半月谈评论员 郭艳慧
11月20日,被称为国内“人脸识别第一案”的杭州市民郭兵诉杭州野生动物世界有限公司一案宣判。杭州市富阳人民法院一审判决杭州野生动物世界删除郭兵办理年卡时提交的面部特征信息,赔偿郭兵合同利益损失及交通费共计1038元。郭兵的胜诉固然具有里程碑式意义,而关于人脸识别技术的讨论仍在继续。
刷脸支付、刷脸考勤、刷脸入园……人脸识别作为新兴的身份认证手段,得到不少商家组织和机构单位的应用推广。一方面,人们的确享受了技术带来的便捷高效,节约了时间人力成本,另一方面,人脸识别的泛滥也为用户面部信息泄漏留下了安全隐患。2020年7月,“人脸信息五毛一份在电商平台打包出售”被曝光,不少网络黑产从业者以此批量倒卖非法获取的人脸等身份信息,从事虚假注册、电信网络诈骗等违法犯罪活动。
《中华人民共和国网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
然而在人脸识别的应用场景中,用户或被反复弹窗提示使用人脸识别功能,或在并无人脸识别平行选择的情况下被动接受刷脸,甄别能力较弱者甚至被某些“换脸游戏”引导录入面部信息并不自知……在信息使用层面,部分信息采集方并未向用户明确使用规则及范围,后续信息的使用处理亦无人监管;在信息保护层面,人脸识别技术的使用机构和数据公司,一味使用技术红利采集信息,却并不都具备相关风险抵御能力。作为不可复制替换的个人信息元素,面部信息一旦被窃取或泄漏,其风险不言而喻。
人脸识别技术被滥用,正在造成个人信息采集的失控。除了公众个人信息保护意识薄弱之外,不少组织机构无论是否正当、有无必要,一味追求成本低廉和采集便利,无限制使用人脸识别身份认证也是重要原因。此外,数据公司为拓展业务和增收盈利,不断推广普及采集技术,也为人脸信息安全埋下了隐患。
技术的发展和应用有待相关法律的同步。在现有网络安全法、民法典、消费者权益保护法等相关法律的基础上,法律有必要对不同主体收集人脸信息的正当性、必要性边界进行规范,进一步明确信息采集尺度、技术使用边界、信息保护监管、信息安全责任。
2020年3月,由国家市场监督管理总局、国家标准化管理委员会正式发布了2020版国家标准《信息安全技术个人信息安全规范》,其中明确要求个人生物识别信息需单独告知使用目的、方式和范围,并且应当与个人身份信息分开存储且原则上不应存储原始个人生物识别信息。规范中具有参考价值的提法建议,有必要落实为法律层面进行强制约束。
作为信息的采集流通储存环节,组织机构和技术公司在采集人脸信息时,应当遵循“最少够用”原则,充分征求被采集人意见,落实行业主体责任,公开信息使用规则,保障信息使用安全。另一方面,也要开发替代性的身份识别手段,在信息安全流程尚不成熟阶段,把控人脸识别技术存在的技术风险。
与此同时,在公民提高个人信息安全意识之外,政府也要落实监管主体责任,管控过度信息采集行为,监管信息的使用流通安全,建立组织机构的普适性安全责任底线,为公民搭建一张值得信赖的个人信息安全保护网络。 【编辑:黄钰涵】