滥用人脸识别技术,违法!最高法新规来严管
极目新闻记者 聂丽娟
通讯员 蔡蕾
物业强制“刷脸”算违法、未成年人刷脸必须获得监护人同意、公共场所不得随意使用人脸技术……8月1日,最高人民法院发布的关于《审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《规定》)正式实施。
从此,“刷脸”有了法律保护,便捷和安全隐患并存的人脸识别技术,让市民有了司法“保护伞”。就此,极目新闻记者请法学专家就新规进行了解读,并采访了部分市民发现,多数市民对于人脸识别这项技术的安全性心存隐患。
【解读】
人脸识别滥用催生新规出台
“人脸识别,绝对不仅仅就是刷个脸,验证个身份信息那么简单。”8月10日,湖北省高院法官叶宇介绍,近年来,随着信息技术飞速发展,人脸识别逐渐渗透到人们生活的方方面面,从手机解锁到电脑笔记本开机,从小区门禁到银行存款的领取、以及手机支付等,都可以通过人脸识别“刷脸”来完成。然而人脸识别技术给人们带来便利的同时,也带来了安全隐患。
极目新闻记者采访了解到,据媒体去年发布的《人脸识别应用公众调研报告》显示,在2万多名受访者中,94.07%的受访者用过人脸识别技术,64.39%的受访者认为人脸识别技术有被滥用的趋势,30.86%受访者已经因为人脸信息泄露、滥用等遭受损失或者隐私被侵犯。
强化人脸信息保护的呼声日益高涨,2021年7月28日,最高人民法院最高院召开新闻发布会,发布了《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《规定》)。
《规定》针对实践中反映较为突出的人脸识别技术被滥用问题,从侵权责任、合同规则以及诉讼程序等方面规定了16个条文。
经营场所滥用人脸识别构成侵权
有些知名门店使用“无感式”人脸识别技术,在未经同意的情况下擅自采集消费者人脸信息,分析消费者的性别、年龄、心情等,进而采取不同营销策略。
湖北省高院法官叶宇向极目新闻记者介绍,此次《规定》第二条第一款规定指出,专门针对宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所,违反使用人脸识别技术进行人脸验证、辨识或者分析的行为进行规范。一旦这些公共场所滥用人脸识别,人民法院将认定其行为构成为侵害自然人人格权益。
“人脸信息属于敏感个人信息中的生物识别信息,是生物识别信息中社交属性最强、最易采集的个人信息,具有唯一性和不可更改性,一旦泄露将对个人的人身和财产安全造成极大危害。”最高法在充分调研基础上,专门对上述经营场所做出了要求和规定。叶宇说。
这意味着,在经营场所、公共场所使用人脸识别技术,应主要是为维护公共安全等之所需。
物业不得强制业主“刷脸”
随着科技进步,众多小区物业小区积极拥抱新科技,纷纷采用人脸识别管理门禁系统,物业认为,这样既方便又能提高效率。只是,这些小区物业小区忽视了一个更为重要的问题:当自己手握海量个人信息时,能否保证这些信息不被泄露,不被盗用?此外,还有小区物业,甚至强制要求居民录入人脸信息,并将人脸识别作为出入小区的唯一验证方式。
对此,《规定》第10条第1款专门规定:“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。”另外,为更好规范物业服务企业或者其他管理人,防止其将人脸信息泄露或者侵害业主、或物业使用人隐私,第10条第2款又进一步明确:“物业服务企业或者其他建筑物管理人存在本规定第二条规定的情形,当事人请求物业服务企业或者其他建筑物管理人承担侵权责任的,人民法院依法予以支持。”这样就对业主及其他物业使用人的人脸信息形成全面保护。
人脸信息属于敏感个人信息,小区物业对人脸信息的采集、使用必须依法征得业主或者物业使用人的同意。只有业主或者物业使用人自愿同意使用人脸识别,对人脸信息的采集、使用才有了合法性基础。最高人民法院研究室副主任郭锋此前表示,根据这一规定,小区物业在使用人脸识别门禁系统录入人脸信息时,应征得业主或者物业使用人的同意,对于不同意的,小区物业应当提供替代性验证方式,不得侵害业主或物业使用人的人格权益和其他合法权益。
通过APP授权捆绑强制采集人脸信息无效
一段时间,不少市民打开手机,下载部分移动应用程序APP时,会遭遇被动强制索取非必要个人信息的问题。移动应用程序企业,通过一揽子授权、与其他授权捆绑、“不点击同意就不提供服务”等方式,获取用户个人的信息。这些共同遭遇是很多用户的痛点,也是维权的难点。
为强化人脸信息保护,防止信息处理者对人脸信息的不当采集。对此,《规定》根据民法典第1035条,明确了以下处理人脸信息的规则:
一是单独同意规则。《规定》第2条第3项引入单独同意规则,即:信息处理者在征得个人同意时,必须就人脸信息处理活动单独取得个人的同意,不能通过一揽子告知同意等方式征得个人同意。
二是强迫同意无效规则。《规定》第4条对处理人脸信息的有效同意采取从严认定的思路。对于信息处理者采取“与其他授权捆绑”、“不点击同意就不提供服务”等方式强迫或者变相强迫自然人同意处理其人脸信息的,信息处理者据此认为其已征得相应同意的,人民法院不予支持。第4条的规定不仅适用于线上应用,对于需要告知同意的线下场景也同样适用。
“特别是对人脸信息的处理,不能带有任何强迫因素。”叶宇表示,如果信息处理者采取“与其他授权捆绑”、“不点击同意就不提供服务”等模式,会导致自然人无法单独对人脸信息作出自愿同意,或者被迫同意处理其本不欲提供且非必要的人脸信息。
处理未成年人人脸信息须征得监护人同意
伴随着人脸识别应用场景越来越广泛,未成年人的人脸信息被采集的场景也越来越多。未成年人的人脸信息一旦泄露,不利侵权影响甚至可能伴随其一生。因此,新的司法解释对未成年人的人脸信息保护进行了专门规定。
据了解,我国未成年人保护法、网络安全法等法律对未成年人的网络保护作出了专门规定:如信息处理者处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意;未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的,信息处理者应当及时采取措施予以更正、删除。
此次新规,坚持最有利于未成年人原则,从司法审判层面加强对未成年人人脸信息的保护。第2条第3项的规定,信息处理者处理未成年人人脸信息的,必须征得其监护人的单独同意。关于具体年龄,可依据未成年人保护法、网络安全法以及将来的个人信息保护法进行认定。
华中科技大学法学院腾锐副教授认为,从责任认定角度看,该新规结合当前未成年人人脸信息保护现状,明确将“受害人是否为未成年人”作为责任认定的特殊考量因素,对于违法处理未成年人人脸信息的,在责任承担时依法予以从重从严,确保未成年人人脸信息依法得到特别保护,呵护未成年人健康成长。
【案例】
人脸识别大规模落地,应用于安防、金融等日常生活的重要场景,却因不断引发个人信息安全等问题,让人产生一种不安全感。
滥用人脸识别案件频发
人脸识别不同于虹膜识别和指纹识别,市民在不知情下,非接触式被动“录脸”,刷脸产生的风险,不容易被当事人发现。
2021年5月,浙江省某市场监管局接到举报,顾客在楼盘看房时,商家私下使用人脸识别抓取看房人人脸信息。监管人员现场接举报,赶往楼盘现场,查获用于人脸抓拍的摄像头5个,后登录该公司使用的人脸识别系统,共查获涉嫌侵权的人脸识别数据949条。房地产开发有限公司负责人解释,私自抓取人脸识别数据,是为了通过安装和使用人脸识别系统用以界定客户来源,商业用途不言而喻。
还有不法分子通过人脸识别牟利。中国裁判文书网,一起关于人脸识别的刑事判决书显示:2016年1月至8月间,韩某等四人先后在多个县市的超市内,以顾客购物满一定金额可获赠礼品为名,要求顾客在领取礼品时提供姓名、身份证号码,并采集当事人人脸的方式,然后在顾客不知情的情况下,将非法获取的公民个人信息注册成为某公司开发运营的借贷宝APP用户,共计注册成功1万2千多个账户,每注册成功一个借贷宝APP用户,就能获取20元至40元不等的报酬。
未成年人的个人信息保护意识较弱,也极易产生安全隐患。2020年10月17日,湖北恩施巴东警方破获一起人脸识别网络诈骗案,犯罪分子落网交代,他们打着收购游戏账号、送装备、解除游戏限制之类的幌子,在网上选择小孩玩家为目标,因为小孩玩家单纯,玩游戏的手机一般都是家长的,几乎每个微信都绑定了银行卡。有些家长在微信里设置了转账需要进行人脸识别功能,包括转动头部或眨眼等动作来验证。犯罪分子哄骗小孩盗取家长微信后,选择人脸识别验证功能的微信号,从微信里找出受害人的自拍图,通过某些软件对照片进行处理,做成能眨眼、张嘴的小动图,伪造出一张“假脸”通过验证。这样,就能顺利把微信绑定卡里的钱转走。
让人防不胜防的还有人脸识别“黑产”。2020年10月央视报道,个人信息黑产链条中,大量人脸照片被私下交易,2元可买上千张人脸照片,5000张人脸照片不到10元,这些照片落入不法分子手中,可能用于精准诈骗甚至洗钱、涉黑等违法犯罪活动。
【探访】
高档写字楼物业“录脸”遭员工吐槽
“开通门禁非要录我的脸,我拖着一直没有办。”8月4日,极目新闻记者在汉街总部国际采访时遇到员工龚小姐(化名)。龚小姐说,自己在汉街总部国际E座上班,大楼门禁系统采用人脸识别,开通门禁要先到物业办公室“录脸”,让她觉得隐私受到侵犯。
在她看来,人脸识别是自己独有的生物信息,怎么能随意被采集呢?龚小姐多次询问物业楼管,得到的答复是只能“录脸”,不支持办门禁卡。
员工刘先生说,大楼地下车库也要刷脸进出,自己又不想“录脸”,无奈之下,只好把车停在单位附近。
对于龚小姐和刘先生提出的质疑,记者联系大楼所属物管公司深圳万象美负责人罗经理。罗经理说,公司大楼和车库其实有两套门禁系统,一套凭门禁卡进出,一套是人脸识别。由于人脸识别门禁由辖区派出所安装,方便甄别监管不法人员进出大楼,物业一般鼓励员工使用人脸识别的门禁,而且这些人脸识别的数据,物业公司并不进行保存。但如果员工不愿意“录脸”,想办理门禁卡,可由所在单位行政提交申请找物业办理。
8月8日,当天记者来到友谊大道一大型连锁超市,看到每个结账口自助柜台上,都有着明显的标识显示可以刷脸支付。有市民选择了几件物品后拿到自助收银台,输入绑定手机的后四位电话号码,屏幕上出现一个圆圈,这位市民的脸刚出现在圆圈内,就显示识别成功并且支付成功,整个支付过程在10秒内。相比起手机支付,刷脸支付更快更便捷。顾客宋小姐告诉记者,有些小副食店的刷脸支付设备,连手机号都不用输入,顾客在刷脸机前一站,账户里的钱就付出去了,手机账户就像在“裸奔”。
【声音】
建议政府构建人脸识别监管体系
滕锐是华中科技大学法学院副教授,在知识产权与人工智能法学等领域颇有研究和建树。曾在美国加州伯克利大学做访问学者,担任国家人权教育与培训基地——华中科技大学人权法律研究院秘书长。
像打击盗窃一样打击滥用人脸识别
极目新闻记者:8月1日,最高人民法院发布的关于《审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《规定》)正式实施。对于人脸识别安全的隐患,您是怎么看待的?
滕锐:人脸识别就像一柄双刃剑,一方面未经用户许可擅自采集用户人脸信息,并用作商业用途,商家不仅拥有了用户的人脸数据,还拥有了用户的消费习惯、财务状况等其他信息,这些信息一旦泄露,将对用户的隐私造成巨大的损害,另外一方面应用场景已经广泛应用到面部解锁、身份认证、面部支付、门禁、通行、安防等领域,从公共安防领域向商业领域拓展。疫情期间,中国企业积极投入疫情防控阻击战,研发和应用了大量先进的技术和解决方案,其中就包括人脸识别技术。作为新兴的身份认证手段,便捷高效的人脸识别应用范围越来越广。中国作为人脸识别应用较多的国家,怎样进行有效的管理是关键。对于违法泄漏人脸信息,或者恶意使用人脸信息数据,应加大打击力度,就像打击盗窃犯罪一样。
拥抱新科技和保护人格权结合起来
极目新闻记者:此次8月1日实施的《规定》,物业不得强制将人脸识别作为出入小区唯一验证方式,这条司法解释您是如何看待的?
滕锐:我们每个人都是社区中的一员,这个话题大家感同身受。随着人脸识别技术应用场景的不断丰富,一些小区引入人脸识别系统,用“刷脸”代替“刷卡”,可以说,这是新形势下小区物业管理的一种创新模式。
清华大学的法学教授劳东燕也曾遇到过类似问题,身为清华法学教授的她,看到了人脸识别的风险,她认为物业公司根本无权收集业主的此类信息。物业把录脸作为小区唯一的验证出行方式。虽然这种智能化管理,可以更精准识别出入小区人员,让小区管理更安全、更高效。但物业公司在录入业主人脸信息时,要求人脸信息和详细住址、身份信息相绑定,这些信息一旦泄露,可能给个人隐私造成损害。部分小区物业强制要求居民录入人脸信息,并将人脸识别作为出入小区的唯一验证方式,这种行为违反“告知同意”原则。此次规定中提出,物业小区不得强制让业主刷脸,是给业主以选择权,让小区业主拥抱新科技的同时,也要学会保护自己的人格权。
滥用未成年人信息将从重从严
极目新闻记者:未成年人保护是全社会关注的焦点,《规定》第3条专门规定了,其中一条是信息处理者处理未成年人人脸信息的,必须征得其监护人的单独同意,另外,对于违法处理未成年人人脸信息的行为,在责任承担时依法予以从重从严处理。司法解释着重关注未成年人群体,是如何考量的?
滕锐:此次规定中,专家将未成年人个人信息的保护进行专门的规定,是基于对未成年人的特殊保护和关爱。未成年人阅历有限,个人信息保护意识不强,加上未成年人天性好奇,个人信息权益更容易受到伤害。一旦受到侵权,不良影响有可能伴随终生。例如,未成年人人脸信息假如被犯罪分子非法利用,放在黄色网站,将产生无法弥补的后果。因此在此次规定中,坚持最有利于未成年人原则,规定第2条第3款规定,信息处理者处理未成年人人脸信息的,必须征得其监护人的单独同意。从责任认定角度看,第3条在民法典第998条的基础上,对侵害人脸信息责任认定的考量因素予以细化,结合当前未成年人人脸信息保护现状,明确将“受害人是否未成年人”作为责任认定特殊考量因素,对于违法处理未成年人人脸信息的,在责任承担时依法予以从重从严,确保未成年人人脸信息依法得到特别保护,呵护未成年人健康成长。
监管部门应加大滥用人脸识别打击力度
极目新闻记者:您作为华中科技大学法学院专家学者,研究法律多年,您还有没有其他好的建议和想法?
滕锐:个人信息保护关系到广大人民群众的切身利益,也关系到数字经济的健康发展。 希望相关部门加大宣传力度,加大公众自我维权的法律意识,当遇到侵犯个人信息的权益时,能拿起法律武器保护自己。
同时,建议政府统一管理人脸识别技术,构建人脸识别的监管体系,加强人脸识别技术应用的备案、监督、评估,保证其应用发展的安全可控。随着人脸识别技术的成熟和普及,此次最高法这对滥用人脸识别行为进行司法解释,既想要保证消费者的个人信息安全,也希望同时更好地推动新技术的发展,在技术便捷性和安全性之间取得平衡,让科技创新真正惠民、利民、便民。