“人臉數據濫用”成為了今年3·15晚會曝光的第一彈。
報道中指出,包括無錫寶馬汽車4S店、港匯恒隆Max Mara專賣店以及科勒衛浴全國上千家門店在內,均安裝了具有人臉識別功能的攝像頭。而其對這些資訊的采集和使用過程,正游走在違法的邊緣地帶,
而作為提供人臉識別系統服務的企業,蘇州萬店掌網路科技有限公司的相關工作人員聲稱,其平臺現已擁有過億的人臉數據量,
并且可以根據數據進行反復比對,識別出哪些客戶多次進店,客戶的性別年齡,是否佩戴眼鏡,面部表情如何。甚至還可以將同行、職業打假人、記者等人的面部資訊打上標簽,可以讓商戶及時得知這些人員的動向。
3·15晚會上播出的暗訪視訊
而在這些數據的采集過程中,消費者是毫無感知的,
早在2017年12月29日,全國資訊安全標準化技術委員會就已發布了《資訊安全技術個人資訊安全規范》等23項國家標準正式發布,
在資訊收集方面,該規范就個人資訊控制者的義務提出了以下幾點要旨:
合法性,要求個人資訊控制者在法律法規規定的范圍內采用合法的手段和獲取資訊的渠道,在征得個人資訊主體同意的前提下收集個人資訊或要求資訊主體提供個人資訊,
最小化,要求個人資訊的收集類型、頻率和數量應在必要性的最小要求之內,即符合最少夠用原則,在能達到所需目的條件下,只處理最少的個人資訊類型和數量。
授權同意,要求個人資訊控制者處理個人資訊時的目的、方式、范圍以及相關規則,均要經過個人資訊主體的授權同意。
顯然,在被曝光的人臉資訊收集過程中,以上的任何一條要旨都沒有得到遵守。
在大數據概念逐漸泛濫的時代,這樣隱秘的數據收集、分析、販賣鏈條,一直存在,而且備受追捧。關鍵是,在這樣一個完整而隱秘的鏈條下,處于弱勢地位的個人消費者權益被忽視了,
100億規模的“人臉識別”企業 上市公司,騰訊投資,朱嘯虎站臺
據《2020年人臉識別行業研究報告》顯示,截至2020年10月份,全國共有10443家企業的名稱、產品、品牌、經營范圍涵蓋“人臉識別”,報告預計,大陸未來五年人臉識別市場規模將保持23%的平均復合增長速度,到2024年市場規模將突破100億元,
這是一個頗具想象力的百億級市場,也是個缺少監管、充滿著灰色地帶的監管缺位之地——
2019年2月,深網視界的資料庫漏洞事件中,超過250萬條數據可以被提取,包括人臉資訊、身份證資訊等等敏感數據,
2019年10月,一群國小生用一張等比例照片刷開了豐巢智能柜,取出了父母們的貨件,隨后,豐巢下線了刷臉取件業務,
2020年6月,“大陸人臉識別第一案”在杭州開庭,一審結果被告杭州野生動物世界被判違約,除了相應的賠償外,還要刪除原告郭兵辦理指紋年卡時提交的包括照片在內的面部特征資訊。
2021年2月,公安部召開新聞發布會,數據顯示,在2020年全國公安機關破獲竊取、販賣人臉數據案件22起,抓獲犯罪嫌疑人60名,
人臉識別資訊的濫用,早就滲入了我們生活的方方面面,也正是因為巨大的想象空間和廣泛的應用場景,人臉識別技術受到了市場和投資人的追捧,
在此次被3·15晚會曝光的人臉識別技術服務公司中,“萬店掌”和上海悠絡客電子科技有限公司均擁有著頗為耀眼的投融資背景。
據天眼查資訊顯示,“萬店掌”于2020年5月宣布完成8000萬元B輪融資,德同資本領投,遠海明華、江蘇高新投、蘇高新創投集團跟投;其A輪1500萬元融資,則由金沙江創投投資。
而作為金沙江創投的董事總經理,曾投資過滴滴、餓了么等明星企業,被業內成為獨角獸捕手的知名投資人朱嘯虎為“萬店掌”的董事長之一,持股比例為0.0362%,
公開資訊顯示,“萬店掌”的創始人周圣強曾在上市公司蘇州科達任職20年,一直扎根于視訊智能分析領域,從事圖像智能及市場應用開發,
該公司的官網顯示,除了科勒、MaxMara外,包括老百姓大藥房、良品鋪子、喜茶、水星家紡、九芝堂、晨光文具、好孩子等品牌,均為萬掌店客戶;而華潤、海信等知名企業,則為萬掌店的核心合作伙伴。
另一家涉事企業上海悠絡客電子科技有限公司,則于2016年在新三板掛牌,2017年完成招商局領投的C輪融資,2018年完成新三板定增,同時騰訊參與了其C+輪融資,
此外,根據瑞為科技官網顯示,公司成立于2012年,先后獲得英特爾、綠地控股、中信證券、賽富基金、深投控、南方基金等機構戰略投資,合作客戶包括大興機場、首都機場、寶安機場、京東方、阿里巴巴、華為、中航信等,
隨著事件的發酵,牽涉其中的品牌紛紛宣稱,該攝像頭僅用于統計訪問店內人數,或安防影像采集,絕不會非法收集消費者的人臉數據,
但是,在法律人士看來,購買了相關資訊收集服務的商家,同樣難辭其咎。據北京市中倫文德律師事務所律師、知名法律原PO@法度君介紹,除了負責提供資訊收集服務的企業之外,商場、線下門店等購買相關服務的商家,也同樣面臨著法律風險,
人臉資訊作為具有個人高度識別性的個人資訊,受到《消費者權益保護法》及相關個人資訊保護法律法規的約束,除非經過公民個人授權或同意,或者全部資訊經過特殊處理,成為無法進行自然人身份識別的數據資訊,方可在合法合理的范圍內進行使用,
經營者收集、使用消費者個人資訊,應當公開其收集、使用規則,不得違反法律、法規的規定和雙方的約定收集、使用資訊,
其實,早在去年9月,就曾引發過一場關于人臉識別數據隱私泄露的討論。
創新工場董事長兼 CEO 李開復在公開演講中提到,曾在曠視科技成立初期幫助其找到了美圖、螞蟻金服等合作伙伴,拿到了大量的人臉數據。
隨后,輿論開始發酵,李開復隨即為其口誤道歉,螞蟻集團和曠視科技也先后澄清其對數據安全和隱私泄露問題的重視。但關于這一問題的討論并未就此停止。
“肯定是有漏洞的。因為那時候正是技術野蠻發展的階段,保護個人資訊的意識跟不上,”
通信行業觀察家項立剛曾對媒體表示,根據他的判斷,在人工智能技術早期階段,很多技術公司在這個問題上的處理方式,與其他個人資訊不同,生物識別資訊(人臉、虹膜和指紋等)對絕大多數人而言具有唯一性和不可復制性。
在此種情況下,生物識別資訊一旦泄露,其后果比其他可更改的個人資訊如行動電話號、家庭住址等更加嚴重。
一旦掌握了一張人臉,在沒有嚴格防護措施的情況下,很有可能“撬開”該自然人用人臉鎖住的所有關卡。
2021年全國“兩會”期間,僅僅關于規范人臉識別應用的相關提案,就不下5份。
人臉識別的資訊安全規范,迫在眉睫。
美國人的眼中釘
這樣涉及隱私和安全的業務,不僅僅在大陸極為敏感,甚至也成為了美國人的眼中釘。
當地時間3月12日,美國聯邦通信委員會(FCC)公共安全部和國土安全局(HHS)以會給美國國家安全和公民安全帶來“不可接受的風險”為由,將包括杭州海康威視數字技術有限公司、大華科技有限公司在內的5家公司,納入了不可信供應商名單,
作為大陸人臉識別、安防監控的頭部企業,海康威視和大華科技早就不是第一次被美國點名了。
2019年10月7日,美國商務部宣布將8家大陸企業列入美國貿易管制黑名單,禁止與美國企業合作,
這 8 家大陸企業均涉及人工智能、人臉識別及安防監控等業務,大華股份與海康威視赫然在列,
2018年8月1日,美國國會正式通過了《2019 國防授權法案》,該法案要求聯邦政府機構不得采購或獲取任何使用“受控的通信設備或服務”、“作為系統關鍵或實質性的一部分,或作為系統的任意一部分關鍵的技術”的設備、系統或服務,其中,“受控的通信設備或服務”涉及海康威視生產的視訊監控和通信設備,華大科技也在制裁名單之上,
據市場研究機構IHS Markit發布于2018年7月的《2018全球視訊監控資訊服務報告》,海康威視位列全球視訊監控設備市場第一位,市場份額高達37.94%,連續七年蟬聯全球市場份額第一名;浙江大華則名列第二,市場份額達到17.02%,
相比較早已上市、發展多年的海威康視和大華股份,美國禁令則對曠視科技的上市進程產生了深遠影響,
在禁令發布的2個月前,曠視科技于2019年8月向港交所遞交了招股書。
據路透社報道,在美國禁令名單發布后,曠視上市聯席保薦人之一的高盛隨即表示,將會審視情況,決定是否繼續參與曠視的承銷工作。
高盛表示,“有鑒于近期發展”,正評估曠視的保薦工作。高盛在出任曠視保薦人前已有進行全面評估,并且進行盡職調查過程,
據曠視科技的初步招股文件顯示,其聯席保薦人包括高盛、摩根大通及花旗銀行,總部位于美國。
從2019年11月起,關于曠視科技未通過港交所聆訊、中止港股上市進程的消息,不絕于耳,但均遭到了曠視科技的否認。
直至2021年3月12日,曠視科技才給出了正面回應,承認其申請了科創板上市,并確認放棄了港股上市的計劃。
此時,距離曠視科技首次遞交招股書,已經過去了將近1年半的時間,
政策威懾之下,監管落地依舊艱難
隨著技術的深入,人臉識別技術已經實現了大規模的普及。
特別是在公共安全和covid19疫情防控的硬需求下,該技術的普及速度依然不會停止,甚至很難減慢,
從商場、辦公樓等公共場所入口處的測溫設備,到園區管理、安檢入口、實名登記、開戶銷戶、支付轉賬和門禁考勤,均存在著強制性的人臉資訊收集系統。
而產品推廣者只是一味的強調這一技術的便捷性,卻沒有提示相關風險,甚至不給用戶任何拒絕的機會。
與此同時,對于人臉資訊的使用和處理,卻是完全不透明的——包括人臉原始資訊是否會被收集方保留,會如何處理,如何保證收集的人臉資訊安全,相關數據被應用在什么場景,是否變更了使用目的……這些問題都沒有一個統一的答案,更沒有任何法律法規予以管理和規范。
@法度君表示,涉事企業在提供服務過程中,通過人臉識別的方式獲取、收集、濫用個人資訊的情形,侵犯了消費者權益保護法,應當根據情節嚴重程度受到警告、沒收違法所得、處以違法所得一倍以上十倍以下的罰款(沒有違法所得的,處以五十萬元以下的罰款),責令停業整頓,吊銷營業執照不同程度的處罰。
如果資訊達到一定數量,或違法所得達到一定數額,還有可能構成刑法第二百五十三條之一的侵犯公民個人資訊罪,單位犯罪的應對其判處罰金,并對其直接負責的主管人員和其他直接責任人員,根據情節嚴重程度判處三年以下有期徒刑或三年以上七年以下有期徒刑。
不過,法度君也承認,在法規落地執行的過程中,取證是最大的阻礙,面部識別個人資訊多以資訊數據的方式被保存,需要執法人員具有相關技術或專業知識,否則相關證據很容易被轉移和銷毀。
而受到個人資訊侵犯的公民個人,亦會受到相應限制,能夠提供資訊被侵犯的案件線索已經非常難得,依賴被害人提供相應證據更是難上加難,
不過,鑒于數據資訊的采集、泄露的批量特性,如果達到刑事立案標準(根據資訊敏感程度分為五十條、五百條、五千條),只要有人進行報案、舉報或控告,公安機關就可以展開偵查,一旦涉嫌犯罪,便會送至檢察機關提起公訴。
