65438+2月1日,天津市人大常委會表決通過了《天津市社會信用條例》(以下簡稱條例)。《條例》第十六條規定,市場信用信息提供者收集自然人信息的,應當取得其同意並約定使用,法律、行政法規另有規定的除外。市場信用信息提供者不得采集宗教信仰、血型、疾病和病史、生物特征信息以及法律、行政法規禁止采集的其他個人信息。因此,禁止企業、機構、貿易協會和商會收集生物特征信息,如面部、指紋和聲音。
人臉識別是基於人的面部特征的生物特征識別技術。該技術通過采集人像、提取關鍵點、人像預處理、特征提取、人臉比對,達到個人身份驗證的目的。
在業內人士看來,《條例》對特定場景下的市場信用信息采集者規定禁止人臉識別技術,意味著上述領域可能存在技術濫用。基於此,南京、徐州、杭州等地此前已要求售樓處不得私自拍攝來訪者面部信息,物業服務提供者不得通過指紋、人臉識別等生物特征信息強制業主使用* * *的設施設備。
行業藍海下風險與機遇並存。
據統計,從2010年到2018年,中國人臉識別行業年均復合增長率達到30.7%,預計到2024年市場規模將超過1000億元。然而,面對廣闊的藍海,行業發展仍面臨諸多信息安全問題。尤其是在金融領域,指紋、人臉識別等技術的風險更大。
鑒於以上,近年來,人臉識別等很多技術都在不斷被標準化。2019 1,上海發布《加快上海金融科技中心建設實施方案》,其中提到將推進人臉識別線下支付等23項金融科技應用試點;同年2月,中國人民銀行福州中心支行正式發布《福建省人臉識別線下支付安全應用試點實施方案》。
2019年8月23日,中國人民銀行發布《FinTech發展規劃(2019-2021)》,其中提到將探索基於人臉識別的線下支付安全應用,借助密碼識別、隱私計算、數據標簽、模式識別等技術,實現持牌金融機構的交易驗證。
特別是今年6月5438+10月,中國支付清算協會還制定了《人臉識別線下支付自律公約(試行)》,要求采集存儲環節,堅持“用戶授權、最低足夠”原則,明確告知用戶信息使用目的、方式、範圍,並取得用戶授權,避免采集與需求無關的功能。
但從行業來看,刷臉支付成為近兩年大型支付機構爭奪的焦點。前壹階段,微信支付和支付寶的刷臉支付引起廣泛關註。在麻袋研究院高級研究員蘇看來,領先支付機構大力推廣刷臉支付的第壹個原因是,刷臉支付作為生物支付的壹種方式,普及率低,發展空間廣,巨頭們謀求搶占新興模式的制高點。
其次,刷臉支付確實可以在壹定程度上緩解收銀員排隊的情況,有助於提高交易效率。而且微信、支付寶等支付巨頭擁有龐大的金融生態圈。未來不排除用戶的刷臉記錄與其授信和風險控制有關。比如用戶刷臉付費多了,信用評分提高了,或者以後申請貸款的時候,會多方面對比觀察他們的人臉信息。
個人信息安全相關立法尚不完善。
值得關註的是,“中國人臉識別第壹案”迎來壹審判決。165438+10月29日,“網絡法律實踐圈”獲悉,人臉識別第壹案原告郭冰不服壹審判決(壹審判決書:人臉識別第壹案判決書(全文)),當天下午發出上訴。
2020年6月20日,165438+杭州市富陽區人民法院公開開庭審理了本案,並作出如下判決:被告野生動物公司賠償原告合同利益損失及交通費* * *共計人民幣1038元,刪除原告在辦理指紋年卡時提交的包括照片在內的面部特征信息,駁回原告要求確認動物園商店告示及短信告示中相關內容無效的請求。
法院認為,本案爭議的焦點是經營者對消費者個人信息,特別是指紋、人臉等個人生物特征信息處理的評價和規範問題。我國法律雖然沒有禁止在消費領域收集和使用個人信息,但強調對個人信息處理的監督管理,即個人信息的收集應當遵循“合法、正當、必要”的原則,並取得當事人的同意;個人信息的使用應當遵循確保安全的原則,不得泄露、出售或者非法提供給他人;個人信息受到侵害時,經營者應當承擔相應的侵權責任。
165438+10月30日,相關媒體報道,該案主訴檢察官郭冰獲悉,因其部分請求未得到法院支持,已於前壹天發送民事起訴狀,請求撤銷杭州市富陽區人民法院第6971165438號民事案件。
值得壹提的是,6月65438+10月65438+3月全國人大常委會會議審議的個人信息保護法草案規定,應當在事先充分告知的前提下取得個人同意,個人有權撤回同意;重要事項變更的,應當再次征得個人同意;不得以個人不同意為由拒絕提供產品或服務。通過自動化決策的商業營銷和信息推送也應該提供不針對他們個人特征的選項。
不久前,國家網信辦還發布了《常見移動互聯網應用程序(APP)個人基本信息範圍》(以下簡稱《征求意見稿》),將人臉識別、指紋識別等生物特征信息排除在38款常見APP的個人基本信息範圍之外。
上述征求意見稿明確了短視頻、地圖導航、網上乘車、學習教育等38類常見app的必要個人信息範圍,為過度收集個人信息的行為戴上了“緊箍咒”。必要個人信息是指保證APP基本功能正常運行所必需的個人信息。沒有這些信息,應用程序無法提供基本的功能服務。只要用戶同意收集必要的個人信息,APP不得拒絕用戶安裝使用。
深科院院長張曉容表示,網信辦限制APP無限“索取”個人隱私信息的歪風終於得到遏制,中國在APP時代的信息保護終於邁開了壹步。意見稿管的面很廣,各類app幾乎壹網打盡。
不過,張曉容也認為,新規沒有關於關聯登錄的詳細規定。此前《個人征信指引》提到,使用同壹賬號註冊登錄多個app時,可以提供撤銷單個app用戶賬號使用關系的渠道。這種未命名的關聯登錄可能會繞過互聯網辦公室的新規則,仍然會收集用戶隱私。
“另外,個人信息早就被APP收集了,唯壹沒有中毒的只有壹些00後。《征求意見稿》對00後新網民有保護作用,對老用戶的權益保護似乎不足。”張曉容進壹步指出,“刷臉識別技術的濫用並沒有直接明確,指紋識別技術采集的信息也沒有限制,但是個人生物識別技術采集的信息比普通的文本信息更容易造成危害。”