在没有对收集、保管与使用的环节做严格的法律规制前,人脸识别技术的肆意推广,打开的是潘多拉的盒子。我们付出的绝不只是隐私的代价,还有孜孜以求的安全。——劳东燕

在今天的文章开始之前,先来做个小调查。

假如你办了一张动物园的会员卡,办卡时约定用指纹识别的方式入园参观,但最近游客越来越多,动物园为了大家更快入园,把会员的入园方式升级为人脸识别,请问你会选择怎么做?

1、欣然接受,这样更快。

2、拒绝,担心隐私泄露。

3、找工作人员沟通,是否有别的入园方式。

这件事就发生在杭州野生动物世界,当动物园将指纹识别升级为人脸识别之后,大部分会员都接受了,但会员郭兵不仅不接受人脸识别,还将动物园告上了法庭。

这或将是中国人脸识别第一案。

郭兵是浙江理工大学特聘副教授,还是一名法学博士,正是因为他的法学背景,让他对人脸信息采集相当警惕。他给出的理由简单而直接——动物园有什么权利采集我的人脸信息,万一信息被泄露被非法使用了,动物园如何承担负责?

他表示案件已经被法院受理,具体不便评价。但从一个关注个人信息保护的学者,他希望通过案件能引起更多人意识到人脸识别技术可能存在的风险。人脸技术已经渗透到生活的许多方面,大部分人会选择欣然接受,但可能并不真正了解到背后潜在的风险。

同时,代理此案的浙江垦丁律师事务所主任律师张延来,他表示,人脸识别信息属于法律上规定的敏感个人信息,法律对其收集使用都有相应的规范。但实际上消费者对此了解并不多,保护意识也不强。

他还认为,归根结底,技术应该以人为本,离开了对人的尊重和关怀,再好的技术也会丧失其应有的价值。所以希望通过代理此案,帮助用户找回一些安全感,挽回一些我们正在失去的“颜面”。

尤其是今年以来,“刷脸”已经成为一种的生活方式。“刷脸”开手机,“刷脸”支付,“刷脸”过安检……

当一张脸搞定吃穿住行时,我们的脸,恐怕早就不再仅仅属于自己了,很可能正在成为别人的商品。

一个多月前,媒体爆出,某网络商城上有商家公开兜售“人脸数据”,数量多达17万条。数据包括带人脸的位置信息,以及人脸的106处关键点,如眼睛、耳朵、鼻子等轮廓信息,甚至还标注了性别、情绪、颜值等具体信息。

而当事人表示对自己的“人脸信息”被出售毫不知情,甚至不知道是何时被采集的。

当我们为技术的便捷欢呼时,魔爪也在伸向我们。那么,我们真的只能眼睁睁地看着自己的“脸权”被夺走吗?人脸技术使用的边界和底线在哪里?又该如何看待中国人脸识别第一案?下面来看看大头的分析。

生活在这个社会,我们逐渐习惯了越来越多的摄像头。但很多人不知道,遍布的摄像头,正是为了与人脸识别技术相配套。

去年以来,人脸识别的准确率大为提高,其应用场景出现爆炸式增长,人们将之视为新技术的拓展,平静甚至是相当愉悦地接纳了它。

将人脸识别技术理解为单纯的识别与印证,是一种重大的误解。实际上,这种技术并非只能用来抓取个人的面部生物信息,还能与既有数据库中的相应数据相比对。

它甚至能进一步追踪到个人的身份信息、日常的行踪轨迹、人与车的匹配、亲属关系的匹配以及经常接触人员的匹配等,足以为任何个人勾勒准确的用户画像。

这是它与遍布各处的摄像头相配合的结果。而这一切,只取决于掌控之人想不想使用。

但现行的人脸识别技术,无论是在收集、保管还是使用的环节,都存在诸多的问题。

① 从数据收集环节来看,人脸识别具有无意识性与非接触性,可以远距离发挥作用,并能长时间大规模地积累数据而不被用户察觉,具有很强的侵入性。

据媒体报道,有专家称,中国人每天要暴露在各种摄像头下超过500次。所以,只要开始使用人脸识别技术,就始终有一双眼睛随时紧盯着你我。且按现在的法律规定,人脸识别的收集环节也涉嫌严重的违法甚至犯罪。

② 从数据保管环节来看,一旦收集主体未能妥善保护,就会导致大规模泄露的情况;即便其采取合理的保管措施,也仍然面临被黑客侵入而泄露的危险。

这些泄露后的人脸数据,究竟会被什么样的人使用,用于怎样的场合,是否可能导致财产的损失与其他人身权益受到侵犯,对此,我们都一无所知。

③ 从数据使用环节来看,由于未作任何限定,随着人脸识别技术应用场景的大肆扩张,滥用与歧视的现象必将不可避免。而有关滥用的风险,当前所揭示出来的只是冰山一角。

由此可知,单是技术本身的突破,难以解释人脸识别技术在应用上的迅速推广。它在当前的大肆扩张,背后有两大推动的力量,一是权力,二是资本。

从权力的角度,政府终于找到便捷的技术工具,以安全为名,对全社会做天罗地网式的防控;从资本的维度,从事研发推广的企业,接近疯狂地拓展业务,是为了尽快提升自身的市场估值与利润。

正是因为权力与资本这两个要素,人脸识别技术的跑马圈地,得以像洪水一样势不可挡。

对此,或许可以提出两点质疑:第一,抓获违法犯罪分子,难道是我们这个社会的首要任务吗?第二,资本追逐利润,难道不需要顾及起码的社会责任吗?

我不是技术的保守主义者,也不是要全盘反对人脸识别技术的应用。但是,在未获得法律的明确授权之前,我反对公权力机构收集普通国民的面部生物信息,因为这样的收集缺乏基本的合法性。

至于人脸识别技术的商业性运用,由于涉及个人信息的收集,收集方必须严格遵守有关个人信息保护方面的法律规定。不仅要确保对数据的收集与保管的规范化,而且要对人脸识别技术的应用场景做严格的限定。

同时,法律界有必要做专门的调研,尝试探寻合理有效的规制路径与保护措施。

在人脸识别技术如何运用的问题上,只有拨开安全与效率的迷雾,不为权力与资本所绑架,才有可能做出理性的选择。

人脸识别技术不同于过去常用的脸部照片验证(例如身份证、社保卡、护照、工作证、学生证等),通过大数据和算法,它能获知隐藏在一个人面孔之后的很多隐私信息。

例如,有人认为通过它能识别一些人的疾病(这对保险公司非常有价值),甚至看出一个人的性取向(这对八卦媒体很有用)。因此,必须要确保它不至于侵犯到公民的隐私。

但我不主张对任何新技术的使用采取过多限制,即“监管优先”或“风控优先”的思路,因为所谓“魔高一尺,道高一丈”,归根结底,我们要靠技术进步来防御技术进步所可能造成的风险。

当然需要有明确的法律边界,比如任何场所如果需要用到刷脸,前提是:

① 明确告知消费者或服务对象,我们使用了人脸识别,而他们有选择权,可以为了保护自己的隐私而拒绝接受服务;

② 向消费者或服务对象告知刷脸的用途,并保证不会向第三方泄露相关信息,如有违约则会承担法律责任。

说到监管,放眼世界,对于数据权力与隐私保护目前有两种监管思路。

第一种是欧盟思路,以它制定并实施的GDPR(通用数据保护条例)为典型,通过立法形式,对数据时代的各种新问题及隐私保护问题作出详细规定。

第二种是美国(大多数州)和中国的模式,并不急于制定专门用于数据权利和隐私保护的新法律,而是将过去已有的关于隐私保护的法律套用到数据时代出现的新问题上。

我更倾向于第二种,新技术虽然带来新问题,但过去的法规政策依然管用,就应当继续用下去。未来会有什么现有手段难以应付的新情况出现,等真的出现了再想办法应对,是比较可取的。

一开始就试图搞一个完备的监管蓝图,很可能会扼杀技术的发展,从而阻碍社会的进步。

根据《消费者权益保护法》第29条规定,经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。而且,经营者收集、使用消费者个人信息,应该公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。

从这一点来看,杭州野生动物世界单方面安装了人脸识别机器,实际上是对消费者权益的变相侵犯。

并且,当初杭州动物世界与年卡会员在合同中约定的是指纹识别,如今改成人脸识别实际上是对合同的变更。

如果年卡会员不同意变更,可以提出解除合同,并退换年卡费用。所以,起诉人郭兵的诉求是合理的。

当下,越来越多的场景需要用到人脸识别这项技术,但在很多场景中,采集人脸信息方必须要遵循“合法、正当、必要”的原则,或者是法律规定需要,除此之外被采集者有权拒绝。

比如,我们注册一个网络账号,一般都需要实名制,必须提供的是本人姓名、手机号、身份证,这些是国家法律规定需要提供的,除此之外就不在“必要”的范围之内,如果这时商家提出必须要提供,那么就属于“过界”行为了。

在人脸识别这件事上,商家要遵守法律,守住底线,而消费者则需要多留一份心,尽可能保护好自己的个人隐私。