天津採集人臉識別信息有法可依 過度收集個人信息行爲被戴“緊箍咒”
近年來,人臉識別技術被濫用問題日益凸顯,有關部門和多地不斷出手整治人臉信息違規採集亂象,相關政策也逐步出臺。
12月1日,天津市人大常委會表決通過了《天津市社會信用條例》(下稱《條例》)。《條例》第十六條規定,市場信用信息提供單位採集自然人信息的,應當經本人同意並約定用途,法律、行政法規另有規定的除外。市場信用信息提供單位不得采集自然人的宗教信仰、血型、疾病和病史、生物識別信息以及法律、行政法規規定禁止採集的其他個人信息。據此,企事業單位、行業協會、商會等被禁止採集人臉、指紋、聲音等生物識別信息。
人臉識別是基於人的面部特徵進行身份識別的一項生物識別技術,這項技術通過採集人像、關鍵點提取,對人像進行預處理、特徵提取、人臉識別對比,實現個人身份識別驗證的目的。
在行業人士看來,《條例》中規定的禁用人臉識別技術,面向特定場景下的市場信用信息採集者,意味着在上述領域中可能存在技術濫用的情況。基於此,此前南京、徐州和杭州等多地也分別要求售樓處未經同意不得拍攝來訪人員的面部信息以及物業服務人不得強制業主通過指紋、人臉識別等生物信息方式使用共用設施設備等。
產業藍海下風險與機遇並存
據統計,2010-2018年,中國人臉識別行業市場規模年均複合增長率達30.7%,預計到2024年市場規模將突破100億元。但廣闊藍海面前,行業發展仍面臨着諸多信息安全問題。尤其在金融領域,指紋、人臉識別等技術更存在着更大的風險隱患。
介於以上,近年多地也在不斷對人臉識別等技術加以規範。2019年1月,上海發佈《加快推進上海金融科技中心建設實施方案》提到,將推進人臉識別線下支付等23個金融科技應用試點;同年2月份,人民銀行福州中心支行正式印發《福建省人臉識別線下支付安全應用試點實施方案》。
2019年8月23日,中國人民銀行印發《金融科技(FinTech)發展規劃(2019-2021)》提到,將探索人臉識別線下支付安全應用,藉助密碼識別、隱私計算、數據標籤、模式識別等技術,利用實現交易驗證,由持牌金融機構構建以人臉特徵爲路由標識的轉接清算模式,實現支付工具安全與便捷的統一。
尤其在今年1月,中國支付清算協會還制定《人臉識別線下支付行業自律公約(試行)》在採集環節與存儲環節加以要求,堅持“用戶授權、最小夠用”,明確告知用戶信息使用目的、方式和範圍,並獲得用戶授權,避免與需求無關的特徵採集等。
但從行業來看,刷臉支付近兩年成爲大支付機構的競爭焦點。前階段,微信支付、支付寶刷臉支付搶地盤大戰引起廣泛關注。在麻袋研究院高級研究員蘇筱芮看來,支付龍頭機構爲何大力推廣刷臉支付,首先是因爲刷臉支付作爲生物支付的一種方式,目前滲透率較低,存在廣泛發展空間,巨頭追求搶佔新興模式的制高點。
其次是刷臉支付確實能一定程度上緩解收銀排隊的情況,對提升交易效率有所幫助。再者,微信、支付寶等支付巨頭擁有龐大的金融生態體系,未來不排除用戶的刷臉記錄與其授信、風控等聯繫起來,例如刷臉支付刷得多,信用分有所提升,又或者用戶未來在申請貸款時,其人臉信息會多方對比等觀察。
個人信息安全相關立法仍不完善
值得關注的是,“中國人臉識別第一案”於迎來一審判決。11月29日,“網絡法實務圈”獲悉,“人臉識別第一案”原告郭兵不服一審判決(一審判決書:“人臉識別第一案”判決書(全文)),已於當天下午寄出上訴狀。
2020年11月20日,杭州市富陽區人民法院就本案公開開庭,並宣判如下:被告野生動物公司賠償原告合同利益損失及交通費共計人民幣1038元,刪除原告辦理指紋年卡時提交的包括照片在內的面部特徵信息,同時駁回原告提出的確認動物園店堂告示、短信通知中相關內容無效等其他訴訟請求。
法院認爲,本案爭議焦點是對經營者處理消費者個人信息,尤其是指紋和人臉等個人生物識別信息行爲的評價和規範問題。我國法律對於個人信息在消費領域的收集、使用雖未予禁止,但強調對個人信息處理過程中的監督和管理,即個人信息的收集要遵循“合法、正當、必要”的原則和徵得當事人同意;個人信息的利用要遵循確保安全原則,不得泄露、出售或者非法向他人提供;個人信息被侵害時,經營者需承擔相應的侵權責任。
11月30日,相關媒體報道稱該案主訴人郭兵處獲悉,因部分請求未獲法院支持,其已在前一日寄出民事訴訟狀,提出請求撤銷杭州市富陽區人民法院(2020)浙0111民初6971號民事判決,改判支持其一審全部訴訟請求。
值得一提的是,10月13日,全國人大常委會會議審議的個人信息保護法草案規定,處理個人信息應當在事先充分告知的前提下取得個人同意,並且個人有權撤回同意;重要事項發生變更的應當重新取得個人同意;不得以個人不同意爲由拒絕提供產品或者服務。通過自動化決策方式進行商業營銷、信息推送,應當同時提供不針對其個人特徵的選項。
而不久前,國家網信辦也發佈了《常見類型移動互聯網應用程序(APP)必要個人信息範圍(徵求意見稿)》(下稱《徵求意見稿》)將人臉識別、指紋識別等生物信息排除在38類常見APP的必要個人信息範圍外。
上述徵求意見稿明確了短視頻、地圖導航、網絡約車、學習教育等38類常見類型APP必要個人信息範圍,給過度收集個人信息的行爲戴上“緊箍咒”。必要個人信息是指保障APP基本功能正常運行所必需的個人信息,缺少該信息APP無法提供基本功能服務。只要用戶同意收集必要個人信息,APP不得拒絕用戶安裝使用。
深度科技研究院院長張孝榮表示,網信辦出手限制APP無限“索取”個人隱私信息的惡風終於得到遏制了,我國在APP時代的信息保護也終於邁出了一步。該意見稿管理範圍較廣,所有類型APP幾乎一網打盡。
但張孝榮也認爲新規定對於關聯登錄沒有詳細規定。此前《個人信安防範指引》提到,用同一賬號註冊登錄多個APP時,可提供解除單個APP用戶賬號使用關係的渠道。這個沒有提及的關聯登錄可能會繞開網信辦的新規,依然會收集用戶隱私。
“另外,個人信息早就被APP蒐集遍了,唯一沒遭毒手的也只有一些00後了。《徵求意見稿》對於00後新網民有保護作用,對於老用戶權益保障似乎有些不足。”張孝榮進一步指出,“而對於刷臉識別技術的濫用,沒有直接明確,對於指紋識別技術採集信息也沒有限制,但個人生物識別技術採集的信息要比常見的文本信息更容易產生危害。”
責任編輯:孟俊蓮 主編:冉學東