這個五一,我們可以拒絕“強制刷臉”了嗎?

點擊上圖▲立即瞭解

“最少使用、遵循自願、最小儲存。”

文 / 巴九靈(微信公衆號:吳曉波頻道)

上海打響了反對“強制刷臉”的第一槍。

4月12日,上海市旅館業治安管理信息系統發文強調:

◎嚴禁對已出示本人有效身份證件的旅客進行“強制刷臉”覈驗;

◎嚴禁發生不“刷臉”不能入住問題;

◎對爲忘帶身份證件旅客提供便民覈驗服務的,應當明確徵得旅客本人同意。

這條新規定,很快就得到了落實。4月21日,《21世紀經濟報道》的記者致電上海亞朵、桔子、如家、全季、希爾頓歡朋等酒店,酒店均表示攜帶身份證可以直接入住。只有在旅客沒帶身份證的情況下,徵求旅客同意後,才能進行人臉識別。

上海酒店業的做法,得到了很多網友的讚賞,因爲天下苦“刷臉”久矣。

不知從何時開始,中國大大小小的酒店都裝上了人臉識別系統,對辦理入住的顧客強制“刷臉”認證。

麻煩隨之而來。首先是拖慢了辦理入住的效率,原本只要刷一下身份證,一分鐘不到的功夫。現在卻要排着長隊“刷臉”,如果遇到設備失靈,顧客還要不停地晃腦袋,讓人感覺很尷尬。

如果人長胖了、換髮型了或者臉部受傷了,一旦系統識別不出來,顧客就會被酒店拒絕。

更可怕的是,我們存進去的臉部信息,可能會被不良商家泄露出去。早在2019年9月,就有媒體爆料,某網絡商城中有商家公開售賣“人臉數據”,數量達17萬條。

這些“人臉數據”涵蓋2000多人的肖像,每個人約有50到100張照片。每張照片搭配有一份數據文件,除了人臉位置的信息外,還有人臉的106處關鍵點,如眼睛、耳朵、鼻子、嘴、眉毛等輪廓信息。

這些個人隱私信息,只要用AI技術加工一下,就能生成一個和真人幾乎一樣的數字人,不免細思極恐。

今年“兩會”期間,全國政協委員戴斌提交了《關於限制旅遊場景過度使用“人臉識別”的提案》。

戴斌認爲,在酒店加裝人臉識別設備終端的行爲,不僅降低服務效率,容易引起遊客的不滿和投訴,而且也增加了企業的經營成本。戴斌建議公安部指導地方取消入住酒店必須刷臉的規定,並召回相關軟硬件設備。

如今上海成了拒絕“強制刷臉”的先行者。據報道,廣州、杭州等地方也相繼跟進。

在此背景下,即將到來的五一假期,如果你面對酒店等公共場所的刷臉需求,能否更有底氣說“不”呢?我們問了一些相關的法律專家和互聯網觀察家,一起出出主意。

姚成傑

上海邦信陽(杭州)律師事務所律師

我來幫大家梳理下當前關於人臉識別的“法律底線”。

涉及人臉識別的隱私保護的法律法規,主要是《民法典》與《個人信息保護法》。《民法典》從民事權利保護的角度規定了私密信息及其保護原則,《個人信息保護法》從個人信息處理的角度規定了敏感信息及其處理原則和基本規則。

2023年,關於人臉識別技術,國家網信辦出臺了一個關於《人臉識別技術應用安全管理規定(試行)(徵求意見稿)》 ,但提醒各位注意,這不是法律法規,充其量是部門規章。

它有幾條明確規定了:

◎實現相同目的或者達到同等業務要求,存在其他非生物特徵識別技術方案的,應當優先選擇非生物特徵識別技術方案。

◎使用人臉識別技術處理人臉信息應當取得個人的單獨同意或者依法取得書面同意。法律、行政法規規定不需取得個人同意的除外。

◎只有在具有特定的目的和充分的必要性,並採取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息。

另外,很多時候人們涉及到人臉識別或者個人信息保護,都不免提及“隱私權”,但在法律層面,隱私權與個人信息保護有關聯但也有明確區隔,不能混同。

《民法典》對隱私權和個人信息保護有不同法條分別明確,其中第1034條規定:“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。”

個人信息中的私密信息,適用有關隱私權的規定;沒有規定的,適用有關個人信息保護的規定。

人的臉部信息屬於《個人信息保護法》所述的“敏感個人信息”,是指一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。

在司法實踐和學術論爭中,人臉信息是否屬於《民法典》所規定的“私密信息”存在爭議。

敏感信息與私密信息之間存在交叉重合的關係,私密信息承載的人格利益主要是人格尊嚴、生命健康和財產安全,敏感信息還包括了政治權利和人權,與前者相比承載的人格利益更爲廣泛。

單純的人臉信息不能將其作爲隱私權保護的私密信息的範疇,但是若某些特定案例中人臉信息的美醜、臉部特殊識別標記等已影響到自然人人格尊嚴了,也有可能納入私密信息而獲得隱私權保護。

第二,在處罰上,隱私權與個人信息保護區別的側重點也不同。

隱私權的損害賠償採用過錯責任原則而個人信息保護採取過錯推定原則。

所謂“過錯責任原則”,指的是通常由受害人證明行爲人是否有過錯;過錯推定原則,指的是行爲人不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任。

換言之,張三認爲自己被侵犯隱私的,只要拿出證據證明自己確實被侵犯了,就可以判定對方有錯;但如果張三指控李四侵犯了自己的個人信息,需要由李四來證明自己沒有侵犯。

董毅智

上海正策律師事務所律師

在我接觸到的許多案例中,不難發現,如果不是消費者刻意指出、投訴舉報,根本很難被發現,不被發現也意味着許多侵權行爲很難被擺到公開的平臺去討論和解決。

在此我可以舉兩個簡單案例幫助各位理解。

第一個案例,是發生在上海徐匯的一家展覽館。有羣衆舉報,在這家展覽館有八個監控頭,從不同的角度對準訪客。

接到投訴後,公安機關偵查發現,這家企業採用了某公司開發的人臉採集分析軟件,可實現包括巡店、安全管理、客流分析等功能在內的許多功能。而且除了這個展覽館,這套軟件在商業上的用途十分廣泛,作爲日常管理的一部分,不少零售商店也配置了相同的軟件。

據瞭解,在被立案調查後,該展覽館已經收集的人臉數據已經高達8000多萬條。

公安機關認爲,徐匯展覽館未經消費者同意採集了人臉信息,且信息已經有被濫用或者買賣的可能性。

這個案例反映了人臉信息的採集背後,存在一定的甚至豐厚的商業利益,而不僅僅只是所謂的“便利性”。

第二個判例,發生在乘客和成都鐵路運輸管理局之間。有乘客舉報,認爲高鐵過閘時,會採用人臉識別的功能,侵犯了他的個人隱私權。這也是全國首例“刷臉坐火車”案。

原告認爲,被告在採集和識別人臉信息以後,並沒有向原告告知有沒有存儲原告的個人信息,也沒有向原告告知有沒有刪除原告的個人信息。

在庭審中,成都鐵路局出具了中國鐵道科學研究院對覈驗閘機人臉比對流程的說明,載明“覈驗過程中,通過比對二代身份證識讀設備讀取的證件照片和刷證時採集的乘客現場照片,確認是否爲本人過閘,整個比對流程均離線完成,不保存任何照片”。

最後原告勝訴,最高法院認爲,消費者的知情權應該得到應有的保護。

從這個案例我們能看到的三點。

▶▷第一,即便是鐵路這樣的公共部門,在個人隱私保護方面,也存在着“告知”不清的情況。

▶▷第二,即便取得了當事人的同意,人臉數據信息的採集和保存,對很多人而言也是“冷知識”,如果不是這個案例,我們可能都不清楚,閘機是否具備存儲能力這件事。

更何況在很多的商場,也是人臉採集的高發地帶,重要的人臉信息的儲存,都停留在“文件管理”上,任何人都能取用,沒有任何加密的舉措。

▶▷第三,依然是“問題的發現,嚴重依賴消費者的自覺,而非人臉採集方和儲存方的自覺”,這就讓個人隱私保護的工作較爲被動。

當下,綜合我對美國和歐盟等相關法律的研究發現,從法律層面出發,我國在個人隱私保護上並不“落後”,但缺少對法規的敬畏和對違法行爲的自覺維護。

以美國爲例,美國聯邦法律針對人臉識別技術並沒有做出統一的規定,但美國部分州,爲了更好地保護個人信息和隱私安全,通過專門立法來進一步規範人臉識別技術的應用。

再說歐盟,歐洲議會官方網站上公佈的《人工智能法案》草案中,人臉識別等實時遠程生物識別技術從“高風險”級別被調整爲“不可接受”級別,這意味着除法律規定的例外情形外,企業將被禁止利用人工智能技術在歐盟國家的公共場合進行人臉識別。

我國,人臉信息是典型的個人生物識別信息,因此已經納入到了《網絡安全法》保護的範圍。另根據《個人信息保護法》第62條——針對小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等新技術、新應用,制定專門的個人信息保護規則、標準。

再加上2023年8月8日公佈《人臉識別技術應用安全管理規定(試行)(徵求意見稿)》中,第九條有明確規定,賓館、銀行、車站、機場、體育場館、展覽館、博物館、美術館、圖書館等經營場所,除法律、行政法規規定應當使用人臉識別技術驗證個人身份的,不得以辦理業務、提升服務質量等爲由強制、誤導、欺詐、脅迫個人接受人臉識別技術驗證個人身份。

上下滑動,查看圖片

因此,法律上我們並不落後,但在普法上還有待提高。

說回到上海當前的舉措,在進一步營造個人隱私保護方面,提供了一次很好的引導和示範,值得倡導,這樣會鼓勵更多地方能夠自覺把“保護個人隱私”提到優先位置,也讓更多個人有勇氣對“侵犯個人隱私”行爲說“不”。

其實這也不難,對於個人信息保護,只要記住12個字即可:最少使用、遵循自願、最小儲存 。

丁道師

速途傳媒執行總編兼速途研究院院長

我有一位殘疾人朋友,十幾年前因爲遭遇了一場火災,把臉部燒傷了,所以系統識別不出他的臉部信息。涉及到用人臉識別驗證的服務,他都用不了,給他帶來很大的困擾。

觀察互聯網這麼多年,我認爲各種高新技術的發明,是爲了讓更多的人在原有的基礎上給予更多的方便,但這裡有個前提,不能爲了追求某種新科技的便捷,就把之前的這些基本權利都取消了,人臉識別,相當於就是加了一層驗證方式,或者說是提供了一種新的服務方式,但有的已經爲此放棄了一些基本的保障。

這樣的案例在現實中還有很多,例如,有些景區只允許在線上預約購買,線下買票渠道被取消了,還有訂機票、看病掛號等。

從這個意義上說,我認爲,安全和便捷總是呈反比的,很難兼得。這兩年我國在人工智能、大模型、個人臉識別等領域出臺了一系列的法律法規,就是想要儘可能在提供便捷的時候,保障安全,不讓技術起反作用。

韓旭至

華東政法大學法律學院副教授

數字法治研究院副院長

身份校驗有很多種方式,輸密碼是一種方式,看身份證是一種方式,人臉識別也是一種。

酒店管理條例要求我們覈實住店人的身份,那問題就在於它需要覈實到什麼程度。如果核實程度要求高的,舉個例子,如果只看身份證,人的模樣可能會發生變化,因此單憑身份證不一定能分辨的出來,因此需要使用雙因子身份驗證,身份證是一個因子,人臉識別又是一個。

根據《個人信息保護法》第26條的規定,在公共場所安裝圖像採集、個人身份識別設備,應當爲維護公共安全所必需,遵守國家有關規定,並設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用於維護公共安全的目的,不得用於其他目的;取得個人單獨同意的除外。

這也是在告訴人們,人臉信息採集,只有一個目的,就是維護公共安全。

那麼,對於其他公共場所如酒店、公園等而言,如果不是出於這個目的,那麼進行人臉識別其實是一件成本很高的事。

根據《個人信息保護法》第28條,個人信息處理者要處理敏感個人信息,必須滿足三個要件,一要具有特定的目的,二要具有充分的必要性,三要採取嚴格保護措施。

這意味着,他們既需要寫清楚自己做人臉識別的目的,也需要證明自己是必須這麼做,還要公示自己是否有能力嚴格地保護這些信息。

作爲一種身份識別機制,刷臉的技術邏輯與規制方式均不復雜。因此,刷臉風險的核心,既不在於“看”也不於“臉”,而在於對個人信息的數字化處理、比對和分析。

在身份識別機制向識別分析機制的轉換中,刷臉的風險了發生遷移,規制機制的適用自然也會產生轉向——從單純地將其作爲身份識別工具來維護公共安全等,到規範個人信息處理者的行爲。

在這樣的基礎上,若相關企業依然堅持如此,那麼一方面,可能對當前個人信息保護的意識還不足,另一方面,就是背後有其他商業利益作爲引誘,而這正是法律想要杜絕的事。

本篇作者|和風月半 | 饒祖分|責任編輯|徐濤

主編|何夢飛|圖源|VCG

走進標杆工廠2024|全新升級。升級2天1夜,新增“系統專題課程”,3大模塊10大主題課程全年輪動學習,從理論到實踐做到有體系、可落地。

點擊圖片▼立即瞭解