易坊好文馆

  1. 首页 > 玩科技 >

隐私|Z博士的脑洞|你的脸就是你的资产,别借技术蹬鼻子“上脸”

经济效益 人脸 商家 信息 隐私 数据 技术 资产 生物 识别 集体诉讼 你的脸 鼻子

在央视一年一度的“3·15”晚会上 , 曝光了人脸数据滥用问题 , 让人心惊 。
“脸”是人人都有、人人都“要”的 , 但是 , 到了大数据时代 , “要脸”的人却越来越多 , 多到我们自己既想象不到也完全不知道 , 这合理吗?
人脸识别作为一种隐私 , 不是法外之地
“晚会”调查视频显示 , 科勒卫浴、汽车4S店等商家因安装了苏州万店掌网络科技有限公司、瑞为信息技术有限公司等企业的智能摄像头 , 在顾客不知情前提下 , 抓取了客户的个人人脸信息 。
采访中 , 各商家的工作人员对此表现得都比较“泰然” , 大概意思是 , 这就是个商业行为 , 商业行为 , 商人的事 , 谈不上什么知情同意侵犯权利吧 。
必须说 , 言谈之中 , 各商家是颇有“得色”的 。 终端使用智能摄像头的商户表示 , 广泛使用摄像头 , 就是为了更好地识别客户特征、了解客户习惯和偏好 , 从而可以更好、更体贴、更及时地为重点客户提供服务 。 当然 , 对于那些“法外狂徒” , 比如惯偷惯摸、同行冤家、碰瓷敲诈等的人 , 也更易于识别、甄别、提高警惕、加以驱赶 。 而上游智能识别厂家也颇有“得色” , 对于他们的摄像头智能识别功能之齐全强大 , 能够见人识人见神识神的本领如此之周全 , 非常的知无不言 , 言之不尽 。
无独有偶 , 就在前几日 , 全球最大人脸识别诉讼案正式裁定 。 美国联邦法官正式批准Facebook人脸识别侵权集体诉讼案的和解协议 , 同意Facebook支付6.5亿美元(约42亿人民币)解决集体诉讼纠纷 。
事起2015年 , 美国一名律师起诉Facebook , 在没有事先通知或征得用户同意的情况下 , 擅自收集和存储了个人用户的面部数字扫描信息 , 此举违反了《伊利诺斯州生物特征信息隐私法》 。 2018年 , 这起诉讼案演变成了集体诉讼 。 最终共有约160万提交索赔申请的Facebook用户获得了赔偿 。 而且 , Facebook将把“人脸识别”的默认用户选项设置为“关闭” , 并将删除所有参与集体诉讼用户的现有人脸数据与存储的数据 。
美国法官多纳托认为 , 这一次的和解协议是“一个具有里程碑意义的结果” , 同时也是“消费者在饱受争议的数字隐私领域的重大胜利 。
也就是说 , 人脸识别作为一种隐私 , 也不是法外之地 。
过去的隐私不怎么包括脸
通常我们谈到数据隐私被侵犯时 , 可能较少谈到“脸”的问题 。
对于数据隐私被侵犯问题 , 比“大数据”问题来得早得多 。 现在说“数据就是财富”“数据就是资源”“数据就是资产” , 其实不是新命题 。 几十年前就有了相应的数据贩卖黑产业链 , 从个人隐私数据上获取非法的经济效益了 。 很多人都不会陌生 , 自己会在某个时刻突然接到电话 , 比较“善意”的是知道你刚刚生产 , 提醒你该给孩子剃胎发拍满月照了;比较“中性”的是知道你有房要买卖等个人需求 , 向你提供“最新最细心”的服务产品;特别恶劣也不少 , 各种诈骗都接着数据隐私的泄露横行无忌 , 从“我是你儿子 , 在外被人打了 , 快点汇钱”到更加精巧的、专业的、系统性的骗术 , 无所不用其极 。
数据的经济效应 , 产生了法律效应 。
但如果仔细回想 , 就会发现 , 对于“脸”这方面的数据隐私 , 总体重视程度比较低 。
为什么呢?大约是因为 , “脸”属于一种公开信息 , 其是一种生物识别信息 , 但通常而言是一种暴露于公众视野下的信息 。 也就是说 , 我们可以藏起自己的身份证、银行卡、高考分数等 , 但在社会中一般不会隐藏自己的脸 。
对于“脸”的侵权 , 一般也只出现在特定“脸”上 , 比方说明星脸的滥用或者盗用 , 也有普通人的肖像权被侵犯问题 , 不过总体而言 , 对于大众而言 , “脸”能够直接产生的经济价值并不大 , 所以犯罪分子和群众自己都没有那么在意 。
不仅如此 , 诚如几个采用脸部识别店铺所言 , “看脸”来识别客户层次和需求 , 是商家的老营销手段 , 是服务优质的表现 。 很多人可能在商业管理案例中都学到过 , 某个五星级酒店或者豪奢商品店铺员工 , 如何能够知晓客户习惯而在适当时间自动送上报纸、咖啡、3.8分熟的牛排和醒了56分半的红酒 。
脸的经济价值发生了深刻改变
为什么过去“看脸”没有问题 , 脸“让大家看”没有问题 , 让人家分析脸也没有问题 , 而现在就有问题了呢?
被采访的商家还真说对了答案 , 商机问题 。
在技术颠覆社会的当下 , “脸”的经济价值发生了深刻的改变 。
一方面 , 过去的“脸” , 是一种生物识别符号 , 是具有独特性 , 但是在经济交易中没有特殊的意义 。 过去 , 你和人家签协议、转账等 , 肉眼识人脸 , 同时交易不会在乎人脸 , 主要在于签字、公章、指纹 。 现在则有所改变 , 许多账户的开启、转移等都需要或者可以使用人脸识别 , 并将此作为非常关键的确认身份手段 , 于是 , 你的脸就不再是你的面孔而已 , 而是金库的钥匙、公司的公章、经济交易的身份凭证 。 从某种意义上说 , 似乎经济交易时的身份认定变得更加“方便”而且更加“有保障”了 。 与此同时 , 由于脸一直具有公开暴露性 , 也形成了新的风险和不安全性 。
另一方面 , 大数据时代的到来 , 使数据变得更有价值 , 而且是呈几何倍数的价值增长 。 我们能够看到 , 在贩卖产妇生产数据等链条上 , 终端都是急需了解消费者的商家 。 妇女生产自古有之 , 但当商业繁荣 , 商家才需要数据分析和数据挖掘 。 此间 , 数据挖掘的意涵更深 , 即不但要发现和服务已有的消费者 , 还要发现和服务潜在的消费群体 。 单个系统的数据往往能够提供一种视角 , 但多个数据系统则可能提供全方位的窥探 , 从而对个人产生了全面的监控 。 而“脸”在其中的重要作用不言而喻 。 鉴于脸的“外部性” , 对个人的监控可能是全然越界的 。
由此可见 , 当“脸”的经济价值大大增强 , 如果这些数据及其分析结果被商家记录在案 , 是否是对个人权利的侵犯?如果商家对于这些数据的保存、流转仅基于自身利益考虑 , 甚至当作“自有资产”经常监守自盗自由买卖 , 是不是一种可怕的犯罪?
世界在立法
生物识别技术于20 世纪初在反恐等特殊领域率先使用 , 迄今已广泛应用于行政管理、社会治理以及社会生活的多个领域 , 作为个人身份识别的新方法、新形式 。 对“生物识别信息”的法律保护是目前世界范围内个人信息保护立法的新动态、新趋势 。
【隐私|Z博士的脑洞|你的脸就是你的资产,别借技术蹬鼻子“上脸”】美国是世界上最早颁布生物特征隐私保护法律的国家 , 但目前还没有统一与全面的联邦法律规范生物特征数据的收集和使用 , 各州呈分散式立法状态 。 自2009年伊利诺斯州首次出台《生物特征信息隐私法》 , 德克萨斯州与华盛顿州也相继出台了专门的法律 。 佛罗里达州与加利弗尼亚州在劳动法中已经规定生物特征识别信息的使用与保护要求 , 但目前仍在酝酿出台专门的生物识别信息保护法 。
《伊利诺斯生物特征信息隐私法》(Illinois Biometric Information Privacy Act , 简称BIPA)是目前唯一一个允许公民个人对于违反《生物特征信息隐私法》的行为提出私人司法诉讼的州 。 BIPA法案在2008年就通过了 , 但直到2015年才发生针对企业违反该法律而提起的5例集体诉讼 。 我们看到的Facebook天价和解案就是在此时此地发端的 。
BIPA规定的基础性条款包括有知情同意条款 , 即企业必须以书面形式将信息收集目的、信息使用和收集时长等要素通知个人 , 只有在收到个人书面同意的确认后才能进行收集、使用行为;有禁止获利条款 。 即禁止企业出售或其他从所收集或存储的生物识别信息中获利的行为 , 禁止企业纯粹通过生物识别信息牟利;有限披露权 。 即除非符合一些特定要求 , 禁止企业披露个人生物特征数;保护义务和保留准则 。 要求企业制定一个公开可用的书面政策 , 说明关于管理生物识别信息的规则以及商业保留时间表 。 当收集信息的最初目的满足 , 或个人与收集该信息的实体进行最后一次交互时间超过3 年时 , 必须永久销毁所收集的生物识别信息;被侵权者的法定诉权 。
想“要脸”?不那么容易 。 规范在路上
从全球看 , 各国都在注意大数据时代的隐私保护问题和生物识别带来的信息滥用和侵权问题 , 但取得的共识和进展仍然在路上 。
2016 年 , 被用户提起集体诉讼的其实还有谷歌 。 用户认为谷歌对在“谷歌照片”中上传的照片进行分析建立面部模型 , 既没有公布收集用户生物识别信息的政策 , 也未获得用户的书面同意 。 不过 , 2019年1月 , 谷歌案法官以原告无法证明因谷歌公司的行为造成“具体损害”而驳回了原告起诉 。
在伊利诺伊州的另一起案件中 , 2017年 , 一位市民因其儿子办理六旗主题公园(Six Flags)的季卡时被要求提供指纹信息而向法院提起诉讼 , 认为六旗主题公园既没有公布收集用户生物识别信息的政策 , 也未获得用户的书面同意 , 违反了伊利诺伊州《生物信息隐私法》的规定 。 伊利诺伊州上诉法院判决认为 , 原告未能证明合法权利受到损害 , 不支持原告的诉讼请求 。 伊利诺伊州最高法院在2019年1月推翻了原审法院的判决 , 认为生物特征隐私是一项基本的民事权利 , 个人无需证明受到实际损害就可起诉自身权利受到侵害 。
时至今日 , Facebook的裁决落地 , 或为未来生物信息隐私保护提供了更好的思考和方向 。
作为一个数据技术应用方面的大国 , 中国也一直非常重视大数据时代的隐私侵犯问题、互联网带来的各种新型法律规范问题 。 目前 , 我国尚未出台生物识别信息专门的立法或文件 , 但是 , 《个人信息保护法》正处于草案阶段 , 其中《个人信息安全规范》明确要求 , 采集个人信息必须征得当事人同意 。 此外 , 相关法律法规对生物识别信息也有规定 。 2013年 , 最高人民法院、最高人民检察院、公安部联合发布《关于依法惩处侵害公民个人信息犯罪活动的通知》 , 将公民个人信息定义为“能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料” 。 2017年最高人民法院、最高人民检察院联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定 , 公民个人信息包括直接识别的公民个人信息、间接识别的公民个人信息和“反映特定自然人活动情况的各种信息” 。 《网络安全法》规定:“个人信息包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等” 。
想“要脸”?不那么容易 。
后记
中国人经常讲“要脸” , 但怎么也想不到 , 现在 , 好多人都来要你脸了 。 过去 , 说你的脸就是你的资产 , 这是一种比喻 。 现在 , 说你的脸就是你的资产 , 这是一个事实 。
当个人信息犯罪已经借着技术的“东风”蹬鼻子“上脸” , 我们可能需要跟上形势 , 尽快出台相应法规和细则 , 保障大众的合法权利 。
(作者万喆为经济学家 , 澎湃新闻特约评论员)
(本文来自澎湃新闻 , 更多原创资讯请下载“澎湃新闻”APP)

    推荐阅读


    上一篇:新浪数码|iQOO Neo5新品发布会火热进行中!

    下一篇:量子|全国一年冒出2000多家“量子企业”,啥来路?