光明时评：人脸识别只能识别人脸

　　近日“人脸识别一定要穿上衣服”的话题引发热议。事件的起因是一名博主称，大家在使用App人脸识别功能时一定要穿衣服，因为“摄像头不仅仅只采集被识别者人脸的一部分”。这一说法被行业专家证实。

　　在人们看来，人脸识别当然是识别人脸。图像上显示的是人脸，但后台能够看见更多画面，的确有“说话不算数”之嫌。进一步说来，如此人脸识别的App在法律上也有越权或者侵权的意味。

　　人脸识别的应用需要公民肖像做支撑，因此，肖像权是最为可能受到侵害的权利。人脸识别只能采集公民主动提供人脸的图像信息，一旦采集范围扩大，将人脸周围的图像信息，将公民所处的环境、正在从事的行为等信息进行采集，将侵犯公民不愿暴露的隐私。此外，如果图像采集者对此信息不当使用，造成了公民社会评价降低，同样可能侵害公民的名誉权。

　　如此进行人脸识别，不仅侵犯公民的人格权利，更是直接侵犯公民对自身个人信息的知情权。公民在使用APP的人脸识别功能时，同意了将作为个人生物识别信息的面部信息提供给信息处理者。与此同时，公民也应当对于其所提供的信息享有知情权，其应当知晓信息使用的目的、所提供的信息范围等。

　　此次话题之所以引发热议，就是大多数App用户在使用人脸识别功能时，仅以为提供了面部信息，这也是基于“人脸识别”这个概念的基本认知，可以说是常识性。但人脸识别行业内认知却截然相反，认为“摄像头拍到全入镜是常识。”还声称“用户应具风险意识”，这是难以令人接受的。

　　2019年，国务院四部门联合发布了《App违法违规收集使用个人信息行为认定方法》，其中第三条明确列明了被认定为“未经用户同意收集使用个人信息”的情形。其中“实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围”就是典型的违规行为。而人脸识别超范围采集公民的图像信息，显然超出了公民所能认识到提供的信息范围，更不可能符合“自愿同意”原则。

　　而对于这样违规收集个人信息的网络运营者、网络产品或者服务提供者，根据《网络安全法》的规定，被主管部门责任改正是前提，根据情节的严重与否，有可能被处以警告、没收违法所得、停业整顿、吊销营业执照等处罚。

　　此外，如果侵犯公民个人信息的行为社会危害性较大的话，不排除触犯《刑法》构成犯罪的可能。我国刑法第二百五十三条之一规定了侵犯公民个人信息罪，即“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”“窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。”该罪覆盖的主体范围就包括各种APP、网络平台等相关信息收集、处理者。

　　事实上，在此事件曝光后，人们更加担忧在大数据、人工智能时代的信息权益风险。这样的风险显然不能仅依靠用户的风险意识来解决，而是应该依靠信息处理者的行业规范、职业道德，个人信息脱敏、加密、隐名化等技术加持，以及公权部门、社会等多维度监管才行。

　　不久前，欧盟数据保护委员会（EDPB）和欧盟数据保护监督局（EDPS）针对欧盟今年4月发布的人工智能法规草案发表联合意见，进一步呼吁在公共场所禁止使用人工智能自动识别包括人脸识别在内的个人生物特征。随着对个人生物信息保护的认识不断提高，人脸识别等生物信息识别技术必须加强规范与安全规制。信息处理者必须尊重每一个用户，敬畏法律和权利，谨慎使用手中的技术权力，这才是相关企业规避信息风险，维护用户利益，促进企业长远发展需要树立的基础理念。