10月28日,浙江理工大学特聘副教授郭兵(浙大法学博士),因为不同意进动物园也要刷脸,把杭州野生动物世界告上了法院。
不同意入园刷脸
浙大法学博士起诉动物园
今年10月17日,浙江理工大学特聘副教授郭兵收到了来自杭州野生动物世界的短信,短信中说年卡客户需要人脸识别才能入园。身为浙大法学博士的郭兵不愿接受被采集人脸信息,要求退卡被拒绝。
郭兵依据消费者权益保护法第29条认为,野生动物世界违反了收集使用个人信息应遵循合法、正当、必要的原则,并无法保证信息的安全,将杭州野生动物世界告上法庭,要求全额退款。
11月1日,富阳法院受理该案,消费者起诉商家涉及人脸识别的民事诉讼,在全国可能是第一起。
越来越多的民用领域开始使用人脸识别技术
现实中,“脸”的应用场景不断增加。
2015年5月,杭州滨江泰安路上试点安装了一台“人脸识别考勤机”,环卫工人刷脸打卡。
2016年高考,北京、四川、湖北、广东、辽宁、内蒙古等省区市采用了“人脸识别+指纹识别”的生物识别技术,防止替考事件发生。
2017年9月13日凌晨,苹果公司宣布在最新机型 iPhone X 中,采用人脸ID识别替换了原来Touch ID指纹识别,用户只要按两次电源键,然后脸对着手机就可以完成手机解锁/支付。
2017年9月,农行、招行等多家银行宣布,ATM机正式走向刷脸时代, 不过实际使用时,除了刷脸,还需要输入手机号码或身份证号码进行二次身份确认。
2017年11月6日,南京工业职业技术学院引进了人脸识别系统,专为大一和大二学生早锻炼考勤设计。
2018年初,西湖景区和余杭区试点启用“人脸识别厕纸机”,刷脸取厕纸。
2018年1月11日,绿城首家无人便利店“绿橙Pro”亮相杭州新华园园区,门店开启人脸识别系统,通过注册后,可直接刷脸进门。
2018年8月,世纪联华庆春店上线人脸支付技术。
2018年,各地警方陆续在张学友演唱会抓了60多个犯罪嫌疑人或在逃人员,真正让歌神成为“神捕”的,其实正是人脸识别技术。
今年3月13日,菜鸟网络宣布,菜鸟驿站智能柜已全部开通刷脸取件功能,国内全面进入“刷脸取件”时代。
今年3月,杭州东站宣布启用“刷脸”入站,只需把身份证对准感应区,面部正视闸机摄像头,验证通过即可进站,每人只需2秒,大大提高了入站效率。
刷脸的安全风险开始凸显
同时,脸部信息泄露以及“刷脸”的安全风险也开始凸显。
2019年8月,一个名叫ZAO的App突然火了,用户只要上传一张照片,就能把自己的脸和偶像明星的脸交换,成为电视剧中的主角,刘德华、周润发、张曼玉、周杰伦,想换成谁就换成谁。这款软件掀起了涉及隐私安全的轩然大波,大量用户对ZAO运营者保障数据安全能力提出质疑,之后ZAO道歉并火速修改了用户隐私协议。
就在上个月,嘉兴上外秀洲外国语学校402班科学小队在一次课外科学实验中发现,只要用一张打印照片就能代替真人刷脸,骗过小区里的丰巢智能柜,取出了父母们的货件。快报《好奇实验室》进行了验证:用照片一秒钟识别成功,又连续试了5次,4次全部成功打开,1次失败是因为照片没有拿稳,把正脸自拍照换成偷拍的照片,丰巢柜又一次被打开了。之后丰巢智能柜第一时间下线了该项刷脸服务。
用户对“刷脸”安全的焦虑与日俱增。
人的脸是否属于法律意义上的“个人信息”?
浙江楷立律师事务所高级律师凌斌说,是的。根据《网络安全法》规定:“个人信息,是指以电子或者其他方式记录的,能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
北京炜衡(杭州)律师事务所高级顾问冯济桅也赞同:“指纹、人脸、虹膜等信息均属于个人生物识别信息。人脸识别信息作为个人生物识别信息的一种,属于法律意义上的个人信息。”
人脸信息收集的法律边界看清楚
技术发展使人脸识别的应用成为一种趋势,但并不意味着人脸信息可以随意收集。
凌斌律师表示,《民法总则》第111条规定,自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
《消费者权益保护法》第29条规定,经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。
经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。
简而言之,在实践中,不管什么机构以什么理由采集个人信息,都要遵循“必要”“经得同意”“披露使用规则”“有效安全保护”等几大要点。
因此在收集公民信息的时候,要先掂量一下自己是否具备以上的条件和技术,否则一不小心就会越过法律的边界。
人脸等个人信息的收集者要承担相应法律责任
冯济桅律师说,违法收集个人信息者要承担以下责任。
第一、行政责任。行政机关可对个人信息的违法收集者进行责令改正、警告、没收违法所得、罚款、责令停业整顿、吊销营业执照等类型的行政处罚。
第二、民事责任。个人信息收集者违法收集个人信息对被收集者造成损害的,被收集者还可以按照侵权责任法的相关规定追究其民事责任。
第三、刑事责任。
公检法严厉打击非法收集、贩卖以及使用公民信息行为
2018年2月7日,江干人民法院宣判一起侵犯公民个人信息案。被告共40人,其中第一被告人周某是个人信息贩卖者,其余39人都是个人信息购买者。被出售的公民个人信息达300万余条,有些信息上住址、车牌号、购房记录等一清二楚。
法院审理认为,周某的行为已构成侵犯公民个人信息罪,判处有期徒刑四年,并处罚金人民币三万元;其余39名个人信息购买者,同样因犯侵犯公民个人信息罪,分别被判处拘役六个月至有期徒刑三年,缓刑十个月至五年不等。
2018年11月,杭州警方在打击整治网络侵犯公民个人信息犯罪专项行动中,侦破侵犯公民个人信息案件80余起,抓获犯罪嫌疑人200余人,打掉犯罪团伙35个,缴获各类公民个人信息1300多万条。
2019年,大数据风控平台魔蝎科技的高管以及新颜科技的高管相继被警方带走;公信宝运营公司亦被杭州警方查封;10月21日,杭州警方突击51信用卡有限公司杭州总部。据了解,这些公司在个人信息的收集及使用上涉嫌违法犯罪。
刷脸支付到底安不安全?
在拍张照片都可能被拿走脸部信息的情况下,大家最关心的刷脸支付的安全性如何保障?
蚂蚁金服的相关负责人表示:“支付平台会有多重防护,拿支付宝为例,支付宝的刷脸支付采用的是3D人脸识别技术,在进行人脸识别前,会通过软硬件结合的方式进行活体检测,来判断采集到的人脸是否是照片、视频或者软件模拟生成的,相比较于2D人脸识别技术,能更有效地避免各种人脸伪造带来的身份冒用情况,也不容易受到姿态、光照、表情等因素的影响,识别率更高。”
即便人脸识别成功后,实际支付时,还需要输入与账号绑定的手机号进行校验。同时,支付宝还会通过各种安全风控策略确保账户安全。如果在支付宝使用中出现账户被冒用的极小概率事件,支付宝会通过保险公司全额赔付。
任何技术都不能保证绝对安全,用户也无需过度焦虑和恐慌,凌斌律师建议用户养成良好的安全使用习惯,不去下载或使用来路不明的软件,对采集信息不放心时可以关闭刷脸支付功能,一旦发现个人信息泄露立刻报警,并可以在报案的同时向泄露者提起民事索赔。