提出人:致公党广东省委会
内 容:
人脸识别技术是人工智能领域的重大突破和创新,具有升级服务、节约成本、提高效率等优点,在安检通行、移动支付、场所门禁、考勤打卡等领域以迅猛的趋势进行广泛应运。在目前尚无任何法律规范对人脸识别技术应用原则、范围、程序、权限等作出具体规定的情况下,人脸识别技术应用领域正处于一种无序的混乱状态,强制使用、肆意滥用现象随处可见,给个人信息保护带来许多新挑战。因此,亟需出台一系列规范措施,解决人脸识别技术发展中存在的问题,最大程度发挥人脸识别技术优势,使人脸识别技术发展走上健康、有序、良性的发展道路。
一、人脸识别技术应用的现状与问题
(一)技术漏洞问题
首先,识别精准度有待提高。目前的人脸识别精准度并不能达到100%,无法识别或识别错误的情况并不罕见。同时,人脸的面部特征具有不稳定性,人的面貌在光线、角度、妆容、整容、岁月等因素影响下都可能发生颠覆性的变化。其次,技术存在破解风险。随着3D打印技术,AI换脸技术等盛行,人脸识别易被破解。最后,存在信息保障风险。如果系统被黑客攻击,那么储存的脸部数据可能会被第三方访问,导致个人信息被泄露、共享,侵犯公民隐私权。
(二)场景应用无序问题
目前,人脸识别技术存在严重的强制应用和肆意滥用的现象。强制应用如汽车站、火车站刷脸进站台,办理银行卡过程中的人脸身份认证,疫情防控期间,有些酒店入住程序中的人脸识别认证等。人脸识别技术不仅在公共安全领域推行,而且在一般生活领域如各种场所门禁、移动支付等随处可见,很多时候“刷刷脸” 就可以畅通无阻。此种情况下,人脸识别成为我们享受该项服务所必须的步骤,造成肆意滥用现象即人脸识别应用的普遍化。
(三)数据收集、保管环节不完善问题
首先,从数据收集环节来看,表面上的告知实际上却相当于未明确告知或告知不充分。某些应用人脸识别的场景,表面看来是在被收集人有认知的情况下进行,但实际上,在信息告知不充分,包括收集的主体、收集的数据范围、使用目的及范围、保护措施与相应风险等均未予以明示的前提下,以一般公民的认识能力尚不足以充分认识到人脸信息被收集后所进行的流程和存在的一系列潜在风险。其次,从数据保管环节来看,收集主体未能严格保证善加保护数据信息,人脸数据泄露的新闻报道并不罕见。在尚未开发出相关的配套数据保障及风险预防系统的前提下,一味只顾人脸识别技术的开发推进,一旦数据大面积泄露所引发风险不容小觑。
二、规范人脸识别技术应用的建议
人脸识别领域立法处于滞后状态,立法赶不上技术发展的需要。目前,《个人信息保护法(草案)》已经提请全国人大常委会审议,草案将个人生物特征信息列为敏感个人信息,与一般个人信息相比,规定了更加严格的保护标准,但具体操作实务问题仍有待进一步探索。广东作为改革开放先行者需勇于担当积极探索,结合草案规定的原则精神和我省实际情况先行进行省内立法,使保护公民个人信息的内容更具有操作性,为国家进一步立法积累经验。建议我省规范人脸识别技术应用的立法原则和主要内容从以下方面着手:
(一)规定合法性、必要性、正当性的适用原则
人脸识别技术的应用并不是越广泛越好,而是存在一个度的问题。在立法中对人脸识别的适用要遵循合法性、必要性、正当性的原则,处理个人信息应当采用合法、正当的方式,具有明确、合理的目的,要求只有在具有特定目的和充分必要性的前提下,方可处理个人敏感信息,避免过度使用引发的风险。
(二)限定人脸识别适用的范围
当下人脸识别的适用领域正在不断延伸,立法中应当对人脸识别的运用领域进行限定,在必要且特定领域引入人脸识别系统,如对于一些涉及公共安全的事项,确有必要推行人脸识别技术的领域可以允许其适用,对于一些有其他技术可替代、可不适用的领域如公共场所门禁、移动支付等限制其适用,防止大规模适用所导致弊大于利的不利后果。
(三)规定人脸识别适用的程序
建议规定项目引入人脸识别技术,需要事前进行风险评估,对于容错率、数据存储、安防系统等进行验证,符合相关标准方可投入使用;事中收集、采取人脸信息时,要征得被收集者的有效同意,充分告知被收集者的权利,保障被收集者的选择权和知情权;事后对被收集的信息进行持续追踪,防止数据信息被泄露、滥用,保障公民个人信息安全。
(四)重点明确收集方的权利、义务和责任
在人脸信息收集的场景中,被收集者处于绝对的弱势地位。因此,在立法中,首先要明确规定收集方的告知义务,收集人脸信息必须事先征得被收集人的同意,并就收集范围、适用范围、风险后果等作明确的告知;其次要规定收集方的数据应用权力。所收集的数据范围应合乎告知的应用场景,且不允许超范围地收集人的面部数据;最后要规定收集方的数据保管义务。收集方要采取相应的安全保障措施,配套相应的安防保障系统对所收集的数据妥善保管,防止数据泄露。违反保管义务,则应当承担相应的法律责任。
