常州大学史良法学院 陆亚媛
人脸识别技术具有着非接触性、可扩展性及高准确度目前我国各行业的应用日益广泛,尤其是在新冠疫情常态化防控工作中有着特殊优势。但在实际应用中存在的数据泄露风险、侵犯公民隐私风险以及算法歧视风险等风险,这对个人信息保护造成了一定挑战。鉴于我国目前对于人脸信息的法律保护存在不足,公众对于人脸信息的重要性也没有足够的认识。为了平衡数字经济的发展以及公民权益的保护,可以通过区分公私部门不同的规制重心、建立专门机构常态化监管以及各方主体及时行使“删除权”等方面规制人脸识别技术的应用。
人脸识别,是通过摄像头采集人脸的图像,并对特征信息进行分析从而进行身份识别的生物识别技术[1]。与其他识别技术如虹膜识别、指纹识别等相比较,人脸识别技术具有特殊的有利条件:(1)非接触性,用户不需要与人脸识别采集设备直接接触,数据就可以被采集到。(2)可扩展性,在对人脸信息进行识别之后,根据处理后的数据可以延伸出更多现实的应用。(3)高准确率,相比于其他生物特征信息,人脸信息在鉴别人员身份方面的效率及准确率都更高,目前十亿级别的人脸检索已经可以实现。
随着人脸识别技术的不断发展以及社会对安全性要求的提高,人脸识别技术的应用领域逐渐变化,对于安全性要求更高的领域如证券交易、金融理财、社保医保等更倾向于应用人脸识别技术。
新冠疫情目前已在全球蔓延并流行,对于疫情防控工作,相较于刷卡、指纹等直接接触式的生物识别方式,人脸识别这种无需直接接触的识别方式将更适合于目前的公共卫生环境。从具体操作方面来看,一方面,将人脸识别设备匹配以红外线体温测量设备,能够及时有效的监测人们的健康状况,在发生异常情况时迅速的锁定人员并上报相关信息,从源头上遏制疫情;另一方面,通过覆盖率较高的监控系统,防控工作人员可以更便捷的获取一些重点人员的流程轨迹信息,从而保障防控管制措施的严密。
人脸信息属于敏感个人信息,一旦发生泄露,就会威胁到个人的人身和财产安全,公共安全也可能受到影响。据《人脸识别应用公众调研报告》显示,94.07%的受访者用过人脸识别技术,64.39%的受访者认为人脸识别技术有被滥用的趋势[2]。
对于人脸信息的存储存在着数据泄露的风险。对于人脸信息的获取及利用等涉及到存储数据的环节较多,在各个环节都都存在泄露数据的风险。同时,收集人脸信息的过程对于环境和设备都没有较高的要求,而正是由于人脸信息在许多情况下并不需要被收集人配合也可以在较远距离收集到,使得人脸信息的发生泄露的风险增加。更重要的是,人脸识别的精确性依赖于人脸信息数据库的数量,因此,数据收集者总是希望收集更多的人脸信息从而提高识别的精确性,但越庞大的数据库,其泄露造成的风险也越大。
人脸本身并不属于隐私,但是人脸识别技术识别后存储的人脸信息可以让该信息不经公民的知情同意便传播到未知的领域。这便拓宽了隐私的边界,使得人脸信息也成为了隐私。如隐私法学者Julie E.Cohen的所言,缺乏隐私为个人人格所构建的发展空间,个人将不可能培养独立的人格[3]。在大数据的背景下,公民的人脸信息是与其他个人信息如名称、位置、偏好等相关联的,根据这些信息,个体将会形成一个具体清晰的用户画像,并在互联网记忆中不断更新完善。一旦信息泄露,公民很可能陷入“隐私裸奔”的境地。如2020年3月,莫斯科警方根据面部识别系统抓获了200名违反疫情期间自我隔离规定的民众,这些涉嫌违规者出现在户外不到半分钟就被摄像头捕捉到了[4]。
算法极可能产生偏见及歧视,自动化决策的结果是建立在大量的数据的基础上,但往往在数据收集的阶段就是偏见或歧视的角度下进行,由此自动化决策产生的结果就是充满偏见与歧视的结果。比如,杭州某置业公司为促进销售,利用人脸抓拍系统记录下访客的人脸信息,并匹配出其身份、到访次数、消费情况等信息。自动化决策根据数据将访客们分类,这极易导致访客在毫不知情的情况下被歧视。
目前我国没有专门针对人脸识别技术的立法,仅有相关的司法解释即《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》。该司法解释重点对以下几个方面进行规制:(1)企业通过App等以捆绑、强迫形式获得消费者同意人脸信息处理构成侵权;(2)严格的举证责任规定之下,企业在处理人脸信息时应注意“留痕”;(3)明确了物业、建筑管理人不得以人脸识别作为唯一门禁方式。
2019年,网信办、工信部、公安部、市监局进行了关于App收集个人信息的联合整治行动,对App收集使用个人信息的乱象进行整治,对例如换脸软件ZAO进行约谈。但是目前并没有明确具体承担个人信息保护职能的机构。尤其是网络环境涉及多个部门,容易出现管理交叉甚至空白的情况。由于各部门各司其职,缺乏统一协调的部门,个人信息主体会出现投诉无门,难以救济自身权益的情况。
目前我国进入司法领域的关于人脸识别技术的案件只有郭兵诉杭州野生动物世界一案。郭兵在购买了野生动物世界的年卡之后被告知原指纹识别已取消,要想正常入园必须通过人脸识别的方式,不接受也不能退卡。2021年4月,杭州中院作出二审判决,二审判决野生动物世界删除郭兵的人脸信息及指纹信息。但驳回了郭兵要求确认店堂告示、短信通知中相关内容无效等诉讼请求。
虽然法院判决商家删除人脸信息,但是判决其实都是从合同法的角度出发,认定园区单方面违约。法院却未对商家强制要求应用人脸识别方式入园这一不合理的方式作出直接的回应,同时也未对人脸识别技术滥用的情况进行审查。可以说,目前在司法领域还未有对人脸识别技术应用的合理性有所回应。
公私部门应用人脸识别技术的侧重点不同,所对应的规制方式也应该有所区别。从行为主义规制的进路出发,个人信息的保护应根据不同行为所可能侵犯的个体与社会的权益而进行不同程度的规制。政府部门使用人脸识别技术的主要目的是提高工作效率,更好的保障公众的安全,那么其收集、使用人脸信息都应该仅限于执行公务的范围,超出此范围的应用可能会造成侵权。因此,对政府部门应着重于事前规制。一方面,政府部门在安装应用人脸识别的设备前应征求相关机构的意见,获得批准以后才可以投入使用;另一方面,相关机构在审核是否准许应用时,应综合考虑政府部门是否有应用人脸识别技术的必要性,同时要依据公开、透明、民主参与等原则予以批准[5]。
对于商业机构等私主体则应以事中和事后的规制为主。因为商业机构往往在技术创新方面较为领先,如果采取较为严格的事前规制可能会影响先进技术的研究,遏制市场的发展,同时,在获得个人同意的情形下人脸信息具有一定的流通的自由。在给予市场一定自由的情况下,如果发生了侵权的情况,消费者可以通过不同方式的救济途径保障权益,赔偿损失。在这种情况下,应该加大对商业机构应用人脸识别技术产生的侵权行为的惩处力度,如提高赔偿额、禁止再应用等。由此能够警醒商业机构合理应用人脸识别技术,努力保障消费者的合法权益。
基于上述人脸识别技术存在的数据泄露、侵犯公民隐私及算法歧视等风险,有必要设立常态化风险监管的专门管理机构。面对千变万化的信息收集场景,个体很难对自身信息实现有效保护,大量的个人信息保护工作仍然依赖于公共监管机构的监管[6]。这其中有两点需要注意:(1)在评估专家中要增加政府外专家的比例,同时也需要有其他学科背景的专家参加,从而确保平衡地处理各种科学证据。(2)设立评估的公告评论制度,公告评论即将风险评估报告草案向社会公开,征求意见,并根据意见修正评估报告,这可以给利益相关群体提供参与的机会,从而确保相关问题得到充分讨论[7]。
对于风险的性质、规制的成本效益等问题,应当通过客观的分析尽可能揭示问题的全貌,如果政府通过相应的风险沟通,公众完全可以提高自身的风险意识,就此而言,法律有义务也有能力引导公众观念的变革。
鉴于公众对于人脸信息的收集有着有较高的接受度,但对于相关风险的认识度却不高,有必要提高公众的参与度,从信息主体及信息控制者两方面提高人脸信息“删除权”的使用。
对于信息主体,在一定情况下享有要求删除被收集的人脸信息的权利,删除信息的理由包括但不限于:已经达到信息使用目的; 超出授权使用的期限; 有其他正当理由的。同时,信息主体还有权要求删除已经公开的其他个人信息。
对于信息控制者,对人脸信息的保存不得超过收集的目的及必要时间,一旦收集目的实现或者信息主体撤回了同意,信息控制者就应该删除其储存的人脸信息及其他相关信息。从信息主体和信息收集者两个方面进行规制,能够更好的保障“删除权”的及时有效行使,减少人脸信息泄露以及被滥用的风险。
技术的发展会给公众带来更便捷的生活,但是当技术应用存在的风险可能超越它所带来的便利时,我们有必要反思如何更合理的应用技术来为我们服务。在人工智能技术飞速发展并广泛应用的现代社会,人脸识别技术作为其中一个小部分所体现的问题也是整体技术应用的一个缩影,在意识到它存在的风险之后,我们有必要对将来新技术的应用采取更加谨慎的态度,避免产生难以弥补的损失。社会在发展数字经济的同时也要兼顾个人的权益,只有这样才能保证社会健康和谐的发展。