□ 胡立彪
近日,国家网信办就《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称《征求意见稿》)面向社会公开征求意见。《征求意见稿》内容涵盖人脸识别技术应用范畴、场景、使用目的以及信息保护评估等方面的要求。其中关于“使用人脸识别技术处理人脸信息应当取得个人同意”“物业服务企业等建筑物管理人不得将使用人脸识别技术验证个人身份作为出入物业管理区域的唯一方式”等规定,尤其引人关注。
近年来,人脸识别技术快速发展,应用场景不断扩展,广泛应用于安防、支付、交通、门禁等领域,在极大地便利了人们生活的同时,市场规模也快速增长。有数据显示,2021年,我国人脸识别市场规模为56亿元,按照现在年均超过20%的增速,预计到2024年市场规模将突破100亿元,10年内市场规模有望达到千亿元级。
不过,人脸识别技术的应用是把双刃剑,在方便生活的同时也催生了一些问题和争议,民众对其安全性、可靠性等提出质疑。与指纹、虹膜、声音等生物学特征信息一样,人脸具有唯一性,一般情况下无法更改,这与手机号码、密码等信息不同,对信息收集者和管理者提出了更严格要求。这些信息如果因不能得到妥善保管而被泄露,用户个人隐私就有可能处于“裸奔”状态,其个人信息安全及人身财产安全将受到严重威胁,其结果也将是永久性的、不可逆的。
全国信息安全标准化技术委员会等机构发布的《人脸识别应用公众调研报告》显示,在两万多名受访者中,94.07%的人表示用过人脸识别技术,64.39%的人认为人脸识别技术有被滥用的趋势,30.86%的人表示已经因为人脸信息泄露、滥用等遭受损失或者隐私被侵犯。事实上,近些年,已经发生了因人脸信息等身份信息泄露导致“被贷款”“被诈骗”及隐私权、名誉权被侵害等事件。一些犯罪分子利用非法获取的信息,破解人脸识别验证程序,实施窃取财产等犯罪行为。
通过对中国裁判文书网相关案例梳理发现,目前,人脸识别技术不规范应用主要集中在3个领域:一是商场、健身房、景区等商业场景的应用;二是以居民小区、写字楼等为主物业门禁系统的应用;三是部分线上平台或者应用软件,通过拒绝使用软件的方式强制索取用户人脸信息。而信息安全领域专家指出,当前,人脸识别技术应用主要存在4个方面的问题:处理人脸识别信息缺乏合法性基础,很多并未经过单独同意;背离原始采集目的用于其他场景;泄露引致人身和财产安全隐患;超过保存期限未及时删除。
我国《刑法》《民法典》《个人信息保护法》《消费者权益保护法》等法律法规中,均有关于保护个人信息安全方面的内容,对人脸识别技术的应用也有原则性规定,但出台专门的人脸识别技术应用安全管理规定,对明确使用场景、护航个人信息安全更具针对性,仍然很有必要。从人脸识别设备的安装到图像的采集,从数据的处理、存储到数据的提供、删除,从技术应用的准度、精度到置信度阈值,从技术使用者到产品或服务提供者的责任义务,《征求意见稿》均提出明确要求,力图实现对人脸识别技术应用的全要素监管、全流程规范。这些法律法规为包括人脸等生物特征在内的个人信息处理划定了红线。
关于信息安全的法规条款均遵循了一条重要原则:安全优于方便。对于人脸识别技术而言,安全是第一位的,必须在尊重用户权益和维护公共利益基础上规范使用。我国政府高度重视公民信息安全保护,相关法律法规日益健全完善。包括人脸信息在内的公民个人信息安全要得到真正有效的保护,还需要加强监管执法,让法律长出“牙齿”。要通过严执法形成典型案例,以案说法、以案示警,倒逼数据处理者依法合规收集使用民众人脸等信息,从而最大程度实现对个人信息安全的保护。
《中国质量报》【观象台】