上海對濫用人臉識別說“不”

刷臉支付、刷臉解鎖、刷臉開門、刷臉進站……“刷臉”，正在越來越頻繁地嵌入我們的生活。

“刷臉”時代，誰來保護我的人臉信息安全？

面對公共場所過度使用甚至濫用人臉識別技術，2024年，上�！傲羷ζ纸�·2024”消費領域個人信息權益保護專項執(zhí)法行動，加快整治步伐，朝著公共場所“不刷臉為原則、刷臉為例外”的目標持續(xù)攻堅。

作為第三方，華東政法大學智能法學科在學科負責人高富平教授的帶領下，對“亮劍浦江·2024”專項執(zhí)法行動開展評估。評估組認為，上海網(wǎng)信部門整治濫用人臉識別切實保障了公民個人信息權益。在大大降低風險的同時，提升了企業(yè)和消費者的個人信息保護意識，優(yōu)化了營商環(huán)境和消費環(huán)境，為人臉識別技術更廣泛運用提供了“上海經(jīng)驗”。

“亮劍”執(zhí)法，直面違法問題

濫用人臉識別技術的風險，一直被上海監(jiān)管、執(zhí)法部門高度重視。

2021年，央視“3·15”晚會曝光科勒衛(wèi)浴上海部分門店安裝具有人臉識別功能的攝像頭，消費者只要進入門店，在不知情的情況下，就會被攝像頭抓取并自動生成編號。

事件曝光后，上海市靜安區(qū)市場監(jiān)督管理局立即展開立案調(diào)查，并隨即公布調(diào)查結果及處罰決定。

值得注意的是，彼時涉事企業(yè)被責令改正、罰款人民幣50萬元，處罰依據(jù)的是《消費者權益保護法》相關規(guī)定，執(zhí)法的是靜安區(qū)市場監(jiān)管部門。

2021年11月1日，作為國內(nèi)首部個人信息保護的專門性法律，《個人信息保護法》正式實施。上海對個人信息尤其是人臉等生物識別敏感信息提升保護力度。

2023年6月16日，針對消費領域個人信息“過度采、強制要、誘導取、違規(guī)用”等問題，上海市網(wǎng)信辦、上海市市場監(jiān)管局共同啟動“亮劍浦江·消費領域個人信息權益保護專項執(zhí)法行動”。掃碼點餐、停車繳費、少兒學習培訓、網(wǎng)絡理財小貸、房產(chǎn)中介、租借共享充電寶、商超購物、汽車4S店……專項行動選擇了社會關注度高、個人信息被過度索取問題突出的8大消費場景。

在充分總結2023年工作經(jīng)驗的基礎上，上海市網(wǎng)信辦、上海市市場監(jiān)管局啟動“亮劍浦江·2024”專項執(zhí)法行動的調(diào)研和策劃，人臉識別濫用被列為重點整治，參與協(xié)同的包括上海市公安局、上海市體育局、上海市商務委、上海市房管局等監(jiān)管執(zhí)法部門、行業(yè)主管部門，以及上海市消保委和有關行業(yè)協(xié)會等。

2024年4月29日，一則《上海一游泳館更衣柜推行人臉識別遭投訴》的新聞引發(fā)廣泛關注。根據(jù)《解放日報》報道，上海松江區(qū)的朱女士注意到家附近的泳樂游泳館（云間糧倉店）更衣室，采用了人臉識別的方式開啟更衣柜。“站在設備前，攝影頭打光燈一亮，屏幕前就出現(xiàn)了附近來往顧客沒穿衣服的畫面。我連忙用毛巾把攝像頭擋住，趕緊用浴巾裹好身體！”

掌握報道線索后，4月29日、5月6日，松江區(qū)委網(wǎng)信辦協(xié)同市場監(jiān)管、公安網(wǎng)安等有關部門，兩次核實查驗、指導整改。針對違法違規(guī)事實，松江區(qū)委網(wǎng)信辦依法對涉事游泳館運營主體——上�？釋W體育投資管理有限公司作出警告的行政處罰。該案也成為上海市區(qū)兩級網(wǎng)信部門依據(jù)《個人信息保護法》，協(xié)同開展的人臉識別技術領域執(zhí)法首案。

此后，在大量調(diào)研基礎上，“亮劍浦江·2024”專門就公共場所強制、濫用人臉識別技術細化工作方案，執(zhí)法場景趨向精細化、顆粒化，細分為健身房、舞蹈房、游泳館等運動場所，商場超市、無人售貨機等消費場所，演出場所、旅游景區(qū)、賓館旅館、文化場館等文旅場所，教育、培訓機構等教學場所及售樓處、住宅小區(qū)、保障性租賃房等生活居住場所。據(jù)上海市網(wǎng)信辦執(zhí)法人員介紹，整治方案明確上海市網(wǎng)信辦牽頭組建工作專班，統(tǒng)籌協(xié)調(diào)開展專項整治行動，參與專項行動的協(xié)同單位為專班成員單位，涵蓋了上海市教委、上海市科委、上海市文旅局、上海市綠化市容局，幾乎覆蓋涉及民生的所有監(jiān)管執(zhí)法部門。

按照“不刷臉為原則、刷臉為例外”、“收集端總體減量、存儲端確保安全”的總體目標，上海確定了公共場所安裝人臉識別要遵循“為公共安全所必須”“有法律依據(jù)”“做到單獨告知”等三大原則，并要求公共場所人臉識別設備做到最大可能“退”、最小范圍“用”、最小范圍“存”，真正確保消費者“放心”、使用者“用心”。

華東政法大學高富平教授牽頭的評估組認為，專項行動以規(guī)范化的執(zhí)法流程、場景化的執(zhí)法主線、精細化的執(zhí)法理念、信息化的執(zhí)法支撐，抓住各場景下的關鍵痛點、難點，開展差異化、針對性、精細度的執(zhí)法活動，拓展了上海網(wǎng)信執(zhí)法實踐成果。

剛柔并濟，提升執(zhí)法效果

數(shù)據(jù)顯示，截至2024年11月，上海已推動全市600余家商超門店，6300余家酒店，70余家公共體育場館，1200余個游泳館、健身場所，2900余個公共廁所完成“強制性”、“濫用化”刷臉的自查整改。

針對市民普遍反映的自動售貨機違規(guī)“刷臉”問題，上海市網(wǎng)信辦督導申通地鐵對全市地鐵站內(nèi)的1400余臺無人售貨機完成排查整改，對其中存在問題的829臺無人售貨機暫停人臉支付功能，待整改完成后重新上線……

一連串數(shù)據(jù)的背后，是上海監(jiān)管執(zhí)法部門執(zhí)法方式的創(chuàng)新——從個案出發(fā)，治理一個領域、解決一類問題，不局限于案件辦理本身，用剛柔并濟取代純粹的剛性執(zhí)法。

澎湃新聞了解到，在關于如何推進整治的問題上，“亮劍浦江·2024”專項執(zhí)法行動明確提出，監(jiān)管執(zhí)法部門要會同行業(yè)主管部門、上海市消保委及有關行業(yè)協(xié)會，通過普法培訓、以案釋法、行政指導、自查整改、合規(guī)指引等多種方式，促進企業(yè)合規(guī)經(jīng)營。

“除了個案的檢查和執(zhí)法之外，我們更希望通過普法培訓、合規(guī)指導的方式幫助企業(yè)了解法律法規(guī)要求，劃清底線紅線，只有這樣才能平衡好企業(yè)發(fā)展與消費者權益間的關系�！鄙虾Ｊ芯W(wǎng)信辦執(zhí)法人員在接受澎湃新聞采訪時如此表示。

以無人售貨機企業(yè)的為例，上海市網(wǎng)信辦、上海市監(jiān)局通過摸排、調(diào)研和核查發(fā)現(xiàn)，該場景普遍存在“未經(jīng)同意收集人臉信息”“隱私政策未提示或不完整”“強制收集手機號碼”“誘導收集個人信息”“無法一鍵關閉廣告”“未提供刪除個人信息渠道”等6類共性問題。

2024年11月，上海市網(wǎng)信辦、上海市市場監(jiān)督管理局聯(lián)合申通地鐵，以及支付寶、微信支付兩家第三方支付企業(yè)舉行“自動售貨機個人信息保護普法培訓會”，以問題為導向，以案釋法，并同步提供《自動售貨機場景常見個人信息保護問題自查清單》供企業(yè)對照自查整改。

此次培訓吸引了在上海運營自動售貨機的37家頭部經(jīng)營和運維企業(yè)，在同一個“課堂”上幫助場地租賃方、設備經(jīng)營方、技術支撐方對齊了合規(guī)意識，形成了遵守《個人信息保護法》的共識，為一攬子解決全行業(yè)個人信息保護問題打下堅實基礎�！吧虾Ｊ芯W(wǎng)信辦和市市場監(jiān)管局，相當于給企業(yè)做了一個排雷系統(tǒng)，所以我們很感謝他們給我們提出了這些問題，幫助我們?nèi)フ�改，讓我們能更合�?guī)地運營�！币患覅⑴c此次培訓的自動售貨機運維企業(yè)告訴澎湃新聞。

此外，“亮劍浦江·2024”專項執(zhí)法行動還創(chuàng)新性地探索出“八步工作法”，通過“線索收集→現(xiàn)場檢查→合規(guī)培訓→自查整改→推標立規(guī)→回頭查驗→立案處罰→評估問效+媒體監(jiān)督”等工作模式，全鏈條推進相關問題整改。

華東政法大學師資博士后徐子淼參與今年對“亮劍浦江·2024”專項執(zhí)法行動的評估。她告訴澎湃新聞，專項行動通過普法培訓、發(fā)布人臉識別領域的案例解析等方式，提升企業(yè)合規(guī)意識，幫助企業(yè)理解法律要求，降低合規(guī)成本。同時通過集中排查、面對面約談和“回頭看”等方式，對典型企業(yè)和集中出現(xiàn)的問題提出針對性整改建議和監(jiān)督，確保落地見效。

“整體來看，兼顧到了不同層面，整個執(zhí)法流程合理高效�！彼�說。

值得一提的是，作為今年專項行動的成果之一，“亮劍浦江·2024”結合兩年來網(wǎng)信執(zhí)法實踐成果，首次面向社會、企業(yè)和消費者推出個人信息處理者應知手冊、企業(yè)個人信息保護合規(guī)自檢清單、上海個人信息保護場景規(guī)范指引、上海市民個人信息保護要點問答，可概述為個人信息保護工具包、體檢包、服務包、護身包，這四個惠企為民“大禮包”，通過釋法、指導、評估、保護四個層次，建立了立體化個人信息合規(guī)利用的集約化管理框架，進一步優(yōu)化企業(yè)合規(guī)效果。

多方聯(lián)動，凝聚共治合力

整治濫用人臉識別，除了發(fā)揮執(zhí)法監(jiān)管部門的引領作用外，“亮劍浦江·2024” 專項執(zhí)法行動特別注重協(xié)同共治。也正因如此，在問題調(diào)研和線索收集上，專項行動還發(fā)動了一支“編外力量”。

上海高校教師劉杰（化名）指導7名法學生自發(fā)組建“銀河信息警備隊”，成果之一就是發(fā)現(xiàn)，大學校園內(nèi)的45臺自動售賣機，有40臺存在過度索取個人信息情況，有的還存在誘導消費者使用微信或支付寶刷臉支付的情況。

這次調(diào)研起源于一次消費經(jīng)歷。因為趕“早八點”的課，來不及在家里吃飯的劉杰，第一次在學校的自動售賣機上買東西。而當他掃碼支付時，機器彈出了兩個選項，一個是綁定手機號碼，一個是不綁定，當他選擇不綁定后發(fā)現(xiàn)，頁面自動跳回前一頁。也就是說，如果不綁定手機號，就無法完成付款，無法購買。

到底多少臺自動售賣機在索取個人信息？自動售賣機一定要獲取手機號碼、微信號等隱私信息嗎？劉杰想搞清楚。

最終，劉杰和他的“銀河信息警備隊”通過調(diào)研得到了答案。他的故事經(jīng)媒體報道后，引起多方關注。依據(jù)他提供的線索，網(wǎng)信部門在深化研究調(diào)研基礎上，開展了深入拓展的集中整治。10月24日至28日，澎湃新聞走訪上海4所高校校園，發(fā)現(xiàn)大多數(shù)自動售貨機已不再誘導或強制性“刷臉”。

華東政法大學高富平教授牽頭的評估組認為，專項行動推動構建“政府監(jiān)管、企業(yè)履責、社會監(jiān)督、公眾參與”的個人信息保護綜合治理格局。其中，在政府層面，上海市網(wǎng)信辦和上海市市場監(jiān)管局牽頭，進一步推動市區(qū)兩級及相關部門協(xié)同合作，集中力量提高企業(yè)合規(guī)便利度；在企業(yè)層面，重點關注平臺型企業(yè)和數(shù)據(jù)處理第三方企業(yè)，注重發(fā)揮企業(yè)自查、自糾、自治、自律；在社會層面，以頭部企業(yè)為重點執(zhí)法對象，實現(xiàn)懲一企、震一行的執(zhí)法穿透力；在公眾層面，積極探索、完善投訴舉報及其反饋機制。

聚焦發(fā)展，引導科技向善

個人信息不僅涵蓋個人權益，也存在社會性價值。在對濫用人臉識別說不的同時，上海也明確，應加強研究，對新技術不能因噎廢食，要推動新技術向上向善。

在接受澎湃新聞專訪時，上海市消保委副秘書長唐健盛表示，對人臉識別技術的應用，上海秉持審慎態(tài)度，倡導非必要不使用。“數(shù)字經(jīng)濟時代，個人信息的運用能夠提升經(jīng)濟運行效率。在確保數(shù)據(jù)安全且能夠有效使用的前提下，秉持積極的態(tài)度。我們不能片面地追求安全而忽視效率，也不能只注重效率而不顧安全�！�

“個人信息包括人臉信息的安全風險，猶如定時炸彈一般。”浙江理工大學數(shù)據(jù)法治研究院副院長郭兵指出，人臉識別在身份信息驗證等方面為生活帶來諸多便利的同時，其潛在風險難以有效把控。“過度使用甚至濫用已成為該技術發(fā)展面臨的重大挑戰(zhàn)�！彼�認為，人臉識別核心是用戶需要樹立個人信息安全意識，遇到強制“刷臉”消費者要大膽質(zhì)疑，對濫用人臉識別要始終保持警惕。

郭兵強調(diào)，對濫用人臉識別技術說“不”，并非“一刀切”式的禁止刷臉。“企業(yè)應為用戶提供刷臉或其他替代方式的選擇。采用刷臉方式時，企業(yè)應運用足夠安全的技術手段防止人臉信息泄露，被違法使用、甚至被犯罪分子利用，此為其法定責任。監(jiān)管部門應重點監(jiān)管人臉識別技術應用的安全保障措施，維護公民個人信息合法權益、社會公共秩序與國家安全�！�

上海市網(wǎng)信辦執(zhí)法人員透露，“亮劍浦江·2024”專項執(zhí)法行動對公共場所強制、濫用人臉識別技術的專項整治目前已取得一定成效。下一步，上海市網(wǎng)信辦將更加注重對人臉識別新的應用場景的研究，以及對已經(jīng)開展整治場景的跟蹤，不斷引導人臉識別技術向上向善，促進技術服務社會。在切實保障好公民個人信息權益的同時，要用法治的營商環(huán)境護航企業(yè)健康發(fā)展。