上周三,中国最高人民法院发布人脸识别技术使用新规,禁止物业强制“刷脸”,引得关注人脸识别技术背后隐私风险的大众一片拍手叫好。从“中国人脸识别第一案”、售楼处头盔看房,到今年央视3.15晚会曝光人脸信息被偷偷采集,围绕着人脸识别安全问题的风波就没消停过。如何杜绝人脸识别被滥用?立法跟进成为关键。
上周公布的最高法明文规定8大侵权场景,让公众保护人脸信息权益有法可依。实际上,从2020年底至今,天津、深圳、杭州等多地均已出台相关条例,严守公民人脸数据隐私安全,《中华人民共和国个人信息保护法》也将颁布实施。
海外民众对人脸信息采集的抵抗情绪更是强烈,相关立法也早已提上日程。例如自2019年至今,美国多城直接禁用人脸识别,连政府应用这一技术都受到了更多的约束。
哪些国家或城市已经发布或即将发布人脸识别相关立法及政策规范?它们将如何守护我们的隐私安全?这里,我们进行系统地梳理,有了司法保护,看谁还敢乱碰法律的红线。
▲《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》
人脸识别数据滥用需统一规范
其实在这些人脸识别相关的法律、政策出台之前,很多人“苦”人脸识别久矣。
“刷脸支付”、“刷脸进门”、“刷脸取快递”等功能看起来是方便公众,提升安全性,但是更多时候人们内心还是心存疑虑或者十分反感。
很多机构动不动就装上人脸识别,连去动物园玩也要刷脸。2019年发生的“中国人脸识别第一案”是因为杭州野生动物世界“升级”入园方式为刷脸入园,消费者郭兵认为这容易危害其人身和财产安全,双方达不成一致意见。除了动物园,部分小区也曾强制业主使用人脸识别门禁。
更有企业装上人脸识别设备来筛选客户,给来店顾客打标签,2020年有个短视频非常火,济南有位购房者戴着头盔去看房,购房者称如果被售楼处的人脸识别设备拍到,买房子可能会多花30万。
这种“偷偷”窃取顾客人脸信息的行为比告诉消费者和用户需要采集其人脸识别信息方便出入,让人更无法防范,造成的危害更大。2021年,央视“3.15”晚会上进一步曝光了一些企业的行为,更甚的是这些采集的人脸数据还会被“偷运”至人脸识别设备供应商的后台,一旦泄露,后果不堪设想。
2019年国内AI安防企业曾被曝发生大规模人脸识别数据泄露事件,百万人的数据可以随意被获取,非常令人触目惊心。
被窃取和泄露后人脸数据如果被不法分子贩卖,会增加了公众人身和财产安全方面的风险,据2021年2月26日公安部新闻发布会上介绍的数据,2020年全国公安机关共破获窃取、贩卖人脸数据案件22起,人脸识别问题已经到了必须处理的阶段。
针对人民群众关心的人脸识别滥用问题,国家正在不断推进出台相应法律、法规,让人们不再谈人脸识别色变,促进人脸识别产业健康发展。
三市人大已禁部分人脸识别应用,最高法跟进出新规
从2020年12月开始,国内人脸识别相关条例和规定接连颁布,除了上周最高法颁布新规外,天津市、深圳市、杭州市人大常委会均已发布相关条例,明令禁止未告知情况下获取公民人脸数据等生物识别数据等行为。
此外,2020年11月开始南京、徐州、昆明、惠州等市的住房和城乡建设局陆续各种下发内部或口头通知,禁止房企使用人脸识别系统;宁波等城市的市场监管部门等相关部门也查处了一些房企的非法收集消费者人脸数据的行为。
▲中国目前出台或推进中的与人脸识别相关的法律法规等规范性规定
最高法新规的出台,为处理好这些日益增多的人脸识别方面侵权案件,提供了法律依据。只有规范好人脸识别的应用才能在保护公众合法权益的基础上,促进人脸识别合法应用,促进该产业健康发展,促进数字经济健康发展。
具体来看最高法人脸识别新规一共16条,主要分为3个部分。
一是明确该规定的适用范围,适用于平等民事主体之间的民事人脸识别相关纠纷。无论信息处理者是直接使用人脸识别技术处理人脸信息;还是没使用人脸识别技术,但是使用了基于人脸识别技术生成的人脸信息的行为都适用该规定。
二是从人格权和侵权责任角度作出规定,《规定》中规定哪些行为属于侵害自然人人格权益的行为,列举了之前的典型案例,并明确定义为侵权行为,还指出如果要处理自然人的人脸信息必须征得其或者监护人的单独同意,并不得采用非法手段强迫自然人同意。《规定》也明确了处理人脸信息的免责事由。
三是从合同角度对重点问题予以回应,尤其是物业领域,明确不得将人脸识别作为进出物业服务区域的唯一验证方式。
并且新规在第二条就明确了哪些人脸识别应用属于侵权行为。
▲《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》中规定的8种侵权行为
地方上各地处理群众反映的人脸识别应用中出现各种问题时,速度同样很快,尤其是在房地产领域禁止使用人脸识别系统问题上,例如南京市住房保障和房产局在2020年11月,就发布通知要求各房企禁用人脸识别系统。在2020年12月徐州市,以及在2021年4月昆明市和惠州市的住房和城乡建设局也分别禁止房企使用人脸识别系统。
除了各地房管局专门禁止房企滥用人脸识别系统外,一些城市的人大常委会还专门制定或者修订相关条例来规范人脸信息的采集和人脸识别的应用。
2020年12月6日,天津市发布《天津市社会信用条例》,规定“市场信用信息单位不得采集自然人的血型、生物识别信息等法律和行政法规禁止采集的个人信息”。
深圳市在2021年7月6日发布《深圳经济特区数据条例》,其中对包括人脸识别数据在内的生物识别数据的信息处理者进行规范,要求“处理生物识别数据的,应当在征得该自然人明示同意时,提供处理其他非生物识别数据的替代方案”。条例中,对生物识别数据做出明确规定,包括自然人的基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等数据。
2021年7月30日杭州发布新修订的《杭州市物业管理条例》,针对小区使用人脸识别系统的行为进行规范,禁止物业强制获取业主生物信息。
《中华人民共和国个人信息保护法》也在立法推进过程中,而人脸数据作为非常重要且敏感的个人信息中的一种,将会受到更加全面的保护。
美国主禁政府部门使用人脸识别,欧盟惩处力度上升至6%
其实人脸识别滥用已经逐渐成为全球性的一个问题。
跟国内一样,当地公众担心人脸识别会影响个人信息的安全性,此外在国外人脸识别的准确性问题也是人脸识别技术让人不安的另一个重要方面,亚马逊2016年推出图像识别AI系统Rekognition曾在2018年将28名美国国会议员识别成了罪犯。2019年和2020年,都有黑人男子因为美国警方使用的人脸识别系统识别不准而被错误逮捕。
很多地区都开始决定暂缓、限制或禁止人脸识别的使用。
▲美国人脸识别相关的法律法规
从2019年起,陆续有多个美国的城市通过了禁止政府部门使用人脸识别技术的条例,其中美国俄勒冈州波特兰市不仅禁止政府部门使用,也禁止私人企业在公共场所布置人脸识别技术。
人脸识别专门的禁令,始于美国加利福尼亚州的旧金山市,该市监事会在2019年5月通过《停止秘密监察条例(Stop Secret Surveillance Ordinance)》禁令,禁止旧金山包括警察局等政府部门在内的全部机构使用人脸识别技术。后来美国马萨诸塞州萨默维尔市、美国马萨诸塞州的波士顿市、美国加利福尼亚州奥克兰市等也相继通过禁令条例。
在2020年,美国国会参议员也开始推进人脸识别相关暂缓法案的出台,他们提出《2020年人脸识别与生物技术暂缓法案(The Facial Recognition and Biometric Technology Moratorium Act of 2020)》,禁止联邦部门使用人脸识别技术和增加地方警察使用该技术的难度。
对于企业使用人脸识别等生物数据,部分美国州议会主要是通过规范和限制性法案来进行约束。
受政策和舆论影响,一些科技巨头已经暂停了其人脸识别业务。
2020年6月,IBM宣布放弃其通用人脸识别业务,不再销售通用的人脸识别和分析软件,亚马逊则声明禁止美国警方一年内使用其人脸识别软件Rekognition,微软也发布消息称该公司在相关监管部门推出人脸识别联邦法规之前,不会向警察部门出售人脸识别技术。
除了美国之外,2021年6月加拿大隐私专员办公室希望立法部门修改该国隐私法,以解决和人脸识别相关的问题。
欧盟也开始计划禁用执法部门使用人脸识别等远程生物识别系统,2021年4月推出了《人工智能法(草案)(Artificial Intelligence Act)》,法案禁止了4类人工智能应用,不遵守此法案的机构可能被处以3000万欧元或上一财年全球全年营业收入的6%的罚款。四类人工智能应用中就包括限制实时远程生物特征识别系统的使用(有3项豁免情况)。
早在2016年4月欧盟就通过了商讨四年的《一般数据保护法案(General Data Protection Regulation)》,2018年正式生效。对于严重违反此法案的企业罚款上限是2000万欧元或者上一财年全球全年营业收入的4%(取高者)。该法案就明确规定企业在使用用户个人信息(包括人脸识别等生物识别信息)时,需要获取消费者的明确同意。
结语:法规不会遏制只会规范人脸识别应用
对比国内外的人脸识别相关法规来看,这些政策法规发布时间有早有晚,同时又比较集中,近几年随着人脸识别应用的普及,相关针对性政策法规密集出台。
国内人脸识别应用广泛的一些城市,人脸识别政策法规出台更早一些,跟国家层面的规定来比侧重不同。因为国情差异,国内更多是对人脸识别的商用应用进行规范,国外的政策法规对政府机构和企业分别有不同层面的约束。
随着国内人脸数据隐私相关政策法规的健全,各相关企业也会更加重视对人脸数据使用的保护。相关法律的出台,并不会抑制人脸识别应用的推广,而是更规范人脸识别应用,整体来看对于人脸识别产业是件好事。