杨延超
2020年6月8日,IBM的CEO克里什纳宣布退出人脸识别业务。6月10日,亚马逊暂时禁止向美国警察提供人臉识别技术(禁令持续一年)。6月11日,微软禁止将人脸识别技术销售给警方。这与美国黑人弗洛伊德事件引发的种族矛盾有重大关系。更为重要的是,人脸识别与公民的隐私权诉求发生严重冲突。2020年初,Clearview AI公司遭遇重大数据泄露,30亿张人脸数据被泄露,引发全美社会的巨大担忧。2020年2月12日,两名民主党参议员提出《人脸识别道德使用法案》,要求暂时禁止政府机构使用人脸识别技术,防止其侵犯公民隐私权和影响公民自由。
人脸识别首先被应用于身份认证领域。在一个信用社会,任何事情几乎都需要身份认证,卖东西、买东西、注册公司、投票等等;当然,最重要的身份认证场景还是付款。当下,主流的人身认证方法还是打开手机,输入密码。如果不带手机,刷一下脸能否直接身份认证呢?如果真能实现,懒汉们开心了。如此,“面子”就真的成为最有信用的东西。一切需要身份认证的领域,都可以用脸。
其实,人的生物特征中可用于身份识别的信息还有很多,如指纹、声音、视网膜等,为啥人脸识别格外受资本青睐呢?这里需要说一说其他生物特征识别的坏处了:1.指纹识别,需要手指与设备亲密接触。这样很不卫生,疫情期间,最忌讳这个。2.声音识别,即使当事人一定在现场,用录制好的声音亦可以通过识别,这很不安全。3.视网膜识别,需要眼睛靠近采集设备,如此,人自然会有一种被侵略的感觉。即使甘愿被“侵略”,视网膜感染等眼疾也会极大影响识别效果。
当然,人脸识别也并非尽善尽美。比如,某犯罪团伙就曾制作公民的3D头像,骗过支付宝人脸识别认证来非法获利,当然,犯罪分子最终被惩罚了。不过,综合看来,人脸识别还算是优点最多的身份认证方法了。所以,社会资本会一窝蜂地涌向它。
人脸识别会带来极大便利,同时引发的公民隐私权问题却备受关注。由此也引发了全球范围内的大讨论。纵观全球,有两种代表性的立法模式:
美国模式。准确地说,是美国很多州的模式。美国联邦层面并没有统一的法律来规制人脸识别数据。但至少有伊利诺伊州等六个州制定了生物识别数据法案。其中,伊利诺伊州颁布的《生物信息隐私法案(Biometric Information Privacy Act)》(BIPA)具有参考意义。该法案于2008年颁布,是美国境内第一部规范生物识别信息的收集、使用、保护、处理、存储、保留和销毁的法律。它从以下三个层面保护公民信息:
1.知情权和同意权。采集公民生物识别信息,需告知公民并且经其同意。Facebook就曾因违反该规定收集用户人脸信息而被起诉。后来Facebook同意支付5.5亿美元,以解决其所遭遇的集体诉讼,这也让个人隐私权获得了重大胜利。
2.企业有即时销毁数据的义务。收集目的达到或者最长三年必须要销毁(以个人最后一次联系企业起算)。
3.生物识别信息不能转让卖钱。当然,它也规定了例外情况,相关自然人同意或者法律法规的例外情况。
欧盟模式。2018年5月25日,
被誉为史上最严的欧盟《通用数据保护条例》正式生效。当然,这里的“数据”,泛指一切公民个人信息。人脸识别信息作为生物识别信息,也被纳入公民个人信息统一受到保护(参见该条例第51条规定)。公民可据此享有如下权利:
1.知情权与同意权。企业要收集用户个人信息,需提前告知并经用户同意。
2.删除权。用户可以基于以下任何一种理由主张删除企业存储的个人信息:(1)数据的存在不再被需要;(2)数据主体不再同意;(3)数据储存期限届满。
欧盟模式之所以被称为史上最严,缘于违反它的天价处罚。最高可以处罚2000万欧元或者上一年度营业额的4%。可以掐指算一算,以Google为例,按照它全年1000亿美元的收入来算,最高可罚40亿美元。
在我国,已经发生人脸识别第一案,消费者起诉了动物园。
2019年4月27日,郭某花钱购买了动物园年卡,入园时要求验证年卡和指纹。约半年后,动物园向他发来短信,称要人脸识别才能入园,未注册人脸识别的将无法入园。
郭某以《消费者权益保护法》第29条作为自己的重要武器,“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。”那些力挺郭某的人们还拿出了《合同法》,认为:动物园与郭某的合同已经订立,双方同意指纹认证方式;在合同关系上,动物园单方改为人脸认证,这属于违约。
在郭某这个案件中,《合同法》的违约规定或是《消费者权益保护法》中的“同意权”,似乎都是在郭某一边的。然而,更为重要的问题还在于,郭某之后的那些消费者怎么办?试想,一群大人、小孩在动物园排队,被告知:入园要人脸识别。当然,一切取决于消费者是否同意,然而,问题的关键还在于,如果你不同意,你就不能入园。
那么,人脸识别涉及人的什么权利?
我国《民法典》第四编“人格权”之第六章规定了“隐私和个人信息保护”。显然,“隐私权”和“公民个人信息”是两个独立的概念。
我国《民法典》第1034条规定:自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
隐私与公民个人信息是两个相互独立的权利,当然,它们有交叉的部分。个人在自己房间里的活动情况,就属于典型的隐私;公民的姓名、电话号码又属于典型的公民个人信息(不是隐私)。人脸识别属于公民个人信息范畴。按照《民法典》之规定,企业要收集个人信息,同样需要征得个人同意。
《民法典》原则性的规定,可以为后期立法奠定基础。然而,现实的問题却是:消费者不得不同意;以动物园人脸识别为例,如果不同意人脸识别就无法入园,消费者估计也只有同意,如此在法律上又当如何定性呢?企业侵犯人脸识别个人信息又当面临什么责任?这些问题估计也只有等不久将出台的“公民个人信息保护法”的具体规定了。
侵犯公民个人信息,最恶劣的情况莫过于盗窃和倒卖。我国法院已经判处了一批盗取、倒卖公民个人信息的犯罪。倒卖个人信息是一件一本万利的事,但是要顶着坐牢的风险。
2009年,我国就出台了《刑法修正案(七)》,正式将公民个人信息纳入刑法保护。《刑法》第253条设立了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。
2015年,我国《刑法修正案(九)》将此前的二罪整合为一罪:“出售、非法提供公民个人信息罪”(老)+“非法获取公民个人信息罪”(老)=“侵犯公民个人信息罪”(新)。将此类犯罪的主体扩展到任何人,而不再限于金融、电信等单位工作人员。
2017年,最高人民法院、最高人民检察院联合制定了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,明确了此类犯罪的立案标准。倒卖人脸识别信息,要达到多少数量才会构成犯罪呢?司法解释规定:行踪轨迹信息、通信信息、征信信息、财产信息50条及以上;住宿信息、通信记录、健康生理信息、交易信息等500条及以上;其他信息5000条及以上。在司法解释中没有看到“人脸识别信息”、“生物识别信息”,因此它只能算作是其他信息,那么要达到5000条才会构成犯罪。5000条人脸信息,其法律重要地位仅相当于50条通信记录,人脸识别信息自然很没有“面子”。期待以后立法完善吧。
在我国,从事人脸识别技术开发的企业总体上分为两类:一类是传统的互联网巨头,人脸识别是其人工智能版块的重要组成部分,如百度、阿里巴巴、腾讯等企业;另一类则是专项研发图形识别技术的人工智能企业,代表性的企业包括商汤科技、依图科技、云从科技、暖果科技等。
由于法律尚未禁止人脸识别,这也为人脸识别留足了市场空间。酒店住宿、机场安检、支付身份识别、工商办理身份识别等场景下都大量使用人脸识别,甚至去个动物园都要人脸识别。似乎,除了窃取和倒卖,其他的都可以明目张胆地干。未来,这一切会有改变吗?
法律在技术和隐私之间会作出怎样选择?这既关系到每一位公民的切身利益,同时也关乎人脸识别技术企业的战略选择。
参考国外立法,我国未来大概率会选择如下立法模式:1.允许商用和执法适用,明确知情权、同意权和消除权等权利;2.只允许政府在管理中使用,不允许商业性使用人脸识别;3.除特殊情形,常规政府管理和商用场景均禁止使用人脸识别技术。
上述三种立法模式,技术企业的商业空间逐渐递减。这在国外的诸多立法中均可以看到。美国旧金山、奥克兰、萨默维尔等市,开始禁止城市政府官员以及执法部门使用人脸识别技术。2020年初,欧盟发布了《欧盟人工智能白皮书》,其中也明确提出在3-5年内禁止人脸识别技术应用于公共场所,以评估该技术风险。果真如此的话,人脸识别技术还能卖给谁?
立法对商业模式的影响还将长期存在。美国伊利诺伊州的《生物信息隐私法》一直困扰着那些推销语音助手、门铃摄像头、照片标签等技术公司;同样,欧盟的《通用数据保护条例》也让一些互联网巨头们急剧增加了数据合规成本。同样,我国不断健全的公民个人信息立法,也将开始重塑未来的全新商业模式。
(摘自6月23日《经济参考报》。作者为中国社科院知识产权中心研究员)