大数据时代人脸识别信息的保护

期刊: 创新科技研究 DOI: PDF下载

王晓宇

(黑龙江大学 黑龙江 哈尔滨 150080)

摘要

大数据时代,人脸识别技术广泛应用,便利人们生产生活的同时也带来了信息安全隐患。通过人脸识别技术采集的人脸识别信息与个体一一对应,精准锁定,虽高效便民,但也存在相应的信息安全风险,不容忽视。人脸识别信息容易被泄露,而泄露所造成的损害具有不可逆性,必须加强对其的专门保护。对人脸识别信息的采集应坚持必要性原则,坚持知情同意规则,同时做好相应的监督管理工作,完善相关立法,保护人脸识别信息。


关键词

人脸识别技术 人脸识别信息 保护路径

正文


一、人脸识别信息的性质

随着传感器技术、大数据分析以及人工智能技术的繁荣发展,人脸识别技术不断提高并广泛应用于社会各方面,人脸识别信息这一名词也应运而生。2018年欧盟《通用数据保护条例》规定,人脸识别信息是指通过抓取人的面部特征等,进行一定技术处理后形成的能识别到特定自然人的信息[]

人脸识别信息属于敏感个人信息,相较于其他普通个人信息,有其独特性质,具体体现在以下五个方面。第一,直接识别性。财产信息、轨迹信息等个人信息需要结合其他信息资源才能锁定到具体个人,但通过人脸识别信息则可以直接定位到具体个人,无需结合。第二,不可变更性。其他个人信息能够通过一些途径进行修改变更,但人脸识别信息与个人面部特征直接挂钩,一般不能进行变更。第三,造成的损害不可逆性。人脸识别信息和密码都是进行身份验证的手段,但如果密码被盗取可以通过修改密码的方式来防止损害进一步扩大,可人脸识别信息通常不能进行变更,其一旦被盗所造成的损害将是不可逆转的。第四,易于采集性。采集人脸识别信息,有摄像头自动抓拍的模式,因此采集人脸识别信息只要有采集设备即可,不用被采集者完成复杂的配合。第五,不可匿名性。其他个人信息可以通过采取去识别化的手段来阻断被采集的个人信息与具体个人之间的联系,进而完成对个人信息的匿名、隐藏。但人脸识别信息并不能做到去识别化与匿名化。

二、人脸识别信息保护的必要性

(一)人脸识别信息泄露造成的损害不可逆转

人脸识别信息独一无二、不可替换、不可改变,一旦泄露便很难找回作修改或消灭,因此人脸识别信息泄露所造成的损害后果将是终身性的、持续性的,并不可逆转。例如手机软件ZAO,使用者可以将照片上传到软件,然后系统会将人脸替换到使用者选择的影视剧人物形象上并做成动态视频。即使ZAO本身不将使用者数据用作他用或故意泄露,也有被黑客盗取用户数据信息的可能,从而导致平台采集的人脸信息发生大规模泄露,造成损害。另外,人脸识别技术除了可以采集人脸识别信息,还能够对采集积累的信息数据进行统计、分析,然后勾勒出个人画像,分析个人偏好及行为选择,有使人“被透明化”的风险[]

(二)当前人脸识别信息泄露严重

2021年中央网信办发布《关于输入法等33款App违法违规收集使用个人信息情况的通报》,通报了33款 APP违法违规收集使用个人信息的情况,其中包含了搜狗输入法、高德地图等与民众日常生活密切相关的APP,通报中这些APP主要存在的问题表现为“违反必要原则,收集与其提供的服务无关的个人信息”,“未经用户同意收集使用个人信息”。可见,网络平台已经形成了非法获取用户个人信息的成熟模式,熟练地获取并使用用户的个人信息。另外,据媒体报道,我国已经有了售卖平台人脸验证信息的完整产业链,仅需几十元就能购买到身份证正反面照片、手持身份证照片和个人点头张嘴的视频,非法获取人脸识别信息的成本很低。这也反映出我国人脸识别信息已发生较大规模的泄露,保护人脸识别信息已是箭在弦上。

三、人脸识别信息保护路径

(一)人脸识别信息的采集坚持必要性原则

近年来,人脸识别技术的商用范围不断扩大,住宅门禁、校园签到等各式场景大规模应用人脸识别技术。因此,有必要严格审查某些商用情况下采集人脸识别信息的必要性,调查是否存在过度采集人脸识别信息的问题。人脸识别技术的商用并非为了公共利益,因此这类应用不能凌驾于公民的个人隐私之上,商用性人脸识别信息采集必须以保护公民个人隐私为前置性条件。

加强人脸识别信息采集主体自我监管

人脸识别信息的采集主体必须强化自身对人脸识别信息的保护,做好监管工作,防止人脸识别信息的泄露。采集主体要提高风险意识、责任意识,制定数据采集、存储、使用、监管一揽子规范机制,确定人脸识别信息采集过程中的边界,不能越界,依法依规对所采集的人脸识别信息进行安全使用与管理,做好保护工作。采集主体也可以建立人脸识别信息采集使用内部评估监督制度,还可以采取定期举办普法培训等方式,强化工作人员人脸识别信息的保护意识。

(三)坚持知情同意规则

人脸识别信息属于敏感个人信息,是与人身财产相关的重要个人信息。相应地,人脸识别信息使用的知情同意也应严于一般个人信息的知情同意[]采集处理人脸识别信息必须坚持知情同意规则,同时要注意适用该规则的灵活性既要考虑被采集者自由选择也要控制成本,还要照顾到一般主体的数据处理能力[]因此坚持知情同意规则可以从以下两个角度出发第一,人脸识别信息的同意从概括同意向动态同意,允许被采集者选择其想要的知情方式自主决定同意或拒绝,提高在信息采集过程中的参与度。第二,严格禁止知情同意的推定。除非法律明确规定场景推定被采集者作出默示同意,信息采集主体不得作出不利于被采集者的默示推定。

)提供人脸识别信息救济途径

为了能够更好的规范人脸识别技术,保护人脸识别信息,需要完善事后处理机制。从人脸识别信息采集主体角度看,在数据信息泄露的情况下,采集主体除了应立即采取必要措施防止损害扩大外,还需及时告知被采集者。从信息被采集者角度看,应为其提供向第三方监管机构投诉的救济途径,监管机构在一定时间内给予答复。

)利用兜底解释对人脸识别信息进行保护

通常,仅仅被盗拍、盗摄人脸,人们一般不会意识到自己的个人信息被侵犯。只有当这一行为造成对名誉或财产的损害,人们才有可能认识到结果的严重性。《办理信息案件解释》第 1 条关于个人信息的列举并没有提到人脸识别信息,但是应当将其归入公民个人信息。进一步而言,将“非法获取、出售或者提供人脸识别信息五十条以上的”解释为《办理信息案件解释》第5条第1款第10项规定的“其他情节严重的情形”[]。这样,既能够使人们认识到人脸识别信息的重要性,提高人们对这类信息的保护意识,还能够为人脸识别信息保护的司法实践提供指引。

四、结语

人脸识别技术为公共安全、金融、交通管理等工作提供了巨大的技术支持,提高了社会运作效率。不过,我们既要看到人脸识别技术带来的巨大社会效益,也要关注其给个人信息保护以及法律法规带来的挑战。人脸识别信息独一无二,势必要求需要被限制在合理且必范围使用,必须被重点监管,通过完善相应立法来防范系统性风险。对人脸识别信息的采集要坚持必要性原则,坚持知情同意规则。人脸识别信息的采集主体则要加强自我监管,接受第三方机构的监督。此外,还要完善相关立法,明确人脸识别信息的法律属性,加强法律保护。实现充分利用人脸识别技术保护人脸识别信息安全的双赢


...


阅读全文