为规范人脸识别技术应用,8月8日,国家网信办发布《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称《规定》),向社会公开征求意见。
小到刷脸解锁手机,大到智慧城市建设,人脸识别技术早已渗透到人们生活的方方面面。由于人脸识别信息来源于自然人面部,能准确识别特定自然人,具有直接识别性、独特性和唯一性,个人信息保护法明确规定人脸识别信息属于生物识别信息,对其实行特别保护。
相对于基因、虹膜、指纹等其他生物识别信息需要专门设备才可收集、识别,面部特征只需要摄像头即可,外露性大、收集便捷、易被无感收集的特点,使得其尤为敏感。
许多学者呼吁对人脸识别单独立法,或者进行单独规定,正是基于人脸信息的重要性和特殊性。
其实不必说什么术语,公众自能从一桩桩、一件件真实案例中,感受到进一步细化人脸识别相关规定的现实紧迫性。“‘人脸识别’惹祸,交通银行一储户被偷走近43万元”“戴头盔买房少花30万,‘人脸识别’用在这里扎心了!”“多地现‘变脸’诈骗案,一段段逼真的视频竟是伪造的”……
人脸信息保护,与每个人息息相关。
《规定》的最大亮点就在于,进一步明确了生活中常见的一些问题:物业设置刷脸门禁行不行、地铁站安装人脸识别系统合不合理、被远距离无接触采集人脸信息怎么办,都能从中找到答案。
物业服务企业等建筑物管理人不得将使用人脸识别技术验证个人身份作为出入物业管理区域的唯一方式;银行、车站、体育场馆等经营场所,一般情况下不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份;在公共场所、经营场所使用人脸识别技术远距离、无感式辨识特定自然人,应当为维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需,并由个人或者利害关系人主动提出……
跳出这些细化措施,《规定》并未突破个人信息保护法、网络安全法等法律法规既有原则:处理人脸等敏感信息,要严格遵循具有“明确特定目的”和“充分必要性”要求,落实更严格的“知情同意”。通俗地说,原则禁止、例外允许,进行一个事项前,要先评估有没有必要使用人脸识别技术,如何严守“最小必要”限度,再充分告知、取得用户单独同意。
刷脸取纸、单位打卡、个人身份识别设备日益增多,部分管理者视人脸识别技术为提高效率的利器,无视其背后的风险。对这样不负责任的技术使用者,谁来监督、如何有效监督,避免技术滥用,是首先要考虑的问题。确保“原则禁止、例外允许”原则落实后,再针对性解决“知情同意”原则失灵风险。
例如,“隐私政策”“用户协议”佶屈聱牙,关键信息难找,找到了也看不懂,技术使用者告知“缺席”或者告知“失灵”,用户难以真正理解其中的安全风险,进而作出违背真实意愿的“同意”决策。又或者说,点击“不同意”就被迫退出了页面,用户实际上并没有自主选择权。另外不得不考虑,技术更新迭代迅速,如何保证使用者在每次变动前都老老实实取得用户单独同意?
面对技术门槛和双方不对等地位带来的种种“失灵”风险,需要第三方力量来矫正。
进一步看,不排除部分使用者缺乏充分告知的能力。比如,物业未必知道刷脸门禁的厂商是谁、人脸识别到什么程度、信息存在哪、谁有权处理、信息泄露后如何补救等。所以说,一方面,将个人信息保护理念融入产品设计,从前端预防风险至关重要;另一方面,人脸信息泄露后的溯源、补救问题也不容忽视。