2020年11月20日,国内备受瞩目的“人脸识别第一案”一审公开宣判,法院认为被告“收集人脸识别信息,超出了必要原则要求,不具有正当性”,最终判决“赔偿原告合同利益损失及交通费共计1038元,删除原告办理指纹年卡时提交的包括照片在内的面部特征信息”。
至此,备受关注的人脸识别首个司法诉讼案件有了阶段性的结果,但围绕人脸信息的采集使用以及人脸识别技术的应用所展开的讨论则远远没有结束,其中涉及到诸多法律和技术细节有必要进一步研究,笔者作为该案原告方代理律师就此问题继续做一些展开和说明,供业界讨论。
一、一些技术事实
个人信息中有一类被特殊定义的信息叫做:“个人敏感信息”,这是一个不小的进步,最早是国家标准提出了这一概念,《个人信息保护法》草案也用一节的篇幅作出专门规定。
为什么说这是一个进步,跟个人隐私相比个人信息更多的具有财产和商业属性,通俗地讲就是可以拿来换钱、换服务、换效率,但是从交易的角度,个人敏感信息的交易对于信息主体而言需要慎之又慎,这类信息的“不可再生性”和“稀缺性”远胜于其他一般个人信息,也正因如此,作为交易相对方的信息收集者(控制者、使用者)对其有更强的交易欲望,并愿意为此承担更高的法律风险,人脸识别第一案是个典型的例子,动物园为了拿到信息采取“隐瞒+强制”手段,跟很多小区不刷人脸就不让进门的做法如出一辙。
面部(人脸)识别信息之所以具有代表性,是因为如果你的一般个人信息被滥用了,你可以更换手机号、姓名、住址,但换一张脸的成本是普通人难以承受也没有必要的,这跟我们平时为了变美所做的整容不是一个概念。
因此,《个人信息安全规范》里把“个人敏感信息”定义为:“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致 个人名誉、身心健康受到损害或歧视性待遇等的个人信息”,《个人信息保护法》草案也沿用了这一定义(叫“敏感个人信息”)。
(《个人信息安全规范》中对个人敏感信息的举例)
面部(人脸)识别信息跟指纹等虽同属“个人生物识别信息”,但又有明显的区别,人脸信息在采集和使用环节都是“非接触式”的,指纹采集和使用都需要你伸出手指,这时候你是明知的,伸不伸手就代表了你的态度,但理论上只要你走在外面,你的脸也许就已经被收集和使用了,对方不跟你打招呼你也无感,所以更加值得关注。
中国人都好面子,但在面部识别信息的问题上似乎没有那么高的热情,现实生活中大量或强制、或隐蔽的收集人脸的场景我们半推半就的也就从了,所幸还是有少数较真的人站了出来,人脸识别第一案的原告郭兵算一位,清华大学的劳东燕教授算一位,他(她)们清楚人脸识别问题的重要性。
网上有个大V竟然发了个视频,号称从技术角度解释说人脸识别只是采集了面部特征不存储人脸,根本没有安全问题,甚至声称那些法律人对这个问题揪住不放是没有技术常识。那我们就来看一下,人脸识别的技术原理。
为了避免转述的不准确,我把《人脸识别——原理、方法与技术》一书[1]中对人脸识别基本原理的介绍直接引用如下:
该书中同样提到了:“人脸识别的优点:其他生物特征识别方法都需要一些人的行为配合,而人脸识别技术不需要被动配合;可远距离采集人脸”[2],与前文我说的“非接触”特征一致。
另外,中国信通院安全研究所与百度联合发布的《人脸识别技术在app应用中的隐私安全研究报告(2020年)》,对于人脸识别技术的介绍:“从采集人脸到辨识人脸的整个流程上来看,人脸识别技术一般包括:人脸图像采集及检测、人脸特征提取(关键点提取)、人脸规整(图像处理)和人脸识别比对等”,与《人脸识别——原理、方法与技术》一书记载的原理基本一致。
再看清华大学计算机系-中国工程科技知识中心发布的《2018人脸识别研究报告》技术篇的记载:“人脸识别技术原理简单来讲主要是三大步骤:一是建立一个包含大批量人脸图像的数据库,而是通过各种方式来获得当前要进行识别的目标人脸图像,三是将目标人脸图像与数据库中既有的人脸图像进行对比和筛选”,原理基本一致。
由此可见,人脸识别技术服务提供者必须先掌握的你的面部特征,例如两眼之间的距离、鼻梁的高度等等,这些特征被记录在数据库,一旦你再次进行识别的时候,将提取到的特征与数据库中记录的特征对比判断是否一致,进而完成付款、开门、打卡等等动作。
这些特征数据就是所谓的面部识别信息,一旦泄漏,完全可以通过“反向工程”的方式做出一个你的脸,然后拿去刷脸验证,完成各种操作。《人脸识别技术在app应用中的隐私安全研究报告(2020年)》中就记载了这样一个判例:“浙江省衢州市中级人民法院判决书显示,从2018年7月份开始,被告人张富、余杭飞等四人以牟利为目的,使用其购买的公民个人身份信息注册支付宝账号,并使用软件将公民头像照片制成公民3D头像,从而通过支付宝人脸识别认证。通过这种方式来获取支付宝提供的邀请注册新支付宝用户的相应红包奖励,并获利4万元,现已判刑”。
所以,人脸识别技术没有安全和隐私风险的说法显然是不成立的。
二、越敏感的信息越值钱
前面我们提到人脸识别不同于其他生物识别技术,“非接触性”特征使得这种收集和验证方式非常简单易操作,随之带来的是互联网领域一再强调的“用户体验”,不需要“打扰”用户就能把事情办了,从产品经理的视角看简直是再完美不过的技术方案。
于是我们看到,人脸识别技术的应用速度远超过其他同类方案,苹果手机花大力气开发的指纹识别技术只部署了两代手机就基本上弃之不用了,改为面部识别。
日常生活中,我们已经习惯用人脸解锁手机、支付、收快递、出入小区公园等各种场所、进站检票、住酒店、上班考勤、办理贷款等等,商场也开始用摄像头检测人流量和商家热度,跟踪消费者轨迹。理论上所有涉及到身份识别的场景都可以而且必将使用人脸识别。媒体报道,国外竟然有学校使用人脸识别技术进行无人监考,机器通过人脸检测来判断是否有人作弊,准确率还挺高的。
所以,人脸识别在行业应用中的效果是显而易见的,并且大多用于高频刚需、高附加值的领域,这使得技术的使用者有巨大的动力收集人脸信息。
与之相对应的,用户对人脸信息的控制能力却同样因为“非接触性”特征而大大削弱,在“人脸识别第一案”中,如果动物园不发短信给郭兵要求其提供人脸信息,郭兵恐怕还没意识到这个问题,清华大学的劳东燕教授如果不是居住的小区贴出安装人脸识别门禁系统公告,恐怕也不会“挣扎”一下,他(她)们都是法学教授,有专业知识背景,普通人又当如何。
在数据领域有个不成文的说法:“信息越敏感,意味着越值钱”,人脸识别信息的敏感度和商业价值已经毋庸置疑了,一旦泄漏和滥用可能出现问题的后果至少来自以下四个方面:
1、财产损失
2、人身安全
3、隐私安全
4、网络安全
三、事后补救型立法思路的局限
总结起来,人脸识别领域的特殊现状有三点:
商家有足够的动力去用
用户缺乏控制能力和维权能力
出了问题用户和网络安全都难以承受
这三点现状纠结在一起,使得新技术应用在效率和安全两端出现了明显的失衡。此时,法律就要发挥其不可或缺的作用,来调和这种矛盾了。
就目前的规范来看,与人脸识别正相关的规范就是前文提到的《个人信息安全规范》,遗憾的是这是一个推荐性标准,无任何强制性和法律责任可言。另外就是《刑法》中规定的“侵犯公民个人信息罪”,但刑事手段过于严厉,立案门槛也比较高,通常不会启动。其他《网络安全法》、《消费者权益保护法》等都是原则性的规定了个人信息相关的条款,没有特别规定。
所以,目光的焦点就集中在正在被热议的《个人信息保护法》草案,草案用一节的篇幅规定了敏感个人信息,并且规定了比较有震慑力的法律责任,尤其是对情节严重的违法行为可以没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,一旦跟营业额挂钩,违法成本就高起来了。
但,无论如何,这些都属于事后补救型的规范,必须等出了问题才能启动,考虑到启动的经济和时间成本以及维权者的专业度,恐怕还是难解信息滥用的困局,而前文已经分析了人脸识别技术的特点,除非出了严重的问题这些规定才能真正发挥威力,否则就像“人脸识别第一案”一样,虽然效果轰动,但实际上不过是千元的赔偿,对于商家而言这点钱和潜在收益相比,孰轻孰重简直不用思考就能判断。
因此,笔者认为,人脸识别信息如果想有效的监管和保护,必须同时启用事前监管,出台强制性标准,达到标准规定的安全条件才能够应用此项技术,以便补强用户层面因“非接触性”以及缺乏维权能力而导致的侵权泛滥。
此外,为了弥补个体消费者维权能力的不足,应当及时建立有效的个人信息集体诉讼制度,毕竟所有涉及到个人信息保护的的场景都是针对不特定的多数用户,只有聚集一定的维权能量,才有可能跟作为机构的侵权人相抗衡,并且司法上对于这类案件才更有动力给出严厉的判罚。
注:
1.《人脸识别——原理、方法与技术》王映辉编著,科学出版社
2.《人脸识别——原理、方法与技术》第7页
“人脸识别第一案”一审宣判,听听原告代理律师谈“人脸识别技术与法律的细节”
作者:张延来来源:网络法实务圈

2020年11月20日,国内备受瞩目的“人脸识别第一案”一审公开宣判,法院认为被告“收集人脸识别信息,超出了必要原则要求,不具有正当性”,最终判决“赔偿原告合同利益损失及交通费共计1038元,删除原告