人脸识别技术的法律与实践研究
2020.01.06 董潇 袁琼 董俊杰
一、人脸识别技术介绍
1、人脸识别技术定义
生物特征识别技术
是对生物体(一般特指人)本身的生物特征来区分生物体个体。生物特征识别技术所研究的生物特征包括脸、指纹、手掌纹、虹膜、视网膜、声音(语音)、体形、个人习惯(例如敲击键盘的力度和频率、签字)等,相应的识别技术就有人脸识别、指纹识别、掌纹识别、虹膜识别、视网膜识别、语音识别(用语音识别可以进行身份识别,也可以进行语音内容的识别,只有前者属于生物特征识别技术)、体形识别、键盘敲击识别、签字识别等。
人脸识别
是基于人的脸部特征信息进行身份识别的一种生物识别技术。用摄像机或摄像头采集含有人脸的图像或视频流,并自动在图像中检测和跟踪人脸,进而对检测到的人脸进行脸部识别的一系列相关技术,通常也叫做人像识别、面部识别。一般来说,人脸识别系统包括图像摄取、人脸定位、图像预处理、以及人脸识别(身份确认或者身份查找)。系统输入一般是一张或者一系列含有未确定身份的人脸图像,以及人脸数据库中的若干已知身份的人脸图象或者相应的编码,而其输出则是一系列相似度得分,表明待识别的人脸的身份。
2、人脸识别技术流程
人脸图像采集及检测
人脸图像预处理
人脸图像特征提取
人脸图像匹配与识别
3、人脸识别技术基本模式
模式
别称
内容简介
1:1
人脸验证对比
比如入住酒店,前台要求在一台机器面前,将身份证的与现场照片进行对比,只有结果符合才可以入住,这是一个较为简单的1:1人脸识别应用
1:N
静态人脸对比
1为采集人脸识别目标,N为数据库库内人脸的数量。例如,人脸门禁应用,在办公室门口设置摄像头,并将员工库作为N,每当一个人经过,系统在库中做特征比对,以确认此人是否为员工,静态人脸比对使用的频率比较低,只有当客户要做一次搜索的时候它才会使用。简单说就像一个搜索引擎,在搜索结果里挑一个认为对的.。
M:N
动态人脸对比
摄像头每看到一个人后,就在库里去比对这个人是谁,“M”代表的就是摄像头,或者网络里所有摄像头抓到的人脸数目。“N”就是对比库中的目标数目,抓到的每一张脸都得查询对比一遍,然后对于这个脸对比N+1次,对比总次数为M(N+1)次。动态人脸使用频率非常高,因为是一个全自动体系。这些应用里,N的数量级有很大区别,比如某城市部署了上千个摄像头用来拍摄人脸,每个摄像头每秒钟都会抓取数张人脸,那么系统每秒钟便抓拍了上千张,每天四千万张,每个月十几亿张。当某个应用需我们在十几亿的人脸抓怕库中进行对比时,将使用一个新技术——视频大数据处理
4、人脸识别技术的优缺点
优点
非接触性、非侵扰性
自然性
硬件基础完善
采集快捷便利、可拓展性好
缺点
脸部特征变化较大
相似性
隐私安全风险
5、人脸识别技术主要产品
数码相机
门禁系统
身份辨识
网络应用
娱乐应用
二、我国的行业实践
1、人脸识别技术在我国发展的进程
2、我国人脸识别技术主要集中领域
3、我国人脸识别技术应用现状
应用领域
具体应用
公共安全
刑侦追逃、罪犯识别、边防安全
信息安全
计算机和网络的登陆、文件的加密和解密
政府职能
电子政务、户籍管理、社会福利和保险
商业企业
电子商务、电子货币和支付、考勤、市场营销
场所进出
军事机要部门、金融机构的门禁控制和进出管理等
三、我国与人脸识别相关的法律规定及执法案例
1、法律规定
我国尚未出台专门针对人脸识别技术或生物识别技术的法律,但通过人脸识别技术所收集的面部特征信息作为生物识别信息,属于个人信息的范畴,应受与个人信息保护相关法律的规范。以下为我国与人脸识别有关联的法律规定,除此之外,我国也出台了与生物识别信息或人脸识别信息相关的国家标准,例如《信息安全技术 个人信息安全规范》《信息技术 生物特征识别应用程序接口》系列标准、《公共安全人脸识别应用图像技术要求》等。
序号
名称
主要内容
1
《民法总则》
第一百一十一条 自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
2
《侵权责任法》
第六条 行为人因过错侵害他人民事权益,应当承担侵权责任。
3
《刑法》
第二百五十三条 侵犯公民个人信息罪
4
《网络安全法》
第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
5
《消费者权益保护法》
第二十九条 经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。
6
《电商法》
第二十三条 电子商务经营者收集、使用其用户的个人信息,应当遵守法律、行政法规有关个人信息保护的规定。
7
《互联网个人信息安全保护指南》
6.1 e)个人生物识别信息应仅收集和使用摘要信息,避免收集其原始信息
8
《数据安全管理办法》(征求意见稿
网络运营者以经营为目的收集重要数据或个人敏感信息的,应向所在地网信部门备案。备案内容包括收集使用规则,收集使用的目的、规模、方式、范围、类型、期限等,不包括数据内容本身。
9
《个人信息出境安全评估办法》(征求意见稿)
个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。
2、政策支持
序号
名称
生效
主要内容
1
《2017年政府工作报告》
2017.03
指出要加快培育壮大包括人工智能在内的新兴产业。
2
《关于落实个人银行账户分类管理制度的通知》
2016.11
对II、III类账户的开立、变更、注销、个人信息验证办法、视频及人脸识别等技术手段以及不同账户的使用功能和限制作了详细的规定。
3
《“互联网+人工智能三年行动实施方案》
2016.05
到2018年,打造人工智能基础资源与创新平台,人工智能产业体系创新服务体系、标准化体系基本建立。这项政策的发布将人工智能普及到政府和企业之间。
4
《中国人民银行关于改进个人银行账户服务加强账户管理的通知》
2015.12
提供个人银行开立服务时,有条件的银行可探索生物特征识别技术和其他有效的技术手段作为核验。
5
《安全防范视频监控人脸识别系统技术要求》
2015.05
适用于以安全防范为目的的视频监控人脸识别系统的总体规划、方案设计、设备生产、质量控制等。其他领域可参考使用。
6
《关于加强社会治安防控体系建设的意见》
2015.04
提出网格化管理要求,以精确信息做到矛盾化解,未来网格化精细管理是平安城市和智能交通管理的发展方向。
7
《关于银行业金融机构远程开立人民币账户的指导意见(征求意见稿)》
2015.01
坚持柜台开户为主,运程开户为辅;实施客户身份识别机制的自证。
3、我国与人脸识别相关的执法案例
某换脸软件
近日某换脸应用一夜之间爆火,它使用AI技术,用户只需要一张正脸照,就可以替换为影视作品或者小视频中的人物,生成以自己为主角的视频片段。然而,此应用的用户协议中隐藏了很多对用户不利的条款,并印发了极大的争议。8月31号该应用软件的用户协议被修改。9月1号,此AI换脸App已被微信屏蔽分享链接,提示的理由是“网页存在安全风险,被多人投诉”。9月3日,针对此App用户隐私协议不规范,存在数据泄露风险等网络数据安全问题,工信部约谈负责人,要求其依法依规收集使用用户个人信息强化网络数据和用户个人信息安全保护。
高校采用人脸识别
中国某高校日前在校门口、学生宿舍大门口、图书馆、实验楼等场所安装了人脸识别门禁,并在部分试点教室安装了人脸识别系统用于日常考勤和课堂纪律管理。通过把学校学生和教职工信息储存在后台数据库,学生和教职工通过人脸识别门禁时,可以实现一秒“刷脸”进校,与老式门禁相比,既方便又安全。目前学校在两间教室试点安装的人脸识别系统,除了能自动识别学生的出勤情况外,还能够实现对学生课堂听讲情况的全程监控。学生是否认真听讲,课堂上是否抬头低头,抬头低头了几次,抬头低头了多长时间,低头是否在玩手机,是否闭眼打瞌睡,都逃不过人脸识别系统的“法眼”。学校有关人士表示,学校之前已向公安部门和法务部门咨询,由于教室属于公开场所,因此不存在“侵犯隐私”的说法。
四、美国与欧盟人脸识别法律体系和实践
1、美国关于人脸识别的立法
对公共部门使用人脸识别技术的限制
在过去的几个月中,美国的三个城市, 加州旧金山市、马萨诸塞州萨默维尔市、加州奥克兰市分别通过了禁止政府部门使用人脸识别技术的法令。
2019年5月,加州旧金山市监事会通过法令,禁止政府部门获取、保存、访问、使用“人脸识别技术”和“使用人脸识别技术获取的信息”。该法令称,“人脸识别技术危及公民权利和公民自由的可能性远远超过其声称的利益”。
2019年6月,马塞诸塞州萨默维尔市议会通过法令,禁止萨默维尔市政府部门和官员获取、保存、访问、使用“人脸监控系统”和“人脸监控系统获得的信息”。
2019年7月,加州奥克兰市通过法令,禁止市政府部门和工作人员获取、保存、访问“人脸识别技术”和“使用人脸识别技术获取的信息”。
限制商业使用的联邦层面的法律
目前,美国没有一个较为全面地规制私有企业收集、使用以及销售个人信息的隐私保护的法律。除此之外目前也没有任何明确规制人脸识别技术的联邦法律。
但是,在三个领域里,特定的联邦法律(解决隐私和消费者保护的法律)可能会适用人脸识别的商业运用。这三个领域分别为:
1、面部信息的抓拍 (Video Voyeurism Prevention Act of 2004)
根据联邦法律Video Voyeurism Prevention Act of 2004, 如在个人的私人领域或者个人有合理隐私期望的地方抓拍, 构成刑事犯罪,这个act会影响到商业空间特定位置camera的放置位置,例如不会放在试衣间里面。
2 、收集、使用与分享个人信息 (针对特定的目的、情形、信息的类型或者具体的领域和实体)
Driver’s Privacy Protection ACT(1994):禁止出于商业目的使用与披露机动车记录中所包含的特定的个人信息,该法案中的个人信息的定义包含了司机的人脸识别信息、驾驶证件照以及其他能够识别出个人的信息。
Gramm-Leach-Bliley ACT(GLBA):限制披露公开金融机构所收集的以及从金融机构所收集的信息,分享数据给非关联第三方时需要给消费者同意,并且给他们退出的机会。没特别提到脸部数据,但包含脸部数据。
Health Insurance Portability and Accountability Act:保护一个人的医疗信息 只有在经过个人的书面授权之后才能转移医疗信息,如果披露医疗信息的话,必须移除有全脸的图片和其他生物特征信息。
3 、不公平与欺骗性的行为与实践(Federal Trade Commission Act )
该法案是目前美国在个人信息保护领域主要的法律法规,主要针对:
企业违反其制定并公布的隐私政策的;
企业在对其隐私政策进行重大修改时没有充分通知用户的;
企业没有对其持有的用户敏感信息进行合理且适当的保护的。该法案同时发布了隐私和数据安全指南。
该法案在下列两种情形下的处罚标准分别是:
欺诈性贸易行为:在用户通过合理的方式解释的情况下条款的表述或者缺失会误导用户,且该误导行为属于可能影响用户是否选择该产品的重大误导行为。
不公平贸易行为:造成或者可能造成用户重大的经济或者安全健康方面的损失;用户无法采用合理手段避免该损失;使用该产品所带来的收益未超过客户产生或者可能产生的损失。
限制商业使用的各州立法
美国目前有三个州通过立法来专门规范生物识别技术的商业应用,这其中当然也包括人脸识别技术,分别为伊利诺伊州、德克萨斯州、华盛顿州。
伊利诺伊州
企业制定有关生物数据收集、储存、以及销毁的相关政策并对外公开。
在收集生物信息前,需要向信息主体提供有关信息收集目的及期限的通知。
该法律要求在获取生物信息前获得信息主体的书面同意。
禁止售卖此类信息获利。
禁止拥有生物信息的实体与第三方分享生物信息, 除非该披露是出于执法部门的需要或者是为了完成个人所要求或授权的金融交易。
伊利诺伊州是三个州中唯一赋予个人依据此法进行诉讼或集体诉讼的权利的州。
伊利诺伊州法案主要针对在商业活动或者雇佣过程中收集Illinois州居民的生物特征识别数据的公司。如果一家公司违反BIPA法案,在过失侵权案件中公司应当赔偿每位原告1000美元,在故意侵权或者间接故意侵权案件中应当赔偿每位原告5000美元。
德克萨斯州
法律规定,在未获取同意之前,不得获取信息主体的生物识别信息,除了满足一定条件外,生物识别信息不能被售卖或者是被披露给其他方。该法律要求信息控制者对于生物识别信息的存储、转移与保护采取reasonable care.如果雇主因为雇佣的原因聘请了员工而需要采集他们的生物信息,那么该类信息的储存期限不能超过雇佣期限。
华盛顿州
华盛顿州法律2017年通过,规定了商业企业收集与使用生物特征信息的有关内容,该法中也有与前面所述两州一样的内容:需要在收集信息前向信息主体告知并获得同意。
美国正在立法进程中的法案(关于人脸识别技术的使用)
法案
最新进展
主要内容
S. 847 Commercial Facial Recognition Privacy Act of 2019
2019年3月14日向参议院提交
除非获得终端用户的积极同意,禁止商业实体通过人脸识别技术辨认或跟踪终端用户,禁止用人脸识别技术对终端用户进行非法的区别对待、禁止将收集的人脸识别技术数据用于其他目的。
H.R.4021
2019年7月25日向众议院提交
禁止联邦机构在没有联邦法庭命令的情况下使用人脸识别技术。不允许将在法庭命令下使用人脸识别技术获取的信息分享给其他没有获得联邦法庭命令的联邦机构。
2、美国企业对于人脸识别的监管建议
微软的监管建议
微软总裁兼首席法务官Brad Smith呼吁立法解决人脸识别的偏见、隐私、侵犯民主自由问题。具体的监管建议有:
应对偏见,法律可以:要求透明度;允许第三方测试和比较;保证有意义的人类审查(在作出法律认为“产生重大后果”的决定的情况下,由人类进行审查);禁止用于非法歧视。
保护公民隐私,可以由立法规定:(1)保证通知;(2)要求消费者同意。
为保护民主自由的人权,必须使政府对人脸识别的使用受制于法治,由法律限制目前政府对特定个人的监控。只有下列情况,才允许执法机关在公共场合使用人脸识别监控特定个体:存在法庭令允许使用人脸识别监控;存在某人死亡或严重物理伤害的迫切危险或风险的紧急情况。
亚马逊网络服务(AWS)建议的准则
人脸识别的使用必须遵守法律,包括保护公民权利的法律。
在执法情侣下使用人脸识别技术时,必须有人类审查,以保证使用预测来做决策不侵犯公民权利。
当执法部门使用人脸识别技术进行辨认、或可能威胁公民自由时,推荐99%的置信度阈值(confidence threshold)。
执法机构对于人脸识别技术的使用应该保持透明。
公共和商业场景下,当视频监控和人脸识别同时使用时,应当有通知。
3、欧盟GDPR对于人脸识别的影响
第4条第14项
“生物识别数据”是通过对自然人的物理、生物或行为特征进行特定的技术处理的得到的个人数据。这类数据生成了那个自然人的唯一标识,比如人脸图像或指纹识别数据。
第6条 处理的合法性
1.只有在适用以下至少一条的情况下,处理视为合法:
数据主体同意他或她的个人数据为一个或多个特定目的而处理;
处理是为履行数据主体参与的合同之必要,亦或处理是因数据主体在签订合同前的请求而采取的措施;
处理是为履行控制者所服从的法律义务之必要;
处理是为了保护数据主体或另一个自然人的切身利益之必要;
处理是为了执行公共利益领域的任务或行使控制者既定的公务职权之必要;
处理是控制者或者第三方为了追求合法利益的之必要,但此利益被要求保护个人数据的数据主体的利益或基本权利以及自由覆盖的除外,尤其是数据主体为儿童的情形下。
第7条 同意的要件
如处理是基于同意,则控制者应能证明数据主体已经同意处理他或她的个人数据。
如数据主体通过书面声明的方式作出同意,且书面声明涉及其他事项,那么同意应以易于理解且与其他事项显著区别的形式呈现。构成违反本法的声明的任何部分,均不具约束力。
数据主体有权随时撤回他或她的同意。同意的撤回不应影响在撤回前基于同意作出的合法的数据处理。在作出同意前,数据主体应被告知上述权利。撤回同意应与作出同意同样容易。
当评估同意是否是自由作出时,应尽最大可能考虑,还应考虑合同的履行,包括服务的提供是否是基于对履行合同不必要的个人数据的同意。
第9条 特殊种类的个人数据处理
对揭示种族或民族出身,政治观点、宗教或哲学信仰,工会成员的个人数据,以及以唯一识别自然人为目的的基因数据、生物特征数据,健康、自然人的性生活或性取向的数据的处理应当被禁止。
如果符合以下情形,则第一款不适用:a) 数据主体对以一个或数个特定目的对上述个人数据的处理给予了明确同意,但依照欧盟或者成员国的法律规定,第1款规定的禁止情形不能被数据主体援引的除外。
第12条 数据主体行使权利的透明度、交流和模式
1.控制者应当以一种简单透明、明晰且容易获取的方式,通过清楚明确的语言,采取合适措施提供第13条和第14条所提到的任何信息,以及根据第15条到第22条和第34条所提及的关于数据主体处理过程的沟通信息(尤其是关于儿童的任何信息)。控制者应当提供书面材料,在其他情况下,若有必要,可以采用电子方式。如果数据主体能够通过其他方式得到认证,那么在数据主体的要求下,能够以口头方式提供信息。
第21条 拒绝权
数据主体拥有拒绝权,在关于他/她的特定情形下,在任何时间处理关系到他/她第6条第1款第(e)或第(f)项规定的个人数据,包括基于这些条款的分析。控制者不能处理个人数据,除非控制者能够证明不顾数据主体的利益、权利和自由处理数据或者建立、行使或维护这种法律权利具有令人信服的正当化理由。
个人数据因为直接营销的目的被处理的,数据主体应当有权利拒绝在任何时间因为这种商业目处理关系到他/她的个人数据,这种商业目的包括分析达到有关这种直接营销的程度。
数据主体拒绝因直接的商业目的处理数据的,个人数据不应该因任何这种目的被处理。
从以上来看,GDPR对于人脸识别系统对于人脸数据的收集提出了较为严格的条件,为了做好相应合规,在GDPR出台后,相关的人脸识别技术企业应做好以下准备:
GDPR明确说明,在使用新技术处理数据时,如果该新技术有极大的风险造成对于个人的权利与自由的侵害的话,需要进行数据保护影响评估(Data Protection Impact Assessment),相应的执法单位会在限定时间内做出评估并给出建议。
加强对于人脸识别数据的保护力度,防止泄露。
对于数据进行脱敏化和匿名化处理,能够较大地减少侵犯隐私的风险。
采取更加严格的保存数据的措施。
4、欧盟GDPR生效后的执法案例
比利时
某公司向比利时监督部门报告了一起数据泄露事件,称由于其韩国某供应商的安全漏洞导致2000名员工的生物识别数据(指纹)泄露。目前该起泄露事件正在调查中。
瑞典
瑞典监督部门对当地一市政当局处以20,000欧元的罚款,原因是该市政当局通过捕捉影像和匹配学生姓名,使用人脸识别技术监督学生考勤。监督部门认为,学校使用人脸识别存在以下问题:(I)将其用于前述目的过于侵犯隐私;(II)无第9条下所述的有效法律依据,以及(III)不满足数据保护影响评估以及事前征求意见的要求(第35-36条)
英国
英国信息专员办公室就媒体报道的关于中伦敦国王十字区使用实时人脸识别技术的问题开展调查。据报道,在2016年至2018年期间,两部摄像头使用人脸识别技术收集影像,且在某些情况下,收集的数据被共享给执法部门,用以帮助“发现犯罪和确保公共安全”。
五、实践中主要法律问题及合规建议
1、现实中主要存在的与人脸识别相关的法律问题
目前我国针对人脸识别的法律相对比较空白,相关执法部门对于人脸识别技术在实践应用中涉及的法律问题答复也比较模糊,关于人脸识别技术在实践中的应用主要存在以下可能的法律问题:
在商场或私人营利场所安装人脸识别系统获取客人面部特征的合法合规性;
在收集面部图像前,是否需要获得信息主体的明示同意,实践中应如何获取信息主体同意才能最大限度地规避法律风险;
在不同场景下运用不用技术原理进行的人脸图像信息收集,分别对应的法律风险及风险规避手段。
2、关于人脸识别的合规建议
使用人脸识别技术收集与使用人脸信息时,遵守合法、正当、必要原则。
收集与使用人脸信息前采取适当的方式获取信息主体的明示同意。
承担更高的数据安全保护义务,确保数据安全。
密切关注行业立法与监管态势,积极应对相关主管部门对人脸识别技术应用有关的规范出台情况。
