对那些私自收集人脸信息的违法行为,政府的处罚是在表明一个态度。企业不能碰触红线,要兼顾公众生活便利、技术发展与数据隐私三者之间的平衡。
——李千目江苏省科协副主席、南京理工大学教授
7家门店,22台摄像设备,6个月采集了43万人脸照片……2021年年底,滥用“人脸识别”的上海小鹏汽车销售服务有限公司,被上海市徐汇区市场监督管理局罚款10万元。
上海市市场监督管理局网站公开的行政处罚信息显示,上海小鹏汽车销售服务有限公司违法行为类型为“侵害消费者人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利”。
“人脸识别”是基于人的脸部特征信息进行身份识别的一种生物识别技术。近年来,因公共场所“人脸识别”监控图像的不当采集利用而侵犯个人隐私的案例屡见不鲜,引发舆论争议。
随着《中华人民共和国个人信息保护法》的生效,“人脸信息安全”问题再次触动公众敏感的神经。
未经同意采集人脸信息属于违法行为
上海市徐汇区市场监督管理局的行政处罚决定书显示,2019年,当事人上海小鹏汽车销售服务有限公司的业务母公司小鹏汽车销售有限公司向第三方购买了门店客流监测项目服务。当事人购买人脸识别摄像设备后,安装在旗下门店用于采集并上传消费者的面部识别数据,经算法识别计算后,以此进行门店的客流统计和客流分析,内容包括进店人数统计、男女比例、年龄分析等。
南京大学法学院教授单勇认为,在公共场所安装人脸识别摄像设备,在未经消费者同意,也无明示告知消费者收集、使用目的的情况下采集消费者面部识别数据,会违反《中华人民共和国个人信息保护法》第13条关于个人信息处理者处理个人信息的条件规定。
2021年3月,名创优品也曾因门店内使用非法采集顾客人脸信息的摄像头被有关部门立案调查。2021年“315”期间,央视还曾曝光科勒、宝马等门店通过安装摄像头,并在消费者无感的情况下,违规收集消费者人脸数据的情况。
而在更早时候,全国各地都曝出售楼处采集消费者人脸信息的事件,甚至有顾客被逼无奈戴着头盔去看房。据不完全统计,佛山、苏州、宁波等多地查处并通报了多个售楼处使用人脸识别技术收集个人信息的违法行为与典型案例。
记者在南京随机选择了一些商场、品牌专卖店和售楼处,发现这些场所内均装有多个摄像头,部分场所张贴“您已进入监控区域”等字样。但记者询问工作人员是否存在人脸识别系统采集信息行为时,均未获得正面回答。
多位受访的业内人士表示,商家为了识别到访客户的来源或者为了防止客户跳单及同业竞争对手抢单,而引入人脸识别技术,相关人工智能企业瞄准这一商机,已将其发展成为一门财源滚滚的生意。
细化规定有助提升保护力度
2021年11月1日,《中华人民共和国个人信息保护法》正式实施,再加上已有的《中华人民共和国网络安全法》和《中华人民共和国数据安全法》,构成了营造良好数字社会生态的三大法治基石。
在如此完善的法律体系下,为什么还有许多企业滥用人脸识别技术,擅自采集个人生物信息呢?
江苏省科协副主席、南京理工大学教授李千目认为,近年来,强化用户人脸信息保护的呼声日益高涨,人脸识别技术带来的个人信息保护问题也日益凸显,遏制人脸识别技术滥用趋势正在逐步好转。
“但即使相关法律已颁布,也不可能完全杜绝违法现象,这就跟虽然有了交通法但却仍然会有人闯红灯一个道理。但由于网络安全、信息安全、数据隐私保护涉及每一个人的切身利益,公众非常敏感,所以社会关注度也更高。”李千目说。
单勇表示,个人信息保护法更多是从实体和程序角度设计个人信息处理规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、法律责任等方面做出的基本性规定和原则性规定。这些基本性、原则性规定的落地还需要健全的执法组织机制和细化规定。所谓“徒法不足以自行”,如何全面贯彻落实个人信息保护法已成为当前迫切需要大力推进的问题。
单勇建议,个人信息保护法生效后,相关的部门应该就如何贯彻落实个人信息保护法出台规范性文件,使得个人信息保护能够真正落到实处。
同时,消费者应提高维护自身合法权益的意识。对于商家在公共场所设置的摄像头,专家认为,不能因为商家张贴一张纸,标明“您已进入监控区域”等字样,就放弃主张个人的权利。个人信息保护法第28条规定,人脸信息属于敏感个人信息,处理敏感信息应当取得个人的单独同意,并且还要告知采集后,人脸信息会用在哪些领域。
在源头建立个人信息保护的合规制度
有网友质疑:小鹏汽车6个月采集43万多张人脸照片,才被罚10万元,平均一张照片的成本仅仅2毛多,违法成本是否过低?
单勇介绍,个人信息保护法第66条规定,对相关违法行为,有关部门可责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处100万元以下罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。
专家认为,小鹏汽车私自收集顾客人脸照片后,虽然并没有把照片卖给第三方,也没有危害个人隐私,但对这样的知名企业来说,因处罚造成的公众信任度、社会影响力、股价涨跌等是比处罚更严重的问题。
李千目表示,对那些私自收集人脸信息的违法行为,惩罚和处罚是必须的,但是也不能以惩罚和处罚为主,更多的是要加强宣传教育。李千目认为,政府的处罚是在表明一个态度。企业不能碰触红线,要兼顾公众生活便利、技术发展与数据隐私三者之间的平衡。
单勇表示,立法的最终目的是为了实现个人信息的有效保护。而这一目的的实现仅靠事后处罚还远远不够,应树立事前预防思维,督促企业建立起个人信息保护的合规制度。
“与其等着事后去处罚,不如在源头真正建立起个人信息保护的合规制度,这可能才是一个治本之道。”单勇表示,在现阶段,大多数企业还没有能够真正地建立起个人信息保护的合规意识和制度,这方面的工作任重道远。(张晔)