人脸识别国家标准征求意见 有望解决“滥用”、“泄露”等问题

历时两年，备受关注的“人脸识别”第一案尘埃落定。

2019年4月27日，郭兵购买野生动物世界双人年卡，留存相关个人身份信息，并录入指纹和拍照。后野生动物世界将年卡入园方式由指纹识别调整为人脸识别，并向郭兵发送短信通知相关事宜，要求其进行人脸激活，双方协商未果，遂引发本案纠纷。

今年4月9日，杭州市中级人民法院二审宣判。此前的一审判决，判令野生动物园赔偿原告郭兵合同利益损失及交通费共计1038元，删除郭兵办理指纹年卡时提交的包括照片在内的面部特征信息。二审判决在此基础上增加一项：野生动物园删除采集的郭兵的指纹识别信息;驳回郭兵的其他诉讼请求。

二审宣判后，郭兵接受媒体采访时直言对结果感到“失望”，并透露他可能考虑申请再审。

按照郭兵的本意，起诉杭州野生动物世界，意在促进规范人脸识别滥用。他曾在一审判决后表示：“法院认定动物园收集面部特征信息不具有必要性，对消费者而言是有利的。这次司法判决在这方面会有非常大的意义，也对后面规范人脸识别滥用起到一定的司法指引效果。”

之所以对判决失望，郭兵认为，主要是因为一审和二审法院均从合同法的角度，判定动物园要求人脸识别入园的内容对自己不发生法律效力，但却回避了对“未注册人脸识别的用户将无法正常入园”这一霸王条款的审查。而这正是他起诉杭州野生动物世界的关键诉求。

“郭兵案”虽然结束，但对于个人信息保护的正剧才刚刚拉开序幕。

随着技术的快速进步、市场应用需求的日益凸显，以及各路资本的竞相热捧，人脸识别的应用不断升温。比如高铁刷脸进站、酒店的入住、无人超市购物付费等等。

目前人脸识别市场的规模已经非常很庞大，数据显示，2010-2018年，中国人脸识别市场规模逐年增长，年均复合增长率达30.7%。前瞻研究院预计，未来五年中国人脸识别市场规模将保持23%的平均复合增长速度，到2024年市场规模将突破100亿元，合美金约15.5亿美金。

人脸识别的“滥用”和“隐患”

在崇尚效率的今天，大多数民众并不排斥人脸识别带来的便捷实用，但是隐私泄露这一高悬的“达摩克利斯之剑”也让大家心生恐惧。

根据《南方都市报》人工智能伦理课题组和App专项治理工作组发布的《人脸识别应用公众调研报告(2020)》显示，有九成以上的受访者使用过人脸识别，其中六成受访者认为人脸识别技术有滥用趋势，另有三成受访者表示，已经因为人脸信息泄露、滥用而遭受到隐私或财产损失。并且由于人脸信息在生物性和社会性上的唯一性，使得其不像其他信息。人脸信息一旦丢失就无法进行挂失，无异于将自己的“密码”公之于众。

事实上，早在去年11月，那条关于购房者带着头盔进售楼部的视频在网上瞬间被推上了热搜之后，各种关于售楼处安装人脸识别系统是否属于侵犯客户隐私?是否存在价格歧视?等相关热议就已经开始在各大新闻媒体和全国购房者间展开。

今年315晚会的第一弹就剑指人脸识别被商家滥用。调查报道中发现，滥用人脸识别，标注线下门店顾客，帮助零售企业进行客户管理，已经成为庞大的生态，有万掌门、优络客等服务提供商，也有科勒、宝马这样的全球品牌在采用，一家服务提供商就宣称自己已经搜集了上亿人脸，每个人生物隐私信息之被滥用，堪比十年前手机号被贩卖的乱象。

晚会暴露出触目惊心的隐私失序，首先是大品牌在零售店中安装了连接人脸识别与客户关系管理软件(CRM)的客户管理体系，能够对进店用户打上标签并进行精准识别，而在这一过程中，根本没有征得用户的同意。此外，更触目惊心的事实是，被识别了的人脸信息竟然能这么容易被第三方服务商调用。

个人信息保护已成为社会共识

根据调研发现，人脸信息泄露事故已比较普遍。但由于法规与管理的约束不足，相关开发和应用单位在信息保护、身份认证等技术上明显缺少安保主动性与责任感，一旦出现侵害公众隐私或公共安全的重大事故，将会导致严重社会与经济后果。人工智能迅猛发展，行业治理框架亟须建立，个人信息保护已成为社会共识，相关立法与部门管理已刻不容缓。

中国《网络安全法》第四十四条就规定：“任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。”

今年1月1日施行的《民法典》，确立了对个人信息权益的保护，规定处理个人信息“应当遵循合法、正当、必要原则。”

4月23日，《信息安全技术人脸识别数据安全要求》国家标准(以下简称“国标”)的征求意见稿的面向社会公开征求意见。

此次拟出台的国标主要为解决人脸数据滥采，泄露或丢失，以及过度存储、使用等问题，对于《个人信息保护法》草案中人脸识别相关的规定也有一定的体现和细化。

国标要求，收集人脸识别数据时应征得数据主体明示同意，不得利用人脸识别数据评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等情况。同时，应提供除人脸识别外的其他身份识别方式供用户选择，不应因用户不同意收集人脸识别数据而拒绝数据主体使用基本业务功能等。

针对人脸图像，国标要求应在完成验证或辨识后立即删除，如果开发商希望存储人脸图像，同样要经过数据主体单独书面授权同意。此外，还对进行人脸识别的开发商提出了技术资质门槛，要求其具备相应的数据安全防护和个人信息保护能力，以防范人脸识别被“活照片”等非法破解。

4月26日，工信部公开征求对《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》的意见。其中明确提到App第三方服务提供者应当履行以下个人信息保护义务：未经用户同意，不得将收集到的用户个人信息共享转让。

由于专业性壁垒和信息不对称，民众往往对于在无感的情况下个人信息不合理或过度采集缺乏保护意识。所以，如何保护公民信息采集时的知情权，以及企业乃至政府使用个人信息时如何合法授权，应是业界思考的重要问题。

相关企业在使用人脸的过程中，应当重视隐私合规要求，依法尽到告知义务，同时高度重视人脸数据的使用和存储安全，进行充分的技术投入和管理措施用于保护人脸识别的安全性，避免因自身防护不当导致的用户敏感信息泄露和账户资金损失，及其产生的法律、舆情风险。