蒋淑旭,胡 丹
(甘肃政法大学 法学院,甘肃 兰州 730000)
科技发展日新月异,“现在有着前所未有的途径获取个人信息”[1]。人脸识别技术是在图像或视频流中检测和跟踪人脸,再基于人的脸部特征信息进行身份识别的一种生物识别技术。[2]在信息化疾速发展的今天,人脸识别技术应用领域和场景广泛。面部信息属于个人生物识别信息,与一般个人信息不同,具有唯一性和不可更改性,一旦泄露,对个人造成的损害结果是不可逆的。
我们早已习惯生活在摄像头下,享受刷脸认证、刷脸解锁、刷脸支付等方式为工作、生活带来的便利,但忽视了人脸识别技术一旦滥用、失控,便会对公民个人信息安全、隐私保护带来前所未有的挑战。
1.侵犯方式的隐蔽性
人脸识别技术能够在我们没有感知、非接触、未经同意的情况下采集面部信息,只要开始使用人脸识别技术,就会有一双眼睛随时盯着你我,而我们却无从知晓,也几乎无法意识到我们的隐私可能正在被侵犯。2019年5月,美国旧金山通过法案禁止包括当地警方在内的53个政府部门使用人脸识别技术。法案提议人佩斯金表示不反对人脸识别技术,但要确保安全和负责任地使用并允许公众参与决策。
2.侵犯后果的不可逆性
面部是“行走的密码”,一旦泄露,我们无法对其重置。2015年6月,黑客入侵美国联邦人事管理局系统,超过2200万美国人的个人敏感信息被盗;2018年3月,Facebook被爆超过5000万的用户个人信息泄露。一系列大规模信息泄露事件对我们个人和社会造成的损害后果是无法挽救的,警醒我们必须对技术进行规制。技术没有立场,但使用该项技术的人却是有立场的。在生活中已出现利用该技术进行违法犯罪的情形,如:张某等人利用软件将公民头像照片制作成3D头像通过支付宝人脸识别认证进行非法获利。不敢想象如果在仿真机器人中嵌入生物识别信息会怎样?技术一旦失控不仅严重影响公民个人权利,泄露公民隐私,还可能会危害社会稳定和国家安全。
3.公民的自我决定权
个人信息中的个人生物识别信息属于隐私中的私密信息,应同时受到个人信息权保护和隐私权保护。信息性隐私权是指他人所享有的对其个人信息、能够被识别的个人信息的获取、披露和使用予以控制的权利。[3]德国法院在1983年“人口普查案”中,首次在判决中提出“信息自决权”,信息自决权强调任何公民的个人信息不能被随意的收集和处理,需要尊重公民的“自决”。[4]信息性隐私权和信息自决权都强调主体对个人信息享有自主控制和支配的权利。“中国人脸识别第一案”让我们意识到,无论是“收集、处理他人的私密信息”,还是“收集、处理自然人个人信息”,都应当赋予公民对个人生物识别信息自我决定权,即公民个人有权自主决定其个人生物识别信息是否被收集、公开、利用及其使用方式。
“无隐私即无自由”[5],绝不能让“隐私换取便利”成为常态。[6]我国目前对人脸识别技术的规制已滞后于现实发展,我们需要冷静思考如何让技术具有可控性,如何引导技术向善,依法合规使用,真正发挥技术优势。
1.有利于厘清国家权力与公民权利的边界
公权力机构利用人脸识别技术采集公民面部信息是否有法可依?根据《居民身份证法》第三条规定,公安机关有权采集公民相片和指纹信息等。而相片和面部信息存在区别,面部信息需要通过人脸识别技术对相片或者面部提取。为了公共安全需要,将人脸识别和随处可见的摄像头结合,是否形成了对公民的全方位监控?清华大学劳东燕教授曾发文表示“不想成为透明人”,在全方位监控之下,我们还有隐私吗?即使公安机关可以在刑事侦查中利用人脸识别技术,但并不意味着其可以无限制地使用,应该把保护公民的个人信息和隐私放在首位,需要以严格程序与限定条件来规制技术应用。
2.有利于尊重和保护公民个人隐私
以人为本的科学发展观,要求技术的研发与使用都必须尊重和保护公民的个人隐私与个人信息安全,否则便丧失了研发技术的初心。收集面部信息必须基于正当目的和明确告知风险,要在公民知情并明示同意的前提下采集,尊重公民的自我决定权。
3.有利于规范收集、存储、使用等程序
人脸识别技术是新兴技术,在收集、保管和使用面部信息等各个环节都存在诸多问题。合法性是公权力机构采集面部信息的前提,同时对面部信息的采集也要遵循比例原则。对人脸识别技术进行法律规制,能够使公权力主体和私权利主体在获得法律授权之后,对面部信息的采集基于正当目的,不得向任何人出售、泄露相关信息,否则将受到法律严惩。明确人脸识别技术在收集、存储、使用等程序上应遵守的边界、目的、原则和方法。
4.有利于规范人脸识别技术的应用场景
当前人脸识别技术应用广泛,是否所有领域都能使用人脸识别技术还有待商榷,对于应用场景也需谨慎选择。对于北京地铁应用人脸识别技术对乘客实行分类安检,我们不禁思考:其分类依据、标准是什么?是否存在歧视?公民如何获得救济?分类安检是否违反平等原则?片面强调使用人脸识别技术以提高乘客的通行效率是否真的能够实现最小成本获取最大利益?北京西城区某小区将人脸识别技术运用到垃圾分类,通过识别垃圾袋上的二维码便可准确定位是哪户家庭的垃圾。通过垃圾也可以了解一个人、一个家庭的生活习惯、消费习惯、饮食喜好等,掌握一定的个人信息。这些应用场景是否真的有必要呢?
使用人脸识别技术,必然会采集个人面部信息,而一旦生物识别信息泄露,可能会侵犯人们的信息自决权、安宁生活权。如今,对个人信息的保护和监管已成为全球性问题,是各国立法关注的焦点。目前主要有两种立法模式,美国的专门立法模式和欧盟的统一立法模式。
1.重视个人隐私权
美国对个人信息的保护,主要通过对隐私的保护来实现,其是世界上第一个通过法律来保护隐私的国家。如:1974年颁布的《隐私法案》、1986年颁布的《电子通讯隐私法案》、1988年先后颁布《电脑匹配与隐私权法》及《网上儿童隐私权保护法》。其中,1974年的《隐私法案》最为核心,对政府如何收集和开放个人信息、信息主体的权利、政府机关的义务、民事救济措施等作出了较为详细的规定。
2.各州立法针对性强
2008年,伊利诺伊州议会通过《生物识别信息隐私法》(简称BIPA),该法案通过专门立法规范“私人实体”对个人生物识别信息的处理行为,包括信息的采集、应用、处理、储存、披露和销毁行为,以保护个人生物识别信息权。此外,BIPA还规定了以下内容:(1)妥善保管及销毁;(2)书面授权及告知义务;(3)不得泄露及牟利;(4)权利侵害诉讼及赔偿。2017年,加利福尼亚州颁布《加州生物信息隐私法案》对生物信息进行细化,要求初次收集面部数据需要遵循“知情同意原则”。
旧金山市和萨默维尔市于2019年先后通过了《停止秘密监视条例》和《人脸识别全面禁止条例》,成为美国率先禁止使用面部识别技术的城市。此外,美国在2019年还出台了一系列法案,如佛罗里达州的《生物识别信息隐私法案》,要求私主体使用生物识别信息时,需要获得数据主体的授权并妥善保管信息;华盛顿州的《华盛顿隐私法案》赋予消费者对个人数据享有访问权、更正权、删除权、限制处理权、可携带权等权利。
1.强调公民人格尊严不受侵犯
欧盟个人信息权的核心在于保护公民人格尊严不受侵犯。其采用统一立法模式,将不同种类、级别、性质的个人信息纳入统一的个人信息保护法之下,将行政、民事以及刑事法律的保护措施集为一法,[7]80且对欧盟各成员国都具有法律拘束力,可转化为各成员国国内法或者直接适用。
2.对个人信息保护标准最为严格
2016年,欧盟先后通过了《一般数据保护条例》(简称:GDPR)以及《2016 年刑事犯罪领域个人信息保护指令》。该《指令》从刑事犯罪角度出发,对各成员国公共机构提出了处理个人信息的必要限制,以平衡保护个人信息权利和保障公共安全的实际需要。[8]
史上最严的《一般数据保护条例》是欧盟保护个人信息的核心法律,主要适用于个人数据处理以及用户画像的非自动个人数据处理,并对数据控制者、处理者、运营者的责任和义务作明确规定。根据GDPR第四条第十四款规定,“生物特征数据”是通过对自然人的身体、生理或行为特征进行特定技术处理得到的个人数据,构成识别该自然人的独特标识,包括人脸图像。面部图像在通过人脸识别技术的应用下固化为个人数据后,具有隐私的特征,不得未经主体授权被公开、使用、储存、传输等。根据GDPR第九条第一款规定,生物特征数据属于特定类型个人数据,企业收集个人数据必须基于明确、合法目的,除某些特殊情况外,不得处理该类数据,对该类数据的商业应用只能基于数据主体同意。
通过对比两种立法模式,我们发现:美国的专门立法模式,让各州有权根据自身特殊情况制定与其社会经济发展相适应的法律,立法针对性较强,诉讼保护方便,更有利于平衡人脸识别技术的发展与对生物识别信息安全的保护。欧盟的统一立法模式,保护层级清晰,具有系统化的保护效果,更利于欧盟各国的统一保护并解决数据境外传输中统一标准的问题。但专门立法保护模式在保护方法、保护措施上较为单一,具有局限性;统一立法模式以行政法律保护方法为主,同时结合民事诉讼救济以及刑事制裁的规定,方法更为全面。[7]82
虽然两种立法模式都有可资借鉴之处,但如何完善我国对个人生物识别信息的相关立法,需结合我国国情以及社会经济发展状况进行探讨。
我国目前对于个人信息及隐私保护的规定散见于法律法规、规范性文件中,并没有统一、专门的立法。
首先,是宪法层面对个人信息保护的规定,第三十八条规定的公民人格尊严权不受侵犯和第四十条规定的公民通信自由和通信秘密权为保护个人信息提供宪法支撑。
其次,是法律层面对个人信息保护的规定,《民法总则》《侵权责任法》《网络安全法》等多部法律涉及到对个人信息的保护。此外,《个人信息保护法》(草案)对个人信息进行专门立法以及《民法典》(草案)第四编第六章对隐私权和个人信息权保护也作了专章规定。虽然都将生物识别信息纳入个人信息保护范畴,但并未对个人生物识别信息作出进一步分类及细化。
最后,法规、规章、规范性文件对个人信息保护也有规定,如:《外国人入境出境管理条例》《互联网个人信息安全保护指南》《信息安全技术 个人信息安全规范》(2017版)等。其中新修订的《信息安全技术 个人信息安全规范》(2020版)对个人信息保护作出较全面地规定,但其仅为推荐性国家标准,不具有强制效力。[9]
可见,我国对个人信息保护虽有法可依,但现有立法仍存在不足:首先,关于生物识别信息的立法较为碎片化,散见于其他领域的立法条文中。且条文规定过于抽象,没有详尽的、专门性的针对生物识别信息的收集、储存、保管、传输等一系列程序的规范立法。其次,法律法规之间衔接不够,缺乏有效救济途径。如何保护特殊敏感个人信息没有法律依据,使得法律治理滞后于信息技术的发展。最后,我国缺乏专门的政府部门来对个人信息应用过程进行监管以及相关惩处措施。
1.制定《个人生物识别信息保护法》
我国《个人信息保护法》(草案)虽对个人信息的保护原则、信息业者、政务信息部门的行为作了详尽规定,但未对个人生物识别信息进行专章规定,宜进行专门立法。一方面,结合我国《信息安全技术 个人信息安全规范》(2020版)和《信息技术安全技术 生物特征识别信息的保护要求(征求意见稿)》中对个人敏感信息的界定、采集、存储、传输等内容,将一般个人信息与特殊敏感个人信息进行区分,对特殊生物识别信息结合人脸识别技术作特殊法律规定。另一方面,借鉴欧美立法,如:人脸识别技术的应用主体及相关权利,设定数据控制者、处理者以及监管机构的义务和责任等。
2.衔接法律规范,完善救济途径
考虑三大诉讼机制与《个人生物识别信息保护法》衔接,对于侵犯个人生物识别信息的情形、举证主体、投诉部门、民事赔偿义务机关、刑事追诉对象等分别作出明确规定。如:在民事案由中增加侵犯个人信息权,进一步分为一般个人信息权和特殊敏感个人信息权;在刑事犯罪方面,可以增加非法获取公民个人信息罪下的特别法条,非法采集、使用、传输、泄露、处理个人生物识别信息罪等;在行政方面,可以增设公权力主体不当处理个人生物识别信息等行为给信息主体造成损害的诉讼以及信息主体有权向监管机构提出控诉。
3.设立专门的政府监管部门
我国工信部、公安部、网信办等部门虽然对人脸识别技术规制和生物识别信息保护都有责任,但目前各部门仅对其各自负责的领域进行监管,并未对人脸识别技术作专项管制。我们可以借鉴域外立法经验,对个人信息以及个人生物识别信息的保护设立专门的、独立的行政监管机构,明确监管机构的名称、组织、工作原则、职权、责任。该独立监管机构依照《个人生物识别信息保护法》及相关法律法规对公权力主体和私主体在应用人脸识别技术过程中的从采集到删除信息等一系列行为进行严格监管。
人脸识别技术应用的最大挑战是如何对个人生物识别信息进行保护,这是全球面临的挑战。通过借鉴域外先进立法经验,结合我国国情,对我国在个人生物识别信息的保护上进行专门立法。借鉴国际通行的生物识别信息保护原则、信息主体权利、政府监管责任、信息控制者义务等规定,实现规制人脸识别技术、保障个人生物识别信息与国家安全利益、社会经济发展之间的平衡。