刷脸认证需知情 风险评估应前置

赵精武2023-08-11 19:58

(图片来源:东方IC)

赵精武/文 近日,国家互联网信息办公室发布了《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(下简称“规定”),对人脸识别技术应用的法定条件作出了详细规定:一是信息服务提供者在采用人脸识别技术前应当征得个人同意;二是信息服务提供者在采用该类技术之前应当就可能产生的技术安全风险以及对个人权利影响进行综合评估。

“刷脸支付”“刷脸进出”等技术应用场景在日常生活中处处可见,便捷化的身份验证流程确实提升了用户体验,但实践中却常常存在“强制刷脸”“秘密刷脸”等技术滥用现象。例如,部分业主在返回小区时被迫按“刷脸”,然而自己的人脸识别信息究竟存储在哪里、使用的人脸识别信息系统是否安全可靠等重要事项却未被告知。再如,2021年“3·15”晚会上曝光科勒卫浴、宝马等多家知名商店安装人脸识别摄像头,但消费者却对此一无所知。人脸识别技术滥用引发了敏感个人信息泄露、非法收集个人信息等一系列法律问题。

《个人信息保护法》《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》等法律法规已经对人脸识别技术应用的合法边界作出了详细规定,但条款内容仍然较为零散且适用范围有限。本次规定的公布是人脸识别技术应用监管体系化转型的标志点,囊括了宾馆、银行、车站、体育场馆、展览馆、博物馆、美术馆等常见经营场所采用人脸识别技术应当履行的法定义务。

该规定显然有助于解决实践中法律实施效果差强人意的问题。因为在规定公布之前,现行立法早已明确不得滥用人脸识别技术,但在公民前往健身房、自家小区、美术馆等场所时,依然被强制或变相强制“刷脸”,且经营者也未曾告知人脸识别信息收集目的、方式和范围等重要事项。

在大部分情况下,经营者往往习惯于以“刷脸”的便捷性和可靠性为由,暗示消费者应当进行刷脸认证。在“杭州动物园人脸识别第一案”中,动物园管理方为了提高入园效率,强制要求原告注册人脸识别信息才能继续使用年卡入园,其所引发的法律争议正是受到“便捷大于权益”观念的误导。这种观念存在本末倒置的问题,任何技术的优越性都不能作为侵害个人权利的“免责事由”。人脸识别信息作为《个人信息保护法》规定的“敏感个人信息”,承载了公民个人人格尊严、人身和财产安全等重要权益,消费者理应对这些信息的处理情况进行充分了解,并在此基础上自行决定是否接受“刷脸”。更重要的是,人脸识别信息往往具有不可更改性和精准识别性等特征,一旦泄露难以通过事后救济恢复原状,故而更需要公民经由充分衡量后作出决定。

在规定中,除了要求信息服务提供者落实“知情同意”机制之外,还特别强调在事前阶段应当进行个人信息保护影响评估。

评估的事项主要包括技术应用是否充分必要、是否符合法律法规要求、采取的保护措施是否与风险程度相适应等。评估的目的是尽可能将技术安全风险控制在可接受范围内,预防技术应用不规范可能对个人权益产生的负面影响。特别需要注意的是,该规定创新性地将“是否限于实现目的所必需的准度、精度及距离要求”作为评估事项之一。以往的立法文本中,判断是否属于实现目的所必需时,大多采用“相匹配”“相适应”等表述,而此次规定中,直接采用“准度”“精度”“距离”等表述。这种变化的原因是由于实践中部分企业敷衍式、应付式履行相关义务,因而通过更加精细化的监管要求,迫使企业真正做到对技术应用风险进行全方位分析和评估。

法律的生命力在于实施,法律的权威也在于实施。倘若这些对人脸识别技术应用的规定无法真正落实,其无异于一纸空文。理想中的人脸识别技术应用监管效果应当是,公民个人在前往任何经营场所或享受信息服务时,服务提供者应当主动告知有关该项技术应用的重要事项,并且在公民拒绝接受“刷脸认证”时,服务提供者也能够提供其他认证机制,而不是以“不刷脸就无法享受服务”为由变相强迫个人接受。并且,信息服务提供者更应当对业务人员进行业务合规培训,在公民个人就人脸识别信息处理情况提出问题时,能够有效回答这些问题,而不是说接受“刷脸”能够享受更优质服务等诱导或误导性言论。

规定的公布并不等于人脸识别技术监管的“终点”。实践中,各类APP以各种方式套取用户人脸识别信息的现象屡禁不止,除了通过立法手段明确信息服务提供者的法定义务之外,监管机构更需要形成常态化的监管机制,不能让经营者“图省事”,认为没有提出异议就是默认同意接受刷脸。同时,公民个人也应当重视自己的人脸识别信息,技术便捷性未必能够带来同等水平的安全保障,提供人脸识别信息需慎重。

(作者系北京航空航天大学法学院副教授)

版权声明:本文仅代表作者个人观点,不代表立场。
Baidu
map