林燕萍 付冬波
(广东东软学院网络与信息中心 广东省佛山市 528225)
目前部分高校在新生报到工作中采用了人脸识别系统,新生只需通过人脸识别系统便可方便、快捷地完成报到;有些高校为便于考勤,在教室内安装了人脸识别系统,通过该系统学生在上课期间玩手机、吃东西等行为都可被感知;同时目前越来越多的高校都安装了一卡通系统,学生进出宿舍、进出校门、校内消费等均可刷脸完成[1]。这些人脸识别的应用的确为学校的管理工作带来了许多便捷和安全保障,但与此同时学生的个人信息在各种应用中也不断地被使用到,那么如何保障学生的个人信息不被非法利用呢?本文将就人脸识别技术在高校应用中的法律风险进行阐述及提出相关的应对策略。
早在1888年和1920年英国心理学家Galton 在《Nature》上发表了两篇关于人脸识别的论文,但这两篇论文均未谈及AFR(automation face recognition)的问题[2]。1965年,Bledsoe 和Chan在Panoramic Research Inc 上发表了AFR 技术报告,这是关于人脸识别最早的学术论文[3]。可见人脸识别技术从开始研究到目前已有50 多年的时间了,但其在我们国家被真正应用到各场景中还是发生在近几年。
人脸识别技术是生物特征识别技术中的其中一种。它是基于人的脸部特征,对输入的人脸图像或者视频流进行判断是否存在人脸,若存在人脸则进一步给出每张人脸的位置、大小和各个主要面部器官的位置信息,然后依据这些信息进一步提取出每张人脸中所蕴涵的身份特征,并将其与已知的人脸进行对比,从而识别每张人脸的身份[4]。它具有识别的唯一性和身份鉴定的不可仿冒性。
人脸识别技术的原理主要包含三个部分。一是进行人脸图像的采集与预处理。这一过程中需采集大量的人脸图像,一般可通过批量导入或实时采集的方式采集,再对所采集到的人脸图像进行预处理操作,具体包括灰度调整、滤波等,从而建立一个具有大批量符合要求的人脸图像的数据库。二是获取当前要识别的目标人脸图像。这一过程中首先需要在固定位置上安装人脸识别移动终端,然后对目标人群进行人脸检测,可精准地定位出人脸的位置和大小,同时自动剔除掉多余的信息以保证人脸图像的精准采集,据目前研究有基于肤色模型的检测、基于边缘特征的检测和基于统计理论方法的检测方法。三是将目标人脸图像与数据库中已有的人脸图像进行比对和筛选。在这一过程中需对检测到的人脸图像进行特征提取,主要包括额头、眼睛、鼻子、耳朵、嘴巴、下巴等部位,再与数据库中的信息进行比对、筛选,从而识别出目标人物。
人脸识别技术可说是目前最热门的技术之一,对许多行业都带来了非常可期的发展前景。它的优势主要在于:
(1)便捷性,它无需我们做过多操作,只需经过采集识别设备,数秒内即可完成;
(2)非接触性,我们无需跟设备直接接触,只需在设备前轻松自然地停留片刻,当前用户身份被正确识别到即可,非常符合当前疫情防控下的卫生要求;
(3)可扩展性,人脸识别后留下的数据信息可根据管理需要按法律规定地应用到许多场景,如:门禁控制、安防检查等。
在高校里,人脸识别技术目前普遍应用在如下场景:一校门进出口管理,在学校门口安装了人脸识别闸机,学生进出校信息都能如实实时地记录下来,若有外来人员进校时,保卫部老师也能及时获取到相关信息。二是宿舍管理,在各宿舍楼下分别安装了人脸识别闸机,学生可通过刷面或刷卡的方式进出,这样辅导员和宿管人员便能及时获取学生是否在宿舍以及在宿舍多久等情况,特别是个别学生晚归的话,老师也能较及时地掌握学生的异常或违规现象,以便及时跟进指导、教育。三是教室的考勤管理,在各个教室门口安装人脸识别设备,学生直接通过刷脸即可完成课堂的签到和签退,任课教师直接通过后台数据即可得知学生的出勤情况。甚至有个别学校在课室内安装了人脸识别设备,用于检测学生的上课状态,以便教师及教学管理部门对部分课堂的教学质量实行检测。
通过人脸识别技术,学校相关老师能够方便、快捷地获取到学生的各类信息,也能进一步地分析学生的学习、生活状况。但从法律层面来看,它确实有侵犯了学生的个人信息,且存在着个人人脸信息被过度采集和滥用的风险。
《中华人民共和国民法典》(以下简称《民法典》)第一千零三十二条规定,自然人享有隐私权,任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权(隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息);《民法典》第一千零三十四条规定,自然人的个人信息受法律保护,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等,个人信息中的私密信息,同时适用隐私权保护的有关规定[5]。
人脸识别技术在学校管理应用过程中需采集到各个学生的人脸信息,并对学生人脸信息进行审核和预处理,进而在捕捉个人的脸部信息后能快速准备地进行检测,再与数据库已有的信息进行筛选、比对,最后识别出学生身份。在人脸识别技术下,学生日常进出校门、进出宿舍等行踪信息都会被采集入库,学生的个人学习生活路径似乎有被他人监视着,同时由于个人脸部生物信息具有唯一性,故能通过信息比对得知学生的个人基本信息,这样的话学生的许多个人信息都被暴露在外。可见通过人脸识别技术,学校管理人员及相关老师可通过学生进出宿舍、进出校门情况查看学生行踪,也可通过教室人脸识别收集学生上课表现情况等,这些行为促进了学校对学生的日常学习生活管理,也提升了学校的安防措施,但不可否认的是,它确实是有侵犯了学生的个人隐私权和个人信息的安全。
目前大部分高校都是交由厂商来安装人脸识别系统并进行数据收集和处理,校内也有信息团队跟进,但如何保障收集到的学生个人信息不被泄露、不被非法使用呢?人脸信息是生物识别信息的一种,它属于敏感信息,一旦泄露或被非法使用,将极有可能造成严重的财产权益损失,甚至造成个人的精神损失。
人脸识别技术在应用过程中采集后存储到的数据是庞大的,若在数据存储、传输等环节因技术或其他因素导致信息泄露或被非法截取的话,将可能造成的财产权益风险有:
(1)在如今信息技术发达的时代里,许多个人银行软件、支付宝等应用软件都可通过人脸识别进行线上交易,不法分子通过破解身份认证,解除原先设定的支付信息限制,则可引起不当支付,进而会导致财产损失,财产损失后将可能导致精神受伤。
(2)个人信息被泄露后可能会被非法使用,用于一些非法活动中,导致个人权益受到侵犯,特别是这些年电信诈骗和网络诈骗等违法犯罪行为比较猖狂,个人信息更应加强保护。人脸识别信息属于生物信息的一种,一旦被泄露,不可逆转,影响重大。
现在人脸识别等人工智能技术正处于发展高峰期,对城市管理、学校管理等均有非常大的帮助,但人脸信息是非常敏感的信息,我们必须谨慎使用。目前国家尚未出台该技术如何合理使用的相关法律法规,不过在2019年深圳召开的全球人工智能创业者大会上,多家高校及人工智能企业联合发起了《新一代人工智能行业自律公约》,旨在增强行业整体自律意识,积极推动人工智能行业的职业道德建设,维护人工智能行业健康正向发展,共同创造良好的行业发展环境[6]。为了这些先进技术的稳定、健康发展,以及更好地造福人类文明进步,建议国家出台相关的使用法律法规,明文规定其合理使用方式,加强保护人们的合法权益,进而增强人们对先进技术的信任和认同感。
随着数字化、信息化时代的到来,人们的个人信息越来越容易暴露于公众之中,在不知不觉中我们的个人信息就已被他人使用了。在未来我们的社会将会发展得更加信息化、智能化,每个人的个人信息将会更多地以数字的形式存在。而伴随着网络科技的日益进步,我们的数字信息安全风险也将更大,因而国家有必要制定和出台个人信息保护法,以加强对公民个人信息的保护,增强法制社会的建设。
大部分高校都是与专门的厂商合作、建设人脸识别系统,为预防厂商人员泄露或非法使用学生个人信息,学校须与厂商签订特定合同,明文明确地规定双方的责任与义务,以及处理学生个人信息的具体条例,同时也须对厂商数据的数据来源、信息主体的授权文件等进行严格审核。同时学校也应与学生签订合同,明确告知学生的个人信息使用情况,并征得学生同意方可使用。
加强信息人员技术培训和岗位职责管理,涉及信息管理工作人员均需签订保密协议并承担相应的法律责任,避免因管理或个人操作不规范,出现数据被盗窃、泄露或非法使用等风险。同时完善信息收集、存储和使用的管理流程,依法收集,限定个人信息使用范围,设置管理人员相关权限。
人脸识别技术必须先收集个人信息,而后才能进行人脸检测和比对。在这一过程中,学校和建设厂商必须经得信息主体即学生的明示同意后才能进行信息采集。同时采集被识别者信息前需就采集目的、使用范围、保存方式、存储时间等规则进行明确告知。现今电子签名技术已比较成熟,可通过电子签名的方式进行确认,签名后产生的时间戳具有防篡改的功能,从而能有效地保障信息的安全性。
加强学生个人信息相关法律规范的学习和培训,熟悉不同场景下不当使用或披露个人信息的法律后果,同时对个人信息保护政策和相关行业规范进行学习了解。学生通过学习相关法律知识,能够增强法律常识和提高法律意识,这有利于提升对自身权益的认知和保护,谨慎对待个人信息的处理,降低或规避个人信息收集、保管、传输和应用中的法律风险。
人脸识别技术等人工智能新兴技术虽然目前仍存在许多安全风险,但它们的确给社会、给人们带来了许多便利和安全保障,对此我们应趋利避害而非因噎废食。在法律和技术双重推动下,各应用场景下的人脸识别技术将会更规范、更可信。