“人脸识别”裸奔时代，“要脸”or“要安全”

“人脸识别”，自诞生之日起，便争议不断。

安全、便利、隐私，似乎又一个“不可能三角”。

监管未完全到位前的技术裸奔时代，“要脸”or“要安全”。

（注：文中图片均来自网络）

1

国内国外，人脸识别争议升级

刑事

支付宝人脸识别被骗

2018年7月起，被告人张某、余某某等人以牟利为目的，利用已非法获取的公民个人信息，通过使用软件将相关公民头像照片制作成3D头像，从而通过支付宝人脸识别认证，并使用上述公民个人信息注册支付宝账户，以此获取新注册用户红包奖励。案发后，警方自张某处查扣近2千万条公民个人信息。

法院以侵犯公民个人信息罪、诈骗罪判处张某等人6个月至4年8个月不等有期徒刑。

民事

抗议强制刷脸入园

2019年4月，郭某购入某动物世界年卡，园方表示可通过验证年卡及指纹入园。10月17日，园方短信通知，年卡系统已升级为人脸识别入园，原指纹识别已取消，未注册人脸识别的用户将无法正常入园。10月26日，郭某前往动物世界，拒绝注册人脸识别，并要求退卡，遭拒绝。

郭某认为面部特征是个人重要信息，不可随意获取。遂以侵犯消费者权益，将动物世界告上法庭。本案目前尚无裁判文书传出。

瑞典

校方刷脸监督考勤遭巨额罚款

2019年8月，瑞典一高中进行为其三周的实验项目，使用人脸识别技术记录学生出勤率。该项目涉及22名学生，监护人全部同意。

瑞典数据保护局以未进行风险评估、未事先报备、校方和学生系不平等的管理关系，家长同意存在瑕疵等为由，认定该项目的实施违反欧盟GDPR《通用数据保护条例》（号称欧洲史上最严的隐私条例）。对同意推行该项目的高中所在地政府开出20万瑞典克朗（约15万元人民币）的罚单。

美国

Facebook再因人脸识别支付巨额赔偿                                  

2019年下半年，Facebook被指控在未经许可的情况下，从伊利诺伊州数百万用户的照片中获取面部数据用于标签建议。为平息此次集体诉讼，Facebook同意支付5.5亿美元。

此前7月，Facebook才因人脸识别等侵犯隐私行为及剑桥分析公司相关丑闻，与美国联邦贸易委员会(FTC)达成和解协议，罚金高达50亿美元。

2

TO个人，“人脸信息”， 没那么简单

01

不止是一张“脸”

早年，人脸信息，基本限于“肖像权”。误以为未经同意，使用他人头像，便侵犯了肖像权。普法后方知，须以“营利为目的”。似乎，这是“名人”的“专属权利”。

之后，人脸信息，在“身份识别”的场景下被逐步运用。银行办卡、支付软件认证、叫车软件注册……所有“脸”一视同仁。

再之后，人脸信息，在“身份验证”的场景下进一步铺开。机场安检、进门打卡、金融业务……比对“你”是不是证件上的那个“你”。

而今，人脸信息被赋予了更多的内涵。财富价值的赋予，如刷脸支付等；标签画像的运用，如AI算法下的用户画像分析等……

美国伊利诺斯州已颁布”人工智能视频面试法案”，规范招聘者在视频面试中，通过AI人脸识别算法，对面试者进行打分评价等可能引发歧视的行为。

过往信息收集，尚不能完全勾画出一个活生生的人。配上人像图片、甚至3D图像，好似潘多拉魔盒的钥匙，瞬间打开了整个人的立体数据库——罪案片既视感。

02

时刻暴露在外的“脸”

不同于其他信息，人脸信息，可以通过更隐蔽、更无感的方式获取。

一些商场大屏幕，会呈现固定区域内实时照片。许多人驻足、挥手，寻找屏幕中的自己。挥手的心态，或许只是好玩。但从数据意义上，这是典型的、寻求用户通过交互行为，授权商家获取人脸信息的方式。

是否注意过商场门口的摄像头？一些商场通过“人头”统计客流的同时，也在进行客户性别比例、年龄比例分析、以及VIP识别等。

是否收到过实体店发送的心仪产品的广告推送？一些实体店通过“人像”区分新旧客户，通过货架前的驻足时间，分析客户喜好，进行精准的广告营销。

03

换“脸”，开个价

一些技术公司，冷启动阶段，因缺少可供学习的“人脸”，不得不购买头像。更多的，则是花式寻求用户的”授权同意”。

“ZAO”换脸软件，用“好玩”换得了用户“同意”隐私政策。

微信头像加国旗，用“爱国”换得了用户“同意”授权基本信息。

某奶茶铺推出刷脸支付减免，试图用“优惠”换得用户“同意”授权人脸信息。

某保险公司推出免费版疾病险，惠及大众，亦不失为获取潜在新客户信息的一种途径。（注：火小律的“阴谋论”）

作为个人，不妨缓一缓，考虑下，是否值得主动奉上这张“脸”？

你的“脸”远比你想象的“值钱”。

3

TO企业，技术背后，聚焦合规和管理

01

个人信息收集原则

我国目前尚无人脸识别专门法律。但人脸信息（面部特征信息）属于个人信息的范畴，应受相关法律的保护。

对个人信息的收集，参照《网络安全法》、《信息安全技术 个人信息安全规范》等，需遵循三个原则，合法、正当、必要。

合法，手段合法、内容合法。非法渠道收集，不可以；获取法律严禁取得的个人信息，不可以。

必要，能少收集，就少收集；能不收集，就不收集。

正当，简单说，即不强迫个人同意。如采用不同意即停止特定服务，不可以。对信息的获取，要求个人主动点选，即以opt-in为主。犹记得过往用户协议均是已勾选√，用户仅需确认即可——这是典型的opt-out，现如今几乎不提倡了。

02

信任技术or信任企业？

支付宝人脸识别被骗，未动摇用户信心。只因，用户信任的不是技术，而是技术背后的企业。

数据泄露，隐私被侵犯，多是企业应用管理出现问题所致。

人脸信息，属于个人敏感信息，企业理应采取更审慎的信息收集视角，也应承担更高标准的数据安全保护义务。

以合法性为基础，考量必要性，并给予用户更高的透明度和更多的选择。

以动物世界为例。人脸识别方式入园，是否有必要？是否有其他可替代性方案？仅有短信通知，强制接受人脸识别入园，是否合适？以上都值得商榷，园方欠游客一个合理的说明。

数据安全保护上，综合人脸数据的敏感性、收集规模、使用场景，选择最适当有力的保护措施，包括但不限于数据加密、脱敏处理、访问控制、及外部风险防控（如病毒防护）等。

以动物世界为例。是否有必要的技术措施和员工培训，防止信息泄露？遭遇黑客攻击，是否有能力抵御？（极客不在此列，遭遇概率也较低）出现安全事件，后续处置和披露能力如何？对于已收集但不再使用的信息，如指纹，如何处理？以上均需再三思量。

03

行业自律，监管大棒在靠近

行业自律素来是强有力的管理手段。

各领域正逐步出台相应规范，不同的应用目的和应用场景，对人脸识别技术运用的合规建议，自也有所不同。

中国支付清算协会于2020年1月21日印发《人脸识别线下支付行业自律公约（试行）》，此为金融支付领域首份刷脸支付自律公约。

全国金融标准化技术委员会于2020年2月13日发布了《个人金融信息保护技术规范》，人脸信息被列入敏感度最高的C3类别进行管理。

国家层面，国家标准GB/T 35273《信息安全技术 个人信息安全规范》进一步征求意见中；《人脸识别技术国家标准》制定工作已全面启动；《个人信息保护法》、《数据安全法》亦在2020年的立法计划中……

企业需时刻关注监管新动向，技术裸奔的时代，快结束了。