资料图片
启用超市储物柜、进入小区楼宇……轻轻一扫人脸,方便又快捷。如今,人脸识别在日常生活中的运用处景越来越多。
然而便捷的背后,滥用人脸识别带来的风险也不容忽略。去购物,有的商家悄悄对人脸信息进行数据统计剖析,以便实现精准营销;进小区,有的物业将人脸识别作为唯一验证办法;有的做事商乃至逼迫将录入人脸信息作为供应做事的前置条件……
滥用人脸识别将带来哪些隐患和危害?利用人脸识别的法律边界在哪?如何管理人脸识别滥用征象以更好地保护个人信息?
危害
人脸信息一旦透露,将很难得到有效救援
2021年初秋,浙江省湖州市一名游客通过“益心为公”审查云平台,提交了一条景区涉嫌侵害游客人脸信息的举报线索。收到线索后,最高公民审查院将该线索移交给浙江省公民审查院。
浙江省湖州市公民审查院成立专案组备案调查,电子取证后创造——景区现场购票除哀求游客供应身份证外,还逼迫哀求游客进行刷脸认证。与此同时,景区运营公司并未对储存在做事器中的游客人脸信息设置定期打消机制。
除了逼迫刷脸,更值得关注的是,人脸信息采集具有远间隔、非打仗、无感的特色,很可能在浑然不知的环境下,人脸信息已然被恶意获取。
2022年底,上海市普陀区公民审查院创造,辖区内有超市为应对物品失落窃、恶意索赔等情形,在超市出入口安装采集消费者人脸信息的摄像头及干系设备。在个中一家超市的人脸数据处理设备上,可以清楚地看到每名消费者的进出信息,该设备还会对消费者的消费数据进行剖析并予以差异化提示,有消费者还被打上了“疑似小偷”等标签,而消费者对此绝不知情。
滥用人脸识别会带来哪些隐患和危害?“人脸信息一旦透露,将很难得到有效救援。相较于数字密码等信息,人脸信息这样的生物特色具有唯一性、难以改变的特性。密码丢失尚可变动,但‘换脸’却很难实现。”北京大学法学院教授薛军认为,滥用人脸识别,将让人更“透明化”。无论是个人经济代价,还是个人隐私,都将被精确打算。
薛军阐明,人脸数据的准确抓取,叠加强大的算法剖析,个人的经济代价被精准定义,或用于实现精准营销、大数据杀熟等利润攫取。此外,如果人脸抓取无处不在,个人的出行轨迹、人际关系、财产利益等个人信息都将暴露。
“更关键的是,人脸识别的滥用,将随意马虎形成‘我还是我吗?’的困境。”薛军说,依托被抓取的人脸信息和AI换脸技能,敲诈打单、电信网络诱骗、网络暴力等违法犯罪活动更易发生。近日,内蒙古包头警方发布一起利用AI履行电信诱骗的范例案例——郭师长西席的“好友”通过微信视频联系他,称自己的朋友在外地竞标,想借用郭师长西席公司账户走账。通过视频谈天“核实”身份后,郭师长西席遂将430万元转给“好友”。但事实上,该“好友”是犯罪分子用AI换脸假冒的。
边界
应该遵照合法、正当、必要原则,不得过度处理
防止人脸识别被滥用,依法保护人脸信息,须要明晰其合法利用的边界在哪里。
民法典规定,自然人的个人信息受法律保护,同时将生物识别信息列举为个人信息。北京德和衡状师事务所状师陈江涛说,根据民法典第一千零三十五条的规定,处理个人信息的,应该遵照合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人赞许,但是法律、行政法规另有规定的除外;(二)公开处理信息的规则;(三)昭示处理信息的目的、办法和范围;(四)不违反法律、行政法规的规定和双方的约定。
2021年7月28日,最高公民法院发布关于审理利用人脸识别技能处理个人信息干系民事案件适用法律多少问题的规定,对人脸识别的运用处景、利用目的、任务认定等作出规范。在民法典第一千零三十五条的根本上,进一步将“赞许”细化为“单独赞许”。根据该法律阐明,信息处理者采纳未单独搜聚用户赞许、逼迫刷脸等办法处理用户人脸信息的行为,在干系民事诉讼案件中都会被认定属于侵害自然大家格权柄的行为。
针对备受关注的滥用人脸识别技能问题,个人信息保护法第二十六条规定,在公共场所安装图像采集、个人身份识别设备,应该为掩护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所网络的个人图像、身份识别信息只能用于掩护公共安全的目的,不得用于其他目的;取得个人单独赞许的除外。
在陈江涛看来,针对防止滥用人脸识别、依法保护人脸信息,干系法律已经明确了基本原则、厘清了边界,织就起较为完备的“法律保护网”。但针对人脸信息“无感知网络”“一揽子网络”等现实情形,仍可采纳更多举措予以更详细清晰地规范。例如,就人脸识别和人脸图像处理等事变,可进行单独弹窗以得到单独赞许;APP在征得个人赞许时应昭示处理个人信息的目的、办法和范围等;个人信息主体享有撤回授权的权利,以及不得频繁地弹窗以得到个人赞许等。
管理
须强化司法法律力度,完善行业自律机制
如何管理人脸识别滥用?强化司法法律力度是关键。
“景区逼迫游客录入人脸信息的行为已经超过了正常经营须要,经由聚拢后的海量信息在没有严格监牵制度、技能方法保障下,面临违规利用和被透露的风险,严重危害了社会公共利益。”湖州市南浔区公民审查院第五审查部主任赵坤尧说,根据民法典、个人信息保护法等干系法律法规规定,人脸属于生物识别类敏感个人信息,做事场所经营者对此类信息的采集应出于掩护公共安全的须要,并保障公民的知情权、决定权、选择权、删除权,任何一项都不得侵害。
对此,浙江省三级审查院会同当地旅游度假区管委会、景区运营公司召开磋商会,并约请浙江省消费者权柄保护委员会干系事情职员和法律专家参加。磋商会上,大家同等认为,景区运营公司应删除前期采集储存的人脸信息数据,规范人脸信息的网络和利用。同时,湖州市审查院与市网信办开展磋商,市网信办对景区运营公司提出整改哀求。随后,湖州市审查院向景区运营公司制发审查建议,终极该景区前期采集、储存的120万余条游客人脸信息被完备删除。
“人脸识别技能家当是高新家当,但干系行业内的企业良莠不齐,监管机构应对行业企业加强监管核查。”薛军建议,建立干系行业协会,设立人脸识别技能行业标准,通过行业内部监督,减少对人脸信息的侵权行为。
2021年4月,中国信息通信研究院云打算与大数据研究所发起“可信人脸运用守护操持”,联合企业、金融机构、法律机构和学术团体,共同推动人脸识别生态安全和合规共治。截至2022年底,该操持成员单位达到148家。今年1月,在“可信人脸运用守护操持”最新一轮评测结果中,有多家企业及产品通过“人脸识别安全专项评测”“人脸识别系统保护人脸信息专项评测”等。
“我国人脸识别的干系立法也在不断完善,但各个法律法规之间的衔接须要进一步明确;一些上位法的规定较为笼统,还须要制订完善专门的与人脸识别技能干系的个人信息保护规则、标准等。”陈江涛认为,在完善法律的过程中,既要促进人脸识别技能在运用处景中让用户受益,保障技能不断创新进步,也要将人脸信息的安全放在更主要位置,将技能可能造成的潜在风险降到最低。
来源 公民日报 | 作者 倪弋
编辑 高珊珊
流程编辑 马晓双