刷臉支付、刷臉解鎖、刷臉開門、刷臉進(jìn)站……“刷臉”,正在越來越頻繁地嵌入我們的生活。
“刷臉”時(shí)代,誰來保護(hù)我的人臉信息安全?
面對公共場所過度使用甚至濫用人臉識(shí)別技術(shù),2024年,上!傲羷ζ纸2024”消費(fèi)領(lǐng)域個(gè)人信息權(quán)益保護(hù)專項(xiàng)執(zhí)法行動(dòng),加快整治步伐,朝著公共場所“不刷臉為原則、刷臉為例外”的目標(biāo)持續(xù)攻堅(jiān)。
作為第三方,華東政法大學(xué)智能法學(xué)科在學(xué)科負(fù)責(zé)人高富平教授的帶領(lǐng)下,對“亮劍浦江·2024”專項(xiàng)執(zhí)法行動(dòng)開展評估。評估組認(rèn)為,上海網(wǎng)信部門整治濫用人臉識(shí)別切實(shí)保障了公民個(gè)人信息權(quán)益。在大大降低風(fēng)險(xiǎn)的同時(shí),提升了企業(yè)和消費(fèi)者的個(gè)人信息保護(hù)意識(shí),優(yōu)化了營商環(huán)境和消費(fèi)環(huán)境,為人臉識(shí)別技術(shù)更廣泛運(yùn)用提供了“上海經(jīng)驗(yàn)”。
“亮劍”執(zhí)法,直面違法問題
濫用人臉識(shí)別技術(shù)的風(fēng)險(xiǎn),一直被上海監(jiān)管、執(zhí)法部門高度重視。
2021年,央視“3·15”晚會(huì)曝光科勒衛(wèi)浴上海部分門店安裝具有人臉識(shí)別功能的攝像頭,消費(fèi)者只要進(jìn)入門店,在不知情的情況下,就會(huì)被攝像頭抓取并自動(dòng)生成編號。
事件曝光后,上海市靜安區(qū)市場監(jiān)督管理局立即展開立案調(diào)查,并隨即公布調(diào)查結(jié)果及處罰決定。
值得注意的是,彼時(shí)涉事企業(yè)被責(zé)令改正、罰款人民幣50萬元,處罰依據(jù)的是《消費(fèi)者權(quán)益保護(hù)法》相關(guān)規(guī)定,執(zhí)法的是靜安區(qū)市場監(jiān)管部門。
2021年11月1日,作為國內(nèi)首部個(gè)人信息保護(hù)的專門性法律,《個(gè)人信息保護(hù)法》正式實(shí)施。上海對個(gè)人信息尤其是人臉等生物識(shí)別敏感信息提升保護(hù)力度。
2023年6月16日,針對消費(fèi)領(lǐng)域個(gè)人信息“過度采、強(qiáng)制要、誘導(dǎo)取、違規(guī)用”等問題,上海市網(wǎng)信辦、上海市市場監(jiān)管局共同啟動(dòng)“亮劍浦江·消費(fèi)領(lǐng)域個(gè)人信息權(quán)益保護(hù)專項(xiàng)執(zhí)法行動(dòng)”。掃碼點(diǎn)餐、停車?yán)U費(fèi)、少兒學(xué)習(xí)培訓(xùn)、網(wǎng)絡(luò)理財(cái)小貸、房產(chǎn)中介、租借共享充電寶、商超購物、汽車4S店……專項(xiàng)行動(dòng)選擇了社會(huì)關(guān)注度高、個(gè)人信息被過度索取問題突出的8大消費(fèi)場景。
在充分總結(jié)2023年工作經(jīng)驗(yàn)的基礎(chǔ)上,上海市網(wǎng)信辦、上海市市場監(jiān)管局啟動(dòng)“亮劍浦江·2024”專項(xiàng)執(zhí)法行動(dòng)的調(diào)研和策劃,人臉識(shí)別濫用被列為重點(diǎn)整治,參與協(xié)同的包括上海市公安局、上海市體育局、上海市商務(wù)委、上海市房管局等監(jiān)管執(zhí)法部門、行業(yè)主管部門,以及上海市消保委和有關(guān)行業(yè)協(xié)會(huì)等。
2024年4月29日,一則《上海一游泳館更衣柜推行人臉識(shí)別遭投訴》的新聞引發(fā)廣泛關(guān)注。根據(jù)《解放日報(bào)》報(bào)道,上海松江區(qū)的朱女士注意到家附近的泳樂游泳館(云間糧倉店)更衣室,采用了人臉識(shí)別的方式開啟更衣柜!罢驹谠O(shè)備前,攝影頭打光燈一亮,屏幕前就出現(xiàn)了附近來往顧客沒穿衣服的畫面。我連忙用毛巾把攝像頭擋住,趕緊用浴巾裹好身體!”
掌握報(bào)道線索后,4月29日、5月6日,松江區(qū)委網(wǎng)信辦協(xié)同市場監(jiān)管、公安網(wǎng)安等有關(guān)部門,兩次核實(shí)查驗(yàn)、指導(dǎo)整改。針對違法違規(guī)事實(shí),松江區(qū)委網(wǎng)信辦依法對涉事游泳館運(yùn)營主體——上?釋W(xué)體育投資管理有限公司作出警告的行政處罰。該案也成為上海市區(qū)兩級網(wǎng)信部門依據(jù)《個(gè)人信息保護(hù)法》,協(xié)同開展的人臉識(shí)別技術(shù)領(lǐng)域執(zhí)法首案。
此后,在大量調(diào)研基礎(chǔ)上,“亮劍浦江·2024”專門就公共場所強(qiáng)制、濫用人臉識(shí)別技術(shù)細(xì)化工作方案,執(zhí)法場景趨向精細(xì)化、顆;(xì)分為健身房、舞蹈房、游泳館等運(yùn)動(dòng)場所,商場超市、無人售貨機(jī)等消費(fèi)場所,演出場所、旅游景區(qū)、賓館旅館、文化場館等文旅場所,教育、培訓(xùn)機(jī)構(gòu)等教學(xué)場所及售樓處、住宅小區(qū)、保障性租賃房等生活居住場所。據(jù)上海市網(wǎng)信辦執(zhí)法人員介紹,整治方案明確上海市網(wǎng)信辦牽頭組建工作專班,統(tǒng)籌協(xié)調(diào)開展專項(xiàng)整治行動(dòng),參與專項(xiàng)行動(dòng)的協(xié)同單位為專班成員單位,涵蓋了上海市教委、上海市科委、上海市文旅局、上海市綠化市容局,幾乎覆蓋涉及民生的所有監(jiān)管執(zhí)法部門。
按照“不刷臉為原則、刷臉為例外”、“收集端總體減量、存儲(chǔ)端確保安全”的總體目標(biāo),上海確定了公共場所安裝人臉識(shí)別要遵循“為公共安全所必須”“有法律依據(jù)”“做到單獨(dú)告知”等三大原則,并要求公共場所人臉識(shí)別設(shè)備做到最大可能“退”、最小范圍“用”、最小范圍“存”,真正確保消費(fèi)者“放心”、使用者“用心”。
華東政法大學(xué)高富平教授牽頭的評估組認(rèn)為,專項(xiàng)行動(dòng)以規(guī)范化的執(zhí)法流程、場景化的執(zhí)法主線、精細(xì)化的執(zhí)法理念、信息化的執(zhí)法支撐,抓住各場景下的關(guān)鍵痛點(diǎn)、難點(diǎn),開展差異化、針對性、精細(xì)度的執(zhí)法活動(dòng),拓展了上海網(wǎng)信執(zhí)法實(shí)踐成果。
剛?cè)岵?jì),提升執(zhí)法效果
數(shù)據(jù)顯示,截至2024年11月,上海已推動(dòng)全市600余家商超門店,6300余家酒店,70余家公共體育場館,1200余個(gè)游泳館、健身場所,2900余個(gè)公共廁所完成“強(qiáng)制性”、“濫用化”刷臉的自查整改。
針對市民普遍反映的自動(dòng)售貨機(jī)違規(guī)“刷臉”問題,上海市網(wǎng)信辦督導(dǎo)申通地鐵對全市地鐵站內(nèi)的1400余臺(tái)無人售貨機(jī)完成排查整改,對其中存在問題的829臺(tái)無人售貨機(jī)暫停人臉支付功能,待整改完成后重新上線……
一連串?dāng)?shù)據(jù)的背后,是上海監(jiān)管執(zhí)法部門執(zhí)法方式的創(chuàng)新——從個(gè)案出發(fā),治理一個(gè)領(lǐng)域、解決一類問題,不局限于案件辦理本身,用剛?cè)岵?jì)取代純粹的剛性執(zhí)法。
澎湃新聞了解到,在關(guān)于如何推進(jìn)整治的問題上,“亮劍浦江·2024”專項(xiàng)執(zhí)法行動(dòng)明確提出,監(jiān)管執(zhí)法部門要會(huì)同行業(yè)主管部門、上海市消保委及有關(guān)行業(yè)協(xié)會(huì),通過普法培訓(xùn)、以案釋法、行政指導(dǎo)、自查整改、合規(guī)指引等多種方式,促進(jìn)企業(yè)合規(guī)經(jīng)營。
“除了個(gè)案的檢查和執(zhí)法之外,我們更希望通過普法培訓(xùn)、合規(guī)指導(dǎo)的方式幫助企業(yè)了解法律法規(guī)要求,劃清底線紅線,只有這樣才能平衡好企業(yè)發(fā)展與消費(fèi)者權(quán)益間的關(guān)系!鄙虾J芯W(wǎng)信辦執(zhí)法人員在接受澎湃新聞采訪時(shí)如此表示。
以無人售貨機(jī)企業(yè)的為例,上海市網(wǎng)信辦、上海市監(jiān)局通過摸排、調(diào)研和核查發(fā)現(xiàn),該場景普遍存在“未經(jīng)同意收集人臉信息”“隱私政策未提示或不完整”“強(qiáng)制收集手機(jī)號碼”“誘導(dǎo)收集個(gè)人信息”“無法一鍵關(guān)閉廣告”“未提供刪除個(gè)人信息渠道”等6類共性問題。
2024年11月,上海市網(wǎng)信辦、上海市市場監(jiān)督管理局聯(lián)合申通地鐵,以及支付寶、微信支付兩家第三方支付企業(yè)舉行“自動(dòng)售貨機(jī)個(gè)人信息保護(hù)普法培訓(xùn)會(huì)”,以問題為導(dǎo)向,以案釋法,并同步提供《自動(dòng)售貨機(jī)場景常見個(gè)人信息保護(hù)問題自查清單》供企業(yè)對照自查整改。
此次培訓(xùn)吸引了在上海運(yùn)營自動(dòng)售貨機(jī)的37家頭部經(jīng)營和運(yùn)維企業(yè),在同一個(gè)“課堂”上幫助場地租賃方、設(shè)備經(jīng)營方、技術(shù)支撐方對齊了合規(guī)意識(shí),形成了遵守《個(gè)人信息保護(hù)法》的共識(shí),為一攬子解決全行業(yè)個(gè)人信息保護(hù)問題打下堅(jiān)實(shí)基礎(chǔ)!吧虾J芯W(wǎng)信辦和市市場監(jiān)管局,相當(dāng)于給企業(yè)做了一個(gè)排雷系統(tǒng),所以我們很感謝他們給我們提出了這些問題,幫助我們?nèi)フ模屛覀兡芨弦?guī)地運(yùn)營。”一家參與此次培訓(xùn)的自動(dòng)售貨機(jī)運(yùn)維企業(yè)告訴澎湃新聞。
此外,“亮劍浦江·2024”專項(xiàng)執(zhí)法行動(dòng)還創(chuàng)新性地探索出“八步工作法”,通過“線索收集→現(xiàn)場檢查→合規(guī)培訓(xùn)→自查整改→推標(biāo)立規(guī)→回頭查驗(yàn)→立案處罰→評估問效+媒體監(jiān)督”等工作模式,全鏈條推進(jìn)相關(guān)問題整改。
華東政法大學(xué)師資博士后徐子淼參與今年對“亮劍浦江·2024”專項(xiàng)執(zhí)法行動(dòng)的評估。她告訴澎湃新聞,專項(xiàng)行動(dòng)通過普法培訓(xùn)、發(fā)布人臉識(shí)別領(lǐng)域的案例解析等方式,提升企業(yè)合規(guī)意識(shí),幫助企業(yè)理解法律要求,降低合規(guī)成本。同時(shí)通過集中排查、面對面約談和“回頭看”等方式,對典型企業(yè)和集中出現(xiàn)的問題提出針對性整改建議和監(jiān)督,確保落地見效。
“整體來看,兼顧到了不同層面,整個(gè)執(zhí)法流程合理高效!彼f。
值得一提的是,作為今年專項(xiàng)行動(dòng)的成果之一,“亮劍浦江·2024”結(jié)合兩年來網(wǎng)信執(zhí)法實(shí)踐成果,首次面向社會(huì)、企業(yè)和消費(fèi)者推出個(gè)人信息處理者應(yīng)知手冊、企業(yè)個(gè)人信息保護(hù)合規(guī)自檢清單、上海個(gè)人信息保護(hù)場景規(guī)范指引、上海市民個(gè)人信息保護(hù)要點(diǎn)問答,可概述為個(gè)人信息保護(hù)工具包、體檢包、服務(wù)包、護(hù)身包,這四個(gè)惠企為民“大禮包”,通過釋法、指導(dǎo)、評估、保護(hù)四個(gè)層次,建立了立體化個(gè)人信息合規(guī)利用的集約化管理框架,進(jìn)一步優(yōu)化企業(yè)合規(guī)效果。
多方聯(lián)動(dòng),凝聚共治合力
整治濫用人臉識(shí)別,除了發(fā)揮執(zhí)法監(jiān)管部門的引領(lǐng)作用外,“亮劍浦江·2024” 專項(xiàng)執(zhí)法行動(dòng)特別注重協(xié)同共治。也正因如此,在問題調(diào)研和線索收集上,專項(xiàng)行動(dòng)還發(fā)動(dòng)了一支“編外力量”。
上海高校教師劉杰(化名)指導(dǎo)7名法學(xué)生自發(fā)組建“銀河信息警備隊(duì)”,成果之一就是發(fā)現(xiàn),大學(xué)校園內(nèi)的45臺(tái)自動(dòng)售賣機(jī),有40臺(tái)存在過度索取個(gè)人信息情況,有的還存在誘導(dǎo)消費(fèi)者使用微信或支付寶刷臉支付的情況。
這次調(diào)研起源于一次消費(fèi)經(jīng)歷。因?yàn)橼s“早八點(diǎn)”的課,來不及在家里吃飯的劉杰,第一次在學(xué)校的自動(dòng)售賣機(jī)上買東西。而當(dāng)他掃碼支付時(shí),機(jī)器彈出了兩個(gè)選項(xiàng),一個(gè)是綁定手機(jī)號碼,一個(gè)是不綁定,當(dāng)他選擇不綁定后發(fā)現(xiàn),頁面自動(dòng)跳回前一頁。也就是說,如果不綁定手機(jī)號,就無法完成付款,無法購買。
到底多少臺(tái)自動(dòng)售賣機(jī)在索取個(gè)人信息?自動(dòng)售賣機(jī)一定要獲取手機(jī)號碼、微信號等隱私信息嗎?劉杰想搞清楚。
最終,劉杰和他的“銀河信息警備隊(duì)”通過調(diào)研得到了答案。他的故事經(jīng)媒體報(bào)道后,引起多方關(guān)注。依據(jù)他提供的線索,網(wǎng)信部門在深化研究調(diào)研基礎(chǔ)上,開展了深入拓展的集中整治。10月24日至28日,澎湃新聞走訪上海4所高校校園,發(fā)現(xiàn)大多數(shù)自動(dòng)售貨機(jī)已不再誘導(dǎo)或強(qiáng)制性“刷臉”。
華東政法大學(xué)高富平教授牽頭的評估組認(rèn)為,專項(xiàng)行動(dòng)推動(dòng)構(gòu)建“政府監(jiān)管、企業(yè)履責(zé)、社會(huì)監(jiān)督、公眾參與”的個(gè)人信息保護(hù)綜合治理格局。其中,在政府層面,上海市網(wǎng)信辦和上海市市場監(jiān)管局牽頭,進(jìn)一步推動(dòng)市區(qū)兩級及相關(guān)部門協(xié)同合作,集中力量提高企業(yè)合規(guī)便利度;在企業(yè)層面,重點(diǎn)關(guān)注平臺(tái)型企業(yè)和數(shù)據(jù)處理第三方企業(yè),注重發(fā)揮企業(yè)自查、自糾、自治、自律;在社會(huì)層面,以頭部企業(yè)為重點(diǎn)執(zhí)法對象,實(shí)現(xiàn)懲一企、震一行的執(zhí)法穿透力;在公眾層面,積極探索、完善投訴舉報(bào)及其反饋機(jī)制。
聚焦發(fā)展,引導(dǎo)科技向善
個(gè)人信息不僅涵蓋個(gè)人權(quán)益,也存在社會(huì)性價(jià)值。在對濫用人臉識(shí)別說不的同時(shí),上海也明確,應(yīng)加強(qiáng)研究,對新技術(shù)不能因噎廢食,要推動(dòng)新技術(shù)向上向善。
在接受澎湃新聞專訪時(shí),上海市消保委副秘書長唐健盛表示,對人臉識(shí)別技術(shù)的應(yīng)用,上海秉持審慎態(tài)度,倡導(dǎo)非必要不使用!皵(shù)字經(jīng)濟(jì)時(shí)代,個(gè)人信息的運(yùn)用能夠提升經(jīng)濟(jì)運(yùn)行效率。在確保數(shù)據(jù)安全且能夠有效使用的前提下,秉持積極的態(tài)度。我們不能片面地追求安全而忽視效率,也不能只注重效率而不顧安全。”
“個(gè)人信息包括人臉信息的安全風(fēng)險(xiǎn),猶如定時(shí)炸彈一般。”浙江理工大學(xué)數(shù)據(jù)法治研究院副院長郭兵指出,人臉識(shí)別在身份信息驗(yàn)證等方面為生活帶來諸多便利的同時(shí),其潛在風(fēng)險(xiǎn)難以有效把控!斑^度使用甚至濫用已成為該技術(shù)發(fā)展面臨的重大挑戰(zhàn)!彼J(rèn)為,人臉識(shí)別核心是用戶需要樹立個(gè)人信息安全意識(shí),遇到強(qiáng)制“刷臉”消費(fèi)者要大膽質(zhì)疑,對濫用人臉識(shí)別要始終保持警惕。
郭兵強(qiáng)調(diào),對濫用人臉識(shí)別技術(shù)說“不”,并非“一刀切”式的禁止刷臉!捌髽I(yè)應(yīng)為用戶提供刷臉或其他替代方式的選擇。采用刷臉方式時(shí),企業(yè)應(yīng)運(yùn)用足夠安全的技術(shù)手段防止人臉信息泄露,被違法使用、甚至被犯罪分子利用,此為其法定責(zé)任。監(jiān)管部門應(yīng)重點(diǎn)監(jiān)管人臉識(shí)別技術(shù)應(yīng)用的安全保障措施,維護(hù)公民個(gè)人信息合法權(quán)益、社會(huì)公共秩序與國家安全!
上海市網(wǎng)信辦執(zhí)法人員透露,“亮劍浦江·2024”專項(xiàng)執(zhí)法行動(dòng)對公共場所強(qiáng)制、濫用人臉識(shí)別技術(shù)的專項(xiàng)整治目前已取得一定成效。下一步,上海市網(wǎng)信辦將更加注重對人臉識(shí)別新的應(yīng)用場景的研究,以及對已經(jīng)開展整治場景的跟蹤,不斷引導(dǎo)人臉識(shí)別技術(shù)向上向善,促進(jìn)技術(shù)服務(wù)社會(huì)。在切實(shí)保障好公民個(gè)人信息權(quán)益的同時(shí),要用法治的營商環(huán)境護(hù)航企業(yè)健康發(fā)展。