无授权收集、无感化采集、无底线牟利……“护脸”难题难在哪?怎么破?
新华社上海12月27日电 题:无授权收集、无感化采集、无底线牟利……“护脸”难题难在哪?怎么破?
新华社记者王辰阳、程思琪、颜之宏
不久前,上海小鹏汽车销售服务有限公司因向第三方公司购买22台人脸识别摄像设备,非法采集上传人脸照片超43万张,被上海市徐汇区市场监督管理局处以10万元罚款。经有关部门调查发现,当事人在旗下7家门店安装人脸识别摄像设备,采集消费者面部识别数据,并未经得消费者同意,也无明示、告知消费者收集、使用目的。此前,另有多家企业也因非法采集消费者人脸信息遭监管机构处罚。
新华社记者发现,当前“人脸信息”这一重要个人生物信息被部分商家视为“唐僧肉”,涉“脸”个人信息侵权问题频发。部分商家为何热衷于非法采集消费者人脸信息?“护脸”难题难在哪?怎么破?记者就此展开调查。
部分企业要“脸”不顾“法”
小鹏汽车表示,此次事件中所获人脸数据由第三方软件提供商悠络客采集,小鹏汽车不存储此类数据。上海市徐汇区市场监管部门向记者表示,确已督促涉事企业将人脸识别信息删除。
一段时间以来,此类问题频频出现。上海市静安区市场监管部门查出科勒卫浴非法抓取了220万余条人脸信息;深圳市市场监管部门查出正通集团旗下的宝马4S店抓拍并存储了4600余条人脸信息;2021年,上海市场监管机构因违法采集消费者人脸信息对上海易初莲花连锁超市有限公司、上海盛广科技发展有限公司、上海联亚商业有限公司等多家公司进行了处罚,部分企业单次处罚所涉消费者“脸照”就在数百万张至数千万张不等。
记者还发现,房地产行业是此类侵权的“重灾区”。2021年,湖州金达置业有限公司、江阴梁瑞置业有限公司、佛山市新昊房地产开发有限公司等多地房地产公司都因非法采集人脸识别信息被当地的市场监管部门处罚。
专家表示,商家非法采集消费者人脸信息已涉嫌违法。消费者权益保护法明确规定,经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。2020年10月实施的《信息安全技术个人信息安全规范》也明确规定,人脸信息属于生物识别信息,也属于个人敏感信息,收集个人信息时应获得个人信息主体的授权同意。2021年7月28日,最高人民法院发布关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定,进一步将作为个人信息收集前提的“同意”细化为“单独同意”。2021年11月1日起施行的个人信息保护法第26条规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
商家为啥盯着“脸”?利字摆中间
法网恢恢,为何部分商家却仍想方设法“盗采”消费者人脸信息呢?记者调查发现,这与当前几方面情况直接相关。
各类企业均有靠消费者“人脸信息”提升经营业绩的强烈冲动。记者从市场监管部门了解到,小鹏汽车委托的第三方公司开发的算法可以对面部数据进行识别计算,以此进行门店的客流统计和客流分析,包括进店人数统计、男女比例、年龄分析等。这些数据是商家提升经营效率的重要参考。“会员授权的基础上,基于人脸识别技术,会员进入门店的一瞬间,其以往在该品牌门店消费情况立即被推送到对应导购员的手持设备上,导购员根据关键信息为该会员进行精准导购。”在为小鹏汽车提供服务的悠络客平台网站上,该公司称其解决方案可以应用于汽车、鞋服、快消、医药等多类消费领域。
大量从事“人脸”业务的企业能以“无感化”技术采集信息。据天眼查数据显示,我国目前有7100多家企业从事“人脸采集”相关业务,曾被曝光涉嫌非法采集问题的悠络客、万店掌、雅量科技、瑞为等企业注册资本均超过500万元,合作客户中不乏知名企业。
记者调查发现,“人脸信息采集”设备产销企业普遍将“悄悄采集”“无感化”作为其产品的核心卖点,声称“即使(消费者)戴着口罩也能成功采集”。第三方研究机构信息显示,此类技术被部分房地产开发企业广泛应用。当购房者的人脸被摄像头“无感”采集后,可能在后续无法享受某些购房优惠。因此,有业内人士在现场看房时选择“佩戴头盔”这种极端方式遮盖自己的面部特征。
部分企业通过倒卖消费者人脸信息非法牟利。记者调查发现,有商家非法收集人脸信息并售卖,低至0.5元即可买到包含身份证信息在内的一名消费者的人脸数据。记者从警方了解到,倒卖“人脸信息”还成为当前网络黑产链条重要一环,相关信息被用于虚假注册、电信网络诈骗等违法犯罪活动,供不法分子牟取暴利。
提升“护脸”效能还需系统施策
专家建议,当前要实现有效提升“护脸”机制效能,可从以下几方面入手。
——应进一步通过立法实现多层次、系统化的人脸信息保护法律法规体系。清华大学法学院教授劳东燕告诉记者,一些地方已对“人脸识别”进行规范,如今年已施行的《天津市社会信用条例》、2022年3月1日起施行的《杭州市物业管理条例》。她表示,安徽省、兰州市、北京市等地的《物业管理条例》也就业主个人信息保护进行了明文规定,但没有明确提到指纹、人脸数据等生物信息,也没有涉及强制收集问题,有待今后进一步明确。
——应进一步明确主责执法部门,推动相关领域执法机制化、常态化。“目前我国个人信息保护法中采用的是多部门管理机制,网信部门、市场监管部门等都是个人信息保护监管部门。”中国信息安全研究院副院长左晓栋认为,这一制度安排确有形成合力的优势,但也容易导致“多头治理”的问题。他建议,进一步明确各部门监管职能定位,并以此推动相关执法检查常态化、长效化。“对确保相关场所依规张贴信息采集标识,APP或网络平台依规明示采集信息等规定落实而言,常态化监管非常重要。”
——应进一步加强对经营和购买“人脸识别”相关业务企业的监管力度。一方面,是应加大对涉“脸”违法行为的处罚力度。此次小鹏汽车采集43万张人脸信息仅被罚款10万元,部分网友认为“一张照片被罚2毛多,违法成本太低”。“如果按照个人信息保护法的要求,行政处罚是按照企业或商家全球营业额来罚款的,这个数额可以比较大。”左晓栋认为这样有利于提高企业违法成本。
另一方面,多位专家呼吁应尽快设置“人脸识别”业务类企业准入门槛。“相关准入标准已在制定当中。”左晓栋说。
“此外,人脸信息属于敏感个人信息,为避免一次授权即导致信息失控的情况,信息主体还应享有对相关信息的删除权。”北京航空航天大学工业和信息化法治战略与管理重点实验室办公室主任赵精武说。