上海對濫用人臉識別說「不」

刷臉支付、刷臉解鎖、刷臉開門、刷臉進站……「刷臉」，正在越來越頻繁地嵌入我們的生活。

「刷臉」時代，誰來保護我的人臉信息安全？

面對公共場所過度使用甚至濫用人臉識別技術，2024年，上海「亮劍浦江·2024」消費領域個人信息權益保護專項執法行動，加快整治步伐，朝著公共場所「不刷臉為原則、刷臉為例外」的目標持續攻堅。

作為第三方，華東政法大學智能法學科在學科負責人高富平教授的帶領下，對「亮劍浦江·2024」專項執法行動開展評估。評估組認為，上海網信部門整治濫用人臉識別切實保障了公民個人信息權益。在大大降低風險的同時，提升了企業和消費者的個人信息保護意識，優化了營商環境和消費環境，為人臉識別技術更廣泛運用提供了「上海經驗」。

「亮劍」執法，直面違法問題

濫用人臉識別技術的風險，一直被上海監管、執法部門高度重視。

2021年，央視「3·15」晚會曝光科勒衛浴上海部分門店安裝具有人臉識別功能的攝像頭，消費者只要進入門店，在不知情的情況下，就會被攝像頭抓取並自動生成編號。

事件曝光後，上海市靜安區市場監督管理局立即展開立案調查，並隨即公佈調查結果及處罰決定。

值得注意的是，彼時涉事企業被責令改正、罰款人民幣50萬元，處罰依據的是《消費者權益保護法》相關規定，執法的是靜安區市場監管部門。

2021年11月1日，作為國內首部個人信息保護的專門性法律，《個人信息保護法》正式實施。上海對個人信息尤其是人臉等生物識別敏感信息提升保護力度。

2023年6月16日，針對消費領域個人信息「過度采、強製要、誘導取、違規用」等問題，上海市網信辦、上海市市場監管局共同啟動「亮劍浦江·消費領域個人信息權益保護專項執法行動」。掃碼點餐、停車繳費、少兒學習培訓、網絡理財小貸、房產中介、租借共享充電寶、商超購物、汽車4S店……專項行動選擇了社會關注度高、個人信息被過度索取問題突出的8大消費場景。

在充分總結2023年工作經驗的基礎上，上海市網信辦、上海市市場監管局啟動「亮劍浦江·2024」專項執法行動的調研和策劃，人臉識別濫用被列為重點整治，參與協同的包括上海市公安局、上海市體育局、上海市商務委、上海市房管局等監管執法部門、行業主管部門，以及上海市消保委和有關行業協會等。

2024年4月29日，一則《上海一游泳館更衣櫃推行人臉識別遭投訴》的新聞引發廣泛關注。根據《解放日報》報導，上海鬆江區的朱女士注意到家附近的泳樂游泳館（雲間糧倉店）更衣室，採用了人臉識別的方式開啟更衣櫃。「站在設備前，攝影頭打光燈一亮，屏幕前就出現了附近來往顧客沒穿衣服的畫面。我連忙用毛巾把攝像頭擋住，趕緊用浴巾裹好身體！」

掌握報導線索後，4月29日、5月6日，鬆江區委網信辦協同市場監管、公安網安等有關部門，兩次核實查驗、指導整改。針對違法違規事實，鬆江區委網信辦依法對涉事游泳館運營主體——上海酷學體育投資管理有限公司作出警告的行政處罰。該案也成為上海市區兩級網信部門依據《個人信息保護法》，協同開展的人臉識別技術領域執法首案。

此後，在大量調研基礎上，「亮劍浦江·2024」專門就公共場所強製、濫用人臉識別技術細化工作方案，執法場景趨向精細化、顆粒化，細分為健身房、舞蹈房、游泳館等運動場所，商場超市、無人售貨機等消費場所，演出場所、旅遊景區、賓館旅館、文化場館等文旅場所，教育、培訓機構等教學場所及售樓處、住宅小區、保障性租賃房等生活居住場所。據上海市網信辦執法人員介紹，整治方案明確上海市網信辦牽頭組建工作專班，統籌協調開展專項整治行動，參與專項行動的協同單位為專班成員單位，涵蓋了上海市教委、上海市科委、上海市文旅局、上海市綠化市容局，幾乎覆蓋涉及民生的所有監管執法部門。

按照「不刷臉為原則、刷臉為例外」、「收集端總體減量、存儲端確保安全」的總體目標，上海確定了公共場所安裝人臉識別要遵循「為公共安全所必須」「有法律依據」「做到單獨告知」等三大原則，並要求公共場所人臉識別設備做到最大可能「退」、最小範圍「用」、最小範圍「存」，真正確保消費者「放心」、使用者「用心」。

華東政法大學高富平教授牽頭的評估組認為，專項行動以規範化的執法流程、場景化的執法主線、精細化的執法理念、信息化的執法支撐，抓住各場景下的關鍵痛點、難點，開展差異化、針對性、精細度的執法活動，拓展了上海網信執法實踐成果。

剛柔並濟，提升執法效果

數據顯示，截至2024年11月，上海已推動全市600餘家商超門店，6300餘家酒店，70餘家公共球場館，1200餘個游泳館、健身場所，2900餘個公共廁所完成「強製性」、「濫用化」刷臉的自查整改。

針對市民普遍反映的自動售貨機違規「刷臉」問題，上海市網信辦督導申通地鐵對全市地鐵站內的1400餘台無人售貨機完成排查整改，對其中存在問題的829台無人售貨機暫停人臉支付功能，待整改完成後重新上線……

一連串數據的背後，是上海監管執法部門執法方式的創新——從個案出發，治理一個領域、解決一類問題，不局限於案件辦理本身，用剛柔並濟取代純粹的剛性執法。

澎湃新聞瞭解到，在關於如何推進整治的問題上，「亮劍浦江·2024」專項執法行動明確提出，監管執法部門要會同行業主管部門、上海市消保委及有關行業協會，通過普法培訓、以案釋法、行政指導、自查整改、合規指引等多種方式，促進企業合規經營。

「除了個案的檢查和執法之外，我們更希望通過普法培訓、合規指導的方式幫助企業瞭解法律法規要求，劃清底線紅線，只有這樣才能平衡好企業發展與消費者權益間的關係。」上海市網信辦執法人員在接受澎湃新聞採訪時如此表示。

以無人售貨機企業的為例，上海市網信辦、上海市監局通過摸排、調研和核查發現，該場景普遍存在「未經同意收集人臉信息」「隱私政策未提示或不完整」「強製收集手機號碼」「誘導收集個人信息」「無法一鍵關閉廣告」「未提供刪除個人信息渠道」等6類共性問題。

2024年11月，上海市網信辦、上海市市場監督管理局聯合申通地鐵，以及支付寶、微信支付兩家第三方支付企業舉行「自動售貨機個人信息保護普法培訓會」，以問題為導向，以案釋法，並同步提供《自動售貨機場景常見個人信息保護問題自查清單》供企業對照自查整改。

此次培訓吸引了在上海運營自動售貨機的37家頭部經營和運維企業，在同一個「課堂」上幫助場地租賃方、設備經營方、技術支撐方對齊了合規意識，形成了遵守《個人信息保護法》的共識，為一攬子解決全行業個人信息保護問題打下堅實基礎。「上海市網信辦和市市場監管局，相當於給企業做了一個排雷系統，所以我們很感謝他們給我們提出了這些問題，幫助我們去整改，讓我們能更合規地運營。」一家參與此次培訓的自動售貨機運維企業告訴澎湃新聞。

此外，「亮劍浦江·2024」專項執法行動還創新性地探索出「八步工作法」，通過「線索收集→現場檢查→合規培訓→自查整改→推標立規→回頭查驗→立案處罰→評估問效+媒體監督」等工作模式，全鏈條推進相關問題整改。

華東政法大學師資博士後徐子淼參與今年對「亮劍浦江·2024」專項執法行動的評估。她告訴澎湃新聞，專項行動通過普法培訓、發佈人臉識別領域的案例解析等方式，提升企業合規意識，幫助企業理解法律要求，降低合規成本。同時通過集中排查、面對面約談和「回頭看」等方式，對典型企業和集中出現的問題提出針對性整改建議和監督，確保落地見效。

「整體來看，兼顧到了不同層面，整個執法流程合理高效。」她說。

值得一提的是，作為今年專項行動的成果之一，「亮劍浦江·2024」結合兩年來網信執法實踐成果，首次面向社會、企業和消費者推出個人信息處理者應知手冊、企業個人信息保護合規自檢清單、上海個人信息保護場景規範指引、上海市民個人信息保護要點問答，可概述為個人信息保護工具包、體檢包、服務包、護身包，這四個惠企為民「大禮包」，通過釋法、指導、評估、保護四個層次，建立了立體化個人信息合規利用的集約化管理框架，進一步優化企業合規效果。

多方聯動，凝聚共治合力

整治濫用人臉識別，除了發揮執法監管部門的引領作用外，「亮劍浦江·2024」 專項執法行動特別注重協同共治。也正因如此，在問題調研和線索收集上，專項行動還發動了一支「編外力量」。

上海高校教師劉傑（化名）指導7名法學生自發組建「銀河信息警備隊」，成果之一就是發現，大學校園內的45台自動售賣機，有40台存在過度索取個人信息情況，有的還存在誘導消費者使用微信或支付寶刷臉支付的情況。

這次調研起源於一次消費經歷。因為趕「早八點」的課，來不及在家裡吃飯的劉傑，第一次在學校的自動售賣機上買東西。而當他掃碼支付時，機器彈出了兩個選項，一個是綁定手機號碼，一個是不綁定，當他選擇不綁定後發現，頁面自動跳回前一頁。也就是說，如果不綁定手機號，就無法完成付款，無法購買。

到底多少台自動售賣機在索取個人信息？自動售賣機一定要獲取手機號碼、微信號等隱私信息嗎？劉傑想搞清楚。

最終，劉傑和他的「銀河信息警備隊」通過調研得到了答案。他的故事經媒體報導後，引起多方關注。依據他提供的線索，網信部門在深化研究調研基礎上，開展了深入拓展的集中整治。10月24日至28日，澎湃新聞走訪上海4所高校校園，發現大多數自動售貨機已不再誘導或強製性「刷臉」。

華東政法大學高富平教授牽頭的評估組認為，專項行動推動構建「政府監管、企業履責、社會監督、公眾參與」的個人信息保護綜合治理格局。其中，在政府層面，上海市網信辦和上海市市場監管局牽頭，進一步推動市區兩級及相關部門協同合作，集中力量提高企業合規便利度；在企業層面，重點關注平台型企業和數據處理第三方企業，注重發揮企業自查、自糾、自治、自律；在社會層面，以頭部企業為重點執法對象，實現懲一企、震一行的執法穿透力；在公眾層面，積極探索、完善投訴舉報及其反饋機制。

聚焦發展，引導科技向善

個人信息不僅涵蓋個人權益，也存在社會性價值。在對濫用人臉識別說不的同時，上海也明確，應加強研究，對新技術不能因噎廢食，要推動新技術向上向善。

在接受澎湃新聞專訪時，上海市消保委副秘書長唐健盛表示，對人臉識別技術的應用，上海秉持審慎態度，倡導非必要不使用。「數字經濟時代，個人信息的運用能夠提升經濟運行效率。在確保數據安全且能夠有效使用的前提下，秉持積極的態度。我們不能片面地追求安全而忽視效率，也不能只注重效率而不顧安全。」

「個人信息包括人臉信息的安全風險，猶如計時炸彈一般。」浙江理工大學數據法治研究院副院長郭兵指出，人臉識別在身份信息驗證等方面為生活帶來諸多便利的同時，其潛在風險難以有效把控。「過度使用甚至濫用已成為該技術發展面臨的重大挑戰。」他認為，人臉識別核心是用戶需要樹立個人信息安全意識，遇到強製「刷臉」消費者要大膽質疑，對濫用人臉識別要始終保持警惕。

郭兵強調，對濫用人臉識別技術說「不」，並非「一刀切」式的禁止刷臉。「企業應為用戶提供刷臉或其他替代方式的選擇。採用刷臉方式時，企業應運用足夠安全的技術手段防止人臉信息泄露，被違法使用、甚至被犯罪分子利用，此為其法定責任。監管部門應重點監管人臉識別技術應用的安全保障措施，維護公民個人信息合法權益、社會公共秩序與國家安全。」

上海市網信辦執法人員透露，「亮劍浦江·2024」專項執法行動對公共場所強製、濫用人臉識別技術的專項整治目前已取得一定成效。下一步，上海市網信辦將更加註重對人臉識別新的應用場景的研究，以及對已經開展整治場景的跟蹤，不斷引導人臉識別技術向上向善，促進技術服務社會。在切實保障好公民個人信息權益的同時，要用法治的營商環境護航企業健康發展。