiān)管機(jī)構(gòu)應(yīng)對(duì)行業(yè)企業(yè)加強(qiáng)監(jiān)管核查。”薛軍建議，建立相關(guān)行業(yè)協(xié)會(huì)，設(shè)立人臉識(shí)別技術(shù)行業(yè)標(biāo)準(zhǔn)，通過(guò)行業(yè)內(nèi)部監(jiān)督，減少對(duì)人臉信息的侵權(quán)行為。

2021年4月，中國(guó)信息通信研究院云計(jì)算與大數(shù)據(jù)研究所發(fā)起“可信人臉應(yīng)用守護(hù)計(jì)劃”，聯(lián)合企業(yè)、金融機(jī)構(gòu)、法律機(jī)構(gòu)和學(xué)術(shù)團(tuán)體，共同推動(dòng)人臉識(shí)別生態(tài)安全和合規(guī)共治。截至2022年底，該計(jì)劃成員單位達(dá)到148家。今年1月，在“可信人臉應(yīng)用守護(hù)計(jì)劃”最新一輪評(píng)測(cè)結(jié)果中，有多家企業(yè)及產(chǎn)品通過(guò)“人臉識(shí)別安全專(zhuān)項(xiàng)評(píng)測(cè)”“人臉識(shí)別系統(tǒng)保護(hù)人臉信息專(zhuān)項(xiàng)評(píng)測(cè)”等。

“我國(guó)人臉識(shí)別的相關(guān)立法也在不斷完善，但各個(gè)法律法規(guī)之間的銜接需要進(jìn)一步明確；一些上位法的規(guī)定較為籠統(tǒng)，還需要制定完善專(zhuān)門(mén)的與人臉識(shí)別技術(shù)相關(guān)的個(gè)人信息保護(hù)規(guī)則、標(biāo)準(zhǔn)等。”陳江濤認(rèn)為，在完善法律的過(guò)程中，既要促進(jìn)人臉識(shí)別技術(shù)在應(yīng)用場(chǎng)景中讓用戶受益，保障技術(shù)不斷創(chuàng)新進(jìn)步，也要將人臉信息的安全放在更重要位置，將技術(shù)可能造成的潛在風(fēng)險(xiǎn)降到最低。