一、人臉識別技術(shù)介紹
1、人臉識別技術(shù)定義
生物特征識別技術(shù)
是對生物體(一般特指人)本身的生物特征來(lái)區分生物體個(gè)體。生物特征識別技術(shù)所研究的生物特征包括臉、指紋、手掌紋、虹膜、視網(wǎng)膜、聲音(語(yǔ)音)、體形、個(gè)人習慣(例如敲擊鍵盤(pán)的力度和頻率、簽字)等,相應的識別技術(shù)就有人臉識別、指紋識別、掌紋識別、虹膜識別、視網(wǎng)膜識別、語(yǔ)音識別(用語(yǔ)音識別可以進(jìn)行身份識別,也可以進(jìn)行語(yǔ)音內容的識別,只有前者屬于生物特征識別技術(shù))、體形識別、鍵盤(pán)敲擊識別、簽字識別等。
人臉識別
是基于人的臉部特征信息進(jìn)行身份識別的一種生物識別技術(shù)。用攝像機或攝像頭采集含有人臉的圖像或視頻流,并自動(dòng)在圖像中檢測和跟蹤人臉,進(jìn)而對檢測到的人臉進(jìn)行臉部識別的一系列相關(guān)技術(shù),通常也叫做人像識別、面部識別。一般來(lái)說(shuō),人臉識別系統包括圖像攝取、人臉定位、圖像預處理、以及人臉識別(身份確認或者身份查找)。系統輸入一般是一張或者一系列含有未確定身份的人臉圖像,以及人臉數據庫中的若干已知身份的人臉圖象或者相應的編碼,而其輸出則是一系列相似度得分,表明待識別的人臉的身份。
2、人臉識別技術(shù)流程
a.人臉圖像采集及檢測
b.人臉圖像預處理
c.人臉圖像特征提取
d.人臉圖像匹配與識別
3、人臉識別技術(shù)基本模式
| 模式 | 別稱(chēng) | 內容簡(jiǎn)介 |
| 1:1 | 人臉驗證對比 | 比如入住酒店,前臺要求在一臺機器面前,將身份證的與現場(chǎng)照片進(jìn)行對比,只有結果符合才可以入住,這是一個(gè)較為簡(jiǎn)單的1:1人臉識別應用 |
| 1:N | 靜態(tài)人臉對比 | 1為采集人臉識別目標,N為數據庫庫內人臉的數量。例如,人臉門(mén)禁應用,在辦公室門(mén)口設置攝像頭,并將員工庫作為N,每當一個(gè)人經(jīng)過(guò),系統在庫中做特征比對,以確認此人是否為員工,靜態(tài)人臉比對使用的頻率比較低,只有當客戶(hù)要做一次搜索的時(shí)候它才會(huì )使用。簡(jiǎn)單說(shuō)就像一個(gè)搜索引擎,在搜索結果里挑一個(gè)認為對的。 |
| M:N | 動(dòng)態(tài)人臉對比 | 攝像頭每看到一個(gè)人后,就在庫里去比對這個(gè)人是誰(shuí),“M”代表的就是攝像頭,或者網(wǎng)絡(luò )里所有攝像頭抓到的人臉數目。“N”就是對比庫中的目標數目,抓到的每一張臉都得查詢(xún)對比一遍,然后對于這個(gè)臉對比N+1次,對比總次數為M(N+1)次。動(dòng)態(tài)人臉使用頻率非常高,因為是一個(gè)全自動(dòng)體系。這些應用里,N的數量級有很大區別,比如某城市部署了上千個(gè)攝像頭用來(lái)拍攝人臉,每個(gè)攝像頭每秒鐘都會(huì )抓取數張人臉,那么系統每秒鐘便抓拍了上千張,每天四千萬(wàn)張,每個(gè)月十幾億張。當某個(gè)應用需我們在十幾億的人臉抓怕庫中進(jìn)行對比時(shí),將使用一個(gè)新技術(shù)——視頻大數據處理 |
4、人臉識別技術(shù)的優(yōu)缺點(diǎn)
優(yōu)點(diǎn)
非接觸性、非侵擾性
自然性
硬件基礎完善
采集快捷便利、可拓展性好
缺點(diǎn)
臉部特征變化較大
相似性
隱私安全風(fēng)險
5、人臉識別技術(shù)主要產(chǎn)品
數碼相機
門(mén)禁系統
身份辨識
網(wǎng)絡(luò )應用
娛樂(lè )應用
二、我國的行業(yè)實(shí)踐
1、人臉識別技術(shù)在我國發(fā)展的進(jìn)程
2、我國人臉識別技術(shù)主要集中領(lǐng)域
3、我國人臉識別技術(shù)應用現狀
| 應用領(lǐng)域 | 具體應用 |
| 公共安全 | 刑偵追逃、罪犯識別、邊防安全 |
| 信息安全 | 計算機和網(wǎng)絡(luò )的登陸、文件的加密和解密 |
| 政府職能 | 電子政務(wù)、戶(hù)籍管理、社會(huì )福利和保險 |
| 商業(yè)企業(yè) | 電子商務(wù)、電子貨幣和支付、考勤、市場(chǎng)營(yíng)銷(xiāo) |
| 場(chǎng)所進(jìn)出 | 軍事機要部門(mén)、金融機構的門(mén)禁控制和進(jìn)出管理等 |
三、我國與人臉識別相關(guān)的法律規定及執法案例
1、法律規定
我國尚未出臺專(zhuān)門(mén)針對人臉識別技術(shù)或生物識別技術(shù)的法律,但通過(guò)人臉識別技術(shù)所收集的面部特征信息作為生物識別信息,屬于個(gè)人信息的范疇,應受與個(gè)人信息保護相關(guān)法律的規范。以下為我國與人臉識別有關(guān)聯(lián)的法律規定,除此之外,我國也出臺了與生物識別信息或人臉識別信息相關(guān)的國家標準,例如《信息安全技術(shù) 個(gè)人信息安全規范》《信息技術(shù) 生物特征識別應用程序接口》系列標準、《公共安全人臉識別應用圖像技術(shù)要求》等。
| 序號 | 名稱(chēng) | 主要內容 |
| 1 | 《民法總則》 | 第一百一十一條 自然人的個(gè)人信息受法律保護。任何組織和個(gè)人需要獲取他人個(gè)人信息的,應當依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個(gè)人信息,不得非法買(mǎi)賣(mài)、提供或者公開(kāi)他人個(gè)人信息。 |
| 2 | 《侵權責任法》 | 第六條 行為人因過(guò)錯侵害他人民事權益,應當承擔侵權責任。 |
| 3 | 《刑法》 | 第二百五十三條 侵犯公民個(gè)人信息罪 |
| 4 | 《網(wǎng)絡(luò )安全法》 | 第四十一條 網(wǎng)絡(luò )運營(yíng)者收集、使用個(gè)人信息,應當遵循合法、正當、必要的原則,公開(kāi)收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意。 |
| 5 | 《消費者權益保護法》 | 第二十九條 經(jīng)營(yíng)者收集、使用消費者個(gè)人信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和范圍,并經(jīng)消費者同意。經(jīng)營(yíng)者收集、使用消費者個(gè)人信息,應當公開(kāi)其收集、使用規則,不得違反法律、法規的規定和雙方的約定收集、使用信息。 |
| 6 | 《電商法》 | 第二十三條 電子商務(wù)經(jīng)營(yíng)者收集、使用其用戶(hù)的個(gè)人信息,應當遵守法律、行政法規有關(guān)個(gè)人信息保護的規定。 |
| 7 | 《互聯(lián)網(wǎng)個(gè)人信息安全保護指南》 | 6.1 e)個(gè)人生物識別信息應僅收集和使用摘要信息,避免收集其原始信息 |
| 8 | 《數據安全管理辦法》(征求意見(jiàn)稿) | 網(wǎng)絡(luò )運營(yíng)者以經(jīng)營(yíng)為目的收集重要數據或個(gè)人敏感信息的,應向所在地網(wǎng)信部門(mén)備案。備案內容包括收集使用規則,收集使用的目的、規模、方式、范圍、類(lèi)型、期限等,不包括數據內容本身。 |
| 9 | 《個(gè)人信息出境安全評估辦法》(征求意見(jiàn)稿) | 個(gè)人信息出境前,網(wǎng)絡(luò )運營(yíng)者應當向所在地省級網(wǎng)信部門(mén)申報個(gè)人信息出境安全評估。 |
2、政策支持
| 序號 | 名稱(chēng) | 生效 | 主要內容 |
| 1 | 《2017年政府工作報告》 | 2017.03 | 指出要加快培育壯大包括人工智能在內的新興產(chǎn)業(yè)。 |
| 2 | 《關(guān)于落實(shí)個(gè)人銀行賬戶(hù)分類(lèi)管理制度的通知》 | 2016.11 | 對II、III類(lèi)賬戶(hù)的開(kāi)立、變更、注銷(xiāo)、個(gè)人信息驗證辦法、視頻及人臉識別等技術(shù)手段以及不同賬戶(hù)的使用功能和限制作了詳細的規定。 |
| 3 | 《“互聯(lián)網(wǎng)+人工智能三年行動(dòng)實(shí)施方案》 | 2016.05 | 到2018年,打造人工智能基礎資源與創(chuàng )新平臺,人工智能產(chǎn)業(yè)體系創(chuàng )新服務(wù)體系、標準化體系基本建立。這項政策的發(fā)布將人工智能普及到政府和企業(yè)之間。 |
| 4 | 《中國人民銀行關(guān)于改進(jìn)個(gè)人銀行賬戶(hù)服務(wù)加強賬戶(hù)管理的通知》 | 2015.12 | 提供個(gè)人銀行開(kāi)立服務(wù)時(shí),有條件的銀行可探索生物特征識別技術(shù)和其他有效的技術(shù)手段作為核驗。 |
| 5 | 《安全防范視頻監控人臉識別系統技術(shù)要求》 | 2015.05 | 適用于以安全防范為目的的視頻監控人臉識別系統的總體規劃、方案設計、設備生產(chǎn)、質(zhì)量控制等。其他領(lǐng)域可參考使用。 |
| 6 | 《關(guān)于加強社會(huì )治安防控體系建設的意見(jiàn)》 | 2015.04 | 提出網(wǎng)格化管理要求,以精確信息做到矛盾化解,未來(lái)網(wǎng)格化精細管理是平安城市和智能交通管理的發(fā)展方向。 |
| 7 | 《關(guān)于銀行業(yè)金融機構遠程開(kāi)立人民幣賬戶(hù)的指導意見(jiàn)(征求意見(jiàn)稿)》 | 2015.01 | 堅持柜臺開(kāi)戶(hù)為主,運程開(kāi)戶(hù)為輔;實(shí)施客戶(hù)身份識別機制的自證。 |
3、我國與人臉識別相關(guān)的執法案例
某換臉軟件
近日某換臉應用一夜之間爆火,它使用AI技術(shù),用戶(hù)只需要一張正臉照,就可以替換為影視作品或者小視頻中的人物,生成以自己為主角的視頻片段。然而,此應用的用戶(hù)協(xié)議中隱藏了很多對用戶(hù)不利的條款,并印發(fā)了極大的爭議。8月31號該應用軟件的用戶(hù)協(xié)議被修改。9月1號,此AI換臉App已被微信屏蔽分享鏈接,提示的理由是“網(wǎng)頁(yè)存在安全風(fēng)險,被多人投訴”。9月3日,針對此App用戶(hù)隱私協(xié)議不規范,存在數據泄露風(fēng)險等網(wǎng)絡(luò )數據安全問(wèn)題,工信部約談負責人,要求其依法依規收集使用用戶(hù)個(gè)人信息強化網(wǎng)絡(luò )數據和用戶(hù)個(gè)人信息安全保護。
高校采用人臉識別
中國某高校日前在校門(mén)口、學(xué)生宿舍大門(mén)口、圖書(shū)館、實(shí)驗樓等場(chǎng)所安裝了人臉識別門(mén)禁,并在部分試點(diǎn)教室安裝了人臉識別系統用于日常考勤和課堂紀律管理。通過(guò)把學(xué)校學(xué)生和教職工信息儲存在后臺數據庫,學(xué)生和教職工通過(guò)人臉識別門(mén)禁時(shí),可以實(shí)現一秒“刷臉”進(jìn)校,與老式門(mén)禁相比,既方便又安全。目前學(xué)校在兩間教室試點(diǎn)安裝的人臉識別系統,除了能自動(dòng)識別學(xué)生的出勤情況外,還能夠實(shí)現對學(xué)生課堂聽(tīng)講情況的全程監控。學(xué)生是否認真聽(tīng)講,課堂上是否抬頭低頭,抬頭低頭了幾次,抬頭低頭了多長(cháng)時(shí)間,低頭是否在玩手機,是否閉眼打瞌睡,都逃不過(guò)人臉識別系統的“法眼”。學(xué)校有關(guān)人士表示,學(xué)校之前已向公安部門(mén)和法務(wù)部門(mén)咨詢(xún),由于教室屬于公開(kāi)場(chǎng)所,因此不存在“侵犯隱私”的說(shuō)法。
四、美國與歐盟人臉識別法律體系和實(shí)踐
1、美國關(guān)于人臉識別的立法
對公共部門(mén)使用人臉識別技術(shù)的限制
在過(guò)去的幾個(gè)月中,美國的三個(gè)城市, 加州舊金山市、馬薩諸塞州薩默維爾市、加州奧克蘭市分別通過(guò)了禁止政府部門(mén)使用人臉識別技術(shù)的法令。
2019年5月,加州舊金山市監事會(huì )通過(guò)法令,禁止政府部門(mén)獲取、保存、訪(fǎng)問(wèn)、使用“人臉識別技術(shù)”和“使用人臉識別技術(shù)獲取的信息”。該法令稱(chēng),“人臉識別技術(shù)危及公民權利和公民自由的可能性遠遠超過(guò)其聲稱(chēng)的利益”。
2019年6月,馬塞諸塞州薩默維爾市議會(huì )通過(guò)法令,禁止薩默維爾市政府部門(mén)和官員獲取、保存、訪(fǎng)問(wèn)、使用“人臉監控系統”和“人臉監控系統獲得的信息”。
2019年7月,加州奧克蘭市通過(guò)法令,禁止市政府部門(mén)和工作人員獲取、保存、訪(fǎng)問(wèn)“人臉識別技術(shù)”和“使用人臉識別技術(shù)獲取的信息”。
限制商業(yè)使用的聯(lián)邦層面的法律
目前,美國沒(méi)有一個(gè)較為全面地規制私有企業(yè)收集、使用以及銷(xiāo)售個(gè)人信息的隱私保護的法律。除此之外目前也沒(méi)有任何明確規制人臉識別技術(shù)的聯(lián)邦法律。
但是,在三個(gè)領(lǐng)域里,特定的聯(lián)邦法律(解決隱私和消費者保護的法律)可能會(huì )適用人臉識別的商業(yè)運用。這三個(gè)領(lǐng)域分別為:
1、面部信息的抓拍 (Video Voyeurism Prevention Act of 2004)
根據聯(lián)邦法律Video Voyeurism Prevention Act of 2004, 如在個(gè)人的私人領(lǐng)域或者個(gè)人有合理隱私期望的地方抓拍, 構成刑事犯罪,這個(gè)act會(huì )影響到商業(yè)空間特定位置camera的放置位置,例如不會(huì )放在試衣間里面。
2 、收集、使用與分享個(gè)人信息 (針對特定的目的、情形、信息的類(lèi)型或者具體的領(lǐng)域和實(shí)體)
Driver’s Privacy Protection ACT(1994):禁止出于商業(yè)目的使用與披露機動(dòng)車(chē)記錄中所包含的特定的個(gè)人信息,該法案中的個(gè)人信息的定義包含了司機的人臉識別信息、駕駛證件照以及其他能夠識別出個(gè)人的信息。
Gramm-Leach-Bliley ACT(GLBA):限制披露公開(kāi)金融機構所收集的以及從金融機構所收集的信息,分享數據給非關(guān)聯(lián)第三方時(shí)需要給消費者同意,并且給他們退出的機會(huì )。沒(méi)特別提到臉部數據,但包含臉部數據。
Health Insurance Portability and Accountability Act:保護一個(gè)人的醫療信息 只有在經(jīng)過(guò)個(gè)人的書(shū)面授權之后才能轉移醫療信息,如果披露醫療信息的話(huà),必須移除有全臉的圖片和其他生物特征信息。
3 、不公平與欺騙性的行為與實(shí)踐(Federal Trade Commission Act )
該法案是目前美國在個(gè)人信息保護領(lǐng)域主要的法律法規,主要針對:
企業(yè)違反其制定并公布的隱私政策的;
企業(yè)在對其隱私政策進(jìn)行重大修改時(shí)沒(méi)有充分通知用戶(hù)的;
企業(yè)沒(méi)有對其持有的用戶(hù)敏感信息進(jìn)行合理且適當的保護的。
該法案同時(shí)發(fā)布了隱私和數據安全指南。該法案在下列兩種情形下的處罰標準分別是:
欺詐性貿易行為:在用戶(hù)通過(guò)合理的方式解釋的情況下條款的表述或者缺失會(huì )誤導用戶(hù),且該誤導行為屬于可能影響用戶(hù)是否選擇該產(chǎn)品的重大誤導行為。
不公平貿易行為:造成或者可能造成用戶(hù)重大的經(jīng)濟或者安全健康方面的損失;用戶(hù)無(wú)法采用合理手段避免該損失;使用該產(chǎn)品所帶來(lái)的收益未超過(guò)客戶(hù)產(chǎn)生或者可能產(chǎn)生的損失。
限制商業(yè)使用的各州立法
美國目前有三個(gè)州通過(guò)立法來(lái)專(zhuān)門(mén)規范生物識別技術(shù)的商業(yè)應用,這其中當然也包括人臉識別技術(shù),分別為伊利諾伊州、德克薩斯州、華盛頓州。
伊利諾伊州
企業(yè)制定有關(guān)生物數據收集、儲存、以及銷(xiāo)毀的相關(guān)政策并對外公開(kāi)。
在收集生物信息前,需要向信息主體提供有關(guān)信息收集目的及期限的通知。
該法律要求在獲取生物信息前獲得信息主體的書(shū)面同意。
禁止售賣(mài)此類(lèi)信息獲利。
禁止擁有生物信息的實(shí)體與第三方分享生物信息, 除非該披露是出于執法部門(mén)的需要或者是為了完成個(gè)人所要求或授權的金融交易。
伊利諾伊州是三個(gè)州中唯一賦予個(gè)人依據此法進(jìn)行訴訟或集體訴訟的權利的州。
伊利諾伊州法案主要針對在商業(yè)活動(dòng)或者雇傭過(guò)程中收集Illinois州居民的生物特征識別數據的公司。如果一家公司違反BIPA法案,在過(guò)失侵權案件中公司應當賠償每位原告1000美元,在故意侵權或者間接故意侵權案件中應當賠償每位原告5000美元。
德克薩斯州
法律規定,在未獲取同意之前,不得獲取信息主體的生物識別信息,除了滿(mǎn)足一定條件外,生物識別信息不能被售賣(mài)或者是被披露給其他方。該法律要求信息控制者對于生物識別信息的存儲、轉移與保護采取reasonable care.如果雇主因為雇傭的原因聘請了員工而需要采集他們的生物信息,那么該類(lèi)信息的儲存期限不能超過(guò)雇傭期限。
華盛頓州
華盛頓州法律2017年通過(guò),規定了商業(yè)企業(yè)收集與使用生物特征信息的有關(guān)內容,該法中也有與前面所述兩州一樣的內容:需要在收集信息前向信息主體告知并獲得同意。
美國正在立法進(jìn)程中的法案(關(guān)于人臉識別技術(shù)的使用)
| 法案 | 最新進(jìn)度 | 主要內容 |
| S. 847 Commercial Facial Recognition Privacy Act of 2019 | 2019年3月14日向參議院提交 | 除非獲得終端用戶(hù)的積極同意,禁止商業(yè)實(shí)體通過(guò)人臉識別技術(shù)辨認或跟蹤終端用戶(hù),禁止用人臉識別技術(shù)對終端用戶(hù)進(jìn)行非法的區別對待、禁止將收集的人臉識別技術(shù)數據用于其他目的。 |
| H.R.4021 | 2019年7月25日向眾議院提交 | 禁止聯(lián)邦機構在沒(méi)有聯(lián)邦法庭命令的情況下使用人臉識別技術(shù)。不允許將在法庭命令下使用人臉識別技術(shù)獲取的信息分享給其他沒(méi)有獲得聯(lián)邦法庭命令的聯(lián)邦機構。 |
2、美國企業(yè)對于人臉識別的監管建議
微軟的監管建議
微軟總裁兼首席法務(wù)官Brad Smith呼吁立法解決人臉識別的偏見(jiàn)、隱私、侵犯民主自由問(wèn)題。具體的監管建議有:
應對偏見(jiàn),法律可以:要求透明度;允許第三方測試和比較;保證有意義的人類(lèi)審查(在作出法律認為“產(chǎn)生重大后果”的決定的情況下,由人類(lèi)進(jìn)行審查);禁止用于非法歧視。
保護公民隱私,可以由立法規定:(1)保證通知;(2)要求消費者同意。
為保護民主自由的人權,必須使政府對人臉識別的使用受制于法治,由法律限制目前政府對特定個(gè)人的監控。只有下列情況,才允許執法機關(guān)在公共場(chǎng)合使用人臉識別監控特定個(gè)體:存在法庭令允許使用人臉識別監控;存在某人死亡或嚴重物理傷害的迫切危險或風(fēng)險的緊急情況。
亞馬遜網(wǎng)絡(luò )服務(wù)(AWS)建議的準則
人臉識別的使用必須遵守法律,包括保護公民權利的法律。
在執法情侶下使用人臉識別技術(shù)時(shí),必須有人類(lèi)審查,以保證使用預測來(lái)做決策不侵犯公民權利。
當執法部門(mén)使用人臉識別技術(shù)進(jìn)行辨認、或可能威脅公民自由時(shí),推薦99%的置信度閾值(confidence threshold)。
執法機構對于人臉識別技術(shù)的使用應該保持透明。
公共和商業(yè)場(chǎng)景下,當視頻監控和人臉識別同時(shí)使用時(shí),應當有通知。
3、歐盟GDPR對于人臉識別的影響
第4條第14項
“生物識別數據”是通過(guò)對自然人的物理、生物或行為特征進(jìn)行特定的技術(shù)處理的得到的個(gè)人數據。這類(lèi)數據生成了那個(gè)自然人的唯一標識,比如人臉圖像或指紋識別數據。
第6條 處理的合法性
1.只有在適用以下至少一條的情況下,處理視為合法:
a.數據主體同意他或她的個(gè)人數據為一個(gè)或多個(gè)特定目的而處理;
b.處理是為履行數據主體參與的合同之必要,亦或處理是因數據主體在簽訂合同前的請求而采取的措施;
c.處理是為履行控制者所服從的法律義務(wù)之必要;
d.處理是為了保護數據主體或另一個(gè)自然人的切身利益之必要;
e.處理是為了執行公共利益領(lǐng)域的任務(wù)或行使控制者既定的公務(wù)職權之必要;
f.處理是控制者或者第三方為了追求合法利益的之必要,但此利益被要求保護個(gè)人數據的數據主體的利益或基本權利以及自由覆蓋的除外,尤其是數據主體為兒童的情形下。
第7條 同意的要件
如處理是基于同意,則控制者應能證明數據主體已經(jīng)同意處理他或她的個(gè)人數據。
如數據主體通過(guò)書(shū)面聲明的方式作出同意,且書(shū)面聲明涉及其他事項,那么同意應以易于理解且與其他事項顯著(zhù)區別的形式呈現。構成違反本法的聲明的任何部分,均不具約束力。
數據主體有權隨時(shí)撤回他或她的同意。同意的撤回不應影響在撤回前基于同意作出的合法的數據處理。在作出同意前,數據主體應被告知上述權利。撤回同意應與作出同意同樣容易。
當評估同意是否是自由作出時(shí),應盡最大可能考慮,還應考慮合同的履行,包括服務(wù)的提供是否是基于對履行合同不必要的個(gè)人數據的同意。
第9條 特殊種類(lèi)的個(gè)人數據處理
對揭示種族或民族出身,政治觀(guān)點(diǎn)、宗教或哲學(xué)信仰,工會(huì )成員的個(gè)人數據,以及以唯一識別自然人為目的的基因數據、生物特征數據,健康、自然人的性生活或性取向的數據的處理應當被禁止。
如果符合以下情形,則第一款不適用:a) 數據主體對以一個(gè)或數個(gè)特定目的對上述個(gè)人數據的處理給予了明確同意,但依照歐盟或者成員國的法律規定,第1款規定的禁止情形不能被數據主體援引的除外。
第12條 數據主體行使權利的透明度、交流和模式
控制者應當以一種簡(jiǎn)單透明、明晰且容易獲取的方式,通過(guò)清楚明確的語(yǔ)言,采取合適措施提供第13條和第14條所提到的任何信息,以及根據第15條到第22條和第34條所提及的關(guān)于數據主體處理過(guò)程的溝通信息(尤其是關(guān)于兒童的任何信息)。控制者應當提供書(shū)面材料,在其他情況下,若有必要,可以采用電子方式。如果數據主體能夠通過(guò)其他方式得到認證,那么在數據主體的要求下,能夠以口頭方式提供信息。
第21條 拒絕權
數據主體擁有拒絕權,在關(guān)于他/她的特定情形下,在任何時(shí)間處理關(guān)系到他/她第6條第1款第(e)或第(f)項規定的個(gè)人數據,包括基于這些條款的分析。控制者不能處理個(gè)人數據,除非控制者能夠證明不顧數據主體的利益、權利和自由處理數據或者建立、行使或維護這種法律權利具有令人信服的正當化理由。
個(gè)人數據因為直接營(yíng)銷(xiāo)的目的被處理的,數據主體應當有權利拒絕在任何時(shí)間因為這種商業(yè)目處理關(guān)系到他/她的個(gè)人數據,這種商業(yè)目的包括分析達到有關(guān)這種直接營(yíng)銷(xiāo)的程度。
數據主體拒絕因直接的商業(yè)目的處理數據的,個(gè)人數據不應該因任何這種目的被處理。
從以上來(lái)看,GDPR對于人臉識別系統對于人臉數據的收集提出了較為嚴格的條件,為了做好相應合規,在GDPR出臺后,相關(guān)的人臉識別技術(shù)企業(yè)應做好以下準備:
GDPR明確說(shuō)明,在使用新技術(shù)處理數據時(shí),如果該新技術(shù)有極大的風(fēng)險造成對于個(gè)人的權利與自由的侵害的話(huà),需要進(jìn)行數據保護影響評估(Data Protection Impact Assessment),相應的執法單位會(huì )在限定時(shí)間內做出評估并給出建議。
加強對于人臉識別數據的保護力度,防止泄露。
對于數據進(jìn)行脫敏化和匿名化處理,能夠較大地減少侵犯隱私的風(fēng)險。
采取更加嚴格的保存數據的措施。
4、歐盟GDPR生效后的執法案例
比利時(shí)
某公司向比利時(shí)監督部門(mén)報告了一起數據泄露事件,稱(chēng)由于其韓國某供應商的安全漏洞導致2000名員工的生物識別數據(指紋)泄露。目前該起泄露事件正在調查中。
瑞典
瑞典監督部門(mén)對當地一市政當局處以20,000歐元的罰款,原因是該市政當局通過(guò)捕捉影像和匹配學(xué)生姓名,使用人臉識別技術(shù)監督學(xué)生考勤。監督部門(mén)認為,學(xué)校使用人臉識別存在以下問(wèn)題:(I)將其用于前述目的過(guò)于侵犯隱私;(II)無(wú)第9條下所述的有效法律依據,以及(III)不滿(mǎn)足數據保護影響評估以及事前征求意見(jiàn)的要求(第35-36條)
英國
英國信息專(zhuān)員辦公室就媒體報道的關(guān)于中倫敦國王十字區使用實(shí)時(shí)人臉識別技術(shù)的問(wèn)題開(kāi)展調查。據報道,在2016年至2018年期間,兩部攝像頭使用人臉識別技術(shù)收集影像,且在某些情況下,收集的數據被共享給執法部門(mén),用以幫助“發(fā)現犯罪和確保公共安全”。
五、實(shí)踐中主要法律問(wèn)題及合規建議
1、現實(shí)中主要存在的與人臉識別相關(guān)的法律問(wèn)題
目前我國針對人臉識別的法律相對比較空白,相關(guān)執法部門(mén)對于人臉識別技術(shù)在實(shí)踐應用中涉及的法律問(wèn)題答復也比較模糊,關(guān)于人臉識別技術(shù)在實(shí)踐中的應用主要存在以下可能的法律問(wèn)題:
在商場(chǎng)或私人營(yíng)利場(chǎng)所安裝人臉識別系統獲取客人面部特征的合法合規性;
在收集面部圖像前,是否需要獲得信息主體的明示同意,實(shí)踐中應如何獲取信息主體同意才能最大限度地規避法律風(fēng)險;
在不同場(chǎng)景下運用不用技術(shù)原理進(jìn)行的人臉圖像信息收集,分別對應的法律風(fēng)險及風(fēng)險規避手段。
2、關(guān)于人臉識別的合規建議
使用人臉識別技術(shù)收集與使用人臉信息時(shí),遵守合法、正當、必要原則。
收集與使用人臉信息前采取適當的方式獲取信息主體的明示同意。
承擔更高的數據安全保護義務(wù),確保數據安全。
密切關(guān)注行業(yè)立法與監管態(tài)勢,積極應對相關(guān)主管部門(mén)對人臉識別技術(shù)應用有關(guān)的規范出臺情況。
