媒体看闵检
来源 | 上海法治报(重点)
“我发现家门口健身房的入口只能扫描人脸才能进入,更衣室储物柜也有摄像头,必须人脸识别。摄像头打光灯一亮,谁还敢站在设备前换衣服?”消费者口中这令人不安的一幕,真实发生在上海闵行区的一家健身房内。
以此案为切入口,闵行区人民检察院以公益诉讼的模式开启了一场“护脸”行动,推进个人信息安全领域的源头治理。
今年正值人民城市理念提出5周年,在推动人民城市建设的过程中,检察公益诉讼如何助推数据信息安全监管和个人信息保护?随着人脸识别技术应用越来越广泛,又会带来哪些问题?该类技术在使用中又应遵循哪些原则?近日,记者就此采访了承办检察官以及相关专家学者。
更衣室储物柜必须扫脸 个人隐私去哪儿了?
今年4月,一位“益心为公”的志愿者来到闵行检察院反映,位于闵行区莲花南路上的一家健身房存在人脸识别技术滥用的问题,由此带来个人信息泄露的隐患。接到线索后,公益诉讼检察官立刻前往现场开展调查。
“该健身房是一个独栋的建筑,在上海其他区也有连锁门店,具有一定规模。”闵行检察院公益检察室检察官黎洪友是这起案件的承办人,通过现场走访调查,黎洪友发现“益心为公”志愿者描述的情况确实存在。
“该健身房入口处使用人脸识别门禁系统,将人脸识别作为会员唯一入场方式,并没有提供给消费者其他的入场方式。而消费者只有同意商家采集其人脸信息,方可成功办理该健身房的会员卡,享受健身及会员服务。”黎洪友告诉记者。
沿着楼梯,检察官来到地下一层的浴室,只见男女更衣室都设置了带有人脸识别功能的储物柜。“因为这一摄像头所处的位置是在更衣室,很可能会采集到消费者的隐私部位,存在侵犯消费者个人隐私的风险。”与此同时,黎洪友还注意到,健身房的入口处及更衣室内均未见采集人脸信息的提示。
对此,该健身房负责人现场表示,设备都是经过公安报备的,之所以引入人脸识别来管理人员进出、开关更衣室柜门,主要是基于会员需要。“日常使用中,多数会员喜欢使用人脸识别,因为操作比较方便。”
“事实上,是否在公安进行过报备,并不能成为其使用合法的依据,两者是不相关的。”
黎洪友告诉记者,考虑到人脸信息属于自然人的个人生物识别信息,该信息具有唯一性和不可更改性,一旦泄露或遭非法使用,极易导致个人名誉、身心健康受到损害或受歧视性待遇等,对此情况,闵行检察院当即决定立案调查,对相关数据通过拍照留存等方式进行证据固定。
检察建议推动“治理一片” 堵上侵害个人信息漏洞
从个案出发,为推进个人信息安全领域的源头治理,闵行检察院同步对接相关行业主管部门制发检察建议,督促涉案健身房采取整改措施,及时查处违法行为,并对辖区内其他类似经营主体进行排查,防止不当收集存储消费者个人信息。
记者获悉,目前,相关职能部门已对涉案健身房涉嫌侵害消费者个人信息权利的行为立案调查,并结合“守护消费暨打击侵害消费者权益突出违法行为专项执法行动”“亮剑浦江·2024”专项执法行动,在闵行区开展消费领域个人信息权益保护检查,严厉查处侵害消费者个人信息违法行为,截至目前共出动检查人员562人次,对281户经营主体开展检查,并立案1件。
今年9月,闵行检察院联合相关职能部门召开现场听证会,邀请人大代表共同到现场查看整改情况。公益诉讼检察官一边带着人大代表实地走访,一边对检察机关公益诉讼职能及本案基本情况做现场介绍。相关职能部门就其履职情况及整治效果,向参会人员逐一介绍,并就长效治理方案进行表态发言。
“通过实地走访,我们切实了解消费者个人信息被侵害的具体情况。这场现场公开听证,让检察建议整改实效看得见摸得着。”人大代表在“沉浸式”参与公益诉讼现场听证后表示,希望检察机关持续跟进检察建议的落实情况,对辖区内侵害个人信息的行为积极开展监督。
近日,公益诉讼检察官联合行政机关执法人员再次来到该健身房进行“回头看”。“我们发现在通往健身区域的过道处,已张贴了使用自助方式领取开柜手环的温馨提示。而入口的闸机可使用手环通过,更衣室柜门的屏幕已取消人脸识别功能,柜门开启改为使用会员账号及手环等方式。”黎洪友告诉记者,从回头看的情况来看,已经整改到位。
从国内人脸识别第一案后 法律法规趋于完善
记者在采访中获悉,对于人脸识别技术的使用,当前,法律层面上已经有了较为完善的规定。
“从当年郭兵诉杭州野生动物世界这一国内人脸识别第一案开始,近年来在法律法规上应该说是处于一个趋于完善的过程。”华东政法大学数字法治研究院副院长、副教授韩旭至告诉记者,从《民法典》到最高人民法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》的出台,从国家层面《中华人民共和国个人信息保护法》的施行,再到地方层面的《上海市数据条例》,对于人脸识别信息的保护,法律法规正呈现出多层次、系统化的特点。
“在法律框架下,明确经营者采集信息应当遵循合法、正当、必要的原则,收集的个人信息类型应与实现产品或服务的业务功能有直接关联。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息,且在收集前应单独告知收集、使用的目的、方式和范围以及存储时间等规则,并征得个人信息主体的明示同意。”
韩旭至解释,这就意味着,即便商家在征得消费者同意的情况下,如未告知充分的必要性以及后续需要采取的保护措施,依旧可以认定为违法。“显然,涉案健身房的更衣室人脸识别储物柜开箱方式与消费者刷卡开箱的功能基本一致,不具有‘特定的目的和充分的必要性’。”韩旭至告诉记者。
在实地走访中,检察官也发现,涉案健身房更衣室内安装摄像头作为人脸识别储物柜的开箱方式也未向消费者告知收集、使用范围和存储时间等。
“我们认为,涉案健身房的上述情况违反了相关法律法规的规定,存在个人信息安全隐患。”为最大限度维护消费者隐私和权益,公益诉讼检察官联合检务保障部门技术人员组成专业化办案团队进一步开展调查取证,查明侵权风险。
专家观点
“深度伪造”存隐患 个人信息保护需多方共治
随着人工智能技术的飞速发展,人脸识别越来越广泛地被应用到日常生活中,由此引发的滥用问题也愈受关注。
“首先是个人信息泄露的风险提高。”上海市社科院教授彭辉谈道,随着“刷脸”技术应用场景的扩大,人脸信息被不断索取,这些消费场景往往会与其服务捆绑,“随着算法能力的增强,由人脸照片又可以关联起姓名、职业、家庭关系等个人信息,这就加大了个人信息泄露的风险。”
这一点也得到了韩旭至的认同。“作为一种个人身份的校验方式,人脸识别类似于‘永久密码’,它与肖像、指纹等个人信息都不同,它通过脸部特征的上千个特征点进行数据分析,一旦泄露风险极高,面临着不可逆的损失。”韩旭至表示。
而另一大风险则来自“深度伪造”技术,“人脸识别技术所收集的人脸信息,会成为‘深度伪造’技术进一步训练的素材,从而形成伪造的面部,这大大增加了冒用个人信息的风险,比如犯罪分子可以通过伪造人脸轻松通过网络借贷,让个人财产面临损失。”彭辉谈到。
针对这些潜在的风险,彭辉建议,信息处理者要进一步加强内部规范制度,在法律框架下建立一套数据安全的体系,确保数据应用和传输的完整性及保密性,职能部门在强化执法力度的基础上,也要落实谁执法谁普法,通过场景式、沉浸式、体验式的方式,让消费者得到精准普法。
“个人信息保护不是单一部门的事情,需要网信、公安、市场监管等各个部门推动多元共治,最终才能有效保障相应制度落在实处。”韩旭至表示。
