“一天下來，臉要被掃十幾次”

專家呼吁警惕人臉識別技術(shù)濫用切實保護(hù)個人信息安全（副題）

法治日報記者 張守坤

打開手機，上海市民陳寬發(fā)現(xiàn)，每天需要進(jìn)行人臉識別的App太多?！皬氖謾C銀行App到購物軟件，從化妝類App到游戲防沉迷……一天下來，臉要被掃十幾次?！?br/>

【資料圖】

對此，陳寬感到頗為擔(dān)憂：“雖然有些App使用人臉識別是出于使用需求和安全考慮，但也并沒給我們拒絕使用的權(quán)利，這是否屬于人臉識別技術(shù)被濫用？隨著人臉識別技術(shù)的應(yīng)用越來越廣泛，會不會導(dǎo)致個人信息泄露？”

陳寬的擔(dān)心并非毫無道理?！斗ㄖ稳請蟆酚浾吡私獾?，人臉信息是具有不可更改性和唯一性的生物識別信息，容易被犯罪分子竊取利用或者制作合成，破解人臉識別驗證程序，侵害隱私、名譽和財產(chǎn)，由此引發(fā)的案件也不在少數(shù)。

那么，為何許多手機App會采用人臉識別技術(shù)？在使用過程中，應(yīng)該如何防止該技術(shù)被濫用？近日，記者對此進(jìn)行了采訪。

人臉識別廣泛應(yīng)用

個人信息存在風(fēng)險

想知道這個月賬單明細(xì)，要先刷臉驗證身份；進(jìn)站乘坐地鐵，不用掃碼或購票，刷臉即可入站乘車；想辦理相關(guān)業(yè)務(wù)，先刷臉注冊賬號……記者在調(diào)查中發(fā)現(xiàn)，從金融類、電商類到出行類、美圖娛樂類，很多類型的App中都能找到人臉識別的痕跡。

2022年2月，有媒體對人臉識別技術(shù)相關(guān)問題進(jìn)行調(diào)查，從使用頻率來看，超過九成的參與調(diào)查者在生活、工作中會使用到人臉識別技術(shù)。其中，44.95%的參與調(diào)查者經(jīng)常使用，48.88%的參與調(diào)查者偶爾使用。

調(diào)查還提到，自個人信息保護(hù)法實施后，有近四成參與調(diào)查者認(rèn)為人臉識別技術(shù)濫用情況有好轉(zhuǎn)。

但記者發(fā)現(xiàn)，目前在支持人臉識別功能的App中，仍有部分App沒有明確的人臉識別使用協(xié)議，在人臉識別功能中沒有征得用戶同意。

在用戶個人隱私政策里，雖然包含采集人臉識別等信息，但也有App并未在形式上加以突出，讓用戶清晰意識到人臉信息等生物識別信息被采集，而是將“人臉信息”與姓名等一般個人信息相混淆。

記者選取了10款熱門消費金融類App進(jìn)行個人信息保護(hù)合規(guī)實測，發(fā)現(xiàn)不少金融消費類App均為人臉識別功能提供單獨授權(quán)頁面并設(shè)專有規(guī)則，但也有部分App則將人臉識別的單獨同意與相機功能設(shè)為同一授權(quán)。此外，還有部分App采用“不點擊同意人臉識別就不提供服務(wù)”的方式，強行收集用戶個人信息。

南都人工智能倫理課題組發(fā)布的《人臉識別應(yīng)用場景合規(guī)報告（2021）》（以下簡稱《報告》）顯示，其對20款移動端人臉識別應(yīng)用的合規(guī)情況進(jìn)行了測評分析，其中六成具有人臉識別功能的App沒有單獨的人臉識別規(guī)則，很多App人臉識別規(guī)則沒有告知存儲時限或位置，僅有6款A(yù)pp提及人臉信息存儲情況。

《報告》還顯示，20款A(yù)pp中，16款對個人信息做了信息加密和傳輸加密處理，另有4款娛樂特效App存在問題。比如某App的“AI換裝”功能是通過用戶上傳照片，然后選擇視頻模板后可生成一段換臉視頻。但由于沒有加密措施，用戶的換臉視頻的鏈接可被公開訪問。這意味著，換臉視頻可能被任何人獲取，存在個人信息泄露風(fēng)險。

“人臉識別技術(shù)的出現(xiàn)和應(yīng)用，在很大程度上提升了用戶認(rèn)證的效率和準(zhǔn)確性，因而逐步取代了傳統(tǒng)密碼、驗證碼等認(rèn)證方式，在金融支付、交通出行、門禁考勤等領(lǐng)域得到了廣泛應(yīng)用?！眱?nèi)蒙古大學(xué)法學(xué)院講師李東方告訴記者，目前對于App中使用人臉識別技術(shù)，法律法規(guī)并沒有專門的禁止性規(guī)定，但是不能違反現(xiàn)行法律規(guī)范的相關(guān)規(guī)定。

李東方說，此類敏感個人信息的儲存、傳輸、分析、轉(zhuǎn)讓、刪除等環(huán)節(jié)，也應(yīng)當(dāng)滿足更為嚴(yán)格的要求，如全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會2022年出臺《信息安全技術(shù) 人臉識別數(shù)據(jù)安全要求》等，切實保護(hù)個人信息安全。

據(jù)上海瀛東律師事務(wù)所合伙人、瑞中法律協(xié)會顧問胡鵬介紹，人臉識別屬于敏感個人信息，個人信息保護(hù)法明確規(guī)定，只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，個人信息處理者方可處理敏感個人信息。民法典和網(wǎng)絡(luò)安全法中也均規(guī)定了收集和處理個人信息的“最小必要原則”。

人臉信息一旦泄露

個人權(quán)益易受侵害

“在生活中，人臉識別技術(shù)確實具備獨特的優(yōu)勢。但作為敏感個人信息的人臉信息一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害，值得警惕?！崩顤|方說。

去年12月7日，最高人民檢察院發(fā)布了5件依法懲治侵犯公民個人信息犯罪典型案例，其中一起就是李某利用“顏值檢測”軟件侵犯公民個人信息。

據(jù)了解，李某是某網(wǎng)絡(luò)科技有限公司軟件開發(fā)人員，他將自己制作的“顏值檢測”軟件發(fā)布在某論壇，供網(wǎng)友免費下載安裝，以此方式竊取安裝者手機相冊照片1751張，其中含有人臉信息、姓名、身份證號碼、聯(lián)系方式、家庭住址等公民個人信息100余條。

那么，如何才能防止人臉識別技術(shù)濫用？

2021年7月，最高法相關(guān)負(fù)責(zé)人就審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件的司法解釋回答記者提問時曾指出，自愿原則是民法典的基本原則，個人的同意必須是基于自愿而作出。特別是對人臉信息的處理，不能帶有任何強迫因素。

相關(guān)司法解釋規(guī)定，信息處理者采取未單獨征求用戶同意、強制刷臉等方式處理用戶人臉信息的行為，在相關(guān)民事訴訟案件中都會被認(rèn)定屬于侵害自然人人格權(quán)益的行為。

“上述規(guī)定在很大程度上保護(hù)了用戶在人臉識別技術(shù)應(yīng)用過程中的權(quán)益。但現(xiàn)實是，在許多人臉識別技術(shù)濫用的場景中，用戶往往只能被迫接受，大多并不會提起訴訟，維護(hù)自身合法權(quán)益?！崩顤|方認(rèn)為，如何進(jìn)一步細(xì)化相關(guān)規(guī)定，還需要法律研究者和立法者進(jìn)行更多的思考。

中國政法大學(xué)傳播法研究中心副主任朱巍說，人臉識別不單是涉及人的長相，還關(guān)聯(lián)著個人財產(chǎn)信息、金融信息以及家庭成員相關(guān)信息。用戶隱私協(xié)議中，不能僅用一句話簡單說明要保護(hù)個人信息，還應(yīng)當(dāng)載明在什么情況下采集個人信息、如何采集、如何使用、如何刪除等內(nèi)容。

對此，胡鵬建議采取一系列相關(guān)的措施，比如就人臉識別和人臉圖像處理等事項進(jìn)行單獨彈窗以獲得單獨同意，App在征得個人同意時明示處理個人信息的目的、方式和范圍，個人信息主體享有撤回授權(quán)的權(quán)利，以及不得頻繁地彈窗以獲得個人同意等。

在接受記者采訪的專家看來，人臉識別或人臉圖像等相關(guān)信息不僅涉及個人隱私，還涉及生物學(xué)特征，不法分子如果獲得相關(guān)人臉圖像，可能冒用他人身份從事不法活動。

強化監(jiān)督執(zhí)法力度

完善行業(yè)自律機制

如何才能更安全使用人臉識別技術(shù)，讓其給生活帶來更多便利？

今年廣東省兩會期間，民革廣東省委向大會提交的集體提案《關(guān)于加強廣東省人臉識別監(jiān)管的建議》提出，要完善行業(yè)自律監(jiān)督機制。

其中指出，人臉識別技術(shù)產(chǎn)業(yè)是高新產(chǎn)業(yè)，隨著互聯(lián)網(wǎng)大數(shù)據(jù)時代的發(fā)展而發(fā)展，但相關(guān)行業(yè)內(nèi)的企業(yè)良莠不齊，建議監(jiān)管機構(gòu)對要進(jìn)入人臉識別行業(yè)的企業(yè)進(jìn)行資金、技術(shù)方面的核查，減少低質(zhì)量企業(yè)的進(jìn)入，更好地保護(hù)公眾的信息安全。同時，建立相關(guān)行業(yè)協(xié)會，設(shè)立人臉識別技術(shù)行業(yè)標(biāo)準(zhǔn)，通過行業(yè)內(nèi)部監(jiān)督，減少對人臉信息的侵權(quán)行為。

1月16日，由中國信息通信研究院云計算與大數(shù)據(jù)研究所、可信人臉應(yīng)用守護(hù)計劃（以下簡稱護(hù)臉計劃）、中國通信標(biāo)準(zhǔn)化協(xié)會TC602聯(lián)合主辦的“護(hù)臉計劃2022年度成果發(fā)布會”在云端召開，在護(hù)臉計劃最新一輪評測結(jié)果中，有多家企業(yè)及產(chǎn)品通過“人臉識別安全專項評測”“金融App人臉識別安全能力評測”“人臉識別系統(tǒng)保護(hù)人臉信息專項評測”等。

護(hù)臉計劃由中國信息通信研究院云計算與大數(shù)據(jù)研究所在2021年4月發(fā)起，聯(lián)合企業(yè)、金融機構(gòu)、法律機構(gòu)和學(xué)術(shù)團(tuán)體，共同推動人臉識別生態(tài)安全和合規(guī)共治。截至2022年底，護(hù)臉計劃成員單位達(dá)到148家。

“護(hù)臉計劃”專家委主任、公安部信息安全等級保護(hù)評估中心原副主任畢馬寧在致辭中指出，人臉識別目前是隱私保護(hù)和人工智能技術(shù)應(yīng)用發(fā)生矛盾的焦點，產(chǎn)業(yè)發(fā)展面臨三方面風(fēng)險，分別是技術(shù)不過關(guān)、應(yīng)用不合理和管理不到位。

“人臉識別近些年才被廣泛使用和發(fā)展，而我國的相關(guān)立法也在不斷完善的過程中?！焙i說，目前，我國相關(guān)立法還較為分散，各個法律法規(guī)之間的銜接需要進(jìn)一步明確。一些上位法的規(guī)定較為籠統(tǒng)，如個人信息保護(hù)法規(guī)定，將由國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門推進(jìn)人臉識別技術(shù)的個人信息保護(hù)工作，并制定專門的與人臉識別技術(shù)相關(guān)的個人信息保護(hù)規(guī)則、標(biāo)準(zhǔn)，而較為具體的操作指引則規(guī)定在非強制性的國家標(biāo)準(zhǔn)中，這些非強制性國家標(biāo)準(zhǔn)的效力究竟如何認(rèn)定，也有待司法實踐進(jìn)一步明確。

在李東方看來，目前部分App廠商大肆收集利用人臉信息明顯有違現(xiàn)有的法律規(guī)定，但囿于個人維權(quán)困難等原因，相關(guān)監(jiān)管部門還是要加大執(zhí)法力度，做好人臉識別在多應(yīng)用場景中的事中監(jiān)管，盡早及時發(fā)現(xiàn)違法行為并依法處置。在事后救濟(jì)方面，也要充分發(fā)揮檢察機關(guān)在個人信息保護(hù)公益訴訟的作用，充分發(fā)揮法律對行業(yè)和相關(guān)技術(shù)的應(yīng)用的指導(dǎo)作用。

“總體上，在法律規(guī)范制定的過程中，既要促進(jìn)人臉識別技術(shù)在應(yīng)用場景中讓用戶受益，保障技術(shù)不斷創(chuàng)新進(jìn)步，也要將人臉信息的安全放在重要位置，將技術(shù)可能造成的潛在風(fēng)險降到最低?！崩顤|方說。