论文部分内容阅读
2020年3月,清华大学法学院教授劳东燕发现,她居住的小区贴出安装人脸识别门禁系统的公告,要求业主提供房产证、身份证、人脸识别等信息。物业对于个人信息的粗暴收集方式和业主防范意识的淡薄引起了她的不安,令她最担心的是数据的保存,“物业有何动力维护和保护这个数据系统?数据由谁保管?怎么保护?”
借助专业背景做了一系列研究后,她把搜集到的有关人脸识别风险的报道和法律依据,发到两个各有数百名业主的微信群里,一方面是提醒大家,另一方面也是希望得到物业回应。
人脸识别是近年AI浪潮中的标志性技术,被广泛应用于安防、金融等领域。MarketsandMarkets咨询公司研究预计,到2024年,全球面部识别市场规模达70亿美元。从2015年到2019年,人脸识别、视频监控的专利申请数量从1000件飙升到3000件,其中四分之三在中国。
→合肥红星路小学,老师通过智慧校园人脸识别闸机系统进入校园。
中商产业研究院的《2019年中国人脸识别行业市场前景研究报告》显示,据测算,2018年中国人脸识别行业市场规模突破100亿元大关,随着人脸识别技术在各行业应用渗透的不断深入,预计2019年人脸识别市场规模在120亿元左右。
在支付宝、微信等支付应用和各大手机厂商推广下,人脸识别正在逐步替代传统的密码安全系统,在公司、商场、机场、学校等场景下,人脸识别技术可以提升管理效率,提升交互体验。但人脸作为生物识别信息具备唯一性,一旦发生信息泄露风险不可预估。
支付宝在最新的隐私权政策中显示,仅在若干情形下向第三方共享或转让数据:某些服务可能由第三方提供或由支付宝与第三方共同提供,由此只有共享信息才能提供服务;事先获得用户明确同意等。在另一份用户规则中,支付宝还写道,为了提高验证准确性,“用户同意我们在必要时将您向我们提供的人脸图像,与法律法规允许或政府机关授权的机构所保存的您的人脸图像进行比对核验”。
尽管每家公司都坚称会将保护用户的数据隐私安全放在首位,但现实却是我们的数据并没有那么安全。2018年7月,浙江绍兴一名叫张富的大专毕业生,利用非法购买的公民个人身份信息,将相关公民的照片制成3D头像,通过支付宝人脸识别认证。在他被查获的电脑里,警方发现了2000万条公民个人信息。2019年,18岁、初中文化的田某,通过抓取、拦截、保存银行系统下发的人脸识别身份信息数据包,在一个手机银行App内使用虚假身份信息成功注册了账户。
人脸识别技术的广泛应用正在引发越来越多个体的警觉。
2019年5月,英国首宗人脸识别诉讼开庭,英国人布里奇斯將南威尔士警察局告上了法院,认为后者在公共区域扫描分析他的脸部数据,未经其知情同意,侵犯隐私。但法院认为警方从闭路监控中抽取人像信息,跟嫌疑人面部信息进行对比,如果匹配未成功,数据立马删除,如果匹配成功了保留24小时,这都在合法范围内。
2020年6月15日,浙江杭州富阳区人民法院,被称为“中国人脸识别第一案”开庭审理。对簿公堂的是浙江理工大学副教授郭兵和杭州野生动物世界,因动物园改装系统,不注册人脸识别将无法入园,也无法办理退卡退费,年卡用户郭兵将园方告上法庭。
郭兵和劳东燕一样,只是作为普通市民出现在事件中,因为专业背景的缘故,他们面对强制使用的人脸识别技术多问了几个问题,这撬动了舆论的反思意识。郭兵曾在接受采访时说,除了感到权益受到侵害,作为一个教授法律的大学老师,他更希望推动一个具有公益性质的诉讼:在个人信息失控的当下,促成相关制度的完善。
北京航空航天大学法学院副教授余盛峰甚至认为,“当代隐私的最大敌人已不是某项技术,而是数字社会本身对于数据的无限欲望,以及‘连接一切’意识形态所带来的自由幻觉”。因为狭义的人脸识别只是固态机器的认证,而广义的人脸识别,则涉及整个生存空间的数字化和监控化。
一项《人脸识别应用公众调研报告(2020)》显示,64.39%的受访者认为人脸识别技术有滥用趋势,超过三成的受访者表示已经因人脸信息泄露、滥用等遭受损失或隐私被侵犯。
劳东燕、郭兵这些个体的“挣扎”也提醒着人脸识别的利益相关群体,合法合规的问题不解决,大规模商用就存在着巨大隐患。
争议还出现在人脸识别的使用范围如何界定。
2019年8月,中国药科大学在一些教室安装了人脸识别设备,除具有考勤功能外,这种设备据称还可以追踪、识别学生听讲、发呆、睡觉等上课状态。相较于常见的用于门禁“刷脸”的身份识别能力,识别人的状态对技术提出了更高的要求。
消息一经公布,起初的论调是学校应用了先进的AI技术,但过了不久,舆论开始对教室里无时无刻的监控感到担忧。教育部科技司司长雷朝滋2019年9月初公开回应称:“包含学生的个人信息都要非常谨慎,能不采集就不采,能少采集就少采集,尤其涉及个人生物信息的。”
类似的案例在欧洲就曾遇到重罚。瑞典一所高中因使用了人脸识别系统记录学生的出勤率,经过调查后被认定学校对学生个人信息处理不符合GDPR(《通用数据保护条例》)的规定,收到了第一张基于GDPR的罚单,金额为20万瑞典克朗(约合人民币14.5万元)。
2018年,被称为“史上最严”的数据保护法规——GDPR在欧洲生效。按照规定,任何机构,无论是政府还是企业,要触动任何人的隐私权时,必须得到个人的允许。而违规收集个人信息(其中包含指纹、人脸识别等)、没有保障数据安全的互联网公司,最高可罚款2000万欧元或全球营业额的4%。 我国之前采取分散立法的模式进行个人信息保护,个人信息保护的相关规定分布在全国人大常委会出台的《关于加强网络信息保护的决定》,刑法修正案(九)整合规定的侵犯公民个人信息罪,以及《网络安全法》和《民法典》等各种法律法规中。
但尴尬的现实是,以《民法典》为代表的私法救济路径,目前不足以拯救海量的个人信息泄露。而以《刑法》为代表的公法打击路径,目前也抓不完非法使用、泄露信息的犯罪活动。而根据相关司法解释,非法出售、提供、获取特定(敏感)个人信息50条即可构成犯罪。在每日产生海量个人数据的今天,不能一网打尽某种程度就意味着法不责众。况且,在规则尚不明确的灰色地带频繁触动刑法不仅代价高昂,同时也会带来罪刑不均衡的问题。
北京和昶律师事务所律师王亮亮认为这是“法律组合拳”出错了力。个体无力维权,群体也面临着集体诉讼的诸多难题,成本收益严重不平衡的情况下,指望公民通过民事訴讼维权的方法无法形成有效制约。
目前看来最有效的监管手段是行政处罚。通过经济手段,政府执法机构与企业形成“巨额罚款—监督整改—形成规则”的公平信息实践,这样不仅可以有效保护个人信息,也不至于抑制产业发展。但相比于欧美各国政府对互联网巨头的密切监控和时常开出的天价罚单,我国对个人信息违法行为的行政处罚的力度还很弱,罚款几乎低于违法收益。以《网络安全法》第六十四条为例,侵犯公民个人信息,有违法所得的没收,处违法所得一倍以上十倍以下罚款;没有违法所得的,处一百万元以下罚款。
“行政执法位于柔和的民法救济与剧烈的刑法打击之间,具有辗转腾挪的余地,执法方式多样,包括约谈、通报批评、限期改正,罚款等措施都能在不同层次上发挥效果。”王亮亮表示。
值得注意的是,讨论的另一现实语境是疫情,于是需要受到监管的不只是企业,还有公共部门。
虽然大量敏感性数据管理机构自身有严格管理,如地方政府如果想要调取公民的手机定位记录,要么公民自身进行单次授权,要么需中央、地方多层级多单位的依次审批。要调取银行交易数据,只有司法机关有权限。
但在疫情管控的强需求下,大到公安、交通、电信运营商,小到社区、商场、超市,物业人手不够,又要对付查证、测温和登记等多道流程,恰有机器换人的需求,数据也随之生成,一下子扫码填身份证号无处不在,人脸识别更是常有。劳东燕的遭遇正是在这种背景下发生的。
华南师范大学法学院副研究员马颜昕在调研中就发现,防疫中大量疫情信息并不是从专门数据管理部门流出,而是由社区、卫健委等基层工作人员流出,说明基层没有建立起严格的数据使用审查框架。
赵鹏表示,在疫情期间,公共危机下可以扩充政府的权力,但这些做法不应常态化。
(摘自《南风窗》2020年第23期。作者为该刊记者)
借助专业背景做了一系列研究后,她把搜集到的有关人脸识别风险的报道和法律依据,发到两个各有数百名业主的微信群里,一方面是提醒大家,另一方面也是希望得到物业回应。
个体的警觉
人脸识别是近年AI浪潮中的标志性技术,被广泛应用于安防、金融等领域。MarketsandMarkets咨询公司研究预计,到2024年,全球面部识别市场规模达70亿美元。从2015年到2019年,人脸识别、视频监控的专利申请数量从1000件飙升到3000件,其中四分之三在中国。
中商产业研究院的《2019年中国人脸识别行业市场前景研究报告》显示,据测算,2018年中国人脸识别行业市场规模突破100亿元大关,随着人脸识别技术在各行业应用渗透的不断深入,预计2019年人脸识别市场规模在120亿元左右。
在支付宝、微信等支付应用和各大手机厂商推广下,人脸识别正在逐步替代传统的密码安全系统,在公司、商场、机场、学校等场景下,人脸识别技术可以提升管理效率,提升交互体验。但人脸作为生物识别信息具备唯一性,一旦发生信息泄露风险不可预估。
支付宝在最新的隐私权政策中显示,仅在若干情形下向第三方共享或转让数据:某些服务可能由第三方提供或由支付宝与第三方共同提供,由此只有共享信息才能提供服务;事先获得用户明确同意等。在另一份用户规则中,支付宝还写道,为了提高验证准确性,“用户同意我们在必要时将您向我们提供的人脸图像,与法律法规允许或政府机关授权的机构所保存的您的人脸图像进行比对核验”。
尽管每家公司都坚称会将保护用户的数据隐私安全放在首位,但现实却是我们的数据并没有那么安全。2018年7月,浙江绍兴一名叫张富的大专毕业生,利用非法购买的公民个人身份信息,将相关公民的照片制成3D头像,通过支付宝人脸识别认证。在他被查获的电脑里,警方发现了2000万条公民个人信息。2019年,18岁、初中文化的田某,通过抓取、拦截、保存银行系统下发的人脸识别身份信息数据包,在一个手机银行App内使用虚假身份信息成功注册了账户。
人脸识别技术的广泛应用正在引发越来越多个体的警觉。
2019年5月,英国首宗人脸识别诉讼开庭,英国人布里奇斯將南威尔士警察局告上了法院,认为后者在公共区域扫描分析他的脸部数据,未经其知情同意,侵犯隐私。但法院认为警方从闭路监控中抽取人像信息,跟嫌疑人面部信息进行对比,如果匹配未成功,数据立马删除,如果匹配成功了保留24小时,这都在合法范围内。
2020年6月15日,浙江杭州富阳区人民法院,被称为“中国人脸识别第一案”开庭审理。对簿公堂的是浙江理工大学副教授郭兵和杭州野生动物世界,因动物园改装系统,不注册人脸识别将无法入园,也无法办理退卡退费,年卡用户郭兵将园方告上法庭。
郭兵和劳东燕一样,只是作为普通市民出现在事件中,因为专业背景的缘故,他们面对强制使用的人脸识别技术多问了几个问题,这撬动了舆论的反思意识。郭兵曾在接受采访时说,除了感到权益受到侵害,作为一个教授法律的大学老师,他更希望推动一个具有公益性质的诉讼:在个人信息失控的当下,促成相关制度的完善。
北京航空航天大学法学院副教授余盛峰甚至认为,“当代隐私的最大敌人已不是某项技术,而是数字社会本身对于数据的无限欲望,以及‘连接一切’意识形态所带来的自由幻觉”。因为狭义的人脸识别只是固态机器的认证,而广义的人脸识别,则涉及整个生存空间的数字化和监控化。
一项《人脸识别应用公众调研报告(2020)》显示,64.39%的受访者认为人脸识别技术有滥用趋势,超过三成的受访者表示已经因人脸信息泄露、滥用等遭受损失或隐私被侵犯。
劳东燕、郭兵这些个体的“挣扎”也提醒着人脸识别的利益相关群体,合法合规的问题不解决,大规模商用就存在着巨大隐患。
谁能收集我的脸,争议不断
争议还出现在人脸识别的使用范围如何界定。
2019年8月,中国药科大学在一些教室安装了人脸识别设备,除具有考勤功能外,这种设备据称还可以追踪、识别学生听讲、发呆、睡觉等上课状态。相较于常见的用于门禁“刷脸”的身份识别能力,识别人的状态对技术提出了更高的要求。
消息一经公布,起初的论调是学校应用了先进的AI技术,但过了不久,舆论开始对教室里无时无刻的监控感到担忧。教育部科技司司长雷朝滋2019年9月初公开回应称:“包含学生的个人信息都要非常谨慎,能不采集就不采,能少采集就少采集,尤其涉及个人生物信息的。”
类似的案例在欧洲就曾遇到重罚。瑞典一所高中因使用了人脸识别系统记录学生的出勤率,经过调查后被认定学校对学生个人信息处理不符合GDPR(《通用数据保护条例》)的规定,收到了第一张基于GDPR的罚单,金额为20万瑞典克朗(约合人民币14.5万元)。
2018年,被称为“史上最严”的数据保护法规——GDPR在欧洲生效。按照规定,任何机构,无论是政府还是企业,要触动任何人的隐私权时,必须得到个人的允许。而违规收集个人信息(其中包含指纹、人脸识别等)、没有保障数据安全的互联网公司,最高可罚款2000万欧元或全球营业额的4%。 我国之前采取分散立法的模式进行个人信息保护,个人信息保护的相关规定分布在全国人大常委会出台的《关于加强网络信息保护的决定》,刑法修正案(九)整合规定的侵犯公民个人信息罪,以及《网络安全法》和《民法典》等各种法律法规中。
但尴尬的现实是,以《民法典》为代表的私法救济路径,目前不足以拯救海量的个人信息泄露。而以《刑法》为代表的公法打击路径,目前也抓不完非法使用、泄露信息的犯罪活动。而根据相关司法解释,非法出售、提供、获取特定(敏感)个人信息50条即可构成犯罪。在每日产生海量个人数据的今天,不能一网打尽某种程度就意味着法不责众。况且,在规则尚不明确的灰色地带频繁触动刑法不仅代价高昂,同时也会带来罪刑不均衡的问题。
北京和昶律师事务所律师王亮亮认为这是“法律组合拳”出错了力。个体无力维权,群体也面临着集体诉讼的诸多难题,成本收益严重不平衡的情况下,指望公民通过民事訴讼维权的方法无法形成有效制约。
目前看来最有效的监管手段是行政处罚。通过经济手段,政府执法机构与企业形成“巨额罚款—监督整改—形成规则”的公平信息实践,这样不仅可以有效保护个人信息,也不至于抑制产业发展。但相比于欧美各国政府对互联网巨头的密切监控和时常开出的天价罚单,我国对个人信息违法行为的行政处罚的力度还很弱,罚款几乎低于违法收益。以《网络安全法》第六十四条为例,侵犯公民个人信息,有违法所得的没收,处违法所得一倍以上十倍以下罚款;没有违法所得的,处一百万元以下罚款。
“行政执法位于柔和的民法救济与剧烈的刑法打击之间,具有辗转腾挪的余地,执法方式多样,包括约谈、通报批评、限期改正,罚款等措施都能在不同层次上发挥效果。”王亮亮表示。
值得注意的是,讨论的另一现实语境是疫情,于是需要受到监管的不只是企业,还有公共部门。
虽然大量敏感性数据管理机构自身有严格管理,如地方政府如果想要调取公民的手机定位记录,要么公民自身进行单次授权,要么需中央、地方多层级多单位的依次审批。要调取银行交易数据,只有司法机关有权限。
但在疫情管控的强需求下,大到公安、交通、电信运营商,小到社区、商场、超市,物业人手不够,又要对付查证、测温和登记等多道流程,恰有机器换人的需求,数据也随之生成,一下子扫码填身份证号无处不在,人脸识别更是常有。劳东燕的遭遇正是在这种背景下发生的。
华南师范大学法学院副研究员马颜昕在调研中就发现,防疫中大量疫情信息并不是从专门数据管理部门流出,而是由社区、卫健委等基层工作人员流出,说明基层没有建立起严格的数据使用审查框架。
赵鹏表示,在疫情期间,公共危机下可以扩充政府的权力,但这些做法不应常态化。
(摘自《南风窗》2020年第23期。作者为该刊记者)