与“人脸识别”较劲的教授:谁是最大受益者,谁就对风险负责
2020年3月,她居住的小区贴出安装人脸识别门禁系统的公告,要求业主提供房产证、身份证、人脸识别等信息。她是清华大学法学教授,深知人脸识别信息被滥用的风险很高,物业更是无权收集这些个人信息。
她决定较个真:先是把搜集到的有关人脸识别风险的报道和法律依据,发到两个各有数百名业主的微信群里;接着写了一封法律函,分别寄给了居委会和物业;于是有了她作为业主,和街道、业委会与物业的四方“谈判”。
最终,街道同意业主出入小区,可以自愿选择门禁卡、手机或人脸识别的方式。但目前,人脸识别系统没有启用。
劳东燕在小区业主群内分享关于人脸识别风险性相关报道和法律依据。受访者供图
当年9月,劳东燕在一次学术会议上分享了自己的维权经历,引发舆论关注。这让她深刻感到,学者不可只埋首于象牙塔中,法律理论和生活现实要发生紧密互动。现在,她指导的博士生,有三位打算将数据保护作为未来研究方向。
大数据是这个时代的浪潮,但浪潮也有吞没人的一面。劳东燕在很多场合提到人脸识别的各种风险,她说这不是学者的臆想。就像俄罗斯转盘,子弹肯定会发射,只不过你不知道将会射中谁。
她担忧,眼下的《个人信息保护法》草案,尽管列举了个人的多项权利,但缺乏相应的救济条款,成为书面的“虚”的权利。
“谁是风险的制造者,谁就该对相应的风险负责;谁在当中获得最大的利益,谁就该主要对风险负责”。在劳东燕看来,该对个人信息保护负责的应当是数据收集者和使用者。
【以下是与劳东燕的对话】
澎湃新闻:经过您的维权之后,目前小区的人脸识别系统有一些进展和改观吗?
劳东燕:其实具体的情况我也不太清楚,因为我们这个小区的大门口,人脸识别的机器已经装上了,但是就一直没有使用。单元门禁的话,因为我们原来单元门禁是旧的,一直坏了,所以需要重新装一个,物业前段时间刚刚通知说要装,但也不知道装的是什么,我注意到我们附近的几个单元楼都还没有装上。
澎湃新闻:您较这个“真”,其实很多人在生活遇到类似的情况,可能只是吐槽一下,并不会去进行维权,找到相关的部门、社区。当时之所以会选择这么做的原因是什么呢?
劳东燕:关于人脸识别的问题,我在2019年下半年就开始关注,知道人脸识别在安全性方面实际上是有比较大的问题。所以我们小区装了的话,我就对这个问题比较关注。再加上,我自己是学法律的,写一个法律意见书对我来讲也不是很难,所以当时基于这样一个偶然,就决定稍微较一下“真”。
澎湃新闻:对于大多数普通人来说,可能写一个法律意见书或者找到相关部门进行维权,是一件相对有一些难度的事情,那您对大家在维权的时候有什么建议?
劳东燕:对于个人来讲,我觉得涉及到自己切身权益的时候,发出自己的声音是非常重要的。发声不一定管用,但是不发声,就一定会没有任何改变。包括评论、点赞,以各种方式,都有它的积极意义。(只有这样)这个社会上才会形成一种合力,这种合力才可能够引起相关部门的重视。
澎湃新闻:这件事情对您自己生活、观念、包括自己未来对一些事情的处理,会有什么影响吗?
劳东燕:对我自己个人生活有什么影响呢?其实我的确还没有意识到。但是对我的观念,或者未来的规划,我觉得是会有相应的影响。作为学者,我觉得可能不能完全埋首在象牙塔中,做纯粹的学术研究。尤其我是做部门法研究的,法律本身跟现实生活非常紧密的结合在一起。跟法律相关的这种社会问题,作为学者,是有必要做一些关注的。
未来规划方面,我指导的博士生当中,至少已经有三个,包括博后,都会以个人数据保护方面,作为自己未来研究方面的规划。
2019年,中国药科大学部分试点教室安装了人脸识别摄像头,用于日常考勤和课堂纪律管理,试图杜绝逃课和“替同学签到”的现象,但此举也引发争议。 IC 图
澎湃新闻:今年1月1号开始,民法典正式实施。民法典当中对个人信息保护做出了一些规定,您觉得目前我国的法律体系,足以保护个人生物信息上的一个权利吗?
劳东燕:我觉得这个要分成两个方面(来说)。一个方面,个人数据或者个人信息保护方面的问题,的确是网络时代新出现的问题。而我们整个法律体系,显然对这个问题还没有做好积极的准备。不仅是在中国,在其他国家也是如此。现在整个法律体系的走向,对于个人生物信息的保护,显然有一些积极的苗头,我觉得是值得肯定的。
另一方面,现有的法律体系还处在摸索的过程当中,比如说怎么样保护个人信息,产业界的发展,经济的发展,包括与网络经济发展的这种潮流怎么平衡,的确是一个值得认真斟酌的问题。
这种情形之下,我们现有的法律,显然对于怎么平衡多个方面的得失,没有一个非常清晰的,明确的框架。在立法层面,还在摸索过程当中。在司法层面,执法层面,现有的法律规定到底怎么落实,怎么贯彻。实际上很多法律规定可能也还浮在面上,因为没有相应的细则、规定出台。
所以眼下法律体系的发展走向,我觉得是积极的。但同时要看到,在整体框架方面,尤其是在具体执行方面,还是存在缺陷或者不足。
澎湃新闻:那您觉得针对目前我们法律体系当中存在的这些缺陷和不足,应该通过哪些途径来加以完善和发展?
劳东燕:我觉得从之前的《个人信息保护法》草案来看,对于个人在信息保护方面的权利,实际上规定的是比较多的。对个人在信息保护方面的权利做相应的规定列举,我觉得它有积极意义。
但同时,我也注意到,现在这个权利只是规定在法条当中,但是如果权利受到侵害,怎么进行救济呢?现在救济条款是比较欠缺的,学法律的人都会知道,无救济则无权利。如果没有相应的救济条款,实际上权利是虚的,或者是书面上的。比如说我们现在法律当中,包括民法典、其他的行政法当中,已经规定了获取个人信息必须征求同意。现在问题在于,如果你不征得用户的同意收集了个人信息,或者你告知的相关内容或者风险根本没有达到规定的程度,那怎么办呢?个人有什么权利维权呢?
另一方面,我们可能不能把个人信息保护主要的责任或者义务放在个人身上。也就是说,需要征求个人同意,一旦同意之后,人家就可以用了。在网络时代,跟在前网络时代,这种法律责任的重心其实应该是不一样的。我个人认为,至少目前发展的这种趋势,关于个人信息保护方面主要的责任应该放在数据收集者、使用者身上。风险由谁来制造,谁原则上就应该对这个风险以及风险造成的结果来负责。这也是在法律责任当中,把风险应该分配给哪一方,主要考虑的因素之一。
第二个因素是在整个事情当中,到底谁获得了最大的利益。用户获得了一定的便捷,但这种便捷跟企业所获得的商业性的利益,或者跟政府部门所获得的监管性的利益相比,实际上是很少一部分。谁在整个事情当中获得最大的利益,谁就应该主要对这个风险来负责。
第三个因素涉及到谁有能力预防相应的风险的出现。传统的法律体系当中,都把主要的风险分配到个人身上,让个人要保住自己的信息,你不要轻易同意。但你会发现,很多时候在网络时代,其实根本就不现实。
所以我判断未来会把信息保护方面的义务放在收集者和使用者身上,比如说未来关于企业在个人信息保护方面如何合规。
定于2020年10月1日实施的《信息安全技术 个人信息安全规范》新增收集个人信息时的授权同意。
澎湃新闻:去年9月份,在广西南宁有人冒充中介公司,通过人脸识别,将卖主的房屋过户,卖主却没有收到卖房款项,这个事情的发生一定程度上也是因为我们普通人对人脸识别可能产生什么样的后果或影响,认知性不足,您觉得怎么去防范这个问题呢?
劳东燕:这个新闻我也看到了,因为里面涉及到那个中介其实就是个骗子,再加上现在地方上的确是考虑到,让老百姓办事情更加便捷一点,所以就推行网上过户。但是这种案子出来之后,你就会发现,其实风险就极其大。
我觉得不要轻易刷人脸。有的时候你去坐高铁、飞机刷人脸信息,是公权力部门收集人脸数据,滥用、泄露的风险会小一点。但是像房地产公司,一般的公司,包括物业收集,这种风险就会成倍的增加。因为数据库哪些人能用,哪些人能够接触,怎么保管,使用范围是什么地方,这个都确定不了。
对于政府部门来讲,像房屋转让,涉及到大额财产,往高科技化方向发展,考虑民众便捷的同时,也要考虑法律风险。像房屋转让,如果房屋转手卖给了第三方,第三方不知情。实际上,即便监管部门,公安机关介入也是不可能再把房子追回来,还给被害人。被害人的损失取决于被告人有没有把钱挥霍,如果挥霍光,充其量把被告人抓了。你的财产,你的房产,被骗了就是被骗了。因为第三方如果是善意取得的,按照市场价买的,不可能从第三方那里把这个房子弄回来,还给被害人。
这样的事件当中,两方面都要反思。从个人来讲,要加强警惕,企业作为实施主体的人脸信息收集,尤其要警惕;对于政府监管部门来讲,涉及到这种大额财产转让的,应该稳控风险。
澎湃新闻:企业利用人脸识别技术有时是为了获取好处和便捷。之前有媒体爆出多地售楼处应用人脸识别技术判断哪些客户是自己来的,哪些是中介带来的,购房时存在差价,您觉得这种情况应该如何防范,或者监管部门应该有哪些规定出台?
劳东燕:这里面不仅仅涉及到房地产开发公司不经同意非法收集个人生物信息的问题,还涉及商业性场景当中的歧视性使用的问题,我是觉得这两个方面可能都会引发相应的法律关注。
第一个,未经同意就收集客户人脸信息,实际上在现有的法律框架之内,是违法的。第二个收集之后,还进行歧视性的使用,这里面涉及到商业交易当中的诚实,公平的问题。
安装人脸识别监控设备,在某些行业中是相当普遍的一种做法。有些地方媒体关注到这个问题,监管部门要求房地产公司拆掉相关的设备,但其他地方可能没有这种舆情事件,所以监管部门也不给压力。在这样的场景当中,个人不仅莫名其妙地被收集生物数据,而且买房子因为渠道不同,可能会遭受相应的损失。差价可能不是几万块钱,甚至是几十万块钱。这种事件需要大家共同来关注,倒逼这个行业去做出改变。
美国国家标准技术研究院NIST推出了“人脸识别供应商测试”Face Recognition Vendor Test。图片来源:NIST官网
澎湃新闻:但是在最新的民法典中,有规定个人生物信息收集是需要经过本人同意,像一些企业在没有经过个人同意收集个人生物信息,普通人想要起诉,是否有胜诉空间的?
劳东燕:我觉得普通人根本没有办法起诉,比如说我到那个地方逛了一下,我都发现有摄像头,现在如果要告对方,我怎么举证,怎么证明对方收集了我的数据?希望对方给我提供没经过我同意收集的数据,这就像与虎谋皮。
上次我在一个会议当中也听实务部门同志有讲到,这类诉讼(原告)大部分都是败诉的。就像我刚才说到的,法律层面,规定有某项权利,如果没有相应配套的救济措施条款,这个权利就是纸面上,只是看着比较漂亮,实际上是没有办法真正享有的。所以在网络时代,关于个人信息的侵权(诉讼),如果按照现在的这种诉讼规则,证明责任的这种规定,个人是没有办法维权的。
对于生物识别信息的存储,《信息安全技术 个人信息安全规范》提出了新要求。
澎湃新闻:在实际生活当中,但是我们如果拒绝使用人脸识别系统,会给生活带来很多不便捷,您觉得普通人面临这种情境,应该怎么处理?
劳东燕:我觉得便捷与否,应该是信息收集者向使用者所做的广告,你会发现人脸识别技术应用获得最大利益的绝对不是用户。
一个月之前,(有报道说)清华大学有个实验室做了以下实验,选取20部手机,采用打印的照片,将其中19部手机在15分钟内开锁。我用其他的方式,比如说密码,或者刷卡,对我来讲谈不上不便捷。这里面有一个风险跟利益权衡的问题,为了那点便捷,把个人安全,包括你的财产安全,全都让渡出去,这样的让渡真的是值得的吗?
人脸识别的风险,并不是说学者臆想出来的。(现实中)它用于很多违法犯罪的场合,包括黑市中买卖人脸数据,一条人脸的数据可能一两块钱甚至更便宜。这个实际上已经在大范围之内发生,不能因为说还没有发生在你自己身上,你就假想这个风险是不可能的。类似于俄罗斯转盘的问题,子弹肯定会发射,只不过你不知道是不是会发射在你身上。
为确保人道主义援助物资的有效发放,国际红十字会使用了生物识别技术,但他们并未将这些数据视作“金矿”,而是放弃建立一个中心化的数据库。图片来源:国际红十字会官网