打开手机,上海市民陈宽发现,每天需要进行人脸识别的App太多。“从手机银行App到购物软件,从化妆类App到游戏防沉迷……一天下来,脸要被扫十几次。”
对此,陈宽感到颇为担忧:“随着人脸识别技术的应用越来越广泛,会不会导致个人信息泄露?”
人脸识别广泛应用 个人信息存在风险
陈宽的担心并非毫无道理。记者了解到,人脸信息是具有不可更改性和唯一性的生物识别信息,容易被犯罪分子窃取利用或者制作合成,破解人脸识别验证程序,侵害隐私、名誉和财产,由此引发的案件也不在少数。记者在调查中发现,从金融类、电商类到出行类、美图娱乐类,很多类型的App中都能找到人脸识别的痕迹。
记者选取了10款热门消费金融类App进行个人信息保护合规实测,发现不少金融消费类App均为人脸识别功能提供单独授权页面并设专有规则,但也有部分App则将人脸识别的单独同意与相机功能设为同一授权。此外,还有部分App采用“不点击同意人脸识别就不提供服务”的方式,强行收集用户个人信息。
南都人工智能伦理课题组发布的《人脸识别应用场景合规报告(2021)》(以下简称《报告》)显示,其对20款移动端人脸识别应用的合规情况进行了测评分析,其中六成具有人脸识别功能的App没有单独的人脸识别规则,很多App人脸识别规则没有告知存储时限或位置,仅有6款App提及人脸信息存储情况。
“人脸识别技术的出现和应用,在很大程度上提升了用户认证的效率和准确性,因而逐步取代了传统密码、验证码等认证方式,在金融支付、交通出行、门禁考勤等领域得到了广泛应用。”内蒙古大学法学院讲师李东方告诉记者,目前对于App中使用人脸识别技术,法律法规并没有专门的禁止性规定,但是不能违反现行法律规范的相关规定。
据上海瀛东律师事务所合伙人、瑞中法律协会顾问胡鹏介绍,人脸识别属于敏感个人信息,个人信息保护法明确规定,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。民法典和网络安全法中也均规定了收集和处理个人信息的“最小必要原则”。
人脸信息一旦泄露 个人权益易受侵害
“在生活中,人脸识别技术确实具备独特的优势。但作为敏感个人信息的人脸信息一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害,值得警惕。”李东方说。
那么,如何才能防止人脸识别技术滥用?
2021年7月,最高法相关负责人就审理使用人脸识别技术处理个人信息相关民事案件的司法解释回答记者提问时曾指出,自愿原则是民法典的基本原则,个人的同意必须是基于自愿而作出。特别是对人脸信息的处理,不能带有任何强迫因素。
相关司法解释规定,信息处理者采取未单独征求用户同意、强制刷脸等方式处理用户人脸信息的行为,在相关民事诉讼案件中都会被认定属于侵害自然人人格权益的行为。
“上述规定在很大程度上保护了用户在人脸识别技术应用过程中的权益。但现实是,在许多人脸识别技术滥用的场景中,用户往往只能被迫接受,大多并不会提起诉讼,维护自身合法权益。”李东方认为,如何进一步细化相关规定,还需要法律研究者和立法者进行更多的思考。
中国政法大学传播法研究中心副主任朱巍说,人脸识别不单是涉及人的长相,还关联着个人财产信息、金融信息以及家庭成员相关信息。用户隐私协议中,不能仅用一句话简单说明要保护个人信息,还应当载明在什么情况下采集个人信息、如何采集、如何使用、如何删除等内容。
对此,胡鹏建议采取一系列相关的措施,比如就人脸识别和人脸图像处理等事项进行单独弹窗以获得单独同意,App在征得个人同意时明示处理个人信息的目的、方式和范围,个人信息主体享有撤回授权的权利,以及不得频繁地弹窗以获得个人同意等。
在接受记者采访的专家看来,人脸识别或人脸图像等相关信息不仅涉及个人隐私,还涉及生物学特征,不法分子如果获得相关人脸图像,可能冒用他人身份从事不法活动。
强化监督执法力度 完善行业自律机制
如何才能更安全使用人脸识别技术,让其给生活带来更多便利?
今年广东省两会期间,民革广东省委向大会提交的集体提案《关于加强广东省人脸识别监管的建议》提出,要完善行业自律监督机制。
其中指出,人脸识别技术产业是高新产业,随着互联网大数据时代的发展而发展,但相关行业内的企业良莠不齐,建议监管机构对要进入人脸识别行业的企业进行资金、技术方面的核查,减少低质量企业的进入,更好地保护公众的信息安全。同时,建立相关行业协会,设立人脸识别技术行业标准,通过行业内部监督,减少对人脸信息的侵权行为。
1月16日,由中国信息通信研究院云计算与大数据研究所、可信人脸应用守护计划(以下简称护脸计划)、中国通信标准化协会TC602联合主办的“护脸计划2022年度成果发布会”在云端召开,在护脸计划最新一轮评测结果中,有多家企业及产品通过“人脸识别安全专项评测”“金融App人脸识别安全能力评测”“人脸识别系统保护人脸信息专项评测”等。
“护脸计划”由中国信息通信研究院云计算与大数据研究所在2021年4月发起,联合企业、金融机构、法律机构和学术团体,共同推动人脸识别生态安全和合规共治。截至2022年底,“护脸计划”成员单位达到148家。
“护脸计划”专家委主任、公安部信息安全等级保护评估中心原副主任毕马宁在致辞中指出,人脸识别目前是隐私保护和人工智能技术应用发生矛盾的焦点,产业发展面临三方面风险,分别是技术不过关、应用不合理和管理不到位。
在李东方看来,目前部分App厂商大肆收集利用人脸信息明显有违现有的法律规定,但囿于个人维权困难等原因,相关监管部门还是要加大执法力度,做好人脸识别在多应用场景中的事中监管,尽早及时发现违法行为并依法处置。
“总体上,在法律规范制定的过程中,既要促进人脸识别技术在应用场景中让用户受益,保障技术不断创新进步,也要将人脸信息的安全放在重要位置,将技术可能造成的潜在风险降到最低。”李东方说。综合新华社、法治日报