人脸识别技术应用引发的个人隐私安全争议,已成为一个备受关注的公共议题。由于具有升级服务、节约成本、提高效率等优点,这一技术在安检通行、移动支付、场所门禁等领域得以广泛运用,但强制使用、肆意滥用现象也随处可见,并引发公众对自身隐私的担忧。省政协十二届四次会议期间,多个民主党派就“规范人脸识别应用”提出集体提案,希望尽快出台规范措施,保护个人隐私,防范防范伦理与法律风险,使人脸识别技术走上健康发展的道路。
人脸识别技术被强制使用
委员:“刷脸”不应是唯一依据
2019年10月,因不满杭州野生动物世界采用人脸识别方式入园,浙江某大学特聘副教授郭兵将动物世界告上法庭,这一案件也被称为“国内人脸识别第一案”。2020年11月20日,杭州市富阳区人民法院就该案公开宣判,判决动物园赔偿郭兵合同利益损失及交通费1038元,删除郭兵办理年卡时提交的照片等面部特征信息。但郭兵的部分诉讼请求被法院驳回,他提出上诉,案件二审后尚未宣判。
“国内人脸识别第一案”备受关注,它将人脸识别技术滥用带来的个人信息安全保护话题带到更广范围的讨论。近年来,随着这一技术在安检通行、移动支付、场所门禁、考勤打卡等领域“攻城拔寨”,强制使用、肆意滥用现象也随处可见,人们苦“人脸识别”已久。
“不是要否定‘人脸识别’技术的积极作用,它具有便捷、高效的特点,但当前存在被强制使用的问题。”民革广东省委员会经济委委员、广州中源咨询有限公司总经理刘根生说,今年民革广东省委会提交了《关于规范人脸识别应用,防范伦理与法律风险,促进人工智能产业健康发展的建议》的集体提案,刘根生是执笔人。
“我们有到一些小区调研,很多都使用了人脸识别技术作为进出的依据,有的还是唯一的依据,这显然不合适,‘刷脸’不应成为进出的唯一依据,业主可以自由选择。”刘根生表示。
致公党广东省委会也提了《关于规范人脸识别技术应用,保障公民个人信息安全的提案》,提案指出,人脸识别技术不仅在公共安全领域推行,在一般生活领域如各种场所门禁、移动支付等随处可见,很多时候,“刷刷脸” 就可以畅通无阻。此种情况下,人脸识别成为享受该项服务所必须的步骤,造成了肆意滥用现象即人脸识别应用的普遍化。
个人隐私安全存在威胁
精准度并不能达到100%
被强制“刷脸”的同时,公众更担心的隐私的泄漏。“以往是公安系统有这些数据,现在很多商业机构都存有大量数据,通过这些数据,一个人在不在家,当下又在哪里,很多人和机构都会知道,公民几乎没有隐私。”刘根生如此说道。他认为,数据一旦被用于不法领域,将危及公众人身与财产安全。
致公党省委会的提案中也提到,当前数据收集主体未能严格保证善加保护数据信息,人脸数据泄露的现象并不罕见。在尚未开发出相关的配套数据保障及风险预防系统的前提下,只一味顾于人脸识别技术的开发推进,一旦数据大面积泄露所引发的风险不容小觑。
“所以,应该明确哪些单位具备收集人脸识别生物信息数据的资质,如果不加任何限制的任由商业机构收集、处置数据,公众隐私被泄漏的风险将非常大。”刘根生说。
值得一提的是,人脸识别技术的精准度问题也让人疑虑该技术是否应该大范围使用。致公党省委会提案中提到,目前的人脸识别精准度并不能达到100%,无法识别或识别错误的情况并不罕见。“这项技术并没有成熟到可以不受限制的大范围运用。”刘根生也这样认为。
不知情情况下被“人脸识别”
很多人不足以认识存在的风险
实际上,很多人是“不知不觉”被收集了人脸数据。致公党省委会的提案中提到,某些应用人脸识别的场景,表面看来是在被收集人有认知的情况下进行,但实际上,在信息告知不充分,包括收集的主体、收集的数据范围、使用目的及范围、保护措施与相应风险等均未予以明示的前提下,很多人的认识能力尚不足以充分认识到人脸信息被收集后所进行的流程和存在的一系列潜在风险。
“我们在小区调研时发现,物业在收集业主信息时,大多都没有和居民签订隐私保护协议,更没有不泄漏的承诺书,这就是一个隐患。”刘根生表示,对于如小区管理等特定人群人脸识别应用,须以自愿为原则由个人信息主体进行必要性审查。
刘根生进一步指出,由于法规与管理约束不足,相关开发和应用单位在信息保护、身份认证等技术上明显缺少安保主动性与责任感,一旦出现重大侵害公众隐私或公共安全事故将会导致严重社会与经济后果。相关法规和管理不足,行业治理框架尚未形成,不利于产业健康发展。
【建议】
限定人脸识别适用的范围
致公党省委会提案指出,人脸识别领域立法处于滞后状态,立法赶不上技术发展的需要。目前,《个人信息保护法(草案)》已经提请全国人大常委会审议,草案将个人生物特征信息列为敏感个人信息,与一般个人信息相比,规定了更加严格的保护标准,但具体操作实务问题仍有待进一步探索。广东作为改革开放先行者,需勇于担当积极探索,结合草案规定的原则精神和广东实际情况先行进行省内立法,使保护公民个人信息的内容更具有操作性。
“人脸识别技术的应用并不是越广泛越好,而是存在一个度的问题。”致公党省委会提案认为,在立法中对人脸识别的适用要遵循合法性、必要性、正当性的原则,处理个人信息应当采用合法、正当的方式,具有明确、合理的目的,要求只有在具有特定目的和充分必要性的前提下,方可处理个人敏感信息,避免过度使用引发的风险。
该提案还认为,当下人脸识别的适用领域正在不断延伸,立法中应当对人脸识别的运用领域进行限定,在必要且特定领域引入人脸识别系统,如对于一些涉及公共安全的事项,确有必要推行人脸识别技术的领域可以允许其适用,对于一些有其他技术可替代、可不适用的领域如公共场所门禁、移动支付等限制其适用,防止大规模适用所导致弊大于利的不利后果。
刘根生也提出了相同建议。他指出,除道路、交通工具、银行等法律规定的安防应用以外,涉及对特定及非特定对象的处所,如写字楼、商场、企业等单位及公园、学校、市场等在应用人脸识别技术前都应申报审批,公安部门依法审核其合法、正当和必要性。“监控数据安全,要求以必要安保措施限于最小范围使用。”
保障被收集者的选择权和知情权
致公党省委会提案提出建议,引入人脸识别技术,需要事前进行风险评估,对于容错率、数据存储、安防系统等进行验证,符合相关标准方可投入使用;收集、采取人脸信息时,要征得被收集者的有效同意,充分告知被收集者的权利,保障被收集者的选择权和知情权;收集信息后,应该对被收集的信息进行持续追踪,防止数据信息被泄露、滥用,保障公民个人信息安全。
该提案还建议指出,在人脸信息收集的场景中,被收集者处于绝对的弱势地位。因此,在立法中,首先要明确规定收集方的告知义务,收集人脸信息必须事先征得被收集人的同意,并就收集范围、适用范围、风险后果等作明确的告知;其次要规定收集方的数据应用权力。所收集的数据范围应合乎告知的应用场景,且不允许超范围地收集人的面部数据;最后要规定收集方的数据保管义务。收集方要采取相应的安全保障措施,配套相应的安防保障系统对所收集的数据妥善保管,防止数据泄露。违反保管义务,则应当承担相应的法律责任。
刘根生也建议,省层面应组织专项立法,规范数据权属、使用、交易、共享机制,明确数据所有、使用与收益权限。明确机构对数据的权限,制定数据摄制、采集、储存、传播、使用、销毁等法定程序及数据分类管理规则。同时,管理部门应引导相关行业协会和中介组织制定人工智能产业技术标准、行业自律规范,制定伦理规则,强化保护个人隐私责任。