中國人臉識別第一案:企業不知道的行業風險預警

瀾亭企業法律服務中心 發佈 2020-01-19T00:30:36+00:00

當然,目前司法實踐中,大多數目光聚焦在個人信息的收集階段,但是不能忽視存儲和使用階段的法律風險,因為對人工智慧下的生物識別技術產品本身來說,哪怕技術精度達到99.99%,只要某個過程還存在技術漏洞或是法律規避上的漏洞,一旦程序大規模應用,由於使用者的基數太大,遭遇風險後的損失就不

案情

人臉識別技術從政務服務和公共服務領域,逐漸向各種商業活動領域蔓延,但是相應的法律監管仍有一定缺失。在這樣的背景下,10月28日,一位大學教授提起了我國第一宗涉及人臉識別的侵權訴訟。

據新京報報導,在前不久,浙江理工大學特聘副教授郭兵收到了來自杭州野生動物世界的一條簡訊,提示他的動物園年卡如果不進行人臉識別將無法正常使用了。為了確認簡訊內容,他專門去杭州野生動物世界向相關工作人員進行了核實,並表示不同意進行人臉識別認證要求退卡。在協商未果的情況下,當事人郭兵向杭州市富陽區人民法院提起了訴訟,目前法院已經決定正式受理此案。

小案子何以引起軒然大波

由於本案涉及人臉識別技術應用的權界問題,這起訴訟的真實意義遠超於此。專家提出:個體生物信息,例如人臉、基因、虹膜、指紋、掌紋、聲紋、步態等等,是高度敏感的。又因為其伴隨終生,不可更改,一旦泄露幾乎不可救濟。然而在立法方面,《個人信息保護法》尚在制定過程中,現實的裁判和輿論的呼聲難免會影響立法的細節。也就是說,在本案中富陽區法庭的一記法槌,決定的將不僅是一張年卡的效力或某種經營行為的性質,更將劃定人臉識別技術應用的邊界,從而影響這項新技術的發展。

歸根究底,本案是將這些年來人工智慧底層技術和個人信息保護的矛盾具象化了。發展人工智慧,需要大量的個體數據,而要想獲得這些數據,難免會犧牲一部分隱私。公眾希望能在人工智慧技術生活化運用和個人信息保護之間劃定一個標準界限——如何在可以接受的隱私損失範圍內,來換取最大的生活便利化。人們在很多場景下並非不願意把自己的一些數據「貢獻」出來,而是擔心,這些數據是否會被非法使用。為了國家安保、公共安全,人們也許信任輸出的個人信息將會被保護,但是在其他領域,如醫院、商場、公園、學校等場所,大家總是懷揣著不信任。

所以在《個人信息保護法》以及相關配套監管措施出台的前夕,典型案例的裁判要旨和社會輿論的導向頗為重要,法律是有獨立的生命的,一旦脫離立法者被公布後,可能會改變整個行業的走向和命運。

可能觸及哪些產業的「蛋糕」

2014年,中國人臉識別行業市場規模為49億元;2018年,中國人臉識別行業市場規模為131億元,年均複合增長率為37%,充分顯示出了人臉識別巨大的商業潛力。人臉識別產業鏈上游為基礎層,包括人工智慧晶片、算法技術和數據集;中游由視頻人臉識別、圖片人臉識別和資料庫對比檢驗等技術層構成,中游企業的主要產品為嵌入式人臉識別軟體以及一站式解決方案的提供;下游則是具體的場景應用。所以,人臉識別行業,乃至生物信息行業所牽涉的商業利益眾多,相應的法律法規出台尤為重要。

今年,在國內,東方網力旗下子公司深網視界(SenseNets)發生大規模數據泄露事件。超過250萬人的數據可被獲取,680萬條記錄泄露,其中包括身份證信息、人臉識別圖像及捕捉地點等。受該事件影響,東方網力不僅股價嚴重跌損,更是面臨巨額的行政罰款以及其他行政處罰;前不久的51信用卡,因為獲取用戶個人信息手段違法,成為爆點,同時涉嫌觸犯其他犯罪,也是一朝遇冷。所以任何關於個人信息行業的波動,可能首當其衝的就是網際網路企業,體量大如浙江淘寶網絡,自身十分注重法律合規和數據安全審查,就算如此,也牽涉了上百件與個人信息相關的案件。

而國際上也有類似案例, 8月瑞典數據監管機構對當地一所高中開出第一張基於歐盟《通用數據保護條例》(GDPR)的罰單,金額為20萬瑞典克朗(約人民幣14.8萬元);今年7月,美國聯邦貿易委員會(FTC)已批准對臉書(Facebook)處以約50億美元的罰款,處罰的原因是它對用戶個人信息處理不當。

相關政策與法規的風向標

對於人工智慧和生物識別,近年來的政策更偏向鼓勵和推動的態度,如2017年至今國務院發布的《關於印發新一代人工智慧發展規劃的通知》、《促進新一代人工智慧產業發展三年行動計劃(2018-2020年)》、《新一代人工智慧產業創新重點任務揭榜工作方案》等。

雖然當前我國並無生物識別領域的專項法,對其規範更多依託於個人隱私保護的相關法律法規。但是不少企業仍在所謂的「灰色地帶」陷入違法甚至犯罪的泥潭。

依據《網絡安全法》、《網際網路安全保護技術措施規定》、《規範網際網路信息服務市場秩序若干規定》等法律法規,明確了網絡信息安全的責任主體,確立了「誰收集,誰負責」的基本原則。儘管目前民法中,關於個人信息方面的立法仍有所缺失,對違法企業常是進行相應的行政處罰或是刑事處罰,而民事賠償方面,在司法實踐主流上並沒有達成一致。

但是基於網際網路數據基數龐大的特點,如果依據本案開了民事賠償標準的先河,並影響了相關立法內容,那麼涉及個人信息的網際網路企業一旦牽涉類似的案件,很有可能會面臨巨額的賠償和罰款。

企業個體可能涉及的法律風險

規避人臉識別的風險,實質是要求企業從技術和法律層面上,對個人生物信息在收集、存儲和使用三個階段依法嚴格處理。

收集階段

在收集階段,法律對收集的方式和範圍都做了明確的規定,網際網路信息服務提供者經用戶同意收集用戶個人信息的,應當明確告知用戶收集和處理用戶個人信息的方式、內容和用途,不得收集其提供服務所必需以外的信息。這要求企業不僅不能通過竊取、欺騙等非法方式奪取用戶的個人信息,也不能誘導、誤導用戶來獲取其個人信息。

在實際操作中,企業告知用戶的方式往往是服務條款連結或是簡單的注意條文,根據個案的不同,它的效力也要單獨判斷。而用戶同意的方式,不僅分為書面、口頭、電子數據等形式,還有明示與默示之區別,他們對企業告知內容的回覆是否產生法律上認可的意思表示,仍需針對個案進行具體分析。

雖然現在法律明令禁止以買賣等形式進行用戶個人信息的交易,但如果企業通過更換公司主體,或是共享資料庫等方式,變相進行用戶信息的轉讓,是否會涉嫌違法違規乃至犯罪,仍需針對個案進行法律風險的規避。

存儲階段

在存儲階段,法律明確要求企業應當具有一定的網絡安全技術保障措施,並對相應的數據安全負責,對損害承擔責任。這在直接規範了相關企業發展的技術資質的同時,也潛在確定了一點,當用戶的個人信息泄露時,可能是數據的奪取方和數據的存儲方共同承擔責任。

現行法律僅規定了網際網路服務提供者和聯網使用單位應當落實相應的網絡安全保障措施,和風險發生時企業應當配合相關單位採取補救措施,但是在具體的侵害事實發生時,並未明細企業個體需要承擔的責任份額。而且侵害的來源和類型也值得商榷,來自企業內部個體的侵害行為和外部第三人的侵害行為,引發的責任份額是否會有不同;侵害造成的數據損壞和數據泄露,引發的責任份額是否會有不同等。

使用階段

在使用階段,法律的規定尤為嚴格,嚴重可能涉及刑事犯罪。不僅是要求企業按照與用戶的約定用途合法使用其個人信息,還對企業對用戶個人信息的使用目的做出了相應規範。

但是法律對於一些細則部分的規定相對模糊,比如用戶在進行人臉識別核對時,由於企業的技術問題,造成比對錯誤,那麼損害結果的賠償範圍是多少,哪些主體需要對此負責,責任類型是連帶責任、還是按份責任或是補充責任;母公司使用各個子公司收集的用戶信息,建立起用戶信息立體資料庫,再進行高匹配度的其他商業行為,整個行為在法律上均認定為合法的商業行為,還是認定為牽連性的違法行為。這些均要針對個案進行相應的法律推理和分析。

當然,目前司法實踐中,大多數目光聚焦在個人信息的收集階段,但是不能忽視存儲和使用階段的法律風險,因為對人工智慧下的生物識別技術產品本身來說,哪怕技術精度達到99.99%,只要某個過程還存在技術漏洞或是法律規避上的漏洞,一旦程序大規模應用,由於使用者的基數太大,遭遇風險後的損失就不會是小數字。具體到個案中的當事人,那就不再只是機率學,而是切實存在的自身利益問題。


搜索並關注企業微信公眾號:瀾亭企業法律服務中心

關鍵字: