文/意見(jiàn)領(lǐng)袖專欄機(jī)構(gòu) 北京和昶律師事務(wù)所

　　本文作者：朱一博，北京和昶律師事務(wù)所律師

　　從出行刷臉進(jìn)站，刷臉登記入住酒店，到人臉解鎖手機(jī)、App刷臉支付轉(zhuǎn)賬、一鍵美顏換裝換臉，人臉識(shí)別技術(shù)的應(yīng)用在我國(guó)一路高歌猛進(jìn)，逐漸與我們親密無(wú)間，帶來(lái)便利的同時(shí)也使得我們的人臉信息“處處留痕”。

　　一、技術(shù)可以實(shí)現(xiàn)，但不能越界

　　“人臉識(shí)別”指的是對(duì)人的臉部特征信息進(jìn)行身份識(shí)別的一種生物識(shí)別技術(shù)，簡(jiǎn)單來(lái)說(shuō)包括幾個(gè)步驟：采集人臉圖像、提取人臉特征、進(jìn)行人臉比對(duì)。主要功能包括：“人臉監(jiān)控”與“人臉驗(yàn)證”。“人臉監(jiān)控”意在識(shí)別你是否是有特定身份的人，如政府部門為維護(hù)公共安全、公共利益，在車站機(jī)場(chǎng)、街頭巷尾乃至演唱會(huì)使用人臉識(shí)別追蹤犯罪嫌疑人、尋找失蹤人口；“人臉驗(yàn)證”則是為了核實(shí)驗(yàn)證人與錄入人是否為同一人，手機(jī)解鎖、刷臉消費(fèi)都是這種功能的具體應(yīng)用。此外，借助算法對(duì)人臉數(shù)據(jù)進(jìn)行分析，人臉識(shí)別還可以實(shí)現(xiàn)檢測(cè)遺傳病、幫助盲人識(shí)別聊天對(duì)象的面部表情等功能。

　　盡管人臉識(shí)別技術(shù)的適用門檻不斷降低，所到之處方能彰顯“人工智能”的發(fā)展，但并非所有場(chǎng)景都有使用此項(xiàng)技術(shù)的必要。2019年，杭州野生動(dòng)物世界為提高入園效率將入園系統(tǒng)改為人臉識(shí)別，浙江理工大學(xué)副教授郭兵因不愿使用人臉識(shí)別入園，以違反消費(fèi)者權(quán)益保護(hù)法為依據(jù)，將杭州野生動(dòng)物世界告上法庭，被稱為“人臉識(shí)別第一案”；曾紅極一時(shí)的人臉識(shí)別廁紙機(jī)采用人臉識(shí)別技術(shù)只是為了限制同一個(gè)人的取紙數(shù)量，避免重復(fù)取紙；人臉識(shí)別廁紙機(jī)黯然離場(chǎng)，垃圾分類浪潮又催生了“神器”——人臉識(shí)別垃圾桶，為垃圾分類的局面提供積分獎(jiǎng)勵(lì)……

　　人臉信息屬于個(gè)人敏感信息，是伴隨我們一生無(wú)法變更的身份證號(hào)，當(dāng)所有應(yīng)用都以人臉作為入口，那么人臉信息一旦泄露，我們將一所有。人臉識(shí)別技術(shù)以獲取人臉信息為代價(jià)，無(wú)論線上線下，必要性是使用該項(xiàng)技術(shù)的前提，當(dāng)達(dá)成目的有其他替代手段，如刷卡入園、手機(jī)掃碼取紙、獲取積分獎(jiǎng)勵(lì)，那么人臉識(shí)別就不應(yīng)當(dāng)成為唯一或者首要選擇。值得關(guān)注的是，根據(jù)2020年9月發(fā)布的《App個(gè)人信息保護(hù)常見(jiàn)問(wèn)題及處置指南》（以下簡(jiǎn)稱《指南》），在非必需的服務(wù)場(chǎng)景，誘導(dǎo)或者強(qiáng)制采集人臉信息屬于強(qiáng)制收集非必要個(gè)人信息，除為滿足法律法規(guī)規(guī)定、保護(hù)公共利益和個(gè)人重要人身財(cái)產(chǎn)權(quán)利之外，App不應(yīng)當(dāng)將使用人臉信息作為實(shí)現(xiàn)業(yè)務(wù)目標(biāo)的唯一方式。

　　二、誰(shuí)的“臉”，誰(shuí)做主

　　2015年，美國(guó)伊利諾伊州三位公民認(rèn)為臉書(shū)（Facebook）未向其告知并經(jīng)其同意采用人臉識(shí)別技術(shù)向法院提起訴訟。據(jù)了解，2010年，臉書(shū)推出“標(biāo)簽建議”功能，通過(guò)人臉識(shí)別技術(shù)找出用戶照片中的好友，提醒用戶對(duì)好友進(jìn)行標(biāo)注。然而該功能默認(rèn)開(kāi)啟，且臉書(shū)在收集和存儲(chǔ)人臉數(shù)據(jù)時(shí)沒(méi)有做到明確告知并征得用戶書(shū)面同意，違反了伊利諾伊州《生物特征信息隱私法》（BIPA）的要求。2019年7月，臉書(shū)同意支付50億美元，與美國(guó)聯(lián)邦貿(mào)易委員會(huì)（FTC）就相關(guān)隱私案達(dá)成和解。9月，臉書(shū)宣布提供可開(kāi)啟或關(guān)閉人臉識(shí)別的切換按鈕。目前，臉書(shū)濫用人臉識(shí)別的關(guān)聯(lián)案件變?yōu)榧w訴訟，根據(jù)法律規(guī)定，臉書(shū)可能面臨最高可達(dá)350億美元的罰金。

　　在我國(guó)，未向用戶告知并經(jīng)用戶同意收集、使用人臉信息的情形屢見(jiàn)不鮮。如《人臉識(shí)別落地場(chǎng)景觀察報(bào)告（2019）》提及的，未經(jīng)學(xué)生或監(jiān)護(hù)人同意，使用人臉識(shí)別系統(tǒng)檢測(cè)學(xué)生抬頭率、抓拍高清圖片，乃至監(jiān)測(cè)情緒；商場(chǎng)在人流密集區(qū)域部署隱蔽攝像頭抓拍人臉，通過(guò)云端進(jìn)行人臉識(shí)別，匹配會(huì)員信息，在多方數(shù)據(jù)的基礎(chǔ)上形成顧客畫(huà)像。2020年9月12日，創(chuàng)新工場(chǎng)董事長(zhǎng)李開(kāi)復(fù)在HICOOL全球創(chuàng)業(yè)者峰會(huì)上公開(kāi)演講稱，曾幫助曠視科技公司找了美圖和螞蟻金服等合作伙伴，讓他們拿到了大量的人臉數(shù)據(jù)”，雖然事后澄清是口誤，仍無(wú)法消除公眾對(duì)人臉數(shù)據(jù)被肆意共享的擔(dān)憂。

　　人臉信息不但是個(gè)人信息，而且是個(gè)人信息中重要的部分——個(gè)人敏感信息，屬于個(gè)人敏感信息中的個(gè)人生物識(shí)別信息。除非為了公共利益，用戶（或顧客）對(duì)其人臉信息享有絕對(duì)控制權(quán)，是人臉信息的主人。我國(guó)法律明確規(guī)定自然人的個(gè)人信息受法律保護(hù)，獲取他人個(gè)人信息應(yīng)當(dāng)依法取得，違法收集、使用個(gè)人信息涉嫌民事侵權(quán)、行政違法甚至刑事犯罪。

　　何為依法？遵循知情同意原則，告知人臉信息的主人為什么需要收集、收集哪些信息以及如何收集、使用這些信息，尊重用戶（或顧客）的決定，獲得同意后收集、使用才是合法的。另外，根據(jù)《指南》以及2020年10月1日實(shí)施的《個(gè)人信息安全規(guī)范》（GB/T 35273—2020）（以下簡(jiǎn)稱《規(guī)范》），區(qū)別于其他個(gè)人信息，收集人臉信息等個(gè)人生物識(shí)別信息前，需要向信息主體通過(guò)單獨(dú)協(xié)議或顯著說(shuō)明，單獨(dú)、同步告知收集、使用個(gè)人的信息的目的、方式、范圍以及存儲(chǔ)時(shí)間等規(guī)則。

　　三、排查隱患，踐行規(guī)范

　　即便有必要采用人臉識(shí)別技術(shù)，即便用戶授權(quán)采集人臉信息，排查安全漏洞提高驗(yàn)證精準(zhǔn)度、排查存儲(chǔ)、傳輸?shù)拳h(huán)節(jié)的隱患，防止信息泄露是人臉信息收集者應(yīng)盡的責(zé)任。

　　《人臉識(shí)別技術(shù)在App應(yīng)用中的隱私安全研究報(bào)告》顯示，在測(cè)評(píng)的14款A(yù)pp中，共有5款存在數(shù)據(jù)泄露安全風(fēng)險(xiǎn)，問(wèn)題集中于敏感數(shù)據(jù)明文傳輸、證書(shū)校驗(yàn)不當(dāng)存在中間人攻擊風(fēng)險(xiǎn)，部分App可以利用黑白照片或播放視頻繞過(guò)真人識(shí)別檢測(cè)；2019年，人臉識(shí)別技術(shù)公司深網(wǎng)視界公司被曝因人臉識(shí)別數(shù)據(jù)庫(kù)沒(méi)有設(shè)置密碼導(dǎo)致發(fā)生大規(guī)模數(shù)據(jù)泄露……

　　前車之鑒，人臉信息泄露并非遙不可及，媒體曝光人臉信息買賣黑色產(chǎn)業(yè)鏈5000多張照片僅標(biāo)價(jià)10元。近年來(lái)，利用他人人臉信息“換臉”制作淫穢色情視頻、傳播虛假信息、盜號(hào)、盜刷等違法犯罪行為逐漸增多。

　　“刷臉時(shí)代”，守護(hù)隱私安全既要確保人臉識(shí)別技術(shù)本身安全，保護(hù)用戶通過(guò)人臉這個(gè)密碼鎖住的隱私，又要保護(hù)用戶人臉信息的隱私安全。針對(duì)前者，人臉信息收集者需要打磨驗(yàn)證識(shí)別技術(shù)，避免采用靜默式識(shí)別，代之以讀數(shù)等方式，將照片、播放視頻或動(dòng)態(tài)圖片攔在門外；至于后者，《規(guī)范》明確對(duì)于個(gè)人生物識(shí)別信息，應(yīng)采用加密等安全措施、與個(gè)人身份信息分開(kāi)存儲(chǔ)、以不存儲(chǔ)原始個(gè)人生物識(shí)別信息為原則等舉措。

　　隱私安全、數(shù)據(jù)安全是人臉識(shí)別技術(shù)發(fā)展的紅線，而非枷鎖，注重?cái)?shù)據(jù)安全、保護(hù)隱私方能創(chuàng)造合規(guī)、持久的技術(shù)，正如微軟公司總裁施博德（Brad Smith）所言，“如果人們信任技術(shù)，就會(huì)使用它，為行業(yè)創(chuàng)造更大的機(jī)會(huì)”。

　　(本文作者介紹：北京和昶律師事務(wù)所是一家以刑事辯護(hù)和刑事風(fēng)險(xiǎn)防控為主的專業(yè)型、研究型律師事務(wù)所)