打開手機,上海市民陳寬發現,每天需要進行人臉識別的App太多。“從手機銀行App到購物軟體,從化粧類App到遊戲防沉迷……一天下來,臉要被掃十幾次。”
對此,陳寬感到頗為擔憂:“雖然有些App使用人臉識別是出於使用需求和安全考慮,但也並沒給我們拒絕使用的權利,這是否屬於人臉識別技術被濫用?隨著人臉識別技術的應用越來越廣泛,會不會導致個人資訊洩露?”
陳寬的擔心並非毫無道理。《法治日報》記者了解到,人臉資訊是具有不可更改性和唯一性的生物識別資訊,容易被犯罪分子竊取利用或者製作合成,破解人臉識別驗證程式,侵害隱私、名譽和財産,由此引發的案件也不在少數。
那麼,為何許多手機App會採用人臉識別技術?在使用過程中,應該如何防止該技術被濫用?近日,記者對此進行了採訪。
人臉識別廣泛應用
個人資訊存在風險
想知道這個月帳單明細,要先刷臉驗證身份;進站乘坐地鐵,不用掃碼或購票,刷臉即可入站乘車;想辦理相關業務,先刷臉註冊賬號……記者在調查中發現,從金融類、電商類到出行類、美圖娛樂類,很多類型的App中都能找到人臉識別的痕跡。
2022年2月,有媒體對人臉識別技術相關問題進行調查,從使用頻率來看,超過九成的參與調查者在生活、工作中會使用到人臉識別技術。其中,44.95%的參與調查者經常使用,48.88%的參與調查者偶爾使用。
調查還提到,自個人資訊保護法實施後,有近四成參與調查者認為人臉識別技術濫用情況有好轉。
但記者發現,目前在支援人臉識別功能的App中,仍有部分App沒有明確的人臉識別使用協議,在人臉識別功能中沒有徵得用戶同意。
在用戶個人隱私政策裏,雖然包含採集人臉識別等資訊,但也有App並未在形式上加以突出,讓用戶清晰意識到人臉資訊等生物識別資訊被採集,而是將“人臉資訊”與姓名等一般個人資訊相混淆。
記者選取了10款熱門消費金融類App進行個人資訊保護合規實測,發現不少金融消費類App均為人臉識別功能提供單獨授權頁面並設專有規則,但也有部分App則將人臉識別的單獨同意與相機功能設為同一授權。此外,還有部分App採用“不點擊同意人臉識別就不提供服務”的方式,強行收集用戶個人資訊。
南都人工智慧倫理課題組發佈的《人臉識別應用場景合規報告(2021)》(以下簡稱《報告》)顯示,其對20款移動端人臉識別應用的合規情況進行了測評分析,其中六成具有人臉識別功能的App沒有單獨的人臉識別規則,很多App人臉識別規則沒有告知存儲時限或位置,僅有6款App提及人臉資訊存儲情況。
《報告》還顯示,20款App中,16款對個人資訊做了資訊加密和傳輸加密處理,另有4款娛樂特效App存在問題。比如某App的“AI換裝”功能是通過用戶上傳照片,然後選擇視頻模板後可生成一段換臉視頻。但由於沒有加密措施,用戶的換臉視頻的連結可被公開訪問。這意味著,換臉視頻可能被任何人獲取,存在個人資訊洩露風險。
“人臉識別技術的出現和應用,在很大程度上提升了用戶認證的效率和準確性,因而逐步取代了傳統密碼、驗證碼等認證方式,在金融支付、交通出行、門禁考勤等領域得到了廣泛應用。”內蒙古大學法學院講師李東方告訴記者,目前對於App中使用人臉識別技術,法律法規並沒有專門的禁止性規定,但是不能違反現行法律規範的相關規定。
李東方説,此類敏感個人資訊的儲存、傳輸、分析、轉讓、刪除等環節,也應當滿足更為嚴格的要求,如全國資訊安全標準化技術委員會2022年出臺《資訊安全技術 人臉識別數據安全要求》等,切實保護個人資訊安全。
據上海瀛東律師事務所合夥人、瑞中法律協會顧問胡鵬介紹,人臉識別屬於敏感個人資訊,個人資訊保護法明確規定,只有在具有特定的目的和充分的必要性,並採取嚴格保護措施的情形下,個人資訊處理者方可處理敏感個人資訊。民法典和網路安全法中也均規定了收集和處理個人資訊的“最小必要原則”。
人臉資訊一旦洩露
個人權益易受侵害
“在生活中,人臉識別技術確實具備獨特的優勢。但作為敏感個人資訊的人臉資訊一旦洩露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財産安全受到危害,值得警惕。”李東方説。
去年12月7日,最高人民檢察院發佈了5件依法懲治侵犯公民個人資訊犯罪典型案例,其中一起就是李某利用“顏值檢測”軟體侵犯公民個人資訊。
據了解,李某是某網路科技有限公司軟體開發人員,他將自己製作的“顏值檢測”軟體發佈在某論壇,供網友免費下載安裝,以此方式竊取安裝者手機相冊照片1751張,其中含有人臉資訊、姓名、身份證號碼、聯繫方式、家庭住址等公民個人資訊100余條。
那麼,如何才能防止人臉識別技術濫用?
2021年7月,最高法相關負責人就審理使用人臉識別技術處理個人資訊相關民事案件的司法解釋回答記者提問時曾指出,自願原則是民法典的基本原則,個人的同意必須是基於自願而作出。特別是對人臉資訊的處理,不能帶有任何強迫因素。
相關司法解釋規定,資訊處理者採取未單獨徵求用戶同意、強制刷臉等方式處理用戶人臉資訊的行為,在相關民事訴訟案件中都會被認定屬於侵害自然人人格權益的行為。
“上述規定在很大程度上保護了用戶在人臉識別技術應用過程中的權益。但現實是,在許多人臉識別技術濫用的場景中,用戶往往只能被迫接受,大多並不會提起訴訟,維護自身合法權益。”李東方認為,如何進一步細化相關規定,還需要法律研究者和立法者進行更多的思考。
中國政法大學傳播法研究中心副主任朱巍説,人臉識別不單是涉及人的長相,還關聯著個人財産資訊、金融資訊以及家庭成員相關資訊。用戶隱私協議中,不能僅用一句話簡單説明要保護個人資訊,還應當載明在什麼情況下採集個人資訊、如何採集、如何使用、如何刪除等內容。
對此,胡鵬建議採取一系列相關的措施,比如就人臉識別和人臉圖像處理等事項進行單獨彈窗以獲得單獨同意,App在徵得個人同意時明示處理個人資訊的目的、方式和範圍,個人資訊主體享有撤回授權的權利,以及不得頻繁地彈窗以獲得個人同意等。
在接受記者採訪的專家看來,人臉識別或人臉圖像等相關資訊不僅涉及個人隱私,還涉及生物學特徵,不法分子如果獲得相關人臉圖像,可能冒用他人身份從事不法活動。
強化監督執法力度
完善行業自律機制
如何才能更安全使用人臉識別技術,讓其給生活帶來更多便利?
今年廣東省兩會期間,民革廣東省委向大會提交的集體提案《關於加強廣東省人臉識別監管的建議》提出,要完善行業自律監督機制。
其中指出,人臉識別技術産業是高新産業,隨著網際網路大數據時代的發展而發展,但相關行業內的企業良莠不齊,建議監管機構對要進入人臉識別行業的企業進行資金、技術方面的核查,減少低品質企業的進入,更好地保護公眾的資訊安全。同時,建立相關行業協會,設立人臉識別技術行業標準,通過行業內部監督,減少對人臉資訊的侵權行為。
1月16日,由中國資訊通信研究院雲計算與大數據研究所、可信人臉應用守護計劃(以下簡稱護臉計劃)、中國通信標準化協會TC602聯合主辦的“護臉計劃2022年度成果發佈會”在雲端召開,在護臉計劃最新一輪評測結果中,有多家企業及産品通過“人臉識別安全專項評測”“金融App人臉識別安全能力評測”“人臉識別系統保護人臉資訊專項評測”等。
護臉計劃由中國資訊通信研究院雲計算與大數據研究所在2021年4月發起,聯合企業、金融機構、法律機構和學術團體,共同推動人臉識別生態安全和合規共治。截至2022年底,護臉計劃成員單位達到148家。
“護臉計劃”專家委主任、公安部資訊安全等級保護評估中心原副主任畢馬寧在致辭中指出,人臉識別目前是隱私保護和人工智慧技術應用發生矛盾的焦點,産業發展面臨三方面風險,分別是技術不過關、應用不合理和管理不到位。
“人臉識別近些年才被廣泛使用和發展,而我國的相關立法也在不斷完善的過程中。”胡鵬説,目前,我國相關立法還較為分散,各個法律法規之間的銜接需要進一步明確。一些上位法的規定較為籠統,如個人資訊保護法規定,將由國家網信部門統籌協調有關部門推進人臉識別技術的個人資訊保護工作,並制定專門的與人臉識別技術相關的個人資訊保護規則、標準,而較為具體的操作指引則規定在非強制性的國家標準中,這些非強制性國家標準的效力究竟如何認定,也有待司法實踐進一步明確。
在李東方看來,目前部分App廠商大肆收集利用人臉資訊明顯有違現有的法律規定,但囿于個人維權困難等原因,相關監管部門還是要加大執法力度,做好人臉識別在多應用場景中的事中監管,儘早及時發現違法行為並依法處置。在事後救濟方面,也要充分發揮檢察機關在個人資訊保護公益訴訟的作用,充分發揮法律對行業和相關技術的應用的指導作用。
“總體上,在法律規範制定的過程中,既要促進人臉識別技術在應用場景中讓用戶受益,保障技術不斷創新進步,也要將人臉資訊的安全放在重要位置,將技術可能造成的潛在風險降到最低。”李東方説。
(責任編輯:柯曉霽)