非必要不刷脸,能不刷脸的,能应用扫码、输入密码等技术识别身份的,就不要用刷脸技术。
文丨 沈彬
担心刷脸技术被滥用,是很多人隐隐的焦虑所在。如今,支付要刷脸,门禁要刷脸,似乎很多本不必刷脸的地方都开始需要刷脸,在互联网时代里如何保护我们这张“脸”?特别是如何平衡个人信息安全和互联网应用的便捷性?
2024年,上海开展了“亮剑浦江·2024”消费领域个人信息权益保护专项执法行动,明确了公共场所“不刷脸为原则、刷脸为例外”的治理大目标,而且上海市还率先确定了公共场所安装人脸识别设备三大原则:“为公共安全所必须”“有法律依据”“做到单独告知”。
三大原则看似平淡,其实为公共场所合法合理合规使用刷脸技术,提供了上海版的、可执行、可操作的解决方案,既要保障消费者个人信息权益,也为人脸识别技术的合法应用探索留下了必要空间。
“为公共安全所必须”意味着非必要不刷脸,能不刷脸的,能应用扫码、输入密码等技术识别身份的,就不要用刷脸技术。因为脸是公民的重要的个人生物信息,有着天然的敏感性,特别是如今AI换脸技术如此发达,一旦被滥用,后果非常严重。
“有法律依据”意味着,在公共场所设置刷脸设备应该有明确的法律授权,政府部门、企事业单位不能够任性设置刷脸设备。
“做到单独告知”是对《个人信息保护法》相关条款的具体应用。该法规定,对于敏感个人信息的处理,如生物识别、特定身份等,根据法律规定,必须取得个人的单独同意。刷脸作为敏感的生物识别信息也必须取得用户的单独授权,不能够混同于其他的应用授权。
上海的这一系列治理方案,被学者称为治理刷脸技术的“上海经验”。
2021年11月,作为国内首部个人信息保护的专门性法律,《个人信息保护法》正式实施。之后,针对消费领域个人信息“过度采、强制要、诱导取、违规用”等问题,上海市网信办、上海市市场监管局共同启动相关专项执法行动,扫码点餐、停车缴费、少儿学习培训、网络理财小贷等成为重点治理领域。特别是今年4月,上海松江某游泳馆的女更衣柜竟然推行人脸识别,完全不顾基本用户隐私,引发社会公愤,相关企业也受到了严厉的行理。该案也成为上海市区两级网信部门依据《个人信息保护法》协同开展的人脸识别技术领域执法首案。
处罚不是目的,严厉的事后处罚不能代替事前治理、溯源化治理、系统化治理。“上海经验”除了明确刷脸设备的“为公共安全所必须”等三原则之外,还将合规治理落地、入企,落实到具体的企业、具体的商业设备当中。
首先,上海坚持“从个案出发,治理一个领域、解决一类问题”,从“点”的治理升级为“面”的监督整改。截至2024年11月,上海已推动全市600余家商超门店,6300余家酒店,1200余个游泳馆、健身场所,2900余个公共厕所完成“强制性”、“滥用化”刷脸的自查整改,真正做到了对重点场所、重点领域的重点监督,哪里有滥用刷脸技术,监管就落实到哪里。
其次,上海强化对企业的合规培训,落实源头管理,而不是事后惩罚。职能部门不仅要告诉企业哪些是错的,还要告诉哪些是可以依法做的。上海相关部门以及有关行业协会,通过普法培训、行政指导、合规指引等多种方式,促进企业合规经营。上海运营自动售货机的37家头部经营和运维企业被邀请一起参加相关培训,相关企业非常感谢职能部门帮企业经营“排雷”。
技术向上向善,应该以人为本,刷脸技术一路狂奔,可能就会走到“人”的反面。而现行的相关法律规定比较原则性,更需要结合具体的治理场景、治理实践,提供可执行的解决方案。上海敢为天下先,率先提出了相关的治理方案,这对于优化消费环境,优化营商环境都起到了非常重要的作用。
“不刷脸为原则”,这个原则要坚持。
编辑|沈关哲
排版|甘琼芳
澎湃评论独家稿件,未经授权不得转载
推荐阅读
点击下方名片,关注我们