“这骚扰电话一天七八个,真是够心烦的,啥时候信息泄露出去的都不知道”,家住西城区力学胡同的张阿姨对记者说。生活中像这样的例子比比皆是,笔者所在小区的王女士,就遭遇了在注册微博进行人脸验证时,被提示自己的身份信息已被注册,这让一向比较注重个人信息保护的她有点懵,此前并未下载和使用过微博怎么就提示被注册过了呢?
在今年央视的3·15晚会上,也曝光了科勒卫浴、宝马、Max Mara等多家商店安装人脸识别摄像头的事件。可以确定的是,人脸数据的泄露,所带来的潜在风险,远比手机号与账户信息的泄露更为严重。
有专家称,中国人每天要暴露在各种摄像头下超过500次。在商超、景区、小区、医院、学校以及政务机构,“刷脸”进入已经成为城市生活中的常见场景,公众在不知不觉中就被采集了信息,人人皆成为“透明人”一样的存在。
其实,关于个人信息安全问题,国家也出台了一系列政策促进行业健康发展。
信息安全政策解读
早在2016年11月7日,中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议通过了《中华人民共和国网络安全法》。其中,第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息;第四十四条规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
2020年7月2日,中国人大网发布《中华人民共和国数据安全法 (草案) 》并公开征求意见,内容涉及7章51条。草案说明,制定个人信息保护法是维护网络空间良好生态的现实需要。网络空间是亿万民众共同的家园,必须在法治轨道上运行。违法收集、使用个人信息等行为不仅损害人民群众的切身利益,而且危害交易安全,扰乱市场竞争,破坏网络空间秩序。制定个人信息保护法是促进数字经济健康发展的重要举措。当前,以数据为新生产要素的数字经济蓬勃发展,数据的竞争已成为国际竞争的重要领域,而个人信息数据是大数据的核心和基础。党的十九大报告提出了建设网络强国、数字中国、智慧社会的任务要求。按照这一要求,应当统筹个人信息保护与利用,通过立法建立权责明确、保护有效、利用规范的制度规则,在保障个人信息权益的基础上,促进信息数据依法合理有效利用,推动数字经济持续健康发展。
长期以来,我国虽在不断出台有关个人信息保护的立法文件,但在社会实践中,这些法律的适用大多规定的较为原则性,同时也存在着一定的滞后性,并不能满足人民群众对个人信息保护的各类迫切需求。终于,2020年10月21日,全国人大法工委公开就《中华人民共和国个人信息保护法(草案)》征求意见,第十三届全国人大常委会第二十二次会议对《中华人民共和国个人信息保护法(草案)》进行了审议并在中国人大网公布。这部法律的出台可谓意义重大,甚至将2020年称之为我国个人信息保护立法“元年”都不为过。
草案明确规定了本法的适用范围、个人信息处理规则,强调处理个人信息应当采用合法、正当的方式,具有明确、合理的目的,限于实现处理目的的最小范围;确立以“告知—同意”为核心的个人信息处理一系列规则,要求处理个人信息应当在事先充分告知的前提下征得个人同意,并且个人有权撤回同意。
虽然近年来我国个人信息保护力度不断加大,但在现实生活中,一些企业、机构甚至个人,从商业利益出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出。
代表委员建言献策
随着人工智能技术水平的迅速发展,人工智能与深度学习的范畴逐步增加,大数据应用场景在智慧城市、安防市场等行业得到了广泛应用,但同时安全隐患也随之而来。最新的人脸识别技术,不仅能抓取个人的面部生物信息,识别性别与预估年龄,还能进一步追踪到个人的身份信息、日常的行踪轨迹、亲属关系的匹配等。
“刷脸”时代,如何确保不被“盗脸”?在今年的全国“两会”期间,人脸识别技术带来的个人信息保护问题,是多位全国人大代表和政协委员热议的话题。
今年两会上,全国政协委员、民革广东省委会副主委、民革广州市委会主委于欣伟表示,目前很多小区、公共场所都需要刷脸进入,刷脸支付也被广泛运用,现实生活中通过“刷脸”可解决的事情越来越多。人脸识别信息与一般个人信息相比,具有唯一性、不可更改性等特殊属性,且人脸信息采集极其便利,在被采集者完全不知情的情况下,就能获得其人脸信息。一旦泄露,即便维权成功也难以恢复原状,由此带来的安全风险越来越大。
民革中央提出,根据实际情况,研究推进专项立法对人脸识别大数据进行管控,制定商业机构对人脸识别信息数据的摄制、采集、储存、传播、使用、销毁等程序,明确界定人脸识别设备主管部门职责、数据使用范围、程序管理权限、人员资质要求等,在把握底限的条件下促进人工智能行业稳健成长。民革中央还建议,为人脸识别技术在社会生活场景应用层面设立行政管理职责。明确专门部门统一承担人脸识别系统的审批与监管职能,设立人脸识别项目审批程序。除公共区域安防监控设备以外,涉及对特定对象进行人脸识别信息数据采集使用的处所,如公园、银行、学校、市场及企业、商场等单位都应按程序自主申报,由专门部门审核技术应用必要性,并对安全使用进行积极监控。
对于强制“刷脸”现象,全国人大代表、德力西集团董事局主席胡成中建议:人脸识别参照身份证管理。一是要明确必要性原则,在有替代方式的情况下不得采集生物识别信息;二是归口管理,在公安或网信系统增设专门的数据保护部门;三是设置必要门槛,杜绝任何企业都可染指公民生物识别信息的现状,乃至参照身份证管理办法,原始数据应统一由国家掌控。
“人脸数据的违规采集与数据泄露、非法交易与使用等问题,是人脸识别技术应用面临的主要风险。”全国政协委员、佳都科技集团董事长刘伟建议,规范人脸识别应用,加强人脸识别技术的监管。对此,他建议:一是为技术应用设立行政管理职能,写字楼、商场、企业等应用人脸识别技术前都应申报审批,由公安部门依法审核其合法、正当和必要性;二是对于如小区管理等特定人群人脸识别应用,须以自愿为原则由个人信息主体进行必要性审查;三是对不合规安装、使用人脸识别技术的定期整改,依法打击非法滥用;四是组织专项立法,明确数据所有、使用与收益权限;五是引导相关行业协会和中介组织制定人工智能产业技术标准、行业自律规范。
监管刻不容缓
“刷脸”要便捷,“护脸”也要更规范。
人脸识别技术作为一项新兴的人工智能技术,其产生时间尚短,立法层面的规定仍然不够细致。另外,人脸识别系统虽能对摄像头采集的人脸图像进行辨认,却无法识别采集的人脸图像是来自真人还是一张图片,盗用合法用户人脸照片、盗用人脸视频及盗用三维人脸面具均可被机器识别。
目前,很多场所“扫脸”或者抓取对方面部信息时,并未告知当事人其目的、方式和范围以及储存时间,且不少人脸识别技术由小企业提供服务,没有正规机构的背书,其信息存储安全性存疑。在部分社交平台和网站上,我们会发现不少卖家将人脸识别视频明码标价,甚至还出现了克隆假面技术和产品,一个头套就可解锁被扫描人的各种人脸操作解码,卖家还承诺所售验证视频均能通过大多数APP平台验证流程。
据民法典规定,公民对个人信息享有民事权利,未经本人同意非法收集买卖他人信息会构成民事侵权。另外《刑法修正案(九)》规定了侵犯公民个人信息罪。买卖高度敏感的个人信息达到一定数量,符合司法解释中所规定的立案标准的行为就涉嫌刑事犯罪。在这个过程中,无论买方还是卖方都涉嫌构成侵犯公民个人信息罪。
为减少个人信息泄露带来的安全隐患,立法监管刻不容缓。
中国法学会案例法学研究会副会长、中国政法大学公共决策中心执行主任李轩表示,由于人脸识别涉及人体生物信息,《个人信息保护法(草案)》对此只是原则和总体上的规定,并未对采集主体资格、数据储存、使用范围、相关方的权利义务等作具体阐释,因此,针对人脸识别生物信息这一领域进行专项立法很有必要。
他还明确指出,人脸识别信息采集不仅仅是事关个人安全和社会公共安全,甚至事关一个国家国民生物信息及相关信息数据的总体安全。需进一步明确“谁可以安装图像采集和个人身份识别设备、需要什么样的批准程序、由谁来批准”等问题。同时,要切实维护个人信息主体权益,部署图像采集、个人身份识别设备时,须以自愿为原则,经审批的人脸识别应用,须以显著标识告知相对人。
此外,地方集中整治也不失为良策。比如开展专项整治活动,集中整治不规范和非法安装人脸识别摄录采集,清理电子政务平台安全漏洞。规范单位自查、主管部门核查、市民举报和公安核查等程序,对未经过主管部门审批擅自安装人脸识别信息数据采集设备的,依法进行行政处罚,设备拆除及数据销毁。目前,已有地方政府在这方面先行一步。如天津通过的《天津市社会信用条例》中明确,市场信用信息提供单位不得采集自然人的宗教信仰、血型、疾病和病史、生物识别信息等;杭州也在《杭州市物业管理条例(修订草案)》中规定,物业服务人不得强制业主通过指纹、人脸识别等生物信息方式使用公用设施设备。
除了以上行政监管办法外,技术突破也是关键的因素。鼓励信息加密技术的研发,比如数据加密管理、敏感内容识别等,推出更多有效的数据安全解决方案。同时,对电子政务平台过度依赖人脸识别数据的安全漏洞进行排查清理,提升通过人脸识别登录系统和办理业务的安全性能,让不法分子无可乘之机。
