澎湃新闻见习记者刘玉秀因为老冬艳的竞争,社区使用人脸识别门禁的计划被搁置。2020年3月,她居住的小区发布了安装人脸识别门禁系统的公告,要求业主提供房产证、身份证、人脸识别等信息。她是清华大学法学教授。她知道人脸识别信息被滥用的风险很高,物业公司无权收集此类个人信息。她决定更认真一点:首先,她将收集到的关于人脸识别风险的报告和法律依据发到两个微信群,每个微信群都有数百个站长;随后,她写了一封法律信函,分别寄给了居委会和物业。;于是就有了她作为业主,与街道、业主委员会、物业四方“谈判”。最终,街道同意业主可以自愿选择门禁卡、手机或人脸识别进出小区。但目前,人脸识别系统未启用。老东彦在社区业主群分享了人脸识别风险的相关报道和法律依据。受访者供图当年9月,劳冬艳在一次学术会议上分享了自己的维权经历,引发舆论关注。这让她深深感受到,学者不应该只是把头埋在象牙塔里,法学理论应该与现实生活密切互动。现在,她指导的三个博士生打算将数据保护作为未来的研究方向。大数据是这个时代的浪潮,但浪潮也有吞噬人的一面。老冬艳多次提到人脸识别的各种风险,她表示这不是学者们的想象。就像俄罗斯轮盘赌一样,子弹肯定会走,只是不知道会打中谁。她担心的是,目前的《个人信息保护法》草案虽然列举了很多个人的权利,但却缺乏相应的救济条款,成为一种书面的“虚拟”权利。“谁是风险的制造者,谁就应对相应的风险负责;谁从中获益最大,谁就对风险承担主要责任。”在劳东彦看来,个人信息的保护责任应该是数据收集者和使用者。【以下是与老东彦的对话】澎湃新闻:经过你们的维权,目前社区的人脸识别系统有没有进步和完善?老东彦:其实具体情况我也不清楚,因为我们小区门口已经安装了人脸识别机,但是一直没有使用。至于单元门禁,因为我们原来的单元门禁是旧的,已经坏了,所以我们需要安装一个新的。物业前段时间刚通知要安装,不知道安装的是什么。我注意到我们附近有几个单位。该建筑物尚未安装。澎湃新闻:这一点你更“真实”。其实,很多人在生活中都会遇到类似的情况。他们可能只是投诉而已,不会去维权找相关部门和社区。你选择这样做的原因是什么?老东彦:关于人脸识别的问题,我是2019年下半年开始关注的,我知道人脸识别在安全性上其实有比较大的问题。所以如果我们社区安装的话,我会更加注意这个问题。再加上我本身就是学法律的,写法律意见书对我来说并不难,所以基于这样的巧合,我决定稍微比较一下“真相”。澎湃新闻:对于大多数普通人来说,写法律意见书或找相关部门维权可能比较困难。那么在维权的过程中,您对大家有什么建议呢?劳东彦:我个人认为,在涉及到自己的权益时,发出自己的声音很重要。发出声音不一定有效,但如果你不发出声音,就不会有任何改变。包括评论和点赞,通过各种方式,都有它积极的意义。(只有这样)才会在这个社会形成一个合力,这个合力也许能引起相关部门的重视。澎湃新闻:这件事对你自己的生活、思想、以后会如何处理某些事情会不会有什么影响?老东彦:对我的个人生活有什么影响?事实上,我真的还没有意识到。但是我觉得会对我的观念或者未来的规划产生相应的影响。作为一个学者,我觉得完全把头埋在象牙塔里做纯粹的学术研究未必可以。特别是我是做系法研究的,法律本身和现实生活结合的非常紧密。作为一个学者,有必要对这些与法律相关的社会问题有所关注。在未来的规划上,我指导的博士生,包括博士后,至少有3人会将个人数据保护作为未来的研究规划。2019年,中国药科大学部分试点教室安装了人脸识别摄像头,用于日常考勤和课堂纪律管理,试图防止逃课和“同学签到”,但此举也引发了争议。ICPicture澎湃新闻:今年1月1日起,民法典将正式实施。《民法典》对个人信息保护作出了一些规定。您认为我国现行的法律制度是否足以保护个人生物信息权?劳东彦:我觉得这应该分为两个方面(讲)。一方面,个人数据或个人信息保护问题确实是互联网时代的一个新问题。而我们的整个法律体系显然还没有为这个问题做好准备。不仅在中国,在其他国家也是如此。目前整个法律体系的方向,关于个人生物信息的保护,明显有一些积极的迹象,我觉得是值得肯定的。另一方面,现有的法律制度还在摸索过程中,比如如何保护个人信息,行业的发展,经济的发展,包括如何平衡这个趋势和互联网经济的发展.慎重考虑的问题。在这种情况下,我们现有的法律对于如何平衡多方面的得失显然没有一个非常清晰和明确的框架。在立法层面,尚处于摸索过程中。在司法层面和执法层面,现有的法律规定如何执行,如何执行。事实上,很多法律法规可能还停留在表面,因为没有相应的规章制度出台。所以现在法制的发展趋势,我觉得是积极的。但同时也要看到,总体框架,特别是在具体实施方面,还存在缺陷或不足。澎湃新闻:在您看来,对于我国现行法律体系存在的这些缺陷和不足,应该通过哪些方式来加以完善和发展?劳东彦:我觉得从之前的《个人信息保护法》草案来看,在信息保护方面,对个人权利的规定其实还是蛮多的。我认为在信息保护方面列举相应的个人权利规定具有积极意义。但与此同时,我也注意到,现在这项权利只是在法律上有规定,但如果权利受到侵犯,我们如何提供救济呢?救济条款现在比较缺乏,学过法律的人都知道,没有救济就没有权利。如果没有相应的救济条款,则实际权利是虚拟的或书面的。比如我们现行的法律,包括民法典等行政法,都规定了获取个人信息必须征得同意。现在的问题是,如果你在未经用户同意的情况下收集个人信息,或者你告知的相关内容或风险没有达到要求的程度,你该怎么办?个人有什么权利?另一方面,我们可能无法将个人信息保护的主要责任或义务置于个人身上。也就是说,需要征求个人的同意,一旦得到同意,其他人就可以使用。在互联网时代,这种法律责任的侧重点实际上应该与前互联网时代不同。我个人认为,至少在目前的趋势下,个人信息保护的主要责任应该落在数据收集者和使用者身上。谁创造了风险,原则上应该对风险和风险的后果负责。这也是法律责任的主要考虑因素之一,该由哪一方承担风险。第二个因素是谁在整个事情中获得最大利益。用户获得了一定的便利,但这种便利与企业获得的商业利益,或者政府部门获得的监管利益相比,其实只是很小的一部分。谁从整个事情中获得最大利益,谁就应该对这个风险承担主要责任。第三个因素涉及到谁有能力阻止相应风险的出现。在传统的法律体系中,主要的风险都分配给了个人,所以个人必须保留自己的信息,你不应该轻易同意。但是你会发现,很多时候在网络时代,根本不现实。所以我判断未来信息保护的义务会落在收集者和用户身上,比如未来企业会如何遵守个人信息保护的规定。《信息安全技术 个人信息安全规范》,计划于2020年10月1日实施,在收集个人信息时增加授权同意。澎湃新闻:去年9月,在广西南宁,有人冒充中介公司通过人脸识别将卖家房屋过户,但卖家并未收到买卖款。一定程度上,这是因为普通人对人脸识别还不熟悉。可能产生什么样的后果或影响?认识不足。你认为如何防止这个问题?老东彦:这个新闻我也看到了,因为里面涉及的中介其实是骗子,现在当地政府真的是考虑方便老百姓,所以提倡网上转账。但是这种案例出来之后,你会发现其实风险是非常高的。我觉得刷人脸不是一件容易的事。有的时候你去高铁或者飞机就是刷脸信息。收集人脸数据的是公共机构,滥用和泄露的风险会更小。但是像房地产公司,一般公司,包括物业代收,这种风险会成倍增加。因为数据库谁可以使用,谁可以访问,如何保存,用在什么地方,都是不确定的。对于房屋转让等政府部门来说,涉及大量财产,并且正在向高科技方向发展,在考虑方便公众的同时,也必须考虑法律风险。就像房子过户,如果房子卖给第三方,第三方是不会知道的。事实上,即使监管部门和公安机关介入,也不可能将房屋收回并归还受害人。受害人的损失取决于被告是否挥霍了钱财。如果他把所有的钱都挥霍一空,充其量被告会被逮捕。你的财产,你的房产,被骗就是被骗。因为如果第三者善意取得,并以市场价格购买,则不可能从第三者手中拿回房屋,归还受害人。在这种情况下,有两个方面值得反思。从个人角度来说,更要提高警惕,企业作为执行主体,在人脸信息的采集上尤其要提高警惕;对于政府监管部门来说,涉及到如此大规模的财产流转,应该稳妥地控制风险。澎湃新闻:有时候,企业为了利益和便利,会使用人脸识别技术。此前有媒体报道,多地售楼处通过人脸识别技术,判断哪些客户是自己来的,哪些是中介带来的,买房时存在差价。条例出台?劳东彦:这不仅涉及房地产开发企业未经同意非法采集个人生物信息,还涉及商业场景中的歧视性使用。我认为这两个方面可能会引发相应的法律关注。第一个是未经同意收集客户人脸信息,这在现有法律框架内实际上是违法的。第二次征收后,也进行歧视性使用,这涉及到商业交易中的诚实和公平。安装人脸识别监控设备在某些行业相当普遍。一些地方媒体已经关注到这个问题,监管部门已经要求房企拆除相关设备,但其他地方可能没有这样的舆论事件,监管部门不给压力。在这样的场景下,个人不仅被莫名其妙地收集了生物数据,而且在买房时也可能因渠道不同而遭受相应的损失。差价可能不是几万,甚至几十万。这种事件需要大家引起重视,倒逼行业做出改变。美国国家标准与技术研究院(NIST)发起了人脸识别供应商测试。图片来源:NIST官网澎湃新闻:但在最新的民法典中,规定收集个人生物信息需要征得个人同意。例如,一些公司在未经个人同意的情况下收集个人生物信息。如果普通人要打官司,能打赢官司吗?空间?老东彦:我觉得一般人是没有办法告的。比如我去了那个地方,发现有摄像头。现在如果我要起诉对方,我怎么证明对方收集了我的数据呢?期望对方在未经我同意的情况下向我提供收集到的数据,无异于向虎求皮。上次开会,我也听实务部的同志说,这些官司(原告)大部分都败诉了。正如我刚才所说,在法律层面上,有一定的权利。如果没有相应的救济条款,这个权利是纸上谈兵,看起来很美,实际上是没有办法真正享受到的。因此,在互联网时代,对于个人信息的侵权(诉讼),如果按照现行的诉讼规则和举证责任,个人是没有办法维权的。对于生物识别信息的存储,《信息安全技术 个人信息安全规范》提出了新的要求。澎湃新闻:在现实生活中,如果拒绝使用人脸识别系统,会给生活带来很多不便。您认为普通人应该如何应对这种情况?老东彦:我觉得方便不方便应该是信息采集者给用户做的一个广告。你会发现,从人脸识别技术的应用中获得最大收益的绝对不是用户。一个月前,(据报道)清华大学实验室进行了如下实验,选取了20部手机,使用打印照片,15分钟内解锁了其中19部。我使用其他方法,例如密码或信用卡,这对我来说并不不方便。有一个平衡风险和收益的问题。为了方便,把人身安全,包括自己的财产安全,转移给他人,真的值得吗?人脸识别的风险不是学者想象的。(现实中)在很多违法犯罪场合都有使用,包括在黑市买卖人脸数据,一张人脸的数据可能一两块钱,甚至更便宜。这实际上已经大规模发生了,你不能仅仅因为它没有发生在你身上就认为这种风险是不可能的。类似于俄罗斯轮盘赌的问题,子弹肯定会走,只是你不知道它会不会打中你。为了确保人道主义援助的有效分配,国际红十字会使用了生物识别技术,但他们并没有将这些数据视为“金矿”,而是放弃了建立集中式数据库。图片来源:国际红十字会官网
