人臉識別App不能超範圍採集信息
近日“人臉識別一定要穿上衣服”的話題引發熱議。事件的起因是一名博主稱,大家在使用App人臉識別功能時一定要穿衣服,因爲“攝像頭不僅僅只採集被識別者人臉的一部分”。這一說法被行業專家所證實。
在人們看來,人臉識別當然是識別人臉。但實際上,人臉識別圖像上顯示的是人臉,不過後臺能夠看見的畫面已不侷限在人臉範圍。這樣的人臉識別採集圖像,的確有“說話不算數”之嫌。進一步說來,如此人臉識別的App在法律上也涉嫌越權或者侵權。
人臉識別的相關應用需要公民肖像做支撐,因此,肖像權是人臉識別過程中最有可能受到侵害的權利。人臉識別只能採集公民主動提供人臉的圖像信息,一旦採集範圍擴大,將人臉周圍的圖像、公民所處的環境、正在從事的行爲等信息進行採集,將侵犯公民不願暴露的隱私。此外,如果圖像採集者對此信息不當使用,造成了公民社會評價降低,同樣可能侵害公民的名譽權。超範圍進行人臉識別,不僅侵犯公民的人格權利,更是直接侵犯公民對自身個人信息的知情權。公民在使用App的人臉識別功能時,同意將作爲個人生物識別信息的面部信息提供給信息處理者。與此同時,公民也應當對於其所提供的信息享有知情權,其應當知曉信息使用的目的、所提供的信息範圍等。
而上述話題之所以引發熱議,就是大多數App用戶在使用人臉識別功能時,以爲僅提供了面部信息,這也是基於“人臉識別”這個概念的基本認知,可以說是常識上的。但行業內對人臉識別的認知卻不同,認爲“攝像頭拍到全入鏡是常識”,還聲稱“用戶應具風險意識”,這種辯解是難以令人接受的。
2019年,國家4個部門曾聯合發佈了《App違法違規收集使用個人信息行爲認定方法》,其中第三條明確列出了被認定爲“未經用戶同意收集使用個人信息”的情形。其中“實際收集的個人信息或打開的可收集個人信息權限超出用戶授權範圍”就構成違規行爲。而人臉識別App超範圍採集公民的圖像信息,顯然超出了公民所能認識到提供的信息範圍,更不可能符合“自願同意”原則。而對於這樣違規收集個人信息的網絡運營者、網絡產品或者服務提供者,根據《網絡安全法》的規定,被主管部門責令改正是前提,並根據情節的嚴重與否,有可能被處以警告、沒收違法所得、停業整頓、吊銷營業執照等處罰。
此外,如果侵犯公民個人信息行爲的社會危害性較大的話,這種行爲也不排除觸犯刑法構成犯罪的可能。我國刑法第二百五十三條之一規定了侵犯公民個人信息罪,即“違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金”,“竊取或者以其他方法非法獲取公民個人信息的,依照第一款的規定處罰”。該罪覆蓋的主體範圍就包括各種App、網絡平臺等相關信息收集、處理者。
事實上,在此事件曝光後,人們更加擔憂在大數據、人工智能時代的信息權益風險。這樣的風險顯然不能僅依靠用戶的風險意識來解決,而是應該依靠信息處理者的行業規範、職業道德,個人信息脫敏、加密、隱名化等技術加持,以及公權部門、社會等多維度監管才行。
不久前,歐盟數據保護委員會(EDPB)和歐盟數據保護監督局(EDPS)針對歐盟今年4月發佈的人工智能法規草案發表聯合意見,進一步呼籲在公共場所禁止使用人工智能自動識別包括人臉識別在內的個人生物特徵。隨着對個人生物信息保護的認識不斷提高,人臉識別等生物信息識別技術必須加強規範與安全規制。信息處理者必須尊重每一個用戶,敬畏法律和權利,謹慎使用手中的技術能力,這纔是相關企業規避信息風險,維護用戶利益,促進企業長遠發展需要樹立的基本理念。