人脸识别技术下隐私成为奢侈品:谁来保护我们的“脸”?
关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师
本期关键词: 隐私保护 刷脸时代 法律探究 区块链技术
本文约3000 字,大概需要阅读 9 分钟。
前不久,央视曝光了多个知名品牌商安装人脸识别摄像头。消费者所到之处,人脸识别信息均被获取,但是没有一个商家明确告知或者征得被收集者同意。央视的曝光更加说明这一技术已经越来越呈现滥用的趋势,这不禁引起了社会的广泛关注和思考。
本期推文,我们就来聊一聊到底谁来保护我们的“脸”。
双刃剑:保障公共安全or 精准营销?
去年,工信部在《关于运用新一代信息技术支撑服务疫情防控和复工复产工作的通知》中曾指出,支持运用人工智能、大数据、云计算等服务疫情监测分析、人员流动和社区管理等,对疫情开展科学精准防控。我们看到,在疫情防控的关键时刻,人脸测温系统、人脸识别门禁闸机等人脸识别终端设备等新的技术为我国疫情防控提供了强有力的保障。
现实中,我们经历更多的,恐怕是在我们最熟悉的场景下发生的:小到买药、买奶茶、买快餐,大到买房买车,各种商家时时刻刻都在抓取消费者的人脸信息,从一定程度上讲,这不一定是出于经营业务上的刚性需求,背后可能存在某种不为人知的利益链条。但是,当我们提出质疑的时候,商家往往提出:提出数据不会留存,更不会泄露,但这些数据最终去向何处,消费者一概不知。如被用作商家精准营销。换言之,不排除有企业想要从人脸识别信息中中发现新的“商机”,或者有人想要贩卖个人信息得利。
在国外,目光回到熟悉的校园,人脸识别在西方国家例如美国大学校园内的应用也引起了热议。事实上,在美国企业的大规模推广曾引发美国大学在校园内应用人脸识别技术的热潮,然而近年来,校方和商业公司在多所大学“不透明”部署人脸识别设备遭到学生的广泛抗议。
在社会上,美国一家公司在内部安装监控摄像头肆意抓取员工人脸头像等生物信息,受到一致抵制。于是该公司对监控摄像头产品的宣传改为使用“智能分析”,这种换汤不换药的方式更加引起了人们的不满。
世界范围:密切关注,积极立法
随着不同层面争议事件和法律诉讼的频繁出现,世界各国已经开始关注到这一问题。
在美国,从地方、州至联邦也以不同的立法和司法手段加以应对。路透社在近期的一份公开报道中称,华盛顿的一名联邦法官已作出裁定,驳回“取消对亚马逊公司和微软公司隐私权法律诉讼”的动议,两家公司此前被指控侵犯伊利诺伊州法律规定的生物识别隐私权。
早在2008年,伊利诺伊州立法机构率先通过了一项生物识别信息隐私法案(BIPA),旨在限制企业采集和存储客户生物识别信息的行为。2019年伊利诺伊州最高法院一项关于非法搜集未成年人指纹信息案的判决在该州确认了生物特征隐私是一项基本的民事权利。去年2月,加利福尼亚州通过了《加州人脸识别技术法案》。该法案在寻求民众隐私权保护和良性技术应用的平衡上做出了尝试。加州法案规定:收集人脸识别信息应当征得个人同意,在公共场所部署人脸识别服务应以显著的方式向个人发出通知,但是政府机构并不在该规定的约束范围内。
在欧盟,已经出台了保护人脸识别数据的核心法律,被网友称为史上最严的《通用数据保护法规》(GDPR)。根据GDPR定义,生物识别数据明确包括面部图像。GDPR第9条规定,生物特征数据属于个人数据的“特殊类别”,除非某些特殊情况外,不得处理该等数据。人脸识别技术的商业应用可适用的唯一例外是“数据主体已明确表示同意”,同意须“自由给予、明确、具体、不含混”,数据主体任何形式的被动同意均不符合GDPR的规定。因此我们认为,国际上对于人脸识别数据的使用规范相当严苛。
在我国,法律上明确了人脸信息收集和使用的原则。我国去年10月颁布的《信息安全技术个人信息安全规范》明确规定:收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。同时, 《网络安全法》则明确要求,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,并且得经过被收集者同意。
细读上述该条文,我们可以看出,收集个人生物识别信息的前置条件非常明确,关键词可以归纳为三点:首先是“单独告知”。单独考虑到了每个人的隐私保护,因此单独告知被明确提及;其次是“明示同意。我们注意到是“明示”同意,换句话说,默示同意或其他方式的告知是不满足要求的,必须让被收集者明确知晓其个人生物识别信息的目的、方式和范围,以及存储时间等规则。至于收集的“合法、必要、正当”原则,则是提出了更高要求。但是实践中该原则常常被置之不理。由于缺乏具体的监管细则和强有力的处罚措施,即使被公开或曝光,违法商家也只需要下架摄像头、出具道歉声明即可。
司法实践中,此前国内“人脸识别第一案”中,法院认定杭州野生动物世界要求游客“刷脸”入园的做法“超出必要,不具正当性”,但法院认为动物园也只需要与游客解除合同,删除游客的人脸信息即可,并没有实际的损失,也没有责令作出整改。因此,实践中我们还有很长的路要走,对于公民“脸”的保护不应仅仅局限于此。
防范滥用:打破僵局,划定准则底线
如何保护我们的“脸”?实践中,我们可以尝试明确划定人脸识别的使用范围,明确处罚构成要件、处罚标准,以最大程度限制采集公民生物识别信息的应用场景,防范人脸识别技术的滥用。通俗的说:关于人脸识别技术,我们要尽快清晰回答一下问题:谁可以用?在什么场合用?怎么使用以及违规使用怎么办等一系列问题。
我们发现,实践中已经出现了一些积极的尝试。2019年,Facebook已经宣布并提供可开启或关闭人脸识别功能的切换按钮。如果用户禁用人脸识别,Facebook就会停止在图像上自动标记该用户,同时停止建议其他人在图像上标记。前不久,其又宣布将推出第一套智能眼镜用脸部识别技术,目前,Facebook正在围绕面部识别功能的法律和隐私方面进行研究。
新视角:区块链技术“元数据”与隐私保护
近日,拥有百年历史的知名媒体《纽约时报》宣布将利用区块链技术来打击假新闻,并公布了正在研发的区块链项目“新闻出处追溯”。该项目是一个基于超级账本的区块链网络,用来创建和共享新闻图片的“元数据”。“元数据”包含新闻图片的拍摄时间、地点、拍摄者以及所有编辑和发布信息 。通过这些信息,媒体和用户可以判断出该图片是否经过PS等人为修饰,进而判断相关资讯真伪。另外,区块链视频应用可以采用安全防盗链机制保证视频在直播或点播时,能够快速响应并防止盗链访问。我们认为,这是一个很好的趋势,我们期待区块链技术在这一领域能得到更加广泛的应用。
综上,在我国,我们更加希望的是能够有专门针对人脸识别的规范条例。虽然我国《网络安全法》明确将个人生物识别信息纳入个人信息范围,但对于信息的使用、存储、运输、管理,仍需进一步细化。正如专家学者所言,人脸识别技术在现实运用中的安全隐患、隐私风险等问题应予以评估,建立不同的行业标准、国家标准。
我们认为,必须尽力找到两者的最佳平衡:既能保证人脸识别技术的使用,又能切实保障公众的知情权、选择权、同意权等。
陆续更新,敬请期待
如认为本文侵犯版权,请及时联系闪涛律师团队。
团队介绍
闪涛律师团队专注于提供涉外法律服务、“一带一路”海外投资、跨境争议解决、公司法务、并购、解散、破产、清算、金融、证券、私募、区块链、人工智能、智能合约、大数据等领域。
闪涛律师,广东广信君达律师事务所高级合伙人,广东外语外贸大学法学院兼职教授、硕士研究生导师,中南财经政法大学博士研究生。
闪涛律师是中华全国律师协会涉外法律事务领军人才库人选,司法部“全国千名涉外律师人才名录”,司法部、全国律师协会“一带一路”跨境律师人才库首批成员,司法部、全国律师协会“一带一路”项目沙特阿拉伯国别协调人,广东省涉外律师领军人才库成员。
点一下在看再走吧