人脸识别技术是一种根据人的面部特征信息进行身份识别的先进识别技术。它以其不灵敏、方便、准确等优点被广泛使用,但近年来也引发了一些法律问题。如何对其进行适当规范,值得深入研究。个人隐私和信息安全的隐忧是第一位的,威胁着个人隐私。人脸识别技术采用的人脸信息是个人独有的生物识别信息,在系统不完善的情况下很容易威胁到公民的隐私。例如,2019年2月,深圳“AI+安防”公司人脸识别数据库因缺乏保护,发生数据泄露,导致超过250万人的人脸信息被无限制访问。同年9月,“ZAO”换脸应用程序要求用户同意授予“ZAO”及其关联公司在全球范围内免费且不可撤销地使用人脸照片的权利。明显涉嫌侵犯用户个人隐私,最终被工信部约谈。要求整改。根据IHS的研究报告,到2021年,全球安装和运行的监控摄像头将超过10亿个,其中超过50%的摄像头位于中国。相关数据库缺乏保护,各种APP过度收集,人脸识别设备几乎无处不在,导致人脸识别技术与个人隐私之间的紧张关系。第二,泄露个人信息。根据《民法典》第四部分“人格权”、《网络安全法》及相关司法解释的规定,我国坚持“隐私与个人信息”双重保护的立法理念。人脸识别信息不仅??涉及隐私,而且是能够单独识别特定自然人或反映其活动情况的公民个人信息。一旦大量人脸信息泄露,由于换脸难度大,将终身泄露。即使信息主体合法维权成功,也难以恢复原状。因此,无论是政府部门还是商业机构,如果在收集、存储、使用过程中不遵守法律法规规定的“合法、正当、必要”和“信息-同意”的原则,人脸信息,有可能侵犯公民的人身权利。相应的法律责任。例如,2020年5月,江苏省宿迁市某健身中心因违规采集会员人脸信息,被宿迁市公安局宿豫分局责令限期整改并给予警告。近年来,多起犯罪人因非法获取、出售、向他人提供人脸信息等侵犯公民个人信息罪被追究刑事责任。三是存在安全隐患。目前,人脸识别技术广泛应用于公安(罪犯识别、边防管理)、场所出入(机构门禁、物业服务)、信息处理(账户认证、文件解密)等领域,但人脸识别的应用技术并非无懈可击。比如在2017年的“3月15日”晚会上,在技术人员的支持下,主持人现场“变脸”,仅靠与观众自拍就破解了“刷脸登录”认证系统。2018年8月,被告人唐某通过制作3D人脸动态图攻破人脸识别认证系统,导致被害人账户财产转移。人脸识别技术主体的技术条件和管理水平良莠不齐,部分不法分子甚至会开发黑客工具,绕过、干扰或攻击人脸识别技术背后的系统和算法,从而造成盗窃、欺诈、入侵等。入室等下游犯罪,危害被害人的数据安全、财产安全甚至人身安全。落实科学标准区分应用场景的个人信息领域行业标准兼具技术属性和制度属性,这决定了我们在制定标准的同时要切实落实科学标准,最终形成全行业普遍遵循的共识.我国最新国家标准GB/T35273-2020《信息安全技术 个人信息安全规范》取代GB/T35273-2017版,对人脸识别技术在采集、存储、分享、公开等不同环节的应用提出了标准。为确保标准落地实施,应进一步明确中央和地方的监管机构和监管事项,突出国家和地方网信办的主导作用,避免不同监管部门指导可能出现的随意性和模糊性。机构窗口;采用分级分类系统对人脸识别技术的软硬件进行专业认证,确保人脸识别的安全性和准确性;建立“测评”机制,制定可执行、可重复的验收规则,并对照现有标准程序进行验证。同时,整合全国信息安全标准化技术委员会网站、中国知网标准库等信息源,推进统一标准信息公开平台建设,指导不同主体合规经营在人脸识别技术领域。在基于公共利益使用人脸识别技术的“公共”场景中,应坚持“比例原则”和“最低必要性原则”。“比例原则”要求社会管理者本着“法无明文,方能为之”的理念,追求社会治理目标的实现与亲属的合法权益之间的平衡。为此,有必要厘清人脸识别领域公共利益的内涵和外延。公共利益通常指“社会中不特定大多数人所享有的利益”。结合人脸识别技术的应用场景,公共利益可以分为公共安全、公共秩序、公共财产等具体类型。应针对具体场景进行框定,避免以公共利益为名随意采集和使用人脸信息。同时,要推进事前监管性质的听证制度,评估人脸识别技术应用的必要性、效率和风险,建立人脸识别技术应用的备案或审批制度。根据情况。“最低必要性原则”要求应用人脸识别技术要有明确的主体清单和资格条件,采集频次和数量满足达到目的所需的最低值,避免肆意扩张和无序采集。在授权访问和存储时间方面,应建立授权人员的最低访问控制策略;除非法律法规或信息主体另有授权,人脸信息应当在实现公共利益后的一定期限内删除或匿名化处理。在“商业”场景下,除了遵守上述原则外,还必须真正落实公众的“选择权”和“同意权”。就选择权而言,由于人脸信息的稳定性高、匿名难度大,商业机构应借鉴隐私保护的场景理论,建立不同场景的身份识别机制。确需进行人脸识别的特殊场景,应当采用密码、指纹、人脸等多因素身份识别管理系统,信息主体自主选择;在一般不需要精准身份确认的场景下,密码、指纹等人脸识别以外的验证方式,从源头上减少了人脸信息的采集。就同??意权而言,除依法授权或主管机关核准外,信息主体可援引第四百九十六条、第四百九十七条关于商业机构强制采集人脸信息或不提供产品格式条款的规定或服务。约定主张合同无效并向监管机构报告的;监管部门应客观评估商业机构采集人脸信息的依据,将不当使用人脸识别技术的机构拉入“信用黑名单”,根据不同程度的违规行为进行罚款或市场禁入,确保信息控制者不得违背信息主体的意愿进行人脸信息捆绑采集。为数字经济营造便利的法治环境在信息和数据成为重要生产资料的数字经济时代,人脸信息涉及个人、行业和社会的共同利益。首先,选择以《数据安全法》《个人信息保护法》为代表的特殊立法保护模式,厘清删除、匿名化、去标识化等容易混淆的概念,整合人脸识别相关的40多部部门规章和近100部地方性法规和规范。证件提升人脸识别规范的法律层面。其次,《民法典》第1034条和第1035条规定了生物识别信息(包括人脸信息)的个人信息属性,但没有特别的保护安排。进一步明确人脸信息与隐私权、人格权、身份权的关系,强化“隐私政策”、“用户协议”等形式的“信息-同意”规则,避免违约现象的发生同意、诱导同意和强迫同意。人脸信息侵权“损害”认定、举证责任及赔偿标准第三,协调不同主体在不同法律规范下的权利和义务,促进信息的有序流动。信息主体有权查询、更正、删除、撤销人脸信息,但信息控制者也有履行“网络实名制”和保全“犯罪证据”的义务。权利之间的紧张关系。设计好不同主体在涉及法定义务、国家安全、公共卫生、诉讼程序等特殊情况下的权利义务分配,为数字经济营造运行便利、权责明确的法治环境。尤其要积极发挥刑法对人脸信息犯罪的震慑作用。我国刑法和司法解释对个人信息采取分类保护方式,但没有明确人脸信息分类和定罪量刑标准。目前,针对第一类财产信息、行踪信息、征信信息、通讯内容的涉案数量超过50条;第二类健康生理信息、住??宿信息等500条以上;第三类其他信息5000以上。人脸信息不属于第一类信息,不同于第二类健康生理信息,但明显比第三类其他信息重要。人脸信息的定罪量刑标准应通过司法解释中的“其他情节严重的情节”来确定,参照第一类信息50条为定罪标准,达到10条以上时倍标准,构成“情节特别严重”。”。同时,除了侵犯公民个人信息的犯罪,人脸信息的黑灰色产业链还包括提供人脸识别破解软件、人脸识别“照片激活”工具的教学和销售等。、人脸识别帮助网络诈骗、盗窃等犯罪类型,提供侵入、非法控制计算机信息系统程序和工具等犯罪、传授犯罪方法罪、帮助信息网络犯罪、诈骗等犯罪盗窃等预防作用。
