当你“刷脸”的时候,你就已经被风险包围了。人脸识别个人信息保护。本案系2019年杭州野生动物园入园系统升级引发的纠纷。入园方式升级后,原告购买的年票入园方式由指纹验证变更为入园方式。到人脸识别。原告主张,人脸信息作为个人敏感信息,对信息主体影响较大。被告改变入园方式的短信和公告无效,变相强行采集人脸信息的行为违反《消费者权益保护法》,要求动物园退还购买费用,补偿相关交通费用并删除收集的信息。被告辩称收集个人信息符合知情同意原则,双方签订的服务合同仍然合法有效。一审法院裁定支持原告的请求。这起案件并不是我国第一次因人脸技术发生纠纷。早在2017年,在城市公交路口设置人脸识别查处交通违章人员的做法就引发了关于如何平衡公共安全价值与公民个人隐私的热议。一、人脸识别技术的概念人脸识别又称人像识别、人脸识别,是一种基于人的面部特征信息进行身份验证和识别的生物识别技术。人脸识别系统主要包括四个部分:人脸图像采集与检测、人脸图像预处理、人脸图像特征提取、人脸图像匹配与识别。,颧骨周围和嘴巴边缘等进行图像处理。人脸识别的研究始于1960年代。20世纪90年代初,麻省理工学院的研究人员提出了特征脸人脸识别理论和方法,标志着人脸识别技术作为一门新兴学科的研究正式开始。2014年,“深度学习”被应用到人脸识别领域,人脸识别准确率有了新的飞跃。2018年后,“人脸识别支付”在全球范围内落地应用,更充分体现了人脸识别技术广阔的发展潜力。2、人脸识别技术应用的主要场合目前,人脸识别主要应用于安防、支付系统、交通和门禁等领域。在安防方面,人脸识别、大数据和人工智能技术相结合,广泛应用于侦查预防犯罪、出入境管理、安全防范等领域。在金融支付方面,刷脸支付成为一种全新的支付方式,有取代扫码支付成为主要支付方式的趋势。这样一来,消费者就可以摆脱忘记带现金或手机的烦恼,缩短支付时间,提高消费的便利性。在交通方面,人脸识别已经应用于机场的自助登机系统和安检,以及网约车司机的身份识别。在门禁控制方面,身份识别智能门禁通过将摄像头采集的人脸图像与待检测数据库进行比对,实现身份识别,从而控制门禁需求,方便快捷,易于管理。操作。此外,有利于加强紧急情况下的执法力度。3.包括人脸识别在内的个人信息规范发展的历史在美国,个人信息属于“个人记录”的范畴,这里的“记录”是指“相关机构保存、收集、收集、收集、记录的与个人信息相关的项目”。和分类。这包括但不限于他的教育背景、金融历史、病史、犯罪记录和就业记录,以及他的姓名或特殊的个人识别号码、符号或其他识别特征,例如手指、声纹或照片”。从法律名称可以看出,此处的个人信息或个人记录受隐私保护。个人信息保护的关键是限制联邦机构,防止公权力散布可识别个人信息,维护个人隐私。之后,经济合作与发展组织在1980年颁布了《隐私保护与个人数据跨境流通指南》。《指南》将个人信息添加到“个人数据”一词中,希望在数据自动化处理技术飞速发展的背景下,不仅保护个人信息和隐私,但也不过分影响国际数据流动。“个人信息”的概念起源于1988年澳大利亚颁布的《隐私法》,定义为“可识别或理论上可识别的信息连同意见”,与个人信息是否真实无关。根据该法案被归类为个人信息的表格记录。从此,欧盟《个人数据处理保护与自由流动指令》、英国《数据保护法》、日韩《个人信息保护法》、新加坡《个人数据保护法》都在法律上定义了个人数据、个人信息等概念。个人信息的内容在我国法律中出现的时间比较晚。首次出现于工业和信息化部2011年12月颁布的《规范互联网信息服务市场秩序若干规定》。《规定》第11条强调,未经用户同意,互联网信息服务提供者不得收集与用户相关的能够识别用户身份的信息。用户单独或与其他信息结合,并将此类信息称为“用户个人信息”。《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》2013年4月发布,首次规定了“公民个人信息”的内容,即“包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、简历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息数据。”2016年11月颁布的《网络安全法》首次定义了个人信息的概念,即“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”。我国2017年通过的《民法典》第111条明确规定“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法获取并保障信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人的个人信息。”迄今为止,据不完全统计,中国大陆已有民法3部,宪法和行政法领域的法律21部,经济法16部。法律和社会法领域的法律、3部诉讼法、2部刑法修正案、11部行政法规以及数十部国务院规范性文件和部门规章对个人信息进行了规范。4、人脸信息的相关规范从上述个人信息规则来看,个人信息定义中没有直接列出人脸。这就需要结合人脸的属性来分析人脸识别。相关规定将“可识别性”作为界定个人信息的要素。同时,在《通知》中,个人信息的外延以枚举的方式确定,同时使用“等”一词泛指其他能够识别公民个人身份或身份的信息数据。涉及公民个人隐私。相较于有效身份证号码、电话号码、学历等信息,人脸是更容易识别和确定个人身份的个人信息。在熟人社会中,人们的年龄、身份证号码或住址可能不为人知,但只要看脸就可以识别。在陌生人的社会中,即使你知道很多上述信息,你仍然需要参考面部来验证和确认。因此,从立法技术角度看,“等待”二字涵盖了人脸信息。从法律解释的角度来看,“等待”一词可以自然地解释,即“等待”自然而然地涵盖了人脸信息。将这种解释延伸到法律上,就是《民法典》以及相关法律法规规章中的个人信息应该包括人脸。从我国法律对个人信息的定义来看,人脸信息应属于个人生物识别信息的范围,是个人信息的重要组成部分。根据第七十六条第五款规定,个人信息包括但不限于“自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等”。其中,生物识别信息是指通过特定技术处理,与自然人的身体、生理或行为特征相关的个人数据,此类数据能够确认一个人的独特身份。一般来说,生物识别信息分为两类。一类是基于人体或生理特征的信息,如虹膜信息、指纹信息、人脸信息、语音信息、体味信息等;另一个是指基于行为的信息。运动模式、手写签名、步态分析等信息我国相关规定明确指出,个人生物识别信息包括“个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部特征等”。受个人信息保护相关规定的约束。五、人脸识别法律规制的三大模式对于如何合理使用人脸识别,国际上没有统一的认识。从目前来看,人脸识别的使用关键已经形成了三大法律规定:“禁止使用”、“基于公共利益使用”、“严格限制企业使用”。(1)禁止使用的方式美国目前在联邦范围内没有统一的监管法律。2019年5月之后,美国旧金山、萨默维尔、奥克兰等城市都出台了法律,禁止警察和市政部门全面使用人脸识别。关联。这些地区认为,人脸识别应用于政府部门弊大于利,必须禁止,原因有二。一方面,技术面存在偏差。旧金山法令指出,许多人使用人脸监控数据库存在多重偏见困境。其次,侵犯公民自由和隐私权。美国禁止政府使用人脸识别技术。目的是防止人脸识别被用作监控公众的工具,保护公民的隐私和言论自由。为了避免政府利用人脸识别监控人们的生活,美国部分地区宁愿牺牲人脸识别的帮助,也在一定程度上提高破案效率,损害公民的隐私和自由。(2)基于公共利益的合法使用模式,以“英国人脸识别第一例”为例。2019年9月,英格兰和威尔士高等法院行政法庭对布里奇斯诉南威尔士警方案作出判决,承认警方使用人脸识别的合法性。其核心问题是研究公民隐私保护与政府维护公共利益之间的冲突。首先,南威尔士警察局使用AFR定位违反了《欧洲人权公约》(ECHR)第8条第4款的规定,侵犯了Bridges的隐私权。AFR技术可以提取个人独特的生物信息和标识符,然后在各种情况下准确准确地识别人。因此,AFR衍生出的生物特征数据是个人信息的重要来源,是一种“固有隐私信息”,可以影响人们的私人生活。如果此类信息未经个人同意而被存储,则它不是中立的或没有任何关系。侵犯隐私权不需要长期保留生物特征,被发现、处理和存储就足够了,即使是临时的,最初的信息收集也已经违反了这一条款。因此,警察部门侵犯了布里奇斯的隐私权。其次,警方对AFR的使用符合英国2018年的《数据保护法》六大数据保护原则和“敏感处理”的规定。英国现有的法律足以规范AFR的使用,不需要特别立法。判决书指出,在本案涉案的两项行为中,一是未利用AFR秘密截取大宗数据,公安部门对AFR监控系统的公开使用采取了充分措施。二是每次都在限定的时间内覆盖一定的足迹,部署的目的明确。这种行为只是为了寻找出现在该区域的犯罪嫌疑人,符合维护公共安全和侦查犯罪的需要。第三,AFR及时处理并删除了原告的生物识别数据,没有保留任何个人数据。包括警方在内的任何人都很难获得原告的个人信息。在BridgesvSouthWalesPolice一案中,判决的要点是确认警方使用AFR是正当的,尽管该技术侵犯了原告的隐私权,但侵犯的范围非常有限。因此,本案明确了保护公民隐私权与维护公共利益的界限。政府根据有关数据保护的立法允许有限使用人脸识别,同时开发新技术来解决犯罪并确保人们的正常和平。生活、个人隐私不受侵犯。(三)严格限制企业使用人脸识别。2018年5月25日,欧盟《通用数据保护条例》正式宣布实施,给予欧盟公民个人数据保护。《条例》将生物识别数据划分为“特殊类别”,强调公民对人脸识别数据全过程的控制,严格规范网络运营者收集、存储、使用、流动、删除个人信息的行为,以及收集个人信息的行为。、存储、使用、流动和删除个人信息。这些数据属于特殊数据类别,其使用受到非常严格的限制。一是强化了对“事先明确同意”原则的保护。人脸识别只有在个人明确同意的情况下才能用于商业用途,并且该同意必须满足“自由、明确、具体、明确授予”的条件。二是新增被遗忘权、数据携带权等个人信息保护权利。被遗忘权是指,如果数据主体认为个人数据对于初始收集证据的目的没有价值,或者征得其同意,数据主体有权要求删除其个人数据。取消。2014年5月,“冈萨雷斯案”由欧盟最高法院审理,被遗忘权作为一项权利被固定在欧盟立法中。因此,人脸识别数据主体在满足一定条件时,可以向数据控制机构提出删除其个人人脸数据的请求。第三,条例创造了全面的数据监管方式,不仅要求成员国设立独立的机构负责监督数据保护规则的实施;还要组建欧盟数据保护委员会,明确数据保护规则的实施程序。审查内部违规行为。数据主体如认为单位处理人脸识别数据违规行为,有权向监管部门投诉。如果对监管机构的决定不服,数据主体可以请求消费者保护机构代表私法救济。最后,处罚更加严厉。条例规定,对违规行为的处罚最高可达2000万欧元或全球营业额的4%。需要注意的是,企业采集和使用人脸识别并不是为了限制新技术的转化,而是要尽可能避免新技术带来的负面影响,对社会起到有益的作用,最终实现人脸识别的健康发展和合理使用。六、人脸识别应用的风险与困境(一)损害的不可逆性人脸识别侵权的损害后果是不可逆的。人脸信息一旦经过相关技术处理,就变得不可控了。隐藏和散布在网络各个角落的个人信息将被迅速收集、分析和整合,同时随时可能扩散开来。这种对隐私的损害是不可逆转的。(2)有错误。在人脸识别过程中,有时会遇到两个或两个以上比较相似的个体。如果人脸识别技术不成熟,可能会造成混淆。此外,由于人脸的非刚性性,人脸之间的相似性以及各种变化因素的影响,使得准确的人脸识别变得困难。为满足人脸识别的要求,必要时应结合指纹、虹膜、语音等识别技术。然而,许多验证仅依靠人脸而无法结合其他身份验证方法。错误的负面影响是显而易见的。在比较嫌疑人时,这种错误可能导致错误的定罪和无辜者的监禁。这种不准确还会对无辜的人造成骚扰或其他不便。(3)破解的身份认证密码保密,但面部公开。面部识别验证首次出现于2009年,但很快被证明是不可信的,因为黑客可以用打印的照片解锁它。此后,人脸识别与眨眼等动态检测相结合,但也很容易被绕过。最新的验证结合3D图片进行登录验证。虽然比之前破解难度大了一些,但也不是不能破解。(4)信息泄露存储人脸信息的计算机可能受到黑客攻击,病毒入侵,可能导致信息泄露。此外,不利的内部员工也会导致信息泄露。(5)带来财产风险对于个人来说,很多银行的支付应用、网络金融产品、小区门禁甚至个人住宅的开门都会应用到人脸识别,而这些人脸被人脸识别厂商识别出来后,取得的是共同财产,很难保证不被泄露和滥用。(6)面临尊严的贬损有些人认为未经知情同意刷脸是对人格尊严的冒犯。人们认为,知情同意反映了当事人通过自己的真实意图为自己设定了权利和义务,使个人信息使用或刷脸行为具有合法性基础。但是,这种同意只是知情而不是同意,缺乏真正的理解和考虑。另外,即使你知道真相,有时候你也不得不同意,迫于强制力你不得不同意。人脸背后的人格因素及其所承载的信任和尊严的价值观被淡化了。
