11月20日,被稱為國內“人臉識別第一案”的杭州市民郭兵訴杭州野生動物世界有限公司一案宣判。杭州市富陽人民法院一審判決杭州野生動物世界刪除郭兵辦理年卡時提交的面部特征信息,賠償郭兵合同利益損失及交通費共計1038元。郭兵的勝訴固然具有里程碑式意義,而關于人臉識別技術的討論仍在繼續。
刷臉支付、刷臉考勤、刷臉入園……人臉識別作為新興的身份認證手段,得到不少商家組織和機構單位的應用推廣。一方面,人們的確享受了技術帶來的便捷高效,節約了時間人力成本,另一方面,人臉識別的泛濫也為用戶面部信息泄漏留下了安全隱患。2020年7月,“人臉信息五毛一份在電商平臺打包出售”被曝光,不少網絡黑產從業者以此批量倒賣非法獲取的人臉等身份信息,從事虛假注冊、電信網絡詐騙等違法犯罪活動。
《中華人民共和國網絡安全法》第四十一條規定,網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。
然而在人臉識別的應用場景中,用戶或被反復彈窗提示使用人臉識別功能,或在并無人臉識別平行選擇的情況下被動接受刷臉,甄別能力較弱者甚至被某些“換臉游戲”引導錄入面部信息并不自知……在信息使用層面,部分信息采集方并未向用戶明確使用規則及范圍,后續信息的使用處理亦無人監管;在信息保護層面,人臉識別技術的使用機構和數據公司,一味使用技術紅利采集信息,卻并不都具備相關風險抵御能力。作為不可復制替換的個人信息元素,面部信息一旦被竊取或泄漏,其風險不言而喻。
人臉識別技術被濫用,正在造成個人信息采集的失控。除了公眾個人信息保護意識薄弱之外,不少組織機構無論是否正當、有無必要,一味追求成本低廉和采集便利,無限制使用人臉識別身份認證也是重要原因。此外,數據公司為拓展業務和增收盈利,不斷推廣普及采集技術,也為人臉信息安全埋下了隱患。
技術的發展和應用有待相關法律的同步。在現有網絡安全法、民法典、消費者權益保護法等相關法律的基礎上,法律有必要對不同主體收集人臉信息的正當性、必要性邊界進行規范,進一步明確信息采集尺度、技術使用邊界、信息保護監管、信息安全責任。
2020年3月,由國家市場監督管理總局、國家標準化管理委員會正式發布了2020版國家標準《信息安全技術個人信息安全規范》,其中明確要求個人生物識別信息需單獨告知使用目的、方式和范圍,并且應當與個人身份信息分開存儲且原則上不應存儲原始個人生物識別信息。規范中具有參考價值的提法建議,有必要落實為法律層面進行強制約束。
作為信息的采集流通儲存環節,組織機構和技術公司在采集人臉信息時,應當遵循“最少夠用”原則,充分征求被采集人意見,落實行業主體責任,公開信息使用規則,保障信息使用安全。另一方面,也要開發替代性的身份識別手段,在信息安全流程尚不成熟階段,把控人臉識別技術存在的技術風險。
與此同時,在公民提高個人信息安全意識之外,政府也要落實監管主體責任,管控過度信息采集行為,監管信息的使用流通安全,建立組織機構的普適性安全責任底線,為公民搭建一張值得信賴的個人信息安全保護網絡。