制图:冯婧继机场、小区、智能路灯之后,人脸识别技术的应用延伸到了售楼处。近日,据央广《中国之声》报道,多地售楼处上线了人脸识别系统,隐藏摄像头可以拍下到访者的脸部信息,进行身份识别和分析,并采取差异化的营销策略。为避免“杀熟”,一些看房者无奈戴上了头盔。隐藏摄像头引发了人们的担忧,在个人毫不知情的情况下,它可以抓拍、存储个人的脸部信息,不同于密码,人脸无法更改。
但另一方面,“告知”和取得用户“同意”又意味着什么?一度火爆的换脸程序ZAO在用户协议中暗藏“霸王条款”,同意就意味着肖像权利人授予ZAO及其关联公司在全球范围内“完全免费、不可撤销、永久、可转授权和可再许可的权利”。
形式化的同意能保障个人信息安全吗?为此,澎湃新闻(www.thepaper.cn)专访了华东政法大学数据法律研究中心主任高富平教授。
人脸识别技术已被广泛应用于机场,进行身份核验。图片来源:Wikimedia Commons澎湃新闻:目前国内的人脸识别技术主要应用于身份核验,除了机场之外,它也开始出现在旅游景区、小区门禁。人们担心这项技术有被滥用的趋势,比如杭州的“人脸识别第一案”,您如何看?高富平:先看杭州野生动物园案,其核心是消费者权益问题。
杭州野生动物园出售年卡,在一年的服务期内,园方变更了入园的身份核验方式,原本用户凭年卡和指纹就能入园,现在改成了人脸,但变更没有获得消费者同意,也没有提供其他选择,不录入人脸信息就不让入园,这是一种变相强制。按照现有的法律来看,它属于消费者权益保护法的范畴。
但人脸识别确实引发了更广泛的关注,比如住宅小区。一些地区由街道或区一级部门以行政命令发文,要求辖区内所有住宅小区统一安装摄像头,这也不妥当。住宅小区是否采用新的门禁系统,这需要由业主或业主委员会决定,任何机构没有替代业主决定的权力。(编者注:2018年上海市松江区有居民反映,小区采用了人脸识别门禁系统,原有的小区门卡被强制淘汰,但对于项目从申报审核到建设验收的全过程,以及设备维护费用等细节,业主并不知情。市政府信箱登出了一次较为完整的问答。)
澎湃新闻:10月,《中华人民共和国个人信息保护法(草案)》公布,从现有的法律来看,人脸识别可以被应用于哪些目的?
高富平:单纯以身份核验为目的的人脸识别并不可怕,可怕的是人脸信息被滥用、泄露。特别是随着人工智能技术的发展,它可以被用于关联分析,即人脸被当作连接个体信息的标识符(identifier)——由于生物特征具有唯一性,无法更改,这是比个人的姓名、电话、家庭住址更有效的标识符,它可以匹配和关联个人的消费习惯、行踪轨迹,可以对用户进行“画像”,进而进行精准营销,甚至违法犯罪。
当人脸信息被非法存储或泄露后,无需接触个人、征得同意,甚至在个人毫无感知的情况下,某个系统就会处理你的数据,甚至对你作出“决策”,这很危险。
要解决这些问题,关键是对人脸信息的使用行为和安全性进行规范。在人脸信息的使用目的上,我们建议采用法定制,而非意定,它不应该由用户个人选择,法律需要对人脸识别的应用场景作出严格限定,超出范围即是违法。
根据10月公布的个保法(草案),在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,设置显著的提示标识。所收集的数据只能用于维护公共安全目的,不得公开或向他人提供。
澎湃新闻:谈及“同意”,我们常常陷入一种两难。一来人们强调需要保护用户的知情权,不能偷偷安装摄像头或使用应用程序,但另一方面,用户却面临“强制同意”,不同意就无法进入小区、景点,或无法安装应用程序,使用服务。我们到底“同意”了什么?
高富平:“形式化”的同意往往被曲解为“授权”(Authorization),比如一款应用程序会要求用户开放一连串个人信息的权限,地理位置、通讯录、相册等等,不同意“霸王条款”就无法使用,这是一种“被迫同意”。
(编者注:个保法草案第17条提出,个人信息处理者不得以个人同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。)
我是数据主体(Data Subject,即某些数据可以“描述”我),应用程序、商家或公共部门是数据使用者(Data User),数据主体的“同意”是允许数据使用者收集数据,并在特定目的范围内(具有合法性)使用数据。但这不等于“授权”——授权意味着给予使用者明确的权限,后者可以在权限范围内自由使用。
数据主体权利是人作为主体的权利,它不可放弃或让渡,但现阶段,“同意”被演绎为超范围采集和使用个人信息的工具,将“同意”与“授权”混为一谈,商家有了更多合法外衣,这是对个人权利的严重侵害。
澎湃新闻:对此,个人信息保护法(草案)做出了哪些相关规定?比如,数据使用者有哪些权利?
高富平:个保法更多强调的是数据使用者的责任和义务,而非权利。数据使用者可以如何使用数据,其权利更多体现在数据要素市场的建设中。
补充一下背景,我们曾研究个人信息保护法的源流。1973年瑞典推出了《数据法》(Data Act),它是世界范围内第一个全面规范个人数据隐私保护的国家。为什么会这么早?
实际上,瑞典的这部法案起草于1960年代,当时第三代计算机应用兴起,运算速度大幅提升,操作系统逐步成熟。但技术的进步引发了担忧,特别是1969年瑞典人口普查引发了人们对个人数据泄露的担忧。
二战期间,大量个人资料被分类、标签形成数据库,它为种族隔离甚至种族灭绝提供了便利。欧洲人由此意识到,看似中立的技术背后,个人数据的滥用会侵害个人的尊严、自由等基本价值。那么六七十年代的计算机进步会侵害人权吗?
可以说,个人数据保护法源自二战后人们对于人权的反思,七十年代开始,包括瑞典、德国、美国等国家陆续出台了相关法律,其确立的一些基本原则沿用至今。欧盟通用数据保护条例(GDPR)就有一条专门提及,个人的政治倾向、宗教、民族都属于敏感信息,不允许泄露。
澎湃新闻:但在大数据时代,这些敏感信息似乎更难得到保障。此前Facebook爆出丑闻,一家名为Cambridge Analytica(剑桥分析)的公司利用5000万用户数据,精准推送有倾向性的内容,进而影响用户政见。
高富平:确实,Facebook案让人们意识到,技术竟然可以有这样的应用。通过收集用户的社交网络数据,性别、种族、个人喜好、家庭状况、政治倾向、习惯、朋友圈,它会分析你的政治倾向,定向投放广告,精准推送新闻,以影响选民的判断。
法律应该避免这项技术的滥用。
你在社交网络上的行为数据也在“定义”着你,2018年,英国数据公司Cambridge Analytica(剑桥分析)爆出丑闻,利用Facebook用户数据,用于精准推送有倾向性内容,进而影响了包括英国脱欧在内的多个大事件。图片来源:The Great Hack《隐私大盗》预告片截图澎湃新闻:以人脸识别为例,敏感数据的存储及其安全性也引发关注。对此,现有法律有哪些相关规定?高富平:《互联网个人信息安全保护指南》第6.1条e项规定,“个人生物识别信息应仅收集和使用摘要信息,避免收集其原始信息”,也就是说,只能存储经过分析、处理后得到的可用于验证的信息,或者对数据进行“匿名化”处理。
此外,严格限定动态采集的人脸信息的存储。如果仅用于身份验证,那么完全可以即采即验,验过销毁。如果出于备案治安目的需要存储,就需要规定存储的明确期限(比如三个月),且调用和查看必需限于公共安全机构。
澎湃新闻:推动个保法的同时,我国也在推动数据要素市场建设,一面要保护数据主体的权利,一面要推动数据流通,二者如何兼顾?
高富平:最近华东政法数据法律研究中心大学承办了第三届中国数据法高峰论坛,讨论的就是这个议题,如何确保主体权利不受侵害,同时促进数据要素流通。对此,我们提出了一些共识。
比如,很多人对个保法的理解就是“我对我的信息做主”,但个保法的目的并不是让个人控制数据本身,前面我们提到的形式化“同意”,看似让个人控制数据,实际上是假借“同意”行授权挪用之实。所以个保法是对数据使用者的行为进行限定,避免其侵害个人权利。
此外,真正做到匿名化的数据(即“经过处理无法识别特定自然人且不能复原”)应被视为一种社会资源。比如医疗数据,它涉及个人隐私,但如果将患者的身份信息去除,医疗数据就可以用于医学和药物研究。
即便是被誉为“史上最严格个保法”的欧盟通用数据保护条例GDPR,也存在一些模糊甚至自相矛盾的地方。
一方面,它试图建立一套体系,鼓励对个人数据进行“社会化利用”。比如它设置了“目的相容性”原则,只要和初始确定的目的范围相兼容,就可以再使用甚至对外提供数据。但另一方面,它还是确立了一套基于“同意”的制度,个人可以撤回、拒绝、删除、甚至带走自己的数据。企业为了规避风险、减少沟通成本,还是设置了一个简单的勾选框。看似简单的勾选,能否真正保护到数据主体权利,还是个未知数。
对此,法律仍在探索。
(本文来自澎湃新闻,更多原创资讯请下载“澎湃新闻”APP)