無授權收集、無感化採集、無底線牟利……“護臉”難題難在哪？怎麼破？

不久前，上海小鵬汽車銷售服務有限公司因向第三方公司購買22台人臉識別攝像設備，非法採集上傳人臉照片超43萬張，被上海市徐匯區市場監督管理局處以10萬元罰款。經有關部門調查發現，當事人在旗下7家門店安裝人臉識別攝像設備，採集消費者面部識別數據，並未經得消費者同意，也無明示、告知消費者收集、使用目的。此前，另有多家企業也因非法採集消費者人臉資訊遭監管機構處罰。

新華社記者發現，當前“人臉資訊”這一重要個人生物資訊被部分商家視為“唐僧肉”，涉“臉”個人資訊侵權問題頻發。部分商家為何熱衷於非法採集消費者人臉資訊？“護臉”難題難在哪？怎麼破？記者就此展開調查。

部分企業要“臉”不顧“法”

小鵬汽車表示，此次事件中所獲人臉數據由第三方軟體提供商悠絡客採集，小鵬汽車不存儲此類數據。上海市徐匯區市場監管部門向記者表示，確已督促涉事企業將人臉識別資訊刪除。

一段時間以來，此類問題頻頻出現。上海市靜安區市場監管部門查出科勒衛浴非法抓取了220萬餘條人臉資訊；深圳市市場監管部門查出正通集團旗下的寶馬4S店抓拍並存儲了4600余條人臉資訊；2021年，上海市場監管機構因違法採集消費者人臉資訊對上海易初蓮花連鎖超市有限公司、上海盛廣科技發展有限公司、上海聯亞商業有限公司等多家公司進行了處罰，部分企業單次處罰所涉消費者“臉照”就在數百萬張至數千萬張不等。

記者還發現，房地産行業是此類侵權的“重災區”。2021年，湖州金達置業有限公司、江陰梁瑞置業有限公司、佛山市新昊房地産開發有限公司等多地房地産公司都因非法採集人臉識別資訊被當地的市場監管部門處罰。

專家表示，商家非法採集消費者人臉資訊已涉嫌違法。消費者權益保護法明確規定，經營者收集、使用消費者個人資訊，應當遵循合法、正當、必要的原則，明示收集、使用資訊的目的、方式和範圍，並經消費者同意。2020年10月實施的《資訊安全技術個人資訊安全規範》也明確規定，人臉資訊屬於生物識別資訊，也屬於個人敏感資訊，收集個人資訊時應獲得個人資訊主體的授權同意。2021年7月28日，最高人民法院發佈關於審理使用人臉識別技術處理個人資訊相關民事案件適用法律若干問題的規定，進一步將作為個人資訊收集前提的“同意”細化為“單獨同意”。2021年11月1日起施行的個人資訊保護法第26條規定，在公共場所安裝圖像採集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規定，並設置顯著的提示標識。所收集的個人圖像、身份識別資訊只能用於維護公共安全的目的，不得用於其他目的；取得個人單獨同意的除外。

商家為啥盯著“臉”？利字擺中間

法網恢恢，為何部分商家卻仍想方設法“盜採”消費者人臉資訊呢？記者調查發現，這與當前幾方面情況直接相關。

各類企業均有靠消費者“人臉資訊”提升經營業績的強烈衝動。記者從市場監管部門了解到，小鵬汽車委託的第三方公司開發的演算法可以對面部數據進行識別計算，以此進行門店的客流統計和客流分析，包括進店人數統計、男女比例、年齡分析等。這些數據是商家提升經營效率的重要參考。“會員授權的基礎上，基於人臉識別技術，會員進入門店的一瞬間，其以往在該品牌門店消費情況立即被推送到對應導購員的手持設備上，導購員根據關鍵資訊為該會員進行精準導購。”在為小鵬汽車提供服務的悠絡客平臺網站上，該公司稱其解決方案可以應用於汽車、鞋服、快消、醫藥等多類消費領域。

大量從事“人臉”業務的企業能以“無感化”技術採集資訊。據天眼查數據顯示，我國目前有7100多家企業從事“人臉採集”相關業務，曾被曝光涉嫌非法採集問題的悠絡客、萬店掌、雅量科技、瑞為等企業註冊資本均超過500萬元，合作客戶中不乏知名企業。

記者調查發現，“人臉資訊採集”設備産銷企業普遍將“悄悄採集”“無感化”作為其産品的核心賣點，聲稱“即使（消費者）戴著口罩也能成功採集”。第三方研究機構資訊顯示，此類技術被部分房地産開發企業廣泛應用。當購房者的人臉被攝像頭“無感”採集後，可能在後續無法享受某些購房優惠。因此，有業內人士在現場看房時選擇“佩戴頭盔”這種極端方式遮蓋自己的面部特徵。

部分企業通過倒賣消費者人臉資訊非法牟利。記者調查發現，有商家非法收集人臉資訊並售賣，低至0.5元即可買到包含身份證資訊在內的一名消費者的人臉數據。記者從警方了解到，倒賣“人臉資訊”還成為當前網路黑産鏈條重要一環，相關資訊被用於虛假註冊、電信網路詐騙等違法犯罪活動，供不法分子牟取暴利。

提升“護臉”效能還需系統施策

專家建議，當前要實現有效提升“護臉”機制效能，可從以下幾方面入手。

——應進一步通過立法實現多層次、系統化的人臉資訊保護法律法規體系。清華大學法學院教授勞東燕告訴記者，一些地方已對“人臉識別”進行規範，如今年已施行的《天津市社會信用條例》、2022年3月1日起施行的《杭州市物業管理條例》。她表示，安徽省、蘭州市、北京市等地的《物業管理條例》也就業主個人資訊保護進行了明文規定，但沒有明確提到指紋、人臉數據等生物資訊，也沒有涉及強制收集問題，有待今後進一步明確。

——應進一步明確主責執法部門，推動相關領域執法機制化、常態化。“目前我國個人資訊保護法中採用的是多部門管理機制，網信部門、市場監管部門等都是個人資訊保護監管部門。”中國資訊安全研究院副院長左曉棟認為，這一制度安排確有形成合力的優勢，但也容易導致“多頭治理”的問題。他建議，進一步明確各部門監管職能定位，並以此推動相關執法檢查常態化、長效化。“對確保相關場所依規張貼資訊採集標識，APP或網路平臺依規明示採集資訊等規定落實而言，常態化監管非常重要。”

——應進一步加強對經營和購買“人臉識別”相關業務企業的監管力度。一方面，是應加大對涉“臉”違法行為的處罰力度。此次小鵬汽車採集43萬張人臉資訊僅被罰款10萬元，部分網友認為“一張照片被罰2毛多，違法成本太低”。“如果按照個人資訊保護法的要求，行政處罰是按照企業或商家全球營業額來罰款的，這個數額可以比較大。”左曉棟認為這樣有利於提高企業違法成本。

另一方面，多位專家呼籲應儘快設置“人臉識別”業務類企業準入門檻。“相關準入標準已在制定當中。”左曉棟説。

“此外，人臉資訊屬於敏感個人資訊，為避免一次授權即導致資訊失控的情況，資訊主體還應享有對相關資訊的刪除權。”北京航空航太大學工業和資訊化法治戰略與管理重點實驗室辦公室主任趙精武説。記者王辰陽、程思琪、顏之宏