郭兵。图片源自浙江理工大学法政学院官网
10月28日,《杭州市物业管理条例(修订草案)》(以下简称“修订草案”)被提请至杭州市第十三届人大常委会第三十次会议审议后,开始公开征求意见。
“修订草案”第四十四条企业义务条款中新增了一款规定,物业服务人员不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备。
如果该规定最终付诸实施,将成为全国首部将小区人脸识别纳入物业管理的法定条例。
提出这条建议的,是浙江理工大学特聘副教授郭兵,他研究个人信息保护的法律问题多年。
他还有另外一个身份一一“国内人脸识别第一案”主诉人。去年,他因杭州野生动物世界年卡由指纹识别“强制”升级为“刷脸”入园,将动物世界诉至法院。
有网友评论说郭兵太“较真”,他却认为这是值得较真的事儿,推动立法规范人脸识别,“不只保障了我个人的权益,也保护了其他人的个人信息权益”。
“全国第一个吃螃蟹的”
新京报:10月9日,杭州市司法局组织召开了对“修订草案”的立法听证会,你提出了哪些意见?
郭兵:这份条例里很多规定其实已经比较完善,在一定程度上也体现了杭州物业管理数字化转型的特点,但对于业主个人信息保护的规定,一字未提。
听证会前,我准备了一份5页的书面意见,其中重点强调了修订草案在业主隐私权和个人信息保护制度方面的明显不足。听证会上,我是第一位发言的陈述人。我提出最核心的问题,就是当前不少小区、物业强制安装了人脸识别门禁设备,引发了很大争议。
对此,我认为有必要在修订草案中加强对业主生物识别信息(尤其是面部特征信息)的保护,防范业主委员会、物业服务人的违规操作。建议在修订草案第13条“禁止授权事项”中增加 “通过收集业主生物识别信息(包括指纹、声纹、掌纹、耳廓、虹膜、面部特征等)的方式使用共用部位、共用设施设备” 的规定;在修订草案第42条“企业义务”中增加 “不得强制业主通过收集生物识别信息的方式使用共用部位、共用设施设备” 的规定。
新京报:这些意见和建议被采纳了吗?
郭兵:我提出的这些建议能不能被采纳,当时也没底。直到杭州人大公布新版《杭州市物业管理条例(修订草案)》,一个朋友转发给我,我看到第四十四条企业义务条款中新增了一条规定,即“不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备,保障业主对共用设施设备的正常使用权”。
当时挺兴奋的,挺意外的,虽然我提出的几条意见,最终只保留了这一条,能不能通过人大审议还不确定,但将不得强制收集业主的生物信息这一条明确放进草案里,已经是很大的进步了,可能在全国都已经是第一个吃螃蟹的了。
新京报:其他人对这一规定怎么看?
郭兵:每个人的立场不一样,看法也不同,可能跟自身的法律意识和权利意识有一些关系。我身边的朋友很多都比较关注个人信息的安全风险,特别是学过法律的朋友。“修订草案”增加了对人脸识别的规定后,他们大部分都认可这一条规定是对业主权利的保障,毕竟有了权利,个人可以行使也可以放弃。
也有人提出了不同意见,他们从管理和便利的角度认为,人脸识别技术提供了便利和安全,特别是在打击违法犯罪方面非常有效。如果一个被通缉的逃犯想进入小区,一旦被刷脸设备扫到,可能也更加容易被发现。
但在我们看来,这说明哪怕你选择不用人脸识别的验证方式进入小区,还是会被收集面部特征信息,这非常让人担心。
10月28日,《杭州市物业管理条例(修订草案)》(以下简称“修订草案”)被提请至杭州市第十三届人大常委会第三十次会议审议后,开始公开征求意见。
人脸识别技术背后的信息黑箱
新京报:人脸识别技术带来的便利性和潜在风险应该怎么看?
郭兵:人脸识别技术确实为数字化生活带来诸多便利。但它可能存在的风险隐患也不能回避,特别是这两年,人脸识别应用越来越多。
一些需要“刷脸”验证的场景,如高铁安检,这属于公共安全领域,必须配合。入住酒店时在身份证件验证时,酒店工作人员明确说明这是治安方面的要求。
而在一些生活工作中,人脸识别技术明显被滥用,比如进出公司、小区必须刷脸,这肯定有点过头了,这是否应该属于公共安全的范畴,是有一定争议的。超市开通了刷脸支付,我就从来不会使用。
我最担心的是人脸识别信息的安全问题。之前已有相关犯罪案件发生,在当事人不知情的情况下,数以千万计的人脸信息数据被售卖;有些不法人员盗取面部特征信息,骗过了金融机构的支付系统;手机上一些换脸的软件的兴起,收集人脸信息后,他们可能利用深度伪造的技术,通过淫秽色情等不法方式利用面部特征信息,从而损毁个人名誉,造成很恶劣的影响。
新京报:你什么时候开始关注到人脸识别应用潜在的风险性?
郭兵:一开始倒不是特别关注人脸识别。最近几年,我一直在关注和研究隐私保护相关的法律问题,之前关注更多的是隐私保护问题,现在则更注重个人信息的安全问题。随着信息网络技术的不断发展,个人信息的范围也在不断动态变化。
不同的个人信息,它可能存在的安全风险不一样。对于个人信息保护的问题,在我们讨论或者研究的过程中也越来越细化。
普通的、相对不那么敏感的个人信息,比如姓名,它的风险级别很低。现在常见的个人信息验证方式中,指纹识别与人脸识别风险更高。当然,同样是敏感个人信息,人脸识别所使用的面部特征信息,比指纹潜在的风险又要大得多。
我们甚至可能在不知情的情况下,就被各种扫描、识别或保存了面部信息。它就像有一个黑箱在那里,你根本就不知道,这些敏感的个人信息将被如何保管,被如何使用。
“当前立法暂未明确规范人脸识别”
新京报:当前我们国家在法律法规上对人脸识别的规范如何?
郭兵:2020年10月1日正式实施的《信息安全技术个人信息安全规范》明确提出,“在收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。”
这个文件对个人信息保护做出了更加细化、针对性的规定,包括对生物识别信息等敏感的个人信息,也给出了具体的指导意见,“个人生物识别信息要与个人身份信息分开存储;原则上不应存储原始个人生物识别信息,可采取的措施包括但不限于:仅存储个人生物识别信息的摘要信息;在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等。”
但这个文件只是个国家标准,不具有强制性法律效力。
今年5月28日审议通过的《民法典》中,包括人脸识别使用的面部特征信息在内的个人生物识别信息被明确纳入个人信息范畴,受到法律保护。
10月刚刚公布的《个人信息保护法(草案)》相对于之前的《民法典》、《网络安全法》等立法,又有了一定进步。其中规定,“基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。”“个人信息处理者处理敏感个人信息的,除本法第十八条规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人的影响。”
但不论是已经出台的《网络安全法》和《民法典》,还是刚刚公布的《个人信息保护法(草案)》都没有进一步就人脸识别作出具体的、针对性的规定。
而且特别有争议的是,《个人信息保护法(草案)》中规定“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。”这一规定并未对公共安全进行具体界定,很可能导致实践中普遍使用人脸识别技术的企业都继续会打着公共安全的旗号使用刷脸技术,从而导致公共安全的泛化。
建议对强制人脸识别说“不”
新京报:你认为,哪些人脸识别应用场景是不合法合规的?
郭兵:今年8月,我们小区物业通知要开始安装“刷脸”门禁设备。我认为小区物业这一做法违规了,他们并未事先征询业主意见。
我之前也是小区业主委员会的副主任,想着直接和物业这边的负责人进行沟通效果会更好一点,因此我将强制业主使用“刷脸”设备的法律风险跟他们做了说明。最近安装“刷脸”设备后,不做强制要求,保留了刷卡、“刷脸”两种进入小区的方式,供业主选择。
但前几天在我刷卡进入小区时,无意中发现刷脸设备屏幕右下角有我几年前在物业办卡时拍的照片,这台设备直接对我进行了人脸扫描,并且显示了我的健康码信息,发出了验证通过的语音提示。
这明显是在未征得我同意的前提下,使用了我的人脸信息,本质上还是强制“刷脸”。
还有一个,去年10月17日,我收到杭州野生动物世界的短信通知,“园区年卡系统已升级为人脸识别入园,原指纹识别已取消,即日起,未注册人脸识别的用户将无法正常入园。”
我认为,动物世界在更新年卡办理流程和使用说明时,并未就提供人脸识别信息一事征求过年卡用户的意见,只是通过短信告知的方式强制游客提供,具有“霸王条款”的性质。也是强制“刷脸”。
新京报:遇到强制“刷脸”时,你会怎么处理?
郭兵:有一些明显侵权的强制“刷脸”场景,我会进行必要的取证。很多情况下,我是通过电话或者网上投诉的方式寻求解决,虽然这种投诉效果并不明显。
我也提起过一些诉讼。去年,我和杭州野生动物世界在协商无果后,将动物世界诉至法院。今年6月15日,富阳区人民法院开庭审理了,现在还没出结果。
最初我提出的诉讼请求是由动物世界退还年卡费用并承担本案诉讼费。案件受理后,我将诉讼请求增加了6条,包括:确认年卡办理及使用相关告示中关于指纹及人脸识别的部分内容无效。这都与每一位动物世界年卡用户的个人信息权益相关。
新京报:这个案子被称为我国人脸识别第一案,它的特殊性在哪里?
郭兵:这个案件确实是因为商家强制“刷脸”引发的争议,是国内人脸识别商业化应用所引发的第一起民事纠纷。我最初的初衷是希望检察机关能够提起公益诉讼,维护更多的游客或消费者群体的个人信息权益,因为这不仅仅是我一个人权益受到侵犯的案件。
新京报:被要求“刷脸”时,我们可以做什么?
郭兵:人脸识别应用有很多值得关注的法律问题,值得去较真。这次杭州通过立法有意规范物业管理领域人脸识别的技术应用,是一个进步;而更广泛领域的人脸识别技术应该的规范问题,只能交给以后的立法作进一步完善。
对于人脸识别,我们需要做的是谨慎使用。我本身从事法学教育和研究工作,安全风险意识相对高一些。许多人可能还是没有个人信息安全意识,我认为首先要看它是不是公共部门直接推动的应用场景,对于小平台和手机上的小应用,要谨慎又谨慎,遇到强制“刷脸”,一定要维权。就像有学者指出的,人脸信息一旦泄露就是终身泄露。等到风险大范围产生时,再去挽回可能已经挽回不了了。
现在国内很多学者和老百姓(603883,股吧)都站出来,对遭遇到的强制“刷脸”提出质疑,维护自己合法的个人信息权益,很多的媒体也在揭示相关的风险,这是非常好的现象。大家一起努力,肯定能促进人脸识别技术应用的规范化。
新京报记者 肖薇薇 编辑 胡杰 校对 李项玲