天津采集人脸识别信息有法可依 过度收集个人信息行为被戴“紧箍咒”

近年来,人脸识别技术被滥用问题日益凸显,有关部门和多地不断出手整治人脸信息违规采集乱象,相关政策也逐步出台。

12月1日,天津市人大常委会表决通过了《天津市社会信用条例》(下称《条例》)。《条例》第十六条规定,市场信用信息提供单位采集自然人信息的,应当经本人同意并约定用途,法律、行政法规另有规定的除外。市场信用信息提供单位不得采集自然人的宗教信仰、血型、疾病和病史、生物识别信息以及法律、行政法规规定禁止采集的其他个人信息。据此,企事业单位、行业协会、商会等被禁止采集人脸、指纹、声音等生物识别信息。

人脸识别是基于人的面部特征进行身份识别的一项生物识别技术,这项技术通过采集人像、关键点提取,对人像进行预处理、特征提取、人脸识别对比,实现个人身份识别验证的目的。

在行业人士看来,《条例》中规定的禁用人脸识别技术,面向特定场景下的市场信用信息采集者,意味着在上述领域中可能存在技术滥用的情况。基于此,此前南京、徐州和杭州等多地也分别要求售楼处未经同意不得拍摄来访人员的面部信息以及物业服务人不得强制业主通过指纹、人脸识别等生物信息方式使用***用设施设备等。

产业蓝海下风险与机遇并存

据统计,2010-2018年,中国人脸识别行业市场规模年均复合增长率达30.7%,预计到2024年市场规模将突破100亿元。但广阔蓝海面前,行业发展仍面临着诸多信息安全问题。尤其在金融领域,指纹、人脸识别等技术更存在着更大的风险隐患。

介于以上,近年多地也在不断对人脸识别等技术加以规范。2019年1月,上海发布《加快推进上海金融科技中心建设实施方案》提到,将推进人脸识别线下支付等23个金融科技应用试点;同年2月份,人民银行福州中心支行正式印发《福建省人脸识别线下支付安全应用试点实施方案》。

2019年8月23日,中国人民银行印发《金融科技(FinTech)发展规划(2019-2021)》提到,将探索人脸识别线下支付安全应用,借助密码识别、隐私计算、数据标签、模式识别等技术,利用实现交易验证,由持牌金融机构构建以人脸特征为路由标识的转接清算模式,实现支付工具安全与便捷的统一。

尤其在今年1月,中国支付清算协会还制定《人脸识别线下支付行业自律公约(试行)》在采集环节与存储环节加以要求,坚持“用户授权、最小够用”,明确告知用户信息使用目的、方式和范围,并获得用户授权,避免与需求无关的特征采集等。

但从行业来看,刷脸支付近两年成为大支付机构的竞争焦点。前阶段,微信支付、支付宝刷脸支付抢地盘大战引起广泛关注。在麻袋研究院高级研究员苏筱芮看来,支付龙头机构为何大力推广刷脸支付,首先是因为刷脸支付作为生物支付的一种方式,目前渗透率较低,存在广泛发展空间,巨头追求抢占新兴模式的制高点。

其次是刷脸支付确实能一定程度上缓解收银排队的情况,对提升交易效率有所帮助。再者,微信、支付宝等支付巨头拥有庞大的金融生态体系,未来不排除用户的刷脸记录与其授信、风控等联系起来,例如刷脸支付刷得多,信用分有所提升,又或者用户未来在申请贷款时,其人脸信息会多方对比等观察。

个人信息安全相关立法仍不完善

值得关注的是,“中国人脸识别第一案”于迎来一审判决。11月29日,“网络法实务圈”获悉,“人脸识别第一案”原告郭兵不服一审判决(一审判决书:“人脸识别第一案”判决书(全文)),已于当天下午寄出上诉状。

2020年11月20日,杭州市富阳区人民法院就本案公开开庭,并宣判如下:被告野生动物公司赔偿原告合同利益损失及交通费***计人民币1038元,删除原告办理指纹年卡时提交的包括照片在内的面部特征信息,同时驳回原告提出的确认动物园店堂告示、短信通知中相关内容无效等其他诉讼请求。

法院认为,本案争议焦点是对经营者处理消费者个人信息,尤其是指纹和人脸等个人生物识别信息行为的评价和规范问题。我国法律对于个人信息在消费领域的收集、使用虽未予禁止,但强调对个人信息处理过程中的监督和管理,即个人信息的收集要遵循“合法、正当、必要”的原则和征得当事人同意;个人信息的利用要遵循确保安全原则,不得泄露、出售或者非法向他人提供;个人信息被侵害时,经营者需承担相应的侵权责任。

11月30日,相关媒体报道称该案主诉人郭兵处获悉,因部分请求未获法院支持,其已在前一日寄出民事诉讼状,提出请求撤销杭州市富阳区人民法院(2020)浙0111民初6971号民事判决,改判支持其一审全部诉讼请求。

值得一提的是,10月13日,全国人大常委会会议审议的个人信息保护法草案规定,处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项。

而不久前,国家网信办也发布了《常见类型移动互联网应用程序(APP)必要个人信息范围(征求意见稿)》(下称《征求意见稿》)将人脸识别、指纹识别等生物信息排除在38类常见APP的必要个人信息范围外。

上述征求意见稿明确了短视频、地图导航、网络约车、学习教育等38类常见类型APP必要个人信息范围,给过度收集个人信息的行为戴上“紧箍咒”。必要个人信息是指保障APP基本功能正常运行所必需的个人信息,缺少该信息APP无法提供基本功能服务。只要用户同意收集必要个人信息,APP不得拒绝用户安装使用。

深度科技研究院院长张孝荣表示,网信办出手限制APP无限“索取”个人隐私信息的恶风终于得到遏制了,我国在APP时代的信息保护也终于迈出了一步。该意见稿管理范围较广,所有类型APP几乎一网打尽。

但张孝荣也认为新规定对于关联登录没有详细规定。此前《个人信安防范指引》提到,用同一账号注册登录多个APP时,可提供解除单个APP用户账号使用关系的渠道。这个没有提及的关联登录可能会绕开网信办的新规,依然会收集用户隐私。

“另外,个人信息早就被APP搜集遍了,唯一没遭毒手的也只有一些00后了。《征求意见稿》对于00后新网民有保护作用,对于老用户权益保障似乎有些不足。”张孝荣进一步指出,“而对于刷脸识别技术的滥用,没有直接明确,对于指纹识别技术采集信息也没有限制,但个人生物识别技术采集的信息要比常见的文本信息更容易产生危害。”