浙江理工大学特聘副教授郭兵:谁负责个人信息安全
郭兵是一个较真的人,无论工作还是生活,遇到不太公正的事,总习惯问个“为什么”。去年他把杭州野生动物世界告上法庭,就是因为年卡用户需要“刷脸”才能入园——为什么要人脸识别?法律依据是什么?谁来负责个人信息的保管?谁又来承担信息泄露的责任?
依照逻辑提出质疑,已成为他的一种职业习惯。郭兵是浙江理工大学特聘副教授,隐私保护和个人信息权益保护是近年来的研究重点。“人脸识别”等新技术正在渗入我们的日常生活,很多时候,郭兵费力交涉也得不到满意的结果,但下次遇到他还是会追问,“至少我的知情权要得到保证”。
10月末,他居住的城市杭州发布了一份关于“物业管理条例”的修订草案,规定不得强制小区业主通过指纹、人脸识别等生物信息方式使用公共设备。如果草案能通过审议,《杭州市物业管理条例》将成为国内首部针对“人脸识别”作出的地方性法规。而这条意见的提出者就是郭兵。以下是他对《极昼》的讲述:
郭兵。图源自浙江理工大学法政学院官网。
今年8月,我们小区物业在微信群推送了一条门禁升级通知,名头是加个健康码人脸识别(功能),某种意义上说就是一个强制刷脸的设备。
马上我就跟物业负责人交涉了。我说,“你们哪来的权利,要求业主进行人脸识别认证?这项技术现在争议非常大,而且存在很大的法律风险。” 物业的反馈是,“这是街道的要求”。街道的文件他们说会去要,但直到现在也没有提供,在小区里也没有公示过。
我当时还天真地以为,经我交涉后,物业不再强制推行,事情会不了了之的。直到上星期,我出门取快递,发现门禁设备不一样了,变成了一个拥有大屏幕的刷脸系统。我以为已经强制更新了,但仔细一看,设备下方还保留了原来的刷卡、扫码的方式,就想问题也不大,如果有业主愿意“人脸识别”,当然这是他的权利了。
但取完快递回家,我觉得还是不对劲:怎么设备上显示着我的健康码?还有一张非常小的照片,是很多年前我在物业登记时拍的。
原来在未经我同意的情况下,我的照片已经提供给第三方,用于人脸识别。更难以想象这又怎么跟健康码连上的,一个第三方技术公司,有这么强大的能力获取个人信息?
我马上在业主群里表达了对刷脸门禁的质疑,建议如果大家对物业的做法不满,可以联名通过法律程序寻求解决。很多邻居同意我的观点,但没人响应维权,我说愿意加入的可以私下联系,一直没有人联系我。
2020年3月,杭州某小区居民刷脸进入小区。图源自视觉中国。
实际上今年10月,我参加了《杭州市物业管理条例(修订草案)》的听证会,重点建议“修订草案”应该回应一下有关小区刷脸的争议。
我的建议从三个方面提的。小区物业掌握了业主非常多的个人信息,因此第一,应该在业主权利中明确规定业主所享有的隐私权、个人信息保护权。
第二是建议禁止向业主委员会授权,让委员会的几个成员单方面决定小区是否允许刷脸,应该由业主大会来表决,由全体业主共同决定。最后,物业管理企业也应该有义务保证,不强制要求业主通过人脸识别、指纹等生物识别技术使用公共设施设备。
当时也不知道这些建议会不会采纳。10月26日,朋友转发给我关于听证会后重新修改的草案,“企业义务”里就新增了一条规定:“不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备,保障业主对共用设施设备的正常使用权”。
其实还挺兴奋的,虽然不知道最终能不能通过杭州市人大的审议,但将“不能强制收集业主生物信息”放进草案,已经是非常大的进步了。
最近几年,隐私保护和个人信息权益保护是我的重点研究方向。最开始直接地感受到“人脸识别”,是好几年前,发现住酒店除了要提供身份证,还要人脸验证,去火车站开始刷脸进站。
我跟酒店工作人员有过好几次交涉,我就问,“身份证都给你了,看过了登记了,还要让我刷脸干什么?” 他们说是公安部门的要求。
我经常关注一个信息:刷脸的设备到底是谁提供的?印象中机器上会有相应的品牌信息,但从没有显示这是公安的要求,然而很多时候急着入住,也不可能跟酒店较真,没办法核实是不是公安的要求。
而火车站刷脸又是谁要求的,具体依据是什么?我们作为乘客,好像从来没得到过一个正儿八经的通知,就已经是这一个正在应用的方式了。刷脸所使用的技术是谁提供的?谁在负责我们的数据安全?好像也没有过解释。
目前刷脸技术正在更广泛地应用于各种生活场景,图为国内某机场通道。源自视觉中国。
推广人脸识别时,他们给的说法都是“很方便”,“还能帮助打击犯罪”。但个人信息中,最敏感的就是面部特征信息。如果泄露或非法利用,会对我们的人身、财产安全造成危害,还可能会危害公共安全甚至是国家安全。
我学法律的,第一反应倒不是有多担心或者害怕,只是习惯性地进一步去追问这些行为的依据是什么。
合理性是什么?在酒店办理入住,已经用身份证确认了身份,为什么还要去增加刷脸的要求,是不是重复了?是不是不必要地去收集个人的敏感信息?再就是合法性。他们到底有没有具体的法律依据,要求我们这样做?现在很多人脸识别的运用场景,可能在合法性上都存在一定的不足。
我第一次打官司就是和杭州野生动物世界。去年10月17日的晚上,动物世界给我发了条短信,大概意思说指纹识别要取消,年卡用户只能人脸识别入园,请尽快认证。我把短信截图发到朋友圈,说现在企业收集个人信息越来越过分了。又把截图发给一个检察院的朋友,本来想把线索提供给检察院,希望他们提起公益诉讼,推动阻止人脸技术可能引发的利益侵害。
朋友说会关注,但一个比较遗憾的现状是,现有的立法上,针对个人信息的公益诉讼是没有明确的法律依据的。从证据效力上讲,光靠一个截图也很难确认是不是动物世界发来的信息,万一是诈骗短信呢?
过了10天左右,我亲自跑到动物世界去确认。短信确实是他们发的,并且工作人员明确说,除了人脸识别,没有其他入园方式。但他们拿不出任何相关文件,我又从安全的角度问 ,技术是谁提供的,有工作人员说,“又不是我签的合同,我哪里知道,就是一个打工的”。
我就要求退卡,但也退不成,他们说卡上面明确写了,“本卡一经售出,概不退款”。但现在是动物世界单方面把之前的“指纹打卡入园”变更为“人脸识别入园”,从法律责任追究上讲,应该是他们承担违约责任。一番理论下,他们也给不出合理的退卡方案,去年10月28日,我就自己提起了诉讼。
今年6月案件开庭,郭兵以原告身份出庭。受访者供图。
后来我才知道,从去年4月份开始,他们要求年卡用户拍照,就是为了收集面部特征信息,用于后来的人脸识别设备。这是今年6月开庭前后杭州野生动物世界自己承认的。真的没想到会这么做。因为当时拍照,他们没有做任何解释,更没有交代这些个人信息怎么处理。个人意愿在毫不知情中被剥夺。
类似的事情还发生在今年6、7月份。我在平安车险买保险,缴费时就要求进行人脸识别认证。之前是上传身份证就可以,工作人员说今年系统升级了,必须要这样,没有其他方式。
整个沟通过程我都录音取证了,当时也想在这个事情上“较真”一下,打官司的,但杭州野生动物世界的案子(原定9月给出判决)期限延长了6个月,法院认为属于疑难复杂案件,我确实也没办法了,同时处理两个诉讼案耗费的精力和时间比较大,又着急买车险,只能被迫同意了刷脸认证。但我保留了所有证据,如果有必要,还是会采取法律手段。
去年下半年,我给学生上一门“法律实务”的课,给学生举了很多在校大学生为了某些“小事”去维权的案例。
之前有个浙大的学生,乘车时弄丢了车票,他拿12306发来的购票信息短信跟工作人员交涉,证明自己确实买票了,但车站坚持要求他补票,那个学生后来把铁路部门告上了法庭。我当时就跟学生讲,遇到类似情况可以尝试去发声,去维权。
法律赋予了我们作为公民的权利,但真正要启动维权,背后付出的成本是非常大的。就说我这个案件,人脸识别技术侵害用户权益或个人信息是大范围存在的,但从经济利益的角度讲,抗争显然是无利的,最后的赔偿可能连律师费都不够,你很少看到有谁会为了这个事情去打官司。
示意图。源自视觉中国。
身边很多法律行业的朋友,也办了杭州野生动物世界的年卡。媒体报道后,很多人私下跟我说,“你做了一件好事情”,但他们最后在家属的强烈要求下还是去了动物世界。家属可能认为刷一下脸不就好了,大家都去刷,难道它就会侵犯你一个人的权益?
其实法律的作用,并不局限于解决纠纷,解决纠纷只是法律制度功能的一个方面。更有价值的是在于,引导商业机构更加规范地开展它的经营活动,让商家不敢轻易违法,至少以后面对这样的事可能会更慎重一些。
普通人我其实不主张诉讼,因为我们现在的立法,对于侵害隐私或侵害个人信息设定的赔偿标准并不适合诉讼维权。对一般人而言,付出的精力和代价都太大。打官司并不是我们进行权利救济的唯一方式,也不是首要方式。
人脸识别技术也就是最近一两年开始大范围地使用,从火车站、酒店到小区门禁。我这两天还在跟物业沟通,怎么保证业主的信息安全?现在还没有给出说法,不知道是不是又想采取拖延战术。我们可以做力所能及的事情,比如向政府部门反映,或者投诉相关的商家,效果会相对弱一些,但如果大家都沉默,某种意义上就是在纵容“不法”的应用了。