11 月 1 日,被媒体称为“中国人脸识别第一案”的消费者起诉杭州野生动物世界案,正式在杭州市富阳区人民法院立案。
据报道,10 月 28 日,一位年卡用户将杭州野生动物世界(以下简称动物世界)告上法庭,称动物世界引进了人脸识别技术并强制用户注册,导致未注册人脸识别的用户无法入园这一行为违反了《消费者权益保护法》并且侵犯了用户隐私。
图 | 人脸识别摄像头(来源:Pixabay)
动物世界的年卡认证方式本来是通过年卡和本人指纹的双重认证,由于指纹认证比较耗时且容易出故障。所以在今年 7 月,动物世界开始谋划“智慧旅游”,引进了人脸识别技术并向所有年卡用户发送了一条信息:园区年卡系统已经升级为人脸识别入园,原指纹识别已取消。即日起,未注册人脸识别的用户将无法正常入园。如尚未注册,请您携带指纹年卡尽快至年卡中心办理。
浙江大学法学博士郭兵质疑其安全性和隐私性,前往动物世界退卡却遭拒。“采指纹,我是同意的。但是采集人脸信息,我是拒绝的,难道因为我拒绝人脸信息采集,作为年卡用户的我就不能享受入园的权利吗?”郭兵说。
必要吗?合法吗?
根据《消费者权益保护法》第 29 条规定,经营者收集、使用原告个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经原告同意。而且,被告收集、使用原告个人信息,应该公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。
图 |《消费者权益保护法》第 29 条(来源:中华人民共和国中央人民政府官网)
那么,动物世界搜集人脸信息是否必要和合法?
郭兵在接受媒体采访时表示:“人脸信息的手机和使用存在极不确定的安全风险,公安等政府部门处于一定的公共利益考虑采集人脸信息我还可以接受,但是一家动物娱乐游乐场也能采集人脸信息,安全性、隐私性我都表示怀疑,万一信息泄露谁能负责?”
DeepTech 就合法、正当和必要问题咨询了该动物世界,截至发稿前未接通电话。
北京德恒律师事务所徐凯律师向 DeepTech 表示:我国关于个人信息的采集和使用,主要还是依据《网络安全法》的三原则,也就是合法、正当、必要。在这个案子中,它(刷脸)只是作为入园的身份识别,采用一般的身份证件就可以了,所以很可能就必要性来讲,不是必要的采集。在正当性问题上,肯定要经过用户同意,人脸识别可以是一种辅助的选项,让用户自愿去进行人脸识别,不能要求用户必须进行。所以,“这个案子应该违反了网络安全法三个条件里的两个,即正当和必要。”
调研机构 Gen Market Insights 发布的数据显示,全球人脸识别设备市场价值在 2018 年至 2025 年期间将以 26.8% 的速度增长,到 2025 年底将达到 71.7 亿美元。中国是人脸识别设备最大的消费区域,2023 年占全球比例将达到 44.59%,在 2018-2023 年复合年增长率为 29.53%。
一般来说,人脸识别有两种用途:验证“你是不是你”;识别“你是谁”。因为这一技术属于非接触式识别技术,操作方便快捷,推广成本低,所以应用场景越来越多。被用来进出地铁安检、被安装在教室监控学生注意力、甚至被安装在天坛公园的公共厕所用来防止“偷纸大盗”。
目前,人们对人脸识别的伦理问题并没有达成共识,人脸识别的合法性和道德可持续性遭到越来越多的质疑。该技术的应用范围是什么?地铁、小区、写字楼、街道、互联网服务都会采集信息,进行个人身份捆绑,怎样使用人脸识别技术才算合规?
“可以说它(动物世界刷脸进园)是一种违法行为,但法律上并没有明确禁止,个人信息保护的法律还没有出台,可以说是灰色地带,各种机构都在这么做,将人脸识别用于学校和住宅楼小区进门等等,这是一个很普遍的现象”,中国政法大学法学院副教授王建勋说:“我觉得只有公权力机构,出于必要性,比如公安机关要制作身份信息等,可以这么做。其他的这些私人机构,都不应该这样做。”
图 | 瑞为科技为北京大兴国际机场提供人脸识别技术(来源:瑞为科技)
徐凯则认为,很多公共场所的人脸识别系统是个值得讨论的问题。大多数需要身份认证的地方,实际上可以采用刷身份证件+刷脸的双重模式,如果用户不愿意刷脸,就有权利提出要求,有身份证就可人认定。如果管理方要求必须刷脸,就应该是可诉的、侵犯权益的行为。”
“据我所知,目前还没有相关的明确规范(规定单位企业采用人脸识别技术需具备什么资质),就像之前的 ZAO 收集人脸信息也是自己制定的隐私条款”,曾在 GeekPwn2019 国际安全极客大赛夺冠的 RealAI 公司认为,“应尽快出台相关规范,明确人脸信息收集的资质、权限、数据安全等要求。”
安全吗?
动物世界采用的人脸识别技术是否有完备的数据保护系统防止信息泄露?目前尚不清楚动物世界采用的是哪家人脸识别公司的技术。
近年来的数据泄露事件屡有发生,如果采集到的大量数据没有密码保护,一旦被不法分子恶意利用,公民的信息安全将受到极大危害,部分黑产、灰产将从中获益。
如果发生信息泄露,谁来负责呢?
360 公司家庭安全大脑产品线某工程师表示:“核心还是在于标准和规范。相关部门应该建立一个审核机构以及一套认证标准,人脸识别机器、模块和数据库安全性只有经过机构和标准认证之后才能被市场应用,这样就会淘汰一部分存在风险的人脸识别公司。就像合格的指纹识别公司在市场上只有十家左右,有问题很容易追查。人脸识别做到可溯源的话,问题会简单得多。”
徐凯称:“因为民法总则里有相关的规定,这里面就涉及到侵犯隐私权的问题,侵犯公民个人信息的问题,这两个都是可诉的侵权行为,用户可以以侵权起诉这些单位,包括违法采集、利用都是可诉侵权行为,用户可以去法院去诉。如果情节严重的,也可能构成刑法上的犯罪行为,就是侵犯公民个人信息罪。”
图 | 今年二月深圳的一家主营人脸识别的“AI+安防”公司被爆发生数据泄露,致使 250 万人的私人信息能够被不受限制的访问(来源:Frank Top10)
另一方面,站在技术角度。尽管人脸识别技术在业界的准确率已经可以达到 99%。但从 315 曝光刷脸漏洞,到 DeepFake 用 AI 换脸干扰美国政坛,再到戴一副简单的眼镜就能破解手机面部识别,人脸识别技术本身并不完善。
人脸识别通过摄像头获取信息之后,将通过信息网络转化为计算机代码,所提取的数据将存储于企业数据库。人脸不能复制,但是代码是可以被获取和重构的。普通的字符和字串密码在丢失之后可以设置新密码,但是生物信息是不能“重置”的,一旦泄露便很难找回。换句话说,生物信息泄露后,用户在使用生物信息作为身份认证的场合,可能被“李鬼”冒名顶替,身份安全形同裸奔。
RealAI 表示:“人脸信息属于敏感信息,当前的人脸识别算法存在被攻击的风险,人脸识别这一应用在推广的同时也应该注重技术的迭代升级,避免因技术漏洞造成恶劣后果。”
所以,尽管人脸识别技术相对快捷和安全,目前来看也是利大于弊,但是技术的应用和信息安全的管理需要“两条腿走路”,为避免信息泄露,加强数据安全是一个必然工作。
王建勋表示,个人信息安全保护法已经被呼吁很长时间了,人脸识别第一案对推动其进程的影响很难说。中国的立法受到很多因素的影响,要看官方是不是认为有必要,是不是到了要出台的时候。
法学博士的“一纸诉状”掀起了公民热议隐私权的热潮,“刷脸”技术已成大势。如何在必要、安全和合法的前提下使用这项技术,有效规避“有人模仿我的脸”所带来的安全隐患?这恐怕是相关部门、人脸识别公司、运营主体和诸多工程师们需要冷思考的问题。