普罗米修斯之火还是潘多拉魔盒?—浅论人脸识别技术的运用、风险及规范 | 天同网事
本文共计5,339字,建议阅读时间9分钟
一、引言
2021年4月27日,十三届全国人大常委会第二十八次会议对《个人信息保护法(草案二审稿)》进行了分组审议,重点关注问题之一便是人脸识别技术的规范。[1]有委员特别提出对人脸识别技术制定具体规范,[2]这将公众目光再次聚焦到人脸识别技术运用与规制。
近年来,我国人脸识别技术发展势头迅猛。据国际调研机构Gen Market Insights发布的《全球人脸识别设备市场研究报告》显示,中国将成为人脸识别领域最大的消费者和供应商,2023年占全球面部识别市场份额预计将达44.59%。[3]人脸识别技术在金融、人社、医疗、公共治理等领域行业广泛铺开,也极大地便利了公众生活。智能终端厂商、互联网企业、移动App平台亦纷纷接入人脸识别运用,争相竞舸“新蓝海”。但当公众畅享人脸识别技术带来的生活便利之时,数据泄露、隐私侵害、技术滥用等问题也如同高悬于顶的达摩克里斯之剑,时刻敦促产业界、学界对人脸识别技术的规范边界复以深思。
故此,本文拟对人脸识别技术的运用与风险、人脸识别数据的法律属性展开探讨,并依循人脸识别数据从“采集”、“存储”到“流转”的生命链,对当前我国人脸识别技术的规范路径进行梳理。
二、人脸识别技术的概念与运用
人脸识别技术是基于人的脸部特征信息进行身份识别的一种生物识别技术。人脸识别技术主要通过对图像或视频中的人脸进行分析、比较,实现识别或验证特定人员身份的效果。[4]人脸识别技术主要包含人脸识别信息检测采集、人脸关键信息提取以及同人脸数据库分析比对三大环节。[5]
根据2021年4月30日全国信息安全标准化技术委员会发布的《信息安全技术 人脸识别数据安全要求(征求意见稿)》[6],人脸识别技术典型运用场景有以下三种:
三、人脸识别技术的风险
在人脸识别技术为社会生活带来便捷和效率提升的同时,也对公民的个人信息、隐私保护提出挑战,主要表现为可能带来信息安全、个人信息滥用、误差与偏见三个方面的风险:
(一)信息安全风险
在人脸识别技术运用过程中,人脸识别技术开发企业和应用服务提供商掌握了海量的人脸识别数据。确保庞大的数据库的稳定运行本身已非易事,更何况人脸识别数据与金融支付、隐私生活密切绑定,具有极高的价值与敏感度,更易受不法分子的觊觎。近年来,国内外重大信息安全事件频频发生,愈发加剧了公众对人脸信息安全的担忧。如2019年2月,“深网视界”因安全措施不到位导致大规模数据泄露,大量用户人脸识别数据在网上公开泄露;2020年2月,美国人脸识别企业Clearview AI对外发表声明称其整个客户名单被盗,引发公众对由超过30亿张人像照片形成的庞大生物特征信息数据库安全性的诘问。
究其原因,信息安全风险是“内忧外患”合力的结果:一方面,外部安全攻击固然可能直接导致人脸数据泄露等信息安全事件;另一方面,堡垒最易从内部攻破。若个人信息控制者采取的安全措施不符合相关法律法规、行业标准等要求,不仅会触发合规风险,也将难以应对外部威胁。
(二)个人信息滥采、滥用风险
一方面,人脸识别数据违规采集存在侵害基本权利的风险。在私法领域,如售楼处安装人脸识别系统、商家未经同意偷采客户人脸信息,将会侵犯公民的知情权、选择权甚至私生活安宁权;在公法领域,即便出于安防、执法领域等公共管理目的采集人脸识别数据,倘若缺乏系统性的规制,反而可能威胁社会公众安全,也极易引发公众对公权力滥用的质疑。
另一方面,在信息时代背景下,数据的聚合、二次流转,亦使得人脸识别数据最终流向难以把控。人脸识别数据在流转过程中可能脱离用户最初授权目的,遭非法加工或滥用,流入黑灰色产业链。据央视财经栏目报道,在一些互联网平台上,人脸照片正以5000条10元的价格公开售卖。[7]而一些人脸数据,可被用于深度伪造假脸,蒙骗人脸识别系统,用以侵入住宅或登录账户,给公众人身、财产权益造成极大威胁。
(三)误差与偏见
首先,人脸识别技术可能存在误差。尽管当前人脸识别技术发展已相对成熟,但仍难完全克服自然条件、用户等外界因素干扰。因而从技术角度,人脸识别技术并不能确保100%的准确性,存在误检和漏检的可能。[8]现实中,就曾发生小学生利用一张打印照片代替真人刷脸,轻松破解快递柜取出货件的情况。[9]甚至出现二次校验出错,导致“医保卡被人脸识别盗刷”的情形。[10]由于人脸数据处理涉及数据基数庞大,即便是细微误差也可能被放大(如在车站、机场等人流量密集场所部署人脸识别,即便误差率低至0.01%,绝对数也不小),[11]进而使公众对人脸识别技术的可靠性产生怀疑。
其次,人脸识别技术有造成歧视、偏见的风险。譬如在2015年,就出现谷歌图像识别算法,将黑色人种的照片标注为“大猩猩”的情况。谷歌发言人不得不为此道歉,坦言其算法识别技术还有很大的改善空间。[12]类似误识为“大猩猩”的情况还存在于谷歌平台其他应用。技术的不精准,还引发公众对技术偏见的担忧。2020年6月,微软、亚马逊、IBM等国外巨头声称因担心人脸识别技术被用于人权侵犯、种族特征分析,接连宣布退出人脸识别市场。
四、人脸识别技术的运用规范
(一)人脸识别数据的法律属性
人脸识别技术采集的是自然人面部特征信息。2020年版《信息安全技术 个人信息安全规范》明确将自然人面部识别特征纳入个人生物识别信息,并归入个人敏感信息范畴[13]。当前,公开向公众征求意见的《个人信息保护法(草案二审稿)》也拟从法律层面对这一保护路径予以确认。[14]如同其他敏感数据一样,人脸识别数据与个人隐私密切相关。因为人脸识别数据是由身体本身产生的,具有唯一性和不可更改性,一旦泄露便是终身泄露[15]。因此,人脸识别数据的丢失、盗用无疑将会为个人信息主体带来巨大风险。故,相较于一般个人信息处理规则,人脸识别数据的收集、使用、存储和流转,应遵循更为严格的标准和要求。
(二)我国人脸识别法律规制现状
如前文所述,人脸识别信息属于生物识别信息,纳入个人敏感信息保护范畴。而当前,我国对包括人脸信息在内的生物识别信息的特别保护呈现出软法先行的特点。[16]位阶较高的规范,如《民法典》、《网络安全法》、《消费者权益保护法》仅对个人信息处理做出框架性、原则性的规定,尚未对人脸识别信息的上位概念——个人生物识别信息予以专门规范。[17]尽管在《个人信息保护法(草案二审稿)》审议过程中,业有专家提出针对人脸识别新技术制定专门个人信息保护规范和标准,[18]但目前公布的二审稿案文,尚未明确提出人脸面部特征信息处理规范。因此,当前涉及人脸识别数据处理现行有效规范实多为推荐性国家标准,仅供相关企业参照遵守,而不具有强制性效力。
(三)人脸识别数据处理规范梳理
结合《民法典》、《网络安全法》及相关推荐性标准,并依循人脸识别数据从“采集”到“存储”再到“共享、转让或公开披露”的全生命链,本文对人脸识别数据处理应遵循的规范梳理如下:
环节一:人脸识别数据收集规范
人脸识别数据的采集与检测是人脸识别技术运用的基础环节。通过摄像镜头对人脸图像进行采集,个人信息控制者能够捕捉识别主体的静态、动态及不同位置、不同表情信息状态下的人脸图像信息,进而为后续识别、分析提供基础素材。在收集环节,个人信息控制者应遵循以下规范:
首先,人脸识别数据的收集应遵循个人信息处理的原则性规定。根据《民法典》第一千零三十五条,人脸识别数据处理应遵循合法、正当、必要的原则,原则上须征得相关主体的同意、公开信息处理的规则、明示信息处理的目的、方式和范围,并且不违反法律、行政法规规定和双方约定。此外,人脸识别数据处理者还应全面、适当地履行“告知同意”义务。实践中,一些企业在采集人脸识别数据时,尽管采取一定程度的合规措施,如张贴了人脸识别数据采集的标识信息、提示视频监控或人脸识别区域,但因程度上仍有所欠缺,如未明示信息使用范围或方式、未征得个人信息主体同意,最终受到行政处罚。[19]
其次,人脸识别数据的收集应满足更高透明度的“告知同意”标准。如在“告知同意”具体规则适用上,针对人脸识别数据收集的告知方式应为“单独告知”,告知内容除人脸识别数据的使用目的、方式和范围外,还应包含存储时间等,而相关主体作出同意的方式应为“明示同意”。[20]
最后,针对现实中未告知获取人脸识别数据,“强制”人脸识别的乱象,《个人信息保护法(草案二审稿)》回应了公众关切。人脸识别被称为“非接触式而无处不在”的技术,高清摄录机械设备能够在公民不知情的情况下远程处理数据。[21]为此,《个人信息保护法(草案二审稿)》亦新增第二十七条规定,明确公共场所安装图像采集、个人身份识别设备的规范。[22]包括:目的上,应为维护公共安全所必须;方式上,应遵守国家有关规定、设置显著标识;程序上,需取得个人单独同意。
环节二:人脸识别数据存储规范
在人脸验证、人脸辨识情景下,实时人脸图像采集的目的是确定相关主体身份。故该过程将涉及人脸识别数据的存储及后续比对。譬如App用户拍摄自己的身份证信息上传至App,建立档案并存储关联人脸图像。此后,当App扫描用户人脸时,便可以与系统中存储的在先用户人脸图像进行对比,完成身份核验。但由于人脸识别数据具有高度敏感性,人脸识别数据控制者存储海量的用户人脸识别数据,一旦泄露或被盗用,势必将对用户人身、财产安全造成难以弥补的损失。因此,个人信息控制者需要在存储环节,遵循相关规范,并采取一定措施,保障人脸识别数据的安全。
首先,人脸识别数据控制者应采取安全措施。根据《民法典》一千零三十八条第(二)款及《网络安全法》第四十二条规定,个人识别数据控制者应采取技术措施和其他必要措施,确保其收集、存储的人脸识别数据的安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人,并向有关主管部门报告。因此,人脸识别数据控制者应评估其是否已参照如《信息安全技术基于可信环境的远程人脸识别认证系统要求》、《信息安全技术 网络安全登记保护基本要求》等标准规范,建立有效、可靠的安全措施和安全管理要求、是否具备相应个人信息安全事件的预防和处理能力等事项。
实际上,若人脸识别数据控制者不采取安全措施,或采取措施不到位的,可能承担相应的行政责任。例如2021年3月,淮安分局民警在对一家鞋业公司检查时发现,公司将人脸识别打卡系统采集的人脸信息、姓名、手机号码等个人信息直接保存在公司联网的台式电脑内,而未采取必要管理和技术保护措施。这使得公司员工信息存在泄漏、丢失的安全隐患。由此,该公司也受到了限期整改的行政处罚。[23]
其次,人脸识别数据应分隔存储、原则上不应存储原始信息。2020年《信息安全规范》提出,将个人生物识别信息与个人身份信息分开存储,[24]并要求原则上不应存储原始个人生物识别信息。[25]《信息安全技术人脸识别数据安全要求》(征求意见稿)进一步提出了对原始人脸数据进行加密的构想,要求个人信息控制者在存储人脸识别数据时,应以符合国家标准的措施对原始人脸识别数据加密处理。[26]以金融支付场景为例,个人生物识别信息应与诸如银行账号或支付账号、身份证号等信息隔离。[27]
环节三:人脸识别数据的共享、转让、公开披露和跨境传输
平台间数据共享可能导致数据处理超出个人信息主体预期和控制,造成隐私过度暴露的问题,应受严格规制。人脸识别数据作为个人生物信息,不应公开披露,原则上也不应共享、转让。若确因业务所需,需向第三方数据接收方传输人脸识别数据的,应按照《信息安全技术个人信息安全影响评估指南》展开评估、单独向个人信息主体告知人脸识别数据转让或共享的目的、人脸识别数据类别、数据接收方身份,数据接收方安全能力、可能产生的影响,并征得个人信息主体明示同意。[28]只有在确保数据接收方具备同等程度的保护能力,才具备传输的条件。
原则上在我国境内收集或产生的人脸识别数据均应存储于境内。[29]若因业务原因所需,人脸识别数据需要出境的,则应按照个人信息出境相关规定进行安全评估。在人脸识别数据出境前,应按《个人信息出境安全评估办法(征求意见稿)》规定,向所在地省级网信部门申报个人信息出境安全评估。
五、对人脸识别技术的反思
人脸识别技术在带来广阔市场机遇的同时,也给公众带来了不安。立法的调整,虽能在一定程度上引领和规范人脸识别技术。但实际上,如同对其他“新技术”问题的探讨,人脸识别技术涉及硬件基础、算法服务、软硬件集成等诸多方面,具有一定的技术复杂性和广泛社会性,是一项综合性的工程。因此,若仅从法律的规范视角出发,恐难完全理解和应对新技术带来的风险,也难尽数排解公众的不安。因此,在探讨新技术问题时,打破学科壁垒、加强“技术”和“法律”间的沟通对话,显得尤为必要。普罗米修斯之火还是潘多拉魔盒?这取决于我们的理解,更取决于我们的沟通与对话的态度。
基于此,“天同网事”也将持续关注“技术-法律”交叉学科的最新动向,竭力融通技术与法律壁垒,搭建互联网时代法律科技沟通对话平台。
注释:
[1]参见中国青年报报道:“全国人大常委会会议分组审议个人信息保护法草案:使用人脸识别应有严格规制为APP“霸王条款”划定红线”,http://news.cyol.com/gb/articles/2021-04/29/content_RqzqjUG0n.html,2021年6月6日访问。
[2]参见中国人大网报道:“个人信息保护法草案进入二审,强化互联网平台个人信息保护义务”,http://www.npc.gov.cn/npc/c30834/202104/2941c951e03e4945a8d85958b2fa40fa.shtml,2021年6月6日访问。
[3]参见中国信通院行业动态报道:“中国正在领跑全球人脸识别市场”,www.caict.ac.cn/email/hydt/201808/t20180822_182435.html,2021年6月6日访问。
[4]参见杨丹:“人脸识别技术研究总述(二):技术缺陷和潜在的偏见”,网安寻路人微信公众号2020年9月8日报道。
[5]参见中国信息通信研究院安全研究所、北京百度网讯科技有限公司:《人脸识别技术在App应用中的隐私安全研究报告(2020年)》,第1页。
[6]参见《信息安全技术人脸识别数据安全(征求意见稿)》4。
[7]参见中央电视台CCTV-2财经频道2019年11月29日报道,“关注人脸信息安全五千多张人脸照片网上10元被售”,http://tv.cctv.com/2019/11/29/VIDE1Lt2qeppO4uPMT9eDEkD191129.shtml,2021年6月6日访问。
[8]参见中国信息通信研究院安全研究所、北京百度网讯科技有限公司:《人脸识别技术在App应用中的隐私安全研究报告(2020年)》,第9页。
[9]参见环球网2019年10月18日报道:“小学生破解‘刷脸’功能,人脸识别如何不被‘打脸’?”,https://baijiahao.baidu.com/s?id=1647712758437816220&wfr=spider&for=pc,2021年6月8日访问。
[10]参见搜狐新闻平台:“刷脸支付出事了!医保卡竟被“人脸识别”盗刷了!”,https://www.sohu.com/a/434642878_787091,2021年6月8日访问。
[11]参见欧盟基本权利局:《关于人脸识别报告》,第9页。
[12] See Forbes Report, “GooglePhotos Tags Two African-Americans As Gorillas Through Facial RecognitionSoftware”, accessed by https://www.forbes.com/sites/mzhang/2015/07/01/google-photos-tags-two-african-americans-as-gorillas-through-facial-recognition-software/?sh=5b6a9988713d, last visited on 6 June, 2021.
[13]参见GB/T 35273-2020《信息安全技术个人信息安全规范》3.2。
[14]《个人信息保护法(草案二审稿)》第二十九条:个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息。
敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。
[15]中国信息通信研究院安全研究所、北京百度网讯科技有限公司:《人脸识别技术在App应用中的隐私安全研究报告(2020年)》,第14页。
[16]参见邢会强:“人脸识别的法律规制”,载《比较法研究》2020年第5期,第59页。
[17]如《民法典》第一千零三十四条第(一)款虽明确个人信息包括生物识别信息,但未进一步阐述个人生物识别信息特别保护规范。
[18]参见中国人大网报道:“个人信息保护法草案进入二审,强化互联网平台个人信息保护义务”,http://www.npc.gov.cn/npc/c30834/202104/2941c951e03e4945a8d85958b2fa40fa.shtml,2020年6月6日访问。
[19]参见甬市监处〔2021〕17号、甬市监处〔2021〕18号行政处罚决定书。
[20]参见GB/T 35273-2020《信息安全技术个人信息安全规范》5.4(c)。
[21]参见法国数据保护局(CNIL):《关于人脸识别的报告》,第9页。
[22]参见《个人信息保护法(草案二次审议稿)》第二十七条:在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供,取得个人单独同意的除外。
[23]参见淮安公(顺)行罚决字〔2021〕520号行政处罚决定书。
[24]参见GB/T 35273-2020《信息安全技术个人信息安全规范》6.3(b)。
[25]参见GB/T 35273-2020《信息安全技术个人信息安全规范》6.3(c)。
[26]参见《信息安全技术人脸识别数据安全要求》(征求意见稿)6.2(a)。
[27]参见2020年1月21日支付清算协会《人脸识别线下支付行业自律公约(试行)》。
[28]参见《信息安全技术人脸识别数据安全要求》(征求意见稿)6.4、GB/T 35273-2020《信息安全技术个人信息安全规范》9.2(i)。
[29]参见《个人信息出境安全评估办法(征求意见稿)》第2条;若人脸数据控制者未关键基础设施运营者,则同时适用《网络安全法》第37条的规定。
“天同网事”栏目由邹晓晨律师主笔/主持,本栏目深入研究互联网产业中竞争领域、知识产权领域、信息安全领域的相关技术问题与法律问题,并致力于将其打造成一门全新的“边缘学科”。我们希望借此栏目与法律同行和互联网产业同行一起分享资讯,碰撞观点,传播知识经验。如您有任何想法、意见、建议,欢迎点击文末留言。
查看近期文章,请点击以下链接: