近年来,围绕人脸识别的争议不断。前不久,“人脸识别第一案”一审宣判,认定杭州野生动物世界采集消费者照片信息超出法律意义上的必要原则要求,不具有正当性。与此同时,一则“戴着头盔看房”的视频广为流传,即一些售楼处通过人脸识别判断购房者是否为“渠道客户”或“首次签单”,进而决定是否给予购房优惠。诸如此类争议,一定程度上反映了人脸识别应用之广泛及由此引发的业界担忧。
《人脸识别应用公众调研报告(2020)》显示,有九成以上的受访者使用过人脸识别,有六成受访者认为人脸识别技术有滥用趋势,还有三成受访者称,已经因为人脸信息被泄露和滥用而遭受到隐私或财产损失。
事实的确如此。近期有媒体报道,一些网络黑产从业者利用电商平台,批量倒卖非法获取的人脸等身份信息和“照片活化”网络工具及教程。报道显示,网络黑市中售卖的“人脸照片”,包含公民个人身份信息,例如身份证号、银行卡号、手机号等一系列敏感内容。
针对于此,唯有行业自律与法律监管才是解决之道。放眼全球,一些发达国家在大数据领域先进的理念与实践值得借鉴。2018年《欧盟通用数据保护条例》(GDPR)正式生效,明确规定个人数据是个人所有的数据资产。企业一旦违规,如故意泄露用户数据、使用方式不合理等,将会受到非常严苛的处罚。此法案被称为“史上最严”的数据保护法案。
早在2015年,美国政府责任署发布了《面部识别技术——商业用途、隐私问题及其适用的联邦法律》报告。报告中写道:人脸识别技术可能被广泛应用于各种有用的商业应用,但该技术的未来发展轨迹引发了消费者隐私问题。联邦法律没有明确规定商业实体可以在何种情况下使用面部识别技术来识别或跟踪个人,或何时需要消费者的知情和同意才能使用该技术。
与欧美国家和地区相比,我国在个人信息保护层面的立法也已经提速。例如《民法典》将自然人生物识别信息列为个人信息,规定处理个人信息遵循合法、正当、必要原则,并符合征得同意、公开处理规则、明示目的方式范围、不违反法律法规及约定等条件。《个人信息保护法(草案)》拟对侵害个人信息权益行为,给予没收违法所得和罚款等处罚。国家网信办也出台征求意见稿,对38类常见类型APP必要个人信息范围作出规定,相当于给包括人脸识别在内的个人信息收集行为开具了一张白名单。
尽管如此,由于人脸信息的保护边界与尺度,基于哪些需要允许收集人脸信息,如何甄别采集行为是否“合法、正当、必要”等问题,某些规定仍然比较模糊。甚至,以不同的法规解释同一案件,结果迥异。因此,人脸信息保护的困境,亟待法律完善来解决。
对此,有业内专家认为,目前涉及个人信息保护的规范普遍存在三个问题:一是缺乏专门的个人信息保护法,立法碎片化现象突出;二是对个人信息保护的利益衡量不清晰,多为原则性规定,缺乏可操作的具体规则;三是位阶偏低,对人脸识别技术的发展起不到良好的规范作用。
令我们欣喜的是,继南京要求售楼处未经同意不得拍摄来访人员面部信息、杭州规定物管不得强制业主使用人脸识别等设施,《天津市社会信用条例》日前表决通过,明确市场信用信息提供单位采集自然人信息,除法律另有规定外,应经本人同意并约定用途,且不得采集自然人的生物识别等信息。
这里我们看到的是公众隐私保护意识的提升和法律监管的日趋完善,相信不久的将来,人脸识别终会践行“科技以人为本”的理念,在保护个人信息的同时,更好地为人们提供高效、便捷的服务。