N综合法治日报 人民法院报
打开手机,从手机银行APP到购物软件,从化妆类APP到游戏防沉迷……一天下来,脸要被扫十几次。随着人脸识别技术的应用越来越广泛,会不会导致个人信息泄露?
由于人脸信息是具有不可更改性和唯一性的生物识别信息,容易被犯罪分子窃取利用或者制作合成,破解人脸识别验证程序,侵害隐私、名誉和财产,由此引发的案件也不在少数。
去年12月,最高人民法院发布第35批共4件指导性案例,其中一起就是李某利用“颜值检测”软件非法获取公民面部信息。
那么,为何许多手机APP会采用人脸识别技术?在使用过程中,应该如何防止该技术被滥用?
部分APP使用人脸识别
未征得用户同意
想知道这个月账单明细,要先刷脸验证身份;进站乘坐地铁,不用扫码或购票,刷脸即可入站乘车;想办理相关业务,先刷脸注册账号……记者在调查中发现,从金融类、电商类到出行类、美图娱乐类,很多类型的APP中都能找到人脸识别的痕迹。
2022年2月,有媒体对人脸识别技术相关问题进行调查,从使用频率来看,超过九成的参与调查者在生活、工作中会使用到人脸识别技术。其中,44.95%的参与调查者经常使用,48.88%的参与调查者偶尔使用。
调查还提到,自个人信息保护法实施后,有近四成参与调查者认为人脸识别技术滥用情况有好转。
但记者发现,目前在支持人脸识别功能的APP中,仍有部分APP没有明确的人脸识别使用协议,在人脸识别功能中没有征得用户同意。
在用户个人隐私政策里,虽然包含采集人脸识别等信息,但也有APP并未在形式上加以突出,让用户清晰意识到人脸信息等生物识别信息被采集,而是将“人脸信息”与姓名等一般个人信息相混淆。
记者选取了10款热门消费金融类APP进行个人信息保护合规实测,发现不少金融消费类APP均为人脸识别功能提供单独授权页面并设专有规则,但也有部分APP则将人脸识别的单独同意与相机功能设为同一授权。此外,还有部分APP采用“不点击同意人脸识别就不提供服务”的方式,强行收集用户个人信息。
敏感个人信息储存传输等
应满足更严格要求
南都人工智能伦理课题组发布的《人脸识别应用场景合规报告(2021)》(以下简称《报告》)显示,其对20款移动端人脸识别应用的合规情况进行了测评分析,其中六成具有人脸识别功能的APP没有单独的人脸识别规则,很多APP人脸识别规则没有告知存储时限或位置,仅有6款APP提及人脸信息存储情况。
《报告》还显示,20款APP中,16款对个人信息做了信息加密和传输加密处理,另有4款娱乐特效APP存在问题。比如某APP的“AI换装”功能是通过用户上传照片,然后选择视频模板后可生成一段换脸视频。但由于没有加密措施,用户的换脸视频的链接可被公开访问。这意味着,换脸视频可能被任何人获取,存在个人信息泄露风险。
“人脸识别技术的出现和应用,在很大程度上提升了用户认证的效率和准确性,因而逐步取代了传统密码、验证码等认证方式,在金融支付、交通出行、门禁考勤等领域得到了广泛应用。”内蒙古大学法学院讲师李东方告诉记者,目前对于APP中使用人脸识别技术,法律法规并没有专门的禁止性规定,但是不能违反现行法律规范的相关规定。
李东方说,此类敏感个人信息的储存、传输、分析、转让、删除等环节,也应当满足更为严格的要求,如全国信息安全标准化技术委员会2022年出台《信息安全技术 人脸识别数据安全要求》等,切实保护个人信息安全。
据上海瀛东律师事务所合伙人、瑞中法律协会顾问胡鹏介绍,人脸识别属于敏感个人信息,个人信息保护法明确规定,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。民法典和网络安全法中也均规定了收集和处理个人信息的“最小必要原则”。
人脸信息一旦泄露 个人权益易受侵害
那么,如何才能防止人脸识别技术滥用?
2021年7月,最高法相关负责人就审理使用人脸识别技术处理个人信息相关民事案件的司法解释回答记者提问时曾指出,自愿原则是民法典的基本原则,个人的同意必须是基于自愿而作出。特别是对人脸信息的处理,不能带有任何强迫因素。
相关司法解释规定,信息处理者采取未单独征求用户同意、强制刷脸等方式处理用户人脸信息的行为,在相关民事诉讼案件中都会被认定属于侵害自然人人格权益的行为。
“上述规定在很大程度上保护了用户在人脸识别技术应用过程中的权益。但现实是,在许多人脸识别技术滥用的场景中,用户往往只能被迫接受,大多并不会提起诉讼,维护自身合法权益。”李东方认为,如何进一步细化相关规定,还需要法律研究者和立法者进行更多的思考。
中国政法大学传播法研究中心副主任朱巍说,人脸识别不单是涉及人的长相,还关联着个人财产信息、金融信息以及家庭成员相关信息。用户隐私协议中,不能仅用一句话简单说明要保护个人信息,还应当载明在什么情况下采集个人信息、如何采集、如何使用、如何删除等内容。
对此,胡鹏建议采取一系列相关的措施,比如就人脸识别和人脸图像处理等事项进行单独弹窗以获得单独同意,APP在征得个人同意时明示处理个人信息的目的、方式和范围,个人信息主体享有撤回授权的权利,以及不得频繁地弹窗以获得个人同意等。
在接受记者采访的专家看来,人脸识别或人脸图像等相关信息不仅涉及个人隐私,还涉及生物学特征,不法分子如果获得相关人脸图像,可能冒用他人身份从事不法活动。
强化监督执法力度 完善行业自律机制
如何才能更安全使用人脸识别技术,让其给生活带来更多便利?
公安部信息安全等级保护评估中心原副主任毕马宁指出,人脸识别目前是隐私保护和人工智能技术应用发生矛盾的焦点,产业发展面临三方面风险,分别是技术不过关、应用不合理和管理不到位。
“人脸识别近些年才被广泛使用和发展,而我国的相关立法也在不断完善的过程中。”胡鹏说,目前,我国相关立法还较为分散,各个法律法规之间的衔接需要进一步明确。一些上位法的规定较为笼统,如个人信息保护法规定,将由国家网信部门统筹协调有关部门推进人脸识别技术的个人信息保护工作,并制定专门的与人脸识别技术相关的个人信息保护规则、标准,而较为具体的操作指引则规定在非强制性的国家标准中,这些非强制性国家标准的效力究竟如何认定,也有待司法实践进一步明确。
在李东方看来,目前部分APP厂商大肆收集利用人脸信息明显有违现有的法律规定,但囿于个人维权困难等原因,相关监管部门还是要加大执法力度,做好人脸识别在多应用场景中的事中监管,尽早及时发现违法行为并依法处置。在事后救济方面,也要充分发挥检察机关在个人信息保护公益诉讼的作用,充分发挥法律对行业和相关技术的应用的指导作用。
“总体上,在法律规范制定的过程中,既要促进人脸识别技术在应用场景中让用户受益,保障技术不断创新进步,也要将人脸信息的安全放在重要位置,将技术可能造成的潜在风险降到最低。”李东方说。
案例 抓拍人脸信息“判客” 开发商被判侵权
2021年6月,苏州的徐某在A中介公司工作人员的陪同下来到姑苏区某售楼处看房,了解一下行情。同年12月,徐某准备入手一套房屋,于是找到B中介公司,在其工作人员小言的带领下,又来到该售楼处看房。小言承诺,商品房销售成功后,可将开发商支付佣金的50%返还给徐某。徐某便与某置业公司签订了购房合同。而后,小言却告知徐某,售楼处查出徐某6月份曾到访过,只能按之前到访的算,属于自然来访客户,无法支付佣金,还将徐某当时到访售楼处的人脸抓拍截图发送给其确认。
原来,按照某置业公司内部的规则,已经认定徐某认购房屋时属自然客户,不属于任何中介机构客户,某置业公司未与任何中介公司结算徐某认购房屋的销售佣金,所以徐某也无法获得返利。
徐某这才知晓某置业公司对其进行了人脸信息抓拍,并用于“判客”,于是诉至法院,要求某置业公司删除其个人信息、赔偿损失并道歉。
苏州姑苏区法院审理后认为,开发商为判别客户来源,未经消费者明示同意,擅自在售楼处安装人脸识别系统收集、储存、使用消费者人脸信息,构成侵权,应承担删除信息、赔礼道歉的侵权责任。关于经济损失部分,系B中介公司业务员无法获得佣金致使承诺的返利无法兑现,然因徐某确属时隔半年两次由不同中介机构带看房屋,开发商依据与中介机构约定判定徐某为自然客户,属于自主经营行为,且中介机构亦无异议,故徐某所主张的中介机构佣金结算的条件并不必然成就,对其以可结算的按佣金50%返利作为损失的主张不予支持。