我们是人脸识别红外测温仪,红外测温模块,红外测温传感器,人脸识别测温一体机源头厂家
商务邓经理:13510252563 刘经理:15897368860

掀起人脸识别的盖头来,让我来看看你的法律底细

本文介绍了人脸识别应用的技术背景,并将人脸生物特征信息的获取和利用行为分成三种不同类型。以此为基础,作者阐释了人脸生物特征信息的处理活动与肖像权、隐私权、名誉权的关系,认为人脸生物特征信息的获取、传输和存储等活动与肖像权、隐私权、名誉权没有关联性。作者随后更进一步分析了生物特征处理活动相关规范的法理依据和约束力,提出人脸生物特征技术的应用和规范背后,实质是一种兼具行政和民事属性的产品质量法律关系。其法理依据是为了满足和保障用户对网络产品安全使用的需求,以及国家网络安全秩序保障的现实需求。文章最后提出相关合规建议和立法建议。


  人脸识别的技术背景


提到人脸识别,我们首先要了解一下人脸识别应用的技术背景。这里的人脸,并不是我们通常意义下理解的肖像,而是从肖像中提取的人类面部生物特征信息。在信息技术的实际应用中,生物特征信息是信息系统访问客体信息系统访问主体之间,对访问主体进行身份验证的因素之一[1]


除生物特征以外,对身份识别和验证的因素还有口令[2]、身份识别码、智能卡、令牌等等。依据自然属性,主要分为三个类别:


类别1: 基于所知,即你知道什么,如口令、问题回答等;

类别2: 基于所有,即你持有什么,如令牌、智能卡等;

类别3: 基于生物特征,即你是谁,如人脸、语音、指纹、手掌、心脏脉冲、击键习惯等。


除了上面因素以外,还有一些其他的因素。比如:定位因素,包括IP和固话来电显示、通过AWS账户使用IAM系统中的地理定位信息等[3];感知因素,如图片密码、手势滑动等;上下文因素,如移动设备管理中位置、事件、虚拟围栏等多个信息因素的识别等。


无论是采用生物特征因素,还是单独或累加采用多因素进行身份识别和验证,其目的都是为了实现对信息系统的安全访问和控制,不仅要兼顾信息网络的CIA[4]安全三性,还要力争实现效率、便利性和准确度。


图: 访问控制策略的组成


第一步:身份识别。是访问主体声明或宣称身份的过程,启动后继的身份验证、访问控制和安全追责。

第二步:身份验证,是指将主体在身份识别环节声明或宣称的一个或多个验证因素与有效身份数据库(如用户账户)进行比对,对主体身份进行验证。身份验证的核心原则是,所有主体必须具有唯一的身份。

在访问控制中,第一步和第二步是一个相互的过程,始终一起发生。

第三步:主体基于已验证的身份,被授予对客体的访问权限,获得客体资源或服务。

第四步:依赖第一步和第二步的数据(如审计日志记录),追踪、问责主体的访问控制活动。


  面部生物特征信息是怎样被获取和利用的?


面部生物特征信息的获取和利用主要分为以下情况:


合法获取,合法利用


主要是指依法依约进行访问控制活动所获取和使用。以刷脸支付为例:


注册阶段

用户同意使用刷脸支付协议,出具人脸,系统提取/获取面部生物特征信息,存入数据库(这一过程也可以被基于公共数据库的共享所取代)。


使用阶段

识别——用户提交刷脸服务请求,声明自己具有唯一合格身份,出具人脸。

验证——系统基于面部生物特征数据库,以一对多的方式比对所出具人脸的生物特征,接受或拒绝用户身份。

授权——系统基于验证通过结果,授权用户使用刷脸支付服务。

追责——系统基于验证结果和日志,追踪、确认用户与每笔刷脸支付账单的因果联系。


除了上述,还有其他合法获取、合法使用面部生物特征的活动,比如警察利用生物特征识别犯罪分子。


合法获取,非法利用


仍然以刷脸支付为例,系统在注册阶段获得面部生物特征信息后,并没有按照法律、法规、国家标准或用户协议、隐私政策约定使用,而是超范围、越权使用,例如未经同意的人物画像和定向推送[5];或倒卖给第三方从事各种活动。这种情况就是合法获取,非法使用。


非法获取,非法利用


面部生物特征信息未经授权被获取,用于犯罪或其他非法活动,比如用户使用一款恶意拍照软件,在不知情的情况下被收集面部生物特征信息。软件运营者将面部生物特征信息转售给其他第三方,第三法规网络公司实施基于人物画像的精准投放活动;或者转售给犯罪分子,犯罪分子用以盗取用户账户资金:或者自行实施违法犯罪行为。


  面部生物特征处理活动与人格利益的关系


有不少法律实务人士认为,我国多部法律规定了个人信息主体的知情同意权,并且在最新国家标准《信息安全技术 个人信息保护规范》中对面部生物特征信息的处理活动细化规范,主要是为了保护个人信息主体的肖像权、隐私权或名誉权,或者反映了上述权利的延伸。因此违反上述规定,就会有侵犯个人信息主体的上述肖像权、隐私权或名誉权的法律风险。


事实上,上诉见解并没有很好的理清面部生物特征下隐藏的法律关系,在认知上存在片面和不足。


首先来看肖像权。肖像是艺术地再现自然人的外貌形象,通常,我们判断人物的外部形象表现是否构成肖像,应结合其表现的形式和表现的部位来看待[6]。如果一幅图片不能合理判断其属于某人,则我们认为该图片的滥用行为不会侵害某人的肖像权。


然而,面部生物特征并不是肖像,只是从肖像中提取的特征性数据,在一定算法赋能下,使其有识别到某人可能性。并且,即使某些生物特征数据采自某个人,也不必然能够识别、关联到该人。这是由面部识别技术的错误识别率和错误接受率决定的[7]


肖像和面部生物特征,从显示形态、显示载体、关联性技术实现上,都完全不一样。


对生物特征信息/数据进行处理的行为,与肖像其实并没有什么关系,除非发生以下情形:即,在采集面部生物特征数据时,一并存储肖像完整图形数据(不限于基本生物特征),并且实施了未经授权的肖像图形使用行为,才会有构成侵犯肖像权的可能性。


再看隐私权。我国《民法总则》规定了自然人享有隐私权,但没有为隐私权下定义。《民法典》(草案)《人格编》定义,“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”。


该概念将性质各异、无法客观衡量的四者并列解释为隐私,将引起人们对隐私概念的认知混乱,造成隐私范围的不确定性和法律适用的不确定性。


实际上,隐私就是一种个人信息,是与自然人有关,但与公共利益无关,自然人不愿为外界所知晓的个人信息[8]


无论是个人信息,还是个人信息中的隐私,都不是民事权利的客体,而是民事权利法律关系中的对象。


民事权利客体,则是在民事对象之上承载的财产利益和人格利益。财产利益可价值衡量;人格利益,体现的是自然人享有安全、自由、平等、尊严地生活和从事社会活动的权利。


现行立法照搬了建立在工业社会上的德国《民法典》体系,揉进了美国隐私权的概念,当信息产业高度发展带来的各种问题面临时,其天然的逻辑错位恐怕难以招架对该理论感兴趣的朋友,可以点击详见作者往期文章“ 非主流视角下的民法典草案《人格编》修改建议


言归正传,事实上获取、传输和存储自然人面部生物特征信息,既不会损害自然人的“私密空间、私密活动、私密信息”,也不会损害自然人“安全、自由、平等、尊严地生活和从事社会活动的权利”。


只有存在滥用面部生物特征信息的行为,并且行为产生一定法律后果,才有损害自然人隐私相关人格利益的可能性。


认为保护面部生物特征信息是为了保护隐私权或延伸性权利的想法,不仅在法律语言逻辑上行不通。在现实生活中,也会出现损害结果与损害行为之间的脱节、司法实践与立法的脱节。


在这样的观点下,会走向两个极端,要么一杆子打死,新信息技术、新商业模式受到严格的限制和制约;要么灵活司法,弱肉强食,谁的能量大,谁就可以界定隐私的范围。这不是保护人格利益免遭技术侵害的最佳解决视角。


再看名誉权。《民法总则》没有解释名誉权的概念,《民法典》(草案)《人格编》定义:“民事主体享有名誉权。任何组织或者个人不得以侮辱、诽谤等方式侵害他人的名誉权。名誉是对民事主体的品德、声望、才能、信用等的社会评价“。


作者形象比喻一下,名誉和隐私就像标准差函数,隐私是自然人不愿为外界所知的个人信息;名誉,则是自然人愿意对外界显示的个人形象信息,且不愿被侮辱、诽谤行为产生的虚假、不良信息所扭曲。如果没有虚假、不良信息的影响,就不会产生个人形象信息——名誉的扭曲。


由此可见,面部生物特征信息处理活动跟名誉权没有任何关联性。


再结合本文第二部分面部生物特征信息的获取和利用方式来看,不难得出这样的结论:


如果只进行人类面部生物特征信息的获取、传输和获取,且无论获取行为是否非法,只要没有后继不当的使用、加工、处理等行为,则不会造成信息主体任何权益(包括财产利益和人格利益)的损害,亦不会产生相关效用。


  对生物特征处理活动相关规范的法理依据和约束力


那么,是不是立法就不该规范面部生物特征信息处理活动,待到人们的各种权益被损害时再维权,是不是就可以了呢?


当然不是。立法不仅应当规范面部生物特征在内的个人信息处理活动,还应当多加规范、好好规范。


我国的《网络安全法》、《刑法》、《民法总则》等多部法律保护了自然人对个人信息的基本自主权。除此之外,公安部网络安全保卫局、北京网络行业协会、公安部第三研究所联合发布的《互联网个人信息安全保护指南》、国家标准《信息技术  移动设备生物特征识别 第3部分:人脸》(GB/T 37036.3-2019)、《信息安全技术 个人信息安全规范》(GB/T 35273-2020)、行业标准《个人金融信息技术安全规范》(JR/T 0171-2020)对生物特征信息处理活动进一步规范,都些是值得肯定的。


但是我们必须认识到,这些规范并不能建立在个人信息是一种绝对性权利的认知基础和法理基础之上。值得欣慰的一点是,《民法典》(草案)最初提出“个人信息权”,最后一稿改为“个人信息保护”,立法者也逐渐有了更清晰的认知。


那么我们应当怎样看待这些细化的指导性文件和国家标准规范的法理依据和约束力呢?作者带大家更进一步认识。


首先,《互联网个人信息安全保护指南》明确:“供互联网企业、联网单位在个人信息安全保护工作中参考借鉴,并不具有强制性效力”。《信息安全技术 个人信息保护规范》等标准性文件是推荐性国家标准、推荐性行业标准,也不具有与生俱来的强制力。


其次,我们首先需要进一步理解这些标准性文件的法律属性和效力。我国《标准化法》第二条规定:“强制性标准必须执行。国家鼓励采用推荐性标准”;第二十一条规定:“推荐性国家标准、行业标准、地方标准、团体标准、企业标准的技术要求不得低于强制性国家标准的相关技术要求”。


在明确上述两点的基础上,我们再回头看推荐性国家标准和推荐性行业标准的约束力。


我国《产品质量法》规定:“生产者应当对其生产的产品质量负责。产品质量应当符合下列要求:(一)不存在危及人身、财产安全的不合理的危险,有保障人体健康和人身、财产安全的国家标准、行业标准的,应当符合该标准”;《消费者权益保护法规定:“经营者提供商品或者服务有下列情形之一的,除本法另有规定外,应当依照其他有关法律、法规的规定,承担民事责任:(三)不符合在商品或者其包装上注明采用的商品标准的”。


综上,对个人信息、面部生物特征信息的处理活动进行规范,目的是为了在人们使用信息产品时,增强合法财产利益和人格利益的安全系数,降低遭受不法侵害的可能性。


人脸生物特征技术的应用和规范背后,实质是一种兼具行政和民事属性的产品质量法律关系。其法理依据是为了满足和保障用户对网络产品安全使用的需求。


不仅如此,这种产品质量法律关系还兼具网络安全属性。


如果产品提供者没有管理好产品的各项性能和服务,落实必要的产品质量安全责任,不遵守与消费者之间的用户协议或隐私政策约定,滥用信息的行为,不仅触犯《网络安全法》、《民法》,情节严重时还会构成违法犯罪。


而这种网络安全相关的违法犯罪,并不以故意为主观要件。例如,网络运营单位(网络产品、服务产品提供者)不履行必要的信息安全保护义务,将有构成拒不履行网络安全保护义务、非法利用信息网络、帮助信息网络犯罪活动罪的可能性。


网络违法犯罪的成本远远低于现实社会,损失挽回也是极度困难。这也正是网信部门、工信部门、公安部门、市场监督部门屡屡对涉网产品进行监督检查执法的现实必要性。


  人脸生物特征数据合规建议


1. 在获取人脸信息时,只提取必要的生物特征数据,不留存肖像信息数据。

2. 严格遵守与用户之间的隐私政策和用户协议,隐私政策模版可参照推荐性国家标准。

3. 严格遵守网络安全等级保护制度,在没有完全满足推荐行业标准和国家标准的情况下,绝不对外做相关宣传,避免消费者和监管部门产生不必要的误解。

4. 关注网信办、工信部、公安部、市场监督管理相关部门的执法动态和监管指引性文件,落实各项监管要求。


我国的《网络安全法》是一个预防性的框架体系,这是由信息技术高速发展的特性所决定的,各种新技术、新应用层出不穷,监管措施的进化也呈现出PDCA[9]的特性:文件指引--各种专项整治活动和整改--形成新监管和惩戒依据性文件--形成新指引文件,循环往复。


因此,最安全的做法,是合规部门或风控部门系统、深入学习个人信息保护、生物特征信息保护的国家标准、行业标准、国际标准和认证,在此基础上与技术部门、运营部门、业务部门、开发部门合作,吸取最佳实践的经验,逐步落实各种保护措施。


这些最佳实践的落实,不仅在监管来临时可以第一时间保障组织安全,也是品牌形象和社会责任能力、产品专业性的体现。在一定行业,更是某些关键业务的入门门槛。


  立法建议


我国各种信息安全技术相关标准规范陆续出台,相关部门为网络安全监管付出的各种努力无疑非常值得赞赏。但是,层出不穷的社会工程、骚扰电话、垃圾邮件,数据泄露和利用,其实都是个人信息滥用的后果。


在信息技术高度自动化的当下,获取、传输、存储都是自动进行的技术背景下,仅用指导性文件和行业标准、国家标准规范组织的信息处理活动,对于惩治个人信息滥用行为,显得心有余而力不足。


如果将个人信息、生物数据作为绝对性权利,对于每个站在起跑线上,欲竭尽全力飞奔在第四次信息工业革命赛道上的组织来讲,大数据世界的每个动作,都像会引爆一颗不具确定性的炸弹。


在这样思想压力下,已经错过前三次产业革命的中国,能否有足够的动力实现弯道超车,实现中华文明的伟大复兴呢?


与此同时,我们更需要使嘈杂的世界重归宁静,不必担心无辜的亲人和朋友接到诈骗电话、骚扰电话,不必遭受为了获取有价值个人信息而应运产生的各种网络攻击。


解决上述问题,有两条方向性建议:


1. 立法者正确认识个人信息的法律属性——它并不是绝对的权利,而是权利的载体,承载着财产利益和人格利益;

2. 更多关注个人信息滥用行为,对滥用行为及协助滥用行为给予明确的立法制裁。我们不妨参考2019年12月30日美国通过的《TRACED法》[10],结合中国实际,走出一条自己的信息滥用治理之路。



[1] 生物特征信息包括指纹、面部、视网膜、虹膜、掌纹、手部几何图形、心脏脉冲、语音等,内容十分广泛。

[2] 口令不同于密码学上的密码,口令通常由字符串组成,口令也会经过加密处理。

[3] 亚马逊云服务账户使用的一种身份验证系统,例如IAM检测到用户从哪个位置登陆,就可以认为其具有用户名和口令。

[4] IT损失分为三类:损失保密性(Confidentialiity)、可用性(Availability)和完整性(Integrity),合称为CIA,通常被称为CIA三性。

[5] 《信息安全技术 个人信息安全规范》(GB/T 35273-2020)3.8条:“通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测,形成其个人特征模型的过程。注:直接使用特定自然人的个人信息,形成该自然人的特征模型,称为直接用户画像。使用来源于特定自然人以外的个人信息,如其所在群体的数据,形成该自然人的特征模型,称为间接用户画像”。

[6] 取自百度百科“肖像”(汉语词汇),https://baike.baidu.com/item/肖像/7716044?fr=aladdin,访问于2020年3月16日。

[7] 错误识别率(FRR)和错误接受率(FAR)由生物调节设备的灵敏度决定,当未对有效主体进行身份验证时,就会发生错误拒绝;当对无效主体进行验证时,就会发生错误通过。FRR和FAR百分比相等的点为CER,用作评估生物识别信息的准确度。

[8] 我国著名学者刘德良教授观点,刘德良教授认为:法律上的隐私是“与公共利益、社会利益无关,同时又直接攸关主体的名誉或尊严的个人信息,它包括但不限于裸照、与性有关的信息、个人内心情感经历、不为人知的重大生理疾病缺陷等”。

[9] PDCA循环的含义是将质量管理分为四个阶段,即计划(Plan)、执行(Do)、检查(Check)、处理(Act),是现代全面质量管理的思想基础和方法依据。

[10]《电话机器人滥用刑事执法及威慑法》(The Telephone Robocall Abuse Criminal Enforcement and Deterrence Act),该法是美国也是全球第一部打击电话机器人(电话诈骗)的法律。





我要咨询

提示:请务必填写真实信息,我们将及时联系您。(* 为必填选项)