观点 | 视频监控人脸识别技术可能存在的法律风险及对策
欢迎金融科技工作者积极投稿!
投稿邮箱:newmedia@fcmag.com.cn
——金融电子化
文 / 中国农业银行安全保卫部 王小刚
近年来,视频监控人脸识别技术加速应用在社会的方方面面,“刷脸时代”已经到来。而机遇与风险并存,在刚刚过去的2021年“3.15”晚会,开篇就重点报道了科勒卫浴、宝马、港汇恒隆MaxMara专卖店等安装人脸识别摄像头,搜集海量人脸信息抓取包括性别、年龄在内的个人信息应用于精准营销,抓取的人脸数据信息累计上亿。报道一出,引起社会广泛关注。视频监控在银行业金融机构安全防范中有广泛的应用,一旦使用不当或信息泄露可能会引发巨大财务风险和声誉风险,银行业金融机构有必要未雨绸缪,提前应对。
AI时代的视频监控人脸识别技术
人脸识别技术是基于人的脸部特征,用摄像机或摄像头采集含有人脸的图像或视频,并自动在图像中检测和跟踪人脸,进而对检测到的人脸进行脸部识别的一系列相关技术。人脸识别技术的研究开始于20世纪60年代末70年代初,90年代成为研究热点。伴随着21世纪科技的进步和社会的发展,人脸识别在学术研究和技术发展方面都取得了重大进步,越来越多的人脸识别技术产品走入日常生活。人脸识别技术与其他生物特征识别技术相比,具有使用简单、获取方便、结果直观、非接触性验证及可扩展性良好等众多优势。近年来被广泛地运用到金融、保险、教育、电子商务等领域,应用场景越来越广泛。
在人工智能领域,计算机视觉分析是一个发展相对较为成熟的技术,在“3.15”晚会上提及的四家企业都分别自研计算机视觉技术,且通过人脸识别获取信息并应用到不同场景的商家。通过人脸识别摄像头采集人脸信息后,通过服务器上的根账号进入后台,随时查询各个前端企业的客户人脸数据,甚至可以随时调用。整体来看基本形成了一条完整的产业链,即人脸识别技术——人脸识别摄像头——人脸识别系统——提供专业的人脸互动营销解决方案——场景/商家。
在央视暗访中,相关公司内部人员也多次提及关于无感摄像头在客户中的使用。这些摄像头在捕捉顾客人脸信息时,无需告知顾客,更无需经过顾客同意。一旦被抓拍,同一个人就会生成一个独有的“Face ID”。人脸识别除了可以做人群流量监控,还可以通过摄像头里面采集的影像,辨识一些生物特征,比如性别、年龄等等。摄像头不仅记录到访人人脸信息,还可以通过人脸识别系统识别顾客的性别、年龄甚至心情,并且可以通过算法提高识别率,比如不戴口罩识别率95%,戴口罩的情况下识别率能达到80%~85%。此外,还可以在人脸识别系统平台上为被抓拍的顾客添加各种信息标签,如同业、记者之类。
值得注意的是,单一的人脸识别信息,危害并不大,但是一旦人脸信息和身份证信息相结合,就存在很大的信息安全隐患。随着当前AI技术的快速发展,“照片活化”技术的使用,已经可以通过照片做出头像摇头、点头、眨眼、吐舌头等动作,一旦加上手机号验证码,不法分子就可以冒用别人的身份去办理网贷、注册软件或者网站、解锁支付软件、实施精准诈骗等。
人脸识别技术相关的法律责任
人脸识别在一定程度上给生产生活带来便利,从刷脸支付、小区刷脸门禁、手机刷脸解锁等日常生活场景,到加速警方破案、银行业务办理、移动支付、车站检票等应用场景,科技向善带来的好处随处可见,获得便利体验的同时,模糊的安全边界也引发了大众对“刷脸滥用”的担忧。据全国信息安全标准化技术委员会等成立的APP专项治理工作组发布的《人脸识别应用公众调研报告(2020)》显示,在2万多名受访者中,有六成认为人脸识别技术有滥用趋势,三成受访者表示已因人脸信息泄露、滥用而遭受隐私或财产损失。因此,如何寻找确保公共安全与维护个人隐私之间的平衡点,成为摆在我们每个人面前的一道难题。
人脸识别技术虽然给我们的生活带来诸多便利,但是其中的法律风险不容忽视,面部特征属于“公民个人信息”的范畴,应当得到法律的保护。近年来,利用人脸识别技术进行犯罪的案件逐渐增多,出现了利用非法获取的被害人人脸数据恶意注册电话卡、信用卡甚至非法借贷的案件。2018年还发生了利用人脸识别技术进行诈骗的刑事案件,该案中,犯罪分子利用非法窃取的人脸数据,通过软件制作3D头像,骗过人脸识别系统认证,进而骗取被害人的钱财。
此类型的侵犯公民个人信息行为涉嫌犯罪,我国《刑法》第253条之一规定,“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚”。2017年,针对个人信息保护领域出现的新形势和新情况,最高人民法院、最高人民检察院出台了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,更加详实地定义了“公民个人信息”的含义和相关处罚的标准。在2020年修订的《信息安全技术个人信息安全规范》中,特别新增了用户画像的使用限制、个人信息处理活动记录等多项内容,明确规定在收集个人生物识别信息前,需单独向用户告知收集、使用个人生物识别信息的目的、方式和范围以及存储时间等规则,并应征得用户的明示同意。
滥用人脸识别信息,在民事领域还可能面临着侵犯他人肖像权或个人信息的风险。2012年12月28日,全国人大常委会通过了《关于加强网络信息保护的决定》,明确规定任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。网络服务提供者和其他企事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。2016年11月7日,全国人大常委会通过了《网络安全法》,对网络环境下个人信息的保护进一步做出了明确规定。包括规定了网络产品和服务提供者保护个人信息的义务;网络运营者用户信息保护制度;网络运营收集、使用个人信息的规则;个人信息的安全保护及泄漏报告制度;禁止非法获取、非法出售、非法提供个人信息制度。2021年1月1日正式实施的《民法典》第1019条明确规定“未经肖像权人同意,不得制作、使用、公开肖像权人的肖像”。该规定在《民法通则》的基础上,删除了“以营利为目的”的构成要件,只要是未经肖像权人同意制作、使用、公开肖像权人肖像的行为,均属于侵权行为。此外,《民法典》还将包含人脸识别信息在内的生物识别信息纳入个人信息的范畴,明确规定“自然人的个人信息受法律保护”,并从民事基本法的角度对个人信息的收集、使用、加工、传输、提供、公开等提出了具体要求。
应用人脸识别需高度重视客户信息安全
2018年5月25日,欧盟《通用数据保护条例》(General Data Protection Regulation)正式生效,对个人信息保护做出明确规范,规定凡在欧盟境内设立的企业或有向欧盟境内个人提供视频或服务的都将受到该条例管辖。2020年10月21日,全国大人常委会法工委发布了《中华人民共和国个人信息保护法(草案)》征求意见稿,就个人信息保护有关的立法问题向社会公开征求意见。2020年以来,我国公安机关深入推进“净网2020”专项行动,截至当年12月20日共侦办侵犯公民个人信息刑事案件3100余起。可以预见,下一阶段,监管部门将继续加大对个人信息违规收集、滥用等行为的打击力度,针对人脸识别等个人信息违规收集、滥用等引发的诉讼和监管处罚将呈上升趋势。
在党的十九届五中全会上,习近平总书记强调:要统筹发展和安全,把安全发展贯穿国家发展各领域和全过程。近年来,我国银行业金融机构积极实施数字化转型战略,大力推进视频监控系统和物联网系统建设,在防范打击暴力犯罪,维护客户人身与经济权益方面发挥了重要作用。以视频监控为中心的安防设施系统,不仅可以用于公共安全,加上人脸识别技术后也可以用于精准营销,也可能存在客户个人信息泄露的问题。银行业金融机构需高度重视客户个人信息保护,在兼顾公共安全的同时未雨绸缪,提前应对,规避风险。可能的对策如下。
1.规范客户个人信息数据采集。在应用视频监控系统采集客户相关信息前特别是人脸识别信息、指纹信息等不可变信息前,尊重用户选择权。建立人脸信息全生命周期安全管理机制,根据用户意愿为其提供开通或关闭刷脸支付服务。用户开通的,应以显著方式提示服务协议中与其有重大利害关系的事项,采取包括隐私政策、格式条款、短信提示在内的方式,确保用户知情同意可选择。具体到人脸数据采集环节,应确保用户知情同意,只收集与目的、使用方式所必要的且相关的信息。
2.梳理客户个人数据信息,做好分类处理和风险评估。应将视频监控收集到的海量个人信息数据区分为公开共享与限制公开两类,范围的划定应当统筹兼顾业务需要、公共安全和客户个人隐私。对于涉及公众个人切身利益的信息应当只能在法律规定的范围内分级共享,对于涉及商业秘密的信息数据也应当划入限制公开的类别。另外,应开展人脸识别技术应用安全风险评估,全面评估该项业务目前的发展和应用状况、适用领域、范围以及对公民个人权益可能造成的损害等。应以国家个人信息保护部门人脸识别技术应用审查为依据,明确准许应用人脸识别的具体领域和场景。
3.确保客户个人信息数据安全。做好数据安全防护工作,提高应对黑客攻击能力,保障个人信息数据安全。应用各种密码技术来维护客户个人信息的安全,减少和消除信息技术在定位追踪和数据集成的过程中对个人隐私的泄露风险。在存储环节,用技术加密存储原始面部信息,确保与银行账号、支付账号、身份证号等用户个人隐私安全隔离。在使用环节,应对客户原始面部信息全程进行全部加密处理或局部加密处理,实现隐私端到端保护。
4.加强内部流程管理和员工行为管理。加强对员工的法制意识培训和安全操作培训,加强对可能接触包括客户个人人脸信息在内的客户个人信息的员工的约束,明确其安全职责;对访问个人信息的内部数据操作人员应进行严格的访问、下载等权限控制;加强内部监督,确保数据库访问、操作留痕。将个人信息保护理念融入业务运营管理的全流程,在金融产品及服务设计阶段就进行风险预测和评估,将必要的隐私设计纳入产品及服务的最初设计之中。
5.加强科技信息平台建设,定期开展压力测试。针对人脸识别、客户信息数据保护等重点风险领域,进一步加强大数据环境下网络安全防护技术手段建设,积极推进大数据环境下防攻击、防泄露、防窃取的监测、预警、控制和应急处置能力建设,提升重大安全事件应急处理能力。
6.建立客户个人信息权益保障机制。建立用户刷脸支付投诉处理流程,明确投诉受理责任部门与受诉渠道,及时处理客户提出的差错争议和投诉问题。建立健全风险拨备资金、保险计划、应急处置等风险补偿机制,对不能有效证明因用户原因导致的资金损失及时先行赔付。对突发的个人信息泄露、贩卖等重大个人信息安全事件,根据个人信息应急事件的规范化处理流程,做到快速响应和处置。
(栏目编辑:张丽霞)
(点击查看精彩内容)
《金融电子化》新媒体部:主任 / 邝源 编辑 / 傅甜甜 潘婧