建 议 人: | 葛霞青 | 建 议 号: | 455 |
标 题: | 关于“多方位”规范保护人脸识别信息的建议 | ||
| 建议内容: | 人工智能产业及应用的发展,使人脸识别技术在交通、治安、疫情防控等方面应用广泛,同时带来了社会治理、生活方式重大变革,可能引发复杂多元的科技伦理、公共安全和法律风险,需要引起高度重视。
苏州市吴中区人民法院2021年办结苏州首起“不刷脸不让进小区”引发的物业服务合同纠纷,虽然以诉讼形式呈现的矛盾纠纷尚少,但人脸识别技术的应用导致的生物信息的不安全存储、无节制使用、非法买卖等,带来的对公民隐私权等人身和财产权的间接损害、次生灾害是广泛而持久的。 1、人脸识别技术存在公共安全隐患
人脸识别技术已在房地产、商场、写字楼、游乐园等机构及学校、医院、车站、出租车等场所广泛使用,“黑科技”刷脸机在人们不知觉间就采集大量人脸识别生物信息数据。市民去售楼部咨询买房,往往就被摄像头偷拍人脸数据。部分小区物业要求业主录制刷脸信息,否则为其进出小区、使用电梯加设障碍。在商场,人脸及消费特征信息已贯穿注册、到店、跟踪、管理的会员运营管理全流程。对人脸识别的强制使用屡屡成为热点事件。
人脸识别生物信息在安装、采集、储存、使用时缺少规范管理,无限制使用存在公共安全隐患,人们无处遁形的行踪记录,一旦被用于不法领域,危及人身与财产安全。随着海量的人脸数据被收集、上传云端,泄露、乱用及滥用可能性急剧上升,而违法惩处机制并未落实到位,未来人脸数据或将与电话、身份证号一样成为不法分子的新手段。
2、生物信息无节制使用引发技术伦理问题
人脸识别生物信息具有唯一性、永久性,不像密码可以替换,因为无法换脸,终身无法修改,一旦泄露即终身泄露,即便法律维权成功也难以恢复原状;也不像指纹识别需主动操作,人脸公开外露在无感时就能可采集数据;该技术存在不可控性,数据使用者安保水平与能力参差不齐,人脸照片、视频及伪造3D头套等都有可能被机器识别。
目前允许任何组织单位可随意收集民众人脸数据,学习、工作、休闲、生活等场所皆被人脸识别监控,个人行踪被精准记录,人们隐私空间被挤压殆尽,由此导致技术伦理困境:技术让人更自由,还是更受束缚?隐私权未受有效保护,将极大伤害公众安全感。
3、法规和监管不足导致行业治理问题
人工智能具有广泛渗透性和技术颠覆性,相关法规和部门管理的缺位,也导致行业治理的痛点:如公众对信息泄露的担心——人脸信息公开无法加密、绑定财务账户、技术不完善易被黑产盗用;公众知情权被剥夺,无奈“丢脸”,没有隐私协议保护;企业责任与商业伦理缺失,相关单位聚焦于隐私监控而在信息保护、身份认证等技术上缺少主动性与责任感。
作为法律从业者,我们熟知,类似人脸信息泄露的安全事故已比较普遍,犯罪分子通过非法购买个人信息制作“换脸”视频就曾突破支付宝人脸识别认证,也曾有人绕过厦门银行App的人脸识别系统,使用虚假身份信息注册多个账户并倒卖牟利。 苏州需确保安全底线,探索构建新型人工智能治理框架,在发展与安全上取得平衡,保障产业行稳致远。
1、加快市级专项立法,完善人工智能法律法规
为落实中央经济工作会议“健全数字规则,完善互联网数据法律规范”的要求,在《民法典》《信息安全技术关键信息基础设施安全保护要求》及《个人信息保护法》等法规指导下,我市已经开始《苏州市数据条例(草案)》立法工作。
建议立法规范生物信息数据权属及机制,明确数据所有权、使用权及收益权,健全使用、交易、共享等机制。设置机构准入场景、准入条件、权限及程序。机构采集、使用、共享权限等。同时完善问责及处罚制度。制定人脸识别等生物信息泄露、诈骗等追责机制,明确处罚构成要件、处罚标准,防范技术滥用。强化跨部门工作协同,保障个人信息保护工作高效开展。
2、设立专门监管机构,规范技术应用与保护数据
建议将人脸识别社会场景应用的审批与监管纳入市公安部门管理职能。设立审批标准及程序。除道路、交通工具、银行等法律规定的安防应用以外,单位、个人在应用人脸识别技术前应自主申报,由公安部门依法审批与监管。涉及对特定及非特定对象已应用人脸识别处所,如写字楼、商场、企业等单位及公园、学校、市场都需申报,公安部门依法审核其合法、正当和必要性;对数据安全进行积极监控,探索更安全的数据保护模式,要求信息处理者以必要安保措施限于最小范围使用;设立群众维权投诉渠道。
3、强化必要性审查,维护个人信息权益
按目的合法正当、最小必要原则进行审查,限制使用场景。对于如小区等特定人群人脸识别应用,须以自愿为原则由个人信息主体进行必要性审查。物业应将其视作新增公共设施建设项目,交由业主按户数及面积2/3以上投票通过后方可申报审批,同时保障业主选择权,不可强制使用。对于如商场等非特定人群的经审批的人脸识别应用,须以最小化使用为原则并显著标识;保障公众选择权,不可强制使用;商城不可使用人脸识别收集顾客行为数据。
4、规范采集与使用,提升政务系统安全性能
对不合规安装、使用人脸识别技术的要求定期整改,依法打击非法滥用。制定集中整治计划,开展自查、主管核查、公安检查和市民举报等专项整治,重点整治相关企事业单位、房产销售机构、商场超市、住宅区等,对未经审批擅自安装该设备的,依法进行行政处罚、设备拆除及数据销毁。同时清理电子政务平台人脸识别认证安全漏洞,设置刷脸文字提醒、增加验证码确认等提升系统安全性能。
5、引导行业自律,完善标准和伦理规范
主管部门引导鼓励相关行业协会和中介组织制定人工智能产业技术标准、行业自律规范,制定科技伦理规则,强化开发企业与应用单位保护个人隐私责任。开展法律法规与公民隐私宣传教育,强化企业科技伦理与法律培训,全社会要加强生物识别信息保护的底线意识,促进人工智能行业稳健成长。 | ||
承办单位: | 主办 | 苏州市公安局 | |
| 协办 | 苏州市委网络安全和信息化委员会办公室; | ||
| 办理期限: | 3个月 | 答复时间: | 2023-05-25 15:04 |
| 办理类型: | A:已经解决 | ||
| 答复内容: |
A 苏州市公安局文件 〔2023〕公办函字第66号 签发:魏杰 ━━━━━━━━━━━━━━━━━━━ 对市政协十五届二次会议 第455号提案的答复 葛霞青委员: 您提出的关于“‘多方位’规范保护人脸识别信息的建议”的提案收悉。现答复如下: 近年来,市委网信办认真贯彻落实《个人信息保护法》,多维度筑牢个人信息保护屏障,牵头开展了一系列工作。一是强化数据监管。持续开展全市涉个人信息数据安全态势监测,去年,常熟一家投放菜市场健康码闸机的设备企业数据库遭泄露,市委网信办会同属地网信及政府部门开展联合督查约谈,严肃处置。二是开展全民宣传。结合“网络安全宣传周”中的“个人信息保护日”,组织有关单位将《个人信息保护法》宣传资料制作成展板,摆放在苏州中心地铁站入口大厅处,超3万人次观看。 市公安局根据公共安全防控需要,依据有关法律、文件规定,开展人脸信息采集及管理。一是依法依规建设。依据法律规定在公共区域建设必要的视频监控设备,严格依据各类国标开展建设、联网,确保信息采集应用全链条安全可控。今年,《苏州市数据条例》施行后,信息采集应用的法律更加健全。二是严格安全管理。建立严格的内部应用管理机制,建设、联网的信息系统均通过信息安全等级保护评定,对查阅行为严格日志审计,对不合规行为依纪依法处理,形成了管理闭环。三是规范行业应用。通过落实管理机制,建立行业专家库,组织专家对社会面小区、商业体的安防项目开展查验指导,督导建设方依据国标和有关技术要求开展建设,引导并提示安防行业有关单位在建设和使用中依法依规保护个人信息。 下一步,市公安局、市委网信办等有关部门将继续按照市委市政府有关工作部署要求,进一步做好人脸信息安全监管及宣传工作。一是发挥好苏州市网络安全工作综合平台(一期)技术监测作用,持续加强对涉人脸信息收集重点平台、网站的监测力度。二是增加常态化风险隐患防范化解能力,计划组织开展大型互联网平台数据安全风险排查、人脸识别技术应用安全治理等专项行动。三是围绕网络安全宣传月和全民数字素养月等宣传活动,创新宣传形式,深入浅出引导群众增强个人信息保护意识、筑牢信息安全底线。四是继续从严规范政府部门信息采集应用工作,进一步加强有关监控的建设、管理,继续提升高新技术赋能公共安全管理的广度和深度,严格依法应用,提升群众的获得感和满意度。 感谢您对公安工作的关心与支持! 苏州市公安局 2023年5月22日 联系人姓名:邵鹏 联系电话:13451666712 抄 送:市政府办公室、市政协提案委、市委网信办 | ||