上海对滥用人脸识别说“不”

刷脸支付、刷脸解锁、刷脸开门、刷脸进站……“刷脸”,正在越来越频繁地嵌入我们的生活。

“刷脸”时代,谁来保护我的人脸信息安全?

面对公共场所过度使用甚至滥用人脸识别技术,2024年,上海“亮剑浦江·2024”消费领域个人信息权益保护专项执法行动,加快整治步伐,朝着公共场所“不刷脸为原则、刷脸为例外”的目标持续攻坚。

作为第三方,华东政法大学智能法学科在学科负责人高富平教授的带领下,对“亮剑浦江·2024”专项执法行动开展评估。评估组认为,上海网信部门整治滥用人脸识别切实保障了公民个人信息权益。在大大降低风险的同时,提升了企业和消费者的个人信息保护意识,优化了营商环境和消费环境,为人脸识别技术更广泛运用提供了“上海经验”。

“亮剑”执法,直面违法问题

滥用人脸识别技术的风险,一直被上海监管、执法部门高度重视。

2021年,央视“3·15”晚会曝光科勒卫浴上海部分门店安装具有人脸识别功能的摄像头,消费者只要进入门店,在不知情的情况下,就会被摄像头抓取并自动生成编号。

事件曝光后,上海市静安区市场监督管理局立即展开立案调查,并随即公布调查结果及处罚决定。

值得注意的是,彼时涉事企业被责令改正、罚款人民币50万元,处罚依据的是《消费者权益保护法》相关规定,执法的是静安区市场监管部门。

2021年11月1日,作为国内首部个人信息保护的专门性法律,《个人信息保护法》正式实施。上海对个人信息尤其是人脸等生物识别敏感信息提升保护力度。

2023年6月16日,针对消费领域个人信息“过度采、强制要、诱导取、违规用”等问题,上海市网信办、上海市市场监管局共同启动“亮剑浦江·消费领域个人信息权益保护专项执法行动”。扫码点餐、停车缴费、少儿学习培训、网络理财小贷、房产中介、租借共享充电宝、商超购物、汽车4S店……专项行动选择了社会关注度高、个人信息被过度索取问题突出的8大消费场景。

在充分总结2023年工作经验的基础上,上海市网信办、上海市市场监管局启动“亮剑浦江·2024”专项执法行动的调研和策划,人脸识别滥用被列为重点整治,参与协同的包括上海市公安局、上海市体育局、上海市商务委、上海市房管局等监管执法部门、行业主管部门,以及上海市消保委和有关行业协会等。

2024年4月29日,一则《上海一游泳馆更衣柜推行人脸识别遭投诉》的新闻引发广泛关注。根据《解放日报》报道,上海松江区的朱女士注意到家附近的泳乐游泳馆(云间粮仓店)更衣室,采用了人脸识别的方式开启更衣柜。“站在设备前,摄影头打光灯一亮,屏幕前就出现了附近来往顾客没穿衣服的画面。我连忙用毛巾把摄像头挡住,赶紧用浴巾裹好身体!”

掌握报道线索后,4月29日、5月6日,松江区委网信办协同市场监管、公安网安等有关部门,两次核实查验、指导整改。针对违法违规事实,松江区委网信办依法对涉事游泳馆运营主体——上海酷学体育投资管理有限公司作出警告的行政处罚。该案也成为上海市区两级网信部门依据《个人信息保护法》,协同开展的人脸识别技术领域执法首案。

此后,在大量调研基础上,“亮剑浦江·2024”专门就公共场所强制、滥用人脸识别技术细化工作方案,执法场景趋向精细化、颗粒化,细分为健身房、舞蹈房、游泳馆等运动场所,商场超市、无人售货机等消费场所,演出场所、旅游景区、宾馆旅馆、文化场馆等文旅场所,教育、培训机构等教学场所及售楼处、住宅小区、保障性租赁房等生活居住场所。据上海市网信办执法人员介绍,整治方案明确上海市网信办牵头组建工作专班,统筹协调开展专项整治行动,参与专项行动的协同单位为专班成员单位,涵盖了上海市教委、上海市科委、上海市文旅局、上海市绿化市容局,几乎覆盖涉及民生的所有监管执法部门。

按照“不刷脸为原则、刷脸为例外”、“收集端总体减量、存储端确保安全”的总体目标,上海确定了公共场所安装人脸识别要遵循“为公共安全所必须”“有法律依据”“做到单独告知”等三大原则,并要求公共场所人脸识别设备做到最大可能“退”、最小范围“用”、最小范围“存”,真正确保消费者“放心”、使用者“用心”。

华东政法大学高富平教授牵头的评估组认为,专项行动以规范化的执法流程、场景化的执法主线、精细化的执法理念、信息化的执法支撑,抓住各场景下的关键痛点、难点,开展差异化、针对性、精细度的执法活动,拓展了上海网信执法实践成果。

刚柔并济,提升执法效果

数据显示,截至2024年11月,上海已推动全市600余家商超门店,6300余家酒店,70余家公共体育场馆,1200余个游泳馆、健身场所,2900余个公共厕所完成“强制性”、“滥用化”刷脸的自查整改。

针对市民普遍反映的自动售货机违规“刷脸”问题,上海市网信办督导申通地铁对全市地铁站内的1400余台无人售货机完成排查整改,对其中存在问题的829台无人售货机暂停人脸支付功能,待整改完成后重新上线……

一连串数据的背后,是上海监管执法部门执法方式的创新——从个案出发,治理一个领域、解决一类问题,不局限于案件办理本身,用刚柔并济取代纯粹的刚性执法。

澎湃新闻了解到,在关于如何推进整治的问题上,“亮剑浦江·2024”专项执法行动明确提出,监管执法部门要会同行业主管部门、上海市消保委及有关行业协会,通过普法培训、以案释法、行政指导、自查整改、合规指引等多种方式,促进企业合规经营。

“除了个案的检查和执法之外,我们更希望通过普法培训、合规指导的方式帮助企业了解法律法规要求,划清底线红线,只有这样才能平衡好企业发展与消费者权益间的关系。”上海市网信办执法人员在接受澎湃新闻采访时如此表示。

以无人售货机企业的为例,上海市网信办、上海市监局通过摸排、调研和核查发现,该场景普遍存在“未经同意收集人脸信息”“隐私政策未提示或不完整”“强制收集手机号码”“诱导收集个人信息”“无法一键关闭广告”“未提供删除个人信息渠道”等6类共性问题。

2024年11月,上海市网信办、上海市市场监督管理局联合申通地铁,以及支付宝、微信支付两家第三方支付企业举行“自动售货机个人信息保护普法培训会”,以问题为导向,以案释法,并同步提供《自动售货机场景常见个人信息保护问题自查清单》供企业对照自查整改。

此次培训吸引了在上海运营自动售货机的37家头部经营和运维企业,在同一个“课堂”上帮助场地租赁方、设备经营方、技术支撑方对齐了合规意识,形成了遵守《个人信息保护法》的共识,为一揽子解决全行业个人信息保护问题打下坚实基础。“上海市网信办和市市场监管局,相当于给企业做了一个排雷系统,所以我们很感谢他们给我们提出了这些问题,帮助我们去整改,让我们能更合规地运营。”一家参与此次培训的自动售货机运维企业告诉澎湃新闻。

此外,“亮剑浦江·2024”专项执法行动还创新性地探索出“八步工作法”,通过“线索收集→现场检查→合规培训→自查整改→推标立规→回头查验→立案处罚→评估问效+媒体监督”等工作模式,全链条推进相关问题整改。

华东政法大学师资博士后徐子淼参与今年对“亮剑浦江·2024”专项执法行动的评估。她告诉澎湃新闻,专项行动通过普法培训、发布人脸识别领域的案例解析等方式,提升企业合规意识,帮助企业理解法律要求,降低合规成本。同时通过集中排查、面对面约谈和“回头看”等方式,对典型企业和集中出现的问题提出针对性整改建议和监督,确保落地见效。

“整体来看,兼顾到了不同层面,整个执法流程合理高效。”她说。

值得一提的是,作为今年专项行动的成果之一,“亮剑浦江·2024”结合两年来网信执法实践成果,首次面向社会、企业和消费者推出个人信息处理者应知手册、企业个人信息保护合规自检清单、上海个人信息保护场景规范指引、上海市民个人信息保护要点问答,可概述为个人信息保护工具包、体检包、服务包、护身包,这四个惠企为民“大礼包”,通过释法、指导、评估、保护四个层次,建立了立体化个人信息合规利用的集约化管理框架,进一步优化企业合规效果。

多方联动,凝聚共治合力

整治滥用人脸识别,除了发挥执法监管部门的引领作用外,“亮剑浦江·2024” 专项执法行动特别注重协同共治。也正因如此,在问题调研和线索收集上,专项行动还发动了一支“编外力量”。

上海高校教师刘杰(化名)指导7名法学生自发组建“银河信息警备队”,成果之一就是发现,大学校园内的45台自动售卖机,有40台存在过度索取个人信息情况,有的还存在诱导消费者使用微信或支付宝刷脸支付的情况。

这次调研起源于一次消费经历。因为赶“早八点”的课,来不及在家里吃饭的刘杰,第一次在学校的自动售卖机上买东西。而当他扫码支付时,机器弹出了两个选项,一个是绑定手机号码,一个是不绑定,当他选择不绑定后发现,页面自动跳回前一页。也就是说,如果不绑定手机号,就无法完成付款,无法购买。

到底多少台自动售卖机在索取个人信息?自动售卖机一定要获取手机号码、微信号等隐私信息吗?刘杰想搞清楚。

最终,刘杰和他的“银河信息警备队”通过调研得到了答案。他的故事经媒体报道后,引起多方关注。依据他提供的线索,网信部门在深化研究调研基础上,开展了深入拓展的集中整治。10月24日至28日,澎湃新闻走访上海4所高校校园,发现大多数自动售货机已不再诱导或强制性“刷脸”。

华东政法大学高富平教授牵头的评估组认为,专项行动推动构建“政府监管、企业履责、社会监督、公众参与”的个人信息保护综合治理格局。其中,在政府层面,上海市网信办和上海市市场监管局牵头,进一步推动市区两级及相关部门协同合作,集中力量提高企业合规便利度;在企业层面,重点关注平台型企业和数据处理第三方企业,注重发挥企业自查、自纠、自治、自律;在社会层面,以头部企业为重点执法对象,实现惩一企、震一行的执法穿透力;在公众层面,积极探索、完善投诉举报及其反馈机制。

聚焦发展,引导科技向善

个人信息不仅涵盖个人权益,也存在社会性价值。在对滥用人脸识别说不的同时,上海也明确,应加强研究,对新技术不能因噎废食,要推动新技术向上向善。

在接受澎湃新闻专访时,上海市消保委副秘书长唐健盛表示,对人脸识别技术的应用,上海秉持审慎态度,倡导非必要不使用。“数字经济时代,个人信息的运用能够提升经济运行效率。在确保数据安全且能够有效使用的前提下,秉持积极的态度。我们不能片面地追求安全而忽视效率,也不能只注重效率而不顾安全。”

“个人信息包括人脸信息的安全风险,犹如定时炸弹一般。”浙江理工大学数据法治研究院副院长郭兵指出,人脸识别在身份信息验证等方面为生活带来诸多便利的同时,其潜在风险难以有效把控。“过度使用甚至滥用已成为该技术发展面临的重大挑战。”他认为,人脸识别核心是用户需要树立个人信息安全意识,遇到强制“刷脸”消费者要大胆质疑,对滥用人脸识别要始终保持警惕。

郭兵强调,对滥用人脸识别技术说“不”,并非“一刀切”式的禁止刷脸。“企业应为用户提供刷脸或其他替代方式的选择。采用刷脸方式时,企业应运用足够安全的技术手段防止人脸信息泄露,被违法使用、甚至被犯罪分子利用,此为其法定责任。监管部门应重点监管人脸识别技术应用的安全保障措施,维护公民个人信息合法权益、社会公共秩序与国家安全。”

上海市网信办执法人员透露,“亮剑浦江·2024”专项执法行动对公共场所强制、滥用人脸识别技术的专项整治目前已取得一定成效。下一步,上海市网信办将更加注重对人脸识别新的应用场景的研究,以及对已经开展整治场景的跟踪,不断引导人脸识别技术向上向善,促进技术服务社会。在切实保障好公民个人信息权益的同时,要用法治的营商环境护航企业健康发展。

上海对滥用人脸识别说“不”