7家门店,22台摄像设备,6个月采集了43万张人脸照片……2021年底,滥用“人脸识别”的上海小鹏汽车销售服务有限公司,被徐汇区市场监督管理局罚款10万元。
上海市市场监督管理局网站公开的行政处罚信息显示,上海小鹏汽车销售服务有限公司违法行为类型为“侵害消费者人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的”。
“人脸识别”是基于人的脸部特征信息进行身份识别的一种生物识别技术。近年来,因公共场所监控图像的不当采集利用而侵犯个人隐私的案例屡见不鲜,引发舆论争议。随着《中华人民共和国个人信息保护法》(以下简称“个保法”)的生效,“人脸信息安全”问题再次触动公众敏感的神经。
人脸信息在某些场合是否未经允许就被肆意抓取?一部“个保法”能否遏制包括人脸信息在内的生物信息被随意采集、贩卖、滥用的违法行为?43万人脸照片,才罚10万元,平均一张照片才2毛多,违法成本是否太低?科技日报记者走访了多位信息安全和法学专家。
人脸识别已成为一门财源滚滚的生意
据徐汇区市场监督管理局行政处罚决定书,2019年,当事人上海小鹏汽车销售服务有限公司的业务母公司小鹏汽车销售有限公司向第三方购买了门店客流监测项目服务。
当事人购买人脸识别摄像设备后,安装在旗下门店用于采集并上传消费者的面部识别数据,经算法识别计算后,以此进行门店的客流统计和客流分析,包括进店人数统计、男女比例、年龄分析等。
经查,上海小鹏汽车销售服务有限公司共购买具有人脸识别功能的摄像设备22台,型号为F3,硬件及软件采购费共计人民币173822.77元。前述人脸识别摄像设备全部安装在当事人旗下门店,涉及5个直营店及2个加盟店,开通系统账号8个,2021年1月至2021年6月期间,前述人脸识别摄像设备共计采集上传人脸照片431623张。
南京大学法学院单勇教授认为,上海小鹏汽车销售服务有限公司在门店安装人脸识别摄像设备,采集消费者面部识别数据,并未经得特定消费者的同意,也无明示、告知消费者收集、使用目的,明显违反《中华人民共和国个人信息保护法》第13条关于个人信息处理者处理个人信息的条件规定。
2021年3月,名创优品也曾因门店内使用非法采集顾客人脸信息的摄像头被有关部门立案调查。2021年“315”期间,央视还曾曝光科勒、宝马等门店通过安装摄像头,并在消费者无感的情况下,违规收集消费者人脸数据的情况。
而在更早时候,全国各地都曝出售楼处采集消费者人脸信息的事件,甚至有顾客被逼无奈戴着头盔去看房。据不完全统计,佛山、苏州、宁波等多地查处并通报了售楼处使用人脸识别技术收集个人信息的违法行为与典型案例。
记者在南京随机选择了一些商场、品牌专卖店、售楼处,均发现这些场所内挂有多个摄像头,部分场所张贴“您已进入监控区域”等字样。但是,记者询问工作人员,是否存在人脸识别系统采集信息行为时,均未获得正面回答。
多位受访的业内人士表示,商家为了识别到访客户的来源或者为了防止客户跳单及同业竞争对手抢单,而引入人脸识别技术,相关人工智能企业瞄准这一商机,已将其发展成为一门财源滚滚的生意。
“个保法”生效能否遏制人脸识别技术滥用
2021年11月1日,《中华人民共和国个人信息保护法》正式实施,再加上《中华人民共和国网络安全法》和《中华人民共和国数据安全法》,已构成营造良好数字社会生态的三大法治基石。
那么,为何还有许多企业滥用人脸识别技术,擅自采集生物信息呢?
江苏省科协副主席、南京理工大学李千目教授认为,近年来,强化用户人脸信息保护的呼声日益高涨,人脸识别技术带来的个人信息保护问题也日益凸显,遏制人脸识别技术滥用趋势正在逐步好转。
“但即使相关法律已颁布,也不可能完全杜绝违法现象,就比如有了交通法仍然有人闯红灯,而网络安全、信息安全、数据隐私保护,涉及每一个人,公众非常敏感,所以社会关注度也更高。”李千目说。
单勇表示,“个保法”更多是从实体和程序角度设计个人信息处理规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、法律责任等方面做出的基本性规定和原则性规定。这些基本性、原则性规定的落地还需要健全的执法组织机制和细化规定。所谓“徒法不足以自行”,如何全面贯彻落实“个保法”已成为当前迫切需要大力推进的问题。
因此单勇建议,“个保法”生效后,相关的部门应该对如何贯彻落实“个保法”出台规范性文件,使得个人信息保护能够真正落到实处。
同时,消费者应提高维护自法律身合法权益意识。对于商家在公共场所设置的摄像头,专家认为,不能因为商家张贴一张纸,标明“您已进入监控区域”等字样,就放弃主张个人的权利。“个保法”第28条规定,人脸信息属于敏感个人信息,处理敏感信息应当取得个人的单独同意,并且还要告知采集后,人脸信息会用在哪些领域。
一张照片2毛多,违法成本是否过低
让我们把视线再转回小鹏汽车的违法案件中,有网友质疑:小鹏汽车 6 个月采集 43万多张人脸照片,才罚10万元,平均一张照片的成本才2毛多,违法成本是否过低?
据单勇介绍,“个保法”第66条规定,对相关违法行为,有关部门可责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处100万元以下罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。
相关专家认为,这个处罚数额比较适中,小鹏汽车收集顾客人脸照片后,没有把照片卖给第三方,也没有危害个人隐私。对小鹏这样的知名企业来说,因处罚造成的公众信任度、社会影响力、股价涨跌等才是更严重的问题。
李千目表示,对于违法行为惩罚和处罚是必须的,但是不能以惩罚和处罚为主,更多的是应加强宣传教育,政府的处罚是在表明一个态度,企业不能碰触红线,同时也要兼顾公众生活便利、技术发展与数据隐私三者之间的平衡。
同时,有关专家分析认为,徐汇区市场监督管理局的处罚依据并非来自“个保法”。但单勇表示,不论是依据什么法进行处罚,立法的最终目的不是为了处罚而处罚,而是为了实现个人信息的有效保护。而这一目的的实现仅靠事后处罚还远远不够,应树立事前预防思维,督促企业建立起个人信息保护的合规制度。
“与其等着事后去处罚,不如在源头真正树立起个人信息保护的合规制度,这恐怕是一个治本之道,或者是源头治理。”单勇表示,在现阶段,大多数企业还没有能够真正地树立起个人信息保护的合规意识和制度,这方面的工作任重道远。
文/科技日报记者 张晔
编辑/范辉