天津有采集人脸识别信息的法律,过度采集个人信息是“紧箍咒”。
65438+2月1日,天津市人大常委会表决通过了《天津市社会信用条例》(以下简称条例)。《条例》第十六条规定,市场信用信息提供者收集自然人信息的,应当取得其同意并约定使用,法律、行政法规另有规定的除外。市场信用信息提供者不得采集宗教信仰、血型、疾病和病史、生物特征信息以及法律、行政法规禁止采集的其他个人信息。因此,禁止企业、机构、贸易协会和商会收集生物特征信息,如面部、指纹和声音。
人脸识别是基于人的面部特征的生物特征识别技术。该技术通过采集人像、提取关键点、人像预处理、特征提取、人脸比对,达到个人身份验证的目的。
在业内人士看来,《条例》对特定场景下的市场信用信息采集者规定禁止人脸识别技术,意味着上述领域可能存在技术滥用。基于此,南京、徐州、杭州等地此前已要求售楼处不得私自拍摄来访者面部信息,物业服务提供者不得通过指纹、人脸识别等生物特征信息强制业主使用* * *的设施设备。
行业蓝海下风险与机遇并存。
据统计,从2010年到2018年,中国人脸识别行业年均复合增长率达到30.7%,预计到2024年市场规模将超过1000亿元。然而,面对广阔的蓝海,行业发展仍面临诸多信息安全问题。尤其是在金融领域,指纹、人脸识别等技术的风险更大。
鉴于以上,近年来,人脸识别等很多技术都在不断被标准化。2019 1,上海发布《加快上海金融科技中心建设实施方案》,其中提到将推进人脸识别线下支付等23项金融科技应用试点;同年2月,中国人民银行福州中心支行正式发布《福建省人脸识别线下支付安全应用试点实施方案》。
2019年8月23日,中国人民银行发布《FinTech发展规划(2019-2021)》,其中提到将探索基于人脸识别的线下支付安全应用,借助密码识别、隐私计算、数据标签、模式识别等技术,实现持牌金融机构的交易验证。
特别是今年6月5438+10月,中国支付清算协会还制定了《人脸识别线下支付自律公约(试行)》,要求采集存储环节,坚持“用户授权、最低足够”原则,明确告知用户信息使用目的、方式、范围,并取得用户授权,避免采集与需求无关的功能。
但从行业来看,刷脸支付成为近两年大型支付机构争夺的焦点。前一阶段,微信支付和支付宝的刷脸支付引起广泛关注。在麻袋研究院高级研究员苏看来,领先支付机构大力推广刷脸支付的第一个原因是,刷脸支付作为生物支付的一种方式,普及率低,发展空间广,巨头们谋求抢占新兴模式的制高点。
其次,刷脸支付确实可以在一定程度上缓解收银员排队的情况,有助于提高交易效率。而且微信、支付宝等支付巨头拥有庞大的金融生态圈。未来不排除用户的刷脸记录与其授信和风险控制有关。比如用户刷脸付费多了,信用评分提高了,或者以后申请贷款的时候,会多方面对比观察他们的人脸信息。
个人信息安全相关立法尚不完善。
值得关注的是,“中国人脸识别第一案”迎来一审判决。165438+10月29日,“网络法律实践圈”获悉,人脸识别第一案原告郭冰不服一审判决(一审判决书:人脸识别第一案判决书(全文)),当天下午发出上诉。
2020年6月20日,165438+杭州市富阳区人民法院公开开庭审理了本案,并作出如下判决:被告野生动物公司赔偿原告合同利益损失及交通费* * *共计人民币1038元,删除原告在办理指纹年卡时提交的包括照片在内的面部特征信息,驳回原告要求确认动物园商店告示及短信告示中相关内容无效的请求。
法院认为,本案争议的焦点是经营者对消费者个人信息,特别是指纹、人脸等个人生物特征信息处理的评价和规范问题。我国法律虽然没有禁止在消费领域收集和使用个人信息,但强调对个人信息处理的监督管理,即个人信息的收集应当遵循“合法、正当、必要”的原则,并取得当事人的同意;个人信息的使用应当遵循确保安全的原则,不得泄露、出售或者非法提供给他人;个人信息受到侵害时,经营者应当承担相应的侵权责任。
165438+10月30日,相关媒体报道,该案主诉检察官郭冰获悉,因其部分请求未得到法院支持,已于前一天发送民事起诉状,请求撤销杭州市富阳区人民法院第6971165438号民事案件。
值得一提的是,6月65438+10月65438+3月全国人大常委会会议审议的个人信息保护法草案规定,应当在事先充分告知的前提下取得个人同意,个人有权撤回同意;重要事项变更的,应当再次征得个人同意;不得以个人不同意为由拒绝提供产品或服务。通过自动化决策的商业营销和信息推送也应该提供不针对他们个人特征的选项。
不久前,国家网信办还发布了《常见移动互联网应用程序(APP)个人基本信息范围》(以下简称《征求意见稿》),将人脸识别、指纹识别等生物特征信息排除在38款常见APP的个人基本信息范围之外。
上述征求意见稿明确了短视频、地图导航、网上乘车、学习教育等38类常见app的必要个人信息范围,为过度收集个人信息的行为戴上了“紧箍咒”。必要个人信息是指保证APP基本功能正常运行所必需的个人信息。没有这些信息,应用程序无法提供基本的功能服务。只要用户同意收集必要的个人信息,APP不得拒绝用户安装使用。
深科院院长张晓容表示,网信办限制APP无限“索取”个人隐私信息的歪风终于得到遏制,中国在APP时代的信息保护终于迈开了一步。意见稿管的面很广,各类app几乎一网打尽。
不过,张晓容也认为,新规没有关于关联登录的详细规定。此前《个人征信指引》提到,使用同一账号注册登录多个app时,可以提供撤销单个app用户账号使用关系的渠道。这种未命名的关联登录可能会绕过互联网办公室的新规则,仍然会收集用户隐私。
“另外,个人信息早就被APP收集了,唯一没有中毒的只有一些00后。《征求意见稿》对00后新网民有保护作用,对老用户的权益保护似乎不足。”张晓容进一步指出,“刷脸识别技术的滥用并没有直接明确,指纹识别技术采集的信息也没有限制,但是个人生物识别技术采集的信息比普通的文本信息更容易造成危害。”