用法律为人脸识别应用厘清边界
■ 社论
收集个人信息必须符合法定的“必要”和“最小够用”原则,能不用生物信息的,就不应该用。
“人脸识别第一案”判了。去年4月,原告郭兵支付1360元购买了杭州野生动物世界双人年卡,当时确定为指纹识别入园方式,并录入了指纹。之后,园方单方面要求改成人脸识别。原告于是在去年10月向法院提起诉讼,要求确认野生动物世界店堂告示、短信通知中相关内容无效,并以其违约且存在欺诈行为为由,要求赔偿年卡卡费、交通费,删除个人信息等。
目前,一审判决园方赔偿原告合同利益损失及交通费共计1038元,删除办理指纹年卡时提交的包括照片在内的面部特征信息。不过,原告郭兵向新京报记者表示,由于其大部分诉讼请求未得到法院支持,将继续上诉。
此次,身为法学副教授的原告把自己的“脸”要回了,这是法律为人脸信息保护撑腰。不过,这也仅个案化解决了原告本人的诉求,没有确认园方要求刷脸本身的不当性。
事实上,仅从《合同法》说,园方就理亏在先:签合同时约定刷指纹,之后单方面更改合同,本身已违约。法院判的也是园方违约,但判决不仅没有否认其要求刷脸的正当性,甚至在判决中明确“野生动物世界在经营活动中使用指纹识别、人脸识别等生物识别技术,其行为本身并未违反前述法律规定的原则要求”。
《网络安全法》明确规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则。指纹就能识别消费者的身份,防止年卡被冒用,再要求刷脸就不属“必要”,不符合收集公民个人信息的“必要”和“最小够用”原则。
推而广之,刷脸技术成为资本驱动之下的“风口上的猪”,不管有没有必要,刷脸成了时髦做法,但并不是所有的刷脸场景都经得住法律考量。
比如,住宅小区等一般场所,门禁卡等就能起到安全防护效果,就无理由一定要拿走公众具有唯一性的指纹、脸面等生物信息。此前,就有教授针对其小区人脸识别门禁“较真”:“人脸识别信息被滥用的风险比房产信息大得多,物业更是无权收集这些个人信息。”再比如,公厕卫生纸常被多拿、偷拿,但为此就要求公众“刷脸”,也不符合法定的收集个人信息的“必要”原则。
实际上,人脸识别作为一项新技术,不是说不能用,而是要有明确的限制条件与应用场景,不能被滥用。比如有学者就提出:人脸识别技术应用的底线是,除了特定部门的执法活动之外,任何机构、企业和个人都无权通过人脸识别调查和追踪个人的私人生活。如果这样的原则不被明确,人脸识别还将被滥用,此次胜诉也只具有个案的意义,无法带来普遍的改观。
必须明确,包括面部信息、指纹、虹膜在内的民众生物信息,作为人格权的一部分,受到法律保护,在“必要”和“最小够用”原则下,能不用的就不该用。为此,今年10月,杭州发布关于《杭州市物业管理条例(修订草案)》的说明,新增了“不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备”等内容,有望成为中国首部明确写入人脸识别禁止性条款的地方性法规。
科技可以让生活更方便,但任何技术应用都不应偏离个人信息保护本位的原则,人脸识别能不用就不用,也应该是常识。在这个意义上说,“人脸识别第一案”原告胜诉,有着标志性意义,但如何规范各种应用场景下的人脸识别,也还有很长的路要走。 【编辑:叶攀】