随着科技的不断进步,人脸识别技术的应用愈发广泛,包括幼儿园与中小学校园等未成年人所在的场景。当未成年人与人脸识别“相遇”,引发更多争议。
近来,一起发生在广东梅州市梅江区联合中学的“智能人脸识别”应用争议事件引起广泛关注。该事件涉及学校是否应强制或鼓励学生使用人脸识别服务,以及向学生家长收取服务费是否合理等问题,引发众多不同观点。
从中也反映出,在学校等关乎未成年人的数字服务场景下,人脸识别应用和数据的治理正面临着更大的挑战。
从梅江区联合中学发放的《致家长的一封信》可以看出,学校安装“智能人脸识别系统”的目的主要是加强学生考勤管理,记录出入校门和宿舍的情况。此外,该系统还能提供“家校通”功能,包括学校通知消息、请假申请、老师审批、门禁通行以及到离校通知等服务。然而,该服务要求每位学生每年支付100元的费用,对于因个人原因转学或退学的学生,已支付的费用不予退还。
一位学生家长陈先生因此提出疑问,认为学校收取这项费用并不合理。随后,当地教育局就此事进行了调查和解释,明确学校安装人脸识别系统的初衷是增强校园安全管理,家长可自愿选择购买“智慧校园”平台所提供的短信通知等服务,但不购买服务也不会影响学生进出校园和宿舍。同时,教育局责令学校全额退费并进行整顿。
校园里大规模搜集未成年人生物信息,须采用更严格监管标准
梅江区联合中学关于收费的争议已解决,但我们不能因为解决了与人脸识别收费有关的争议,就简单地认为校园中使用的人脸识别技术和配套服务已合法合规。事实上,学校属于涉及未成年人群体的特殊场所,在使用人脸识别系统时,除了避免强制收费等不当做法,还必须对收集、储存和管理具有唯一性的未成年人生物信息数据采取更加严格的监管标准和管理措施。
人脸识别信息不仅仅是对自然人生物特征的识别,还能进一步将生物识别信息与个人身份、金融、行为、位置、偏好等信息关联,使其具备个人身份和财产属性。这导致了全球范围内个人生物识别信息数据不断遭遇盗用或过度滥用的问题。更令人担忧的是,由于人脸数据的唯一性和不可更改性,一旦泄露,后果将贯穿终身。与此同时,数字生态的复杂性和未成年人相对脆弱的生理和心理特点又使得处理涉及他们的生物信息数据变得更具挑战。
因此,在处理未成年人生物信息时,需要与成年人的数据有所区别,采用更加严格的保护标准,并更深入贯彻数据最小化、知情同意、必要性和正当性等基本原则。在涉及到大规模搜集学生个体生物特征信息时,学校和教育主管部门更要谨慎考虑如何维护未成年人的隐私安全,设定合理的数据采集权限和边界。
具体到学校应用人脸识别系统的案例,一方面,学校加强校园安全管理,不是一定要采集学生的生物特征数据,即“非必要”。另一方面,由于学校与学生之间存在明显的不平等地位,即使学校已经获得学生及其监护人对采用面部识别系统的同意,也未必就真正反映了数据被收集者的真实意愿。
此外,学校和人脸识别系统供应商未曾清楚说明大量涉及未成年人的生物识别数据将如何存储和共享。这种近似于“黑箱”的数据管理状态,会给学生们的生物数据带来一定安全风险。
弥合法规与实际执行间的鸿沟,亟须切实的操作指南
当前,中国的法律体系和监管框架已初步确立对未成年人人脸识别数据的保护原则,但在具体实施上存在一定空白,可能影响现实中数据保护行动的开展。
现行法律法规,包括《民法典》《个人信息保护法》《消费者权益保护法》,以及国家网信办发布的《人脸识别技术应用安全管理规定(试行)》(征求意见稿)都已明确,基于人脸信息的验证、辨识等皆属于对公民个人生物信息的处理。在经营场所和公共场所处理人脸信息应建立在“告知+同意”的基础上,无论是成年人还是未成年人。
在“刷脸入校园”等具体情境下,对未成年人面部生物数据的大规模采集应如何监管,目前尚缺少专门规定。法律界对于学校是应被视为内部管理场所还是公共场所,也还存在一定的分歧和争议。
与此同时,虽然相关法规已写明“个人信息处理者收集不满十四周岁未成年人个人信息应当取得监护人同意”,却还缺乏细化的操作指南,尤其对于监护人如何表示“监护同意”的问题。
此种情况下,人脸识别服务提供商更容易倾向采用简单或格式化的告知协议,而未成年用户及其监护人往往会无暇细看条款,就匆忙点击同意。这种同意很可能是基于其对采集人脸等敏感生物信息潜在风险的认知不足,草率地承担下生物信息和隐私泄露的大部分风险和后果,这显然不合理。
进一步设想,如果学校在启用人脸识别系统之前,就有细化且可操作的行动指南供其参照,使校方能够明白应当采取哪些合适的方式来充分告知和征求学生与监护人的意见,并设置合理的校内使用规范和管理标准,或能在相当程度上避免一些争议,保障校园数字化的依法合规开展。
应当看到,学校与学生的关系不同于商业公司与消费者之间的关系。治理和监管未成年人生物信息的大规模采集需要适用更严格的标准,而非仅仅依赖于“知情同意”。
相关主管部门需要进一步明确获得监护人同意的具体方式方法,并对生物数据的存储、处理、共享和销毁等设置更为缜密的规定。同时,还应制定既详细又可行的操作指南,以确保学校和供应商有规可循、依规行事,妥善保护未成年人的隐私与数据安全。唯有如此,校园中的人脸识别技术才能更好地为教育和安全服务,而不是成为潜在风险的源头。