2021年3月15日晚上8點，央視“3·15”晚會在央視財經(jīng)頻道播出。作為最受關(guān)注的消費者權(quán)益保護的年度盛會，央視“3·15”晚會引起社會公眾、企業(yè)界和監(jiān)管部門的廣泛關(guān)注。本次晚會共曝光九大典型問題，其中將近半數(shù)的典型問題與個人信息保護直接相關(guān)。

　　央視“3·15”晚會曝光的第一個典型問題就是“誰在偷我的‘臉’”，具體情況為部分商家安裝人臉識別攝像頭，在顧客無感的情況下捕捉顧客人臉照片，并在顧客不知情的情況下精準(zhǔn)識別顧客的性別、年齡、身份、到店次數(shù)，甚至識別顧客當(dāng)下的心情。問題曝光后，輿論一片嘩然。驚訝之余，很多人不禁會問，這種無感人臉識別，“罪”在哪里？

　　在探討無感人臉識別“罪”在哪里之前，為方便大家更好地理解后面的內(nèi)容，我們先來簡單介紹一下人臉識別技術(shù)面臨的爭議。

　　人臉識別技術(shù)的發(fā)展與應(yīng)用，為我們帶來了很多便利。以刷臉支付為例，其為我們提供了新的支付選擇，無需手機就能完成支付。再以火車站刷臉進站來說，其大大提高了實名認證的準(zhǔn)確性和效率，方便我們快速出行。

　　但不同于密碼可以修改，人臉信息具有唯一性、永久性和不可更改的特性。根據(jù)《信息安全技術(shù)個人信息安全規(guī)范》（GB/T 35273-2020，以下簡稱“《個人信息安全規(guī)范》”）附錄B的規(guī)定，人臉信息不僅是個人信息，更因為其屬于個人生物識別信息而構(gòu)成個人敏感信息。人臉信息一旦被濫用，將構(gòu)成永久泄露，直接對個人的人身安全和財產(chǎn)安全造成重大威脅。因此，人臉識別技術(shù)的應(yīng)用，一直都伴隨著便利和安全的爭議，也給個人信息保護帶來新的挑戰(zhàn)。

　　收集使用個人信息應(yīng)遵守必要性的要求?！毒W(wǎng)絡(luò)安全法》第四十一條第一款規(guī)定“網(wǎng)絡(luò)運營者收集、使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則”，《民法典》第一千零三十五條規(guī)定“處理個人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理……”，《消費者權(quán)益保護法》第二十九條第一款亦規(guī)定“經(jīng)營者收集、使用消費者個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則……”。

　　在爭議之下，使用人臉識別技術(shù)的必要性就成為首先需要深入論證和探討的問題。《個人信息保護法（草案）》第二十七條規(guī)定“在公共場所安裝圖像采集、個人身份識別設(shè)備，應(yīng)當(dāng)為維護公共安全所必需，遵守國家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識。所收集的個人圖像、個人身份特征信息只能用于維護公共安全的目的，不得公開或者向他人提供；取得個人單獨同意或者法律、行政法規(guī)另有規(guī)定的除外?！笨梢钥闯?，從立法傾向來看，在公共場所安裝人臉識別設(shè)備進行人臉識別，應(yīng)該為維護公共安全所必需且只能用于維護公共安全的目的，除非取得個人單獨同意或者法律、行政法規(guī)另有規(guī)定。

　　2020年底媒體報道的消費者戴頭盔看房事件中，部分售樓處使用人臉識別技術(shù)識別顧客是自然前往還是中介帶看，其必要性就難以給出合理的解釋，很難說明是用于維護公共安全的目的，更沒有取得個人的單獨同意。根據(jù)最新報道，據(jù)不完全統(tǒng)計，2021全國“兩會”有多位代表圍繞規(guī)范人臉識別的應(yīng)用提出相關(guān)建議、提案。其中，全國人大代表、暨南大學(xué)教授盧馨建議“立即清理整頓非必要的人臉識別，明確規(guī)定人臉識別使用范圍?！倍认獧z察院正以“如何加強房企售樓處消費者人臉信息安全監(jiān)管”為議題，在浙江省率先就杭州灣新區(qū)部分售樓處人臉識別系統(tǒng)涉嫌侵犯不特定消費者人臉信息行政公益訴訟訴前程序案，召開檢察聽證會，案件還在進一步調(diào)查取證中。[i]

　　回到無感人臉識別上來，央視“3·15”晚會曝光的視頻顯示，商家安裝人臉識別攝像頭的目的在于拍攝用戶的人臉照片和后續(xù)進行人臉識別，便于了解顧客什么時間去了哪些門店，用于后續(xù)安排如何接待某客戶及如何進行報價?？梢钥闯?，在該等場景下，無感人臉識別與公共安全沒有任何關(guān)聯(lián)，只是為了滿足商家管理顧客的需要。商家從無感人臉識別中獲得了好處，但付出的成本卻是大量顧客人臉信息安全面臨的安全隱患，其違反必要性原則之嫌，不言而喻。

　　在我國現(xiàn)行有效的法律規(guī)定之下，獲得個人信息主體同意成為收集使用個人信息的主要合法性基礎(chǔ)?！毒W(wǎng)絡(luò)安全法》第四十一條第一款規(guī)定“網(wǎng)絡(luò)運營者收集、使用個人信息，應(yīng)當(dāng)……公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意”，《民法典》第一千零三十五條規(guī)定“處理個人信息的，應(yīng)當(dāng)……（一）征得該自然人或者其監(jiān)護人同意，但是法律、行政法規(guī)另有規(guī)定的除外……”，《消費者權(quán)益保護法》第二十九條第一款亦規(guī)定“經(jīng)營者收集、使用消費者個人信息，應(yīng)當(dāng)……明示收集、使用信息的目的、方式和范圍，并經(jīng)消費者同意。經(jīng)營者收集、使用消費者個人信息，應(yīng)當(dāng)公開其收集、使用規(guī)則”。在央視“3·15”晚會正式發(fā)布的、將于2021年5月1日生效的《網(wǎng)絡(luò)交易監(jiān)督管理辦法》（國家市場監(jiān)督管理總局令第37號）第十三條第二款規(guī)定“……收集、使用個人生物特征、醫(yī)療健康、金融賬戶、個人行蹤等敏感信息的，應(yīng)當(dāng)逐項取得消費者同意”，更是對收集使用個人生物特征信息提出了逐項同意的要求。

　　無感人臉識別，無感是其所謂的最大的“特色”，但實際上卻是其最大的敗筆。央視“3·15”晚會曝光的采訪內(nèi)容顯示，人臉識別攝像頭的生產(chǎn)商一直在強調(diào)其無感，頗有一種無感是其“引以為傲的賣點”的感覺。但作為商家而言，在公共場合安裝了人臉識別攝像頭并在顧客無感的情況下進行了人臉識別，其直接違反了前述法律規(guī)定，未告知個人信息主體收集使用人臉信息的規(guī)則，沒有明示收集、使用信息的目的、方式和范圍，更沒有獲得個人信息主體的同意。這也正是央視“3·15”晚會使用“是誰偷了我的‘臉’”的原因所在，未經(jīng)同意收集人臉信息進行人臉識別，不是偷還是什么呢？

　　對此，可能會有人問，如何實現(xiàn)公共場合人臉識別的告知與同意呢？

　　前述法律規(guī)定作出了原則性的規(guī)定，我們來看一下相關(guān)國家標(biāo)準(zhǔn)針對該問題作出的細化規(guī)定?！秱€人信息安全規(guī)范》第5.4c）條規(guī)定“收集個人生物識別信息前，應(yīng)單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和范圍，以及存儲時間等規(guī)則，并征得個人信息主體的明示同意”。2020年1月12日版本的《信息安全技術(shù)個人信息告知同意指南（征求意見稿）》附錄D規(guī)定了“公告場合場景下的告知同意”，其中第D.2a）1）條規(guī)定“在汽車站、火車站、地鐵站、機場、商場、店鋪入口顯著處張貼告知……本商場安裝有人臉識別系統(tǒng)，以便進行客流分析或進行個性化推薦。我們承諾會保護您的人臉等信息安全，詳情可向詢問臺咨詢或掃描二維碼”，第D.2b）條規(guī)定“當(dāng)個人信息主體拒絕在公共場所收集其個人信息時，建議相關(guān)公共場所提供不收集個人信息的選擇方案，例如，不參與分流安檢的通道；不成為會員的購買方式；不通過人臉識別的支付方式等?！?/p>

　　結(jié)合上述國家標(biāo)準(zhǔn)的細化規(guī)定，對于商家安裝人臉識別攝像頭，建議采取如下措施，以降低違規(guī)的風(fēng)險：

　　（1）在商家店鋪入口顯著處張貼告知，可供參考的告知內(nèi)容為“本店鋪安裝有人臉識別攝像頭，以便進行客流分析。我們承諾會嚴格遵守法律法規(guī)收集、使用您的人臉信息，保護您的人臉信息安全，詳情可向本店迎賓咨詢或掃描二維碼?！毖a充強調(diào)一點，這里的“客流分析”僅供參考，如有其他用途應(yīng)當(dāng)如實告知。

　?。?）制定適用于本商鋪的人臉識別信息收集使用規(guī)則，充分、真實、準(zhǔn)確地告知收集使用人臉信息的目的、方式、范圍、采取的安全措施和對外共享人臉信息的情況，并生成二維碼，方便顧客在掃描告知中的二維碼之后可以完整訪問該規(guī)則的全文。此外，建議將人臉識別信息收集使用規(guī)則打印成紙質(zhì)文檔放置在店鋪入口處，供顧客查閱，并在客戶有疑問時由店鋪迎賓向顧客進行解釋說明，確保每一位進店并處于人臉識別區(qū)域的顧客清楚知悉并同意本店鋪的人臉識別信息收集使用規(guī)則。

　　這里需要說明一下，為什么是放置在店鋪入口處和由店鋪迎賓向顧客進行解釋說明，而不是放置在前臺并由前臺人員向顧客解釋說明。因為一般情況下，顧客在進入店鋪時，店鋪內(nèi)的人臉識別攝像頭已經(jīng)開始捕捉顧客的人臉信息。如果顧客對人臉識別信息收集使用規(guī)則有疑問而需要向前臺咨詢，顧客在進入店鋪走到前臺的過程中，就可能存在未獲得個人同意就開始收集個人信息的違規(guī)情形。

　?。?）將店鋪內(nèi)進行分區(qū)管理，確保部分區(qū)域不屬于人臉識別區(qū)域，方便不同意進行人臉識別的顧客依然可以在該等區(qū)域購物消費，減少因顧客反感人臉識別而造成的顧客流失。

　　我國現(xiàn)行有效的法律明確規(guī)定應(yīng)保護個人信息安全。《網(wǎng)絡(luò)安全法》第四十二條第二款規(guī)定“網(wǎng)絡(luò)運營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失……”，《民法典》第一千零三十八條第二款規(guī)定“信息處理者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集、存儲的個人信息安全，防止信息泄露、篡改、丟失……”，《消費者權(quán)益保護法》第二十九條第二款亦規(guī)定“……經(jīng)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保信息安全，防止消費者個人信息泄露、丟失……”

　　在法律規(guī)定的基礎(chǔ)上，相關(guān)國家標(biāo)準(zhǔn)對存儲個人生物識別信息提出了更高的要求?！秱€人信息安全規(guī)范》第6.3b）條規(guī)定“個人生物識別信息應(yīng)與個人身份信息分開存儲”，第6.3c）條規(guī)定“原則上不應(yīng)存儲原始個人生物識別信息（如樣本、圖像等），可采取的措施包括但不限于：1） 僅存儲個人生物識別信息的摘要信息；2） 在采集終端中直接使用個人生物識別信息實現(xiàn)身份識別、認證等功能；3） 在使用面部識別特征、指紋、掌紋、虹膜等實現(xiàn)識別身份、認證等功能后刪除可提取個人生物識別信息的原始圖像?！?/p>

　　央視“3·15”晚會曝光的視頻顯示，提供人臉識別攝像頭服務(wù)的工作人員登錄后臺后，可以清楚地看到已安裝的攝像頭實時拍攝的人臉照片原始圖像，最早可以看到2021年1月4日拍攝的人臉照片的原始圖像，而單家攝像頭廠商存儲的人臉照片量已經(jīng)累計過億。存儲如此大規(guī)模的人臉照片，而且存儲的不是摘要信息而是原始圖像，存儲時間長達數(shù)月甚至可能更久，真的有必要嗎？真的足夠安全嗎？這些人臉照片的原始圖像一旦泄露、毀損或丟失，其引發(fā)的后果不堪設(shè)想。

　　唐代詩人白居易在其長篇敘事詩《琵琶行》中留下了膾炙人口的詩句“別有幽愁暗恨生，此時無聲勝有聲”，但對于人臉識別攝像頭而言，此處無感卻遠不勝有感。央視“3·15”晚會的曝光，將無感人臉識別直接推向了風(fēng)口浪尖，使用人臉識別技術(shù)的必要性、告知同意和對人臉信息采取的安全措施成為人臉識別技術(shù)應(yīng)用繞不開的合規(guī)問題。奉勸各位商家，別再偷我的“臉”，否則終將吞下違法違規(guī)的苦果。