山东财经大学 田晓
人脸识别技术在重新塑造人们的生产生活方式的同时,所带来的信息泄露、侵犯个人隐私等信息安全问题也逐渐开始引发人们的担忧。我国私法领域对人脸识别技术治理路径的研究尚处于起步阶段。2020年5月通过的《中华人民共和国民法典》以及紧随其后发布的《个人信息保护法》初步建立起对个人信息的分层分级保护模式,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》则有的放矢地回应了人们对当下人脸识别技术滥用和人脸信息安全的担忧。但现有治理路径的研究对人脸识别技术的应用特点及其特殊风险认识不足,使得个人信息保护领域现有的知情同意保护框架在人脸信息的保护上力不从心。
因此,有必要进一步厘清人脸识别技术的应用特点,重点关注人脸识别技术侵权风险的特殊性,从而形成有针对性的重塑知情同意的私法保护框架。
人脸识别技术是一项新兴的生物识别技术。所谓人脸识别,就是利用存储有若干已知身份的人脸图像的数据库验证和鉴别场景中单个或者多个人的身份,也就是通过人脸信息进行身份识别的一种生物识别技术。自投入应用以来,人脸识别技术日趋成熟,在城市安防、线上加密、交通出行等领域都体现出了极高的应用价值和广阔的应用前景。然而,在当今的数字化时代,人脸信息与公民个人的身份信息和个人隐私直接关联,具有可识别性、身份表征性、专属性和不可更改性等特征,一旦受到侵犯,其损失将难以弥补。
人脸识别技术是利用人脸信息进行身份识别的一种技术,其优劣属性都与人脸信息本身的特性密不可分,可以说,人脸信息的特点决定了人脸识别技术的应用特点。
首先,人脸信息的专属性和不可更改性决定了人脸识别信息来源的唯一性。人脸信息具有专属性,每一个自然人都只有唯一的人脸信息,每一个人脸信息也只能对应唯一的自然人。同时,自然人的面部信息具有较强的稳定性,在自然状态下不易变更。这一特性决定了人脸识别技术信息来源的唯一性。一方面,与DNA、指纹等信息不同,人脸信息只能通过识别人脸的方法获取,无法通过其他手段间接获取,另一方面,通过收集到的人脸信息,可以准确而唯一地识别自然人或验证自然人的身份。
其次,人脸信息的易采集性决定了人脸识别过程的自主性。不同于指纹识别需要用特定的手指在特定的位置按压多次,语音识别需要对准特定位置大声说话,人脸识别能够最大程度减少直接接触,因此可以被部署在用户不期望与系统合作的环境中,比如监控系统中,由人脸识别系统自动采集人脸信息,自主识别。这一特点为实现大规模隐秘监控、多人同时识别以及避免物理性残余干扰提供了技术上的可能。
最后,人脸信息的多维性决定了人脸识别技术的关联验证性。人的面部信息能够展现出多个维度的相关信息,这一特征在人脸识别技术中加以应用,使得人脸识别技术具有关联验证性的特征。通过捕捉人脸信息,可以对识别对象依性别、态度、年龄等标准进行分类,同时结合情景进行分析,就可以关联到识别对象的其他信息,或验证这些信息的真实性[1]。
信息安全风险是人脸识别应用所隐含的首要风险,包括信息的泄露和滥用风险。信息泄露风险包括狭义上的信息泄露和未经同意非法获取人脸信息。狭义上的信息泄露普遍存在于个人信息的存储和流转过程中,具有规模大、危害性强的特点。信息泄露使个人信息被不受控制地公开,严重侵犯了信息主体的人格尊严和隐私利益,甚至可能被不法分子抓取利用,给公民的人身权和财产权造成巨大损失。信息滥用风险是指信息处理者将收集的信息用于约定之外的目的,这一风险具有极强的隐蔽性。“大数据杀熟”就是滥用个人信息的典型现象,而人脸信息的多维性更提高了被滥用的可能。人脸信息的滥用甚至催生了倒卖人脸信息的黑色“产业链”,支付少量对价就能获得成千上万张人脸图像,给公民基本权益带来巨大的安全隐患。
公共场所人脸识别监控对隐私权的侵犯不在于面部信息的暴露,而在于对高识别度的面部信息及其主体行为的长时间观察和记录,如果将这些记录与识别对象的其他个人信息结合分析,就很有可能使信息主体的私密信息和行为活动一览无遗。此时的人脸信息就像一把钥匙,能够打开对人们至关重要的个人信息库。加之人脸信息本身具有泄露的风险,人脸信息关联的个人隐私极有可能随着模糊的用户协议条款或因黑客攻击和系统漏洞而泄露,被不法分子所利用,进而给人们带来财产上的损失或人格尊严的贬损[2]。
公民的平等权很容易受到算法歧视的威胁。根据歧视的来源不同,可将算法歧视分为两种:一种是先行存在的歧视,这种歧视根植于人类社会中,由算法设计者带入人脸识别计算系统。例如,“贴标签”是一种社会普遍存在的心理,也是社会歧视的来源之一,而人脸识别技术可能会使这种“贴标签”的行为算法化。另一种是技术性歧视,它来源于技术限制和技术考量[3]。曾有测试表明,人脸识别技术对于肤色较深的人群识别难度较大。微软、IBM和Face++对人脸识别算法的实验结果显示,对黑人女性的识别错误率比白人男性的识别错误率高出了几十个百分点。若任由其使用,将会使对少数族裔和边缘群体的偏见更为严重,平等与自由作为现代法治的基础更是无从实现。
首先,与密码、指纹等加密方式不同,人脸信息一旦被破解,便不能通过修改或更换来维持加密状态。而且人脸信息一旦泄露,与其关联的个人隐私往往也不能幸免,而个人隐私一旦暴露于公众面前,造成的损失将难以挽回。其次,人脸信息泄露通常通过网络系统进行,网络传播速度快、范围广及其隐蔽性强的特点使得人脸信息的侵权责任者几乎无迹可寻。当人脸信息泄漏事件发生时,如何界定和划分人脸识别算法的设计者、使用者、监管者的责任,如何确定信息泄露之后的非法利用者,成为侵权责任追究的两大难题。现有的过错责任原则显然无法对这些责任进行有效界定和划分,如果不制定一个针对性的责任确定和划分标准,人们将会因诉讼难度大而丧失维权能力,这会使人脸信息泄露带来的损害更加难以挽回。
在私法规制阶段,我们所追求的是形式公平,在形式上达到信息利用双方权利义务的平衡。私法对信息主体的预设是“完全理性”,即自己是自己利益的最佳判断者。因此,在私法层面,我们所需要做的是对信息主体尽可能地披露信息,在法律上表现为对信息主体知情同意权的保障,使信息主体有机会充分了解到自己的权利义务以及可能面临的风险,从而达到信息利用双方机会上的平等。
首先,人脸识别系统通常安装在追求高效率和便捷性的场景下,而知情同意的获取往往需要信息主体必要的停顿,以了解和知悉相关条款的关键内涵并表达真实的意思,这就必然会耗费时间和精力,进而与使用人脸识别的初衷产生冲突。其次,人脸信息收集和处理需求的激增,意味着在信息收集和处理的各个环节,需要在向信息主体详细告知和取得同意方面花费更多的时间和精力,使得同意成本过高。再次,信息主体普遍欠缺同意能力,信息主体并不能真正理解冗长的告知条款和海量的专业术语,很难说出自己真实的意愿。最后,同意的作用往往被虚化和异化[4]。人脸识别在许多场景下被用作唯一且必要的验证方式,拒绝同意意味着无法享受服务,用户点击同意成为必要操作,进而异化了同意的作用,从信息主体信息自决的“关卡”变为信息处理者对可能承担的法律责任的规避手段,为信息处理者收集使用人脸信息的行为披上了一层“合法外衣”。
在人脸信息的使用价值被不断发掘的情况下,坚持知情同意原则是对信息主体基本权利的保障,更是对自然人人格尊严的尊重[5]。事实性陈述与规范性效力是不同层次的问题。知情同意原则没能发挥其应有的效用并不意味着其作为个人信息保护的“阀门”不应该存在。我们所要做的应当是对其进行规范改良和革新,并提高其可操作性,以适应大数据时代人脸信息的保护要求。人脸识别技术主要应用于四种场景:一是社区、学校、公司等成员相对固定场所的门禁系统。二是线上支付平台、银行金融服务、电子设备开启等线上验证系统。三是铁路安检、宾馆入住等人员流动场所的现场比对系统。四是在商场、公共道路等场所安装的以城市安防为目的的监控系统。不同的场景下对人脸识别技术的应用方式和侵权风险都有所不同,所以应当针对不同类型的场景设计相适应的“知情同意”模式。
第一,在社区、学校、公司等成员相对固定的场景下,人脸识别系统的使用需要人脸信息采集这一前置步骤,在信息采集时,信息主体有充足的时间来了解使用人脸识别系统的注意事项,因此应当采用“书面告知+明示同意”的保护模式。在这一类场景下,信息采集方应当事先准备书面协议,其中列明人脸信息使用的目的、方式、范围,信息采集方与信息主体的权利和义务以及人脸信息的存储方式。这里可以参照保险合同格式条款的说明和提示义务,对于可能限制信息主体权利或增加其义务的条款,协议提供方应在协议中以“醒目”的方式特别标出并提醒信息主体注意。信息主体充分了解和知悉协议内容,同意接受人脸识别门禁的,需要在协议中签署“我已认真阅读并了解协议内容,同意使用人脸识别”并手写签字。书面协议一式两份,由信息采集方和信息主体分别保管。对于不同意使用人脸识别系统的信息,信息采集方应当立即停止采集其人脸信息,并为其提供替代方式,例如指纹、掌纹识别或使用门禁卡,以防止信息主体陷入被迫同意的困境。
第二,在线上支付平台、银行金融服务、电子设备开启等线上验证系统中,通常需要用户事先自主线上录入人脸信息,同样可以使用“书面告知+明示同意”的保护模式,但这里“书面”和“明示”的表现方式有所不同。平台在采集人脸信息时,应当专门提供电子版人脸信息隐私协议,其中列明人脸信息使用的目的、方式、范围,向第三方共享人脸信息的同意规则,人脸信息的存储主体以及信息提供方和信息收集方的权利和义务。对于可能限制用户权利或扩大其义务的条款,应当置于协议最前面并以“醒目”的方式标注,使用户无须翻阅冗长的文字就能够注意到与自己切身利益密切相关的内容。出于对一般理性人知识水平和习惯的考虑,对隐私条款的同意可以采用“概括同意”的方式。用户不同意隐私条款,不愿提供人脸信息的,应为其提供替代验证方式,如密码或指纹验证,以便用户能够享受主要服务。
第三,在铁路安检、宾馆入住等人员流动场所的现场比对系统中,人们只需要将自己的面部与身份证或其他证件上的面部信息进行现场比对,无需事先提供自己的面部信息。这种场景下,对于人们的每一次比对,人脸识别系统都应当只存储比对结果,不收集和存储面部信息,这是人脸识别技术使用的必要性原则,也是技术应用谦抑性的体现。
第四,为城市安防需要,商场、公共道路等人员不特定的公共场所都安装有监控系统。在智慧城市建设进程中,人脸识别技术在公安部门迅速推广,人脸识别系统在捕捉人脸信息、追踪目标对象、维护城市安全方面发挥了重要作用。但值得注意的是,这些场所中人脸识别技术的使用是为了维护公共利益的需要,人脸信息的收集和处理者应仅限于公安及其他政府部门。同时,公安及其他政府部门在安装人脸识别监控的场所,应当在醒目位置提醒人们已经进入人脸识别监控范围,使人们对自己面部的暴露程度有一个心理预期。商场、社区物业等公共场所的内部监控系统中不应内嵌人脸识别系统,不能对不特定消费者的人脸信息进行抓捕和识别,商家更不能对消费者进行可能侵害人格尊严和人身自由的面部特征分析,应恪守公民基本权利的保护底线。
综上所述,任何主体在进行人脸信息的收集和处理时都应履行告知义务,不管是公权主体还是私权主体,不论是出于公益目的还是私益目的,都应当充分尊重信息主体的知情权,对人脸信息的收集和处理情况进行简明、清晰的告知。具体而言,对于私益目的的人脸信息收集,信息收集者应当将信息收集的目的、方式、范围以及信息存储的方式尽可能详尽地书面告知,并对不易理解或与信息主体人身财产权利密切相关的内容重点说明,使信息主体充分知悉双方的权利和义务,并以此为基础作出同意或不同意的意思表示。对于公益目的的信息收集,出于维护公共利益的需要,公权机关可以在未取得信息主体同意的情况下收集处理人脸信息,但必须及时告知信息主体其使用的目的、方式和范围,并提供信息主体提出异议时的救济途径。
人脸识别技术作为一项新兴的生物识别技术,在如今的许多场景下都展现出了极高的应用价值。对人脸识别技术的私法规制,应从大数据时代信息收集双方的信息不对称局面着手,形成人脸信息收集的双方主体在形式上的平等地位。具体而言,我们应当从知情同意保护框架的重塑入手,深入研究个人信息保护制度中知情同意原则的理论内涵,探索知情同意原则在人脸识别的不同场景下更具可操作性的保护路径,使信息的充分披露成为人脸信息收集和处理的前提,将人脸信息的收集和使用置于信息主体可以预测的范围内,进而使信息主体的人脸信息安全得到充分的保障,最终实现新兴技术与个人信息保护的和谐平衡发展。