段永利

“這騷擾電話一天七八個，真是夠心煩的，啥時候信息泄露出去的都不知道”，家住西城區(qū)力學(xué)胡同的張阿姨對記者說。生活中像這樣的例子比比皆是，筆者所在小區(qū)的王女士，就遭遇了在注冊微博進(jìn)行人臉驗證時，被提示自己的身份信息已被注冊，這讓一向比較注重個人信息保護(hù)的她有點(diǎn)懵，此前并未下載和使用過微博怎么就提示被注冊過了呢？

在今年央視的3·15晚會上，也曝光了科勒衛(wèi)浴、寶馬、Max Mara等多家商店安裝人臉識別攝像頭的事件。可以確定的是，人臉數(shù)據(jù)的泄露，所帶來的潛在風(fēng)險，遠(yuǎn)比手機(jī)號與賬戶信息的泄露更為嚴(yán)重。

有專家稱，中國人每天要暴露在各種攝像頭下超過500次。在商超、景區(qū)、小區(qū)、醫(yī)院、學(xué)校以及政務(wù)機(jī)構(gòu)，“刷臉”進(jìn)入已經(jīng)成為城市生活中的常見場景，公眾在不知不覺中就被采集了信息，人人皆成為“透明人”一樣的存在。

其實(shí)，關(guān)于個人信息安全問題，國家也出臺了一系列政策促進(jìn)行業(yè)健康發(fā)展。

信息安全政策解讀

早在2016年11月7日，中華人民共和國第十二屆全國人民代表大會常務(wù)委員會第二十四次會議通過了《中華人民共和國網(wǎng)絡(luò)安全法》。其中，第四十一條規(guī)定，網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。網(wǎng)絡(luò)運(yùn)營者不得收集與其提供的服務(wù)無關(guān)的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個人信息;第四十四條規(guī)定，任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。

2020年7月2日，中國人大網(wǎng)發(fā)布《中華人民共和國數(shù)據(jù)安全法 （草案） 》并公開征求意見，內(nèi)容涉及7章51條。草案說明，制定個人信息保護(hù)法是維護(hù)網(wǎng)絡(luò)空間良好生態(tài)的現(xiàn)實(shí)需要。網(wǎng)絡(luò)空間是億萬民眾共同的家園，必須在法治軌道上運(yùn)行。違法收集、使用個人信息等行為不僅損害人民群眾的切身利益，而且危害交易安全，擾亂市場競爭，破壞網(wǎng)絡(luò)空間秩序。制定個人信息保護(hù)法是促進(jìn)數(shù)字經(jīng)濟(jì)健康發(fā)展的重要舉措。當(dāng)前，以數(shù)據(jù)為新生產(chǎn)要素的數(shù)字經(jīng)濟(jì)蓬勃發(fā)展，數(shù)據(jù)的競爭已成為國際競爭的重要領(lǐng)域，而個人信息數(shù)據(jù)是大數(shù)據(jù)的核心和基礎(chǔ)。黨的十九大報告提出了建設(shè)網(wǎng)絡(luò)強(qiáng)國、數(shù)字中國、智慧社會的任務(wù)要求。按照這一要求，應(yīng)當(dāng)統(tǒng)籌個人信息保護(hù)與利用，通過立法建立權(quán)責(zé)明確、保護(hù)有效、利用規(guī)范的制度規(guī)則，在保障個人信息權(quán)益的基礎(chǔ)上，促進(jìn)信息數(shù)據(jù)依法合理有效利用，推動數(shù)字經(jīng)濟(jì)持續(xù)健康發(fā)展。

長期以來，我國雖在不斷出臺有關(guān)個人信息保護(hù)的立法文件，但在社會實(shí)踐中，這些法律的適用大多規(guī)定的較為原則性，同時也存在著一定的滯后性，并不能滿足人民群眾對個人信息保護(hù)的各類迫切需求。終于，2020年10月21日，全國人大法工委公開就《中華人民共和國個人信息保護(hù)法（草案）》征求意見，第十三屆全國人大常委會第二十二次會議對《中華人民共和國個人信息保護(hù)法（草案）》進(jìn)行了審議并在中國人大網(wǎng)公布。這部法律的出臺可謂意義重大，甚至將2020年稱之為我國個人信息保護(hù)立法“元年”都不為過。

草案明確規(guī)定了本法的適用范圍、個人信息處理規(guī)則，強(qiáng)調(diào)處理個人信息應(yīng)當(dāng)采用合法、正當(dāng)?shù)姆绞剑哂忻鞔_、合理的目的，限于實(shí)現(xiàn)處理目的的最小范圍;確立以“告知—同意”為核心的個人信息處理一系列規(guī)則，要求處理個人信息應(yīng)當(dāng)在事先充分告知的前提下征得個人同意，并且個人有權(quán)撤回同意。

雖然近年來我國個人信息保護(hù)力度不斷加大，但在現(xiàn)實(shí)生活中，一些企業(yè)、機(jī)構(gòu)甚至個人，從商業(yè)利益出發(fā)，隨意收集、違法獲取、過度使用、非法買賣個人信息，利用個人信息侵?jǐn)_人民群眾生活安寧、危害人民群眾生命健康和財產(chǎn)安全等問題仍十分突出。

代表委員建言獻(xiàn)策

隨著人工智能技術(shù)水平的迅速發(fā)展，人工智能與深度學(xué)習(xí)的范疇逐步增加，大數(shù)據(jù)應(yīng)用場景在智慧城市、安防市場等行業(yè)得到了廣泛應(yīng)用，但同時安全隱患也隨之而來。最新的人臉識別技術(shù)，不僅能抓取個人的面部生物信息，識別性別與預(yù)估年齡，還能進(jìn)一步追蹤到個人的身份信息、日常的行蹤軌跡、親屬關(guān)系的匹配等。

“刷臉”時代，如何確保不被“盜臉”？在今年的全國“兩會”期間，人臉識別技術(shù)帶來的個人信息保護(hù)問題，是多位全國人大代表和政協(xié)委員熱議的話題。

今年兩會上，全國政協(xié)委員、民革廣東省委會副主委、民革廣州市委會主委于欣偉表示，目前很多小區(qū)、公共場所都需要刷臉進(jìn)入，刷臉支付也被廣泛運(yùn)用，現(xiàn)實(shí)生活中通過“刷臉”可解決的事情越來越多。人臉識別信息與一般個人信息相比，具有唯一性、不可更改性等特殊屬性，且人臉信息采集極其便利，在被采集者完全不知情的情況下，就能獲得其人臉信息。一旦泄露，即便維權(quán)成功也難以恢復(fù)原狀，由此帶來的安全風(fēng)險越來越大。

民革中央提出，根據(jù)實(shí)際情況，研究推進(jìn)專項立法對人臉識別大數(shù)據(jù)進(jìn)行管控，制定商業(yè)機(jī)構(gòu)對人臉識別信息數(shù)據(jù)的攝制、采集、儲存、傳播、使用、銷毀等程序，明確界定人臉識別設(shè)備主管部門職責(zé)、數(shù)據(jù)使用范圍、程序管理權(quán)限、人員資質(zhì)要求等，在把握底限的條件下促進(jìn)人工智能行業(yè)穩(wěn)健成長。民革中央還建議，為人臉識別技術(shù)在社會生活場景應(yīng)用層面設(shè)立行政管理職責(zé)。明確專門部門統(tǒng)一承擔(dān)人臉識別系統(tǒng)的審批與監(jiān)管職能，設(shè)立人臉識別項目審批程序。除公共區(qū)域安防監(jiān)控設(shè)備以外，涉及對特定對象進(jìn)行人臉識別信息數(shù)據(jù)采集使用的處所，如公園、銀行、學(xué)校、市場及企業(yè)、商場等單位都應(yīng)按程序自主申報，由專門部門審核技術(shù)應(yīng)用必要性，并對安全使用進(jìn)行積極監(jiān)控。

對于強(qiáng)制“刷臉”現(xiàn)象，全國人大代表、德力西集團(tuán)董事局主席胡成中建議：人臉識別參照身份證管理。一是要明確必要性原則，在有替代方式的情況下不得采集生物識別信息;二是歸口管理，在公安或網(wǎng)信系統(tǒng)增設(shè)專門的數(shù)據(jù)保護(hù)部門;三是設(shè)置必要門檻，杜絕任何企業(yè)都可染指公民生物識別信息的現(xiàn)狀，乃至參照身份證管理辦法，原始數(shù)據(jù)應(yīng)統(tǒng)一由國家掌控。

“人臉數(shù)據(jù)的違規(guī)采集與數(shù)據(jù)泄露、非法交易與使用等問題，是人臉識別技術(shù)應(yīng)用面臨的主要風(fēng)險?！比珖f(xié)委員、佳都科技集團(tuán)董事長劉偉建議，規(guī)范人臉識別應(yīng)用，加強(qiáng)人臉識別技術(shù)的監(jiān)管。對此，他建議：一是為技術(shù)應(yīng)用設(shè)立行政管理職能，寫字樓、商場、企業(yè)等應(yīng)用人臉識別技術(shù)前都應(yīng)申報審批，由公安部門依法審核其合法、正當(dāng)和必要性;二是對于如小區(qū)管理等特定人群人臉識別應(yīng)用，須以自愿為原則由個人信息主體進(jìn)行必要性審查;三是對不合規(guī)安裝、使用人臉識別技術(shù)的定期整改，依法打擊非法濫用;四是組織專項立法，明確數(shù)據(jù)所有、使用與收益權(quán)限;五是引導(dǎo)相關(guān)行業(yè)協(xié)會和中介組織制定人工智能產(chǎn)業(yè)技術(shù)標(biāo)準(zhǔn)、行業(yè)自律規(guī)范。

監(jiān)管刻不容緩

“刷臉”要便捷，“護(hù)臉”也要更規(guī)范。

人臉識別技術(shù)作為一項新興的人工智能技術(shù)，其產(chǎn)生時間尚短，立法層面的規(guī)定仍然不夠細(xì)致。另外，人臉識別系統(tǒng)雖能對攝像頭采集的人臉圖像進(jìn)行辨認(rèn)，卻無法識別采集的人臉圖像是來自真人還是一張圖片，盜用合法用戶人臉照片、盜用人臉視頻及盜用三維人臉面具均可被機(jī)器識別。

目前，很多場所“掃臉”或者抓取對方面部信息時，并未告知當(dāng)事人其目的、方式和范圍以及儲存時間，且不少人臉識別技術(shù)由小企業(yè)提供服務(wù)，沒有正規(guī)機(jī)構(gòu)的背書，其信息存儲安全性存疑。在部分社交平臺和網(wǎng)站上，我們會發(fā)現(xiàn)不少賣家將人臉識別視頻明碼標(biāo)價，甚至還出現(xiàn)了克隆假面技術(shù)和產(chǎn)品，一個頭套就可解鎖被掃描人的各種人臉操作解碼，賣家還承諾所售驗證視頻均能通過大多數(shù)APP平臺驗證流程。

據(jù)民法典規(guī)定，公民對個人信息享有民事權(quán)利，未經(jīng)本人同意非法收集買賣他人信息會構(gòu)成民事侵權(quán)。另外《刑法修正案（九）》規(guī)定了侵犯公民個人信息罪。買賣高度敏感的個人信息達(dá)到一定數(shù)量，符合司法解釋中所規(guī)定的立案標(biāo)準(zhǔn)的行為就涉嫌刑事犯罪。在這個過程中，無論買方還是賣方都涉嫌構(gòu)成侵犯公民個人信息罪。

為減少個人信息泄露帶來的安全隱患，立法監(jiān)管刻不容緩。

中國法學(xué)會案例法學(xué)研究會副會長、中國政法大學(xué)公共決策中心執(zhí)行主任李軒表示，由于人臉識別涉及人體生物信息，《個人信息保護(hù)法（草案）》對此只是原則和總體上的規(guī)定，并未對采集主體資格、數(shù)據(jù)儲存、使用范圍、相關(guān)方的權(quán)利義務(wù)等作具體闡釋，因此，針對人臉識別生物信息這一領(lǐng)域進(jìn)行專項立法很有必要。

他還明確指出，人臉識別信息采集不僅僅是事關(guān)個人安全和社會公共安全，甚至事關(guān)一個國家國民生物信息及相關(guān)信息數(shù)據(jù)的總體安全。需進(jìn)一步明確“誰可以安裝圖像采集和個人身份識別設(shè)備、需要什么樣的批準(zhǔn)程序、由誰來批準(zhǔn)”等問題。同時，要切實(shí)維護(hù)個人信息主體權(quán)益，部署圖像采集、個人身份識別設(shè)備時，須以自愿為原則，經(jīng)審批的人臉識別應(yīng)用，須以顯著標(biāo)識告知相對人。

此外，地方集中整治也不失為良策。比如開展專項整治活動，集中整治不規(guī)范和非法安裝人臉識別攝錄采集，清理電子政務(wù)平臺安全漏洞。規(guī)范單位自查、主管部門核查、市民舉報和公安核查等程序，對未經(jīng)過主管部門審批擅自安裝人臉識別信息數(shù)據(jù)采集設(shè)備的，依法進(jìn)行行政處罰，設(shè)備拆除及數(shù)據(jù)銷毀。目前，已有地方政府在這方面先行一步。如天津通過的《天津市社會信用條例》中明確，市場信用信息提供單位不得采集自然人的宗教信仰、血型、疾病和病史、生物識別信息等;杭州也在《杭州市物業(yè)管理條例（修訂草案）》中規(guī)定，物業(yè)服務(wù)人不得強(qiáng)制業(yè)主通過指紋、人臉識別等生物信息方式使用公用設(shè)施設(shè)備。

除了以上行政監(jiān)管辦法外，技術(shù)突破也是關(guān)鍵的因素。鼓勵信息加密技術(shù)的研發(fā)，比如數(shù)據(jù)加密管理、敏感內(nèi)容識別等，推出更多有效的數(shù)據(jù)安全解決方案。同時，對電子政務(wù)平臺過度依賴人臉識別數(shù)據(jù)的安全漏洞進(jìn)行排查清理，提升通過人臉識別登錄系統(tǒng)和辦理業(yè)務(wù)的安全性能，讓不法分子無可乘之機(jī)。