羅克研

歷時兩年，備受關注的“人臉識別”第一案近日塵埃落定。

2019年4月27日，郭兵購買野生動物世界雙人年卡，留存相關個人身份信息，并錄入指紋和拍照。后野生動物世界將年卡入園方式由指紋識別調整為人臉識別，并向郭兵發(fā)送短信通知相關事宜，要求其進行人臉激活，雙方協(xié)商未果，遂引發(fā)本案糾紛。

今年4月9日，杭州市中級人民法院二審宣判。此前的一審判決，判令野生動物園賠償原告郭兵合同利益損失及交通費共計1038元，刪除郭兵辦理指紋年卡時提交的包括照片在內的面部特征信息。二審判決在此基礎上增加一項：野生動物園刪除采集的郭兵的指紋識別信息;駁回郭兵的其他訴訟請求。

二審宣判后，郭兵接受媒體采訪時直言對結果感到“失望”，并透露他可能考慮申請再審。

按照郭兵的本意，起訴杭州野生動物世界，意在促進規(guī)范人臉識別濫用。他曾在一審判決后表示：“法院認定動物園收集面部特征信息不具有必要性，對消費者而言是有利的。這次司法判決在這方面會有非常大的意義，也對后面規(guī)范人臉識別濫用起到一定的司法指引效果?！?/p>

之所以對判決失望，郭兵認為，主要是因為一審和二審法院均從合同法的角度，判定動物園要求人臉識別入園的內容對自己不發(fā)生法律效力，但卻回避了對“未注冊人臉識別的用戶將無法正常入園”這一霸王條款的審查。而這正是他起訴杭州野生動物世界的關鍵訴求。

“郭兵案”雖然結束，但對于個人信息保護的正劇才剛剛拉開序幕。

隨著技術的快速進步、市場應用需求的日益凸顯，以及各路資本的競相熱捧，人臉識別的應用不斷升溫。比如高鐵刷臉進站、酒店的入住、無人超市購物付費等等。

目前人臉識別市場的規(guī)模已經非常很龐大，數(shù)據(jù)顯示，2010-2018年，中國人臉識別市場規(guī)模逐年增長，年均復合增長率達30.7%。前瞻研究院預計，未來五年中國人臉識別市場規(guī)模將保持23%的平均復合增長速度，到2024年市場規(guī)模將突破100億元，合美金約15.5億美金。

人臉識別的“濫用”和

“隱患”

在崇尚效率的今天，大多數(shù)民眾并不排斥人臉識別帶來的便捷實用，但是隱私泄露這一高懸的“達摩克利斯之劍”也讓大家心生恐懼。

根據(jù)《南方都市報》人工智能倫理課題組和App專項治理工作組發(fā)布的《人臉識別應用公眾調研報告（2020）》顯示，有九成以上的受訪者使用過人臉識別，其中六成受訪者認為人臉識別技術有濫用趨勢，另有三成受訪者表示，已經因為人臉信息泄露、濫用而遭受到隱私或財產損失。并且由于人臉信息在生物性和社會性上的唯一性，使得其不像其他信息。人臉信息一旦丟失就無法進行掛失，無異于將自己的“密碼”公之于眾。

事實上，早在去年11月，那條關于購房者帶著頭盔進售樓部的視頻在網上瞬間被推上了熱搜之后，各種關于售樓處安裝人臉識別系統(tǒng)是否屬于侵犯客戶隱私？是否存在價格歧視？等相關熱議就已經開始在各大新聞媒體和全國購房者間展開。

今年315晚會的第一彈就劍指人臉識別被商家濫用。調查報道中發(fā)現(xiàn)，濫用人臉識別，標注線下門店顧客，幫助零售企業(yè)進行客戶管理，已經成為龐大的生態(tài)，有萬掌門、優(yōu)絡客等服務提供商，也有科勒、寶馬這樣的全球品牌在采用，一家服務提供商就宣稱自己已經搜集了上億人臉，每個人生物隱私信息之被濫用，堪比十年前手機號被販賣的亂象。

晚會暴露出觸目驚心的隱私失序，首先是大品牌在零售店中安裝了連接人臉識別與客戶關系管理軟件（CRM）的客戶管理體系，能夠對進店用戶打上標簽并進行精準識別，而在這一過程中，根本沒有征得用戶的同意。此外，更觸目驚心的事實是，被識別了的人臉信息竟然能這么容易被第三方服務商調用。

個人信息保護已成為社會共識

根據(jù)調研發(fā)現(xiàn)，人臉信息泄露事故已比較普遍。但由于法規(guī)與管理的約束不足，相關開發(fā)和應用單位在信息保護、身份認證等技術上明顯缺少安保主動性與責任感，一旦出現(xiàn)侵害公眾隱私或公共安全的重大事故，將會導致嚴重社會與經濟后果。人工智能迅猛發(fā)展，行業(yè)治理框架亟須建立，個人信息保護已成為社會共識，相關立法與部門管理已刻不容緩。

中國《網絡安全法》第四十四條就規(guī)定：“任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息?！?/p>

今年1月1日施行的《民法典》，確立了對個人信息權益的保護，規(guī)定處理個人信息“應當遵循合法、正當、必要原則。”

4月23日，《信息安全技術人臉識別數(shù)據(jù)安全要求》國家標準（以下簡稱“國標”）的征求意見稿的面向社會公開征求意見。

此次擬出臺的國標主要為解決人臉數(shù)據(jù)濫采，泄露或丟失，以及過度存儲、使用等問題，對于《個人信息保護法》草案中人臉識別相關的規(guī)定也有一定的體現(xiàn)和細化。

國標要求，收集人臉識別數(shù)據(jù)時應征得數(shù)據(jù)主體明示同意，不得利用人臉識別數(shù)據(jù)評估或預測數(shù)據(jù)主體工作表現(xiàn)、經濟狀況、健康狀況、偏好、興趣等情況。同時，應提供除人臉識別外的其他身份識別方式供用戶選擇，不應因用戶不同意收集人臉識別數(shù)據(jù)而拒絕數(shù)據(jù)主體使用基本業(yè)務功能等。

針對人臉圖像，國標要求應在完成驗證或辨識后立即刪除，如果開發(fā)商希望存儲人臉圖像，同樣要經過數(shù)據(jù)主體單獨書面授權同意。此外，還對進行人臉識別的開發(fā)商提出了技術資質門檻，要求其具備相應的數(shù)據(jù)安全防護和個人信息保護能力，以防范人臉識別被“活照片”等非法破解。

4月26日，工信部公開征求對《移動互聯(lián)網應用程序個人信息保護管理暫行規(guī)定（征求意見稿）》的意見。其中明確提到App第三方服務提供者應當履行以下個人信息保護義務：未經用戶同意，不得將收集到的用戶個人信息共享轉讓。

由于專業(yè)性壁壘和信息不對稱，民眾往往對于在無感的情況下個人信息不合理或過度采集缺乏保護意識。所以，如何保護公民信息采集時的知情權，以及企業(yè)乃至政府使用個人信息時如何合法授權，應是業(yè)界思考的重要問題。

相關企業(yè)在使用人臉的過程中，應當重視隱私合規(guī)要求，依法盡到告知義務，同時高度重視人臉數(shù)據(jù)的使用和存儲安全，進行充分的技術投入和管理措施用于保護人臉識別的安全性，避免因自身防護不當導致的用戶敏感信息泄露和賬戶資金損失，及其產生的法律、輿情風險。