不得泄露的颜值，“刷脸”是合法的吗？
2016/6/2 商业周刊中文版

    

    

     撰文：王梓(上海刘春雷律师事务所律师)

     编辑：温雅曼、郑夕冉

     如果数据库的范围不进行设限，则可能引起公权力是否收到了必要约束这一争议

     生物识别商业应用的相关立法本身相对滞后

     人脸识别(Face Recognition)作为生物识别(Biometrics)技术的一种，应用已经日益广泛，也是当下创业和投资的热点领域之一。例如，公安部的人脸识别系统除用于两会、APEC会议等重要场合外，也已经在刑事案件的侦办过程中使用，以确定嫌疑人的身份。最近在广州，警方更是通过一名男子的人脸识别信息，找到了他被拐卖多年的孪生弟弟。在全国性的重要考试当中，例如高考和司法考试，人脸识别技术也几经或将被使用，用以防范替考等作弊行为。

     人脸识别领域的法律法规比

     上述人脸识别技术在公法领域的应用，已有法律框架进行支撑。例如，2015年出台的《反恐怖主义法》中提到“公安机关调查恐怖活动嫌疑，可以提取或者采集肖像、指纹、虹膜图像等人体生物识别信息和血液、尿液、脱落细胞等生物样本，并留存其签名”。2012年版的《出境入境管理法》中规定“经国务院批准，公安部、外交部根据出境入境管理的需要，可以对留存出境入境人员的指纹等人体生物识别信息作出规定”。2012年修订的《刑事诉讼法》中也用专节对“技术侦查措施”进行了规定。

    

     尽管如此，相关的法律规定仍然需要完善。以考试为例，事实上，我国的《教育法》等考试相关法律法规中并未明确生物识别技术可以用以核实考生身份。因此，识别结果一旦产生错误，必定引起纠纷。

     人脸识别技术在公法领域内的应用，还面临一个现实问题，那就是数据库的规模和范围。以(2015)深南法刑初字第810号刑事案件为例，因为没有包含相关人脸识别信息，公安部的人脸识别系统也不能核实嫌疑人的真实身份，最后只能仍然按照其自报名进行审判。

     反之，如果数据库的范围不进行设限，则可能引起公权力是否收到了必要约束这一争议。举例来讲，美国FBI的Next Generation Identification(NGI)系统被设计用于存储人脸识别信息在内的多种生物识别信息，以供联邦和地区执法机构使用。根据有关分析，2015年该系统内存有约五千两百万张人脸图像，但其中400多万张是在非涉嫌犯罪的情境下(也就是说不是通过被捕时的大头照)获取的，而且这些照片在和4600万的大头照混在一起，一旦启动数据库检索，这些“清白人士”的照片也会被一一核对，因此引起了美国有关人权组织的抗议。

     人脸识别在商业领域的前景比

     而在商业领域，人脸识别的应用场景更广。目前很多公司已经使用基于人脸识别的考勤机，以避免指纹考勤机可以被硅胶指纹套蒙混过关的情况。在(2016)津02民终00417号劳动纠纷案件中，员工就是凭着指纹、人脸识别考勤记录，证明了自己的到岗及加班情况，从而成功主张了欠付的加班工资。

    

     除考勤以外，人脸识别技术已经成为了金融机构的新宠。据报道，中国银行、招商银行、光大银行、渤海银行、平安银行等一系列金融机构都已应用人脸识别技术开展业务，但这类应用目前仍主要局限于辅助开户。究其原因是因为金融机构的行为稍有不慎就可能酿成严重后果，因此受到了严格的制度约束和监管，例如《人民币银行结算账户管理办法》中就明确限定了存款人申请开立个人银行结算账户必须向银行出具身份证或其他证明文件，2014年出台的《中国人民银行关于加强银行卡业务管理的通知》也再次重申了身份证对于开立银行卡的必要性。

     这就意味着在当前的法律和监管体系下，无论人脸识别等技术如何先进，在银行等金融机构中也往往只能起到实践创新技术，提高客户体验这种锦上添花的作用。

     好消息是，政府推进创新与改革的力度是显著的。在2015年《国务院办公厅关于推进线上线下互动加快商贸流通创新发展转型升级的意见》中，已经提到“鼓励技术应用创新。加快移动互联网、大数据、物联网、云计算、北斗导航、地理位置服务、生物识别等现代信息技术在认证、交易、支付、物流等商务环节的应用推广”。我们有理由乐观的认为，在经过支付宝，腾讯微众银行等越来越多的机构的先行试点后，人脸识别技术的在金融领域的应用将会越来越广。

    

     马云展示支付宝的“刷脸”功能

     最后，社交媒体、搜索引擎，以及其他互联网企业对于人脸识别技术的商业应用，因涉及“人脸识别信息属于谁”以及隐私权等问题，已经在法律界掀起了波澜。

     不得泄露的“颜值”

     比

     其实生物识别商业应用的相关立法本身相对滞后。在美国，目前仅有伊利诺伊州和德克萨斯州两个州通过了生物识别信息隐私方面的法案，另有纽约州，华盛顿州，阿拉斯加州，加利佛尼亚州等州在也审议相关法案。

     以伊利诺伊州的 Biometric Information Privacy Act(BIPA)为例，其中将人脸信息(Face Geometry)作为生物识别信息的一类，并明确界定了照片以及对人外貌的描述等信息并非是生物识别信息。BIPA中，还规定了以下内容：1、生物识别信息必须被妥善保存并在一定时间内被销毁；2、未经书面同意，不得擅自获取他人生物识别信息；3、生物识别信息不得被出让、出租或被用来牟利，也不得随意泄露或者提供给他人；4、生物识别信息被侵犯的人，可以提起诉讼并视情况主张1000美元，5000美元或者与实际损失相符的赔偿金。

     我国正在征求意见的《网络安全法(草案)》也作出了相似规定，如收集、使用公民个人信息需要合法、经过明示且获得同意；不得泄露，兜售或违反约定滥用等。在该草案中，公民个人信息中恰恰就包括了个人生物识别信息。

     基于BIPA，已经有了NorbergvsShutterfly(一家做云盘的公司)，Gullenvs Facebook，Rivera vs Google等若干起引起高度关注的诉讼。

     在Gullenvs Facebook一案当中，当事人之一Frederick William Gullen先是在Illinois州对Facebook公司提起了诉讼。Gullen声称其从未使用过Facebook，但他主张Facebook通过他人上传的有Gullen在内的照片，未经许可制作收集了包括Gullen的脸在内的许多“人脸模板生物识别信息”，从而构成了侵权。

     Gullen的这一诉请，在Illinois州因管辖权问题而遭到了驳回。但原告方又继续在Facebook总部所在的California州提起了诉讼并得到了受理，目前这一诉讼仍然在审理中，结果我们拭目以待。

    

     不管Gullen等案件的审理结果如何，应该能够引起国内的很多企业的警惕。举个例子来讲，人人网与Facebook的功能具有相似之处，人人网的服务条款(注册账号必须同意该服务条款)中有这样的表述：“在不透露单个用户隐私资料的前提下，人人网有权对整个用户数据库进行分析并对用户数据库进行商业上的利用”，“人人网可能会与第三方合作向用户提供相关的网络服务，在此情况下，如该第三方同意承担与人人网同等的保护用户隐私的责任，则人人网有权将用户的注册资料等提供给该第三方”。以《网络安全法(草案)》和BIPA的条款来看，人人网等国内许多企业的服务政策，将来可能需要面临重新调整。

     (本文不代表彭博编辑部，彭博公司，《商业周刊/中文版》及其所有者的观点。)

     ◆ ◆ ◆ ◆ ◆

     回复你感兴趣的关键词

     立即获得关于TA的更多信息!

     高温丨天才改变未来丨资产转移丨清华96级丨跑步的生意丨

     李安新片丨普利策丨年度书单丨特斯拉丨桑德伯格毕业演讲丨

     ......

    

    

    http://www.duyihua.cn
返回 商业周刊中文版 返回首页 返回百拇医药