摘 要:人脸识别技术的应用在给我们生活带来便利的同时,其所生之诸多法律风险也日渐彰显,如侵犯隐私权、导致个人信息泄漏和滥用等。该文提出应从立法和监管两个层面对人脸识别之法律风险防范体系进行构建。在立法体系构建方面,宜采用专门立法模式,明确立法宗旨和八大原则,并创设个人信息权。在监管体系构建方面,建立风险评估和许可机制,并成立个人信息保护委员会,强化执法力度。
关键词:人脸识别;隐私权;个人信息;法律风险;防范体系
一、问题的提出
人脸识别技术是一种基于人的面部特征信息进行身份识别的一种生物识别技术,也叫做人像识别、面部识别。[1]随着人脸识别技术的不断优化和完善,人脸识别的准确率和安全性得到了很大提升,打消了人们之前对其望而却步的念头,人们对它的接受度和信赖度也随之得到了增强,使得该技术能够被公众所认可和接纳,并在各个行业、各领域得到广泛运用,较为常见的有刷脸支付、刷脸报到、刷脸解锁、刷脸入住、刷脸登机等。然而,在人脸识别技术应用的同时,其所生之诸多法律风险也日益凸显。
(一)侵犯隐私权之风险
人脸识别技术可以在用户无意识的情况下对用户的面部信息进行采集,由此获取用户的年龄、性别、国籍、肤色、种族、心情、行踪轨迹等个人隐私信息,侵犯用户的隐私权。更可怕的是,随着人脸识别技术的不断进步以及摄像头覆盖面积的不断增加,我们的一举一动包括行踪轨迹都将在摄像头之下暴露无遗,人类将逐步进入“弱隐私时代”。届时,由此引发的隐私问题将进一步恶化。[2]
(二)侵犯肖像权、名誉权之风险
不法分子通过人脸检测识别用户发布在社交网站上的照片是否含有人脸图像,如果检测到照片中含有人脸图像则将其保存,用于贩卖,侵犯用户肖像权。据了解,目前网上存在不少涉及人脸照片的交易信息,交易价格也是参差不齐,一些售卖人脸照片的卖家透露称8元便可购买3万张人脸照片。此外,一些不法分子通过一些换脸软件,将他人的头像进行交换,从而对他人形象进行丑化,损害他人名誉。更有甚者将一些明星的照片换在一些色情表演者身上,严重侵犯他人的名誉权。[3]
(三)引发种族歧视之风险
根据麻省理工学院一项研究表明,人脸识别技术在算法设计阶段对给白种人和非白种人做了明显的区别,对于白种人的识别率要高于非白种人。[4]再比如美国迈阿密的智能化治安监控系统重点关注低收入的黑人群体和西班牙移民。[5]可见,人脸识别技术的应用仍蕴含着种族歧视的风险。
(四)个人信息泄露、濫用、盗用之风险
人脸数据的保管者没有尽到妥善保管义务,亦或数据保管系统被不法分子侵入均可能造成个人信息的泄露。人脸数据与密码不同,密码泄露可以及时更换,而人脸数据具有不可更改性,一旦泄露就是终身泄露。由此导致人脸数据主体、控制者、使用者丧失对该数据的控制,进而将人脸数据安全置于更大的不确定性中。[6]数据本无罪,使用者却有善恶之分。人脸数据使用者如果并没有严格按照约定的方式使用其所收集的人脸数据,亦或是未经他人允许私自使用他人泄漏的个人信息,均会造成个人信息的滥用。相对于个人信息滥用,其被盗用所带来的风险则更加巨大。一旦我们的个人生物信息被不法分子获取,不法分子便可以通过技术手段伪装成“另一个我”,从而对我们实施欺诈、胁迫等不法行为,侵犯我们的人身和财产权益。
二、人脸识别法律规制现状分析
纵观世界各国,对人脸识别技术应用的法律风险防范主要有两种方式:一种是通过对含人脸数据在内的个人数据保护来进行防范,如欧盟的《通用数据保护条例》(GDPR);另一种是通过制定专门的人脸识别法律进行防范,如2020年美国加利福尼亚州的《面部识别法案》。
(一)美国模式
美国目前涉及人脸识别技术规制的法案尚有三部正在审议当中,即《商业性人脸识别隐私法案(2019)》、《面部识别技术授权法案(2019)》、《人脸识别道德使用法案(草案)》。分析三部法案可知,在商业领域,美国持较为开放的态度,在用户明确积极同意下,鼓励人脸识别技术的商业运用。然而,对于政府层面的运用,美国却持相对谨慎的态度,原则上对州和地方政府对人脸识别的使用进行了较为严格的限制。例如,2019年5美国旧金山市立法机构通过了《停止秘密监控法令》、2020年3月华盛顿州颁布《面部识别法案》,均对州和地方政府对于人脸识别技术的使用做了严格限制。
(二)欧盟模式
欧盟对个人信息的保护比较保守,更注重个人数据隐私,其采取的是一种全方位国家立法模式。[7]具体来讲,欧盟针对人脸识别技术应用的法律风险防范主要是通过GDPR中对个人生物识别数据的保护来实现的。GDPR 第 9 条规定,生物识别数据属于“特殊种类的个人数据”,除一些特殊情况外,如为了公共利益、科学研究、统计的目的,原则上禁止处理。但是在商业领域中,在获得用户明确同意情况下,可以使用人脸识别技术对用户的人脸数据进行收集和使用,但应对数据的收集和使用情况进行公示。
(三)中国现状分析
目前,我国尚未制定关于人脸识别技术应用法律风险防范的专门法律,只是通过在《民法典》、《网络安全法》、《消费者权益保护法》等法律中设置关于对个人信息保护或隐私保护的条款加以规制,既分散,又较为概括,现实可操作性不强,仍需进一步整合细化。
三、人脸识别的法律风险防范体系构建
笔者认为,要解决人脸识别技术所带来的法律风险防范问题,除了通过增加科研投入来提高该技术的准确性和安全性,并通过行业标准及行业自律来规范该技术的使用外,关键仍在于构建完备的法律体系和监督体系。
(一)法律体系构建
1.立法模式的选择
美国在商业领域并不排斥人脸识别技术的使用,其持较为开放和乐观的态度,规定在满足“知情+同意”的情况下,允许使用人脸识别技术。但是,美国很多州原则上禁止并限制政府机构使用人脸识别的做法并不可取。着眼欧盟从数据保护层面对人脸识别进行规制的方式,我国目前正在制定的《个人信息保护法》似乎较符合欧盟关于GDPR的立法模式,即从宏观个人信息保护层面对人脸识别进行规制,但这种模式也存在着诸多的不足,它在细致性、征对性、可操作性上不如专门立法来的好。因此,考虑到针对个人信息的专门立法正在进行,目前尚无一部针对人脸识别技术进行规制的法律,且对于人脸识别技术的法律规制又显得尤为迫切。因此,我国现阶段可以借鉴美国模式,在制定《个人信息保护法》的同时,加快制定专门性的人脸识别规制法,这是较为适当的立法保护模式。[8]
2.明确立法宗旨和原则
人脸识别规制法应明确以规范人脸识别技术行业发展、促进社会进步和保护个人信息和隐私相结合的立法宗旨。人脸识别技术的使用应遵循合法、目的正當、程序正当、最小必要、信息安全保障、主体参与、公开透明、权责一致的原则。合法原则要求人脸识别的使用应遵守相关公民隐私和个人信息保护的法律法规,不得损害国家、集体和他人的合法权益,亦不可违背公序良俗。目的正当原则要求人脸识别技术的使用者在收集和使用公民人脸信息时,应具有正当目的,并有助于促进社会的进步与发展。程序正当原则要求通过人脸识别技术收集、使用公民的人脸数据时,应告知公民人脸信息采集的用途、方式、使用范围、保存期限、可能存在的风险等信息,并征得公民明确且肯定的同意。最小必要原则要求人脸信息收集者或人脸识别技术使用者在权衡收集、使用人脸信息过程中蕴含的风险与企业可得利益后,在满足特定用途的前提下,尽可能少的收集用户的人脸信息,在信息使用完后及时予以删除。信息安全保障原则要求对于收集的人脸信息,企业应该根据信息的敏感性、规模和使用环境,将原始人脸信息加密存储。同时,要求个人信息控制者将可用于恢复识别个人的信息与去标识化后的信息分开存储。[9]主体参与原则要求人脸信息收集者向个人信息主体提供能够访问、更正、删除其个人信息的途径。[10]公开透明原则要求数据的控制者和使用者及时向社会公布人脸信息收集的范围、存储的期限、使用的目的等相关信息,并接受公众的监督。权责一致原则要求经用户授权收集和使用人脸信息的个人或单位,对用户的人脸信息负有安全保障义务,因其收集、使用、存储不当造成用户合法权益受损的应承担相应的责任。
3.个人信息权的创设
目前,关于公民个人信息保护的现有法律尚未明确个人信息权,只是在一些部门法予以较为概括和宽泛的保护。个人信息权与隐私权有着本质的区别。[11]个人信息权更多的是一种对个人信息控制的主动性权利,包括对个人信息的复制、使用、转让、销毁等一系列权利,是一种兼具人格性和财产性的权利,而隐私权则更多地体现为一种人格性权利,是一种对人格尊严和自由严格保护的防御性权利。故,有必要在法律上明确创设个人信息权,并确定该权利的人格和财产双重属性、地位和具体内容,为个人信息的保护提供强有力的法律保障。
(二)监管体系构建
目前政府在人脸识别技术的监管过程中并非顺风顺水,针对侵犯公民人脸信息的行政处罚因缺乏专门具体的法律依据,导致频发的个人脸部信息泄露和滥用问题多以主管部门约谈、整改收场。因此,有必要构建强有力的监管体系。
1.建立风险评估和许可机制
人脸识别技术风险评估具有较强的专业性,为了保障评估结果的公正客观性,宜通过第三方机构对人脸识别技术相关软件和应用予以风险评估,并将评估报告交给专门的个人信息保护机构,由其进行审核备案。只有风险评估结果为合格的人脸识别软件或应用,个人信息保护机构应该许可其向市场投放使用。针对人脸识别应用或软件的风险评估报告应及时通过网上平台或政府信息公示渠道向社会公示,让公众能够及时查询,以便在使用相关人脸识别技术软件和应用时对其可靠程度有一个较为准确的认识,避免公众因市场上人脸识别软件和应用良莠不齐导致的个人信息泄漏和侵权风险。
2.成立个人信息保护委员会,强化执法力度
目前,针对人脸识别技术使用所引发的个人信息泄漏和隐私侵犯问题,呈现出了执法分散和执法力度不够的特点。笔者认为,针对此类侵犯个人信息和隐私的问题时不应一味地采取一些临时性处罚措施,而应总体布局,协调联动,充分调动市场监管总局、公安部、工信部、中央网信办等有关部门力量,形成合力,并从各相关政府部门中抽调负责个人信息安全职能的工作人员,成立个人信息保护委员会,建立常态化监管机制,从而避免执法分散的弊端。个人信息委员会的职责包括对人脸识别技术风险评估报告进行审核备案,对人脸识别技术的开发商、应用平台、相关软件进行监管并进行定期检查。此外,对人脸识别技术使用过程中存在的违法违规行为应依法查处,构成犯罪的,及时移送司法机关并追究其刑事责任。[12]
结语
科学技术的进步为我们开拓了一个新时代,引领我们去探索这个复杂缤纷的大千世界。在面对诸如人脸识别这样的新兴技术时,切不可“窥一斑而见全豹,因噎而废食”,我们应该保持理性的态度,用包容、开放、全面、发展的眼光来看待它,简单叫停并非良策,唯有正确使用、科学防控,并为其构建完善的法律和监管体系,方可便利生活、方便生产、促进人类进步。
参考文献
[1]李梅;范东琦;任新成;廖忠志.物联网科技导论[M]. 北京:北京邮电大学出版社,2015:44.
[2]方陵生.脸部识别系统:个人隐私终结者[J]. 世界科学,2015,(03):38-39.
[3]侯学宾.AI换脸:法律风险不容小觑[J]. 浙江人大,2019,(11):45.
[4]洪延青.人脸识别技术的法律规制研究初探[J]. 中国信息安全,2019,(08):85-87.
[5]蒋洁.人脸识别技术应用的侵权风险与控制策略[J]. 图书与情报,2019,(05):58-64.
[6]张凯伦,王倩.你知道“刷脸”的风险吗[J]. 方圆,2019,(09):60-63.
[7]张平.大数据时代个人信息保护的立法选择[J]. 北京大学学报(哲学社会科学版),2017,54(03):143-151.
[8]付微明.个人生物识别信息的法律保护模式与中国选择[J]. 华东政法大学学报,2019,22(06):78-88.
[9]陈云峰.区块链征信业务中如何保证数据使用合规[J]. 中国信用,2018,(08):116-117.
[10] 苏鸣立.ZAO隐私保护存“大坑”[J]. 计算机与网络,2019,45(17):8-10.
[11] 王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J]. 现代法学,2013,35(04):62-72.
[12] 张晓彤.为“刷脸”技术划定法律边界[J]. 人民论坛,2020,(05):72-73.
作者简介:
余磊(1992-),男(汉族),四川西昌人。福建农林大学公共管理学院,2019级法律硕士在读。