“指纹识别取消,未注册人脸识别的用户将无法正常入园,请尽快前往年卡中心注册。”这是杭州野生动物世界10月份向年卡用户发送的短信。就在很多人接受“刷脸”入园时,浙江理工大学特聘副教授郭兵却站出来说“不”,并将杭州野生动物世界告上法庭,他认为一家动物游乐场采集人脸信息,安全性、隐私性都值得怀疑,“万一信息泄露谁能负责”?11月1日,当地法院正式立案受理。
“人脸识别第一案”旋即引发外界普遍关注,“刷脸”入园诚然有提高通行效率的作用,但园方有权强制消费者通过人脸识别进园吗?人脸识别的图像或视频是否属于个人隐私?将“脸”交出去,谁又来保证我们“脸”的安全?对此,本报特邀法律界人士对交“脸”衍生出的相关问题展开讨论。
事件回顾
今年10月,杭州野生动物世界给年卡用户发送了一条短信提示:“指纹识别取消,未注册人脸识别的用户将无法正常入园。请尽快前往年卡中心注册。”这让长期从事法律研究的郭兵无法认可。
10月28日,郭兵将杭州野生动物世界起诉至当地法院,要求被告赔偿办卡损失,即退还办卡年费。11月1日,当地法院正式立案受理。
有技术专家分析认为,人脸数据比其他数据都要更敏感。因为和指纹、虹膜等生物特征信息不同的是,人脸识别不仅具有不可逆的唯一性,还有一个特点需要特别注意,人脸识别可以在不依赖用户配合的前提下捕捉,无需像指纹那样接触就能录入。
也正是基于现实中存在的一些风险,郭兵认为,如今很多场景采用人脸识别是缺乏的必要性,面部特征等个人生物识别信息属于个人敏感信息,一旦泄露、非法提供或者滥用,将极易危害包括原告在内的消费者人身和财产安全。
是否涉嫌侵犯消费者权益?
园方称出于提高通行效率等因素使用人脸识别技术检票,此举法理依据充足吗?是否涉嫌侵犯消费者权益?
颜三忠:园方是在未经消费者同意的情况下,无权单方面作出改变进园方式的决定。《消费者权益保护法》规定消费者有知情权和自主选择权,在服务期间未经消费者同意,单方面改变消费方式,而且是似乎带有强制性的刷脸进园,显然构成对消费者知情权、自主选择权的侵犯。
朱巍:人脸识别不单纯是技术,更重要的是,人脸识别关联的是个人信息。如果未经允许,强制性将检票方式更改成人脸识别,这就意味着,必须事先采集用户脸部特征信息。按照网安法和消保法等法律规定,未经用户和消费者同意的采集个人信息的行为是违法行为;强行采集、强迫使用等行为,属于违法、侵权或违约行为。用户可以依法采取拒绝权、注销权、退出权、更正权和自由选择权。
刘胜波:首先,园方是无权强制消费者进行人脸识别的,因为消费者购买年卡时并没有要求进行人脸识别;其次,购买年卡时没有要求进行人脸识别,现园方在履行合同过程中强行要求进行人脸识别,明显涉嫌消法中对信息主体自由选择权的剥夺。
是否构成侵犯个人隐私?
强行采集人脸图像或视频信息等个人数据,是否构成侵犯个人隐私?
颜三忠:人脸识别技术不仅用来抓取个人的面部生物信息,并且可以与既有数据库中的相应数据相比对,它还能进一步追踪到个人的身份信息、日常的行踪轨迹、人与车的匹配、亲属关系的匹配等。它属于人工智能范畴,随着技术的进一步发展,经解读与分析而得出有关涉隐私的信息,可想而知会越来越多。多到足以为任何个人勾勒准确的用户画像,属于公民个人信息,也涉及公民的隐私问题。
刘胜波:人脸图像或视频并不属于隐私,只是由于技术的发展使得人脸识别或指纹成为一种开启简便生活方式的“钥匙”,而且这把“钥匙”具有唯一性、便捷性等特点。也正是由于这把“钥匙”的特殊性,才将人脸识别或指纹赋予了新的含义,即“开锁”功能。虽然信息主体有权拒绝这类信息被采集,但现实情况往往是被迫接受。
谁有权采集指纹、人脸信息?
近些年,人脸识别技术的使用越来越普及,那么,哪些主体在什么情况下有权采集个人指纹、人脸等信息?
颜三忠:目前,由于缺乏个人信息保护法,对于人脸识别技术产生的个人信息收集主体,缺乏明确的法律规定。在强制收集方面,相关法律只规定了警察办理案件收集信息,民航、铁路部门安检可以强制收集。至于非强制收集方面,在没有明确法律依据的情况下,必须征得个人同意。
朱巍:人脸信息等生物信息性质属于个人信息,是敏感信息范畴,不是什么主体都能采集获取的。安全保障技术方面,要依法先做出评估;伦理方面,应事先充分告知用户;合理使用方面,要符合合法性、正当性和必要性基本原则;用户权益保障方面,应为用户维权提供畅通渠道。
刘胜波:采集指纹最常见的是公安机关,公安机关采集指纹是有法可依的。现在市场上的企业或机构采集指纹是否合法,并没有相关法律规定,“法无禁止即可行”这是法律原则。所以,就目前情况看,采集指纹并不违法,但被采集人授权是一个大前提。
被采集方有哪些法律救济途径?
如果后期出现采集方管理不当致所采集信息泄露,对相关信息主体造成了影响,采集方需要承担哪些责任?被采集方又有哪些法律救济途径?
刘胜波:采集方应承担的责任通常有两种,民事责任或刑事责任。现在普遍的可能是民事责任,不过因为个人信息泄露而被追究刑事责任的情况已经越来越多。无论是民事还是刑事责任,其实举证是很难的,因此还是要做到防范于未然。
颜三忠:泄露个人信息,可能涉及三种法律责任:一是民事侵权责任,依据《民法通则》以及《侵权责任法》规定,侵犯个人信息依法承担民事责任;二是行政法律责任,由相关行政执法主体给予警告、治安拘留、罚款等行政处罚;三是刑事责任,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的依法追究刑事责任。
在法律救济方面:一是亟须制定个人信息保护法,明确保护范围和收集使用保护原则和侵犯个人信息的法律责任;二是强化个人信息收集主体法定义务,明确责任,加大违法惩罚力度,提高违法成本;三是监管部门切实加强对经营者收集使用个人信息的监管力度;四是发挥消费者权益保护组织的维权作用;五是加大司法保护力度,畅通诉讼渠道,简化诉讼环节。
朱巍:采集信息的主体,按照《网络安全法》对平台主体责任的规定,平台应承担包括技术、制度和伦理等方面的网络信息安全保障义务。一旦出现泄露风险,平台不仅要向主管部门及时报告,还要采取补救措施,而且要及时告知被采集者。平台不履行安全保障义务不仅要承担民事赔偿责任,而且还可能面临行政处罚和刑事责任。
采集个人信息需遵循哪些规则?
在保护隐私权方面,采集个人信息需要遵循哪些规则,又伴随着哪些义务?
颜三忠:个人信息采集要遵循三个原则:一是合法原则,收集使用个人信息必须有法律依据,收集使用行为必须合法,收集用户信息应当向用户明示并取得同意,要对用户信息严格保密,建立健全用户信息保护制度。消费者权益保护法、电子商务法等法律法规对公民个人信息保护都有详细规定。二是正当原则,收集使用个人信息,不应强迫用户授权,或者以默认授权、捆绑服务、强制停止使用等不正当手段变相诱导、胁迫用户提供个人信息。三是必要原则,要求信息收集者自我限制信息收集范围,不应收集不必要的个人信息。信息收集者应主动增强服务透明度,清楚给出收集使用个人信息的理由,说明收集使用个人信息对所提供服务的必要性。
朱巍:隐私保护方面,最核心的是安全性、可控性和道德性。安全性指的是采集者安全保障义务履行能力;可控性指的是技术发展与安全的关系,最大程度避免个人信息泄露;道德性指的是包括大数据、云计算、算法、人工智能等技术,在法律责任之外,更要主动承担社会责任和道德责任。
刘胜波:采集个人信息需遵循的规则我认为有三个,一是自愿规则,二是保密规则,三是可选择性规则。
关于泄露信息,目前可能主要寄希望于采集方的自律,作为采集方而言,诚实信用是首位的,其次是安全保密问题,其实安全保密不仅仅要求采集方不泄露,还要求采集方要保护被采集信息,不被非法窃取。
