原标题:公共场所人脸识别如何更“正当且必要”
● 被采集人应享有“知情-同意”权
● 承担教育与监督功能可能适得其反
● 应对不同应用场景设置“准入条件”
人脸识别等人工智能的新技术,在给日常生活带来便利的同时,也带来了隐私、安全、伦理等方面的考量。
今年8月底,中国药科大学全面引入人脸识别技术,用于门禁、试点教室刷脸考勤、学生课堂听课情况,很多人对教室里无时无刻的监控感到恐惧;
近日在杭州,一位法学副教授被野生动物园强制使用人脸识别入园,一怒之下将后者告上法庭,该案被称为“中国人脸识别第一案”;
2017年,北京天坛公园在3座公厕中安装了6台人脸识别厕纸机,以此杜绝偷厕纸的行为,现在或已撤下或成摆设……
自2014年以来,我国人脸识别市场规模始终保持高速增长趋势,且人脸识别技术在各行业的应用渗透不断深入,但所有场所都适合应用人脸识别技术吗?南都个人信息保护研究中心近日对此发布了调研结果。
没有想象的那般美好
随着国内智慧城市的深入发展,人脸识别在数据采集上的阻碍大大减小,提升了人脸识别的质量与应用领域。越来越多高校、医院、社区、景区、机场、火车站等,都在推广“刷脸”通行。清华大学新闻学院教授沈阳曾对媒体提到,中国人平均每天要暴露在各种摄像头下超过500次。
“人脸识别应用落地后还存在诸多问题,无论是在便利性还是安全性的提升上,都远非应用者原本所预想地那般美好。”南都个人信息保护研究中心结合线上问卷和线下实地调研发布的《人脸识别落地场景观察报告(2019年)》(以下简称《报告》)得出了这样的结论。
公租房小区是实地调研的场所之一。从去年开始,北京的部分公租房项目陆续启用人脸识别,借此防范公租房违规转租转借行为。《报告》显示,从线上问卷来看,在公租房场景下使用过人脸识别的公众表现出较高的认可度,同意有人脸识别后更加方便或安全的均占六成以上。
但实地调研时却发现一些情况,南都个人信息保护研究中心研究员冯群星介绍说:“主要体现在三方面:因管理出现漏洞,而导致设备形同虚设;因摄像头太高,对残障人士不友好;安全技术不过关,用照片可以刷门禁。”
在对北京的多所商场进行调研后,冯群星团队发现,商场的主要问题是没有向顾客做到充分告知并征得知情同意。目前的行业管理是在店内贴上“内有监控”的标识,但很多商场不会贴,有的厂商甚至故意把摄像头安装得隐蔽一些,从而在“不影响”消费者购物体验的情况下获取消费数据。
“人脸识别进校园”,目前受到的社会争议最多。《报告》显示,人脸识别在校园使用的广泛程度远远超过媒体的报道;在校园中,最主要的应用是门禁和考勤;此外,还应用于检测学生的抬头率和前排就座率,从而监测课程质量。同时,多家教育机构在宣传资料中声称可通过人脸识别掌握学生情绪。对于未成年人这一特殊群体,“是否侵犯学生隐私”的讨论不断出现。
公共厕所场景使用人脸识别似乎更加荒唐,因为其设置的初衷是为了限制同一个人的取纸次数。有学者认为,人脸识别厕纸机不符合正当、必要原则,是典型的技术滥用。冯群星则表示,调研走访北京的一些此前设置厕纸机的公厕发现,有的已经消失,有的机器处于维修状态。
存在监管灰色地带
《报告》整体显示,人脸识别确实给社会生活增添了诸多便利,也获得了公众的认可,但在部分问题上有待完善。
首先在便利性上,《报告》显示,在各个场景下,同意有了人脸识别更便利的受访者均占六成以上,但人脸识别的准确率和灵敏度是需要进一步提升的问题。冯群星介绍,据受访者反馈,帽子、眼镜、化妆、光线、角度等因素都会影响人脸识别的准确率。
其次在安全性方面,在个人信息泄露频繁的态势下,公众对人脸识别存在隐忧。79%的受访者担心系统运营者安全能力欠缺导致人脸信息泄露,65%的人担心换脸视频等网络虚假信息增多,50%的人担心不法分子利用伪造信息实施诈骗或盗刷。
再有,在透明度方面,冯群星表示,在调研中发现,许多场景下的人脸识别设备都没有提供隐私政策或用户协议,公众无法在充分知情同意的前提下使用。《报告》显示,在公租房、交通、校园、商场等场景下,都各有半数以上的受访者表示没有签署隐私政策或不清楚是否签订了隐私政策。“这意味着,一旦发生信息泄露,用户难以要求网络运营者提供合理的处置或救济措施。”
此外,四成以上的受访者不知道自己的人脸数据怎样被储存。在“是否希望系统运营者为自己提供查看或删除人脸数据的渠道”这一问题下,83.37%的受访者选择了“是”,呈现出压倒性的占比。
“一般而言,网络运营者会在隐私政策中明确其收集的个人信息的类型、范围、约束和管理准则、安全措施等。这相当于为用户提供了一份承诺和保障。然而,人脸识别应用涉及线上线下,技术先行、法律滞后,带来了监管的灰色地带。”冯群星无不担忧地说。
《报告》特别指出,人脸识别产品或服务厂商在宣传时常常主打“无感”,即用户没有感知。对于数据的收集者和使用者来说,“无感”也许是件好事,但对于用户来说,这无疑是一种技术的不公。
应确定使用必要性和使用范围
在欧盟,人脸作为个人敏感信息的一种,受到GDPR(通用数据保护条例)有关规定的保护。而在中国,尚没有专门的个人信息保护法。当消费者面临人脸识别纠纷时,只能结合具体情况,依据《网络安全法》《消费者权益保护法》《侵权责任法》等提出异议。
如何规范人脸识别应用?《报告》显示,70.49%的受访者认为应设立专门的监管机构,60.72%的受访者认为要加强相关立法,还有43.7%的受访者认为应限制人脸识别的使用场景。
中国人民大学法学院副教授丁晓东对此表示,人脸识别可以在某些安全场景中合理运用,但如果过度使用和依赖人脸识别,特别是用人脸识别承担教育与监督功能,有可能适得其反。
研究网络隐私权的北京师范大学新闻传播学院教授徐敬宏认为,法律首先应该严格规定哪些主体具备收集人脸信息的资质,而各有资质的主体在进行人脸信息采集、使用和处理时,均需要遵守“合法性、正当性和必要性”的基本原则,被采集人享有“知情-同意”权。“由此,课堂场景下的人脸信息采集就必须经过被采集人的知情同意,对相关数据的分析和处理也必须经过被采集人的授权。另外,还要严格限制可以接触课堂上采集来的人脸信息的人,不允许将这些信息用于其他用途。”
APP专项治理工作组副组长洪延青将人脸识别的应用场景分为计数、识别、认证、监控、伪造、窥探六大类。他特别指出,使用人脸识别进行计数只是为了区分不同的人,对于计数使用场景,建议企业摒弃人脸识别技术的运用。
“人脸识别就像一把双刃剑,在某些场景甚至弊大于利。”冯群星强调说。
结合调研情况,《报告》建议,政府应对不同人脸识别的应用场景进行利益衡量后,确定人脸识别应用的使用必要性和使用范围。一方面,通过制定法律法规和国家标准,明确企业的从业资质与行为规范,设置准入场景、准入条件,包括“黑名单”“白名单”“推荐名单”;另一方面,制定完善的问责制度,明确处罚构成要件、处罚标准,从而最大限度地防范人脸识别技术的滥用。(富东燕)