近日“人臉識別一定要穿上衣服”的話題引發(fā)熱議。事件的起因是一名博主稱,大家在使用App人臉識別功能時一定要穿衣服,因為“攝像頭不僅僅只采集被識別者人臉的一部分”。這一說法被行業(yè)專家所證實。
在人們看來,人臉識別當然是識別人臉。但實際上,人臉識別圖像上顯示的是人臉,不過后臺能夠看見的畫面已不局限在人臉范圍。這樣的人臉識別采集圖像,的確有“說話不算數”之嫌。進一步說來,如此人臉識別的App在法律上也涉嫌越權或者侵權。
人臉識別的相關應用需要公民肖像做支撐,因此,肖像權是人臉識別過程中最有可能受到侵害的權利。人臉識別只能采集公民主動提供人臉的圖像信息,一旦采集范圍擴大,將人臉周圍的圖像、公民所處的環(huán)境、正在從事的行為等信息進行采集,將侵犯公民不愿暴露的隱私。此外,如果圖像采集者對此信息不當使用,造成了公民社會評價降低,同樣可能侵害公民的名譽權。超范圍進行人臉識別,不僅侵犯公民的人格權利,更是直接侵犯公民對自身個人信息的知情權。公民在使用App的人臉識別功能時,同意將作為個人生物識別信息的面部信息提供給信息處理者。與此同時,公民也應當對于其所提供的信息享有知情權,其應當知曉信息使用的目的、所提供的信息范圍等。
而上述話題之所以引發(fā)熱議,就是大多數App用戶在使用人臉識別功能時,以為僅提供了面部信息,這也是基于“人臉識別”這個概念的基本認知,可以說是常識上的。但行業(yè)內對人臉識別的認知卻不同,認為“攝像頭拍到全入鏡是常識”,還聲稱“用戶應具風險意識”,這種辯解是難以令人接受的。
2019年,國家4個部門曾聯(lián)合發(fā)布了《App違法違規(guī)收集使用個人信息行為認定方法》,其中第三條明確列出了被認定為“未經用戶同意收集使用個人信息”的情形。其中“實際收集的個人信息或打開的可收集個人信息權限超出用戶授權范圍”就構成違規(guī)行為。而人臉識別App超范圍采集公民的圖像信息,顯然超出了公民所能認識到提供的信息范圍,更不可能符合“自愿同意”原則。而對于這樣違規(guī)收集個人信息的網絡運營者、網絡產品或者服務提供者,根據《網絡安全法》的規(guī)定,被主管部門責令改正是前提,并根據情節(jié)的嚴重與否,有可能被處以警告、沒收違法所得、停業(yè)整頓、吊銷營業(yè)執(zhí)照等處罰。
此外,如果侵犯公民個人信息行為的社會危害性較大的話,這種行為也不排除觸犯刑法構成犯罪的可能。我國刑法第二百五十三條之一規(guī)定了侵犯公民個人信息罪,即“違反國家有關規(guī)定,向他人出售或者提供公民個人信息,情節(jié)嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節(jié)特別嚴重的,處三年以上七年以下有期徒刑,并處罰金”,“竊取或者以其他方法非法獲取公民個人信息的,依照第一款的規(guī)定處罰”。該罪覆蓋的主體范圍就包括各種App、網絡平臺等相關信息收集、處理者。
事實上,在此事件曝光后,人們更加擔憂在大數據、人工智能時代的信息權益風險。這樣的風險顯然不能僅依靠用戶的風險意識來解決,而是應該依靠信息處理者的行業(yè)規(guī)范、職業(yè)道德,個人信息脫敏、加密、隱名化等技術加持,以及公權部門、社會等多維度監(jiān)管才行。
不久前,歐盟數據保護委員會(EDPB)和歐盟數據保護監(jiān)督局(EDPS)針對歐盟今年4月發(fā)布的人工智能法規(guī)草案發(fā)表聯(lián)合意見,進一步呼吁在公共場所禁止使用人工智能自動識別包括人臉識別在內的個人生物特征。隨著對個人生物信息保護的認識不斷提高,人臉識別等生物信息識別技術必須加強規(guī)范與安全規(guī)制。信息處理者必須尊重每一個用戶,敬畏法律和權利,謹慎使用手中的技術能力,這才是相關企業(yè)規(guī)避信息風險,維護用戶利益,促進企業(yè)長遠發(fā)展需要樹立的基本理念。
(作者:金澤剛,系同濟大學法學教授)