無授權收集、無感化采集、無底線牟利……“護臉”難題難在哪?怎么破?
新華社上海12月27日電 題:無授權收集、無感化采集、無底線牟利……“護臉”難題難在哪?怎么破?
新華社記者王辰陽、程思琪、顏之宏
不久前,上海小鵬汽車銷售服務有限公司因向第三方公司購買22臺人臉識別攝像設備,非法采集上傳人臉照片超43萬張,被上海市徐匯區市場監督管理局處以10萬元罰款。經有關部門調查發現,當事人在旗下7家門店安裝人臉識別攝像設備,采集消費者面部識別數據,并未經得消費者同意,也無明示、告知消費者收集、使用目的。此前,另有多家企業也因非法采集消費者人臉信息遭監管機構處罰。
新華社記者發現,當前“人臉信息”這一重要個人生物信息被部分商家視為“唐僧肉”,涉“臉”個人信息侵權問題頻發。部分商家為何熱衷于非法采集消費者人臉信息?“護臉”難題難在哪?怎么破?記者就此展開調查。
部分企業要“臉”不顧“法”
小鵬汽車表示,此次事件中所獲人臉數據由第三方軟件提供商悠絡客采集,小鵬汽車不存儲此類數據。上海市徐匯區市場監管部門向記者表示,確已督促涉事企業將人臉識別信息刪除。
一段時間以來,此類問題頻頻出現。上海市靜安區市場監管部門查出科勒衛浴非法抓取了220萬余條人臉信息;深圳市市場監管部門查出正通集團旗下的寶馬4S店抓拍并存儲了4600余條人臉信息;2021年,上海市場監管機構因違法采集消費者人臉信息對上海易初蓮花連鎖超市有限公司、上海盛廣科技發展有限公司、上海聯亞商業有限公司等多家公司進行了處罰,部分企業單次處罰所涉消費者“臉照”就在數百萬張至數千萬張不等。
記者還發現,房地產行業是此類侵權的“重災區”。2021年,湖州金達置業有限公司、江陰梁瑞置業有限公司、佛山市新昊房地產開發有限公司等多地房地產公司都因非法采集人臉識別信息被當地的市場監管部門處罰。
專家表示,商家非法采集消費者人臉信息已涉嫌違法。消費者權益保護法明確規定,經營者收集、使用消費者個人信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和范圍,并經消費者同意。2020年10月實施的《信息安全技術個人信息安全規范》也明確規定,人臉信息屬于生物識別信息,也屬于個人敏感信息,收集個人信息時應獲得個人信息主體的授權同意。2021年7月28日,最高人民法院發布關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定,進一步將作為個人信息收集前提的“同意”細化為“單獨同意”。2021年11月1日起施行的個人信息保護法第26條規定,在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,并設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全的目的,不得用于其他目的;取得個人單獨同意的除外。
商家為啥盯著“臉”?利字擺中間
法網恢恢,為何部分商家卻仍想方設法“盜采”消費者人臉信息呢?記者調查發現,這與當前幾方面情況直接相關。
各類企業均有靠消費者“人臉信息”提升經營業績的強烈沖動。記者從市場監管部門了解到,小鵬汽車委托的第三方公司開發的算法可以對面部數據進行識別計算,以此進行門店的客流統計和客流分析,包括進店人數統計、男女比例、年齡分析等。這些數據是商家提升經營效率的重要參考。“會員授權的基礎上,基于人臉識別技術,會員進入門店的一瞬間,其以往在該品牌門店消費情況立即被推送到對應導購員的手持設備上,導購員根據關鍵信息為該會員進行精準導購。”在為小鵬汽車提供服務的悠絡客平臺網站上,該公司稱其解決方案可以應用于汽車、鞋服、快消、醫藥等多類消費領域。
大量從事“人臉”業務的企業能以“無感化”技術采集信息。據天眼查數據顯示,我國目前有7100多家企業從事“人臉采集”相關業務,曾被曝光涉嫌非法采集問題的悠絡客、萬店掌、雅量科技、瑞為等企業注冊資本均超過500萬元,合作客戶中不乏知名企業。
記者調查發現,“人臉信息采集”設備產銷企業普遍將“悄悄采集”“無感化”作為其產品的核心賣點,聲稱“即使(消費者)戴著口罩也能成功采集”。第三方研究機構信息顯示,此類技術被部分房地產開發企業廣泛應用。當購房者的人臉被攝像頭“無感”采集后,可能在后續無法享受某些購房優惠。因此,有業內人士在現場看房時選擇“佩戴頭盔”這種極端方式遮蓋自己的面部特征。
部分企業通過倒賣消費者人臉信息非法牟利。記者調查發現,有商家非法收集人臉信息并售賣,低至0.5元即可買到包含身份證信息在內的一名消費者的人臉數據。記者從警方了解到,倒賣“人臉信息”還成為當前網絡黑產鏈條重要一環,相關信息被用于虛假注冊、電信網絡詐騙等違法犯罪活動,供不法分子牟取暴利。
提升“護臉”效能還需系統施策
專家建議,當前要實現有效提升“護臉”機制效能,可從以下幾方面入手。
——應進一步通過立法實現多層次、系統化的人臉信息保護法律法規體系。清華大學法學院教授勞東燕告訴記者,一些地方已對“人臉識別”進行規范,如今年已施行的《天津市社會信用條例》、2022年3月1日起施行的《杭州市物業管理條例》。她表示,安徽省、蘭州市、北京市等地的《物業管理條例》也就業主個人信息保護進行了明文規定,但沒有明確提到指紋、人臉數據等生物信息,也沒有涉及強制收集問題,有待今后進一步明確。
——應進一步明確主責執法部門,推動相關領域執法機制化、常態化。“目前我國個人信息保護法中采用的是多部門管理機制,網信部門、市場監管部門等都是個人信息保護監管部門。”中國信息安全研究院副院長左曉棟認為,這一制度安排確有形成合力的優勢,但也容易導致“多頭治理”的問題。他建議,進一步明確各部門監管職能定位,并以此推動相關執法檢查常態化、長效化。“對確保相關場所依規張貼信息采集標識,APP或網絡平臺依規明示采集信息等規定落實而言,常態化監管非常重要。”
——應進一步加強對經營和購買“人臉識別”相關業務企業的監管力度。一方面,是應加大對涉“臉”違法行為的處罰力度。此次小鵬汽車采集43萬張人臉信息僅被罰款10萬元,部分網友認為“一張照片被罰2毛多,違法成本太低”。“如果按照個人信息保護法的要求,行政處罰是按照企業或商家全球營業額來罰款的,這個數額可以比較大。”左曉棟認為這樣有利于提高企業違法成本。
另一方面,多位專家呼吁應盡快設置“人臉識別”業務類企業準入門檻。“相關準入標準已在制定當中。”左曉棟說。
“此外,人臉信息屬于敏感個人信息,為避免一次授權即導致信息失控的情況,信息主體還應享有對相關信息的刪除權。”北京航空航天大學工業和信息化法治戰略與管理重點實驗室辦公室主任趙精武說。