315晚会上,央视曝光科勒卫浴、宝马、MaxMara等许多门店中安装具有人脸识别功能的摄像头,抓取人脸数据,在后台生成人脸ID。记录信息包括性别、年龄、肤色,甚至顾客当时的心情都能识别。一旦顾客进门店,人脸就会被捕捉记录,商家就知道如何接待这个顾客,如何针对这个顾客去做报价。
苏州“万店掌”工作人员介绍人脸识别运用的具体功能如下:
1)只要进店,就能够获取顾客信息,它在不知情的情况下被动抓取,每一个后面会生成一个ID。不到两分钟,记者被摄像头的人脸识别功能抓拍了三次,角度不同,但是人脸编号是相同的。
2)去过不同门店,人脸信息均被抓取,而且人脸信息编号是相同的。
3)系统还能分析出顾客的性别、年龄,甚至此时此刻的心情。
4)在万店掌公司,可以查看所有安装系统内的人脸信息。
5)商家还可手动为被抓拍的顾客添加各种信息,甚至还可以把某些特殊人员加入黑名单。
这些摄像头有多准?连戴口罩的情况下,准确率都能达到80%-85%。而且,抓拍的频次也很高,央视记者的测试发现,不到2分钟,进店的记者就被抓拍3次。而这一切,都是在顾客不知情的情况下进行的。
背后的人脸识别专利公开!
3.15晚会曝光的悠络客隶属于上海悠络客电子科技股份有限公司,该公司成立于2009年。
2020年1月11日,该公司申请了“基于弱监督的人脸年龄自动估计方法”发明专利。
2020年12月7日,该公司申请了“一种基于人脸人形的精准客流统计系统、方法、及其装置”发明专利,该专利通过分析人形的轨迹及其人体姿态,判断人员的是否进店,是否过店;对于进店的人形进行抓拍;通过店员的人体重识别;去除店门口进过抓拍的人脸。
2020年12月8日,该公司申请了“一种人脸和口罩识别的方法”发明专利,本发明对戴口罩时人脸的不同姿态做了细分类,提升了判断准确率,与不做细分类的判断比较,96%提升到了99%。本发明提供一种自动从正常的人脸生成戴口罩人脸的算法,大大节省了额外收集戴口罩数据并标注的精力和资源。训练好的MTCNN对戴口罩的人脸同样有98%的检出率。
国内相关法律规定
1、《网络安全法》“第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。”
2、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事法律若问题的解释》,“五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”。
从该解释“其他信息结合识别特定自然人身份”这句话不难理解,只要信息单独使用或结合使用只要能识别自然人身份就属于个人信息。公民个人信息不仅仅包括姓名,性别,出生日期等与个人身份直接联系的信息,也包括其他可以识别自然人身份的间接信息。人脸数据因包含人体特征具有识别性,因此属于个人信息。
《民法典》第一千零三十四条规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。在2021年1月1日施行的民法典中也强化了对公民隐私权和个人信息的保护,首次在法典的中提到“生物识别信息”。
4、2021年1月《天津市社会信用条例》表决通过,其中,《条例》第十六条规定,市场信用信息提供单位采集自然人信息的,应当经本人同意并约定用途,法律、行政法规另有规定的除外。市场信用信息提供单位不得采集自然人的宗教信仰、血型、疾病和病史、生物识别信息以及法律、行政法规规定禁止采集的其他个人信息。《条例》中明确提到了生物识别信息。
5、《信息安全技术个人信息安全规范》对个人信息的解释为“个人信息 personal information以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。(注1:个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系)
特别强调个人生物识别信息属于个人信息。而生物识别信息不仅属于个人信息还属于个人敏感信息,个人敏感信息(personal sensitive information),一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
这一规定是与2016年通过的《欧盟通用数据保护条例》相一致的,对于欧盟数据保护法而言,关于某个可被识别的任何信息都是该主体的个人数据,“某一数据成为个人数据,不要求通过一项数据就可以识别主体,只要这样数据与某个可识别的自然人以某种意义的方式存在关联,就可以了。”
违法后果
1、民事赔偿责任
违反《民法典》有关规定侵犯公民个人信息的。依据《民法典》一百七十八条行为人承担停止侵权,赔偿损失,消除影响等责任。
2、行政处罚
《网络安全法》第六十四条:网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
3、构成犯罪的追究刑事责任
窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息可能涉嫌侵犯公民个人信息罪。《刑法修正案(九)》 违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
对人脸识别技术,我们既要充满信心,用开放、包容的态度来看待其中不尽完善的地方,也要保持理性,在追求技术发展的过程中,平衡对法律的尊重和对个人信息的保护。