文/蔣澆

編輯/張碩

你在某App上搜索一款商品,打開其餘App時發現全是類似推薦內容,商家們可能比你還了解你;不接受人臉識別,將無法進入商場、小區、公園,這種看似自願的強制性行爲,正在成爲常態。

這週末,兩件信息安全事件牽動着公衆的敏感神經。其一是,法學教授起訴杭州野生動物世界案宣判獲勝訴,這也是“國內人臉識別第一案”;其二是,爲保護個人信息,男子戴頭盔進售樓處看房。

這份敏感並不多餘。有專家指出,面部信息、指紋、虹膜在內的民衆生物信息,不像數字密碼那樣可以更改,數據一旦泄露危害極大。

圖片來源:視覺中國

圖片來源:視覺中國

法學教授起訴野生動物園

11月20日,法學教授郭兵訴杭州野生動物世界有限公司一案宣判。杭州市富陽人民法院一審判決,野生動物世界刪除郭兵辦理年卡時提交的面部特徵信息,賠償郭兵合同利益損失及交通費共計1038元。

該案於去年11月1日被法院受理,由於涉及人臉識別信息採集、使用等問題,受到輿論廣泛關注,被稱爲中國“人臉識別第一案”。

去年4月,郭兵支付1360元購買了杭州野生動物世界雙人年卡,當時確定指紋識別入園方式。郭兵與其妻子留存了姓名、身份證號碼、電話號碼等,並錄入指紋、拍照。之後,野生動物世界兩次向郭兵發送短信,通知年卡入園識別系統更換事宜,要求激活人臉識別系統,否則將無法正常入園。

郭兵認爲面部特徵信息屬於個人敏感信息,一旦泄露或濫用將極易危害人身和財產安全,不同意接受人臉識別,要求園方退卡,但雙方協商未果。2019 年 10 月 28 日,郭兵向杭州市富陽區人民法院提起訴訟。

法院審理判決認爲,此案的爭議焦點實爲對經營者處理消費者個人信息,尤其是指紋和人臉等個人生物識別信息行爲的評價和規範問題。野生動物世界單方面將指紋識別強制升級爲刷臉入園的做法“超出必要,不具正當性”。

歷時一年,此案終於落錘,郭兵勝訴。不過,由於其關於確認動物世界店堂告示、短信通知中相關內容無效等訴訟請求並未得到法院支持,郭兵表示還會考慮繼續上訴。

一旦泄露就是終身泄露

事實上,人臉識別導致信息泄露的風險並非杞人憂天,現實生活中的案例隨處可見。此前,央視報道稱,在某網絡交易平臺上只需花2元錢就能買到上千張人臉照片,而5000多張人臉照片標價還不到10元。這些被明碼標價的素材,全都是真人生活照等充滿個人隱私的內容。

無獨有偶。近日,一則“爲保護個人信息,戴着頭盔去看房”的視頻在網上流傳。導致看房者出此奇招的,正是某售樓處的人臉識別系統。據南都報道,同一套房屋,消費者從不同渠道購入,差價在幾萬元到幾十萬元不等,而售樓處正是通過人臉識別系統來對消費者進行區分對待。事實上,大多數消費者並不知曉購房處人臉識別的存在。

此類案例已成爲社會共同的隱患。全國信息安全標準化技術委員會發布的《人臉識別應用公衆調研報告(2020)》提到,有六成受訪者認爲人臉識別技術有濫用趨勢,還有三成受訪者表示,已經因爲人臉信息泄露、濫用而遭受到隱私或財產損失。

裁判文書網公開信息顯示,自2018年起,就有犯罪分子非法購買公民個人信息,並製作換臉視頻,突破了支付寶的人臉識別認證;2019年,某二手平臺賣家稱,通過換臉技術,可花錢定製女星淫穢視頻;2020年,有投機分子,將人臉技術應用到借貸之後,獲取不義之財。

圖片來源:視覺中國

圖片來源:視覺中國

“很多推動人臉識別落地的機構,可能並沒有意識到隨之而來的風險有多大。”清華大學法學院教授勞東燕曾表示,如果人臉數據被泄露、被濫用,不僅不會改善社會治安,反而可能使相關的違法犯罪活動激增。

另有學者指出,人臉數據是一輩子不能篡改的關鍵數據,一旦泄露就是終身泄露,會造成極大的安全隱患。

人臉識別信息採集有沒有邊界?

大量人臉識別信息泄露的背後,實則是因爲人臉識別技術已應用於各類生活服務當中。輿論熱議的背後值得思考的是,錄入人臉之後數據存儲是否足夠安全?相關企業運用人臉識別技術,要不要告知用戶?是否什麼場景都要加一個“刷臉”?

專家認爲,人臉識別技術應用的底線是,除了特定部門的執法活動之外,任何機構、企業和個人都無權通過人臉識別調查和追蹤個人的私人生活。像小區、公園等一般場所,刷門禁卡、二維碼等就能起到安全防護的效果,並不需要獲取公衆具有唯一性的指紋、人臉等個人生物信息。還有一些生活服務平臺,爲綁定用戶、精準營銷,就讓人們“刷臉”,不符合法定的收集個人信息的必要原則。

那對於上述售樓處無感抓拍看房者的類似行爲,企業需要告知用戶嗎?根據《消費者權益保護法》第29條,“經營者收集、使用消費者個人信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和範圍,並經消費者同意”。

“法律保護的整體框架急需做出調整,不應以同意機制爲基礎。採用以同意機制爲主的模式來保護個人信息,就等於是將數據的相應風險主要放在作爲數據主體的個人身上。”勞東燕認爲,當前的主要問題在於,相應的風險是由實施收集、使用行爲的數據控制者與處理者所製造,而因收集、使用個人數據的收益也主要由後者所享有。

目前,國內還沒有專門的人臉識別應用立法來有針對性的管轄。絕大部分的人羣無法無力應對數據入侵,想要獲得信息安全感,不僅需要實操性更強的法律依據,也需要企業保護和尊重公衆隱私。

相關文章