强制刷脸进小区凉了?四川拟出台条例禁止,多地已有类似规定

近日,四川省出台《四川省物业管理条例(修订草案)》,明确小区不得强制居民使用指纹、人脸识别等方式使用共用设施设备。原因是小区人脸识别系统存在个人信息泄露的风险,强制刷脸侵犯了居民的合法权益。

南都记者注意到,从去年到今年,已有多地出台类似规定,明确小区不得强制居民使用指纹、人脸识别等方式使用共用设施设备,原因是认为小区人脸识别系统存在个人信息泄露的风险,强制刷脸侵犯了居民的合法权益。

《民法典》《中华人民共和国个人信息保护法(草案)》等国家相关法律明确,人脸数据属于个人敏感信息,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家法律规定。处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确做出意思表示。

一社区居民通过人脸识别门禁系统进入小区。 新华社记者 李晓果 摄

多地出台措施限制“刷脸”进小区

人脸识别技术方兴未艾之时,“刷脸”曾一度成为潮流的代名词。几年间,人脸识别从安防领域蔓延到办公场所、消费场所,甚至走入社区。小区用刷脸代替门禁卡,一时成为新风尚,但随即引发社会对技术滥用的思考——以“方便管理”为由强推刷脸系统,是否合理?

南都记者观察到,在小区刷脸进门这件事上,风向确实变了。

日前,经四川省人民政府第64次常务会议讨论通过并提请四川省人大常委会第二十六次会议审议的《四川省物业管理条例(修订草案)》引发关注。该条例明确,物业服务人不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备。

据成都市政务服务管理和网络理政办公室消息,起因是越来越多的小区推行刷脸门禁,但门禁收集的人脸数据,有小区采用本地储存的方式,还有的小区在线收集处理,数据给了谁,怎么用,这些都没有明确,引发居民对刷脸门禁合理性的质疑和对个人信息泄泄露的担忧。

这并不是地方首次出台措施限制人脸识别系统在社区的使用。

去年10月,杭州市出台的《杭州市物业管理条例(修订草案)》引发热议,其中也规定了物业服务人不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备,保障业主对共用设施设备的正常使用权。如果通过,这将是国内首部对小区人脸识别作出规范的正式立法。

对于小区人脸识别门禁的监管,正在成为许多地方面临和着手解决的问题。有媒体此上观新闻此前报道,今年1月,上海某小区多位居民拒绝刷脸,导致回家困难,打市民热线投诉。上海市人大代表呼吁上海学习杭州,尽快立法限制小区强制刷脸。

今年3月,广东省首场人脸识别公益诉讼公开听证会在江门召开,就江门一小区违规安装人脸识别门禁系统案件听取社会各界意见。会议最终达成共识,认为辖区住宅小区违规设置“人脸信息识别”门禁系统,存在泄露个人信息的风险,涉嫌侵害不特定多数人的合法权益。

法律界定:人脸信息属于敏感信息

南都记者梳理发现,从各地出台的措施及引发的讨论来看,基本共识是,社区强制刷脸进门涉嫌对公民个人信息的滥用。

南都注意到,从去年到今年,地方政府密集地出台相关措施和法规。一方面是技术的发展和商业化运用的普及,导致问题显现;另一方面,其背景是,南都注意到,从去年开始,国家立法层面对新技术下的个人信息有了新的界定,这或许为地方制定相关法规提供了依据。而在此前,人脸识别技术基本处于野蛮生长的状态。

今年实施的《民法典》明确,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

2020年10月1日实施的最新版《信息安全技术 个人信息安全规范》,进一步区分了一般个人信息和个人敏感信息,将“个人生物识别信息”纳入到个人敏感信息的范畴。并,并说明,个人敏感信息一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等。

由此,在国家立法层面,明确界定了“人脸”不光属于个人信息,而且还是尤为特殊的敏感信息。

2020年10月21日,全国人大审议了《个人信息保护法(草案)》,规定处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示。

那么,小区安装刷脸门禁系统,如果居民没有提出反对,是否就是合理行为呢?

南都记者注意到,《中华人民共和国个人信息保护法(草案)》还提及,“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需”。

而据成都市政务服务管理和网络理政办公室消息“蓉城政事”报道,目前小区范围内自行修建的门禁和安防设备归小区物业管理,尚未纳入公共安全技术防范系统。

这意味着,由此可推断,社区门禁刷脸,不是“维护公共安全所必需”,既如此,就涉嫌滥用。

当前人脸识别法规仍不完善

从“拥抱科技”到“涉嫌滥用”,小区刷脸门禁具体的风险和监管难处又在哪里呢?

今年两会期间,全国人大代表胡成中曾提交《关于加强生物识别信息管理 筑牢公民隐私边界的建议》,提出了当前生物识别存在的场景滥用、权限不明、监督乏力等问题。

他以施行刷脸出入的小区为例提出,居民的人脸识别数据是掌握在居委会、业委会、物业公司还是提供技术设备的企业手中,数据是否加密,谁有权读取、改动、存储,都缺乏明确、详细的要求。

这些“未知”带来了居民对于刷脸进门的种种担忧。而人脸识别造成信息泄露的事件又层出不穷,轻则被用于商业精准营销,重则被不法分子利用,或遭遇诈骗。今年3月,新华每日电讯曾报道上海市虹口区人民检察院公诉的一起特大虚开增值税普通发票案,涉案金额超5亿,而嫌疑人就是利用购买的公民照片,破解了多款App以注册“皮包公司”虚开发票。

胡成中认为,目前虽然《民法典》有了提纲挈领的规定,《信息安全技术个人信息安全规范》明确也就个人信息保护做出了要求,但这些要求相关单位是否执行是一个问号,而面对不按要求办事的单位,人民群众向谁举报、有何处罚措施也是一个问号。

目前,相关法律虽然对人脸信息有了提纲挈领的界定,但如果聚焦到具体场景,现有法规还缺乏对人脸信息处理边界的设定,不足以解决很多具体问题。

今年两会期间,全国政协委员、广州市政协副主席于欣伟在接受南都采访时,曾呼吁立法机关做好立法顶层设计,组织人工智能专项立法,界定设备及数据主管职责、技术标准、数据使用、管理权限、资质要求;规范数据权属、使用、交易、共享机制;明确数据所有、使用与收益权限;明确机构权限,制定采集、储存、传播、使用、销毁等法定程序及数据分类管理规则。

文/南都人工智能伦理课题组研究员 李娅宁