“人脸识别在短短两三年内大范围应用,跟资本推动有很大关系,企业也有套现上市的动力,是最为积极的力量。”近日,在搜狐科技主办的《中国创新公司100》第三期沙龙上,清华大学法学院长聘教授劳东燕在谈到人脸识别快速发展的原因时说到。
她表示,社会管理尤其是疫情防控的需要,也推动加快了人脸识别的普及应用。与此同时,各方大大低估了人脸识别带来的风险,使得其在推广的过程中遇到的阻力很小,不仅是舆论阻力小,在法律层面遇到的挑战也比较小。
劳东燕认为,人脸识别在近些年有泛滥成灾的趋势,但目前法律还是把重心放在人脸信息和个人信息的非法收集方面,对滥用问题关注不够。如果从法律层面来讲,不合法、不正当或不必要的使用,就是滥用。
她进一步解释称,不合法是指违反国家相关的法律法规,不正当主要是指歧视性使用,比如对不同种族或民族等实行不平等对待,以及商业场景中的宰熟等。不必要则是指有其他更为缓和或温和的手段可实现相同目的而使用人脸识别,比如将人脸识别引入到学校、商场等场景,其实就缺乏必要性。
清华大学法学院长聘教授劳东燕
人脸识别主要“便利”技术使用方而非用户
目前,推广人脸识别常常宣称的两大主要理由,一个是便利,一个是安全。劳东燕认为,这两个理由都不成立。
就便利的因素来说,除人脸识别之外,有些场景完全可以采取其它比较缓和的手段,同样能够实现便利的需要。同时,人脸识别的可靠性比较差,容易被冒用或伪造,受深度伪造技术的影响。这种情形之下,凡是安保级别比较高的场景,比如金融场景中一定不会只用人脸衰别,同时还需要加上其它身份信息的认证。
“从这个角度来讲,人脸识别所带来的便利,并没有像大家想象得那么美好。尤其是,所谓的便利,很大程度上不是对一般大众来讲,而是主要给企业、产业界、相关部门带来商业或管理方面的便利。”劳东燕说。
就安全的理由来说,劳东燕表示,人脸识别技术本身就会带来一系列安全方面的风险。普及人脸识别原本是用来预防违法犯罪,是为了所谓的安全,但收集大量守法公民的人脸信息,不可避免地会带来泄露与滥用的问题,那么用来预防违法犯罪的手段本身可能会带来更多的违法犯罪。现实中出现的情形包括,使用人脸信息骗取房产,冒用他人身份开设账户并用于骗取贷款或洗钱,将他人的人脸用于淫秽色情等视频,以及买卖人脸数据的黑产等。
她预测,目前包括人脸数据在内的利用个人信息进行精准诈骗等犯罪的浪潮才刚到来,犯罪的高潮还在后面,尤其是这种多中心的信息收集模式,一定会到处暴雷,因为信息泄露与买卖的情况相当常见。
另外,人脸识别技术的风险还包括以下三个方面:一是歧视性风险,如宰熟客,不同种族或民族的人在被识别后可能会受到不公平或有形无形的歧视性对待。二是难以有效救济的风险。人脸信息一旦被泄漏或滥用,就是长久性的,依靠法律也难以进行有效救济,相应产生的消极影响也可能根本没有办法恢复。三是成为透明人而被操纵的风险。比如消费者现在很多时候实际上是被决定,相关企业只要拿了足够多的数据,就比自己更了解自己,个人实际上就被操纵了。
“人脸识别为什么开始为公众所关注?就是因为这些风险已经广泛出现了。”劳东燕表示,人工智能是时代所需,但人脸识别不等同于人工智能,需要对技术进行理性的分析。就像基因编辑婴儿技术不等于生物技术一样,我国现行刑法全面禁止基因编辑婴儿,就是因为这种生物技术带来的风险太大。人脸识别技术固然有带来产业性利益,但相比之下,带来的社会性风险更大,而技术上根本难以解决相应的社会性风险,更难以对个人生物信息的安全提供基本的保障。
因此,劳东燕表示,对推广人脸识别技术应当持谨慎态度,要综合考虑给整个社会、行业带来的利弊,且这种利弊衡量不能局限在非常小的范围内进行,尤其是要注意到人脸识别所带来的诸多社会性风险。以技术发展或经济发展为名,不适当地推广人脸识别,就等于是产业界把主要的收益归自己所有,而将相应的社会性风险推给一般公众来承担。
她进一步提到,人脸识别的发展,普通用户或消费者能有所获益,但肯定不是最大的受益者,技术的开发方、收集方和使用方才是。但在滥用之后,所带来的社会性风险并不是由他们来承担,而是由被收集的一方来承担。并且,这些风险很难通过技术手段来解决,而企业把风险主要转嫁给了作为用户的个人,这对社会公众来说并不公平。
“从这个角度来讲,个人信息保护的法律框架在未来一定会把主要义务放在信息收集或处理者这边。”劳东燕说。实际上,最近一两年,国家相关部门先后出台包括人脸信息等在内的个人信息保护和数据安全方面的法律规定,这些规定的重心之一就是对企业在信息收集、存储、处理等方面进行规范。
用户有知情同意权,企业需尽到告知义务
此前,人脸识别采集区域在后台比用户在前端屏幕上看到的范围更多引发热议,而服务商并没有任何提醒。对此,劳东燕就提到,用户有知情同意权,在《个人信息保护法》实施以后,企业对一般个人信息需要尽到告知义务,包括收集范围和使用目的等,且对人脸等敏感信息,企业的告知义务比一般的个人信息要更高,会有其它额外要求,如可能产生的相应风险和影响等。
劳东燕认为,未来科技企业会负有较高的合规义务,如果在数据收集、处理等方面没有符合相关规定,企业会面临民事责任、行政责任、刑事责任等三个层面的法律风险。
今年7月底最高法发布的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》就属于民事责任范畴。劳东燕提到,其中最大的亮点在于举证责任的规定,有八种情形(如下图)直接认定企业一方有过错,存在侵犯自然人合法权益的行为,有效地减轻了个人的举证责任,而以前个人很难举证企业存在不告而取和滥用的行为。
她介绍称,即将在今年11月1日实施的《个人信息保护法》中规定的法律责任属于行政责任,如果企业在搜集或者处理数据的环节过程中存在侵权或存在违规违法行为,主管部门可以进行行政处罚,对企业主体和相关责任人的处罚都进行了规定。
劳东燕还提醒到,如果不经同意而获取包括人脸信息在内的个人信息,企业与相关责任人员可能构成侵犯公民个人信息罪中的非法获取,在刑法上也会面临被追责的风险。若相关数据达到司法解释所规定的量,就可以成立犯罪。
不过,劳东燕表示,目前人脸识别上还没有明确的法律规范框架。她建议,可以考虑引入特别许可制度,严格限定适用场景,在收集的前端进行限制,同时对相关企业或相关部门应该有技术资质与其它资质方面的要求。在这种规制框架之下,允许一些场景当中有资质的单位来进行收集和使用,可以减少风险,同时能够顾及到这个产业的利益和发展。
她还表示,治理人脸识别泄露与滥用,除了法律手段之外,也需要借助技术和行业自律的力量,可以考虑建立集中的数据存储中心,尽量规避容易暴雷的多头收集,同时科技企业未来也需要更加重视数据处理方面的合规要求。
对于普通大众来说,劳东燕建议,个人要积极表达自己的诉求与主张,勇于对不当收集自身个人信息的行为说不,并积极进行取证,可能的话,借助诉讼的手段来维护自己的权益。
去年3月,劳东燕曾反对所在小区安装人脸识别门禁,随后她在与各方协商后,街道同意业主可在门禁卡、刷手机、人脸识别三种方式中自愿选择。在而在前述最高法发布的规定中,就明确提到了物业不得把人脸识别作为社区出入的唯一验证方式。
“如果有很多人都这样去做,一定会倒逼企业和相关部门,在收集处理数据方面更加注意合规方面的要求,这有利于让数据经济往更加健康的方向发展,最终实现经济效益与社会效益共赢的局面。”劳东燕说。
二维码