人脸信息保管不当
容易导致数据泄露
记者:《人脸识别应用公众调研报告(2020)》(以下简称《报告》)显示,在安全性感受方面,受访者给出的分数则明显偏低,仅有交通安检场景的平均分超过4分,这是否体现了受访者对人脸识别安全风险的忧虑态度?
郑宁:当前,公众对人脸识别安全风险的态度较为消极。在当下社会,以国家安全、社会安全、公共利益的名义采集个人生物数据越来越普遍。人脸信息可能在我们根本不知情的情况下,每天被捕捉、识别达数百次,而不健全的数据安全管理制度让人们心生忧虑。如果犯罪分子用个人人脸数据,开通相关账户用于违法犯罪,比如洗钱、涉黑、恐怖主义,个人可能会因此而卷入刑事诉讼之中。
孟强:人脸信息属于个人信息中的敏感个人信息,其一旦泄露或者非法使用,可能导致人脸的主体受到歧视或者人身、财产安全受到严重威胁或危害。而目前不少单位或企业对于人脸信息的采集较为随意甚至泛滥,并且对所采集的人脸信息并未能够依法妥当保管,导致数据泄露,在网络上甚至形成了买卖人脸数据的黑色产业链,进而导致了人脸信息的非法使用,给不少人带来了财产损失和人身权益损失,因此引起了社会层面不少的忧虑。
记者:此外,人脸识别还存在比较突出的“强制使用”问题。《报告》显示,在“交通安检”场景遇到强制人脸识别的受访者最多,达到27.39%,随后是“实名登记”(26.42%)、“开户销户”(25.94%)、“支付转账”(25.81%)、“门禁考勤”(21.76%)。
郑宁:在法律法规已有明确要求的“强认证”场景(如公共安全、金融支付)下,使用人脸识别完成精确的身份比对和验证,有其必要性和合理性,但也要对人脸数据进行妥善保管,不得泄露、滥用。
对于一些没有明确法律规定的场景,不宜使用人脸识别作为唯一的验证方式。根据《报告》,相较于人脸识别,公众更愿意使用手机验证码、密码等验证手段,没有合法正当目的,不宜大规模推广人脸识别。
记者:我们也注意到,近期公开征求意见的个人信息保护法草案第二十九条拟规定,个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息。
孟强:这一规定其实具有现实针对性。因为不少单位、企业存在随意采集人脸信息的现象,未能遵循“特定的目的”和“充分的必要性”的要求。在机场、高铁站等人流集中、高度关乎公共安全的场合采集人脸信息,针对不特定人流进行扫描,并且在具体个人搭乘交通工具时要求进行人脸识别认证,这种做法是为了公共安全,也是出于社会公共利益和国家安全,因此这种“强认证”具有一定的合理性。
但是有些单位,其要求用户、顾客进行人脸识别认证与公共利益关联度不大,而且并没有充分的必要性,但也无差别要求对用户或顾客进行人脸识别认证。这类行为极易引起人们的警惕和反感。
强化获取信息管理
严惩违规搜集行为
记者:对于人脸识别技术,很多评论也指出不能一味抵抗和反对。因为科技的进步能够给全人类带来前所未有的便利,人脸识别技术在公共安全维护、犯罪侦查、嫌疑人抓捕、用户金融财产安全保护、办公及住宅安全保护等方面发挥着不可替代的作用,这在我国疫情防控工作中得到了充分体现。
孟强:但是,科技也会是一柄双刃剑,必须以法治进行驾驭,否则可能刀刃向内,损害用户利益。对于人们担忧人脸识别技术的滥用,应当从三方面加强管理:
一是强化获取人脸信息的管理。要在全社会进行宣传,使各个单位和人民群众普遍认识到人脸信息属于高度敏感的个人信息,必须严格保护。进而,必须严格贯彻对获取人脸信息“特定的目的”和“充分的必要性”的条件限制,对于不符合条件而强行搜集获取人脸信息的行为进行严厉惩罚。
二是强化落实人脸信息处理的“告知—同意”规则。实践中对于取得用户同意才能搜集使用其个人信息的要求,许多单位或机构利用其优势地位,或者利用格式条款,强迫用户作出同意,或者作出“一揽子”授权许可,导致用户权益依然受到侵犯。未来应当制定单行法律法规,强化重点领域的人脸识别规范,对一些高风险领域应当强调同意必须以书面形式做成,进一步保障用户的知情同意权。
三是强化落实国家机关搜集和处理人脸信息的相关义务和责任。国家机关及其授权的主体是搜集采集人脸信息的主要主体。这一类行为由于出发点是为了公共安全或者行政管理的需要,具有正当性,但也必须遵循对用户告知并征求同意的规则,并且对人脸信息数据的处理要严格依法进行,否则一旦有国家机关工作人员滥用职权或者玩忽职守,则极可能发生大规模人脸信息泄露的事件,后果极为严重。
王四新:对于法律没有明确要求的“强制性”应用场景,实践中也并不一定意味着就不能这么做。一般来讲,衡量一项强制认证是否合理的标准,可以从几个方面来衡量:
第一,相应的程序性要求是否已经具备,比如授权同意是否已经出具,使用者是否能够作出自由的选择;第二,如果不能做出自由选择的话,消费者被迫进入的使用模式会不会给消费者带来不利的影响,尤其是对个别消费者,强制使用过程中会不会形成歧视或者区别对待;第三,强制认证的实施方是否已经有相应的安全措施,是否把这些安全措施向被使用者充分展示。
记者:在未来,是否法律应将保护数据安全的主要责任放在数据控制者与处理者的身上,毕竟相应的风险是由数据控制者与处理者的收集、保管、使用等行为所制造,而主要的利益也由其所享有。
郑宁:数据控制者和处理者是数据安全的第一责任主体,也是主要的受益方,风险与回报应当成比例。当然,有关部门也要加强监管和执法。
刘德良:个人信息保护法强调的主要是保护,目前缺少有效解决滥用问题的法律。目前来讲,我们各个场所里人脸识别的要求基本都是正当的,目前要担心的是后面的滥用。我们的教育引导和立法,要把重点放在如何有效的防止滥用。
王四新:我认为对人脸信息进行单独立法完全没有必要,不需要制定专门限制人脸识别使用场景、使用条件,或者对人脸识别提出系统性规范性要求的必要。人脸识别问题主要涉及到个人数据个人隐私的保护,它是属于个人数据个人隐私保护的组成部分,这个领域存在的问题完全可以通过已有的对个人数据保护的相关法律来完成。
标签: 人脸识别安全风险