人脸识别技术带来便利的同时,也面临信息安全挑战——
如何保护我们的“脸”
“人脸识别系统早就拆除了,你们放心吧。”近日,江苏省苏州市相城区人民检察院(以下简称“相城检察院”)检察官对辖区内的多家售楼处进行明察暗访,发现被查单位已经拆除了相关人脸识别系统和设备。
相城检察院第四检察部主任何俊强说,这次明察暗访是对2020年办理的一起个人信息保护领域行政公益诉讼案的跟踪监督,确保检察建议落到实处。
检察建议制止售楼处侵犯消费者合法权益行为
2020年9月,苏州小伙小陈准备购买婚房,他和朋友走进相城区某楼盘售楼处,在了解了价格、户型、地理位置等信息后,小陈觉得房子性价比较高,便与销售详谈,询问优惠信息。销售告诉小陈,楼盘没有其他优惠,除非是中介带过来的会有“返点”。
“我下次找个中介过来,不就可以了?”小陈笑着说。
“那不可以的,您刚才进来的时候已经被我们的人脸识别系统记录了,下次再来我们就知道您不是中介带来的客户了。”销售指着门口的摄像头说。
一下子“损失”了好几万元的优惠,小陈心有不甘,但想到可以住上心仪的房子,还是咬咬牙当天就交付了定金。
随后,小陈向相关部门反映了售楼处侵害个人隐私的行为。相城检察院在日常走访期间,也发现有公民个人信息遭到侵害的情形,决定在辖区内开展个人信息保护专项行动。
“个人生物识别信息的收集、使用必须在合理的界限内。”2020年11月,相城检察院第四检察部检察官对辖区内售楼处安装人脸识别系统情况展开调查。检察机关认为,售楼处基于节省成本的营销手段不能通过违法的方式实现。
2020年12月4日,相城检察院对房产销售机构违法收集人脸信息案立案调查。检察官对辖区内的20余家售楼处展开了调查,发现多家售楼处使用的人脸识别属于“无感抓拍”,消费者的面部信息在不经意间就会被抓取、收集,而售楼处的门口或者楼内均没有相关人脸识别的提示。
相城检察院认为,人脸信息作为个人生物识别信息非常重要且极为敏感,售楼处在未向消费者告知、未经消费者同意的情况下,基于商业目的,擅自收集、使用消费者人脸信息,侵犯了公民个人信息受保护的权利,也侵犯了消费者的知情权、肖像权、隐私权。
在无妥善管理机制和防范措施下,售楼处收集的个人信息还存在泄露风险,无法确保信息安全。
4天后,相城检察院启动行政公益诉讼诉前程序,向该区房产销售主管部门发出检察建议,要求其履行职责,及时制止售楼处侵犯消费者合法权益的行为,维护社会公共利益。
相城区房产销售主管部门在收到检察建议书后不久,就组织全区40个在售楼盘召开公民个人信息保护专题会议,要求房地产企业对各自在售楼场所人脸识别系统安装情况开展自查摸排并立即整改相关违法行为。
12月24日,相城区房产销售主管部门对检察建议作出回复。目前,相关房地产企业已拆除相关系统和设备,擅自收集的人脸信息也已被全部删除。
为人脸信息安全织起立体防护网
购房者小陈的遭遇并非个案。2020年10月底,一则济南购房者戴着头盔去看房的视频在网上热传;浙江某高校特聘副教授郭先生因不愿意使用人脸识别而将杭州野生动物世界告上法庭……
事实上,人脸识别技术在国内的应用早已从公共安全领域扩展到商业领域,渗透到人们的日常生活,如手机解锁、支付转账、交通安检甚至考勤打卡等,应用场景随处可见。
今年央视“3·15晚会”曝光多个商家偷偷获取人脸信息的问题。人脸识别技术给社会经济发展和个人生活带来便利的同时,也让信息安全问题面临挑战,已经引发公众担忧。
近年来,为了应对这一新问题,我国正逐步建立和完善相关法律法规。2017年6月1日施行的网络安全法将个人生物识别信息纳入个人信息的范畴,确立了“谁收集,谁负责”的原则。
今年1月1日起实施的民法典明确了公民个人信息处理原则和条件,处理个人信息的,应当遵循合法、正当、必要原则,并征得该自然人或其监护人的同意。
正在公开征求意见的个人信息保护法(草案)再次明确了“告知-同意”为核心的个人信息处理规则。国家市场监管总局发布的《个人信息安全规范》也明确规定收集人脸信息时应获得个人信息主体的授权同意。
国家网信办发布的《常见类型移动互联网应用程序(App)必要个人信息范围(征求意见稿)》显示,各类型App需要的必要个人信息中均不涉及人脸、指纹等生物识别信息。
随着法律法规的逐步完善,在执法、监管层面如何有效落实也值得深思。
江苏省人民检察院第七检察部主任周合星认为,相较于一般的公民个人信息,对个人生物识别信息应予以更严格的保护,防止人脸信息的滥用。要加强对人脸识别系统、设备的生产、销售监管,尤其注重线上销售行为的管控,严厉打击非法获取、售卖人脸信息的行为,斩断人脸信息非法交易产业链。要充分发挥检察公益诉讼制度的作用,保护社会公共利益,织密信息安全保护网。
周合星认为,新技术带来的问题还需要技术来解决,未来应通过数据脱敏、隐私计算、分散储存等技术手段加强生物特征信息保护,提升风险技防能力。
江苏省人民检察院第一检察部副主任柳慧敏认为,个人信息保护之所以面临严峻挑战,与侵犯公民个人信息犯罪是典型的法定犯,前置法律法规不健全,监管措施缺位乏力,个人保护意识不足等多种原因有关。如何在风险可控的前提下妥善运用人脸识别技术,在有效性和安全性之间寻求平衡,需要在立法、执法、监管等层面建立多维度的立体防护体系。
柳慧敏说,现实中,一些企业在收集、使用人脸识别信息时不守规矩,职能部门要督促企业履行网络安全保护义务,主动进行信息安全等级保护认证;要加强对收集和使用公民个人信息企业的监督力度,提供保护指引。企业如果违反相关法律法规,应予相应的行政处罚;构成犯罪的,依法予以刑事处罚。
相城检察院副检察长史轶晴表示,人脸信息的采集和使用应遵循“最小必要”原则,可以通过场景分类、信息分级等手段,为人脸信息的安全加码。
卢志坚 王金艳 中青报·中青网记者 李超 来源:中国青年报
