有关生物信息收集的若干思考

2020年2月14日 14:25
來源:香港奇点财经特邀专栏 网络法实务圈

奇点财经香港2月14日推送

作者:浙江省高级人民法院知识产权庭法官 陈宇

导读
2020年1月4 日,由浙江省法学会竞争法学研究会主办,浙江省股权交易中心、未来科技城管委会、浙江理工大学法政学院、浙江省大数据科技协会、浙江省电子商务促进会、浙江垦丁律师事务所联合主办的“数据领域不正当竞争问题高端论坛”在杭州召开。来自主管机关、司法、学术、产业界的领导专家和互联网法律领域上百位参会人员出席了本次研讨会。会议分别围绕“网络爬虫”、“平台数据权益”、“强制收集生物识别信息”三大主题,嘉宾们的发言代表了实务界最前沿的声音,内容干货满满精彩纷呈。

陈法官从人脸识别的利弊出发,引发出关于公共安全与隐私保护之间利益平衡考量的问题,指出任何一个技术在社会发展的过程中都有一种矛与盾的关系,要在在互相不断攻防的过程中推进整个社会和科技的进步。

今天我的发言主要包括这几个方面,首先是讨论人脸识别之利弊,其次是以人脸识别作为因子所引发的关于公共安全与隐私保护之间利益平衡考量的问题,另外还会涉及到关于生物识别技术法律规制的一些思考。

一、人脸识别之利弊

“世上最值得玩味的表面乃是人的脸”这句话可以作为今天的开篇,这也是非常有意思的一句话。脸是每个人独一无二的身体特征,世上最值得玩味的表面乃是人的脸。因为人的脸蕴含了太多的因素、太多的概念和太多的情感,还有太多的思考、太多的内涵,所以这句话不管你从哪个角度来解读,其实都可以做出独有的这么一个思考,就是“世上最值得玩味的表面乃是人的脸”。
生物特征的获取其实有很多,比如我们常说的指纹、DNA、掌纹以及虹膜扫描,以及我们人体脸部的特征,以及我们行走步态的捕捉。既然今天的主题是生物识别,那么我们主要围绕的就是这个人脸识别的问题。

人脸识别的优点

人脸识别相对于指模、虹膜、DNA,它最大的一个特点就是极大的便利性,不需要特殊设备的改造,比如说虹膜要用识别仪,DNA需要进行分析,指纹还得采集,人脸识别仅需要一个普通的摄像头,就可以在非接触的情况下很轻松地完成相应的识别。

另外一个优点就是用途的多样性,就是防范的多样性。首先防假冒,防假冒是什么样的一个概念呢?就是相当于将图像中的人脸跟数据库中的人脸进行比对,能比对得上就可以确定是一个适格的主体。另外一个是需要本人,比如说我们考勤签到,以前刷卡随时都可以借用,用指纹可能有指纹膜造假,但是脸模目前还没有出现,还没有那么先进,所以防本人作弊也是一个用处。

另外一个就是应用场景的特别广泛,比如说办理金融贷款业务,通常银行都会要求客户去银行网点进行面签,但是如果有人脸识别机制的话,远程签约就不存在问题。比如说最常见的去水果店消费,如果已经开通支付宝脸部识别的话,就可以直接脸部扫描识别付款,而不需要拿出手机。又比如说抓捕逃犯,像G20的时候就将脸部识别广泛用于抓捕逃犯以及其他安防领域,这些都是脸部识别应用场景广泛的典型代表。

刚才跟吴老师聊天,上次我们组织沙龙邀请吴老师的时候,他使用的是自己的本名,而这次吴老师用的就是花名,我们单单凭名字是不是没有办法判断这两个人是不是同一个人?但是,如果当时我们获取并存储了他的脸部特征,这次再对他进行一次扫描,就可以进行一次清楚的比对,这个扫描可能在他本人完全无感地情况下就能完成比对,所以说人脸识别技术拥有非常广泛的市场。

人脸识别的缺点

人脸识别的缺点其实也很突出。如果用数字符号和相应的图标组成密码,这样混用的情况下一般是很难破译的,如果是指纹,大家在日常的生活中如果被要求输入指纹,往往是慎之又慎,但是脸部识别就完全不一样,你从这边路过,其实已经有很多的摄像头在对着你微笑了,你的脸部特征已经很轻松地被相关摄像头传入到它的后台数据,通过一个3D脸部建模的过程,你的脸部数据可能已经被无遗漏地存储在了后台,成为了后台数据的组成部分,这说明的就是其弱隐私性的问题。

大家如果经常在朋友圈里发自拍的美照,这也可能会成为别人轻而易举获取你脸部特征的一个非常简易和直接的通道。另外,虽然精确度上已经基本满足了安全性要求不高的标准,但是它的精确度仍然有待加强。比如说光线的影响、发型的改变、脸部部分的遮挡、疤痕的影响,比如随着年龄的增长,比如说特定场景的一个表情等等,这些都可能会使得脸部识别的精确度受到影响。

另外一个就是当前容易发生的数据安全的风险。前段时间非常火的ZAO视频,可以把朱茵的脸在动态的环境下无缝地替换为杨幂,在这样的技术下,你说有没有可能用AI结合3D建模技术去破解刷脸用于便捷支付呢?前不久就有这样的一个实验。当然,真要用3D建模打造一个面具来攻克刷脸还有很长的路要走,比如这个手机你要交到对方的手里,比如手机密码需要破解。虽然那个实验是为了实验而实验,但是也提醒了我们,任何一个技术在社会发展的过程中都有一种矛与盾的关系,在互相不断攻防的过程中推进整个社会和科技的进步。

二、公共安全与隐私保护

收集用户信息的法律规定

这里还是回避不了关于网络安全法的问题,在目前尚未有其他特别明确的针对脸部数据以及其他生物数据规定的情况下,《网络安全法》就是最有针对性的规定。比如《网络安全法》就确定了一个原则,要求根据信息的不同类型来分别承担相应的安全保障义务。网络经营者相对于普通的个人信息,相对于不涉及个人信息的一些商业信息,那么它承担一个什么样的安全保护义务?对于收集生物识别信息的网络运营者来说,它是不是应该担更重的一个安全保障义务?

刚才各位都已经提到了《网络安全法》第二十二条规定,即“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意。”这是一个民事同意的问题。另外还有41条,“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围并经被收集者同意。”刚才延来律师介绍的可能是当前人脸识别第一案的案件,就是涉及到动物园要求其持有年卡的游客必须提供脸部识别数据,否则不予入场,这个游客认为在我有纸质凭证,或者其他识别方式的情况下,我拒不提供我的脸部识别,这并不能成为拒绝我入园的理由。

那么这里面就有这样几个问题,首先它要求收集的方式是否合法,其次是否正当,另外是否必要。待会我还会提到,必要的判断是什么样的问题,我记得刚才有位嘉宾也会提到,比如说一个地图类的APP,是否有必要索取脸部识别或者通话的授权。其实是没有必要的,APP索取的应该是为实现正常功能而必要的授权,这里涉及到的是必要性应该如何加以评判的问题。

另外第2款其实就解释了第1款的必要性,也就是说网络运营者不得收集与其提供的服务无关的个人信息。我们回过头来评判动物园相关的行为,重要的一个落脚点就是动物园收集的你的个人信息,是不是与它提供的服务无关。不知道大家有没有去过甘肃敦煌的鸣沙山,它提供的两日门票可以游玩两天,在第一天游玩结束离园的时候,如果第二天还想继续玩,对不起,你必须在离园的时候完整的输入你的脸部信息,输入之后,第二天就不需要带票,只要通过脸部识别就可以进入景区。

当时的时候我们想都没想就同意了脸部识别,但是后来想想,你给我了一张票,在第一天我离园的时候,你可以给我的门票上打一个孔,第二天你如果打了两次孔,就可以拒绝我进入,如果只打了一个,就可以允许我进第二次。可为什么一定要收集我的脸部数据,才允许我第二次进来玩呢?这其实跟动物园一样的道理,这样的问题值得我们去思考。这些数据很多时候我们觉得无所谓,很多权益也被我们所放弃了。

好,这里接下来涉及到的相关规定的问题,刚才大家也提到了GDPR,在欧盟的规定里,面部图像构成特殊类型个人数据项下的“生物识别数据”,相较于一般个人数据有更高的保护要求。

2020.1.1施行的网信办发布的《网络音视频信息服务管理规定》里,它明确规定了不得随意发布非真实视频,根据第10条规定,应该按照国家有关规定开展安全的评估。第11条的第1款规定,必须以显著的方式对非真实的视频进行明确标注,向用户说明视频是非真实的。另外,第2款是说如果这个非真实的视频是虚假的新闻类视频,则不能进行发布。另外,如果说部署AI虚假音视频导致了相关的舆情,需要有视频鉴别技术和健全的辟谣机制的备案。网信办在2020年1月1号施行这样一个规定,说明其实已经做了一个非常充分的应对。

典型的违规用户协议

这里面一个典型的违规用户协议的问题,我们还是用ZAO当时引起轩然大波的问题举例,这个协议当时说,“在您上传及/或发布用户内容以前,您同意或者确保实际权利人同意授予ZAO及其关联公司以及ZAO用户全球范围内完全免费、不可撤销、永久可转授权和可再许可的权利。”这是一个完全的霸王条款。并且这个协议还进一步提了,你用户“同意或确保肖像权利人同意授予ZAO及其关联公司全球范围内完全免费、不可撤销、永久可转授权和可再许可的权利。 ”如果说你的使用侵犯了明星的肖像权,你进行变脸之后所引发的涉及到肖像权侵权的纠纷,这个责任都必须自行承担。

这个规定在当时被认为是有史以来最霸道的一个条款,后来因为被工信部约谈进而进行了整改。这里面就涉及到如何有效地来实现公共安全与个人隐私之间平衡的问题。其实我们生物学的数据被商业机构掌握,轻则引发不当的商业应用,重则或导致你的脸部数据被电信诈骗利用。当你的亲人被骗了之后,朋友被骗了之后,被诈骗地服服帖帖的时候,这才发现这个跟他们视频通话的人原来是假的。声纹信息也是同样的道理,虽然说我们在很多时候都已经变成透明了,但是透明的情况下,其实还是应该在力所能及地范围内切切实实地努力保护好自己的个人隐私,无隐私即无自由。也有人会说遵纪守法就好,作为平民百姓也没人专门盯上我,但是还是请大家切勿漠视自身的合法权益。

DNA收集的典型事例

现在DNA侦破已进入了DNA族谱阶段。虽然说取得了犯罪嫌疑人的DNA,但是没法进行一个验证比对。在这样的情况下,我建立一个DNA数据库,这里面数据库虽然没有犯罪嫌疑人自己的DNA,但可能会匹配犯罪嫌疑人亲属的DNA。那么在这样的情况下,如果亲属DNA匹配出来的话,会大幅度地缩减嫌疑人的排查范围。

美国有一个叫做GEDmatch的网站,建立初衷是帮助业余爱好者研究族谱,对外公开开放,且几乎完全免费,引发人们兴趣,不断上传自身的DNA,查询自己的家族族谱。但是随着数据越来越多范围越来越广泛,美国的执法机构希望通过DNA通过找亲属的方式锁定犯罪嫌人,并破获了多起的陈年老案。一方面,有人主张说警方介入侵害了隐私,另外一方面,受害人的亲属说隐私在我的深仇大恨面前完全靠边站,认为警方应该与这个网站进行紧密的合作,尽快破案来告慰亡灵。这个个人隐私权和社会公共安全之间如何进行协调和平衡的问题,成为了我们面前一个无法回避的难题。

三、生物识别技术在法律上的规制方向

APP违规应用特征

现在继续讨论一下信息收集的法律规制问题,前不久工信部大致罗列了六项关于APP违规应用的一些特征,来给大家作为判断的参考。违规收集个人信息,或者说是违规收集其他信息的时候,会涉及到这么六个方面:

(1)没有公开收集信息使用规则的;(2)没有公开收集用户个人信息的目的、方式以及使用范围的;(3)没有经过用户同意就收集用户个人信息;(4)收集的信息与其提供的服务无关的;(5)未经用户同意私自发送用户信息给其他人;(6)没有提供删除或更正个人信息功能,或未公布投诉举报方式等信息.这是目前工信部来评判APP是否存在信息违规的问题的6个评价标准。

生物识别技术在法律上的规制方向

关于这里体现的法律规制方向,我想大致做一个思考和评述。针对人脸的识别,我们认为应该针对不同的人脸识别的应用场景进行一个利益的衡量,以确定人脸识别应用的必要性和使用范围。我觉得最重要的是,不论人脸识别收集后存在泄露或有没有用于商业应用,或者说有没有用于交换相应的商业利益,前提必须是满足必要性的要求,并且应严格限定使用范围,并保证与相应服务有着紧密关联。

另外相关的组织和机构在收集之前必须证明这种做法的合法性,我们网络安全法目前只规定信息应该怎么处理,还没有针对这种与个人生物特征所紧密关联的信息,来明确收集的主体、目的、方法、范围和程序的。如果是企业需要进行相应的生物特征收集的话,应该有相应的从业资质、行为规范,设置相应的准入场景以及准入条件等。政府如果要收集个人生物学数据,应有法律的明确授权,法无授权不可为。

还有企业机构收集的问题,就是必须经得被收集人的明示同意。其实对于个人生物特征信息的收集、处理以及应用应该提升到跟普通的信息完全不同的高度,以给予更为妥帖的保护。那么在这样的情况下,有几个问题,比如说我们以公共安全为名,对人个人生物信息的采集是否就没有边界?打个比方来说,G20的时候,我们经过一些地铁站的时候,我们的脸都会被拍照,政府部门是否有权在未经任何同意的情况下,把收集的脸部特征以国家安全为名用于数据库的建设?还是说,只能用于比对,只能作为缓存存储,而不得作为数据库的组成部分。

另外,在互联网环境下,在生物信息识别的领域,我们的被遗忘权如何能够得到保障呢?我们应该呼吁制定完善的问责制度,明确处罚构成要件、处罚标准,从而最大限度地防范人脸识别技术的滥用。

编辑 方巧娟
主编 刘洋