人脸识别应用存在法律空白;多名委员建议,使用人脸识别技术应遵循事前申请原则
建议推动人脸识别管理地方立法
2020年3月4日,东南次村,一位村民在村中唯一的出入口“刷脸”进村。资料图片/新京报记者 李木易 摄
数字化、智能化时代,技术迅速发展,在此过程中如何保护个人信息成为公共命题。回溯2020年,人脸识别是舆论场中的高频词汇,敏感的人脸信息应如何保护?能在哪些场景下应用?应用后如何保障我的“脸”存储安全?
今年北京两会上,不少委员提到对人脸识别进行规范。
朱良委员建议,条件具备时,北京市人大常委会制定关于人脸识别数据管理的地方法规。高警兵委员提出,对人脸识别作出专项规定,明确人脸识别的有权使用主体、使用目的、使用范围、使用禁区等,以及被识别对象的救济路径、追责手段。
人脸识别技术应用“一次泄露,终身风险”
从人脸识别第一案到“戴头盔看房”,人脸识别应用以及背后的个人信息保护成为热议话题。
北京市政协委员、中国石化北京化工研究院教授级高级工程师朱良关注人脸识别已经有几年的时间,他注意到,人脸识别先是在高校管理中应用,疫情防控期间,开始进入社区。
“这是一个有争议的社会现象。”朱良说,尽管人脸识别技术在安全管理、金融服务、反恐、治安等方面确有很多便利之处,但也是双刃剑,管理不好会带来隐患。
人脸识别技术应用的风险很大程度是因为“人脸”的敏感性。朱良说,人脸识别特征是个人不能更改的敏感信息,涉及个人隐私。一旦泄露,损失无法挽救。“不像是银行密码丢了可以换一个,你是没办法换脸的。”
“人脸具有独特性、直接识别性、方便性、不可更改性、变化性、易采集性、不可匿名性、多维性。”北京市政协委员、北京天驰君泰律师事务所管理委员会主任高警兵表示,这些特征直接决定了人脸识别技术具有复杂性,而现实中很多收集人脸的机构并不具备相应的风险防控、安全保障能力、组织和机制。
北京市政协委员陈小兵也谈到,人脸作为生物识别的一种,具备唯一性,一旦发生信息泄露,风险很大。这也被称为“一次泄露,终身风险”。
陈小兵在调研时发现,人脸识别技术还远远达不到指纹或虹膜等生物识别技术那么高的准确度。人脸识别目前有两大风险问题难以解决。第一个风险是可复制性。人每天都暴露在外面,通过拍照完全可以获得一个人的脸部特征,并进行复制。另一个风险是不稳定性。脸部化上浓妆、过敏、受伤、整容等都会导致脸部特征发生很大变化,影响人脸识别准确率甚至无法识别。
在他看来,随着仿真头套、全息投影、人脸跟踪等技术的发展,未来人脸识别攻击的成本将大大降低,由此产生的黑客攻击将大量发生。不法分子会通过伪造人脸识别攻破系统,进而窃取机密信息。这会造成数据泄露事件频发,给数据安全带来严峻挑战。
“隐私”还是“便捷”,应用背后存争议
人脸识别技术应用的争议背后存在“隐私”与“便捷”之间的选择。
家住亦庄的林先生告诉记者,小区去年年初便在单元楼安装了人脸识别设备,去年下半年开始启用。但是出于对个人信息安全的考虑,自己一直没录入信息。
前天,林先生还是去录入了信息,加入人脸识别应用使用者的大军。“现在疫情反复,我不太想接触门禁。另外,有一天搬东西非常费劲,还得放下东西刷门禁,觉得很不方便。”
当然,反对者认为隐私高于便捷。比如清华大学法学院教授劳东燕此前在接受采访时便直言,“刷脸省的几秒钟,对我没有多大的价值。”
在朱良看来,人脸识别的应用给生活带来了便利,技术本身没有问题,关键在于谁来控制这项技术,如何保障这些信息的安全。“不是不让人脸识别系统捕捉信息,是保证系统掌握的数据不被泄露、不被滥用。”
陈小兵则认为,对人脸识别应用需秉持谨慎态度。他认为,原则上,只有公安部门可依法采集,使用场景也应仅限于政府相关部门,且对其使用的必要性有严格的条件限制,以防止仅为工作方便而使用该技术,从而最大限度地防止该技术扩大滥用。
建议1
推进人脸识别等信息采集的相关立法
多位委员指出,目前人脸识别应用存在法律空白。
根据《民法典》规定,采集个人信息,必须符合必要性、合法性、正当性三原则,同时要征得信息主体的明确同意。《个人信息保护法(草案)》第六条明确,处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的的最小范围,不得进行与处理目的无关的个人信息处理。
但目前法律规定仍较为原则。朱良称,如果没有在法律法规、政府规章中作出明确而有针对性的具体规定,各政府部门、企事业单位难免各行其是,根据自己的需要自行处理人脸识别数据。“这会造成许多不确定的风险,必须及早应对。”
记者注意到,人脸识别应用规范在地方立法中已有突破。在杭州,早先提交审议的《杭州市物业管理条例(修订草案)》中拟规定,物业服务人不得强制业主通过指纹、人脸识别等生物信息方式使用公用设施设备。
去年年底,天津通过的《天津市社会信用条例》中明确,市场信用信息提供单位不得采集自然人的宗教信仰、血型、疾病和病史、生物识别信息等。
高警兵建议,立法部门有必要积极收集有关人脸识别的案例,研判吸收相关管理办法、经验。在此基础上,对人脸识别作出专项规定,明确人脸识别的有权使用主体、使用目的、使用范围、使用禁区等,以及被识别对象的救济路径、追责手段。“要尽快推进北京有关人脸识别等生物信息采集的相关立法工作,禁止企事业单位、行业协会等采集人脸、指纹、声音等生物识别信息。”陈小兵呼吁。
建议2
使用人脸识别技术应遵循事前申请原则
地方立法也需实践铺垫,朱良表示,可以先从政府规章开始,对人脸识别应用做出规范。高警兵也指出,目前政府监管力量不够。“在一些日常使用场景中,采集方甚至未经被采集者同意就使用人脸识别。仅靠居民个人隐私保护意识提高是远远不够的,必须严格把控人脸识别设备生产、使用门槛。”
如何严格把关人脸识别的应用?高警兵与朱良都提到对事前风险的防范。
朱良认为,使用人脸识别技术需遵循事前申请原则,事前向政府主管部门申请,经批准后才能开始进行。申请单位可以委托第三方进行技术操作,但申请时应将第三方一并列入申请材料,经批准才可操作。
对于大家都关注的数据安全问题,朱良认为,与个人身份关联的人脸识别数据应受政府主管部门监管,存储在事前申报并经过批准的地点和设备内,并应有合理的防灾害备份。进行人脸识别的单位和受委托的第三方都应确保数据安全,未经批准不得转移到其他地点和设备。
高警兵也谈到,需要有专业机构对人脸识别划定使用边界,即对人脸识别的适用范围、使用过程中落实“事先告知、事后删除”等条款作出持续的规范和跟进。
此外,朱良提出数据的追溯既往原则。他表示,在相关法规、规章生效后,过去已经形成的所有人脸识别数据都应按照法规、规章的规定纳入管理。
新京报记者 王俊
