清华法学院劳东燕:必须拒绝小区人脸识别门禁
一场疫情,从多个维度改变了社会生活。流行起来的,除了口罩、消毒药水,还有小区的人脸识别门禁。在很多地方,原有的指纹、门禁卡设备被取消,人脸识别成为居民出入小区的唯一验证方式。
今年上半年,清华大学法学院教授劳东燕也遇到类似的状况,但她决定对人脸识别说“不”。
作为一名法律学者,劳东燕发挥了自己的长项:她写了法律函,分别寄到物业公司和居委会。后来,街道方面邀请她谈话,在会谈中历数人脸识别的各种好处;她则列举了种种风险,认为在小区安装人脸识别装置并无必要,而且不经同意收集人脸数据,也违反现行的法律规定。
双方谁也没说服谁,最终街道方面同意安装设备后,让居民在三种方式中自行选择。不过,小区的门禁改造工作,不知何故被搁置下来。
在劳东燕看来,很多推动人脸识别落地的机构,可能并没有意识到随之而来的风险有多大。“如果人脸数据被泄露、被滥用,不仅不会改善社会治安,反而可能使相关的违法犯罪活动激增。”她说。
面对人脸识别门禁她“稍微挣扎了一下”
9月23日下午,由中国政法大学公共决策研究中心和蓟门智库主办的“蓟门决策”专题研讨会在北京举行。研讨会的主题是《小区门禁能否人脸识别?——人体生物信息采集的滥用及其法律规则》。
作为主讲嘉宾,劳东燕分享了前面的“维权经历”。她回忆,与街道相关负责人谈话时,对方的主要论据是人脸识别可以排查违法犯罪人员,让小区更安全。
劳东燕对此难以认同。在她看来,人脸识别技术给社会带来的巨大风险,远远大于它带来的各种便利。更何况,打击犯罪只是社会治理的目标之一,无法构成强制居民刷脸的理由。
后来,小区的门禁改造工作没有继续进行。劳东燕不知道是她的反对起了作用,还是另有其他原因。“我也只是稍微挣扎了一下,”她话音未落,会议室里的人都笑起来。
劳东燕也笑。她解释道:“在这项技术得到公权力部门大力支持的情况下,个人想要为自己的权利做斗争,是要付出很大代价的。这种代价并非我们普通人所能承受,因为它会严重干扰原有的生活。”
论坛主持人、中国政法大学公共决策研究中心执行主任李轩在一旁补充道,“据我所知,很多小区都在挣扎”。
李轩所言非虚。今年4月,《光明日报》曾刊发评论文章,点评江苏省常州市部分社区强制居民“刷脸进小区”的争议事件。文章称,争议的导火线,或许正是对门禁系统的强制推行触碰了信息被采集者的敏感神经,而信息的不透明、不对称加剧了被采集者的安全焦虑。
劳东燕的主要研究领域是刑法学。这两年,有关人脸识别的争议性社会事件频频出现,让她关注到这一新技术应用中的风险与法律规制问题。去年,她撰写的一些分析人脸识别的法律文章,因为击中了很多人的心声在网上盛传。
“人脸数据一旦泄露,就是终身泄露”
近一年过去,隐忧仍在,而且变得更凸显了。在23日的论坛上,劳东燕详细谈了谈人脸识别推广适用过程中可能存在的风险,比如成为“透明人”、被操控的危险以及数据的泄露与滥用等等。
这些担心并非杞人忧天,现实中早有相应的案例。裁判文书网公开信息显示,从2018年7月开始,有犯罪分子通过非法购买公民个人信息并制作相应的“换脸”视频,突破了支付宝的人脸识别认证。2019年,又有“00后”男孩绕过了厦门银行App的人脸识别系统,使用虚假身份信息注册多个账户并倒卖牟利。
在劳东燕看来,以上事件不过是冰山一角。随着海量的人脸数据被收集,人脸数据或许会和电话号码、身份证号一样,成为违法犯罪分子所使用的新手段。
值得注意的是,生物特征识别信息无法更改的特性,将使得受害者更难获得有效救济。“人脸数据具有不可更换性,因为我们无法换脸。一旦泄露就是终身泄露,即便采取法律手段维权成功,也难以恢复原状。”她说。
让劳东燕忧虑的是,从民众到部分企业、管理者,似乎都还没有充分的风险意识。比如她的小区要安装人脸识别系统时,业主们在群里讨论。让大家反应最大的,不是刷脸,而是上传房产证信息的要求。“其实,人脸数据的收集所带来的风险,要比上传房产证大得多,二者根本不可比拟。”
如果说人脸识别的一端是一些民众对于便利的向往,那么另一端则是企业的变现冲动与政府的新型治理需求。
劳东燕认为,用人脸识别提升社会治安水平的初衷是好的,但人脸识别所涉及的,并不是个人隐私与公共安全的平衡问题——每个人就是“公共”的组成部分,人脸识别的推广运用,本身就会给公众的人身财产安全带来“无法估量的风险”。“其间的问题在于,我们可能既不再享有任何隐私,也因此丧失绝大部分的安全。”
“互联网的基本逻辑是,安全问题的解决并不取决于安保水平与能力最高的部门或企业,而是取决于其中水平最低与能力最差的。允许各式各样的组织与单位随意收集民众的人脸数据,就等于埋下一个个地雷,数据被泄露与滥用的可能性会急剧地提升,这势必严重危及公众的人身与财产安全。”劳东燕说。
与技术的快速发展相对的是,现有的法律保护框架,难以对人脸识别实现有效的规制。劳东燕认为,在各方的角力之下,企业和政府成了强势的两方,作为个人之集合的民众,则变成最为弱势的一方。
她解释道,目前的个人信息收集以同意机制为基础,如果作为数据主体的个人表示同意,接下来的数据收集、使用、处理就交给了企业和政府,数据主体难以进行后续的监督和控制。
“基本上征得同意之后,你的个人数据就跟你没有关系了,之后所有的风险都需要由你自己来承担。”她说,考虑到现实中,很多人都是在不知风险的情况下表示同意,或者由于必须使用相应App而不得不给予同意,以同意机制为基础的法律保护框架更是显得无力。
法律的滞后性总是存在。但在人脸识别领域,这一问题似乎更加突出。劳东燕用火箭来比喻人脸识别的发展态势,用马车来形容现阶段法律及监管政策对人脸识别的规制能力。“你用马车去追火箭,自然是追不上。”
学者建议引入公众监督机制和市场化手段
论坛与谈嘉宾、北京航空航天大学法学院教授王锴指出,人脸识别能达到识别目的,关键原因之一是有一个事先建立的人脸信息数据库,如果没有这个数据库,光凭技术也无法完成比对。“但是问题在于这个数据库不受我的控制。”
《网络安全法》明确规定,“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意”。近年来,随着四部门App违法违规收集使用个人信息专项治理工作的推进,国内的App大都建立了要求用户授权同意的机制。只是时至今日,强制同意、默认同意等情况仍然存在,人脸识别领域就更是如此。
王锴表示,“同意”的基础是对风险有足够的了解,但是大部分民众对人脸识别的认知并不够。他认为,人脸数据库需要由一个统一的主体来建立,并且接受公众监督。“像企业这样各自去收集和建立,泄露风险很大。有必要引入公共机构或社会团体去监督。”
劳东燕则认为,法律保护的整体框架急需做出调整,不应以同意机制为基础。采用以同意机制为主的模式来保护个人信息,就等于是将数据的相应风险主要放在作为数据主体的个人身上。
在她看来,当前的主要问题在于,相应的风险是由实施收集、使用行为的数据控制者与处理者所制造,而因收集、使用个人数据的收益也主要由后者所享有。
“数据主体得到的便利跟企业和政府部门所获得的收益相比,根本微不足道,没有理由将相应的风险主要分配给数据主体来承担。”她同时认为,法律不仅需要规制数据控制者的非法收集行为,也必须规制对数据的滥用行为,可能后者才是法律真正应当规制的重心。
就此,论坛与谈嘉宾、对外经贸大学法学院副教授许可指出,目前数据滥用的问题之所以还没有得到充分规制,是因为政府很难直接干涉企业内部的经营业务。“政府部门缺乏技术、人力,当它试图提高个人信息保护水准的时候,自身的执法力量可能达不到。同时,干涉企业内部经营,在法律上也缺乏相应依据。”
许可说,除了依靠法律监管,也可以考虑使用社会的力量,通过树立行业标准、增强市场竞争,来达到“良币驱逐劣币”的效果。“既有的思路过于强调了对企业的问责,但实际上它并不能真正发挥预期作用。能否通过一些市场化、技术性的手段来提升个人信息保护的水准?我觉得这是未来的一个方向。”他说。
“我个人认为风险没评估清楚之前,应该立法先行,”论坛与谈嘉宾、中国政法大学法学院教授何兵说,“产业发展的最终目的,还是为了让人幸福、安宁、自在地生活。人活在这个世界上,不是作为经济动物而存在的,不能为了经济不惜一切代价。”
需警惕利用人脸信息进行的违法犯罪活动
近年来,人脸识别技术被用于金融支付、小区安防、政务服务等诸多场景,既提高了便利性,也通过数据交互在一定程度上增强了安全性。 但是,人脸数据如果发生泄露或被不法分子非法获取,就有可能被用于违法犯罪活动,对此应保持警惕。 去年8月,深圳龙岗警方发现有辖区居民的身份信息被人冒用,其驾驶证被不法分子通过网络服务平台冒用扣分。 在开展“净网2020”行动中,龙岗警方经多方侦查发现,有不法分子使用AI换脸技术,绕开多个社交服务平台或系统的人脸认证机制,为违法犯罪团伙提供虚假注册、刷脸支付等黑产服务。截至目前,龙岗警方在广东、河南、山东等地已抓获涉案犯罪嫌疑人13名。 据警方介绍,在上述案件中,犯罪嫌疑人利用非法获取的公民照片进行一定预处理,而后通过“照片活化”软件生成动态视频,骗过人脸核验机制。随后,通过网上批量购买的私人社交平台账号登录各网络服务平台注册会员或进行实名认证。 人脸信息关系到每个人的生命财产安全。业内专家认为,对倒卖人脸信息的黑色产业链必须予以严厉打击,立法机关需统筹考虑技术发展与信息安全,划定人脸识别技术的使用红线;监管部门也应对恶意泄露他人人脸和身份信息的违法行为予以坚决制止。 明年将施行的民法典,对自然人个人信息的范畴进行了专门说明,生物识别信息被纳入其中。中国信息安全研究院副院长左晓栋认为,除民法典外,正在制定的个人信息保护法和数据安全法也应对人脸等生物特征信息的保护作出安排;立法要充分考虑人脸这一特殊身份信息的可获得性,不能让制定出来的法律因执行难而流于形式。 北京师范大学网络法治国际中心执行主任吴沈括认为,网络平台对平台上的交易行为负有监管义务,应严谨审核卖家资质,对平台内经营者的合规情况进行监控、记录,不应允许发布任何侵犯他人人身财产权利或法律法规禁止的物项。 贾宝芝建议,相关平台在制定人脸识别安全规范的过程中,要强调“人脸数据等生物特征信息”与“其他身份信息”实行完全隔离存储,避免将人脸数据与身份信息相关联后发生批量化泄露。 对于曾经上传过清晰手持身份证照片或同时上传人脸照片并填写身份证、银行卡信息的用户,专家建议,应在开启人脸验证的同时,尽可能选择多重验证方式,减轻单重人脸验证风险。2019年9月,北青报记者在一家网络商城中发现,有商家公开兜售“人脸数据”,数量约17万条。在商家发布的商品信息中可以看到,这些“人脸数据”涵盖2000人的肖像,每个人约有50到100张照片。
另外,每张照片搭配有一份数据文件,除了人脸位置的信息外,还有人脸的106处关键点,如眼睛、耳朵、鼻子、嘴、眉毛等的轮廓信息等。
此外,数据中还能提供人物性别、表情情绪、颜值、是否戴眼镜等信息。商家在商品说明中称,数据中并不提供所涉及人物的人名和身份证号等信息,也不得用于违法用途。
北青报记者以买家的身份联系售卖前述人脸数据的商家,商家称,其售卖的人脸样本中,一部分是从搜索引擎上抓取的,另一部分来自境外一家软件公司的数据库等。
2020年2月,一家人脸识别初创公司表示,它遭到黑客攻击,其全部客户名单都被黑客窃取了。这家公司从互联网上搜集了30多亿张照片,并为美国和加拿大600多家执法机构的嫌疑人身份识别系统提供便利。由于隐私问题,它遭到了包括谷歌、脸书等互联网巨头的抵制。
随着人工智能的助力,人脸识别技术以其不可复制性、非接触性、可扩展性和快速性等特点在多种生物识别技术中脱颖而出。人脸识别在安防、金融、教育等领域得到广泛应用,尤其是在智慧校园应用中,门禁出入口、人员识别、消费支付,甚至开始在课堂上识别学生面部表情,找出不专心的学生。
从技术层面讲,人脸识别技术的大规模使用,人脸是无法复制的,但是基于人脸特征点的信息是以数字化信息进行存储的,相关数据库就面临着被黑客攻击或者自身防范不力导致泄露事件。人脸特征数据库的外泄将面临更大的隐患,首先以往密码被窃取,可通过重新设置实现密码更改,并提高安全防范级别。但人脸等生物特征信息是唯一且终身不变的,因此,一旦泄露就将导致人们个人财产、或者隐私等被公开,造成重大损失,并且无法挽回。
接下来,我们该怎么办?
1、尽量少把自己的脸往所有软件(平台,APP)上刷!
2、实在避免不了,或者一定要刷,先看清楚平台的隐私保护条款!
3、千万不要将自己的人脸照片,到处“张贴”!
4、家里、单位的人脸门禁等等能不用的,就不用吧!
赞(70)