法治观察:上海提出公共场所“不刷脸为原则”,让被滥用的技术回归正途
今年,上海开展了“亮剑浦江·2024”消费领域个人信息权益保护专项执法行动,明确提出公共场所“不刷脸为原则、刷脸为例外”的攻坚目标。
消息一出,舆论一片叫好之声。近年来,刷脸支付、刷脸开门、刷脸进站等随处可见,伴随的却是社会公众对这一现象愈发不满,可谓“天下苦‘刷脸’久矣”。
现状:人脸识别技术被滥用
客观来说,当前人脸识别被滥用的现象非常普遍,有些甚至到了匪夷所思的地步。比如,在健身房的更衣室里安装带有人脸识别功能的摄像头。
今年4月,“益心为公”志愿者向上海市闵行区人民检察院反映了一条公益诉讼检察线索,有家健身房不仅进入时要扫描人脸,打开更衣室的储物柜也必须人脸识别。“摄像头灯一亮,谁敢站在设备前面换衣服?”
更糟糕的是,检察官实地走访发现,健身房入口处及更衣室内均未见采集人脸信息的提示。也就是说,如果消费者警觉性不高,可能直到脱下衣物,才会注意到摄像头的存在。
经过实地走访,检察官认为,在更衣室“刷脸”打开储物柜时,摄像头可能会拍摄到消费者的隐私部位,一旦泄露或者非法使用,极易导致个人名誉、身心健康受到损害。且这种方式与直接刷卡的功能基本一致,不具有法律规定的“特定的目的和充分的必要性”,涉案健身房的做法违反了相关法律法规。
闵行检察院遂向行业主管部门制发检察建议,督促其依法全面履职。该职能部门随即督促涉案健身房采取整改措施,及时查处违法行为,并对辖区内其他类似经营主体进行排查,防止不当收集存储消费者个人信息。
这样的事情绝非个案。报道刊发之后,有读者在评论区留言,表示上海其他区域也有健身场馆存在类似行为。此外,还有自动售货机必须“刷脸”才能买水,商场卫生间“刷脸”出卫生纸、住户“刷脸”才能进自家小区、公寓等现象,每次被曝光都会引发公众一片吐槽声。
更糟的是,很多信息收集者根本不知道该如何对这些数据进行管理。去年,虹口检察院发现区内一家长租公寓强制住户“刷脸”进楼,但未采取保障信息安全相关的必要措施,管理门禁和保存数十万条人脸信息的电脑及主机都没有进行加密处理,门禁系统的账号密码直接保存在电脑中,点击就能登录。
法律:应遵循正当且必要原则
回顾这几年涉及“人脸识别”的事件不难看出,作为一项新生事物,对人脸识别技术的监管也是一个逐渐探索完善的过程。
2019年4月27日,浙江理工大学老师郭兵与妻子向野生动物世界购买双人年卡,并留存相关个人身份信息、拍摄照片及录入指纹。后野生动物世界向包括郭兵在内的年卡消费者群发短信,表示将入园方式由指纹识别变更为人脸识别,要求客户进行人脸激活。郭兵不同意进行面部识别认证,要求退卡。在协商未果的情况下,于2019年10月28日向杭州市富阳区人民法院提起诉讼。
这起案件被称为“人脸识别第一案”,引发广泛关注。2021年4月9日,杭州市中级人民法院二审判决,杭州野生动物世界删除郭兵的面部特征与指纹信息。
但在当时,我们国家其实尚未出台专门法律规范公共场合的人脸识别技术。一个典型案例是,2021年的央视“3·15”晚会曝光科勒卫浴上海部分门店安装具有人脸识别功能的摄像头,消费者只要进入门店,在不知情的情况下,就会被摄像头抓取并自动生成编号。彼时涉事企业被责令改正、罚款,处罚依据是消费者权益保护法的相关规定。
直到2021年11月,国内首部个人信息保护的专门性法律,个人信息保护法正式实施。其中明确经营者采集信息应当遵循正当且必要原则,且收集个人生物识别信息前,应单独向个人信息主体告知收集、使用目的、方式和范围等,并征得个人信息主体的明示同意。
随后上海地方立法要求,在本市商场、超市、公园、景区、公共文化体育场馆、宾馆等公共场所,以及居住小区、商务楼宇等区域,安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著标识。
应该说,目前的法律法规对公共场合使用人脸识别技术有着非常明确且严格的规定,但徒法不足以自行,将监管和处罚落实到位,才是防止滥用人脸识别的关键。
整改:明确公共场所“刷脸”三原则
今年,上海已经开展了有力的执法行动。
5月,在解放日报·上观新闻报道松江区一家游泳馆滥用人脸识别技术后,松江区委网信办协同市场监管、公安网安等有关部门,两次前往泳乐云间游泳馆核实查验、指导整改。这也是市区两级网信部门协同开展人脸识别技术领域执法的首案。
目前,上海已推动全市600余家商超门店,6300余家酒店,70余家公共体育场馆,1200余个游泳馆、健身场所,2900余个公共厕所完成“强制性”、“滥用化”刷脸的自查整改。
需要指出的是,上海正在进行的整改,并非“一刀切”反对人脸识别。人脸识别技术的出现有其积极意义,也确实方便了管理和一部分普通人的日常生活。
实际上,人们讨厌的并不是人脸识别本身,而是这项技术被滥用。
人脸是不可更改的生物信息,自己的人脸信息被收集之后就仿佛进入了一个“黑箱”,谁在收集、多少人能看到、多久会被删除、会不会被用于其他用途,这些关键信息公众往往无法获知,又如何能放心?此外,很多时候公众并未获得“刷脸”之外的其他选项,这种被迫的感觉既让人感到不舒服,也实实在在地违反了法律法规。
在效率和安全之间,需要保持平衡。所以,这次上海确定了“不刷脸为原则、刷脸为例外”“收集端总体减量、存储端确保安全”的总体目标,进一步细化公共场所安装人脸识别设备要遵循“为公共安全所必须”“有法律依据”“做到单独告知”三大原则,并要求公共场所人脸识别设备做到最大可能“退”、最小范围“用”、最小范围“存”。
红线画得越清晰,对相关企业来说也是一件好事。据报道,2024年11月,上海市网信办、上海市市场监督管理局联合申通地铁,以及支付宝、微信支付两家第三方支付企业举行“自动售货机个人信息保护普法培训会”,以问题为导向,以案释法,并同步提供《自动售货机场景常见个人信息保护问题自查清单》供企业对照自查整改。此次培训吸引了在上海运营自动售货机的37家头部经营和运维企业参加,为解决全行业个人信息保护问题打下基础。
(原标题:《法治观察:上海提出公共场所“不刷脸为原则”,让被滥用的技术回归正途》)