如今对生物识别信息的保护依然是远远不足的
全国人大及其常委会有必要考虑
对生物识别信息进行单独立法
顾城拒绝“刷脸”回家。
每次到小区门口门闸前,他都拒绝对摄像头亮出脸,而是直接叫保安开门,有时遇到别人刷脸开闸,他就尾随在后一起通过。
顾城租住在天津诚基经贸中心(下称“诚基中心”)。2021年3月他搬入时,被告知小区只能刷脸进入,没有其他进入方式。
想要入住,顾城必须向物业公司提供自己的人脸信息。
图/视觉中国
人脸信息是生物识别信息的一种,属于敏感个人信息。每个人只有一张脸,如果人脸信息被随意采集和滥用,隐患极大。近年来,尽管保护人脸信息的法律法规层出不穷,但公共场所的人脸采集设施越来越多。
2021年8月1日,最高人民法院关于人脸识别的司法解释正式实施,要求物业公司不得将人脸识别作为唯一的通行验证方式。
据此,顾城起诉物业公司,要求物业公司为他提供其他通行验证方式,同时删除他此前提供的人脸信息。
2022年5月18日,天津市第一中级人民法院二审法院判决,支持了他的诉求。
“凭什么强制我刷脸进门?”
2021年3月,26岁的顾城在网上签约租住了诚基中心的一套公寓。在拎包入住当天,他从房屋中介口中得知,小区只提供人脸识别的方式出入。
“因为房子我已经签了,如果不住的话,还得付违约金。”顾城与多数怕麻烦的租户一样,虽然心生怀疑,但还是硬着头皮让物业拍照录入人脸,登记姓名、身份证号等信息。
安顿下来后,顾城发现,人脸识别机旁边就有刷门禁卡的位置,但物业不给办理门禁卡。他曾向保安询问,对方表示人脸识别是“为了业主的安全”,物业人员则答复他,安装人脸识别门禁,经过了业主委员会的同意,还有街道和社区这些官方组织的参与。
诚基中心的“刷脸”系统的确是为加强防护启用的。这是位于天津市和平区商务核心区的商住两用小区,由2栋 33层和 1栋 50层的超高楼宇构成,拥有居民住房 5536套,商户 400家,容积率达 17.5。
在新冠疫情暴发之前,诚基中心就安装了人脸识别系统的装置,原计划在2020年6月调试启用,但由于新冠疫情的暴发,在2020年2月前后,这套系统就被提前启用。
天津市在2020年1月24日启动《天津市应对新型冠状病毒感染的肺炎应急预案》一级响应。
“我们以高度的敏感性对形势进行了预判,经过多个部门的研究商讨,决定紧急启用人脸识别系统。”社区党委书记陈思延在2020年2月公开表示,要保障疫情得到有效防控,必须进行人防+技防相结合的模式,基本原则就是“堵住口、卡住门、看住人”。启用人脸识别系统,是诚基中心“技防”的重要一步。
陈思延还介绍,诚基中心的人脸信息数据通过四种方式采集:一是网格员上门入户采集;二是居民自主到物业公司客服中心采集;三是居民自主采集,然后微信发给网格员;四是居民把照片以邮件形式发到社区邮箱进行采集。
但顾城意识到,如果只有“刷脸”一种选择,可能侵犯他自己的权益,“自从住进诚基中心以后,我就一直疑惑:凭什么强制我用人脸识别进门?”
他表示,诚基中心的物业并不能给他足够的安全感,“采集我的人脸信息之后,怎么传输,怎么使用,存储在哪里,我都一无所知,我不想把人脸信息交给这种没被证明可信任的机构来管理”。
顾城的担忧不无道理。北京炜衡(成都)律师事务所律师魏冬冬告诉《中国新闻周刊》,一些大的互联网公司或是强监管领域的银行等机构,合规体系相对完善,但一些小的企业,尤其是小物业公司,则是漏洞百出,明文存储敏感个人信息是常态,也不把用户人脸信息和身份信息分开存储。
与用户的数据安全相比,小公司会更注重成本和利润。魏冬冬说,许多小物业公司购买的数据处理设备比较落后,并没有完善的安全防护措施。
她甚至了解到,有的物业公司的人脸识别设施和员工考勤指纹打卡的设备价格都极为低廉,而设备供应商愿意低价供货的原因,就是为了收集用户的人脸等敏感个人信息。
“用户的信息可以拿去卖钱,给供应商增加收益,所以很可能你我的人脸早就不知道被转卖了多少手了。”魏冬冬说。
作为敏感个人信息,人脸信息具有唯一性、易获得性和安全性三个特性。魏冬冬说,其中,“唯一性”在于不可变更,“密码丢了可以更改,但人只有一张脸,只有这一把钥匙,如果被盗,是无法更改的”,而“易获得性”在于,只要远远安一个摄像头,就可以获取人脸信息,这导致人脸识别技术便于用来跟踪人的行踪轨迹,这就引申至“安全性”。
“由于人脸信息和人是绑定的,需要真人到访才能提供,较难仿冒,人脸常被用于关键场所的出入身份验证和支付验证等重要场景,但近年也出现了利用人脸图片、3D模型和深度合成技术制作的视频骗过人脸验证的事件。”魏冬冬说。
如何处理人脸信息才算恰当?魏冬冬说,无论是物业还是写字楼要收集人脸信息,首先应获取个人的单独同意,让其在载明人脸信息处理规则的清单上签字,获得同意后才可采集人脸信息,与此同时,还应给住户提供替代的通行方式。
天津诚基经贸中心的人脸识别门禁。图/受访者提供
采集了人脸信息后,也要采取适当的技术措施去处理。魏冬冬介绍,首先在信息比对的环节,应尽量在本地完成人脸信息的比对,减少传输过程;其次,若需存储,不存储人脸照片或视频本身,一般需要处理成“消息摘要”。消息摘要就是将任何一张人脸信息使用算法将其“翻译”成一串唯一的字母数字组合,由于消息摘要是不能逆向还原为人脸信息本身的,所以可以防止人脸信息本身的泄露。
不过,魏冬冬指出,前述这些措施都只是推荐性国家标准的要求,不是强制性法律义务,只能作为行政执法的参考,而非直接的执法依据,对人脸识别的法律规制,还有赖于国家网信办统筹协调有关部门出台的人脸识别保护的细则、标准。
一审曾败诉
2021年8月1日,最高人民法院出台《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(下称《人脸识别司法解释》)生效施行。
在法学界看来,这份司法解释对处理人脸识别信息进行了有力的规范,其不仅规范了宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所和物业公司的采集人脸信息行为,还涉及举证责任和维权合理开支等细节。
对于顾城遇到的情况,《人脸识别司法解释》第十条规定,“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,法院依法予以支持”。这意味着,顾城对物业采集人脸的拒绝“有法可依”。
司法解释实施第二天,顾城再度向物业公司表达拒绝刷脸的诉求,要求其他通行方式,但仍然被拒绝。2021年8月9日,他委托律师向物业公司快递律师函,对方在8月19日签收后仍无回应,他决定起诉。
同年9月3日,天津市和平区人民法院对顾城的起诉立案,案由为“隐私权纠纷”,被起诉的诚基中心物业公司全名为兰州城关物业服务集团有限公司天津分公司(下称“城关物业”),顾城的诉讼请求包括物业删除他的人脸信息,停止对他人脸信息的处理,并出具相关信息已删除完毕的书面证明,为他提供其他能保证隐私权的便利出入诚基中心的方式,以及赔偿律师费和诉讼费用。
顾城方除了援引《人脸识别司法解释》第十条和第八条之外,还提到当时已由全国人大通过,即将生效的《个人信息保护法》第十五条:基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。
顾城诉称,他曾多次要求城关物业删除他的人脸识别信息,并提供其他合理验证方式,但对方明确表示拒绝。城关物业拒绝删除他的人脸识别信息,使用人脸识别作为出入服务区域的唯一验证方式,侵犯了他的人格权,违反了处理人脸信息需要遵循的“合法、正当、必要”原则。
城关物业辩称,人脸识别信息采集是通过业主委员会、综合治理办公室、社区、街道办共同完成的工作,同时在天津市公安局和平分局进行联网监控,符合现在疫情管控要求,顾城的人脸信息只在门禁上使用,存储在内部数据库和硬盘里,该数据库没有跟网络连接。
和平区法院采信了城关物业的观点。法院认为,鉴于诚基中心居住人员众多,使用顾城人脸信息,是按照天津市疫情防控的相关规定和要求,“确为疫情防控的必要措施和需要”,此外法院还认为,顾城提供的相关证据,不能证明城关物业侵犯了他的隐私权。据此,一审法院驳回了顾城的全部诉讼请求。
“一审败诉有点出乎意料。”顾城说,“案情很简单,法条也很清晰,觉得法院最多不支持赔偿律师费,但是不会在问题定性上产生分歧。”
劳东燕是清华大学法学院教授,长期关注个人信息保护,她告诉《中国新闻周刊》,顾城案的一审判决“对于现行的法律规定理解明显是错误的”。她指出,在《个人信息保护法》中明确规定撤回同意就可以删除,而根本没有规定必须证明数据处理者在处理过程中存在安全方面的隐患,个人才可以行使删除权。
“如果像顾城案一审法院这么理解的话,任何个人都势必会败诉,因为个人根本没法证明数据处理者处理个人信息的行为存在安全隐患,除非个人信息已经被泄露了,但即使泄露了,也很难证明是谁泄露的。”她说。
劳东燕还提出,一审法院考虑到疫情防控的因素,而驳回顾城的诉求,也存在对法律的理解偏差。“疫情已经不能说是突发状态,更何况《个人信息保护法》和《人脸识别司法解释》都是疫情期间公布的,自然可以推断是适用于疫情期间的。”
她指出,一审法院可能过多地考虑到了疫情防控需要,“但是疫情防控也应该守法,在法治的轨道上进行,不能把临时性的政策性规定凌驾于法律之上”。
顾城决定上诉。他与律师复盘,一审之所以败诉,有可能是因为案由被定为“隐私权纠纷”,由于他无法证明自己的信息已被泄露,因此无法认定隐私权受到侵害。二审上诉时,上诉案由变为“个人信息保护纠纷”,在个人信息保护方面,举证责任在物业方。
2022年5月18日,天津市第一中级人民法院对此案二审判决,支持了顾城的诉求。
法院认为,城关物业于2020年2月启用人脸识别系统作为业主及物业使用人出入验证方式,能够更精准识别出入小区人员,使小区管理更加安全、通行更加高效,在新冠肺炎疫情防控中发挥了较大作用,并不违反法律规定。但是,顾城办理入住时,虽然同意城关物业提取其人脸信息作为通行验证方式,但此后多次就城关物业提取人脸信息作为唯一的验证通行方式提出异议。城关物业拒绝为顾城提供其他验证方式,这种做法与《人脸识别司法解释》第十条相悖。
因此二审法院认为,城关物业应积极履行法律义务,删除顾城的人脸信息,并为其提供其他验证方式,并承担顾城因本案诉讼支出的律师费等合理费用。
有必要考虑单独立法
如今人脸识别装置在全国各个小区“全面开花”,如何规范物业公司对住户人脸的采集行为?地方法规已经先行一步。
浙江理工大学法政学院副教授郭兵告诉《中国新闻周刊》,今年3月1日,最新修订的《杭州市物业管理条例》施行,其中增加了规定,“物业服务人不得强制业主通过指纹、人脸识别等生物信息方式进入物业管理区域或者使用共有部分。”
郭兵曾参与修订《杭州市物业管理条例》的听证会,并针对人脸识别信息的保护提出建议。当时,他的身份除了是法学专家,还是“中国人脸识别第一案”的发起人。
那是在2019年10月,身为杭州野生动物世界年卡会员的郭兵,被通知未经注册人脸识别,其所购年卡将无法正常入园,他不愿被采集人脸信息,要求退卡退费被拒,于是将动物世界告上法庭。
经法院判决,动物世界最终删除了郭兵办理年卡时提交的面部特征信息,赔偿了他合同利益损失及交通费。2020年,在这起引发广泛关注的诉讼期间,《杭州市物业管理条例》开始修订,在全国率先启动强制人脸识别禁止性条款的地方立法。
紧随其后,《四川省物业管理条例》在2021年开始修订,其中更加明确了业主委员会及委员、候补委员和物业服务人等主体,不得泄露业主信息或者将业主信息用于与物业管理无关的活动;同时明确了物业服务人不得以强制业主通过指纹、人脸识别等生物信息的方式使用共用设施设备。
我国首部《个人信息保护法》在2021年11月1日起施行,突出了对生物识别信息作为敏感个人信息的特别保护,其中指出:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。”敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
只有具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。与普通的个人信息相比,《个人信息保护法》规定,处理个人敏感信息应该进行更多的告知,包括相应的风险,以及应当取得个人的单独同意。
但是,在劳东燕看来,《个人信息保护法》将一般个人信息和敏感个人信息做了区分,体现了强化保护后者的精神,这种“强化”仍有明显的不足之处。
“突出保护敏感个人信息的地方,其实只在于征求同意的环节,其他地方和普通个人信息几乎没有差别,并没有在实质上抬高法律保护的门槛。”劳东燕认为,从法律层面来说,如今对生物识别信息的保护依然是是远远不足的,全国人大及其常委会有必要考虑对生物识别信息进行单独立法,不应放在《个人信息保护法》的框架下来保护。
劳东燕还指出,《个人信息保护法》第二十六条规定,“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识;所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。”这一条款存在用“公共安全”作为“口袋”的嫌疑。
“如果对这里面的‘公共安全’做扩张性的解释,实际上就意味着除了家里,几乎所有地方都可以安装人脸识别装置,比如地铁、小区,甚至楼道。”她认为,当以“公共安全”作为理由写入立法后,就要对其进行严格的解释和限定,不然就可能将过滥的人脸信息收集予以合法化。
此外,人脸信息收集的滥用,可能造成大量的信息泄露,产生许多事故和纠纷。“当问题洪水一般涌来,会给后端的监管和执法带来特别大的压力,而执法资源是有限的。”劳东燕说,除了信息采集的滥用,还要关注对信息的保管与使用环节的规制,以及如何更好地行使删除权。
2019年起诉杭州野生动物世界时,郭兵曾要求在第三方专业技术机构的见证之下,动物世界删除他的人脸信息,但没有获得法院支持。
“我到现在仍然认为,这是删除权的最佳实现方式。”他指出,在顾城的案子里,城关物业自称将人脸信息存储在“内部数据库和硬盘”,难以确保保密性,而对于顾城的“脸”到底删没删,也不能听信对方的一面之词。
责任编辑:祝加贝