乔淑贞
(河南警察学院 法律系,河南 郑州 450046)
随着国内几大支付平台相继开通“刷脸”支付功能,“刷脸”支付成为流行的支付方式之一。①2019 年10 月20 日,在第六届世界互联网大会金融科技分论坛上,银联发布全新智能支付产品“刷脸付”,正式宣布进军刷脸支付市场。 被戏称为“国家队”进入刷脸支付市场。“刷脸”技术的正式称谓叫“人脸识别技术”。 人脸识别是基于人的脸部特征信息进行身份认证的一种生物识别技术,该技术的核心是采集人面部生物信息并与信息库进行比对以实现身份识别,该技术实现的过程包括初次采集-存储-再次采集-比对-识别。 人脸识别技术兴起于20 世纪60 年代,最初主要应用于安防领域,随着人脸识别技术取得关键性突破,并借助于网络和大数据的发展,该技术迅速而广泛地应用于各个领域,从安防到企事业、政府机关行政管理再到商业支付,几乎覆盖了人们生活的各个场所。 人们比以往任何时候更深刻地感受到生活完全被现代科技所裹挟。
任何一项科技的风险首先表现为技术本身的不成熟,不过,随着研究的不断深入,技术本身的漏洞将得以填补,其风险基本是可控的。 但另一方面,可以预见的是, 现代科技在应用中的风险系数并不会随着技术的日益成熟而自行消减。因此,对其保持审慎并进行有效的法律控制就尤为必要。
“刷脸”技术的应用给公共管理带来了高效,个人生活因之更为便捷。 与此同时,“刷脸”技术应用中的法律风险不容忽视。因为,大多数时候,在我们通过“刷脸”进行支付或进入某公共机构、场所时,作为面部生物信息权利人的我们并不知道是谁在采集我们的信息,是谁在使用我们的信息,又是谁在管理我们的信息。 通常,信息采集并未获得我们的明确授权。
从“刷脸”技术的实现过程来看,其在法律上的风险主要集中于对个人权利的侵害。②2019 年11 月,浙江理工大学特聘副教授郭兵以强制使用人脸识别涉嫌侵害公民隐私权,将杭州野生动物世界告上了法庭。 该案被业界称为“中国人脸识别第一案”。但对于人脸识别技术侵害了公民哪项权利? 公众的认识存在有误区,学者之间也有争议。 总体而言,“刷脸”技术涉及到我国宪法和法律中的公民肖像权、 隐私权和个人信息权利等。 鉴于这三项权利在内涵和外延上存在交叉,有必要分析三者之间的关系。
相对来说,肖像权是一项传统的权利,该项权利外延相对较小。肖像是人面部特征的二维呈现,包含在人体生物特征之内。肖像权是一项具体的人格权,其宪法基础是第38 条人格尊严条款。人脸识别技术在发展的初始阶段采用拍照对人脸进行二维扫描首先关涉人的肖像权。随着深度计算的发展,通过人脸识别可以提取更为精准的人面部生物特征, 其所关涉的权利内容也更为复杂, 不过肖像权仍是其中最为基本的内容。
学界较为普遍的看法, 认为人脸识别技术侵犯的是公民隐私权。隐私权也是一项传统的权利,但其外延要大得多。《民法总则》明确将隐私权纳入保护,由此,公民的隐私权是一项重要的独立的民事权利。我国宪法中没有明确规定公民的隐私权。 但宪法学者普遍认为,宪法第33 条第三款人权条款、第38 条人格尊严条款均蕴含了对公民隐私权的保护; 宪法第37 条的人身自由条款、 第39 条的住宅权条款和第40 条的通信自由、通信秘密保护条款同样蕴含了对公民隐私权的保护。可见,隐私权保护在我国有着深厚的宪法基础。
在我国, 个人信息权是仍处于发展中的新型权利。 个人信息保护随着网络和信息社会的发展而日益受到关注,其内容与隐私权有诸多重叠。从英美国家的实践来看, 对个人信息权的保护在很长一段时间是依附于隐私权保护的,但二者的边界比较模糊,因此,在传统“隐私权”概念的基础上发展出了“信息性隐私权”,后者是传统隐私权在信息技术蓬勃发展时代的自然产物。在一定意义上,个人信息保护的范围大于隐私权;但另一方面,隐私显然并不一定表现为数据化的个人信息。 二者在内涵上有较大范围的交叉, 但是, 如若将个人信息保护仅限于隐私性信息,则在实践中存在一定的困难,同时有将“非隐私性个人信息”排除于法律保护之外的风险。鉴于隐私权与个人信息权不能互为包含, 应将二者视为相互独立的两项权利。 鉴于个人信息在网络社会日益彰显的重要性,我国明确将个人信息纳入民法保护。
综上,“刷脸” 技术在应用中的法律风险主要集中于对公民个人信息权的侵害,如“刷脸”支付及身份验证中存在个人信息过度采集, 数据信息存储管理不善有泄露风险,进而带来人身、财产权益遭受侵害,信息使用监管不到位等风险。
为有效避免“刷脸”技术在应用中对公民个人信息权的侵害, 须从法律层面完善我国的个人信息权保护,包括哪些主体为了什么目的可以收集、使用公民(或自然人)的面部生物信息,及符合法定情形的面部信息删除等。
为了加强对信息的保护和治理,继2012 年全国人大常委会《关于加强网络信息保护的决定》之后,2017 年十二届全国人大常委会出台并实施了《网络安全法》,明确个人信息和重要数据保护的基本原则和基本规则;同年公布的《民法总则》明确规定,自然人个人信息受法律保护, 将个人信息作为一项重要的民事权益加以保护。 2015 年通过的《刑法修正案(九)》,加大了对个人信息犯罪的刑事打击力度。 目前,《个人信息保护法》 已列入十三届全国人大常委会立法规划。以上立法构建了包括公法、私法在内的个人信息权保护的基本法律框架, 为我国建立完善的公民个人信息权保护法律体系奠定了初步基础。但同时也必须注意到,现有立法存在着以下不足,从而无法适应大数据时代人们权利意识的发展和对个人信息安全的需要。
首先, 表现为对个人信息权这一新兴权利的忽视。《刑法》、《民法总则》与《网络安全法》均着眼于对“信息” 本身的保护, 而非以主体权利保护为核心。“个人信息”于“个人信息权”显然是两个不同的概念,作为基本法律的《民法》和《刑法》应保护的是“个人信息权”而非“个人信息”。 当代社会,大数据迅猛发展,各种场所、各种途径、基于各种目的的信息收集防不胜防,人们有信息暴露之虞,从而主张对个人信息的决定权,个人信息权由此兴起。此外,由“个人信息权”派生出来的权利内容非常丰富,对现代社会的个人意义重大。
其次,从现有的法律体系来看,对个人信息权的保护立法分散,缺乏统一的基础,实践中存在各法之间的衔接问题。 学界对个人信息权的讨论一向有私法保护和公法保护两种不同的倾向, 原因在于对个人信息权权利属性在认识上存在分歧。
再次, 现有立法缺乏对公权力侵害公民信息权的制约。 众所周知,自古至今,政府都是收集公民个人信息的最大主体。随着电子政务的发展,巨型数据库的建立, 政府成为拥有控制个人信息量最为庞大的主体。网络的发展尽管使海量数据收集成为可能,但并未改变政府在信息帝国中的地位。 与商业信息不同, 政府拥有的信息往往具有目的明确和系统性的优势。因此,亟需立法明确政府在收集、管理、使用个人信息中的责任。
综上,对“刷脸”技术的应用进行立法规制首要目的在于保护个人信息权,为此,应从以下几个方面对现有立法进行完善。
1. 完善以个人信息权保护为中心的立法体系。任何立法都应以权利保障作为出发点和归宿, 是权利本位论的基本主张。 个人信息权保护立法也应坚持权利本位的立法导向, 明确个人信息权作为一项独立权利的地位; 同时应明确个人信息权的内涵和外延,厘清个人信息与个人信息权利的关系,个人信息只是权利内容或载体, 法律要保护的是个人信息所承载的主体权利。
2. 建立以宪法为核心的个人信息权保护体系。个人信息权不仅应成为独立的民事权利, 而且应成为基本权利。 首先,如前所述,个人信息权作为信息时代的新兴权利, 尽管可以从现有的宪法条款中寻求依据,但其内涵和外延与传统的隐私权、人格尊严等几项相关权利均无法等同。 随着《民法》《刑法》及专门的《个人信息保护法》先后将个人信息权纳入保护范围, 现有的法律规范缺乏明确的宪法依据;其次,个人信息权保护针对的是所有公私主体。如前所述,对“刷脸”应用的规范不应排除公权力主体。作为一项独立的基本权利, 个人信息权足以对抗公权力的侵害。 因此,在违宪审查制度较为完善的国家,政府对人脸识别等技术的应用通常保持审慎。①2019 年5 月,旧金山市通过修改既有条例成为美国首个禁用刷脸技术的城市。 参见梁丽雯.AI 降温:旧金山禁用刷脸技术[J].金融科技时代,2019(05):92.
3.完善个人信息权保护的基本原则。 参照世界各国在个人信息权保护立法和实践中的经验, 个人信息权保护应包含如下原则:(1)信息主体的同意原则。 《网络安全法》 第41 条已经初步确立了同意原则,但仍须完善,尤其是当侵权主体涵盖了公权力主体后,对公私主体的适用应予区别。私主体为了商业目的的收集应把此原则作为首要原则; 公权力主体为了管理的目的,除应获得信息主体的同意外,还应提供其他可供选择的身份识别方式。(2)目的合法原则。 对“刷脸”技术的应用进行规范只是为了防范对个人面部信息的过度收集和滥用、 避免因管理使用不当造成个人信息泄露, 并不否认公民个人信息权如其他权利一样存在边界。为了公共利益的目的,公民个人信息权在特定情形下应受到限制。为此,应适用法律保留原则, 通过立法规定对个人信息权进行限制的法定情形。 通过“刷脸”对人面部信息的收集必须符合法定情形。 (3)收集公开原则。 信息收集者应公开收集、使用规则,明示收集、使用信息的目的、方式和范围, 不得将个人信息在明示目的以外改作他用,不得超出明示之收集、使用的方式、范围。 (4)谁收集谁负责原则。 对个人信息权的侵犯包含了一系列对信息进行处理的行为,如收集、使用、储存、传递、修改、披露等。 现有立法尽管从原则上规范了对信息的收集行为,但从侵权责任来看,主要从信息安全出发规定了信息泄露或不当处理应承担的责任。笔者认为,从保障权利出发,应确立谁收集谁负责原则,从信息处理行为的源头进行控制。 (5)特定情形的删除。 个人信息权包含了信息主体对个人信息的主张删除权。 在实践中,政府基于合法目的的收集,公民的这项权利有可能受到很大程度的限制。 在商业目的的收集中, 应保障公民在任何情形下主张删除个人信息的权利。 同时,在公开的收集、使用规则中应有明确的时间限制, 收集者有义务到期删除个人信息。
结语:科技的作用是改善人类的生活方式,法律的功能在于保障人类的权利避免受到不当侵害,二者的功用是一致的,都是为了实现人类发展。但人类发展的历史告诉我们, 科技成果如果运用不当将对人类造成难以估量的伤害。相对于科技的发展,法律本身总是具有滞后性。 如何通过完善法律以应对现代科技的迅速发展成为需要人类共同深入思考的命题。法学的使命是预见到科学技术可能的风险,通过立法使其发展保持在可控范围内, 不至于对人类社会带来不可挽救的伤害。 如韩大元教授所言:“法学的使命不是赞赏科技发展带来辉煌的成就, 而是要审视科技可能带来非理性的后果, 以及如何通过法治降低科技发展可能带来的风险与非理性, 如何通过宪法控制科技对人类文明、尊严与未来的威胁。 ”法学的这一功能在网络、 大数据爆炸式发展,AI、生物科技日新月异的今天尤显重要。