人脸识别技术应用场景下个人信息保护问题初探

2020年1月29日,历时四年之久的美国社交网络公司Facebook与其用户因人脸识别技术的使用引发的集体诉讼,最终以和解结束。Facebook公开表示,已同意向符合条件的伊利诺伊州用户共支付5.5亿美元和解费用和案件诉讼费。该案件中,原告指控称,Facebook公司违反了《伊利诺伊州生物特征隐私法》,在未经许可的情况下,从该州数百万用户的照片中获取面部数据用于“标签建议”。此外,Facebook也未告知用户数据的保留期限。


与此同时,在大洋彼岸的中国,被称为“中国人脸识别第一案”的郭兵诉杭州野生动物世界侵权纠纷案中,原告认为,被告在未经原告同意的情况下,通过升级年卡系统强制收集原告个人生物特征识别信息,严重违反了《消费者权益保护法》与《网络安全法》,损害了原告的合法权益。


近几日,疫情时期,我们又注意到了这样一则外媒报道:莫斯科为了预防新冠肺炎疫情扩张,运用人脸识别技术对近期从中国到莫斯科的人进行识别、追踪。此举遭到了质疑,有人认为可能涉嫌歧视和侵犯隐私。


上述案例说明了人脸识别技术应用场景下个人信息保护的法律问题已经从理论前瞻走向了现实实践。本文将简要介绍人脸识别技术的法律概念,探讨人脸识别技术在应用中所存在的个人信息保护问题,并考察域外立法,探讨我国人脸识别技术应用场景下个人信息保护的法律实践。


相关基本概念


人脸识别技术是一项生物特征识别技术


人脸识别技术是一项基于人的面部特征进行身份鉴别的技术,通过采集人像,对人像进行预处理、特征提取、特征比对等过程,实现人脸识别验证的效果。根据国家标准《信息技术 安全技术 生物特征识别信息的保护要求》(征求意见稿)的规定,生物特征识别系统根据一个或多个生理(身体的物理特性,例如指纹)或者行为(个体所做的事情,例如行走)特征对个体进行自动识别,其中生理特征包括但不限于:指纹、人脸、虹膜、声纹、手型、指静脉/掌静脉、视网膜、DNA和掌纹。人脸识别技术采集、处理的是人脸这一生理特征,属于生物特征识别技术。


面部特征信息属于个人敏感信息


根据《信息安全技术 个人信息安全规范》的内容,个人敏感信息包括了个人生物特征识别信息,而个人生物特征识别信息是指个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部特征等。通过人脸识别技术获得的面部特征信息因其特殊的人格属性、唯一定位性属于个人敏感信息,应受个人信息保护相关法律法规的规制。


一、应用场景及面临问题


人脸识别技术现已被广泛应用于金融、商业、安保、身份验证等多种场景,属于重要个人敏感信息的面部特征信息理应受到与指纹、身份证件号码等信息相当的重视。然而,我国实践中对面部特征信息的个人数据保护还停留在初步阶段,针对人脸识别技术中的个人保护问题从原理到实践还存在一些争议。 


我们选取了人脸识别技术的典型应用场景和应用实例,列表探讨应用人脸识别技术在个人信息保护领域可能面临的常见问题。


场景

应用场景实例

个人信息安全问题

新零售

商场/店铺基于安保或人流统计等目的安装摄像头,采集人脸信息后,分析顾客的购物习惯、滞留时间。用于产品的精准营销,例如,改进货物陈列、根据用户画像精准推送、VIP客户光临时自动识别并提示

未经个人同意的情况下收集个人面部特征信息,违反网安法关于知情-同意的规定

APP

20193月至20202月期间,APP专项治理工作组收到500余条涉及人脸识别的举报信息,涉及50多款APP;其中,“ZAO”APP,用户隐私协议不规范、人脸照片上传后不能撤销、默认授权有永久使用权等问题,遭工信部约谈

限制用户对于其个人信息的权利、超范围使用个人面部特征信息等

智慧校园

中国药科大学使用人脸识别系统进行考勤,监测学生课堂表现,学生发呆、玩手机都能被感知到

违反网安法规定的必要性原则,超范围收集个人面部特征信息

智慧城市

一则董明珠闯红灯被抓拍的消息,后被证实为乌龙事件,执法摄像头误将公交车上的广告照片识别为董女士本人;还有一名公交车上的乘客也遭遇了同样的乌龙事件

技术缺陷、不成熟,人脸识别结果输出错误,导致无关人员面部图像被公布,可能涉嫌侵犯名誉权

数据库

中国深网视界科技有限公司(SenseNets)被指控发生大规模数据泄露事件,该公司所掌握的数百万人的跟踪数据可供任何人访问

由于管理漏洞或技术漏洞导致个人面部特征信息被泄露,可能危害人身和财产安全

个人信息交易

转转APP上售有人脸相关算法训练数据集的商品,数据集包含5000多张人脸照片,标价10元;快眼贴吧上出售人脸信息以及四要素”(姓名/身份证照片/银行卡/手机号)4元一套

面部特征信息非法交易,侵害隐私权;如信息被用于贷款、注册公司等非法用途,可能危害人身和财产安全


二、域外生物特征识别相关的立法规制



人脸识别是一种识别个人生物特征信息技术,我们查阅了部分对个人数据保护相对较为完整和成体系化的国家或地区的相关法律规定,对生物特征识别相关的规范内容简要汇总如下:


国家/地区

规范文件

定义

相关条文摘要

欧盟

《通用数据保护法规》“GDPR”

生物性识别数据指的是基于特别技术处理自然人的相关身体、生理或行为特征而得出的个人数据,这种个人数据能够识别或确定自然人的独特标识,例如脸部形象或指纹数据

对揭示种族/民族出身,政治观点、宗教/哲学信仰,工会成员的个人数据,以及以唯一识别自然人为目的的基因数据、生物特征数据,健康、自然人的性生活/性取向的数据的处理应当被禁止,但数据主体对一个或数个特定目的数据处理给予明确同意的除外

美国伊利诺伊州

《伊利诺伊州生物特征隐私法》“BIPA”

生物识别信息是指通过用以识别特定自然人的生物特征标识符所获取的信息,其中生物特征识别符”(biometric  identifier)是指对脸部结构的扫面,但排除了照片

1.初次收集某自然人的生物特征识别符或生物识别信息时,须告知该自然人其生物数据被收集的情况、收集目的、数据的保留时间,并获得该自然人的书面授权

2.拥有生物特征识别符或生物识别信息的任何企业均不得出售、租赁、交易或以其他方式从个人或客户的生物识别符或生物识别信息中获利;

3.应以行业内合理的注意标准,并应使用与个人存储,传输和保护该人所拥有的任何其他机密信息相同或更强的保护方式,传输和防止该生物特征识别符泄露。

美国德克萨斯州

《德克萨斯州商法典》第11节个人身份信息

生物特征识别符是指视网膜或虹膜扫描,指纹,声纹以及脸部和手部特征记录

1.出于商业目的而获取他人的生物特征识别符需提前通知并获得同意

2.当个人死亡或失踪、为完成个人要求或授权的金融交易、应联邦法律要求或者执法机构要求时,可以向他人出售,租赁或披露个人的生物特征识别符;

3.应使用与个人存储,传输和保护该人所拥有的任何其他机密信息相同或更强的保护方式,以合理的注意义务存储,传输和防止该生物特征识别符泄露。

美国华盛顿州

《华盛顿修订法典》“RCW” 19节生物识别符

生物特征识别符是指通过自动测量个体的生物学特征(例如指纹,声纹,眼视网膜,虹膜或其他用于识别特定个体的独特生物学特征或特征)而生成的数据

1.出于商业目的将生物特征识别符纳入数据库,必须事先通知,征得同意或提供一种机制,以防止出于商业目的对这些生物特征识别符进行后续使用;

2.为提供个人要求或明确授权的产品或服务所必要的、为完成个人要求或授权的金融交易、应联邦或州的法律或法院要求、第三方通过合同保证不会进一步披露的、为准备诉讼时,可以向他人出售,租赁或披露个人的生物特征识别符。


通过梳理可知,上述规范均详细定义了生物特征识别信息,并明确将生物特征识别信息纳入个人数据保护的范畴。对于生物特征识别信息甚至给予了高于一般个人信息的保护。除了提前告知、获得同意的一般授权机制之外,在一些域外国家或者地区,还对商业使用生物特征识别信息采取了不同程度的限制措施,例如,美国伊利诺伊州规定不得利用生物特征识别信息交易获利。


三、我国立法趋势展望


通过人脸识别技术获取的面部特征信息在我国属于受法律保护的个人信息是较为明确的,而通过人脸识别技术获取面部特征信息在我国也是较为普遍的实践模式,但实践中因应用人脸识别技术而引发的个人信息保护的司法纠纷和判例却相对较少,立法层面的缺失是其中的一个重要原因。在被誉为“中国人脸识别第一案”的郭兵诉杭州野生动物世界侵权纠纷中,原告在诉讼中援引正在制订中的《个人信息保护法》,也从侧面反映了我国个人信息保护领域的立法滞后性。我们对我国现行及近期即将出台的主要涉及个人信息保护的法律汇总如下:

image.png

我国现行法律仅以个人信息大框架进行规范和保护,并未根据个人敏感信息的敏感程度进一步细化分类,或单独制订生物特征识别信息相关的法律法规。从信息安全保护力度及法律责任来看,针对生物特征识别信息的保护,与一般个人敏感信息的保护程度几乎无异。相较其他国家或地区较完善的立法规制,虽然我国立法机关近年来已经加快了对于个人信息保护的立法进程,但就其完善性和体系化有待加强和细化。


当前,我国金融、交通运输、安保等领域对于人脸识别技术存在迫切需求,与人脸识别技术相关的产业已进入爆发式增长。基于前述,通过人脸识别技术获得的面部特征信息属于个人敏感信息,与每个人的生活密不可分。生物特征识别信息属于个人敏感信息,应予以区别于一般个人信息更高程度的保护。未来的法律规范和国家标准应尽可能对于生物特征识别信息的收集、传输、使用、交易、共享、存储、删除等方面加以限制或规范,进一步明确法律责任,完善我国个人信息保护的法律体系。人脸识别技术产业的健康和良性发展需要配套相应的法律规范加以规制。


注:丁睿(实习生)对本文亦有贡献。


分享