图片 
本刊简介《法律人两会之声(2022)》专题报道之九
周光权:遏制人脸识别滥用,须坚持多效并举
众所周知,“人脸识别”是基于人的脸部特征信息进行身份识别的一种生物识别技术。作为人工智能重要的应用领域,人脸识别技术已经渗透到人们生活的方方面面,大到城市建设、疫情防控,小到手机客户端登录解锁,都少不了它的身影。
人脸识别:“易破解”与“被滥用”
全国人大代表、清华大学法学院教授周光权向记者介绍,近年来,制作模拟人脸模型以破解人脸识别验证的黑色产业链已相当“成熟”,而且许多软件代码已经开源,用身份证照片就可以从技术上模拟张嘴、眨眼等动作,仿真效果很高,可以骗过许多人脸识别平台。
周光权表示,但在现实生活中,一方面,由于个人可能将足以识别个人的肖像、身份证图片以及其他具有人身关联性的人像及风景照片等都储存在云盘上,个人对其敏感信息的保护难度加大。另一方面,人脸识别技术极易被滥用,由此导致非法获取、提供、破解人脸识别数据及关联的电信网络诈骗、非法发放及催收贷款等犯罪案件层出不穷,有的案件在定性上存在一定争议。
“因此,要全面保护敏感个人信息,《民法典》和《个人信息保护法》的作用不可低估,但《刑法》也一定不能缺位。”周光权坚定地表示。
是谁在“偷”我的脸?
“以科技为诱饵作钓鱼诈骗”“欺骗他人取得人脸识别信息”“非法抓取人脸识别信息”……近些年,涉及人脸识别技术滥用的犯罪类型主要有哪些,周光权为记者一一梳理:
以“人脸识别”为噱头的诈骗案件高发。例如,被告人麦某虚构其投资人脸识别门锁项目的事实,多次骗取他人财物14万余元,法院以诈骗罪判处其有期徒刑3年10个月。
被告人侵入他人的计算机信息系统窃取大量身份证照片等,加工成人脸识别视频后非法出售的,以及为窃取个人信息而在隐秘场所安装图像采集、个人身份识别设备,并将所获取的人脸识别信息非法提供给他人的犯罪案件,在近年来人民法院的判决中占据很大比例。
欺骗他人取得人脸识别信息的犯罪。比如,曾经流行的许多“AI换脸游戏”App,就是利用用户乐于参与游戏、毫无防备的心理,在未告知的情形下,非法采集人脸识别信息。“实务中,违背知情同意原则,欺骗他人获取人脸识别信息的案件,突出表现为行为人针对中老年人对信息的鉴别能力较弱这一现实,通过拍照等方式,收集人脸识别信息的情形,使中老年人成为人脸识别信息被非法获取的一个特殊被害群体。不法分子往往以‘发福利’或者‘发赠品’的名义,诱惑被害人参与拍照、提供照片等个人信息。”周光权说。
非法抓取人脸识别信息的犯罪案件。近年来,发案率较高的情形是,网络放贷平台App借助于技术手段非法获取公民人脸识别信息后,才予以放贷,并将人脸识别信息共享给催收公司,甚至将这些信息变卖获利。
通过非法手段,强迫他人“刷脸”取财、欺骗他人“刷脸”后冒名获取网贷的案件,目前也为数不少。
“此外,因为被害人的人脸识别信息被非法获取后暴露行踪轨迹,进而引发故意杀人、故意伤害、聚众斗殴的案件,在近年来也开始出现。”周光权表示。
建言献策
毫无疑问,上述犯罪案件的发生,严重危及公民的人身和财产安全,极易引起大面积的社会恐慌。鉴于此,周光权认为,需要中央有关政法机关、网络安全监管部门、电信网络主管机关的高度重视,通力协作,综合施策,有效遏制涉人脸识别技术滥用的犯罪,以维护公民的合法权益,消除人民群众对新技术运用的恐慌。他建议:
(一)中央有关部门和单位应加大宣传力度,增强公民(尤其是中老年人)对其个人信息尤其是人脸识别信息的保护意识,使之认识到“生物信息是个人信息安全的最后一道防线”,对个人照片、人脸视频等坚守“非必要不提供”的立场。
(二)对于开发、提供涉及人脸识别App的申请,网络安全监管机关必须严格审查,原则上不能再批准类似于换脸游戏App的软件,以防止不良商家非法获取公民敏感个人信息。
(三)督促大数据公司落实信息安全监管责任。他表示,对于个人信息、计算机信息系统安全和数据完整性、可用性等法益的保护而言,刑法只是“最后手段”。“最好的社会政策是最好的刑事政策。”
对于人脸识别信息的保护,应当加强对网络公司收集人脸数据的监管,对哪些机构可以处理人脸识别信息作出更为细化的明确规定,设计相应的安全等级要求,并督促其根据《个人信息保护法》第55条规定,处理敏感个人信息时,“个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录”,建立、落实敏感个人信息保护的制度体系。特别是要确保云储存与云技术中用户数据的基本安全,防止人脸识别等敏感个人信息的泄露。
除此以外,大数据公司要加强行业自律,非必要不采集人脸识别信息,仅在符合事前明示的信息处理目的的情形下,使用人脸识别数据。
(四)对于使用人脸识别系统、采集相关信息的单位,尤其是金融机构、地铁安检部门、小区物业公司、第三方支付机构、公安交通管理机关等,应当建立特别严格、完善的人脸识别信息管理、调用、处理机制。
(五)大力推进司法机关与网络服务提供者、网络安全监管机关的协作共建,在普通场所禁止使用人脸识别技术,推进网络安全机制建设,对包括人脸识别信息在内的敏感个人信息给予强有力的特殊保护。
他认为,唯其如此,才能维护网络安全秩序,进而实现对公民个人信息和财产安全的充分保护,同时促进大数据的运用,平衡好个人信息保护和数据自由流动、数据经济发展之间的关系。
(六)公安机关必须发挥打击相关犯罪的主力军作用。对于涉及大批量人脸识别信息泄露、使用的案件,公安机关应当接警必处,迅速开展侦查活动,做到件件有回音,力争实现有案必破。
(七)加大对涉及人脸识别犯罪的刑罚处罚力度。对于侵害公民个人信息,通过掌握被害人行踪轨迹侵害其人身安全以及涉及电信诈骗等犯罪的,应当数罪并罚。对于因涉及滥用人脸识别技术构成犯罪被判刑的,原则上不适用缓刑,也轻易不适用假释;同时,对罪犯适用禁止令,以防止其在出狱后很快重操旧业、继续实施危害社会的网络犯罪行为。
“总之,在大数据时代,随着人工智能的广泛运用,人脸识别技术的频繁使用是不可阻挡的趋势。但是,人脸识别技术安全漏洞的存在以及其‘易破解’的特征,决定了涉人脸识别数据的犯罪在今后很可能有增无减,技术的运用和相关的‘黑灰产业’始终如影随形。直面这一现实,确实需要认真考虑刑法的准确规制,以及刑事政策和相关监管措施、大数据公司自律的相互协调问题。”周光权说。