“中国人脸识别第一案”今日(6月15日)开庭审理。因不愿意使用人脸识别,浙江某大学副教授郭兵以侵犯隐私权将杭州野生动物世界告上法庭。记者从该案代理律师、浙江垦丁律师事务所张延来处获悉,下午1时许庭审结束,案件将择期宣判。

2019年4月27日,郭兵在杭州野生动物世界办理了一张双人年卡。在一年有效期间,可同时通过年卡及指纹不限次数入园。

2019年10月17日,他收到杭州野生动物世界的短信,提示其园区年卡系统已升级为人脸识别,原指纹识别已取消,未注册人脸识别的用户将无法正常入园。

郭兵认为人脸信息属于个人隐私,不同意接受人脸识别,要求园方退卡。工作人员告知如果不注册人脸识别则既无法入园也无法办理退卡手续。

由于双方协商未果,2019年10月28日,郭兵向杭州市富阳区人民法院提起诉讼。同年11月3日,杭州市富阳区人民法院正式受理此案。

大数据时代,如何保护我们的脸成为一个迫切命题。

北京师范大学网络法治国际中心执行主任吴沈括认为,人脸识别技术必须在法律和有关部门的监管之下。如果没有相应法律和机构“主持公道”,个人信息保护只能无限被迫向技术妥协。

目前,《个人信息保护法》的立法已经启动。郭兵称,希望该案能对这部涉及个人敏感信息的立法有影响。

追问1:人脸识别技术是否被滥用?

目前,人脸识别应用场景遍布日常生活,机场安检、刷脸支付、不少学校也采用人脸门禁。去年,北京地铁内部小范围测试面部识别技术也引起了不小争议。

郭兵的“动物园刷脸案”将这一问题置于公共讨论:人脸识别技术是否存在滥用?谁能收集、使用我们的生物信息?

全国政协委员、重庆静昇律师事务所主任彭静分析,在实践中,可以使用个人信息的主体主要分为三种,首先是公安机关等基于刑事侦查、犯罪打击等进行的个人信息收集及使用;其次是政府部门基于特定公共利益,比如此次疫情防控,防控部门收集个人信息并用于疫情防控;最后是金融、教育等服务,在符合个人信息保护的前提下取得同意后可以使用个人信息。

对于近年来出现过一些学校、宿舍、图书馆等场所安装人脸识别门禁,并在教室安装人脸识别系统用于日常考勤和课堂纪律管理。“我认为上述行为构成对学生个人生物识别信息的滥用。”彭静说。

她指出,这一方面违反了《网络安全法》关于目的限制和最小化原则,而且处理和使用类似敏感个人信息缺乏合法正当的告知及明示同意程序。“如果换成小学,小学生即使签字也不构成法律上的同意。”

“个人信息的使用必须遵循正当、合法、必要原则。”北京志霖律师事务所副主任、中国政法大学知识产权研究中心特约研究员赵占领表示,尤其对于人脸等个人敏感信息,收集、保管等环节应该有更高的要求。

比如,在收集环节对“必要性”的理解应该有更严格标准,和业务直接相关才能收集, 一般软件不能随便搜集脸部等个人敏感信息。保管的环节,应当采取更严格的技术加以保障,保证个人信息不被非法盗取、泄露、未经同意使用。

吴沈括认为,目前没有相关法律明确哪些机构有权使用人脸识别技术,亟需建立行业准入制度,将以非法盈利为目的、不具备保障人脸信息安全能力等不应或不宜使用人脸识别技术的机构排除,如此才能从源头上保障人脸识别技术的规范使用。

追问2:如何平衡便利和个人信息保护?

大数据时代,无法完全回避提供个人信息以获取一些服务。

赵占领介绍,提供个人信息一种是国家管理需要,比如社交软件实行实名制。另一种则是获取经营者提供的服务。“不提供地理位置信息,那么导航软件、打车软件无法提供服务。个人信息保护需要在商家利益之间寻找平衡点。”

“我们要获得服务都需要让渡一定的个人信息。”赵占领说,但人脸信息属于高度敏感的个人信息,安全风险高、隐患大,一旦泄露很难补救。“我们可以更改账户密码,但我们能换脸吗?”

目前,个人信息保护的法律散见于《网络安全法》《刑法》第二百五十三条、即将生效的《民法典》第一千零三十八条,以及全国人大发布的《加强网络信息保护的决定》等。

彭静介绍,目前针对人脸识别信息的保护,采取的是信息的全周期保护,比如在收集阶段,要遵守知情同意和最小必要原则。新版《个人信息安全规范》要求收集个人生物识别信息的合规更加严格,要采取单独告知的方式和明示同意,不能默许同意;存储阶段,原则上不允许存储原始的个人生物识别信息,而且要求身份识别及认证后要删除。

在共享转让阶段,原则上也不允许共享或转让,确需共享转让要履行单独告知、告知目的类型及接收方身份及数据安全能力等,而且也是明示同意。

吴沈括认为,应该有一套针对人脸信息采集、使用、存储的行业标准确保公众合法权益得到保护,同时防止技术滥用。“除了外部监管,人脸识别机构内部也应当加强自律,在事前、事中、事后采取相应措施,化解公众对于个人信息保护的担忧。”吴沈括说。

追问3:个人信息保护立法还需做什么?

今年5月14日,全国人大常委会法工委表示,《个人信息保护法》正在研究起草中,目前草案稿已经形成。

“如果说这个案子对立法要有什么影响的话,但愿能对这部立法涉及个人敏感信息的相关规定有影响吧。”郭兵称。

刚刚表决通过的《民法典》未对个人敏感信息作出明确界定。彭静认为,需要在《个人信息保护法》中明确界定个人信息、个人敏感信息和隐私之间的边界。法律难以界定时,允许当事人之间在法定范围内约定个人敏感信息,让敏感信息应用更加灵活。

吴沈括认为,应当建立分级管理制度,根据使用目的、使用主体、使用能力、必要性等因素,对人脸识别机构进行分级管理,授予不同权限。

例如,可将人脸信息储存时长分为永久储存、固定期限储存、一次性储存三个等级,国家安全部门和公安部门等机构可永久性储存人脸信息;学校、工作单位等机构可在固定期限内储存人脸信息;公园、动物园等盈利机构只能一次性储存人脸信息。

“突破分级限制,必须取得采集对象和监管机构的双重同意。”吴沈括说。

在实施层面,彭静认为要确定政府、企业、社会、个人等多维度的保护体系。尤其是涉及个人敏感信息的主要主体,即企业,可以考虑对涉及个人敏感信息的收集使用,通过评估、认证、许可等方式加强管理。

“《个人信息保护法》是一个良好的开端,从法律层面奠定了个人信息保护的制度基础,向外界释放出了强烈的信号。”吴沈括说。