若干年前，當人臉識別剛剛為大眾所了解的時候，那是一種「風尚」，不少場景用人臉識別來彰顯自己的”高科技內涵”;如今，卻有不少場景因為使用了人臉識別而被叫停。 “人臉識別是否被’濫用'”是業界一直在討論的話題。

最高人民法院：不得強制將人臉識別作為出入社區唯一驗證方式

圖源：IT時報

文/ 潘少穎

7月28日，最高人民法院發佈《最高人民法院關於審理使用人臉識別技術處理個人資訊相關民事案件適用法律若干問題的規定》（以下簡稱”規定”），對濫用人臉識別問題作出了司法統一規定，該規定自8月1日起施行。

圖源：最高人民法院

《規定》顯示，商場、賓館、車站等經營場所、公共場所違反法律、行政法規的規定，使用人臉識別技術進行人臉驗證、辨識或者分析，應當認定屬於侵害自然人人格權益的行為;物業也不得將”刷臉”作為進出社區的唯一驗證方式;此外，資訊處理者必須就人臉資訊處理活動單獨取得個人同意，而不能與其他資訊捆綁授權。

如此，被濫用的人臉識別會「踩剎車」嗎？

01 供應商暫停提供人臉識別方案

20多平方米的萬科上海一售樓處內，安裝了10多個大大小小的攝像頭，其中人臉識別攝像頭用於記錄客戶的到訪時間;而在上海愛琴海購物公園，每個進入商場的大門和從車庫進入商場的電梯口，均安裝了球體攝像頭，據供應商介紹，在這幢6層樓的商場內安裝了200多個人臉識別球體攝像頭…… 這是去年12月「帶頭盔看房」一事發酵后，本報進行的跟蹤報導。

上海愛琴海購物公園裡布滿了攝像頭，圖源：IT時報

在今年的”3·15″晚會中，科勒、寶馬等使用人臉識別攝像頭的情況被曝光，當消費者的面部被系統抓取後，後台會自動讀出年齡、性別及到店次數、消費記錄和偏好等資訊。 甚至，連消費者的心情都可以獲知，而且無須徵得客戶同意。

根據《規定》，商場、賓館、車站等經營場所使用人臉識別技術進行人臉驗證、辨識或者分析，應當認定屬於侵害自然人人格權益的行為。

近日，《IT時報》記者走訪了上海的一些商場，發現大多數商場內每隔三五米都會有一個球體攝像頭，也鮮有商場有”攝像頭正在監控”等此類提示。 這些球體攝像頭作何用，是否依然會記錄人臉，商場工作人員均表示”否定”，”攝像頭主要是進行客流量統計以及安防監控，並沒有記錄進店使用者的人臉。 “一家大型商場的工作人員告訴《IT時報》記者。

圖源：IT時報

此前，在人臉識別「肆意生長」的時候，不少科技公司都推出了植入人臉識別技術的方案，主要為商場等經營場所提供用戶資訊。

“技術上可以，法律上不允許。” 一位向門店提供智慧方案的科技公司人士對《IT時報》記者表示。

《IT時報》記者以店內需要安裝攝像頭為由，諮詢了多家供應商，當記者表示解決方案中需要有人臉識別技術能記錄一位使用者到店次數、愛好等數據時，大家均表示”人臉識別現在比較敏感，無法提供此類方案，現在提供的方案主要包括客流量、性別比例、店內某區域某一時間段內的客流量、缺貨提醒等一些和人臉無關的資訊。 ”

“如果一定要使用人臉識別功能，需你向進店的每一位使用者分別告知店內在進行人臉識別，徵得每一位使用者的同意才能採集人臉，而且要和我們簽訂承諾書，確保店裡的每一位使用者都同意，但這是很難做到的。” 一家科技公司銷售人員告訴《IT時報》記者，自從”3·15″之後，尤其是最近最高法的《規定》出臺後，行業內都比較謹慎。

02 業主可以”不賞臉”

“小區自從裝了人臉識別門禁後，每家只給兩張門卡，其餘的人都要刷臉才能進社區。” 此前，《IT時報》記者在採訪中經常聽到此類抱怨，甚至有的社區、商務樓啟用刷臉之後，就完全擯棄了刷卡方式。

針對此現象，《規定》明確：物業服務企業或者其他建築物管理人以人臉識別作為業主或者物業使用人出入物業服務區域的唯一驗證方式，不同意的業主或者物業使用人請求其提供其他合理驗證方式的，人民法院依法予以支援。

也就是說，對於不同意刷臉的業主或者物業使用人，小區物業應當提供替代性驗證方式，不得侵害業主或物業使用人的人格權益和其他合法權益。

在最高人民法院研究室副主任郭鋒看來，社區人臉識別設備的使用，主要集中在強制”刷臉”的問題上，在錄入人臉資訊時，小區物業會要求人臉資訊與詳細住址、身份資訊相綁定，這些資訊一旦洩露，可能給個人隱私造成損害，因此不能以智慧化管理為由。

“我們社區有兩個出入口，一個出入口只能刷卡，另外一個既可以刷卡也可以刷人臉，考慮到資訊安全，我們把刷卡作為主要進社區的方式，現在400多家住戶中有一半不到住戶錄入過人臉。” 浦東一小區的物業工作人員告訴《IT時報》記者。

《IT時報》記者隨機採訪了上海的部分社區，絕大多數社區都有刷卡和刷臉兩種方式，只不過有的社區前期在大力宣傳刷臉進社區，錄入人臉的業主比較多，而有的社區並未大力推行刷臉進社區，願意刷臉的業主比例並不高。

“我們是從今年初開始推行刷臉進門洞的，由業委會牽頭，進行公示、通知等流程，得到了大部分業主的同意。 而且考慮到資訊安全，人臉識別門禁只『識人』不『記人』，也就是只採集人臉，不採集身份資訊、電話號碼、名字等，數據也只保存在本地。 “普陀一小區業委會主任向《IT時報》記者表示，如果不願刷臉，刷卡也可以進門洞。

近日，廣東省人民檢察院公佈4件個人資訊保護檢察公益訴訟典型案例，其中一件是處置住宅社區違規設置”人臉信息識別”門禁系統，當地7個住宅社區物管公司在未向行政主管部門申請並審核驗收的情況下，擅自安裝並投入使用”人臉信息識別”門禁系統，且已完成大部分社區業主的人臉信息採集。

03 大多數App未單獨徵求同意

App向使用者過度索取許可權的現象近年來受到全社會高度關注，有關部門也開展了整治行動。 《規定》中也明確，信息處理者在徵得個人同意時，必須就人臉資訊處理活動單獨取得個人的同意，不能通過一攬子告知同意等方式徵得個人同意;此外，不能帶有任何強迫因素，包括”不點擊同意就不提供服務”等。

最高人民法院研究室民事處處長陳龍業表示，自願原則是《民法典》的基本原則，個人的同意必須是基於其自願而作出，特別是對人臉信息的處理。 如果資訊處理者採取「與其他授權捆綁」」不點擊同意就不提供服務」等模式，會導致自然人無法單獨對人臉資訊作出自願同意，或者被迫同意處理其本不欲提供且非必要的人臉資訊。

《IT時報》記者查看了幾款常用的App，發現和金融相關的App一般都有關於採集人臉信息相關的提示。 比如在支付寶的隱私政策里，有關”身份驗證”中提到，選擇刷臉登錄服務，需提供臉部圖像或視頻。 如果不需要使用刷臉登錄、指紋登錄或面容ID登錄，也可以選擇密碼登錄、簡訊驗證碼登錄等其他方式。

圖源：支付寶隱私協定

而在農行的隱私政策里也提到，在使用個人掌銀指紋/人臉識別登錄服務時，需提供指紋識別資訊、面部識別資訊。

不過，有部分App在隱私政策里並沒有和人臉資訊相關的規定。 在京東上，記者開通刷臉登錄，在其隱私政策中，並沒有關於人臉信息的相關說明，只是在部分特殊類型商品交易或服務時還需要提供其他必要資訊中提到，可能需要提供本人的照片或視頻。

根據《規定》中明確的不能一攬子告知同意、不能強迫同意兩點要求，大多數App都做到了不強迫同意這一點，但在”不一攬子告知同意”方面，不少App並沒有把和生物資訊相關的採集方法、存儲方式、使用範圍等單獨列出，基本都是和隱私政策融合在一起，使用者如果同意隱私政策就意味著同意App採集個人生物資訊。

#记者手记 #

人臉識別，莫”不講武德”

對於這項《規定》的出台，業內人士是叫好的。

作為網路安全專家，上海眾人網路安全技術公司董事長談劍鋒近年來一直關注個人生物資訊的保護，對於此次《規定》，他表示，對濫用人臉識別技術作出了明確規定，很有指導意義。 “生物資訊包含很多內容，先從人臉識別開始，跨出第一步很不容易。”

記者在採訪中也感受到，目前隨著各方面對生物資訊保護的重視，濫用人臉識別的情況已經有所”刹車”。

不過， 「剎車」之後會出現「加把油再衝刺」嗎？ 正如上述科技公司銷售人員所說，因為近段時間以來，不斷有媒體曝光，再加上《規定》的出臺，所以，大家都小心翼翼。

但是，當這陣風吹過之後，人臉識別供應商、商場等還能繼續「剎住車」嗎？

我們自己的生物資訊要用一輩子，業內安全人士在保護個人生物資訊方面已經做了很長時間的努力，也正在著力喚醒大家對個人生物信息保護新的認識，所以，並不希望現在”刹車”是一時的，是因為《規定》出臺而暫時”止步”。

繁榮數字經濟，是為了共用數字紅利，法治落地，讓人臉識別規範起來，用戶體驗也會更加便利，數字經濟也回擁有健康發展的新助力。