据《南方都市报》等媒体报道,人们使用App人脸识别功能时,摄像头拍到的区域会全部被上传,并可能被后台的工作人员看到。而很多用户误以为人脸识别系统只会将人脸的部分上传,于是他们可能在洗澡、和另一半拥抱时做人脸识别,殊不知,人脸以外的部分也被摄像头记录下来,被别人看到。其实,“人脸识别不只拍脸”作为一种技术性常识已成为业界共识。但许多普通人并不知晓人脸识别会收集人脸图像以外的“非人脸信息”,这也引发了人脸识别中对“非人脸信息”的保护危机。App在人脸识别时是否有权收集人脸图像以外的信息、被拍摄上传至后台系统的图像信息保管是否妥当等问题值得关注。
人脸识别App对“非人脸信息”
收集违反“告知+同意”原则
《中华人民共和国网络安全法》第四十一条第一款规定,“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”。此款确立了我国个人信息收集应遵循“告知+同意”原则。“非人脸信息”作为个人信息,其收集亦应当遵循“告知+同意”原则。
人脸识别App收集“非人脸信息”情景下,平台应明确向用户“告知”采集个人信息的范围、方式与使用目的,只有在得到用户明示同意后才可收集个人信息。具体而言,在人脸识别过程中,被识别者面前往往出现这样的画面:屏幕中心出现一个人的头形图案,要求被识别者的头部放入该方框中并按照指令作出相应动作,其他部分则显示为灰白色。但许多时候,用户在进行人脸识别操作时,App平台并未告知用户除人脸图像之外的非人脸信息会被收集并上传至后台,App平台得到的“同意”授权仅是用户针对人脸图像部分个人信息收集的授权,并不涉及人脸图像以外的“非人脸信息”。
即使“人脸识别不只拍脸”已成为技术性常识,但这并不能成为App平台未尽到“告知”义务的抗辩理由。在用户只授权App平台收集用于人脸识别个人信息情景下,App平台收集用户人脸图像之外的“非人脸信息”的做法已经构成“个人信息的过度收集”,涉嫌违反“告知+同意”基本原则。
应实现人脸识别App
收集“非人脸信息”的多维保护
当下,人脸识别技术应用广泛,人脸信息成了各App平台眼中的“香饽饽”。然而,如何保护人脸识别中的“非人脸信息”成为当下亟须解决的问题。
首先,应理性限缩人脸识别应用场景。当前,我国人脸识别技术主要应用于安防、金融与消费等领域,但许多商业App平台也大量使用人脸识别技术。以“中国人脸识别第一案”为例,杭州某野生动物世界因更改系统,将原指纹入园方式更改为“刷脸”入园,此举引起年卡办理者郭某不满,双方协商未果,诉至法院。最终,法院作出责令某野生动物世界删除郭某办理指纹年卡时提交的包括照片在内的面部特征信息的判决。此案为人脸识别应用敲响警钟。事实上,杭州某野生动物世界原本采用指纹入园的方式已经可以达到区别游客入园的效果,统一采用“刷脸”方式入园是否必要,值得思考。当前人脸识别广泛应用,建议从人脸识别本身入手,理性限缩人脸识别应用场景,实行人脸识别技术准入与许可制度,提高人脸识别技术主体准入门槛。
其次,应明确App平台收集“非人脸信息”的最低提醒义务和对“非人脸信息”的妥善保管义务。2012年,工信部牵头制定的《信息安全技术 公共及商用服务信息系统个人信息保护指南》明确要求,对个人信息的收集必须在个人信息主体知情的情况下进行,并获得个人信息主体的同意,二者缺一不可。随后,全国信息安全标准化技术委员会分别于2017年和2020年发布的《信息安全技术 移动智能终端个人信息保护技术要求》和《信息安全技术 个人信息安全规范》又进一步细化了移动智能终端收集个人信息的基本要求。事实上,无论“人脸识别不只拍脸”是不是常识,App平台作为信息收集者,告知用户其收集的个人信息的内容是“告知”要求的基本体现,但实践中有的App平台在收集“非人脸信息”时并未提供相应的提示告知说明。因此,在人脸识别必须收集“非人脸信息”这一技术无法攻克的当下,应强调App平台收集“非人脸信息”的最低提醒义务以及收集之后的妥善保管义务。一方面,App平台在进行人脸识别前应当有专门的页面或在能被明显看到的位置告知用户人脸识别过程中会摄制到脸部以外场景的说明;另一方面,应当充分告知用户人脸识别的有关权利与风险,在用户充分了解并同意后才可以收集个人信息。另外,在个人信息保管层面,应采取多重信息安全技术对“非人脸信息”与用户个人隐私进行同规格保护或者保密处理。
最后,应增强公民的个人信息保护意识。提高个人信息的保护意识与维权意识需多方主体协同发力。一是职能部门做好监督保障服务工作,切实打击侵害个人信息的行为并为个人开拓维权渠道;二是强化企业平台的社会责任,在收集信息的同时进行个人信息保护宣传教育,强化个人信息保护意识;三是个人应自觉提高信息保护与维权意识,在个人信息受到侵害时及时采取措施,维护自身权益。