辽宁工程技术大学 金千茜
当前,在数字经济迅速发展的大背景下,一系列新兴技术也随之大量涌现,其中尤为突出的就是人脸识别技术。当用户的人脸数据被平台收录,上传至深不可测的互联网,法律的权威也面临不法分子的挑衅:伪造他人肖像做广告、吸引流量牟利,或是恶搞名人、侮辱、诽谤、网络诈骗、色情宣传等等。当人们的面部信息如同钥匙一般与自己的金融交易、身份识别等高度隐私的账户息息相关时,安全风险也随之而来。在个人信息保护机制尚待健全的我国,通过完善法律对人脸识别技术应用背后的侵权风险加以防范与规制的研究显得极为必要。
由于人脸识别技术在我国处于初级发展阶段,在实际使用中仍存有技术漏洞,安全性低、可靠性不高。目前,市场上有很多企业在各类生活场景中都使用人脸识别技术,滥用现象极其普遍。同时大部分数据控制方在处理人脸数据时没有法律规范,保护意识也很薄弱。因此,当人脸数据被泄漏后,很容易造成权利人的人格权和财产权受到侵害,又由于事后救济途径十分狭窄,大部分公众很难让自己的合法权益受到保障。
1.该项技术仍存有漏洞
2021年,清华大学的RealAI研究团队为了测验手机的人脸识别技术是否存有安全漏洞而进行了一个简短的实验,结果被测验的19部手机都被特定测试人员的眼睛图片所解锁。在ISC 2020 大会的人工智能与安全论坛上,360 AI安全研究院研究员刘昭通过举例某款人脸识别设备能让任意人通过,说明不仅AI算法存在漏洞,其所依赖的关键基础设施也同样会被攻击,并进一步揭露了AI关键基础设施存在的安全风险。
由此可见,即使我国的人脸识别技术已经历经长期的算法发展与改进,现有的人脸识别技术仍存有漏洞,可靠性非常低,并且由于2D人脸识别技术与3D人脸识别技术的成本差距,部分厂商会选择更为低廉的技术,而这更容易使得用户的个人权益遭到侵害。何况更为先进的3D技术也会受到光线、设备性能、黑客攻击等无法避免的因素影响。这一方面是受制于现今技术发展的成熟度,另一方面则源于技术提供方与应用方对于安全防备的轻视。
2.市场对该项技术的滥用现象普遍
2021年“3·15”晚会,央视曝光了全国20多家商户存在安装摄像头识别人脸、收集人脸数据的情况。科勒(中国)投资有限公司在旗下卫浴门店安装人脸识别摄像头,抓取包括性别、年龄在内的个人信息,其摄像头系统生产商“万店掌”,另一系统生产商“悠洛客”科技都有此技术, 可以在顾客不知情的情况下抓取信息。此外, 无锡的一家宝马4S店、MaxMara 旗下的一家店铺均存在安装人脸识别摄像头收集人脸信息的问题。
3.人脸信息处理不规范
我国公民,尤其是人脸信息的数据拥有方,普遍对个人生物信息的保护意识较薄弱。这主要体现在对人脸数据的非法采集、强制采集、过度采集以及非法提供、泄漏等处理中。无论是违法分子盗取用户的面部信息来牟利,还是很多像“ZAO”一样的APP们一边过度攫取用户授权,一边侵犯用户权利,并且为了自身免于承担责任强制用户签订用户协议。
4.权益救济渠道狭窄
人脸识别技术是新兴技术产业,在我国因并未建立完善的治理机制,法律体系散乱且保护力度较弱,故而对人脸识别技术的事后权利救济实际很困难。事实上对于广大群众而言,人脸识别技术与其背后的科学原理都十分复杂,人们很难对其掌握了解,因此当数据主体的合法权益受到侵害时,在诉讼的救济途径中通常存在举证困难、审理困难等问题,何况我国尚未对人脸识别涉及的具体法律问题加以规定,执法人员更是难以有效、全面地解决被侵害人的问题,维护被侵害人的利益。
1.侵犯用户人格权
在近几年层出不穷、或大或小的人脸识别侵权案例中,大多都是行为人在顾客不知情或非自愿的情况下,获取涉及顾客隐私和财产安全的人脸识别信息。根据我国《民法典》第四编人格权的相关法律规定可知,这些行为明显都具有涉嫌侵犯他人肖像权、名誉权、个人信息权及隐私权的法律后果,损害了他人的合法人格权益。
2.侵犯用户财产权
人脸识别技术的安全风险不但包括个人人格权利受到侵犯,还有可能导致个人的经济和财产受到损失。当今人脸信息被广泛运用于各种各样的生活场景,当不法分子利用人脸照片、3D人脸等方法破解网络银行等人脸识别系统后,通过网络交易、消费以及转移线上账户的资金等方式就能获取非法收入,从而造成用户个人财产的损失。
近年来,随着人脸识别技术的发展和应用,越来越多的人意识到对人脸信息进行保护的重要性,与其相关的法律争议也层出不穷。因此,2021年“两会”期间,不少人大代表都提议国家应加快制定相关法律法规,从而保障公民因其安全风险从而可能遭受侵害的各项权利。
目前,我国并没有针对人脸识别技术建立具体的法律规制,也没有出台相应的法律。在2021年7月28日最高人民法院发布《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》之前,国内除了2020年12月天津、深圳、杭州等地出台了相关条例之外,仅仅是以个人信息的范围笼统地对生物识别信息加以定义。在《民法典》的人格权编中,共计有6个条文对个人信息的保护有详细的叙述,人脸信息则作为生物识别信息被涵盖其中。2021年8月,《个人信息保护法(草案)》将进行第三次审议,该法案的探索之路体现了我国相关立法进程发展的前进性和曲折性。如果表决通过,将会对公民个人、信息行业和监管机关产生重大影响。
从国外的研究现状来看,由于与国内不同的政治体制和社会文化,他们对人脸识别技术的法律规制也较为严厉,其中具有代表性的就是欧盟和美国。
在欧盟,目前处于主导地位的个人信息保护法是《通用数据保护条例》,该条例自2018年5月25日正式生效以来,其影响力早已越过欧盟,遍布全球。其中第4条对“生物特征数据”作出明确界定,指出“人脸图像”属于生物特征数据的范畴。与此同时,欧盟的立法主张个人信息是一项独立权利,应进行独立保护,即视个人信息为一项基本权利。相较于美国而言,欧盟针对个人信息的保护并没有区分公共领域和非公共领域的范围,而是将主体直接划分为数据主体、数据控制者和数据处理者,并统一规范,将公共利益作为例外而保留。此外,欧盟规定对于使用人脸识别技术获取人脸信息的行为严格限制,《通用数据保护条例》将人脸数据纳入个人数据的“特殊类别”,数据主体如果没有明确同意就不得处理该类数据。
面对人脸识别的滥用,欧盟也逐步推行禁止使用人脸识别等远程生物识别系统的规定。2021年4月,欧盟推出了《人工智能法(草案)》,其中禁止四类人工智能应用,不遵守此法案的机构可能被处以3000 万欧元或上一财年全球全年营业收入6%的罚款。这四类人工智能应用中就包括限制实时远程生物特征识别系统的使用。更早在 2016年4月,欧盟就通过了《一般数据保护法案》,该法案于2018 年正式生效,明确规定企业在使用用户个人信息(包括人脸识别等生物识别信息)时,需要获取消费者的明确同意。
在美国,联邦各州对于人脸识别技术应用的法律规制各不相同,但根据总体的相关专门法案和禁令可以看出,美国对这一技术的规制十分重视。从立法模式来看,美国各州对人脸识别这一技术的规制有较大的自主决定权,同时,美国的自由主义强调个人自由,在法律体系里,私权利处于核心地位。因此,相较于欧盟的“基本权利说”而言,美国偏向于隐私权理论,即将个人信息的保护涵盖于个人隐私权保护的范围内。
目前,在美国最具代表性的法案是美国参议院法案——《2020年国家生物识别信息隐私法案》。它是以伊利诺伊州的BIPA为蓝本,适用于“私人实体”,包括拥有任何个人的生物识别符或生物识别信息的任何规模的企业,关键性条款如有义务以类似于组织保护其他机密和敏感信息的方式保护生物特征识别器或生物特征信息。上文所提及的伊利诺伊州颁布的《生物识别信息隐私法案》(即BIPA)则明确提出了“生物标识符”概念,指明其包含了“面部特征的扫描”,在人脸识别技术的法律规制体系里也具有典型意义。
2016年,亚马逊推出的图像识别AI系统Rekognition曾在2018年将28名美国国会议员识别成了罪犯,而在2019年和2020年,又有黑人男子因为美国警方使用的人脸识别系统识别不准确而被错误逮捕。除此之外,还有种族歧视、大数据监视等问题。因此,美国多地限制甚至禁止使用人脸识别技术的呼声较高,相关应用的普及程度也较低。2019年,美国陆续有多个城市通过了禁止政府部门使用人脸识别技术的条例,其中,俄勒冈州波特兰市不仅禁止政府部门使用,也禁止私人企业在公共场所布置人脸识别技术。美国加利福尼亚州的旧金山市首创了全球范围内关于人脸识别的禁令。2020年,美国国会参议员也开始推进人脸识别相关暂缓法案的出台,他们提出《2020年人脸识别与生物技术暂缓法案》,禁止联邦部门使用人脸识别技术增加了地方警察使用该技术的难度。
对比国内外的人脸识别相关法规来看,虽然当前我国一些人脸识别应用比较广泛的城市已经出台了一些政策,但因国情差异,国内更多是对人脸识别的商用应用进行规范,国外的政策法规对政府机构和企业分别有不同层面的约束。因此,为了严格保护公民的人脸信息安全,促进人脸识别行业健康发展,我国人脸数据隐私相关政策法规的健全迫在眉睫。
对于人脸识别技术的应用,由于政府部门和企业的主体性质不同,应当分别立法加以适用。公权力如公安系统,在抓捕犯人时必要采取人脸识别技术,这属于基于公共利益的正当使用,是以实现公共利益的需要为目的,具有合法性和正当性。因此,政府部门为了维护公共安全,如识别失踪人员、确定死者身份等,可以使用人脸识别技术,但必须符合法律授权的要求,严格按照规范使用。与之相反,面对企业或机构在非必要情况下采集人脸数据的行为,法律应当加以严格限制,设立准入门槛,明确立法并限制适用要求,无论是收集前应征得个人的明示同意,还是处理人脸数据时以合法目的为基础,都应将公众的人脸数据加以保护、保密,严格把关人脸识别技术滥用的情形。
对于人脸识别技术的监管机制,应该适用这项新兴技术本身具有的风险性。因此,除了企业自身的监管机制,还应建立以行政、司法以及第三方专业机构为代表的多方监管体系。在运用人脸识别技术系统时全程性、灵活性监管,做到“无死角”。面对企业使用人脸识别技术,应当评估其适用风险,审查其是否具有专业的风险处理机制。同时加强行政监管,建立健全相应的监管部门,定期执法检查可能存在风险的企业,设立举报申诉机制等,运用公权力的手段有效保障人脸识别技术的安全性,加大监督力度。
无论是政府部门还是企业或机构,在使用人脸识别技术之前,应当先做好风险评估,检测并考量其所使用的人脸识别技术是否具有准确性、安全性、保密性等内部条件,同时要求该主体制定相应的管理机制、责任机制、预防风险机制等外部条件。
当人脸识别技术的侵权后果发生后,完善其事后的救济渠道也十分重要。首先,对于权利人可以寻求救济的途径,应不仅限于向不法分子追寻赔偿,还可以向监管部门提起申诉,对监管部门所做决定不服的,可以向人民法院提起行政诉讼,或者起诉人脸数据的控制者和处理者。其次,面对权利人难以取证、纠纷难以被审理的问题,应当完善人脸识别技术侵权风险审理机制,建立集中处理的部门,对证据审理做到有例可循,提高处理此类纠纷的准确性和效率性。最后,应当加大惩罚力度,对于权利人被侵害的人格权利和财产权利,数据管理、控制方应当在停止侵害的基础上,承担相应或更高的损害赔偿。
由前文详述的欧盟和美国对人脸识别技术的法律规制可知,域外发达国家在此方面具有一定法律实践经验,我们应该汲取教训,吸收并学习合理且适合中国各地实际情况的立法、执法与司法的协调机制。我国国情复杂,富有特色的地方法治是国家法治的重要组成部分,各地方都有地方性法规和政府规章的制定权、相应的行政权和司法权,民族自治地方还有广泛的自治权,因此,各地区借鉴国外发达国家对人脸识别技术应用的法律规制是可行的。发达省份可以借鉴美国伊利诺伊州的《生物识别信息隐私法案》,对人脸识别进行专门的地方立法。国家层面也可以借鉴美国2020年3月12日通过的一项全面的联邦隐私法案——《消费者数据隐私和安全法案》,就人脸识别技术共性法律问题诸如人脸识别应用的专用目的性、不可滥用性等作出规定。还有诸如在执法监管中严格主义的执行原则、司法中被人脸识别者的保护价值优位等概念也值得我们借鉴。