人脸识别法律法规
交通违法;在商业楼宇中利用人脸识别技术可以对出入口实现实时监控等等。与此同时,人脸识别技术正在深度结合行业应用,在金融支付领域、物流领域也实现了大跨步的落地应用。以线下支付为例,支付宝、微信纷纷推出刷脸支付功能,目前已经在全国多个城市落地,同时支付宝投入30亿元将用于激励商户使用刷脸支付。
当我们在走过“人脸识别”通道快速过海关、在允许金融机构利用人脸识别确认身份时,当看见菜鸟网络国内所有带摄像头的菜鸟驿站智能柜已陆续开通刷脸取件、刷脸寄件功能时,很多人就开始对“人脸识别”技术感到担忧。人们担心人脸识别技术是否将会为政府提供前所未有的权力来跟踪人们的日常生活,侵犯人们隐私;而且人脸识别技术尚不成熟,曾有人利用等比例的彩色照片等简单的操作,便可以通过菜鸟驿站“刷脸取快递”的功能取得他人的快递,如果这种技术漏洞被人加以利用,便可以盗取他人财产。
而且人脸特征信息为高敏感性信息,且人脸信息易于读取,存在人脸信息泄露的高风险。若有不法人员企图通过不法手段获取这些信息并加以利用,其后果不堪设想。
人脸识别技术本是用来验证“你是否真的是你所说的你”,在远程控制交易或者身份确认的情形下,确认一个行为是由本人亲自实施的,是解决电子支付、网络交易、网络申请公***服务等身份安全问题,至今最有效的技术措施。但是,一旦人脸信息这种易获取的“生物密码”丢失或者被人随意更换,或者他人通过人脸技术可以真实地冒充自己,那么利用人脸识辨技术验证真实身份,则成妄言。
人脸特征具有终身唯一且无法改变的特点,人们可以频繁更换密码,但很难通过频繁“换脸”来保证账户的安全性。一旦发生人连信息泄露的情况,不仅是隐私泄露问题,更是会给自己人身和财产带来安全风险。一旦他人有了跟你面部特征相同的数据,他戴上高清3D面具,配合系统指令做出相应动作,就可以实施各种欺诈,具有较大的社会危害性。
“人脸识别”的法律界限
技术不断向前发展是社会潮流,社会潮流不可逆转,恐惧不应成为限制技术发展的理由,唯有讲技术善加利用、有效引导才是理性的选择。如今人脸识别技术可用于人员出入管理和城市安防,包括公安抓捕逃犯、小区门禁启用刷脸系统,以及一些商家的VIP管理、大学课堂上“刷脸签到”、当事人身份验证、送达等法律实施和判决执行领域,应用于检测潜在客户特征(如年龄、性别等)以更精准投放广告等商业领域,更有大量的有关“人脸”应用,比如换脸娱乐软件、鬼畜视频、课堂监控、安防。以上应用其实都存在侵权风险,包括人脸信息在内的个人信息的性质属于公民隐私权范畴,非法搜集、使用或交易都将承担包括刑事、民事和行政在内的法律责任。那么我国法律对于人脸数据提供了哪些规定呢?
(1)根据《中华人民***和国宪法》规定:
第三十八条 中华人民***和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。
第四十条中华人民***和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。
(2)根据《中华人民***和国刑法》规定:
第二百四十六条 以暴力或者其他方法公然侮辱他人或者捏造事实诽谤他人,情节严重的,处三年以下有期徒刑、拘役、管制或者剥夺政治权利。
前款罪,告诉的才处理,但是严重危害社会秩序和国家利益的除外。 通过信息网络实施第一款规定的行为,被害人向人民法院告诉,但提供证据确有困难的,人民法院可以要求公安机关提供协助。
第二百五十二条 隐匿、毁弃或者非法开拆他人信件,侵犯公民通信自由权利,情节严重的,处一年以下有期徒刑或者拘役。
第二百五十三条 邮政工作人员私自开拆或者隐匿、毁弃邮件、电报的,处二年以下有期徒刑或者拘役。 犯前款罪而窃取财物的,依照本法第二百六十四条的规定定罪从重处罚。
第二百五十三条之一 违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。 单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
(3)根据《中华人民***和国民法通则》规定:
第一百条 公民享有肖像权,未经本人同意,不得以营利为目的使用公民的肖像。
第一百零一条 公民、法人享有名誉权,公民的人格尊严受法律保护,禁止用侮辱、诽谤等方式损害公民、法人的名誉。
(4)根据《中华人民***和国侵权责任法》规定:
第二条 本法所称民事权益,包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。
(5)根据《关于办理侵害公民个人信息刑事案件适用法律若干问题的解释》规定:
最高人民法院、最高人民检察院在2017年6月1日正式实施的《关于办理侵害公民个人信息刑事案件适用法律若干问题的解释》中明确了侵害公民隐私犯罪行为的具体标准和类型,将公民个人信息安全置于法律保护的最高位阶,在刑事法律上对侵害公民数据权的行为标清了底线。不过,两高司法解释的重点在于打击侵害公民个人信息的“明偷”“明抢”,对于滥用格式条款非法“获取”用户授权,侵害公民隐私权的“暗偷”“暗抢”行为影响却不大。
这是因为,隐私权作为民事权利,用户也有自我处分的权利,一旦网站搬出已经获得用户授权的“隐私条款”作为抗辩理由,刑事法律就很难认定其为犯罪行为。
(6)根据《网络安全法》规定:
必须强调的是,个人信息与大数据性质并不相同,所适用的法律也不尽相同。按照我国《网络安全法》第76条的规定,个人信息是指以电子或者其他方式记录的、能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
个人信息的性质属于公民隐私权范畴,非法搜集、使用或交易都将承担包括刑事、民事和行政在内的法律责任。大数据信息是直接或间接都无法识别到自然人特定身份的数据信息,在法律性质上属于知识产权范畴。
从实践角度讲,互联网时代的数据权相比隐私权而言,更加突出用户对自己数据的“控制权”。除了用户知情权等伦理性权利之外,我国《网络安全法》还特别明确了用户对自己数据的“自我决定权”。该法第43条规定,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
《网络安全法》“第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。”
(7)根据《信息安全技术个人信息安全规范》规定:
《信息安全技术个人信息安全规范》对个人信息的解释为“个人信息以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。注 1:个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系” 特别强调个人生物识别信息属于个人信息。
而生物识别信息不仅属于个人信息还属于个人敏感信息,个人敏感信息,一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
依据《信息安全技术个人信息安全规范》,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 判定某项信息是否属于个人信息,应考虑以下两条路径:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。二是关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。符合上述两种情形之一的信息,均应判定为个人信息。采集个人信息需取得个人信息主体的同意,未经同意,不得转让、***享、加工其个人信息。详细内容可参考《信息安全技术个人信息安全规范》。