10月26日,《杭州市物业管理条例(修订草案)》(以下简称“修订草案”)提请杭州市第十三届人大常委会审议。草案拟规定,物业服务人不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备。
据南都记者梳理,若修订草案通过,《杭州市物业管理条例》将成为国内首部对小区人脸识别作出规范的正式立法。
今年9月,杭州市政府就修订草案向社会公开征求意见。南都记者注意到,此时的草案中并没有包含涉及生物信息的管理条例。
而在10月9日的立法听证会后,“修订草案”第四十四条企业义务条款中新增了一款规定,即“不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备,保障业主对共用设施设备的正常使用权”。
今年以来,多地物业小区安装了智能门禁系统,部分小区强制要求居民采用人脸识别方式进出。这引发了许多人的担忧:小区物业是否有权强制采集居民的个人信息?是否侵犯公众隐私?采用人脸识别会不会有数据泄露的风险?这些问题都需要得到解答。
立法听证会后,草案新增人脸识别规定
10月9日,杭州市司法局组织召开了立法听证会。经过前期报名等环节,浙江理工大学特聘副教授郭兵成为10名陈述人之一。郭兵是“国内人脸识别第一案”的主诉人。他告诉南都记者,听证会时他是第一个发言的陈述人,重点围绕业主隐私权和个人信息保护提出了建议。
郭兵说,近年来,业主个人信息泄露事件频发,在各地警方通报的侵犯公民个人信息刑事案件中,物业服务人往往是个人信息的主要泄露源头。近两年来,围绕业主委员会、物业服务人强制安装人脸识别门禁设备的争议更是持续不断。
“然而,遗憾的是,本次修订草案并未有效回应业主隐私权和个人信息保护的现实需要。因此,有必要增加业主隐私权和个人信息保护制度。”他特别提到,鉴于生物识别信息(尤其是面部特征信息)的特殊敏感性,有必要加强对其针对性的保护。
郭兵认为,为了更好地解决当前业主委员会、物业服务人强制安装人脸识别门禁设备等引发的争议纠纷,有必要在修订草案中加强对业主生物识别信息(尤其是面部特征信息)的保护、防范业主委员会、物业服务人的违规操作。
此后,杭州市司法局对草案进行了调整。在目前提交杭州市十三届人大常委会审议的草案第四十四条中,新增了有关内容。
据南都记者梳理,除杭州市修订草案外,安徽省、兰州市、北京市等地的《物业管理条例》,也就业主个人信息保护进行了明文规定。
例如,安徽省规定,建设单位、物业服务企业、业主委员会及其工作人员不得泄露业主个人信息资料。兰州市规定,物业服务企业应为业主的身份、住宅等个人信息保密,未经业主本人同意或者法定事项不得向其他单位和个人透露。北京市也规定,不得泄露在物业服务活动中获取的业主信息。
不过,这些条例中没有明确提到指纹、人脸数据等生物信息,也没有涉及强制收集问题。
如果修订草案通过,《杭州市物业管理条例》将成为国内首部对小区人脸识别作出规范的正式立法。
多地强推人脸识别门禁,部分居民表示反对
南都记者梳理公开资料发现,今年7月,北京房山区一社区居民曾拨打市民热线,反对物业强制推行人脸识别门禁系统。该居民表示,生物信息的收集需要尊重被收集者同意与选择的权利,至少应考虑同时保持刷卡与人脸识别,并且对于已收集信息的存储安全等问题,也应当进一步向业主说明。
针对居民的反馈,房山区长阳镇人民政府解释称,人脸识别系统是独立系统,采集信息都进行了加密处理。物业表示可以不录入人脸识别信息,录入身份证信息,使用身份证也可以进入小区。
清华大学法学院教授劳东燕此前曾向南都记者介绍,她也遭遇过类似的情况。但她发挥了自己的强项——写法律函寄到物业公司和居委会,反对人脸识别门禁强制上马。她认为,在小区安装人脸识别装置并无必要,而且不经同意收集人脸数据,也违反现行的法律规定。
在劳东燕看来,很多推动人脸识别落地的机构,可能并没有意识到随之而来的风险有多大。“如果人脸数据被泄露、被滥用,不仅不会改善社会治安,反而可能使相关的违法犯罪活动激增。”她说。
公众对人脸数据等生物识别信息更加敏感
随着人脸识别技术的普及,公众对人脸数据等生物信息的使用更加敏感。去年10月,因为不愿意被强制刷脸,郭兵将杭州野生动物世界告上了法庭。此案引发了广泛关注,被业内人士称为“国内人脸识别第一案”。
郭兵认为,面部特征等个人生物识别信息属于个人敏感信息,一旦泄露、非法提供或者滥用将极易危害消费者的人身和财产安全。对他而言,起诉并不是一个最经济的选择。但他表示,主要目的不是补偿经济损失,而是“对目前人脸识别技术滥用的一种斗争”。
南都个人信息保护研究中心人工智能伦理课题研究组发布的《人脸识别应用公众调研报告(2020)》显示,超过六成的受访者表示,人脸识别技术当前有被滥用的风险,并有63.64%的受访者担心人脸信息会被泄露。
针对被广泛使用的人脸识别技术,公众对隐私保护的意识也所提升。高达82.57%的受访者表示关心过个人的人脸原始信息是否会被收集方保留以及会被如何处理。
链接
我国已出台多部法律法规 加强生物识别信息保护
小区、公园等公共场所中的人脸识别应用问题,近一年来愈发受到关注。在国家层面,我国也已出台多部法律法规加强对个人信息的保护。2020年10月1日正式实施的《信息安全技术 个人信息安全规范》(以下简称《规范》)则进一步明确了关于收集、储存个人生物识别信息的要求。
根据《规范》,“在收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。”
对于生物识别信息的存储,《规范》给出了具体的解决措施,“个人生物识别信息要与个人身份信息分开存储;原则上不应存储原始个人生物识别信息,可采取的措施包括但不限于:仅存储个人生别信息的摘要信息;在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等。”
10月21日,《个人信息保护法(草案)》(以下简称“草案”)在中国人大网公布,开始向社会征求意见。草案也就相关问题作出回应。
根据草案第二十七条规定,“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。”
不过,有多位人大常委会委员、法律学者提出,该条款涉及到的概念和适用范围,还有待进一步细化。
中国社会科学院法学研究所研究员周汉华向南都记者表示,草案把维护公共安全作为前提条件,应该说对于可能发生的人脸识别滥用现象能够产生遏制效应。但他也强调,“公共安全”和公共利益一样,是一个“伸缩性”很强的概念,小区和商场可能都认为自己跟公共安全有关。
郭兵也有类似观点。他对南都记者说,个保法草案为公共场所中的人脸识别提供了法律依据,但“个人图像采集”“个人身份识别设备”等表述,与现有的法律法规、国家标准不一致,可能导致适用困难。“个人图像到底怎么界定?照片算不算?”他举例说。
此外,第二十七条中提到的“公共安全”,属于不确定的法律概念。郭兵认为,有必要在个保法列举公共安全的具体示例,明确公共安全的范围,否则,一些商业机构很可能以“维护公共安全”为借口,过度使用人脸识别。
“比如说杭州野生动物世界,它启用人脸识别其实是为了游客通行更快,为了园方管理更方便。但是它现在也可以说是为了公共安全。作为普通民众,怎么判断一个应用是不是为了公共安全呢?”郭兵说。
此外,个保法草案第二十七条还规定,在公共场所安装个人图像采集、个人身份识别设备,须设立“显著标识”。郭兵认为,对于什么样的标识算“显著标识”,各方理解也会不一致,如果要加强该条款的可操作性,这一点也需要细化。
统筹:南都记者 潘颖欣 冯群星
采写:南都记者 冯群星
实习生 周姝祺 张弛
