- +1
“刷脸验证”应严格限制适用
近日,一则“浙大法学博士拒绝‘刷脸’入园,起诉杭州野生动物世界获立案”新闻报道,刷爆网络。该案因同时有“法学博士”、“刷脸”、“第一起相关诉讼”等标签而备受关注,又被称为“中国人脸识别第一案”。
该案基本事实如下:
浙江理工大学特聘副教授郭兵博士,今年4月27日购买了一张杭州野生动物世界(以下一般称为“动物园方面”)的双人年卡,卡费是1360元,有效期内通过同时验证年卡及指纹方式入园。今年7月,动物园方面将人脸识别检票系统引入,拆除了原来的指纹检票闸门。10月17日,动物园方面向年卡用户发送了一条信息,称:园区年卡系统已经升级为人脸识别入园,原指纹识别已取消;即日起,未注册人脸识别的用户将无法正常入园。
作为年卡用户,郭兵收到了这条短信。10月26日,他前往动物园那里核实,发现广告牌都明确要求进行人脸识别。他向对方表示不同意采集人脸信息,但得到的答复是必须进行人脸识别,年卡才能继续使用。他想要退卡,但动物园方面表示,只能把他已经进园次数的相应费用扣除,将剩下的钱退还。
郭兵表示不能接受:“我买年卡后都进园可能有5次左右,换算成人进园5次再退剩下的,这样一弄,我难不成还要倒贴钱吗?”(成人票一次220元。)
10月28日,郭兵向杭州市富阳区人民法院提起了诉讼,在起诉状中,他叙述了事情的经过,起诉要求是全额退卡。11月1日,法院正式决定立案受理这起案件。郭兵对媒体表示:“我起诉主要不是为了赔偿经济损失。我个人认为目前人脸识别技术应用存在不确定的安全风险,需要进一步加以规范。”
本案的争议焦点是,动物园方面能否单方更改入园方式?
从合同法的角度来看,动物园方面在原初的年卡合同缔结之后,在履行过程中单方更改游客入园方式,若游客不配合即拒绝游客入园,此举明显属于违约。就此而言,郭兵要求解除合同,全额退卡,有事实和法律依据。
不过,从新闻报道来看,在郭兵与动物园方面交涉后,后者曾同意为郭“特事特办”,允许其凭借年卡和身份证双重验证入园。如此一来,本案很可能以郭兵败诉或双方和解告终,从而使得其意图使“企业刷脸技术应用之正当性经受司法检验”的目标落空。
企业是否有权收集用户面部数据?企业能否强制推广刷脸方式的身份验证?现行法律并未直接提供答案。《消费者权益保护法》第二十九条规定:“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。”但这一原则性规定毕竟较为含糊和概括,通常无法单独成为裁判依据。只不过,大体上判断,动物园方面单方决定收集用户面部数据,既谈不上合法和正当,更谈不上具有非此不可的必要性。
从比较法的角度来看,这个问题的答案会清晰得多。
欧盟颁行的《通用数据保护条例》(GDPR)第4条第(14)项对“生物识别数据”进行了界定,即:“‘生物识别数据’是通过对自然人的物理、生物或行为特征进行特定的技术处理得到的个人数据。这类数据生成了那个自然人的唯一标识,比如人脸图像或指纹识别数据。”很显然,面部数据属于典型的生物识别数据。
GDPR第9条(特殊种类的个人数据处理)第1款规定:“对揭示种族或民族出身,政治观点、宗教或哲学信仰,工会成员的个人数据,以及以唯一识别自然人为目的的基因数据、生物特征数据,健康、自然人的性生活或性取向的数据的处理应当被禁止。”第2款列举了十种不适用第一款的情形。
简言之,据GDPR的规定,除非获得数据主体的明示同意,或基于公共安全、科学或历史研究或统计目的、医疗预防等有限列举的公共利益的目的,自然人的生物识别数据等特殊数据,原则上禁止处理(包括收集)。
本案中的杭州野生动物世界作为一家企业,其收集游客的生物识别数据仅仅是为了所谓的游客入园的便捷和效率,自然与公共利益沾不上边。若以此为准,其收集游客面部信息的行为明显违法。而且,这家动物园规定游客必须进行人脸识别,其年卡才能继续使用,固然算是征得游客同意后收集其面部信息,但无疑剥夺了游客的选择权。
不要以为这种严格保护用户个人信息的做法只在欧盟范围内才有。美国加利福尼亚州2018年6月28日颁布了《2018年加州消费者隐私法案》(CCPA)。这部迄今为止美国最严格的隐私立法,将于2020年1月1日生效,其隐私保护力度不亚于欧盟的《通用数据保护条例》。该法案为消费者创建了访问权、删除权、知情权等一系列消费者隐私权利,规定企业应根据消费者的要求删除相关数据,不得通过拒绝给消费者提供商品或服务,或者对商品或者服务收取不同价格或者费率的方式歧视消费者行使权利。
为什么欧美两大经济体对个人数据提供越来越严格的保护?归根到底是因为,随着大数据新技术的革命性发展,个体比历史以往任何时候都要显得更加透明和脆弱,更加不堪一击,个体与大企业乃至与公权力之间的强弱鸿沟,比以往任何时候都要更加固化,难以逾越。
就我国而言,为何应当限制企业擅自收集用户敏感信息?
一方面,数据收集企业未必“有德”,企业收集了大量用户数据之后,再将其打包处理并倒卖,此现象如今相当普遍。虽说现行《刑法》禁止擅自出售或提供公民个人信息,但实际上,只要数据交易没有产生实际严重后果,《刑法》基本上不会用得上。“要么坐牢,要么无事”,正成为当前个人信息滥用乱象的真实写照,而坐牢毕竟是小概率的事件。
另一方面,数据收集企业未必“有能”。任何打算收集用户数据的企业都应当有一定的物质配备和组织配备,以确保用户数据尤其是敏感数据的安全。但如今但凡是一个企业,都想着尽可能多地采集用户数据,完全不顾及其自身是否有能力安全存储这些数据。近些年,用户数据大规模泄露事件可谓此起彼伏,大型企业也不能幸免,这恰恰反映出当前数据存储领域存在重大安全隐患。在这样的背景下,消费者有理由尽可能避免自身的敏感数据被企业采集,以防患于未然。
个人信息越敏感,泄露后被他人不当使用带来的风险和危害就越大。面部数据的敏感性较指纹更胜一筹。通常只有在需要最高级别身份验证的场合下才会使用这种方式,比如出入境安检、机场或高铁安检等场合。刷脸甚至是一种最高级别的支付身份验证手段。这些均表明个人面部数据的敏感性和重要性。如此私密的个人数据,理应获得法律最严格的保护和最谨慎的对待。
倘若作为企业的某家动物园都可以要求游客刷脸进入,又有什么样的企业不可以单方宣布采用此种身份验证手段呢?如此一来,中国用户面部数据库将会泛滥成灾,最终很可能影响国家数据安全。就此而言,纵容企业以智慧城市为名,以便捷为取向,擅自收取用户敏感的面部数据,绝非智者之选。
我国个人信息保护法的制定一直在路上。希望这部让人期待已久的法律能早日出台,扭转目前公民个人信息保护问题上刑法与民法、行政法倒挂的不正常现象,为个人信息保护,尤其是包括用户面部数据在内的敏感信息的保护,提供更权威和统一的详细规则。
笔者希望,“中国面部识别第一案”的审判法院能够在个人面部数据保护问题上提出符合当今世界潮流的新见解,为当前裸奔的刷脸大跃进泼一盆叫人清醒的冷水,从而载入史册。
- 报料热线: 021-962866
- 报料邮箱: news@thepaper.cn
互联网新闻信息服务许可证:31120170006
增值电信业务经营许可证:沪B2-2017116
© 2014-2024 上海东方报业有限公司