上海整治人脸识别滥用,公共场所真的不随意刷脸了?

500

“刷脸”不强制 “算脸”请告知

作者/  IT时报记者 潘少颖   孙永会 

编辑/  郝俊慧  孙妍

“走进任意一个商场、超市,天花板上基本都是不同形状的摄像头,而且很少有明确‘采集人脸信息’的提示。”在上海一综合性商场内,戴着口罩的康女士这样向《IT时报》记者表示,摄像头太过泛滥,与其担心被“刷脸”,不如加强隐私保护意识,让摄像头“看脸”难。

刷脸参展、刷脸进楼、刷脸支付……“刷脸”嵌入社会生活的方方面面。但是,为什么一定要“刷脸”?今年4月,上海一健身房因办理会员卡必须同意商家采集人脸信息,甚至男女更衣室都设置带有人脸识别功能的储物柜而遭到投诉。

如今,上海对于滥用人脸识别的情况出手了。“亮剑浦江·2024”消费领域个人信息权益保护专项执法行动明确提出,公共场所“不刷脸为原则、刷脸为例外”“收集端总体减量、存储端确保安全”的治理目标,同时还强调遵循“为公共安全所必须”“有法律依据”“做到单独告知”等三大原则,涉及健身房、商场超市、无人售货机、旅游景区、住宅小区等各类消费场所。

截至目前,上海已有600余家商场、6300余家酒店、1200余个游泳馆和健身场所、2900余个公共厕所等场所完成了人脸识别设备的自查和整改。

500

记者走访

摄像头在做什么?

近日,《IT时报》记者走访了部分商场、自动售货机、便利店等,发现不少消费场景中,摄像头依然密集地出现在头顶上方,覆盖着消费者的日常活动空间。这些摄像头在干吗?

500

仅设有“图像采集区域”标识

地标:南翔印象城 爱琴海购物中心

12月10日,《IT时报》记者来到上海南翔印象城MEGA,踏入商城门口处,便有一张醒目的温馨提示“您已进入视频监控范围”,记者转悠一圈后发现,这一提示主要粘贴于进入商城前的位置。

500

2020年,有报道称,34万平方米的上海南翔印象城MEGA成为上海单体量最大的购物中心,有一颗智慧的“商业大脑”,在相关技术的支持下,顾客的所有行为都可以被数字化,比如顾客入场时,商场能够通过人脸识别顾客信息,并自动注册车辆信息,如果是VIP客户,可及时为客户提供相应服务,或推送相应优惠。

《IT时报》记者询问了多位南翔印象城的保安,他们表示,商场里存在能进行人脸识别功能的摄像头,“具体位置不清晰,识别了人脸后能做些什么,也并不知情”。

500

在南翔印象城中的一家甜品店,如果不仔细观察,很难发现嵌在墙壁上、形似路由器的设备,无论是形状还是安装位置都和一般摄像头不太一样。店员告诉《IT时报》记者,这个设备有人脸识别功能,能够知道某一消费者进出店里的次数,但具体能获得消费者的哪些信息,该店员表示并不知情。而在摄像设备旁边,并无任何提示。

500

同一天,《IT时报》记者来到了爱琴海购物中心,在商场外,每隔几米便会有“图像采集区域”的标识,监控摄像头亮着蓝灯,各个方位进行监控;商场内,除了各个店铺内,客梯处均安装了不止一个的球体摄像头。“这些摄像头可以加载很多功能,如人脸识别、火灾防控、客流计数等。”一名业内人士向《IT时报》记者表示。

据《IT时报》早前报道,在商场大门和车库电梯口安装人脸识别摄像头,顾客进入商场会被抓拍并编号,记录下性别、年龄等特征,如果下次再来,就会被甄别为老客户。

长寿路上的一家巴黎春天里,仅一楼大堂区域,就安装了十多个不同类型的摄像头,《IT时报》记者环顾一周后,并没有看到任何明显的“图像采集”“视频监控”等提示,对于这些摄像头的作用,保安表示:“就是监控商场的客流量和安全”。

500

刷脸支付功能暂停

地标:地铁站自动售货机

曾经,刷脸支付被视作一项颇具未来感的技术,但随着人们对个人生物信息的逐步重视,刷脸支付的安全性、隐私保护以及数据使用透明度等问题也日益成为公众关注的焦点。据了解,支持刷脸支付的机器基本上是通过关联消费者支付宝账号进行的,点击刷脸支付后,摄像头便会自动开启识别人脸。

“售货机上买瓶水也要‘刷脸’。”今年7月,上海多家媒体报道,地铁、校园、公园等公共场所的自动售货机存在过度采集个人信息、诱导使用“刷脸”支付的情况,这可能导致公民个人信息泄露。

500

近日,《IT时报》记者在通河新村站、长寿路站、汉中路站等地铁站测试了若干款不同品牌的自动售货机,发现几乎所有的自动售货机都已暂停了“刷脸支付”功能。

在汉中路地铁站,摆放着若干台UP售货机,和旁边另外一品牌的售货机相比,UP售货机的上方多了个摄像头。但是,在其支付方式里,并没有刷脸支付的选项,支持微信、支付宝或者现金。“摄像头的作用主要记录一些有争议的购物过程或者机器检修等,比如货品没有出来等,便于为用户提供售后服务。”UP售货机客服人员告诉《IT时报》记者,公司有带有刷脸支付功能的售货机,但目前在上海的地铁站不能使用。

500

针对部分地铁站内自动售货机存在违规“刷脸”问题,之前,上海市网信办督导申通地铁对全市地铁站内的1400余台无人售货机完成排查整改,对其中存在问题的829台无人售货机暂停刷脸支付功能,待整改完成后重新上线。

500

识别消费者行为动作

地标:无人便利店 

无人便利店并不稀奇,进入超市、挑选商品、到自助收银台扫描支付就能完成一次购物,而这一切都需要摄像头来帮忙。

陕西北路上的一家便利蜂店面不大,几十平方米,布局与普通便利店并无太大区别,也设置了收银台和收银员。环顾整个便利蜂,头顶上指向各个角度的摄像头非常多,有二十多个。在外部区域,《IT时报》记者并未看到关于监控的任何提示,而在内部区域的一个货架上,竖着一个“24小时监控区域”的标牌。

500

这家便利蜂工作人员告诉《IT时报》记者,店里一直是有店员的,但主要靠消费者自助结账,店员主要负责协助消费者,有时也会偶尔短暂离开。“摄像头主要监控店里的情况,识别消费者的行为,毕竟店员不会一直盯着消费者。”但至于会不会识别人脸,该店员表示并不知情。

之前,《IT时报》记者走访过龙耀路上一家罗森无人便利店,天花板上方的360度无死角摄像头,该摄像头并不用于监测人脸,而是识别消费者的动作姿态,类似多模态大模型中的视觉识别,只不过会以较为简单的火柴人结构展现在后台。即使在商品被遮挡的情况下,也能根据消费者走动、停留、拿取或放置商品的动作进行计算分析,识别出消费者有没有购物消费,多人同时进店也能被精准识别。

500

记者分析

让被滥用的技术回归正途

此次专项行动前,限制滥用人脸识别的风向已经出现。比如在酒店办理入住登记时,很多旅客都习惯了“刷脸”,但上海已经严禁对已出示本人有效身份证件的旅客进行“强制刷脸”核验,入住时只要出示订单和本人有效身份证件即可入住,无须刷脸核验的操作。上海目前对于公共场所使用人脸识别设备明确“为公共安全所必须”“有法律依据”“做到单独告知”三大原则,一定程度上规范了人脸采集设备随意设置的现状。

500

一问:

“公共场所”的定义是什么?

此次专项行动主要聚焦公共场所,如何理解“公共场所”?

京师律师事务所律师徐延轩告诉《IT时报》记者,目前对“公共场所”没有明确的定义,《刑法》对聚众扰乱公共场所秩序罪,对公共场所做了一些列举。“比如车站、码头、民用航空站、商场、公园、影剧院、展览会、运动场等,但公共场所并不仅仅包括这些。”在徐延轩看来,可以将公众场所归纳为公开开放的、可供非特定人员进出的活动场所,“如果是一个开放的办公产业园可以属于公众场所,如果是某个单位私人办公区域可能就不能认定为公共场所”。

公共场所是个相对复杂的概念,涉及的场景较多,对于日常生活中比较常见的安装摄像头的场景,2023年国家网信办发布的《人脸识别技术应用安全管理规定(试行)(征求意见稿)》可以作为指导文件之一。

赛博研究院高级研究员施东奇告诉《IT时报》记者,像在商场公共区域内,出于维护公共安全的目的可以安装摄像头,但需要设置显著提示标识,并且对摄像头安装、使用、运营维护的单位需要履行保密义务,并且确保所采集的人脸信息只能用于维护公共安全的目的,不得用于营销分析或者其他目的。而对于街边门店,出于维护区域内安全的目的而安装摄像头也应当设置明显的提示标识,并且需要控制信息采集区域范围,应当避免采集到路人的人脸信息。

500

二问:

贴了告示就可以采集人脸吗?

《IT时报》记者在采访中发现,大多数公共场所装有摄像头是不争的事实,但这些摄像头都是必需的吗?

何为必需?“只要能用其他的方案或者方式能够替代人脸识别,那就应该用其他的方式,比如像商场的客流统计、小区的刷脸门禁等,都可以用其他方式替代。”在徐延轩看来,仅仅告知还不够,还要获取用户的同意。

上海交通大学数据法律研究中心执行主任何渊表示,按照《个人信息保护法》,人脸识别技术首先要解决合法问题,要么经过个人同意,要么履行法定义务,必须在《个人信息保护法》第13条找到合法性依据,“目前主要有两个依据,一个是告知同意,要公民的同意,另外一个基于公共安全,比如到高铁站去乘高铁,这个场景下进行人脸识别是不需要个人同意的,因为这是铁路部门基于公共安全履行的法定义务”。

上海此次提出“不刷脸为原则、刷脸为例外”,主要为了解决当前消费场景下强制性、被动式、随意化应用“刷脸”手段,保护消费者的个人信息权益。“不刷脸为原则”并不意味着完全不能使用刷脸验证的技术手段,而是要求在有可替代方案的前提下,不得强制、诱导用户“刷脸”。

500

三问:

撤销后个人信息应如何处理?

人脸信息被商家过度采集与不当利用,一度成为公众关注的焦点和隐忧。

在缺乏有效监管的环境下,不少商家出于营销目的,擅自在店铺、商场甚至公共区域安装人脸识别设备,未经消费者同意就收集其面部特征信息,用于个性化推荐、客户画像构建、会员识别乃至行为追踪等。

500

当重拳出击,滥用人脸识别被叫停,之前已经被采集的人脸信息应该如何处理?施东奇表示,按照相关国家标准要求,停止提供人脸识别服务的,应当在15个工作日内删除人脸识别数据并确保不可恢复。因此,这些场所撤销人脸识别设备后,应当要求运营维护方及时删除所存有的人脸数据。

排版/ 季嘉颖

图片/ IT时报  东方IC

来源/《IT时报》公众号vittimes

E N D

站务

全部专栏