法治觀察:上海提出公共場所「不刷臉為原則」,讓被濫用的技術回歸正途
今年,上海開展了「亮劍浦江·2024」消費領域個人信息權益保護專項執法行動,明確提出公共場所「不刷臉為原則、刷臉為例外」的攻堅目標。
消息一出,輿論一片叫好之聲。近年來,刷臉支付、刷臉開門、刷臉進站等隨處可見,伴隨的卻是社會公眾對這一現象愈發不滿,可謂「天下苦‘刷臉’久矣」。
現狀:人臉識別技術被濫用
客觀來說,當前人臉識別被濫用的現象非常普遍,有些甚至到了匪夷所思的地步。比如,在健身房的更衣室萊恩裝帶有人臉識別功能的攝像頭。
今年4月,「益心為公」誌願者向上海市閔行區人民檢察院反映了一條公益訴訟檢察線索,有家健身房不僅進入時要掃瞄人臉,打開更衣室的儲物櫃也必須人臉識別。「攝像頭燈一亮,誰敢站在設備前面換衣服?」
更糟糕的是,檢察官實地走訪發現,健身房入口處及更衣室內均未見採集人臉信息的提示。也就是說,如果消費者警覺性不高,可能直到脫下衣物,才會注意到攝像頭的存在。
經過實地走訪,檢察官認為,在更衣室「刷臉」打開儲物櫃時,攝像頭可能會拍攝到消費者的隱私部位,一旦泄露或者非法使用,極易導致個人名譽、身心健康受到損害。且這種方式與直接刷卡的功能基本一致,不具有法律規定的「特定的目的和充分的必要性」,涉案健身房的做法違反了相關法律法規。
閔行檢察院遂向行業主管部門製發檢察建議,督促其依法全面履職。該職能部門隨即督促涉案健身房採取整改措施,及時查處違法行為,並對轄區內其他類似經營主體進行排查,防止不當收集存儲消費者個人信息。
這樣的事情絕非個案。報導刊發之後,有讀者在評論區留言,表示上海其他區域也有健身場館存在類似行為。此外,還有自動售貨機必須「刷臉」才能買水,商場衛生間「刷臉」出衛生紙、住戶「刷臉」才能進自家小區、公寓等現象,每次被曝光都會引發公眾一片「抽水」聲。
更糟的是,很多信息收集者根本不知道該如何對這些數據進行管理。去年,虹口檢察院發現區內一家長租公寓強製住戶「刷臉」進樓,但未採取保障信息安全相關的必要措施,管理門禁和保存數十萬條人臉信息的電腦及主機都沒有進行加密處理,門禁系統的帳號密碼直接保存在電腦中,點擊就能登錄。
法律:應遵循正當且必要原則
回顧這幾年涉及「人臉識別」的事件不難看出,作為一項新生事物,對人臉識別技術的監管也是一個逐漸探索完善的過程。
2019年4月27日,浙江理工大學老師郭兵與妻子向野生動物世界購買雙人年卡,並留存相關個人身份信息、拍攝照片及錄入指紋。後野生動物世界向包括郭兵在內的年卡消費者群發短信,表示將入園方式由指紋識別變更為人臉識別,要求客戶進行人臉激活。郭兵不同意進行面部識別認證,要求退卡。在協商未果的情況下,於2019年10月28日向杭州市富陽區人民法院提起訴訟。
這起案件被稱為「人臉識別第一案」,引發廣泛關注。2021年4月9日,杭州市中級人民法院二審判決,杭州野生動物世界刪除郭兵的面部特徵與指紋信息。
但在當時,我們國家其實尚未出台專門法律規範公共場合的人臉識別技術。一個典型案例是,2021年的央視「3·15」晚會曝光科勒衛浴上海部分門店安裝具有人臉識別功能的攝像頭,消費者只要進入門店,在不知情的情況下,就會被攝像頭抓取並自動生成編號。彼時涉事企業被責令改正、罰款,處罰依據是消費者權益保護法的相關規定。
直到2021年11月,國內首部個人信息保護的專門性法律,個人信息保護法正式實施。其中明確經營者採集信息應當遵循正當且必要原則,且收集個人生物識別信息前,應單獨向個人信息主體告知收集、使用目的、方式和範圍等,並徵得個人信息主體的明示同意。
隨後上海地方立法要求,在本市商場、超市、公園、景區、公共文化球場館、賓館等公共場所,以及居住小區、商務樓宇等區域,安裝圖像採集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,並設置顯著標識。
應該說,目前的法律法規對公共場合使用人臉識別技術有著非常明確且嚴格的規定,但徒法不足以自行,將監管和處罰落實到位,才是防止濫用人臉識別的關鍵。
整改:明確公共場所「刷臉」三原則
今年,上海已經開展了有力的執法行動。
5月,在解放日報·上觀新聞報導鬆江區一家游泳館濫用人臉識別技術後,鬆江區委網信辦協同市場監管、公安網安等有關部門,兩次前往泳樂雲間游泳館核實查驗、指導整改。這也是市區兩級網信部門協同開展人臉識別技術領域執法的首案。
目前,上海已推動全市600餘家商超門店,6300餘家酒店,70餘家公共球場館,1200餘個游泳館、健身場所,2900餘個公共廁所完成「強製性」、「濫用化」刷臉的自查整改。
需要指出的是,上海正在進行的整改,並非「一刀切」反對人臉識別。人臉識別技術的出現有其積極意義,也確實方便了管理和一部分普通人的日常生活。
實際上,人們討厭的並不是人臉識別本身,而是這項技術被濫用。
人臉是不可更改的生物信息,自己的人臉信息被收集之後就彷彿進入了一個「黑箱」,誰在收集、多少人能看到、多久會被刪除、會不會被用於其他用途,這些關鍵信息公眾往往無法獲知,又如何能放心?此外,很多時候公眾並未獲得「刷臉」之外的其他選項,這種被迫的感覺既讓人感到不舒服,也實實在在地違反了法律法規。
在效率和安全之間,需要保持平衡。所以,這次上海確定了「不刷臉為原則、刷臉為例外」「收集端總體減量、存儲端確保安全」的總體目標,進一步細化公共場所安裝人臉識別設備要遵循「為公共安全所必須」「有法律依據」「做到單獨告知」三大原則,並要求公共場所人臉識別設備做到最大可能「退」、最小範圍「用」、最小範圍「存」。
紅線畫得越清晰,對相關企業來說也是一件好事。據報導,2024年11月,上海市網信辦、上海市市場監督管理局聯合申通地鐵,以及支付寶、微信支付兩家第三方支付企業舉行「自動售貨機個人信息保護普法培訓會」,以問題為導向,以案釋法,並同步提供《自動售貨機場景常見個人信息保護問題自查清單》供企業對照自查整改。此次培訓吸引了在上海運營自動售貨機的37家頭部經營和運維企業參加,為解決全行業個人信息保護問題打下基礎。
(原標題:《法治觀察:上海提出公共場所「不刷臉為原則」,讓被濫用的技術回歸正途》)
