元旦前後,北京推出了實名制常乘客快速進站服務試點,第一期快速進站試點車站包含天通苑等5個車站。雖然地鐵方強調此舉是為了讓高峰期乘客能夠快速進站,但依然掀起了軒然大波。其實,此前多個城市的地鐵已經試點開通人臉識別安檢通道,但同時,公眾對公共交通進行人臉識別的必要性以及人臉資訊是否會得到合法利用、有效保護産生了質疑。
人臉焦慮如何破解?採訪中,專家們一致認為,應當劃定紅線、單獨立法。
人臉識別具有特殊性
清華大學法學院教授勞東燕告訴記者,在國外,人臉識別技術受到了一定程度的抑制,而在我國則相對寬容一些,尤其是在特定時期,為了獲得更高程度的安全和便利,公眾願意犧牲包括人臉資訊在內的一些隱私權。但是勞東燕也指出:“如果允許無限制地收集人臉資訊和其他個人資訊的話,公眾最終可能既喪失隱私權,也沒有且不可能獲得相應的其他安全。”
勞東燕解釋説,人臉識別技術的實質是收集用戶的生物資訊,其最常見的使用目的、場景都是身份認證。技術上,一次人臉識別差不多會涉及一兩百個個人生物資訊,這就是為什麼在一些安檢口,即便乘客戴著口罩也能被識別出來的原因。因為這些人臉資訊——比如額頭骨骼、瞳孔距離等是無法修改的,收集到的個人生物數據會經過累積、分析,為鎖定的特定個人勾勒個人畫像,類似于個人檔案。
“身份認證本身沒有多大風險,人臉識別的風險主要在於通過人臉這種獨特的、具有可識別性的生物資訊,同特定的個人鎖定之後,就可以對某個特定個人的所有行蹤進行識別、追蹤。對商家來説,可以在此基礎上影響主體的行為選擇,比如進行個性化推薦等。”勞東燕説。
人臉焦慮逐漸被關注
這幾天,家住北京增光路的吳女士正為小區讓住戶設置人臉識別門禁卡而煩惱,她不願意為進出家門而交出個人資訊。
為什麼人們對人臉識別技術的使用更敏感?勞東燕認為,這是人臉識別自身特點所決定的。一是無意識性,一個大城市的人每天可能被識別數百次,很多時候都是在本人完全不知情的情況下,人臉資訊就已經被提取了。二是非接觸性,像指紋資訊雖然也是生物識別資訊,但使用指紋的時候,用戶既知情又需要有接觸。三是侵入性強,即人臉識別侵犯個人隱私所帶來的風險往往會更大。
“人們對人臉識別技術的困擾,並不是隱私權跟公共安全之爭。”面對城市密密麻麻的攝像頭,勞東燕指出,人臉識別技術肯定有很多好處,但對於個體來説,必須意識到濫用帶來的巨大危害。比如黑市交易中洩露的人臉資訊,可能被用於淫穢錄影製作、開設詐騙賬戶、騙貸、精準電信詐騙等刑事犯罪活動,也可能被用於基於人臉識別數據畫像下的“殺熟”等。個人生物資訊過度暴露,會讓個體覺得自己是透明人,這些都會使個人的人身、財産安全受到威脅。而眼下,隨著人臉識別應用的鋪開,個人資訊洩露也帶來了嚴重的公共安全問題,甚至在某種程度上帶來了更多的違法犯罪。“人臉識別技術像是打開了一個潘多拉魔盒,你不知道裏面會有什麼東西出來。”她説。
中國人民大學法學院教授、民商事法律科學研究中心執行主任石佳友對記者説,任何一個個體都有行動往返的自由,要實現這個行動自由,很重要的一點就是要保持匿名性。而廣泛的人臉識別應用會對人的基本權利——隱私和自由造成嚴重威脅。
使用合法性須重視
我國《個人資訊保護法》規定,在公共場所安裝圖像採集、個人身份識別設備,應當為維護公共安全所必需,設置顯著的提示標識,無須獲得個人的單獨同意。
勞東燕認為,地鐵安檢刷臉折射的,恰好是如何界定相關使用場景是否為公共場所,以及是否為公共安全所必需等問題。
石佳友認為,在我國的立法框架內,人臉屬於敏感資訊。按照《個人資訊保護法》,人臉識別需要有特定目的、充分必要性,以及特別的安全保護措施。地鐵安檢的必要性在於識別出乘客是否攜帶了危及公共安全的危險物品,而非通過人臉識別技術識別出乘坐地鐵的每個人的具體身份。因此,在地鐵等場景下進行人臉識別安檢的同時,也應該保留普通安檢通道供不想使用人臉識別的乘客使用。
“《個人資訊保護法》第26條特別強調,在公共場所如果要使用人臉識別技術,一定要基於維護公共安全所必需,且不得用於其他目的。”石佳友認為,從這個意義上講,基於商業目的的收集使用就是違法的。
對外經貿大學數字經濟與法律創新研究中心主任許可對記者説:“監控,尤其是大面積、遠端監控,顯然很難證明其合法性、正當性。”
專家建議應單獨立法
“2021年7月,最高人民法院頒布了《關於審理使用人臉識別技術處理個人資訊相關民事案件適用法律若干問題的規定》,明確規定資訊處理者不得對資訊主體採取禁止強迫同意、捆綁同意等手段,這個司法解釋具有里程碑式的意義。”石佳友説,“比如刷臉進小區,用戶可以選擇同意,也可以選擇其他方式如刷身份證,總之不能強迫只能用刷臉的方式,至少給資訊主體一個選擇權。”
“無論是基於國家公共安全,還是基於企業的商業目的,知情都是必不可少的。”許可認為,沒有知情權就很難保障後續權利。“尤其是公共場所的各種監控攝像頭,用戶根本不知道哪個是合法的、哪個是非法的,以及基於什麼理由收集資訊的。我一直建議在攝像頭上放一個二維碼,用戶掃一掃就知道攝像頭是誰裝的、誰在收集資訊、收集了哪些資訊、資訊是如何處理的、保存期限以及如何主張權利等。”許可説。
“自主選擇理應建立在充分知情的基礎之上。”勞東燕説,“很多時候,公眾對收集與處理人臉資訊的相應風險並不知情,知情同意是否真正體現個人的自主選擇,就要打上一個大大的問號。”因此她認為,目前關於人臉識別的法律層級和權威性都還不夠,《個人資訊保護法》對人臉資訊的保護還不夠有力,因此,對於包括人臉資訊在內的生物識別資訊,非常有必要專項立法。她認為,行政法或許會起到更大的作用。因此她建議採用一般禁止、特別許可的方式來保護人臉資訊。“在專項立法中採取特別許可制度,無論是企業還是政府部門收集人臉資訊,都需要法律的特別授權。”她説。
許可對此表示贊同:“我非常同意人臉識別應該單獨立法。”他認為,未來的人臉識別制度設計首先需要劃出“紅線”,比如禁止無差別地遠端監控、禁止無差別地對人群進行分類和決策等。另外,無論是政府還是企業,對於人臉識別的高風險情景都應做充分性論證,“是不是非使用人臉識別不可?”然後就是賦權,讓用戶決定交不交出去,這是很重要的。
許可認為,在《個人資訊保護法》中,絕大部分情況下,告知基本上是沒有什麼豁免的。除非為了偵查犯罪需要進行的收集不需要告知,大部分情況下都需要告知。此外,保障收集到的個人資訊的安全,是一個重大的基礎性權利。
(責任編輯:柯曉霽)