澎湃新聞見習記者 劉昱秀

因為勞東燕的較勁，小區啟用人臉識別門禁的計劃擱置了下來。

2020年3月，她居住的小區貼出安裝人臉識別門禁系統的公告，要求業主提供房產證、身份證、人臉識別等信息。她是清華大學法學教授，深知人臉識別信息被濫用的風險很高，物業更是無權收集這些個人信息。

她決定較個真：先是把搜集到的有關人臉識別風險的報道和法律依據，發到兩個各有數百名業主的微信群里；接著寫了一封法律函，分別寄給了居委會和物業；于是有了她作為業主，和街道、業委會與物業的四方“談判”。

最終，街道同意業主出入小區，可以自愿選擇門禁卡、手機或人臉識別的方式。但目前，人臉識別系統沒有啟用。

勞東燕在小區業主群內分享關于人臉識別風險性相關報道和法律依據。受訪者供圖

當年9月，勞東燕在一次學術會議上分享了自己的維權經歷，引發輿論關注。這讓她深刻感到，學者不可只埋首于象牙塔中，法律理論和生活現實要發生緊密互動。現在，她指導的博士生，有三位打算將數據保護作為未來研究方向。

大數據是這個時代的浪潮，但浪潮也有吞沒人的一面。勞東燕在很多場合提到人臉識別的各種風險，她說這不是學者的臆想。就像俄羅斯轉盤，子彈肯定會發射，只不過你不知道將會射中誰。

她擔憂，眼下的《個人信息保護法》草案，盡管列舉了個人的多項權利，但缺乏相應的救濟條款，成為書面的“虛”的權利。

“誰是風險的制造者，誰就該對相應的風險負責；誰在當中獲得最大的利益，誰就該主要對風險負責”。在勞東燕看來，該對個人信息保護負責的應當是數據收集者和使用者。

【以下是與勞東燕的對話】

澎湃新聞：經過您的維權之后，目前小區的人臉識別系統有一些進展和改觀嗎？

勞東燕：其實具體的情況我也不太清楚，因為我們這個小區的大門口，人臉識別的機器已經裝上了，但是就一直沒有使用。單元門禁的話，因為我們原來單元門禁是舊的，一直壞了，所以需要重新裝一個，物業前段時間剛剛通知說要裝，但也不知道裝的是什么，我注意到我們附近的幾個單元樓都還沒有裝上。

澎湃新聞：您較這個“真”，其實很多人在生活遇到類似的情況，可能只是吐槽一下，并不會去進行維權，找到相關的部門、社區。當時之所以會選擇這么做的原因是什么呢？

勞東燕：關于人臉識別的問題，我在2019年下半年就開始關注，知道人臉識別在安全性方面實際上是有比較大的問題。所以我們小區裝了的話，我就對這個問題比較關注。再加上，我自己是學法律的，寫一個法律意見書對我來講也不是很難，所以當時基于這樣一個偶然，就決定稍微較一下“真”。

澎湃新聞：對于大多數普通人來說，可能寫一個法律意見書或者找到相關部門進行維權，是一件相對有一些難度的事情，那您對大家在維權的時候有什么建議？

勞東燕：對于個人來講，我覺得涉及到自己切身權益的時候，發出自己的聲音是非常重要的。發聲不一定管用，但是不發聲，就一定會沒有任何改變。包括評論、點贊，以各種方式，都有它的積極意義。（只有這樣）這個社會上才會形成一種合力，這種合力才可能夠引起相關部門的重視。

澎湃新聞：這件事情對您自己生活、觀念、包括自己未來對一些事情的處理，會有什么影響嗎？

勞東燕：對我自己個人生活有什么影響呢？其實我的確還沒有意識到。但是對我的觀念，或者未來的規劃，我覺得是會有相應的影響。作為學者，我覺得可能不能完全埋首在象牙塔中，做純粹的學術研究。尤其我是做部門法研究的，法律本身跟現實生活非常緊密的結合在一起。跟法律相關的這種社會問題，作為學者，是有必要做一些關注的。

未來規劃方面，我指導的博士生當中，至少已經有三個，包括博后，都會以個人數據保護方面，作為自己未來研究方面的規劃。

[[383449]]

2019年，中國藥科大學部分試點教室安裝了人臉識別攝像頭，用于日常考勤和課堂紀律管理，試圖杜絕逃課和“替同學簽到”的現象，但此舉也引發爭議。 IC 圖

澎湃新聞：今年1月1號開始，民法典正式實施。民法典當中對個人信息保護做出了一些規定，您覺得目前我國的法律體系，足以保護個人生物信息上的一個權利嗎？

勞東燕：我覺得這個要分成兩個方面（來說）。一個方面，個人數據或者個人信息保護方面的問題，的確是網絡時代新出現的問題。而我們整個法律體系，顯然對這個問題還沒有做好積極的準備。不僅是在中國，在其他國家也是如此。現在整個法律體系的走向，對于個人生物信息的保護，顯然有一些積極的苗頭，我覺得是值得肯定的。

另一方面，現有的法律體系還處在摸索的過程當中，比如說怎么樣保護個人信息，產業界的發展，經濟的發展，包括與網絡經濟發展的這種潮流怎么平衡，的確是一個值得認真斟酌的問題。

這種情形之下，我們現有的法律，顯然對于怎么平衡多個方面的得失，沒有一個非常清晰的，明確的框架。在立法層面，還在摸索過程當中。在司法層面，執法層面，現有的法律規定到底怎么落實，怎么貫徹。實際上很多法律規定可能也還浮在面上，因為沒有相應的細則、規定出臺。

所以眼下法律體系的發展走向，我覺得是積極的。但同時要看到，在整體框架方面，尤其是在具體執行方面，還是存在缺陷或者不足。

澎湃新聞：那您覺得針對目前我們法律體系當中存在的這些缺陷和不足，應該通過哪些途徑來加以完善和發展？

勞東燕：我覺得從之前的《個人信息保護法》草案來看，對于個人在信息保護方面的權利，實際上規定的是比較多的。對個人在信息保護方面的權利做相應的規定列舉，我覺得它有積極意義。

但同時，我也注意到，現在這個權利只是規定在法條當中，但是如果權利受到侵害，怎么進行救濟呢？現在救濟條款是比較欠缺的，學法律的人都會知道，無救濟則無權利。如果沒有相應的救濟條款，實際上權利是虛的，或者是書面上的。比如說我們現在法律當中，包括民法典、其他的行政法當中，已經規定了獲取個人信息必須征求同意。現在問題在于，如果你不征得用戶的同意收集了個人信息，或者你告知的相關內容或者風險根本沒有達到規定的程度，那怎么辦呢？個人有什么權利維權呢？

另一方面，我們可能不能把個人信息保護主要的責任或者義務放在個人身上。也就是說，需要征求個人同意，一旦同意之后，人家就可以用了。在網絡時代，跟在前網絡時代，這種法律責任的重心其實應該是不一樣的。我個人認為，至少目前發展的這種趨勢，關于個人信息保護方面主要的責任應該放在數據收集者、使用者身上。風險由誰來制造，誰原則上就應該對這個風險以及風險造成的結果來負責。這也是在法律責任當中，把風險應該分配給哪一方，主要考慮的因素之一。

第二個因素是在整個事情當中，到底誰獲得了最大的利益。用戶獲得了一定的便捷，但這種便捷跟企業所獲得的商業性的利益，或者跟政府部門所獲得的監管性的利益相比，實際上是很少一部分。誰在整個事情當中獲得最大的利益，誰就應該主要對這個風險來負責。

第三個因素涉及到誰有能力預防相應的風險的出現。傳統的法律體系當中，都把主要的風險分配到個人身上，讓個人要保住自己的信息，你不要輕易同意。但你會發現，很多時候在網絡時代，其實根本就不現實。

所以我判斷未來會把信息保護方面的義務放在收集者和使用者身上，比如說未來關于企業在個人信息保護方面如何合規。

定于2020年10月1日實施的《信息安全技術 個人信息安全規范》新增收集個人信息時的授權同意。

澎湃新聞：去年9月份，在廣西南寧有人冒充中介公司，通過人臉識別，將賣主的房屋過戶，賣主卻沒有收到賣房款項，這個事情的發生一定程度上也是因為我們普通人對人臉識別可能產生什么樣的后果或影響，認知性不足，您覺得怎么去防范這個問題呢？

勞東燕：這個新聞我也看到了，因為里面涉及到那個中介其實就是個騙子，再加上現在地方上的確是考慮到，讓老百姓辦事情更加便捷一點，所以就推行網上過戶。但是這種案子出來之后，你就會發現，其實風險就極其大。

我覺得不要輕易刷人臉。有的時候你去坐高鐵、飛機刷人臉信息，是公權力部門收集人臉數據，濫用、泄露的風險會小一點。但是像房地產公司，一般的公司，包括物業收集，這種風險就會成倍的增加。因為數據庫哪些人能用，哪些人能夠接觸，怎么保管，使用范圍是什么地方，這個都確定不了。

對于政府部門來講，像房屋轉讓，涉及到大額財產，往高科技化方向發展，考慮民眾便捷的同時，也要考慮法律風險。像房屋轉讓，如果房屋轉手賣給了第三方，第三方不知情。實際上，即便監管部門，公安機關介入也是不可能再把房子追回來，還給被害人。被害人的損失取決于被告人有沒有把錢揮霍，如果揮霍光，充其量把被告人抓了。你的財產，你的房產，被騙了就是被騙了。因為第三方如果是善意取得的，按照市場價買的，不可能從第三方那里把這個房子弄回來，還給被害人。

這樣的事件當中，兩方面都要反思。從個人來講，要加強警惕，企業作為實施主體的人臉信息收集，尤其要警惕；對于政府監管部門來講，涉及到這種大額財產轉讓的，應該穩控風險。

澎湃新聞：企業利用人臉識別技術有時是為了獲取好處和便捷。之前有媒體爆出多地售樓處應用人臉識別技術判斷哪些客戶是自己來的，哪些是中介帶來的，購房時存在差價，您覺得這種情況應該如何防范，或者監管部門應該有哪些規定出臺？

勞東燕：這里面不僅僅涉及到房地產開發公司不經同意非法收集個人生物信息的問題，還涉及商業性場景當中的歧視性使用的問題，我是覺得這兩個方面可能都會引發相應的法律關注。

第一個，未經同意就收集客戶人臉信息，實際上在現有的法律框架之內，是違法的。第二個收集之后，還進行歧視性的使用，這里面涉及到商業交易當中的誠實，公平的問題。

安裝人臉識別監控設備，在某些行業中是相當普遍的一種做法。有些地方媒體關注到這個問題，監管部門要求房地產公司拆掉相關的設備，但其他地方可能沒有這種輿情事件，所以監管部門也不給壓力。在這樣的場景當中，個人不僅莫名其妙地被收集生物數據，而且買房子因為渠道不同，可能會遭受相應的損失。差價可能不是幾萬塊錢，甚至是幾十萬塊錢。這種事件需要大家共同來關注，倒逼這個行業去做出改變。

[[383450]]

美國國家標準技術研究院NIST推出了“人臉識別供應商測試”Face Recognition Vendor Test。圖片來源：NIST官網

澎湃新聞：但是在最新的民法典中，有規定個人生物信息收集是需要經過本人同意，像一些企業在沒有經過個人同意收集個人生物信息，普通人想要起訴，是否有勝訴空間的？

勞東燕：我覺得普通人根本沒有辦法起訴，比如說我到那個地方逛了一下，我都發現有攝像頭，現在如果要告對方，我怎么舉證，怎么證明對方收集了我的數據？希望對方給我提供沒經過我同意收集的數據，這就像與虎謀皮。

上次我在一個會議當中也聽實務部門同志有講到，這類訴訟（原告）大部分都是敗訴的。就像我剛才說到的，法律層面，規定有某項權利，如果沒有相應配套的救濟措施條款，這個權利就是紙面上，只是看著比較漂亮，實際上是沒有辦法真正享有的。所以在網絡時代，關于個人信息的侵權（訴訟），如果按照現在的這種訴訟規則，證明責任的這種規定，個人是沒有辦法維權的。

對于生物識別信息的存儲，《信息安全技術 個人信息安全規范》提出了新要求。

澎湃新聞：在實際生活當中，但是我們如果拒絕使用人臉識別系統，會給生活帶來很多不便捷，您覺得普通人面臨這種情境，應該怎么處理？

勞東燕：我覺得便捷與否，應該是信息收集者向使用者所做的廣告，你會發現人臉識別技術應用獲得最大利益的絕對不是用戶。

一個月之前，（有報道說）清華大學有個實驗室做了以下實驗，選取20部手機，采用打印的照片，將其中19部手機在15分鐘內開鎖。我用其他的方式，比如說密碼，或者刷卡，對我來講談不上不便捷。這里面有一個風險跟利益權衡的問題，為了那點便捷，把個人安全，包括你的財產安全，全都讓渡出去，這樣的讓渡真的是值得的嗎？

人臉識別的風險，并不是說學者臆想出來的。（現實中）它用于很多違法犯罪的場合，包括黑市中買賣人臉數據，一條人臉的數據可能一兩塊錢甚至更便宜。這個實際上已經在大范圍之內發生，不能因為說還沒有發生在你自己身上，你就假想這個風險是不可能的。類似于俄羅斯轉盤的問題，子彈肯定會發射，只不過你不知道是不是會發射在你身上。

[[383451]]

為確保人道主義援助物資的有效發放，國際紅十字會使用了生物識別技術，但他們并未將這些數據視作“金礦”，而是放棄建立一個中心化的數據庫。圖片來源：國際紅十字會官網