2023年8月8日,国家网信办公开了《人脸识别技术应用安全管理规定(试行)》(征求意见稿)。(人民视觉/图)
2023年8月21日,郑晓出门办事,意外发现“北京健康宝”小程序已更名为“京通”,成为政务服务平台,但要想登录,“刷脸”是第一步。
位于登录界面右下角处的《用户服务协议》及《隐私政策》中提到,京通小程序由北京市大数据中心建设并运营,仅负责提供用户访问各个政务和公共服务的渠道,用户只能选择人脸识别验证方式注册登录,以保护账号安全、满足网络实名制的相关要求,这些被收集到的信息将储存在北京政务云中。
这不是“政务云”第一次和“刷脸”联系在一起。2021年12月,北京天通苑等5个地铁站曾提出试点“刷脸进站”,乘客的照片会被上传至北京一个安全级别极高的政务云系统。
北京地铁公司这一规划也引发一众热议。采集人脸信息的边界在哪?收集到的信息又去向何处?人脸信息采集过程中意外泄露所产生的安全问题让很多人为之担忧。
事实上,2021年8月通过的个人信息保护法第六十二条有规定,对于人脸识别这样的新技术,国家网信部门应统筹制定专门的个人信息保护规则、标准。
两年后,2023年8月8日,国家网信办公开了《人脸识别技术应用安全管理规定(试行)》(征求意见稿)(下称“新规”),首次提出收集超1万人人脸信息需到所属地级市以上网信部门备案,未经同意不得保存人脸原始图像材料等细化要求。
根据新规,宾馆、银行、机场等经营场所,除法律、行政法规规定应当使用人脸识别技术验证个人身份的,不得强制个人接受人脸识别技术验证个人身份。
新规的出台,也是对两年前立法的明确回应。
风险与反抗
作为生物特征识别技术的一种,人脸识别技术基于对人的脸部特征信息进行抓取,建立身份库并完成身份识别。使用时用户只需面对镜头,停留几秒,身份、财产关系便得以证明。
2022年1月9日,北京市两会期间,北京市政协委员、北京市轨道交通设计研究院院长余乐接受媒体采访时表示,“刷脸进站”能缩短乘客进站时间,降低地铁运营成本,他递交的提案就是尽快推进“刷脸进站”的智慧安检新模式。
次日,在洪范法律与经济研究所组织召开的一场论坛上,清华大学法学院教授劳东燕对此提出质疑,“只说保存在一个安保级别很高的政务系统当中,但并没有告诉你到底怎么保存的,收集所带来的风险也没有人管。”
担忧并非多虑,当便利成为标尺,滥用问题便愈发严重。2019年,全国信息安全标准化技术委员会、中国消费者协会等4部门联合成立“App违法违规收集使用个人信息专项治理工作组”,并于次年10月发布了《人脸识别应用公众调研报告》。数据显示,2万多名受访者中,30.86%受访者已经因为人脸信息泄露、滥用等遭受损失或者隐私被侵犯。
而对滥用人脸识别技术的反抗也不止一次。2019年10月,因不满杭州野生动物世界更改指纹识别方式,强制游客刷脸入园,浙江理工大学副教授郭兵将杭州野生动物世界告上法庭并以胜诉告终。2020年3月,得知所在小区将安装人脸识别门禁系统,劳东燕向物业公司和居委会寄送了法律函,列举风险,最终阻止了改造。在劳东燕之后,宁波、苏州、天津等地亦有业主因不满强制刷脸,将小区物业公司或大厦物业告上法庭。
有共识后,仍有人“钻空子”
“对人脸识别问题在民法典编纂过程中就有所关注了。”中国社会科学院法学研究所编审、教授姚佳向南方周末记者回忆,由于AI换脸技术的出现,当时对人脸识别问题的讨论被放在肖像权部分,提出不得以丑化污损以及利用信息技术手段伪造的方式侵害他人肖像权。
“这些年来,大家都对人脸识别是一个高风险的人工智能应用达成了共识,并通过立法措施进行预防。”中国人民大学法学院教授、民商事法律科学研究中心执行主任石佳友认为,人脸信息采集需要个人单独书面同意即是其中一项共识,除此之外,刷脸不应该是强制要求,而是可选择的技术手段之一,如今也已被普遍接受。
在民法典出台后,更多法律规制开始关注人脸识别技术滥用问题。
2021年7月,郭兵发起的“人脸识别第一案”二审宣判3个月后,最高法对外发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,一个月后,个人信息保护法出台。它们当中都提到,生物识别信息属于敏感个人信息,处理应经过个人单独同意,未成年人的个人信息还应当取得其监护人同意。
但在最高法的司法解释,以及个人信息保护法已就人脸识别问题的基本共识作出规范后,仍有“顶风作案”者,甚至不乏公共部门。
2021年11月,浙江一家景区因对已购票游客采取“刷脸”入园的管理方式,同时被省内三级检察院要求整改。次年3月,湖南省长沙市望城区卫生健康局因推进数字化门诊建设,要求辖区内17家医疗卫生机构使用电子签核系统推送疫苗接种知情告知书,并在获得“同意”授权时,自动采集指纹和人脸识别信息,被望城区人民检察院立案调查。
2023年3月,最高检公布个人信息保护检察公益诉讼典型案例中,提到上述两个案例。
个人信息保护法正式实施后,检察机关提起个人信息保护领域公益诉讼有了法律依据,数据显示,2022年,全国检察机关共立案办理了六千余件个人信息保护公益诉讼案件。
在姚佳看来,滥用人脸识别技术的案件不断出现,说明在法律、文件出台之后,很多信息处理者或是经营者依旧想钻法律的空子,违规收集和处理生物识别信息,这就需要进一步出台相对细化的指引。
最小储存原则
2023年8月8日,国家互联网信息办公室正式发布人脸识别新规,面向社会征求意见,要求更加细化。新规提出,宾馆、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆等经营场所,除法律、行政法规规定应当使用人脸识别技术验证个人身份的,不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。同时规定,在公共场所安装图像采集、个人身份识别设备的建设、使用、运行维护单位,对获取的个人图像、身份识别信息负有保密义务,不得非法泄露或者对外提供。
石佳友曾参与前述最高法人脸识别司法解释的起草论证,他认为这份从人脸识别技术规制的角度入手的新规具有积极意义,“此前最高法的规定还是从民事案件解决、确定法律责任的角度出发的,对于未进入司法争议,尚属行业具体操作规程层面的问题没有太多涉及。”
石佳友注意到,与以往的法律、文件不同,新规第十六条特别提到,在公共场所使用人脸识别技术,或者存储超过1万人人脸信息的人脸识别技术使用者,应当在30个工作日内向所属地级市以上网信部门备案。第十七条中还规定,除非法定条件或者取得个人单独同意,人脸识别技术使用者不得保存人脸的原始材料。
“像人脸识别技术使用者不得保存人脸原始图像这样的规定,属于最小储存原则,和已有立法中的个人信息处理等技术应用条款保持了一致。”姚佳认为,新规中的很多条款其实是对人脸识别技术的应用和规制做出了进一步细化和调整,但更侧重于技术应用安全管理。
“当人脸信息的收集达到海量规模之时,这种信息安全就会上升至公共安全乃至国家安全,我们可以看到,新规的标题突出了‘安全管理’,第一条立法宗旨中规定‘维护社会秩序和公共安全’。”姚佳认为,从安全角度出发强化技术应用,是对社会公共利益、秩序的保障。
不过,为人脸识别技术滥用的规制呼吁多年,石佳友还有更多期待。
个人信息保护法第二十八条规定,人脸、指纹等生物识别作为敏感个人信息之一,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,信息处理者方可处理。此外,收集者还需要向个人告知处理的必要性以及对个人权益的影响。实践当中,更多无法被拒绝的人脸识别采集工作来自公共单位和行政机构。
在石佳友看来,“如何确保国家机关采集人脸信息是严格限定在履行法定职责和法定义务的范围内,如何设立相应的内部和外部控制机制,可能还需要更多的细化规定。”
(应受访者要求,郑晓为化名)
南方周末记者 蒋敏玉
责编 钱昊平