打开手机,上海市民陈宽发现,每天需要进行人脸识别的App太多。“从手机银行App到购物软件,从化妆类App到游戏防沉迷……一天下来,脸要被扫十几次。”
对此,陈宽感到颇为担忧:“虽然有些App使用人脸识别是出于使用需求和安全考虑,但也并没给我们拒绝使用的权利,这是否属于人脸识别技术被滥用?随着人脸识别技术的应用越来越广泛,会不会导致个人信息泄露?”
陈宽的担心并非毫无道理。《法治日报》记者了解到,人脸信息是具有不可更改性和唯一性的生物识别信息,容易被犯罪分子窃取利用或者制作合成,破解人脸识别验证程序,侵害隐私、名誉和财产,由此引发的案件也不在少数。
那么,为何许多手机App会采用人脸识别技术?在使用过程中,应该如何防止该技术被滥用?近日,记者对此进行了采访。
人脸识别广泛应用
个人信息存在风险
想知道这个月账单明细,要先刷脸验证身份;进站乘坐地铁,不用扫码或购票,刷脸即可入站乘车;想办理相关业务,先刷脸注册账号……记者在调查中发现,从金融类、电商类到出行类、美图娱乐类,很多类型的App中都能找到人脸识别的痕迹。
2022年2月,有媒体对人脸识别技术相关问题进行调查,从使用频率来看,超过九成的参与调查者在生活、工作中会使用到人脸识别技术。其中,44.95%的参与调查者经常使用,48.88%的参与调查者偶尔使用。
调查还提到,自个人信息保护法实施后,有近四成参与调查者认为人脸识别技术滥用情况有好转。
但记者发现,目前在支持人脸识别功能的App中,仍有部分App没有明确的人脸识别使用协议,在人脸识别功能中没有征得用户同意。
在用户个人隐私政策里,虽然包含采集人脸识别等信息,但也有App并未在形式上加以突出,让用户清晰意识到人脸信息等生物识别信息被采集,而是将“人脸信息”与姓名等一般个人信息相混淆。
记者选取了10款热门消费金融类App进行个人信息保护合规实测,发现不少金融消费类App均为人脸识别功能提供单独授权页面并设专有规则,但也有部分App则将人脸识别的单独同意与相机功能设为同一授权。此外,还有部分App采用“不点击同意人脸识别就不提供服务”的方式,强行收集用户个人信息。
南都人工智能伦理课题组发布的《人脸识别应用场景合规报告(2021)》(以下简称《报告》)显示,其对20款移动端人脸识别应用的合规情况进行了测评分析,其中六成具有人脸识别功能的App没有单独的人脸识别规则,很多App人脸识别规则没有告知存储时限或位置,仅有6款App提及人脸信息存储情况。
《报告》还显示,20款App中,16款对个人信息做了信息加密和传输加密处理,另有4款娱乐特效App存在问题。比如某App的“AI换装”功能是通过用户上传照片,然后选择视频模板后可生成一段换脸视频。但由于没有加密措施,用户的换脸视频的链接可被公开访问。这意味着,换脸视频可能被任何人获取,存在个人信息泄露风险。
“人脸识别技术的出现和应用,在很大程度上提升了用户认证的效率和准确性,因而逐步取代了传统密码、验证码等认证方式,在金融支付、交通出行、门禁考勤等领域得到了广泛应用。”内蒙古大学法学院讲师李东方告诉记者,目前对于App中使用人脸识别技术,法律法规并没有专门的禁止性规定,但是不能违反现行法律规范的相关规定。
李东方说,此类敏感个人信息的储存、传输、分析、转让、删除等环节,也应当满足更为严格的要求,如全国信息安全标准化技术委员会2022年出台《信息安全技术 人脸识别数据安全要求》等,切实保护个人信息安全。
据上海瀛东律师事务所合伙人、瑞中法律协会顾问胡鹏介绍,人脸识别属于敏感个人信息,个人信息保护法明确规定,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。民法典和网络安全法中也均规定了收集和处理个人信息的“最小必要原则”。
人脸信息一旦泄露
个人权益易受侵害
“在生活中,人脸识别技术确实具备独特的优势。但作为敏感个人信息的人脸信息一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害,值得警惕。”李东方说。
去年12月7日,最高人民检察院发布了5件依法惩治侵犯公民个人信息犯罪典型案例,其中一起就是李某利用“颜值检测”软件侵犯公民个人信息。
据了解,李某是某网络科技有限公司软件开发人员,他将自己制作的“颜值检测”软件发布在某论坛,供网友免费下载安装,以此方式窃取安装者手机相册照片1751张,其中含有人脸信息、姓名、身份证号码、联系方式、家庭住址等公民个人信息100余条。
那么,如何才能防止人脸识别技术滥用?
2021年7月,最高法相关负责人就审理使用人脸识别技术处理个人信息相关民事案件的司法解释回答记者提问时曾指出,自愿原则是民法典的基本原则,个人的同意必须是基于自愿而作出。特别是对人脸信息的处理,不能带有任何强迫因素。
相关司法解释规定,信息处理者采取未单独征求用户同意、强制刷脸等方式处理用户人脸信息的行为,在相关民事诉讼案件中都会被认定属于侵害自然人人格权益的行为。
“上述规定在很大程度上保护了用户在人脸识别技术应用过程中的权益。但现实是,在许多人脸识别技术滥用的场景中,用户往往只能被迫接受,大多并不会提起诉讼,维护自身合法权益。”李东方认为,如何进一步细化相关规定,还需要法律研究者和立法者进行更多的思考。
中国政法大学传播法研究中心副主任朱巍说,人脸识别不单是涉及人的长相,还关联着个人财产信息、金融信息以及家庭成员相关信息。用户隐私协议中,不能仅用一句话简单说明要保护个人信息,还应当载明在什么情况下采集个人信息、如何采集、如何使用、如何删除等内容。
对此,胡鹏建议采取一系列相关的措施,比如就人脸识别和人脸图像处理等事项进行单独弹窗以获得单独同意,App在征得个人同意时明示处理个人信息的目的、方式和范围,个人信息主体享有撤回授权的权利,以及不得频繁地弹窗以获得个人同意等。
在接受记者采访的专家看来,人脸识别或人脸图像等相关信息不仅涉及个人隐私,还涉及生物学特征,不法分子如果获得相关人脸图像,可能冒用他人身份从事不法活动。
强化监督执法力度
完善行业自律机制
如何才能更安全使用人脸识别技术,让其给生活带来更多便利?
今年广东省两会期间,民革广东省委向大会提交的集体提案《关于加强广东省人脸识别监管的建议》提出,要完善行业自律监督机制。
其中指出,人脸识别技术产业是高新产业,随着互联网大数据时代的发展而发展,但相关行业内的企业良莠不齐,建议监管机构对要进入人脸识别行业的企业进行资金、技术方面的核查,减少低质量企业的进入,更好地保护公众的信息安全。同时,建立相关行业协会,设立人脸识别技术行业标准,通过行业内部监督,减少对人脸信息的侵权行为。
1月16日,由中国信息通信研究院云计算与大数据研究所、可信人脸应用守护计划(以下简称护脸计划)、中国通信标准化协会TC602联合主办的“护脸计划2022年度成果发布会”在云端召开,在护脸计划最新一轮评测结果中,有多家企业及产品通过“人脸识别安全专项评测”“金融App人脸识别安全能力评测”“人脸识别系统保护人脸信息专项评测”等。
护脸计划由中国信息通信研究院云计算与大数据研究所在2021年4月发起,联合企业、金融机构、法律机构和学术团体,共同推动人脸识别生态安全和合规共治。截至2022年底,护脸计划成员单位达到148家。
“护脸计划”专家委主任、公安部信息安全等级保护评估中心原副主任毕马宁在致辞中指出,人脸识别目前是隐私保护和人工智能技术应用发生矛盾的焦点,产业发展面临三方面风险,分别是技术不过关、应用不合理和管理不到位。
“人脸识别近些年才被广泛使用和发展,而我国的相关立法也在不断完善的过程中。”胡鹏说,目前,我国相关立法还较为分散,各个法律法规之间的衔接需要进一步明确。一些上位法的规定较为笼统,如个人信息保护法规定,将由国家网信部门统筹协调有关部门推进人脸识别技术的个人信息保护工作,并制定专门的与人脸识别技术相关的个人信息保护规则、标准,而较为具体的操作指引则规定在非强制性的国家标准中,这些非强制性国家标准的效力究竟如何认定,也有待司法实践进一步明确。
在李东方看来,目前部分App厂商大肆收集利用人脸信息明显有违现有的法律规定,但囿于个人维权困难等原因,相关监管部门还是要加大执法力度,做好人脸识别在多应用场景中的事中监管,尽早及时发现违法行为并依法处置。在事后救济方面,也要充分发挥检察机关在个人信息保护公益诉讼的作用,充分发挥法律对行业和相关技术的应用的指导作用。
“总体上,在法律规范制定的过程中,既要促进人脸识别技术在应用场景中让用户受益,保障技术不断创新进步,也要将人脸信息的安全放在重要位置,将技术可能造成的潜在风险降到最低。”李东方说。
来源:法治日报