查看原文
其他

高校“刷脸”的隐私困境:130多家双一流、4000多万张脸亟需保护

青苗法鸣 2022-10-02

The following article is from 微观叙事 Author 王旭

编者按:人脸识别技术已经以极快的速度进入了我们的生活,其高效、便捷等优势更是让这一技术在各大高校内被广泛运用。作者从“刷脸”这一看似简单的小事入手,进行了思考与研究,反思了“个人信息保护”这一重要的问题。不论是本文亦或是作者从生活中思考法律问题的治学方法都是值得我们品味和学习的!


作者简介

王旭,辽宁沈阳人,北京大学2018级民商法学博士研究生。高校“刷脸”现象是当今个人信息保护的重要问题,可惜没有引发太多关注。希望拙作可以为推动立法和公众思考略尽绵薄之力,欢迎各位读者多多批评拍砖~


文章来源:“微观叙事”


本文系2020年中国法学会民法学研究会青年学者研究项目“人脸识别的效用反思与法律规制”(2020MFXH003)的阶段性研究成果。


要 点 概 览

1. 多数高校疫情前已引入刷脸,2018年为部署高峰期

2. 高校刷脸场景广泛,校门/宿舍门禁、远程考试、报到迎新等最为常见

3. 多数高校存在强制刷脸,具体强制方式不一

4. 多数高校未尽到告知义务,亦未公开信息处理规则

5. 学生难以行使监督权和其他个人信息权利

6. 供应商的经营风险是否会传导,尚不得而知

7. 高校刷脸风险凸显,智慧校园建设应依法合规



近年来,人脸识别的应用场景日益广泛,刷脸设备正在成为风靡一时的“高校标配”。早在几年前,不少高校就在新闻稿中骄傲地宣称人脸识别技术为校园带来了智慧感。


然而,这些刷脸设备往往“随风潜入夜,部署细无声”,高校很少披露人脸信息的处理规则,甚至出现强制使用人脸识别的现象。


据教育部统计,2020年,我国高等教育在学总规模4183万人,专任教师183.30万人。高校如何运用人脸识别技术,将影响到规模庞大的个人信息主体。


高校的示范效应也将进一步影响中小学、社会企业等其他机构。随着人脸识别滥用问题的凸显,高校运用人脸识别的行为也应当得到法律的审视。


本调研选取了137所“双一流”建设高校的网络公开信息进行了调查,以期对我国个人信息保护的进步略尽绵薄之力。


一、多数高校疫情前已引入刷脸,2018年为部署高峰期


截至2021年7月28日,在137所“双一流”建设高校中,仅有第二军医大学、西藏大学等2所高校尚无公开信息表明其已部署人脸识别技术,其余135所高校均在不同程度上引入了人脸识别。


从直觉上看,人脸识别技术是在疫情防控期间得到大规模推广的。然而数据表明,绝大多数高校(111所)早在2020年之前就已经部署了人脸识别,仅有24所高校在2020年之后才开始引入人脸识别。


早在2014年,西南交通大学和西安交通大学就先后引入人脸识别,分别用于员工考勤[1]和迎新[2]。此后至2018年,每年引入人脸识别的高校数量进入爆发式增长。仅在2018年,就有49所“双一流”建设高校引入人脸识别(参见表1)。


表1:“双一流”建设高校开始部署人脸识别的时间分布


二、高校刷脸场景广泛,校门/宿舍门禁、远程考试、报到迎新等最为常见


人脸识别技术在“双一流”建设高校的具体应用场景可分为四大类,即门禁类、教学行政管理类、安全管理类以及生活支付类,这四大类又可细分为23小类具体应用场景。


在门禁类方面,人脸识别应用频次较高的场景是校门及宿舍,各有60所高校在此设置刷脸设备;图书馆居于其后,共36所高校在此设置刷脸设备;此外,亦有部分高校在办公楼、教学楼、实验室、体育馆、歌剧院、博物馆等场所设置刷脸设备(参见表2)。


表2:“双一流”建设高校在门禁类场景下应用人脸识别的情况


教学行政管理类也是高校应用人脸识别技术的重要场景。其中,最多的应用场景是远程考试,共有62所高校应用;位居第二的场景是刷脸报到/注册/迎新,共有49所高校应用;在线下考场管理、智慧教室/课堂管理、会议活动签到/运动员入场、教务就业等服务等场景,有15所以上高校应用了人脸识别;亦有高校将人脸识别应用于宿舍纪律管理、体育课/晨跑等刷卡、后勤管理等场景(参见表3)。


表3:“双一流”建设高校在教学行政管理类场景下应用人脸识别的情况


安全管理类场景也是高校应用人脸识别的常见场合,有38所高校运用人脸识别设备进行防疫红外测温,有35所高校运用人脸识别设备进行安防监控(参见表4)。


表4:“双一流”建设高校在安全管理类场景下应用人脸识别的情况


生活支付类场景是高校应用人脸识别相对较少的场景,但有11所高校已经在食堂部署了刷脸支付设备,亦有少数高校将人脸识别应用于售货机、快递柜、储物柜甚至垃圾分类等场景(参见表5)。


表5:“双一流”建设高校在生活支付类场景下应用人脸识别的情况


三、多数高校存在强制刷脸,具体强制方式不一


在新冠疫情发生之前,有111所高校引入了人脸识别,其中有54所高校存在强制使用人脸识别的现象,占比48.65%;在新冠疫情发生之后,共有135所高校引入了人脸识别,其中有106所高校存在强制使用人脸识别的现象,占比78.52%。


表6:新冠疫情发生前“双一流”建设高校强制使用人脸识别的情况


表7:新冠疫情发生后“双一流”建设高校强制使用人脸识别的情况


高校对人脸识别的强制使用具体表现为以下情形:


(1)要求学生必须录入人脸信息。例如兰州大学要求“全校本科生和硕博研究生务必按要求于2019年10月30日前完成采集(之前已经录过人脸照片的2018级本科生可不再录入)”。[3]



(2)直接从其他照片库导入人脸信息,径行用于人脸识别。例如北京大学表示:“为了减少对广大师生的干扰,目前‘刷脸入校’系统使用的初始照片是师生员工的校园卡照片。”[4]



(3)将人脸识别作为必经通道、必办手续的唯一验证方式。例如首都师范大学发布通知称“从本次报到起系统改为人脸识别技术进行身份验证,研究生须在学校规定的时间内,由本人携带校园卡及学生证在校本部图书馆二层、北校区图书馆一层刷卡报到、在学生证上加盖注册印章。”[5]



(4)在公共场所针对不特定人设置人脸识别设备。例如不少高校安装了人脸识别摄像头、含人脸识别功能的红外测温设备,这将使得未注册人脸识别的师生也会被人脸识别设备捕获分析。此外,部分人脸识别闸机可以远距离识别人脸,使得路过的不特定对象也会为闸机所捕获,甚至被存储,引发个人信息安全隐患。南京航空航天大学即披露过刷脸距离的问题。[6]



四、多数高校未尽到告知义务,亦未公开信息处理规则


我国立法规定了个人信息处理者的告知义务。《民法典》第1035条规定,处理个人信息的,应当“公开处理信息的规则”并“明示处理信息的目的、方式和范围”。《信息安全技术 个人信息安全规范》(GBT35273-2020)要求收集个人生物识别信息时“应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则”。


然而,本调研所涉及的高校几乎都未尽到前述告知义务,仅有湖南大学针对人脸识别张贴了《隐私政策及授权使用协议》(载有信息保护、未成年人保护、适用范围、适用例外等条款)[7]



较为典型的人脸信息收集方式为:通过封闭的校园门户网站、应用等,由师生自行上传或更新照片。


以北京大学“人脸采集”小程序为例,在扫描二维码进入小程序之后,首先弹出了身份认证的页面。



认证身份后,仅有采集照片、查看照片两个选项,并未显示相关个人信息处理规则。



五、学生难以行使监督权和其他个人信息权利


《普通高等学校学生管理规定》第6条规定学生有权“以适当方式参与学校管理,对学校与学生权益相关事务享有知情权、参与权、表达权和监督权”。个人信息保护相关立法亦规定了个人信息主体的种种权利。然而,就本次调研来看,只有极少数高校的学生通过公开渠道表达了疑虑或要求行使知情权,但收效甚微。


南京大学新潮记者曾希望咨询运营管理和数据储存问题,但遭到拒绝。[8]



北京大学曾有同学在未名BBS上建议开放沟通人脸识别使用问题,但并未得到官方回复。[9]



华中师范大学法律服务中心曾制作《关于我校学生社区门禁应用人脸识别技术的法律分析报告》[10],提出应当尽快取消人脸识别门禁、进行信息公示、确保数据信息存储安全等建议。


该中心通过学校领导建言献策系统向学校提交了这一报告,随后接受校依法治校办公室邀请洽谈。[11]但截至发稿日,学校尚未按照学生建议在保卫处官网进行人脸识别相关信息公示。



六、供应商的经营风险是否会传导,尚不得而知


各高校所选择的人脸识别产品或服务提供商范围很广,既有海康威视等大型公司,也有名不见经传的初创企业。目前,几乎未见有高校在采集和处理人脸信息时,对人脸识别的供应商进行专门公示。


然而,供应商引发的个人信息安全风险不容忽视。一旦供应商面临破产或遭遇信用危机,人员资产流失,此时便难以顾及人脸信息管理与设备维护升级等安全问题。而高校如果选择将数据存储在第三方公司或进行云端存储,那么供应商经营失败所导致的信息泄露风险更加不言而喻。


目前,在公众号中宣称为北京大学[12]、复旦大学、北京外国语大学、北京第二外国语学院、北京建筑大学、西安交通大学[13]等多所高校提供人脸识别产品/服务的汉柏科技有限公司,自2018年起至今已存在17条失信被执行人记录[14],又于2019年12月23日被司法拍卖[15]



由于各高校并未公示本校的数据存储策略,因此,供应商经营风险是否会进一步传导到数据安全和个人信息保护领域,尚不得而知。


七、高校刷脸风险凸显,智慧校园建设应依法合规


高校部署人脸识别设备,涉及到大量生物识别信息的规模性处理。信息的集聚增加了信息滥用的风险。近年来,高校信息泄露事件时有发生[16],甚至有高校信息泄露导致学生被违规办理信用卡[17]、虚开工资[18]。人脸信息在现代社会中极其重要,一旦发生大规模的高校人脸信息滥用事件,将造成较大的社会危害。


事实上,人脸识别设备的准确性并非完美。许多使用人脸识别的高校都出现了刷脸失败、匹配错误、排队拥堵等既不高效也不智慧的问题,然而管理者仍在要求同学们录入新的人脸照片以改善系统,而不是取消人脸识别或引入替代性方案。


这种对科技的过度依赖不仅会降低预期效率,还可能引发安全隐患。2019年,重庆大学虎溪校区一栋宿舍楼的学生在地震逃生时,排队刷脸引发拥堵,幸未造成伤亡。[19]


对学生个人成长而言,“刷脸”的长期风险仍未可知。正如最高人民法院研究室副主任郭锋先生在新闻发布会上所说:“人脸信息具有唯一性和不可更改性,我们可以换手机、可以换密码、可以换住址,但是我们没法‘换脸’。未成年人的人脸信息一旦泄露,侵权影响甚至可能伴随其一生,特别是技术歧视或算法偏见所导致的不公平待遇,会直接影响未成年人的人格发展。”[20]


致谢:感谢Canaan、菽北、填填、小林同学对本文的无私帮助与有益建议,但文责自负。


注释:

[1] 《计划财务处进一步加强内部管理,引入高科技手段改善考勤方式》,西南交通大学计划财务处网2014年3月26日,https://cwc.swjtu.edu.cn/info/1004/1299.htm。

[2] 《西安交大2014级新生入学侧记(附视频)》,西安交通大学新闻网2014年8月26日,http://news.xjtu.edu.cn/info/1033/9871.htm。

[3] 《关于开展人脸照片采集的通知》,兰州大学新闻网2019年7月8日,http://news.lzu.edu.cn/c/201907/58134.html。

[4] 《“刷脸入校”闸机西南门试运行》,北大新闻网2018年6月24日,http://pkunews.pku.edu.cn/xwzh/2018-06/24/content_303475.htm

[5] 《关于2018-2019学年第一学期研究生注册工作的通知》,首都师范大学网2018年7月5日,https://www.cnu.edu.cn/xyxx/xygg/144760.htm。

[6] 《宿舍人脸识别系统》,南京航空航天大学网2020年10月19日,http://xxhc.nuaa.edu.cn/2020/1019/c13962a218761/page.htm。

[7] 《湖南大学校园出入人员智能化管理指引》,载微信公众号“湖南大学法学院同等学力申硕”,2020年11月11日。

[8] 《人脸识别门禁升级 保安加强进出管理》,南京大学国家级传媒实验教学示范中网2019年12月20日,https://media.nju.edu.cn/f0/17/c21824a454679/page.htm。

[9] 《对于目前出入校人脸识别验证的一些意见》,北大未名BBS网2020年9月11日,https://bbs.pku.edu.cn/v2/post-read.php?bid=438&threadid=17785150。

[10]《华中师范大学法律服务中心关于我校学生社区门禁应用人脸识别技术的法律分析报告》,华中师范大学工会委员会网2020年11月19日,http://gh.ccnu.edu.cn/info/1041/3871.htm。

[11] 《法服成员与校法律顾问就社区人脸识别系统进行交流洽谈》,华中师范大学工会委员会网2020年11月19日,http://gh.ccnu.edu.cn/info/1041/3869.htm

[12]《年终盘点 | 2018我们与北京大学的那些“刷脸大事儿”》,载微信公众号“汉柏科技”,2018年12月28日。

[13]《来来来!北大、复旦等众多名校告诉你“刷脸”才是正确的迎新方式》,载微信公众号“汉柏科技”2018年9月10日。

[14]截至2021年7月28日,根据中国执行信息公开网的查询结果,汉柏科技有限公司已经存在17条失信被执行人记录。中国执行信息公开网:http://zxgk.court.gov.cn/zhzxgk/

[15]《关于公司涉及诉讼进展暨全资子公司汉柏科技被司法拍卖的进展公告》,巨潮资讯网2019年12月27日,http://www.cninfo.com.cn/new/disclosure/detail?stockCode=600701&announcementId=1207199380&orgId=gssh0600701&announcementTime=2019-12-27。

[16] 熊志:《两万学生信息遭泄露,高校为何成了重灾区》,光明网2020年6月8日,https://guancha.gmw.cn/2020-06/08/content_33895787.htm。

[17] 童其君:《大学生不知情被办信用卡,法制日报:无异于“假冒名贷款”》,澎湃新闻网2017年6月24日,https://www.thepaper.cn/newsDetail_forward_1716654。

[18] 蒋琳、李慧琪:《河南陕西重庆数千高校学生隐私遭泄露 学生信息竟成偷税公司首选》,腾讯网2020年4月22日,https://new.qq.com/omn/20200422/20200422A0H09T00.html。

[19] 喻琰、赵思维、钟笑玫:《地震了还排队刷脸出宿舍楼?校方:演练过如何逃生,还得加强》,澎湃新闻网2019年6月19日,https://www.thepaper.cn/newsDetail_forward_3714968。

[20] 《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定新闻发布会》,最高人民法院网2021年7月28日,http://www.court.gov.cn/zixun-zhuanti-aHR0cHM6Ly93d3cuY2hpbmFjb3VydC5vcmcvYXJ0aWNsZS9zdWJqZWN0ZGV0YWlsL2lkL016QXdOTWczTllBQkFBLnNodG1s.html。

青苗法鸣向全体青年学人进行长期征稿


主要推送法学、文学、哲学、政治学、社会学、经济学等人文社会科学学科的学术类、思想类稿件,体裁不限,论文、时评、书评、影评、案例分析、译文等皆可。

以来稿质量为采用之标准,欢迎篇幅适中、论证详实、观点独到的稿件,来稿字数原则上不少于3000字。不对作者身份做要求,鼓励本科生练笔发声、交流进步。

为规范用稿,提高编辑质量和效率,来稿请以Word文档通过附件发至投稿邮箱:qmfmbjb@163.com,并在邮件标题注明“投稿青苗法鸣”,邮件正文中附上150字内的作者简介(内容不限,需包含作者姓名等基本信息,亦可附上照片)。对于所收稿件,我们会尽快安排评审,并在3天内回复审稿结果。


稿酬等详情请点击:稿酬有多好?够买一箱钟薛高!


*本文封面来自网络平台,若有侵权,请联系删除。


本文责编 ✎ Zorro

本期编辑 ✎ Ben



推荐阅读

 刷脸:身份制度、个人信息与法律规制

人工智能能够犯罪吗?

“看破不说破”:一种基础隐私规范

考驾照却被强制志愿服务?一次维权失败后的反思

人脸识别技术风险该如何应对?


联系我们

长期收稿邮箱:qmfmbjb@163.com


社群交流请添加公共微信:

公共微信1:qmfmggwx  

公共微信2:qmfmggwx2


付费咨询与讲座请添加小助手微信:qfxzsggwx


商务合作请添加微信:Fuermodian


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存