“判決杭州野生動物世界刪除原告郭兵相關面部信息,并賠償郭兵合同利益損失及交通費共計1038元……”11月20日,隨著浙江省杭州市富陽區(qū)人民法院的一審宣判,郭兵的朋友們發(fā)來“祝賀勝訴”的短信,但他卻對這起被媒體稱為“中國人臉識別第一案”的一審判決結(jié)果不服,已經(jīng)向杭州市中級人民法院提起上訴。
“一審判決對人臉識別濫用的警示作用不明顯,現(xiàn)在杭州野生動物世界依舊強制消費者‘刷臉’入園。”12月16日,浙江理工大學特聘副教授郭兵告訴中青報·中青網(wǎng)記者,杭州中院已受理其上訴,二審將于12月29日開庭。
人臉信息較于其他個人信息有何特別之處?為何企業(yè)爭相落地人臉識別應用?使用人臉識別這種個人生物信息的邊界在哪里?西南政法大學民商法學院教授張建文對記者表示,“人臉識別第一案”的意義可能僅僅止步于個案,我國個人信息保護的諸多難題、困境依然待解。
逛動物園強制“刷臉”有必要嗎
2019年10月17日,郭兵收到了杭州野生動物世界發(fā)給他的“指紋識別入園方式升級為人臉識別”的短信。有著法學專業(yè)背景的他,對人臉等生物敏感信息尤其關注。此前,他就對酒店“刷臉”入住以及人臉信息安全保障存疑:“如果已經(jīng)核實了身份證信息,基本就可以判定為本人,‘刷臉’并不是完全有必要的。”
10月26日,郭兵來到杭州野生動物世界。“‘刷臉’入園是否為有關政府部門要求?人臉識別設備由哪一家公司提供?”在和工作人員交涉時,他發(fā)現(xiàn)門檢員正用手機為游客“刷臉”,而非專業(yè)人臉識別設備。
“智慧景區(qū)都這樣做。”“今天游客多,手機‘刷’快一些。你放心好了,信息很安全的。”工作人員的回答讓郭兵對園方的個人信息安全保障產(chǎn)生不安的感覺:“萬一因員工安全意識不高或有不法想法,致使我的人臉信息泄漏怎么辦?”最終,在協(xié)商退卡無果后,他選擇了訴訟的方式。
一審中,郭兵提出的要求判定杭州野生動物世界指紋識別、人臉識別相關格式條款內(nèi)容無效的4項訴訟請求,均未得到法院支持。這成為了他上訴的最主要原因。
一審法院根據(jù)《消費者權益保護法》第29條規(guī)定認定,杭州野生動物世界以甄別用戶身份、提高用戶入園效率為目的使用指紋識別具有合法性。根據(jù)《合同法》有關規(guī)定認定,杭州野生動物世界“刷臉”入園這一要約,未對郭兵發(fā)生法律效力。
“照此推定,人臉識別格式條款無疑也是合法有效的,相當于默認了野生動物世界‘刷臉’要求的合法性。這不是‘架空’了相關立法對消費者個人信息保護的法律意義嗎?”郭兵認為,法院未解釋杭州野生動物世界強制消費者使用單一方式入園的“霸王條款”不符合“合法、正當、必要”原則,“如果依據(jù)手機號和姓名完全可以認定入園者的身份,指紋識別和人臉識別就不具備必要性。”
對此,張建文也指出,一審法院并未對人臉識別技術的使用界限、面部特征信息的處理規(guī)范等核心問題進行討論,這與人臉識別技術的特殊性、面部特征信息的高敏感性以及《中華人民共和國個人信息保護法(草案)》(以下簡稱《個人信息保護法(草案)》)的立法走向并不符合。
人臉信息收集缺乏有效規(guī)制 你的“面子”可能在“裸奔”
像杭州野生動物世界一樣,不經(jīng)意見征求就默認個人同意“人臉識別”的現(xiàn)象并非個案。
有媒體報道,一些房企售樓部利用人臉識別系統(tǒng)精準識別出初次到訪客戶,針對性推出購房優(yōu)惠。這看似是讓利消費者,實則是在未告知消費者的情況下私自收集人臉信息,進而實現(xiàn)精準營銷等商業(yè)化目的。
“一些政府部門出于維護公共安全目的使用人臉識別技術,通常不會建立在個人同意的基礎上,當公眾習慣了此種方式,對于商業(yè)領域未經(jīng)同意收集面部信息的行為,自然不排斥、沒有警惕性。”張建文表示。
某“刷臉”支付設備供應商工作人員向記者透露,每增加一個“刷臉”支付訂單,商家會得到相應的返利傭金,所以大多數(shù)商家會首選讓客人“刷臉”支付,“客人也不太會有異議,甚至覺得很好玩。”
“我們的‘臉’太容易得到了。我堅持在第三方技術機構(gòu)見證下,杭州野生動物世界刪除我姓名、身份證號、手機號、照片、指紋等全部個人信息,”郭兵說,“目前對人臉信息收集、應用并沒有現(xiàn)行的規(guī)定和標準,更多依托收集者的道德水平,這很讓人擔心。”最初,一些朋友和家人說他太較真,但他認為,這不是他一個人的事,“引起企業(yè)和社會對人臉等敏感的個人生物信息的重視,案子才有現(xiàn)實意義。”
滯后的立法亟待提速
郭兵和張建文都表示,在《民法典》尚未生效、《個人信息保護法》尚未出臺的背景之下,我國個人信息尤其是人臉等生物敏感信息的保護規(guī)范相對分散,個人通過訴訟維權的難度較大。
令人欣慰的是,面部特征信息處理的限制性規(guī)定在行業(yè)內(nèi)部規(guī)范和地方性立法已有所體現(xiàn)。2020年11月,公安部第一研究所牽頭編制的《信息安全技術 遠程人臉識別系統(tǒng)技術要求》實施,對遠程人臉識別系統(tǒng)中的關鍵環(huán)節(jié)制定了參考標準。日前,工信部也要求App在收集用戶圖片、人臉等個人信息時要遵循“最小必要化”原則。杭州在全國率先啟動了人臉識別禁止性條款的地方立法——《杭州市物業(yè)管理條例(修訂草案)》,明確了小區(qū)物業(yè)不得強制進行人臉識別。將于2021年1月1日實施的《天津市社會信用條例》,規(guī)定了企事業(yè)單位、行業(yè)協(xié)會、商會禁止采集人臉、指紋、聲音等生物識別信息。
“這是實踐正向反哺立法的一種表現(xiàn)。”郭兵參與了《杭州市物業(yè)管理條例(修訂草案)》前期的立法聽證,但他也指出,我國目前還沒有專門針對指紋、人臉等生物識別信息的明確法律規(guī)定。
為此,在《個人信息保護法(草案)》征求意見階段,他提交了一份《關于完善生物識別信息特別保護的意見》,建議提高人臉信息技術應用的門檻,并納入行政許可范疇;對公共安全和公共場所加以具體列舉,進一步明確“公共安全目的”范圍。
在張建文看來,《個人信息保護法(草案)》雖然將敏感個人信息和一般個人信息作了分類,確立了面部特征信息的特殊地位,但在人臉信息處理條件上仍較為寬松。他建議,人臉識別應用各方應強化數(shù)據(jù)安全合規(guī)治理,推動建立行業(yè)自律組織和行業(yè)自律規(guī)范,以彌補行政監(jiān)管的不足。(見習記者 王姍姍)