今年两会,全国政协委员胡诚林建议各部门牵头,根据个人信息保护法、网络安全法、消费者权益保护法等成文法,着手制定《人脸识别数据处理条例(草案)》。这一提案点出了一个“痛点”:技术进步总是比公众共识先行一步,法律规范的出台又要滞后于公众达成共识。人脸识别技术突飞猛进,但公众尚无专门的法律武器“保护自己这张脸”。
人脸识别技术的进化让“刷脸”成了一种时髦的生活方式,但滥用问题从一开始就如影随形。本来刷个卡按个指纹就能解决的事情,一夜之间也要刷脸了。进出小区刷脸,上下班刷脸,乃至取个快递也要刷脸……往往在未经告知与同意的情况下,人脸识别系统就刷走了你的脸。人脸信息一旦上传就无法更改,一次泄露就是永久泄露,处处威胁你的信息与财产安全。滥用人脸识别技术换来的那点便利,恐怕远远比不上人脸信息泄露的风险。
在身份验证、门禁考勤、刷脸支付等场景,很多机构都喜欢使用乃至滥用人脸识别技术,只因管理起来更为便利。然而,人们要为这种“便利”付出何种代价?便利的背后又能否保证安全?这是使用方首先需要回答公众的一个问题。
在2022年的“银行人脸识别系统失守案”中,诈骗分子利用获取的人脸信息,轻易攻破了一位用户的人脸识别系统,将其交通银行卡上的40余万元卷走;而在2019年的“3D人脸动态图破解支付宝案”中,唐某顺利绕开了支付宝的人脸识别系统,骗走了受害人的两万多元资金。目前法院已有的判例显示,人脸识别技术的边界、权责、安全都有待规范。
其次,“便利”又是谁的便利?某互联网大佬说:“中国人愿意以隐私换取便利”。然而,隐私是结结实实的个人隐私,便利可未必就是个人的便利。在2022年的“苏州张女士状告开发商采集人脸信息侵权案”中,张女士的人脸信息俨然成为开发商的“数字资产”,方便了后者“归类”新老客户数据,足以让公众反思人脸识别技术究竟“便利”了谁。
再次,人脸识别技术的普及推广制造了一批“数字难民”。不会用智能手机不会刷脸的老人上公交车、进银行办事,甚至是买个菜上个厕所都“遭遇鄙视”,在数字时代成了无所凭依的“数字难民”,这是变相剥夺了他们的个人权利,反而让他们成了便利的代价。
有效排除这项技术的风险、保护公民合法权益,现有的个人信息保护法等法律还缺乏相应的救济条款。现有的法律已得出了诸如“最小,必要”的人脸信息收集原则。但在更大的尺度上,立法者仍有必要考虑“权责相符”等原则,依据不同的使用场景,赋予公众更为周全的法律武器保护自己的权益。
“权责相符”,也就是确立人脸识别技术的权利主体与责任归属。推出并使用这项技术的个人或者机构,他们享受的便利往往要多于被采集的人。何况在很多场景下,他们采集人脸信息并未得到同意或是授权。就人脸识别技术的具体应用场景而言,利益相关者当然拥有知情权乃至决定权,并监督相关各方善加管理。住宅小区属于全体业主所有,业主有权依据自治原则,集体决定是否在小区内安装人脸信息识别系统,监督物业公司善加管理。而那些不方便或不愿意使用这套系统的“数字难民”,也有权保留其他的出入方式。
在大学里,已是成年人的学生也有权向校方提出建议,尽量慎用乃至不用人脸识别门禁系统。大学终究要服务社会,尽量向公众开放。在大学校园里大量使用乃至滥用“刷脸”门禁,等同于处处画地为牢,有违现代大学的理念;即便是在私营企业,老板在安装人脸识别系统时仍有必要征求员工的意见,尊重员工的知情权,保护员工的隐私权。老板使用这套系统既然方便了企业管理,那么从中受益的同时也有责任保障员工的个人信息不致泄露。
《中华人民共和国个人信息保护法》规定:在公共场所安装图像采集、个人身份识别设备,应设置显著的提示标识;所收集的个人图像、身份识别信息只能用于维护公共安全的目的。这则法律条文无疑体现了“最小,必要”原则,各地陆续开始销毁“健康码”正是基于这条原则。但胡诚林委员的提案也显示,未来的专项立法还应突出“知情、善管”与“权责相符”的精神,尽快遏制人脸识别技术滥用的势头。
王兢
