一場疫情,從多個維度改變了社會生活。流行起來的,除了口罩、消毒藥水,還有小區的人臉識別門禁。在很多地方,原有的指紋、門禁卡設備被取消,人臉識別成為居民出入小區的唯一驗證方式。
今年上半年,清華大學法學院教授勞東燕也遇到類似的狀況,但她決定對人臉識別說「不」。
作為一名法律學者,勞東燕發揮了自己的長項:她寫了法律函,分別寄到物業公司和居委會。後來,街道方面邀請她談話,在會談中歷數人臉識別的各種好處;她則列舉了種種風險,認為在小區安裝人臉識別裝置並無必要,而且不經同意收集人臉數據,也違反現行的法律規定。
雙方誰也沒說服誰,最終街道方面同意安裝設備後,讓居民在三種方式中自行選擇。不過,小區的門禁改造工作,不知何故被擱置下來。
在勞東燕看來,很多推動人臉識別落地的機構,可能並沒有意識到隨之而來的風險有多大。「如果人臉數據被泄露、被濫用,不僅不會改善社會治安,反而可能使相關的違法犯罪活動激增。」她說。
面對人臉識別門禁,她「稍微掙扎了一下」
9月23日下午,由中國政法大學公共決策研究中心和薊門智庫主辦的「薊門決策」專題研討會在北京舉行。研討會的主題是《小區門禁能否人臉識別?——人體生物信息採集的濫用及其法律規則》。
作為主講嘉賓,勞東燕分享了前面的「維權經歷」。她回憶,與街道相關負責人談話時,對方的主要論據是人臉識別可以排查違法犯罪人員,讓小區更安全。
勞東燕對此難以認同。在她看來,人臉識別技術給社會帶來的巨大風險,遠遠大於它帶來的各種便利。更何況,打擊犯罪只是社會治理的目標之一,無法構成強制居民刷臉的理由。
後來,小區的門禁改造工作沒有繼續進行。勞東燕不知道是她的反對起了作用,還是另有其他原因。「我也只是稍微掙扎了一下,」她話音未落,會議室里的人都笑起來。
勞東燕也笑。她解釋道:「在這項技術得到公權力部門大力支持的情況下,個人想要為自己的權利做鬥爭,是要付出很大代價的。這種代價並非我們普通人所能承受,因為它會嚴重干擾原有的生活。」
論壇主持人、中國政法大學公共決策研究中心執行主任李軒在一旁補充道,「據我所知,很多小區都在掙扎」。
李軒所言非虛。今年4月,《光明日報》曾刊發評論文章,點評江蘇省常州市部分社區強制居民「刷臉進小區」的爭議事件。文章稱,爭議的導火線,或許正是對門禁系統的強制推行觸碰了信息被採集者的敏感神經,而信息的不透明、不對稱加劇了被採集者的安全焦慮。
勞東燕的主要研究領域是刑法學。這兩年,有關人臉識別的爭議性社會事件頻頻出現,讓她關注到這一新技術應用中的風險與法律規制問題。去年,她撰寫的一些分析人臉識別的法律文章,因為擊中了很多人的心聲在網上盛傳。
「人臉數據一旦泄露,就是終身泄露」
近一年過去,隱憂仍在,而且變得更凸顯了。在23日的論壇上,勞東燕詳細談了談人臉識別推廣適用過程中可能存在的風險,比如成為「透明人」、被操控的危險以及數據的泄露與濫用等等。
這些擔心並非杞人憂天,現實中早有相應的案例。裁判文書網公開信息顯示,從2018年7月開始,有犯罪分子通過非法購買公民個人信息並製作相應的「換臉」視頻,突破了支付寶的人臉識別認證。2019年,又有「00後」男孩繞過了廈門銀行App的人臉識別系統,使用虛假身份信息註冊多個帳戶並倒賣牟利。
在勞東燕看來,以上事件不過是冰山一角。隨著海量的人臉數據被收集,人臉數據或許會和電話號碼、身份證號一樣,成為違法犯罪分子所使用的新手段。
值得注意的是,生物特徵識別信息無法更改的特性,將使得受害者更難獲得有效救濟。「人臉數據具有不可更換性,因為我們無法換臉。一旦泄露就是終身泄露,即便採取法律手段維權成功,也難以恢復原狀。」她說。
讓勞東燕憂慮的是,從民眾到部分企業、管理者,似乎都還沒有充分的風險意識。比如她的小區要安裝人臉識別系統時,業主們在群里討論。讓大家反應最大的,不是刷臉,而是上傳房屋所有權狀信息的要求。「其實,人臉數據的收集所帶來的風險,要比上傳房屋所有權狀大得多,二者根本不可比擬。」
如果說人臉識別的一端是一些民眾對於便利的嚮往,那麼另一端則是企業的變現衝動與政府的新型治理需求。
勞東燕認為,用人臉識別提升社會治安水平的初衷是好的,但人臉識別所涉及的,並不是個人隱私與公共安全的平衡問題——每個人就是「公共」的組成部分,人臉識別的推廣運用,本身就會給公眾的人身財產安全帶來「無法估量的風險」。「其間的問題在於,我們可能既不再享有任何隱私,也因此喪失絕大部分的安全。」
「網際網路的基本邏輯是,安全問題的解決並不取決於安保水平與能力最高的部門或企業,而是取決於其中水平最低與能力最差的。允許各式各樣的組織與單位隨意收集民眾的人臉數據,就等於埋下一個個地雷,數據被泄露與濫用的可能性會急劇地提升,這勢必嚴重危及公眾的人身與財產安全。」勞東燕說。
與技術的快速發展相對的是,現有的法律保護框架,難以對人臉識別實現有效的規制。勞東燕認為,在各方的角力之下,企業和政府成了強勢的兩方,作為個人之集合的民眾,則變成最為弱勢的一方。
她解釋道,目前的個人信息收集以同意機制為基礎,如果作為數據主體的個人表示同意,接下來的數據收集、使用、處理就交給了企業和政府,數據主體難以進行後續的監督和控制。
「基本上徵得同意之後,你的個人數據就跟你沒有關係了,之後所有的風險都需要由你自己來承擔。」她說,考慮到現實中,很多人都是在不知風險的情況下表示同意,或者由於必須使用相應App而不得不給予同意,以同意機制為基礎的法律保護框架更是顯得無力。
法律的滯後性總是存在。但在人臉識別領域,這一問題似乎更加突出。勞東燕用火箭來比喻人臉識別的發展態勢,用馬車來形容現階段法律及監管政策對人臉識別的規制能力。「你用馬車去追火箭,自然是追不上。」
學者建議引入公眾監督機制和市場化手段
論壇與談嘉賓、北京航空航天大學法學院教授王鍇指出,人臉識別能達到識別目的,關鍵原因之一是有一個事先建立的人臉信息資料庫,如果沒有這個資料庫,光憑技術也無法完成比對。「但是問題在於這個資料庫不受我的控制。」
《網絡安全法》明確規定,「網絡產品、服務具有收集用戶信息功能的,其提供者應當向用戶明示並取得同意」。近年來,隨著四部門App違法違規收集使用個人信息專項治理工作的推進,國內的App大都建立了要求用戶授權同意的機制。只是時至今日,強制同意、默認同意等情況仍然存在,人臉識別領域就更是如此。
王鍇表示,「同意」的基礎是對風險有足夠的了解,但是大部分民眾對人臉識別的認知並不夠。他認為,人臉資料庫需要由一個統一的主體來建立,並且接受公眾監督。「像企業這樣各自去收集和建立,泄露風險很大。有必要引入公共機構或社會團體去監督。」
勞東燕則認為,法律保護的整體框架急需做出調整,不應以同意機制為基礎。採用以同意機制為主的模式來保護個人信息,就等於是將數據的相應風險主要放在作為數據主體的個人身上。
在她看來,當前的主要問題在於,相應的風險是由實施收集、使用行為的數據控制者與處理者所製造,而因收集、使用個人數據的收益也主要由後者所享有。
「數據主體得到的便利跟企業和政府部門所獲得的收益相比,根本微不足道,沒有理由將相應的風險主要分配給數據主體來承擔。」她同時認為,法律不僅需要規制數據控制者的非法收集行為,也必須規制對數據的濫用行為,可能後者才是法律真正應當規制的重心。
就此,論壇與談嘉賓、對外經貿大學法學院副教授許可指出,目前數據濫用的問題之所以還沒有得到充分規制,是因為政府很難直接干涉企業內部的經營業務。「政府部門缺乏技術、人力,當它試圖提高個人信息保護水準的時候,自身的執法力量可能達不到。同時,干涉企業內部經營,在法律上也缺乏相應依據。」
許可說,除了依靠法律監管,也可以考慮使用社會的力量,通過樹立行業標準、增強市場競爭,來達到「良幣驅逐劣幣」的效果。「既有的思路過於強調了對企業的問責,但實際上它並不能真正發揮預期作用。能否通過一些市場化、技術性的手段來提升個人信息保護的水準?我覺得這是未來的一個方向。」他說。
「我個人認為風險沒評估清楚之前,應該立法先行,」論壇與談嘉賓、中國政法大學法學院教授何兵說,「產業發展的最終目的,還是為了讓人幸福、安寧、自在地生活。人活在這個世界上,不是作為經濟動物而存在的,不能為了經濟不惜一切代價。」
