男子拒绝"刷脸"进小区,两告物业胜诉,立法一年后,为何人脸识别维权仍如此困难?
顾城拒绝"刷脸"回家。
每次到小区门口门闸前,他都拒绝对摄像头亮出脸,而是直接叫保安开门,有时遇到别人刷脸开闸,他就尾随在后一起通过。
顾城租住在天津诚基经贸中心(下称"诚基中心")。2021年3月他搬入时,被告知小区只能刷脸进入,没有其他进入方式。
想要入住,顾城必须向物业公司提供自己的人脸信息。
图/视觉中国
人脸信息是生物识别信息的一种,属于敏感个人信息。每个人只有一张脸,如果人脸信息被随意采集和滥用,隐患极大。近年来,尽管保护人脸信息的法律法规层出不穷,但公共场所的人脸采集设施越来越多。
2021年8月1日,最高人民法院关于人脸识别的司法解释正式实施,要求物业公司不得将人脸识别作为唯一的通行验证方式。
据此,顾城起诉物业公司,要求物业公司为他提供其他通行验证方式,同时删除他此前提供的人脸信息。
2022年5月18日,天津市第一中级人民法院二审法院判决,支持了他的诉求。
"凭什么强制我刷脸进门?"
2021年3月,26岁的顾城在网上签约租住了诚基中心的一套公寓。在拎包入住当天,他从房屋中介口中得知,小区只提供人脸识别的方式出入。
"因为房子我已经签了,如果不住的话,还得付违约金。" 顾城与多数怕麻烦的租户一样,虽然心生怀疑,但还是硬着头皮让物业拍照录入人脸,登记姓名、身份证号等信息。
安顿下来后,顾城发现,人脸识别机旁边就有刷门禁卡的位置,但物业不给办理门禁卡。他曾向保安询问,对方表示人脸识别是"为了业主的安全",物业人员则答复他,安装人脸识别门禁,经过了业主委员会的同意,还有街道和社区这些官方组织的参与。
诚基中心的"刷脸"系统的确是为加强防护启用的。这是位于天津市和平区商务核心区的商住两用小区,由2 栋 33 层和 1 栋 50 层的超高楼宇构成,拥有居民住房 5536 套,商户 400 家,容积率达 17.5。
在新冠疫情暴发之前,诚基中心就安装了人脸识别系统的装置,原计划在2020年6月调试启用,但由于新冠疫情的暴发,在2020年2月前后,这套系统就被提前启用。
天津市在2020年1月24日启动《天津市应对新型冠状病毒感染的肺炎应急预案》一级响应。
"我们以高度的敏感性对形势进行了预判,经过多个部门的研究商讨,决定紧急启用人脸识别系统。"社区党委书记陈思延在2020年2月公开表示,要保障疫情得到有效防控,必须进行人防+技防相结合的模式,基本原则就是"堵住口、卡住门、看住人"。启用人脸识别系统,是诚基中心"技防"的重要一步。
陈思延还介绍,诚基中心的人脸信息数据通过四种方式采集:一是网格员上门入户采集;二是居民自主到物业公司客服中心采集;三是居民自主采集,然后微信发给网格员;四是居民把照片以邮件形式发到社区邮箱进行采集。
但顾城意识到,如果只有"刷脸"一种选择,可能侵犯他自己的权益,"自从住进诚基中心以后,我就一直疑惑:凭什么强制我用人脸识别进门?"
他表示,诚基中心的物业并不能给他足够的安全感,"采集我的人脸信息之后,怎么传输,怎么使用,存储在哪里,我都一无所知,我不想把人脸信息交给这种没被证明可信任的机构来管理"。
顾城的担忧不无道理。北京炜衡(成都)律师事务所律师魏冬冬告诉《中国新闻周刊》,一些大的互联网公司或是强监管领域的银行等机构,合规体系相对完善,但一些小的企业,尤其是小物业公司,则是漏洞百出,明文存储敏感个人信息是常态,也不把用户人脸信息和身份信息分开存储。
与用户的数据安全相比,小公司会更注重成本和利润。魏冬冬说,许多小物业公司购买的数据处理设备比较落后,并没有完善的安全防护措施。
她甚至了解到,有的物业公司的人脸识别设施和员工考勤指纹打卡的设备价格都极为低廉,而设备供应商愿意低价供货的原因,就是为了收集用户的人脸等敏感个人信息。
"用户的信息可以拿去卖钱,给供应商增加收益,所以很可能你我的人脸早就不知道被转卖了多少手了。"魏冬冬说。
作为敏感个人信息,人脸信息具有唯一性、易获得性和安全性三个特性。魏冬冬说,其中,"唯一性"在于不可变更,"密码丢了可以更改,但人只有一张脸,只有这一把钥匙,如果被盗,是无法更改的",而"易获得性"在于,只要远远安一个摄像头,就可以获取人脸信息,这导致人脸识别技术便于用来跟踪人的行踪轨迹,这就引申至"安全性"。
"由于人脸信息和人是绑定的,需要真人到访才能提供,较难仿冒,人脸常被用于关键场所的出入身份验证和支付验证等重要场景,但近年也出现了利用人脸图片、3D模型和深度合成技术制作的视频骗过人脸验证的事件。"魏冬冬说。
如何处理人脸信息才算恰当?魏冬冬说,无论是物业还是写字楼要收集人脸信息,首先应获取个人的单独同意,让其在载明人脸信息处理规则的清单上签字,获得同意后才可采集人脸信息,与此同时,还应给住户提供替代的通行方式。
天津诚基经贸中心的人脸识别门禁。图/受访者提供
采集了人脸信息后,也要采取适当的技术措施去处理。魏冬冬介绍,首先在信息比对的环节,应尽量在本地完成人脸信息的比对,减少传输过程;其次,若需存储,不存储人脸照片或视频本身,一般需要处理成"消息摘要"。消息摘要就是将任何一张人脸信息使用算法将其"翻译"成一串唯一的字母数字组合,由于消息摘要是不能逆向还原为人脸信息本身的,所以可以防止人脸信息本身的泄露。
不过,魏冬冬指出,前述这些措施都只是推荐性国家标准的要求,不是强制性法律义务,只能作为行政执法的参考,而非直接的执法依据,对人脸识别的法律规制,还有赖于国家网信办统筹协调有关部门出台的人脸识别保护的细则、标准。
