line icon

法学教授的一次维权:人脸识别的风险超出你所想

1603293010& 作者:

成为“透明人”的想法,让劳东燕感到很不安。

今年三月份,她居住的小区贴出安装人脸识别门禁系统的公告,要求业主提供房产证、身份证、人脸识别等信息。

多数人对收集人脸识别信息不敏感,只是隐隐担忧房产信息被泄露。而劳东燕是清华大学法学院的教授,她清楚,人脸识别信息被滥用的风险比房产信息大得多,物业更是无权收集这些个人信息。

劳东燕想做一点“挣扎”。她把搜集到的有关人脸识别风险的报道和法律依据,发到两个各有数百名业主的微信群里,一方面是提醒大家,另一方面也是希望得到物业回应。

但没有得到预期的回应。劳东燕接着写了一封法律函,分别寄给居委会和物业,于是有了她作为业主,和街道、业委会与物业的四方“谈判”。

街道最终同意业主出入小区,可以自愿选择门禁卡、手机或人脸识别的方式。

一次“偶然的维权”暂告段落,但劳东燕对大数据时代的忧虑并没有消解。很多人也许只看到技术带来的便利,却忽略了它暗藏的獠牙。

这是劳东燕要发声的原因。

【以下是她的口述】

对小区安装人脸识别说“不”

今年三月份,我在小区单元楼电梯里看到安装人脸识别门禁系统的公告,要求业主提供房产证、身份证、人脸识别等信息。

我当时就觉得物业没有权利收集人脸信息,物业公司属于企业性质,收集个人敏感信息需要征求当事人同意。就算公权力部门收集个人敏感信息,也需要有相应的法律依据或明确的法律授权。

因为我学法学,又从事相关研究,所以觉得有必要提醒其他业主,人脸识别技术的运用可能带来的风险。

我在小区两个业主群中发了人脸识别风险性相关的报道和法律依据,包括福建省厦门市银行APP人脸识别技术被“00后”攻破、及浙江省衢州市张某等人侵犯公民个人信息罪的刑事判决书、新版《信息安全技术 个人信息安全规范》等材料。《个人信息安全规范》规定,收集人脸信息需要单独告知并获得个人信息主体的授权同意,且不得存储原始图像。劳东燕在小区业主群内分享关于人脸识别风险性相关报道和法律依据。

劳东燕在小区业主群内分享关于人脸识别风险性相关报道和法律依据。

两个业主群分别有200多人和500人,物业公司、居委会的人也都在群里。有业主看了我上传的材料,便没有再扫码上传个人信息——在此之前,不少业主对被要求上传人脸识别信息不敏感,只是反感上传房产证信息。实际上,前者被滥用带来的风险比后者要大得多。

我只是想给大家提供一些相关的信息,很多居民可能并不清楚,物业无权通过一个通知,来收集居民的个人生物信息。我在群里发材料,并做相应的风险提示,本来也是希望物业和居委会人员看到消息后,能有所回应。由于他们没有做出任何反应,于是,就想着通过比较正式的途径,让他们关注其中的法律问题。

我写了一份法律函,打印签字后分别邮寄到居委会和物业公司。我想至少要提醒他们,不经同意而收集个人的生物信息是有风险的,违反现行的法律规定。不过我没有去找其他业主签字,觉得没必要,而且也不想给他们带来麻烦。

不到一周,我接到居委会工作人员的电话,邀请我到小区的物业办公室面谈。物业公司经理,业委会主任,街道办主任三方都在,业委会主任和街道办主任对安装人脸识别门禁系统态度比较积极,认为安装后会给居民出行带来便捷,也有利于小区的治安管理。

街道办主任打比方说,在疫情严重之际,如果你的邻居是从武汉回来的,人脸识别门禁系统可以迅速识别,并将邻居挡在社区之外。我的回答是,即便邻居从武汉回来,也有权进入自己所住的小区,而且我也不想知道这么多关于邻居的信息。

可能很多人觉得多数人或者自身的安全才是最重要的,为此剥夺他人的正当权利也没关系,但我不这么看。我们每个人,即便这一次有幸是多数中的组成部分,下一次也随时可能位列少数人的阵营。己所不欲,勿施于人,是很简单的做人道理。

这次安装人脸识别门禁系统是街道出钱,物业公司经理则一直沉默,不管说到装还是不装,他都没有表态。

我最担心的是被收集的数据由谁保管,数据的安全问题。街道办主任说,数据使用局域网存储,也可以保存在政府部门的数据库中。问题是,即便他和我说了在哪里保管、如何保管,之后具体的实情如何,其实我们都是不清楚,无从了解的。

假如是小区内部来保管数据,物业人员或其他工作人员是否会滥用数据,以此牟取非法收益,我们不得而知。由于人脸数据不被允许商业化地使用,对企业来讲,就很难有动力在数据保护方面投入成本。而不在安保方面持续投入成本,人脸数据的安全就会很成问题。

最令他们担心的,主要是自己可能会面临法律责任方面的风险。刑法中的侵犯公民个人信息罪包括两种行为方式,一是违反国家有关规定,向他人出售或者提供公民个人信息的行为;二是窃取或者以其他方法非法获取公民个人信息的行为。物业与居委会没有提示风险,在未征得业主同意的情况下收集居民的人脸识别数据,属于非法获取,这样的行为可能甚至会面临刑事责任的追究。定于2020年10月1日实施的《信息安全技术 个人信息安全规范》新增收集个人信息时的授权同意。

定于2020年10月1日实施的《信息安全技术 个人信息安全规范》新增收集个人信息时的授权同意。

最后,街道同意安装新的门禁系统时,业主进出小区,可以在门禁卡、刷手机、人脸识别三种方式中自愿选择。今年5月份,小区电梯内贴出了门禁系统更新维护的通知,没有再提及人脸识别。小区各单元都还未安装新的门禁系统,但大门口已经安装相应的设备,只是一直没有启动使用。

成为“透明人”的想法,让我不安

2019年10月,我开始关注人脸识别应用的风险性。

当年10月,轨道交通部门发出通知,某市地铁将应用人脸识别技术,对乘客实施分类安检,以提高安检效率。我当时就在个人公众号上写了篇题为《人脸识别技术运用中的法律隐忧》的文章,觉得在当下的社会中,普通的个体似乎越来越不被信任,被安保系统无上限的提防,被随意地收集个人生物数据。成为“透明人”的想法,让我觉得非常不安。

人脸识别的侵入性强,并且具有非接触性。像指纹、身份证信息,我们也经常在其他地方录入,但仅根据指纹无法快速地追踪到个人,人脸识别却可以。如果每天需要数百次地录入指纹,我们肯定会反感,但人脸信息可能在我们根本不知情的情况下,每天被捕捉、识别达数百次。

如果别人用你的人脸数据,开通相关账户用于违法犯罪,比如洗钱、涉黑、恐怖主义,你可能会因此而卷入刑事诉讼之中。像利用换脸技术,将你的人脸信息用于淫秽色情等视频中,由此造成的恶劣影响,根本不是抓到相关的违法犯罪分子就可以消除的。

我们每个人都是公众中的一部分。我们的人身或财产权利受到侵害,本身就意味着公共安全受到了威胁。所以,不能简单将人脸识别技术所涉及的法律问题,归结为个人隐私保护与公共安全之间的紧张。

生活里,我谈不上是一个很有抗争精神的人。只是,随着加诸身上的约束越来越多,觉得不堪承受,偶然还是想要挣扎一下,虽然经常改变不了什么。

疫情期间,到哪里都需要出示健康码,而健康码本身就需要人脸识别。开始我一直没下载,为了不下载,我一直回避去超市、地铁这样的场合。但到6月下旬,我不得不下载健康码。因为家人在此前曾去过中高风险地区,学校要求我去医院做核酸检测,而进出医院必须出示健康码。

但内心里,我佩服做出抗争的人,因为知道不容易。浙江理工大学的郭兵老师起诉杭州野生动物园的事件,我一直有所关注,与郭兵老师个人也有联系。在办理动物园的年卡之后,动物园在未征得他同意的情况下改变了游客的入园方式,要求必须人脸识别才能进入。这是目前我国人脸识别第一案,郭老师为此投入时间、精力等很多成本。

据我了解,这个案件郭老师不接受调解。我也赞成不走调解的途径,不然,提起诉讼的法律意义就不大。郭兵老师的案件目前还处于一审阶段,不管法院怎么判决,这都将是一个标志性案件。

人脸识别技术大规模地推广,一定程度上是利用了沉默的大多数的心理。实际上,很时候,你不抗争一下,努力一下,怎么就料定没有改变的希望?

北大法学院的一位教授,他也写过关于人脸识别的文章,有小区的业主拿着他的文章给物业公司看,随后物业搁置了人脸识别系统的安装。我有一位同门师兄,也是刑法专业的老师,在大学园区提出安装人脸识别系统时,他追问是哪个部门要求收集,能否拿出相应的法律依据?后来,安装的事情就不了了之了。

约束“膨胀的系统”

我们中的很多人,都不愿意生活里的一举一动,被盯着,记录着,被分析每天的行踪轨迹,在微信里聊什么、看什么,平时网购什么等。但按眼下的趋势发展下去,估计我们每个人很快会成为透明人。

在一定程度上,科技经济本身就是一个系统,而任何系统都有自我膨胀的本能。科技经济系统自我膨胀后,想要控制更多的超出合理范围的东西,比如可识别的个人信息,这就需要法律来进行约束。对于生物识别信息的存储,《信息安全技术 个人信息安全规范》提出了新要求。

对于生物识别信息的存储,《信息安全技术 个人信息安全规范》提出了新要求。

在当下的社会中,法律可能需要扮演新的角色。我们原来一直认为,法律主要是用来控制社会的,但对于一个复杂的,处于不确定状态中的社会系统来说,法律显然没有能力去施加有效控制,而只能选择去适应。法律应当约束科技经济系统的自我膨胀,使之置于社会可接受的程度。

目前法律对个人信息的保护远远不足,现在主要是以个人同意为基础,但我们很多人在表达同意的时候,其实根本没有获得充分有效的信息告知,并不知道其中蕴含的重大风险,或者是不得不做出同意,因没有其他的选项。

以个人同意为基础的法律保护机制,实质是让个人信息被不当运用所产生的风险主要由数据主体来承担。在未来,相信法律会将保护数据安全的主要责任放在数据控制者与处理者的身上,毕竟相应的风险是由数据控制者与处理者的收集、保管、使用等行为所制造,而主要的利益也由其所享有。

我觉得,法律需要加强对滥用个人信息行为的规范,眼下关注的重心主要是数据的收集环节,比如侵犯公民个人信息罪,就主要是对非法收集和非法买卖进行处罚,而个人信息被滥用的问题,在未来会越来越突出。

今年我写了两篇文章,主题分别是个人数据的刑法保护与疫情防控下的个人信息保护,我所指导的博士生中也有几位在做相关的研究。我希望能够通过学术上的努力,来推动个人信息保护方面的进步与改善。

我想,郭兵老师的努力与我所做的努力是一脉相承的。人脸识别技术的普及运用涉及每个人的切身利益,如果没有人站出来使之成为公共议题,大家可能就不知道其中所存在的诸多危险。

在涉及公众切身利益的问题上,每个人都需要努力地积极发声,只有这样,你的利益才可能在决策过程中被考虑到。(本文来自澎湃新闻,更多原创资讯请下载“澎湃新闻”APP)