007:X·15消费者权益保护特刊
 
前一天  后一天

数字版首页 > 第007:X·15消费者权益保护特刊

法律人士:个人信息保护难在落实上

滥用人脸识别存在法律风险,有律师称,“没有人否认个人信息应受保护,但如何去保护却难以落实”

2019年11月19日 星期二 新京报
分享:
陈立彤
赵虎
吴沈括
赵占领

  人脸信息,作为人体重要的生物信息,在技术发展的推动下,已经应用到支付、娱乐、安防、教育等各个生活领域。技术是一把双刃剑,人脸识别作为一项高新技术,人们在体验其为生活带来便利的同时,也不能忽视其带来的信息安全、隐私泄露等问题,更不能对其带来的法律风险视而不见。

  也正因此,人脸识别技术在应用中遇到了很多争议,从恶搞视频到AI换脸淫秽视频,从刷脸购物到乘车安检,有人乐见人脸识别技术的落地应用,有人担忧技术带来的隐患和风险。

  在此背景下,新京报记者邀请联合国网络安全与网络犯罪问题高级顾问吴沈括、北京志霖律师事务所副主任赵占领、大成律师事务所高级合伙人陈立彤、中闻律师事务所合伙人赵虎等,围绕人脸识别技术在应用中带来的争论、法律风险等问题展开讨论。 

  1 人脸识别应用的争议有哪些?

  吴沈括:最近一两年,随着人工智能的爆发,人脸识别技术以其不可复制性、非接触性、可扩展性和快速性等特点在多种生物识别技术中脱颖而出。人脸识别带来的便利不可忽视,然而,技术的发展没有边界,但技术的使用必须有边界,可这个边界是模糊的。哪些场景可以应用,哪些领域可以扩展,均无明显规范。因此,当其逾越了边界,自然就产生了诸多争议。

  赵占领:近年来社会公众的隐私意识、个人信息保护意识有了很大提升,加之近年来个人信息保护相关立法不断出现,政府部门也屡屡有监管措施,这使得个人信息保护一直是一个各界高度关注的话题。

  人脸识别、人工智能是新技术,通过该技术收集、使用人脸特征等生物特征信息,涉及技术与法律的冲突、技术应用的边界,尤其是这种生物特征信息一旦泄露,造成的危害巨大,甚至难以采取有效的弥补措施。

  2 滥用人脸识别有何法律风险?

  赵虎:以换脸视频为例,若有人用其谋利,则涉嫌侵犯他人肖像权。同时,可能涉嫌侵犯相关影视作品的制片方的著作权。

  根据我国著作权法的规定,电影和类电作品的著作权由其制片者享有,制片者对作品享有保护作品完整权,即保护作品不受歪曲、篡改的权利。不仅如此,换脸视频还涉嫌侵犯相关人物的名誉权问题;严重者也可能涉嫌刑事犯罪。

  赵占领:有关人脸数据的滥用,存在五种违规或犯罪的可能。一是未经用户同意的情况下收集用户个人信息;二是违反法律规定的必要原则,超范围收集用户个人信息;三是收集用户个人信息之后未按照事先约定的用途、方式使用或转让;四是未尽到网络安全管理义务,由于管理漏洞或技术漏洞导致用户的个人信息被泄露;五是经营者或其员工将用户的个人信息非法转让或倒卖给他人,这也是涉嫌刑事犯罪的行为。

  陈立彤:最高人民法院、最高人民检察院在今年6月1日正式实施的《关于办理侵害公民个人信息刑事案件适用法律若干问题的解释》中明确了侵害公民隐私犯罪行为的具体标准和类型,将公民个人信息安全置于法律保护的最高位阶,在刑事法律上对侵害公民数据权的行为标清了底线。不过,两高司法解释的重点在于打击侵害公民个人信息的“明偷”“明抢”,对于滥用格式条款非法“获取”用户授权,侵害公民隐私权的“暗偷”“暗抢”行为影响却不大。

  这是因为,隐私权作为民事权利,用户也有自我处分的权利,一旦网站搬出已经获得用户授权的“隐私条款”作为抗辩理由,刑事法律就很难认定其为犯罪行为。

  3 收集人脸信息有无相应的法律门槛?

  赵占领:人脸这种生物信息属于个人信息的范围,需要遵守《网络安全法》等相关法律法规的规定。收集、使用个人信息需要符合正当、合法、必要的原则。目前我国还没有专门针对人脸识别技术相关的法律法规,但是在个人信息保护方面有很多的法律。

  其中关于必要原则,一是所收集的信息与所提供的产品或服务本身有直接的关联,比如社交软件需要读取手机通讯录、导航软件需要收集地理位置信息;二是法律本身的要求,必须根据《网络安全法》等法律法规进行操作,例如对于需要实施实名制的领域,经营者要求用户提供身份证相关信息的情形;三是为了改进产品或服务的用户体验,比如地铁、图书馆、景区等场所的经营者为了改进检查效率而引入人脸识别技术收集人脸特征信息;另外有些公权力机构为了维护公共安全、预防和打击犯罪,也使用人脸识别技术,这种也符合必要原则。

  吴沈括:围绕面部特征等个人信息的收集、利用,各国法律大多是以用户的“知情-同意”作为合法的基础。在“知情-同意”的背后,是用户对厂商的授权。授权厂商根据用户“同意”的内容收集、使用个人信息。

  但不可忽视的是,一方面“同意”形同虚设,少有用户会去关注自己到底“同意”了什么;另一方面,在一些场景下,“授权同意”几乎是不可能完成的任务,例如公共场合使用人脸识别技术对人脸影像进行商业性的收集、分析,这样几乎没有获取用户同意的可能。在更多情况下,用户所面临的是如果拒绝提供个人信息,厂商会拒绝提供服务。

  更有甚者,有的时候,用户既不知情,也没法不同意。厂商通过“隐私政策”“用户协议”向用户告知数据利用的范围与方式,用户点击同意,但问题在于“隐私政策”“用户协议”大多佶屈聱牙,难以理解,这样一份重要的协议几乎无人阅读。可以说,各国的“隐私政策”与“用户协议”都更像是一份为了应付监管,而非构建与用户之间法律关系的文件。

  陈立彤:人脸识别技术可用于人员出入管理和城市安防,包括公安抓捕逃犯、小区门禁启用刷脸系统,以及一些商家的VIP管理、大学课堂上“刷脸签到”、当事人身份验证等法律实施和判决执行领域。

  从实践角度讲,互联网时代的数据权相比隐私权而言,更加突出用户对自己数据的“控制权”。除了用户知情权等伦理性权利之外,我国《网络安全法》还特别明确了用户对自己数据的“自我决定权”。该法第43条规定,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

  4 人脸信息采集的法律边界究竟在哪?

  陈立彤:依据《信息安全技术个人信息安全规范》,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,如姓名、出生日期、身份证件号码、个人生物识别信息等。采集个人信息需取得个人信息主体的同意,未经同意,不得转让、共享、加工其个人信息。

  吴沈括:2019年5月,旧金山成美国首个禁止面部识别监控的城市。2019年6月,美国在国会听证会上讨论了对执法部门使用面部识别软件所带来的担忧。2019年7月,萨默维尔市通过了禁止在公共场所使用面部识别软件的法令,成为继旧金山之后全美第二个禁止面部识别技术的城市。同时,瑞典数据保护局(DPA)曾表示面部识别技术违反了欧盟隐私法规“通用数据保护条例”(GDPR)的若干条款,因此会对非法收集数据的校方处以罚款。

  围绕面部特征等个人信息的收集、利用,各国法律大多是以用户的“知情-同意”作为合法的基础。没有人否认个人信息数据应该受保护,但如何去保护却难以落实。部分企业会因为法律为数据保护设定的“过高”要求叫苦不迭,认为增加了合规成本。目前我国需要进一步推进法治化进程,建立相关法律法规,做到有法可依。这是确保技术不被滥用、限制技术的负面影响、真正发挥其促进社会发展作用的关键所在。

  新京报记者 程平 陈维城

更多详细新闻请浏览新京报网 www.bjnews.com.cn