如何保护我们的脸？专家建议:利用行政监督引导技术进步

2021-04-13 15:08

原标题：如何保护自己的脸？不再担心“脸在哪里？”

如今，人脸识别的应用已经渗透到社会生活的方方面面。在工商、人类社会、交通、金融等政务领域编织了一张大网后，又“进军”了公园门禁、会员识别、员工考勤等业务领域。

人们在享受“刷脸”带来的便利的同时，也担心“侵犯隐私”、“信息泄露”的隐患。

从国内“人脸识别第一案”到清华大学老董岩教授维权，从5000多张人脸打包卖给售楼处偷偷使用人脸识别，“人脸识别技术侵犯个人信息安全”的案件屡有披露，总能撩拨人们警惕的神经。

所以个人信息如何在发挥价值的同时不被非法获取或利用？如何理清人脸识别技术的应用边界？如何通过立法和监管更有效地保护自己的脸，让广大市民不再担心“脸在哪里”？这些都是急需关注和解决的问题。

《民法典》提出合法性、正当性、必要性三大原则

大数据时代，个人信息被誉为“新时代的石油”。人脸信息是高度敏感的个人信息，人脸识别技术是基于人体面部特征信息及其不可改变的特征的生物识别技术。该技术还具有非接触、交互性强、高效快速等优点，符合人类识别习惯。

目前，人脸识别技术越来越成熟，应用场景越来越广泛，成本也在降低。有生命体征的人被转化为一系列代码，面临着被替换和被欺诈使用的风险。

今年3月，清华大学教授老董岩在社区访问控制问题上更加谨慎。因为她所在的小区实施了安装人脸识别门禁的方案，所以她专门写了一封法律信，发给物业公司和居委会，提请他们注意人脸识别的潜在风险。最后，社区除了“刷脸”出入境方式外，还增加了刷门禁卡和手机的方式。

此前，保护个人信息的专门立法一直没有出台，使得“强制刷脸是否合法”的问题进入了一个相对尴尬的境地，而今年产生的《民法典》在一定程度上填补了这一领域的空白。

《民法典》规定，个人信息应当按照合法、正当、必要的原则处理，不得过度处理。然而，在适用相应的法规方面仍然存在许多困难。老董岩认为，除了个人授权，个人信息在存储和使用方面都要有明确的定义。“《民法典》只能做更一般的规定，以后还需要一些详细的规范。”

中国信息安全研究院副院长左晓东表示，由于人脸识别技术的应用场景很多，需要专门的文档来规范。“比如，人脸识别技术应用的‘正当必要’是什么？这需要特别的规定。”

仍然需要标准化人脸识别的不同场景

2020年10月13日第十三届全国人民代表大会常务委员会第二十二次会议首次审议《个人信息保护法》。9天后，中国人大公布了《中华人民共和国个人信息保护法》，并公开征求意见。

与《民法典》相比，《个人信息保护法》深刻总结了《民法典》等法律法规和《网络安全法》等国家标准的实施经验，更具体地规定了个人信息保护的原则，将个人信息保护实践中的有效做法和措施提升到法律规范。

但是，有些规定仍需进一步讨论和调整。对此，中国社会科学院大学互联网法律研究中心执行主任刘晓春表示，目前，由《个人信息安全规范》，0

同时，她也认为，目前人们对于因保护不力导致的人脸信息被收集后泄露的担忧更多的是猜测，没有证据表明目前为止人脸被滥用和泄露已经形成明显的趋势。因此，在风险可控的情况下，信息的收集、处理和保护是适当的，人脸识别作为身份验证的手段，不能被视为“洪水猛兽”。

在她看来，个人信息销售的黑色产业链是个人信息中最具威胁性的部分，以黑客犯罪活动为代表的个人信息销售已经成为产业链。暗网出售个人信息的行为称为“黑生产、灰生产”。犯罪分子会在侵犯个人信息的基础上进行欺骗或传播非法内容。

2019年以来，在人脸识别技术不断更新和迭代的同时，非法泄露和出售的人脸信息数量也有所增加。近日，上海检方起诉一起涉案金额超过5亿元的虚假发票案件，引发了一起非法人脸识别案件。

本案中，犯罪嫌疑人首先以每张30元的价格向他购买他人的高清头像和身份证信息，然后利用“现场照片”APP对高清头像进行处理，使照片“移动”，形成点头、摇头、眨眼、张口等动作视频。然后用经过特殊处理的手机“劫持”相机。人脸认证时，手机摄像头不会启动，系统获取之前做的视频。系统会以为我在摄像头前，最后通过认证完成了“箱包公司”的注册，用来给别人开具普通增值税发票。根据犯罪嫌疑人的描述，它破解的应用范围很广，涉及政务、安全、金融、支付、生活消费等用户量巨大的应用。每单破解价格从25元到300元不等。

专家建议：利用行政监督引导技术进步

刘晓春指出，个人诉讼在中国仍然存在很大障碍。关键因素是在取证方面，需要证明网站、平台、社区收集了人脸数据并造成了损害。取证过程难度大，成本相对较高。普通人可能不具备取证所需的专业能力。所以面子信息被盗，损害个人利益。在没有实际损害的基础上，个人很难有起诉的动机。

人的起诉目的带有公益性质，起到了弘扬社会责任感的示范作用，超越了个案的意义。但这种案例无法大量复制，我国诉讼制度本身无法提供匹配的集体诉讼支持。

此外，在国内外的法律中，法定的赔偿制度是很难证明损害金额的。就中国的具体情况而言，《民法典》的内容作为主要的赔偿依据，但法律上没有更有针对性的相关规定。刘晓春认为，长远来看，我们现在仍要继续推动人脸信息的相关立法，补足生物识别监管合规要求的空缺，推动技术标准的制定，建构完善的侵害认定的司法规则。

总而言之，针对于国内外案例和法案探讨如何保护“我们的脸”的问题，多位专家建议，除了立法，在执法层面也要针对个人信息泄露的事实现状进行针对性的执法。

此外，在企业层面还需强化企业自律，在获取和使用个人信息时遵循合法、正当、必要三原则；同时，提升企业在大数据环境下的网络安全防护技术；以及规范应用隐私条款，为用户删除数据、注销账户提供渠道，明确告知用户争议解决机制等。

最后，在个人层面。一方面，要注意留存大数据杀熟、动态定价、价格操纵和个人信息泄露的相关证据；另一方面，应了解我国个人信息保护的相关法律，依法维护好自身权益。

中国电子技术标准化研究院网安中心测评实验室副主任何延哲表示，整体而言，现在还是摸着石头过河，但希望技术应用能够有利于经济发展，也有利于社会进步，所以我们需要通过行政监管的手段引导技术向善，坚持好安全发展相统一的原则。