人脸识别第一案:告的是什么
2019-02-16毛亚楠
毛亚楠
近日,中国“人脸识别第一案”备受关注。因杭州野生动物世界启用人脸识别入园,该园年卡用户郭兵认为其强制收集个人面部特征的行为,违反了消费者权益保护法,遂将杭州野生动物世界诉至法院。
《方圆》记者从郭兵处了解到,其已于12月11日向杭州市富阳区法院提出了增加诉讼请求的申请。申请书中除了列举之前人们广泛讨论的“动物园使用人脸识别认证系统”的问题,郭兵还增加了“确认被告‘年卡办理流程告示中的‘扫描指纹后激活年卡、‘凭年卡及指纹正常使用等内容无效”的请求。也就是说,不仅仅是“人脸识别”,还有“指纹录入”等问题,也将成为本案讨论的重点。
郭兵向《方圆》记者解释说,“不论是指纹信息还是面部特征信息都属于个人生物识别信息,动物园都不应该强制收集。根据消费者权益保护法和网络安全法的相关规定,消费者可以要求法院确认该动物园强制收集指纹和人脸识别信息的格式条款内容无效”。
“指纹信息也是个人信息啊,当时办年卡缴费也要登记真实姓名、电话、家庭住址以及身份证信息,人脸识别只不过使用起来更方便而已。”这是此事刚发生时,杭州野生动物世界的官方回应。动物园方或许想不到,在人脸识别技术普遍应用且鲜有人发问其信息数据去向和应用边界的当下,其会因与一位法学教授的“狭路相逢”,而站到了被告席上。
没有必要的人脸识别
郭兵的身份是浙江理工大学法政学院特聘副教授、硕士生导师,主要研究方向為行政法学、网络法学。他向《方圆》记者表示,人脸识别等技术应用引起的个人信息保护难题是他近年来持续关注的问题。
今年4月,郭兵带着家人去杭州野生动物世界游玩,花费1360元购买了一份入园双人年卡,有效期为一年。根据动物园方的要求,每次入园,游客需在闸机上同时验证年卡和指纹。对于园方采集游客指纹的行为,郭兵其实当时就不太认可,但因为“带孩子去玩图个开心”,也就没有太较真儿。
直到10月,郭兵突然收到杭州野生动物世界发来的一条短信,短信中称,“园区年卡系统已升级为人脸识别入园,原指纹识别已取消,即日起,未注册人脸识别的用户将无法正常入园。您如若未注册人脸识别信息,请携带指纹年卡尽快至年卡中心办理”。
郭兵认为,比起之前被园方录入的指纹信息,人脸识别信息更容易与游客本人进行匹配,所以“人脸识别信息一旦泄露对人的隐私带来的损害更大,甚至有可能会造成终身损害”。10月26日,郭兵前往杭州野生动物世界核实短信所告知的内容,园方告示以及工作人员的回复,都明确说明游客必须进行人脸识别认证,否则就无法入园,郭兵于是提出退卡的要求。
( 图片来源:图虫创意)
据郭兵反映,当时园方工作人员告知他,唯一的退卡办法是要按照单次入园价累计折算,从年卡价格中扣除已经消费的门票价,同时明确表示没有其他入园方案。至于后来园方接受媒体采访时表示可以“用身份证加年卡入园”的方式,郭兵对此并不认可,他表示,当时向园方多位工作人员反复确认过,工作人员都明确回答,除了人脸识别入园,没有其他入园的方式。
郭兵敏感地意识到,动物世界的做法涉嫌违法。“《消费者权益保护法》第29条规定:‘经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。”
“动物世界没有收集人脸信息的必要,更不用说具有合法与正当的理由。从理论上来讲,‘必要一般指的是要达到某一个服务目的,其采取的方式对权益受影响的消费者的损害应该最小。现在园方采取的方式显然有非常大的权益侵害风险。因为人脸信息一旦被泄露或者被非法获取,其后果该怎么控制?”
10月26日,郭兵以杭州野生动物世界未经其同意强制收集个人生物识别信息、严重违反消费者权益保护法等法律相关规定为由,将杭州野生动物世界起诉至杭州市富阳区法院。11月1日,杭州市富阳区法院正式受理此案。该案也成为国内消费者起诉商家的“人脸识别第一案”。
厘清技术应用的边界迫在眉睫
一时间,杭州野生动物世界“出了名”。据《方圆》记者了解,这家动物园不是第一家使用人脸识别系统的景点,可以说,近两年,人脸识别技术迅速拓展其商业版图,很多商家都在使用。
据杭州野生动物世界工作人员反映,从今年9月起,园区就开始陆续拆除入口处的指纹验票闸机,转而启用人脸识别系统进行入园验证。目前,入园闸机处有两个通道,各有一台人脸识别设备,入园高峰期,检票员还可以手持人脸识别设备进行验证。游客在售票窗口或自助售票机上购买年卡后,需要到年卡中心拍照激活,然后直接刷脸进园。
相比之前入园时需同时验证年卡和指纹的做法,游客使用人脸识别设备只需不到5秒时间就可以通过园门,这让不少游客感到“很方便”。“方便、高效”也是园方启用人脸识别系统的初衷,据园方工作人员反映,指纹验票的弊端在于效率低下,常常需要游客按好几次指纹才能通过。另外,指纹识别还可能出现不易识别的情况,比如手指在受伤后指纹就不容易被识别,游客就必须去年卡中心重新录指纹,十分麻烦。启用人脸识别入园系统后则避免了这种麻烦。不过,《方圆》记者并未在园方官网查询到启用人脸识别系统的提示信息,对于郭兵担心的泄漏隐私的问题,园方的回复是,“年卡到期后会自动清零”。至于园方是否有完备的数据保护系统防止信息泄漏,目前不得而知。对于这次诉讼,园方也表示己方有所反思,今后在处理问题的方式上会更加谨慎,今后如果再做相关调整,会提前询问用户的意见,“先调研一下”。
在起诉书中,郭兵引用消费者权益保护法第29条规定,经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。此外,经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。
对此,泰和泰(北京)律师事务所律师刘汝忠分析,此案的焦点,就在于界定杭州野生动物世界是否违反《消费者权益保护法》第29条“收集、使用消费者信息,遵循合法、正当、必要的原则”之规定。
刘汝忠认为,“关于合法性原则,根据消费者权益保护法第29条规定,应当向消费者明示个人信息处理目的、方式、范围、规则等,且经过消费者的同意后,方可收集消费者的个人信息。具体包括以下几个方面:1.不得欺诈、诱骗、强迫提供其个人信息;2.不得隐瞒服务所具有的收集个人信息的功能;3.不得从非法渠道获取个人信息;4.不得收集法律法规明令禁止收集的个人信息。本案中,动物园在未与郭兵进行任何协商亦未征得其同意的情况下,通过短信方式告知游客‘园区年卡系统已升级为人脸识别入园,原指纹识别已取消明显违法。”
“关于正当性原则,是指收集消费者个人信息是否能够实现采集机构目的,且目的是正当合理的。本案中,升级后未注册人脸识别信息的用户将无法入园,此种‘只能被迫接受,否则没法使用的行为严重侵犯了用户的选择权。”
“关于必要性原则,我们可以借鉴《信息安全技术个人信息安全规范》‘最少够用原则进行解释,只要收集满足个人信息主体授权同意的目的所需的最少个人信息类型和数量即可。就本案来说,采用一般的身份证件就可以达到入园身份识别的目的,因此,动物园进行人脸信息的采集并不是必需的。”
因此,刘汝忠认为,“本案不仅是一个简单的违约之诉,它将全面理清人脸识别技术应用的权界问题。作为一名法律工作从业者,我希望通过本案的裁判结果,能对商家的个人隐私信息采集行为予以界定,明确可采集的应用场景、使用范围、保管责任、违规处罚标准等,以避免商家随意越界采集、使用个人信息。同时,也希望敦促相关部门尽快建立监管制度,推动相关法规出台”。
而这也是郭兵提起诉讼的目的:“我花费时间和精力到法院去起诉,不可能就是为了这点年卡钱。如果通过这次纠纷,技术方、法律政策制定者、普通老百姓能够通过讨论的方式来达成一个(使用人脸识别)最低限度的共识,我觉得这个案件就是有意义的。”
人脸识别技术带来的风险
郭兵案件触发了公众对个人信息过度采集的关注,人们这才意识到,人脸识别技术不仅是我们日常所看到的那样单纯的识别及与数据库中的相应信息进行比对,它还能进一步追踪到个人的身份信息、日常的行踪轨迹等。
我国法律目前还没有明确规定有权收集个人信息的机构,换句话说,到底哪些行业或者哪些类别的机构才有权力去收集个人生物信息,在法律层面上还是空白的。
越来越多的人意识到,前几年是否接受人脸识别技术,选择权还掌握在自己手中,比如如果不使用刷脸支付方式,还可以使用密码等方式代替。但随着人脸识别技术在居民区、商场、单位、机场、火车站、高校等公共场所的应用,人们对于自己的人脸识别信息越来越难以自主掌控。
与指纹、虹膜等其他生物识别信息相比,人脸信息具备自然性和非接触性的特点,个人可以在与设备不直接接触、没有觉察的情况下被采集人脸识别信息。郭兵案涉及的人脸信息采集,尚且发生在个人可见的场景下,被采集人尚有提出异议的机会,而在更多的场景中,人们是在不知情的情形下被采集了人脸信息,该情形隐藏的风险更大。
据《北京青年报》披露,网络上公开兜售人脸数据的情况并不少见,5000多张人脸图,打包价只要10元钱。且每张图片搭配一份数据,包括人脸的各处关键点,甚至还标注了性别、情绪、颜值等具体信息。数名图片及数据的当事人则称,自己是在不知情情况下被收集了信息。
AI换脸应用软件ZAO此前因“用户协议不规范”和“数据泄露风险”等问题受到工信部约谈,此事就揭露出这样一种风险:当人脸信息和其他信息结合起来被叫卖,他人或可转卖牟利,甚至用作实施诈骗等犯罪活动。
已有多个相关案例在中国裁判文书网披露。有被告人称其按10元至15元一张的价格倒卖人脸信息照片,然后在获取对应驾驶证和行驶证等个人信息的情况下,帮人注册滴滴车主账号,进行牟利。而在另一起抢劫案中,面对劫匪,被害人声称忘记密码,劫匪就利用被害人的身份证和支付软件的人脸识别功能修改了支付密码,最后造成了损失。
杀鸡用牛刀?
“人脸识别第一案”爆发后的讨论显示,虽然部分人群对人脸识别技术存在警惕之心,但更多的人还是习惯了如今的视频监控、指纹识别及人脸识别的快捷。让渡一部分隐私来获取操作的快捷,让很多人觉得,这是数据时代默认的交易规则。
作为服务过很多互联网企业的律师,上海大邦律师事务所高级合伙人游云庭向《方圆》记者表示,他对人脸识别技术这样一种新生事物持肯定意见,“虽然目前来看,这种技术的应用的确存在一些风险,但总体上,它对社会进步是有益的,判断一项技术可不可为我们所用,关键要看它是不是可控,起码目前来看,这项技术的应用和发展是在可控范围之内”。
刘汝忠则认为,对于人脸识别技术,我们既不能因为数据安全问题而因噎废食,放弃对数据和创新技术的应用,也不能因为单纯地看到技术应用带来的前景,而无节制地对数据和技术进行滥用。
“毕竟人脸识别与普通的生物信息采集不一样,具有整体性和敏感性两大特征,整体性就是指人脸识别是针对整体生物特征,需要采集用户脸部的各个信息特征,并且一旦录入难以更替;敏感性就是指人脸信息一旦被泄露,将会给用户带来不可预估的损失。”刘汝忠说。
据刘汝忠介绍,在荷兰就曾发生过一个类似郭兵案的案例。荷兰一家连锁鞋店打算对所有门店的收银电脑系统进行升级,新系统不再使用密码登录,而是采用指纹识别登录技术,因此需要采集店员指纹信息,但是其中一名雇员不想被采集信息,并把鞋店告上了法院。该法院的核心观点就是“杀鸡莫用牛刀”。用指纹识别这样的“牛刀”当然可以“杀鸡”(即达到身份识别和安全保障的目的),但同样的目的可以通过刷卡登录与密码相结合等方式来实现。连锁鞋店对这一论点并没有给出充分有力的反驳。法院指出,连锁鞋店没有能够出示文件或其他材料,充分说明其对指紋识别之外的替代方案进行了细致的考察和权衡,并基于这种利害分析而最终选择使用指纹识别而不是其他方案,因此法院支持雇员的请求。
刘汝忠认为,对于郭兵案来说,也是如此。动物园采用一般的身份证件就可以达到入园身份识别的目的,因此,动物园进行人脸识别信息的采集并不是必需的。
过度依赖这项技术会有怎样的后果呢?据美国《财富》杂志报道,美国圣地亚哥的一家人工智能公司Kneron用高清3D面具和照片,在世界多地成功欺骗了人脸识别系统。在面部识别技术广泛应用的亚洲商店,Kneron团队用一个特制的3D面具,成功欺骗了支付宝和微信的人脸识别支付系统,完成了购物支付程序。在荷兰最大的机场史基浦机场,Kneron团队甚至用手机屏幕上的一张照片骗过了自助登机终端的传感器。