个人信息保护诸多难题待解
“判决杭州野生动物世界删除原告郭兵相关面部信息,并赔偿郭兵合同利益损失及交通费共计1038元……”11月20日,随着浙江省杭州市富阳区人民法院的一审宣判,郭兵的朋友们发来“祝贺胜诉”的短信,但他却对这起被媒体称为“中国人脸识别第一案”的一审判决结果不服,已经向杭州市中级人民法院提起上诉。
“一审判决对人脸识别滥用的警示作用不明显,现在杭州野生动物世界依旧强制消费者‘刷脸’入园。”12月16日,浙江理工大学特聘副教授郭兵告诉中青报·中青网记者,杭州中院已受理其上诉,二审将于12月29日开庭。
人脸信息较于其他个人信息有何特别之处?为何企业争相落地人脸识别应用?使用人脸识别这种个人生物信息的边界在哪里?西南政法大学民商法学院教授张建文对记者表示,“人脸识别第一案”的意义可能仅仅止步于个案,我国个人信息保护的诸多难题、困境依然待解。
逛动物园强制“刷脸”有必要吗
2019年10月17日,郭兵收到了杭州野生动物世界发给他的“指纹识别入园方式升级为人脸识别”的短信。有着法学专业背景的他,对人脸等生物敏感信息尤其关注。此前,他就对酒店“刷脸”入住以及人脸信息安全保障存疑:“如果已经核实了身份证信息,基本就可以判定为本人,‘刷脸’并不是完全有必要的。”
10月26日,郭兵来到杭州野生动物世界。“‘刷脸’入园是否为有关政府部门要求?人脸识别设备由哪一家公司提供?”在和工作人员交涉时,他发现门检员正用手机为游客“刷脸”,而非专业人脸识别设备。
“智慧景区都这样做。”“今天游客多,手机‘刷’快一些。你放心好了,信息很安全的。”工作人员的回答让郭兵对园方的个人信息安全保障产生不安的感觉:“万一因员工安全意识不高或有不法想法,致使我的人脸信息泄漏怎么办?”最终,在协商退卡无果后,他选择了诉讼的方式。
一审中,郭兵提出的要求判定杭州野生动物世界指纹识别、人脸识别相关格式条款内容无效的4项诉讼请求,均未得到法院支持。这成为了他上诉的最主要原因。
一审法院根据《消费者权益保护法》第29条规定认定,杭州野生动物世界以甄别用户身份、提高用户入园效率为目的使用指纹识别具有合法性。根据《合同法》有关规定认定,杭州野生动物世界“刷脸”入园这一要约,未对郭兵发生法律效力。
“照此推定,人脸识别格式条款无疑也是合法有效的,相当于默认了野生动物世界‘刷脸’要求的合法性。这不是‘架空’了相关立法对消费者个人信息保护的法律意义吗?”郭兵认为,法院未解释杭州野生动物世界强制消费者使用单一方式入园的“霸王条款”不符合“合法、正当、必要”原则,“如果依据手机号和姓名完全可以认定入园者的身份,指纹识别和人脸识别就不具备必要性。”
对此,张建文也指出,一审法院并未对人脸识别技术的使用界限、面部特征信息的处理规范等核心问题进行讨论,这与人脸识别技术的特殊性、面部特征信息的高敏感性以及《中华人民共和国个人信息保护法(草案)》(以下简称《个人信息保护法(草案)》)的立法走向并不符合。
人脸信息收集缺乏有效规制 你的“面子”可能在“裸奔”
像杭州野生动物世界一样,不经意见征求就默认个人同意“人脸识别”的现象并非个案。
有媒体报道,一些房企售楼部利用人脸识别系统精准识别出初次到访客户,针对性推出购房优惠。这看似是让利消费者,实则是在未告知消费者的情况下私自收集人脸信息,进而实现精准营销等商业化目的。
“一些政府部门出于维护公共安全目的使用人脸识别技术,通常不会建立在个人同意的基础上,当公众习惯了此种方式,对于商业领域未经同意收集面部信息的行为,自然不排斥、没有警惕性。”张建文表示。
某“刷脸”支付设备供应商工作人员向记者透露,每增加一个“刷脸”支付订单,商家会得到相应的返利佣金,所以大多数商家会首选让客人“刷脸”支付,“客人也不太会有异议,甚至觉得很好玩。”
“我们的‘脸’太容易得到了。我坚持在第三方技术机构见证下,杭州野生动物世界删除我姓名、身份证号、手机号、照片、指纹等全部个人信息,”郭兵说,“目前对人脸信息收集、应用并没有现行的规定和标准,更多依托收集者的道德水平,这很让人担心。”最初,一些朋友和家人说他太较真,但他认为,这不是他一个人的事,“引起企业和社会对人脸等敏感的个人生物信息的重视,案子才有现实意义。”
滞后的立法亟待提速
郭兵和张建文都表示,在《民法典》尚未生效、《个人信息保护法》尚未出台的背景之下,我国个人信息尤其是人脸等生物敏感信息的保护规范相对分散,个人通过诉讼维权的难度较大。
令人欣慰的是,面部特征信息处理的限制性规定在行业内部规范和地方性立法已有所体现。2020年11月,公安部第一研究所牵头编制的《信息安全技术 远程人脸识别系统技术要求》实施,对远程人脸识别系统中的关键环节制定了参考标准。日前,工信部也要求App在收集用户图片、人脸等个人信息时要遵循“最小必要化”原则。杭州在全国率先启动了人脸识别禁止性条款的地方立法——《杭州市物业管理条例(修订草案)》,明确了小区物业不得强制进行人脸识别。将于2021年1月1日实施的《天津市社会信用条例》,规定了企事业单位、行业协会、商会禁止采集人脸、指纹、声音等生物识别信息。
“这是实践正向反哺立法的一种表现。”郭兵参与了《杭州市物业管理条例(修订草案)》前期的立法听证,但他也指出,我国目前还没有专门针对指纹、人脸等生物识别信息的明确法律规定。
为此,在《个人信息保护法(草案)》征求意见阶段,他提交了一份《关于完善生物识别信息特别保护的意见》,建议提高人脸信息技术应用的门槛,并纳入行政许可范畴;对公共安全和公共场所加以具体列举,进一步明确“公共安全目的”范围。
在张建文看来,《个人信息保护法(草案)》虽然将敏感个人信息和一般个人信息作了分类,确立了面部特征信息的特殊地位,但在人脸信息处理条件上仍较为宽松。他建议,人脸识别应用各方应强化数据安全合规治理,推动建立行业自律组织和行业自律规范,以弥补行政监管的不足。
中青报·中青网见习记者 王姗姗 来源:中国青年报