汤建华
内容提要:人脸识别技术在社会生活中的应用越来越广。人脸识别技术早期应用目的是维护社会安全,其不合理扩散引发了伦理风险,数据主体的隐私泄露侵犯人的自由和主体性,算法歧视危及社会公平正义。对于人脸识别技术的扩散需要进行法律规制,针对隐私保护,需要在法律上构建知情同意原则、最小必要原则和不伤害原则;针对算法歧视需要在法律上构建算法中立原则和公正原则。其中,知情同意原则具有优先性,围绕知情同意原则的具体建构,欧盟立法采取了“原则—例外”的特别同意模式,即原则上禁止处理人脸数据,除非数据主体同意以及法律允许。我国采取了“隐私权+个人信息”双重保护模式,体现了宽松同意模式。两种模式均无法逃脱价值冲突的困境,需要建构一种具备可操作性的动态同意模式。
我们所处的社会是一个数字社会,数字化乃是大势所趋,人体的诸多生物信息皆可被数字化,比如人体的体型、指纹、虹膜和面部特征等。数字化社会当然也有隐忧,数字信息尤其是人脸信息一旦无法由人们自己完全掌控,将会给人们生活带来一系列的伦理风险。为了避免这些可能的风险演变为真正的危险,需要法律作出一系列回应。
人脸识别技术的应用存在着合理的标准,这一标准就是技术的应用必须以尊重和保护人类为目的,技术永远只能充当人类改造世界的手段,而不能侵犯人类的主体性,这可以被称作技术应用的目的理性。在这一标准下,人脸识别技术的最初应用是符合目的理性的,这可以从人脸识别技术在不同方面的最初应用看出来。例证有三:第一,人脸识别技术的最初官方应用是为了维护社会治安,最初应用可以追溯到20世纪60年代,美国社会治安恶化,毒品泛滥成为危害社会的首要问题,美国为了控制毒品犯罪,维护社会安全,开启了人脸识别技术的发展。(1)胡晓萌、李伦:《人脸识别技术的伦理风险及其规制》,《湘潭大学学报》2021年第4期。第二,人脸识别技术最初商业应用是为了防范犯罪,最早的人脸识别技术的商业系统是Facelt,英国伦敦的纽汉区曾安装了250多套Facelt人脸识别商用系统,用于识别犯罪嫌疑人。(2)张晓华、山世光、高文、曹波:《若干自动人脸识别技术评测与分析》,《计算机应用研究》2005年第6期。第三,我国人脸识别技术的规模应用始于2008年北京奥运会,(3)苏楠、吴冰、徐伟、苏光大:《人脸识别综合技术的发展》,《信息安全研究》2016年第2期。其目的也是为了维护社会安全。
人脸识别技术在与人的关系上必然涉及两方面的内容:一是人脸信息的输入,人脸属于人的生物信息,人脸数据库的建立必须以采集人脸数据为基础;二是人脸信息的存储,人脸识别技术发挥身份识别功能必须验证人脸是否与人脸数据库中的人脸信息一致,因而最初获取到的人脸数据信息必须被存储起来以供具体应用时充当对比对象。所以,人脸识别技术的应用必然导致人脸信息的采集和存储。人的生物信息可以链接到其他信息上用于刻画其行为习惯和社会交往,等等,例如结合人脸信息和消费、出行信息,从而判断行为人的消费习惯和喜好,从而方便商业集团更好地掌握消费者群体的信息,开展有针对性的商业服务,以最小的经济成本换取最大的经济收益。在这样的商业利益驱动下,人脸识别技术行业发展日渐繁荣,有调查显示,人脸识别行业在2022年的市场规模或将达到67亿元。(4)杨智杰:《人脸识别十字路口:脸的恐慌》,《中国新闻周刊》2019年第11期。
不过,我们很难证明以上人脸识别技术的应用符合保卫社会的目的理性。例如,小区或写字楼的人脸验证,出入口控制完全可以使用其他的非生物信息验证方式,此类人脸识别应用场景无法经由目的理性证成。根据《人脸识别应用场景合规报告(2021)》,有超过七成的校区/写字楼强制人脸门禁,有48%的受访者认为人脸识别有被滥用的趋势。(5)该报告的数据转引自富东燕:《人脸识别无处不在,我们的隐私是否安全?》,《中国妇女报》2021年12月24日第4版。人脸识别技术的不合理扩散也由此滋生了社会矛盾,被称为“中国人脸识别第一案”的郭兵诉杭州市野生动物园服务合同纠纷案便是例证。
人脸识别技术本身并不涉及伦理评价问题,其最初应用因为符合正当目的而具有合理性。这是人脸识别技术合理应用的必要不充分条件。如果人脸识别技术的扩散超出了正当目的,这种技术应用便异化了,从而不再合理,不合理的技术应用便具有进行伦理评价的必要性。我们需要对人脸识别技术的扩散进行认真的伦理反思,剖析人脸识别技术扩散的伦理风险,这一伦理反思是法律规制的正当性基础。
人脸识别技术的具体应用因超出了维护公共安全这一目的或者具有了其他不合理目的,从而引发伦理风险。这一伦理风险体现在两个层面:第一,数据主体的隐私泄露风险侵犯人的自由和主体性;第二,算法歧视侵害社会公平正义。
人脸识别技术引发隐私泄露,从而侵犯个人的主体性与自由,这一论点如果成立,必须论证三方面的内容:第一,为何隐私的本质是个人的主体性与自由;第二,为何人脸识别技术涉及隐私泄露的可能性;第三,人脸识别技术引发隐私泄露的现实性。
关于隐私的本质是个人的主体性和自由的问题,需要论证何为隐私以及隐私与个人主体性和自由的关系。这需要回到关于隐私的基本概念和理论上去,对此虽然有不同的理论观点,但这些观点具有内在一致性。对其总结如下:其一,隐私权的实质就是不受打扰的权利,隐私是一种排他性自由。(6)李石:《消极自由与积极自由辨析——对以赛亚·柏林“两种自由概念论”的分析与批评》,《云南大学学报》2008年第6期。其二,隐私权与私人生活的私密性具有天然联系,在私人领域与公共领域二分法的基础之上。(7)Tom Gerety,Redifining Privacy,Harv. C. R.-C.L.L.Rev.,1977(12).其三,隐私承载着人格利益,个人自主决定其喜好,决定其生活方式和不为人知的生活轨迹,这些都是个人对于自己的人格塑造,维护隐私相当于维护个性发展的多样化,维护每个人的人格和自主。(8)Laurence H.Tribe,American Constitution Law,1978.其四,从社会的角度来看,每个人生存在社会中都有自己的角色,这一角色可以通过许多数据信息表现出来,人们只需要知悉该角色的部分数据信息。(9)陈宏达:《个人资料保护之研究》,1992年辅仁大学硕士学位论文。因而,社会或他人不必知悉个人的全部信息,那些不必为人所知的信息就是隐私。其五,从个人的生存角度出发,每个人的心灵深处都有独处的欲望,要求不被接触。(10)Gavison R.,Privacy and the Limits of Law,Yale Law Journal,1980,89(3),pp.421-471.因此,数据隐私具有伦理正当性,其与个人主体性与自由这一价值密切相关,并且隐私具有个人独享性。
人脸识别技术涉及隐私泄露的可能性。这是源于人脸识别技术的技术特征,人脸识别技术中数据控制者和数据主体的关系处于紧张之中。一般而言,隐私是不为人所知的,由隐私主体所控制、知悉。所以,在应然的意义上,隐私信息应当仅仅由隐私主体所拥有。但是由于人脸识别技术中的三个对象之间的关系,人脸识别技术在应用中必然要收集和存储人脸信息,这就意味着人脸数据时刻处于不受数据主体控制的状态,而是受到数据控制者的控制。
只有当人脸识别技术造成了实际的隐私泄露问题,这种技术应用才是不合理的,才是真正引发伦理风险的。在美国,全国各地的警察部门经常使用人脸识别技术来识别和跟踪个人——无论是过马路、被监控摄像头捕捉还是参加抗议活动。(11)ACLU of Maryland,Aclu Urges Justice USTICE Department to Investigate the Use and Impact of Face Recognition,https://www.aclu-md.org/en/press-releases/aclu-urges-justice-department-investigate-use-and-impact-face-recognition,最后访问时间:2022年1月22日。人脸识别技术与社会上广布的摄像头相结合,算法可以随时跟踪所有人的公共活动,人们的行动没有任何个性化和隐秘性可言,算法能够精确计算出所有人的生活习惯和社会交往。如果这样的技术沦为了监控工具,个人的自由和主体性便荡然无存。
算法歧视具有难以察觉性、持续性和不可逆性。算法歧视可能根源于两方面的原因:第一,算法歧视可能由程序本身的设计错误造成,因为算法在一定程度上是程序员个性的展现,不同程序员因其性别、年龄、价值观念、宗教信仰、认识水平和道德水平的不同,尽管遵循同样的技术方法,他们所设计出来的算法也可能不同。第二,算法歧视可能源自深度学习,由于深度学习样本数据的不全面,导致算法在对待某种数据时得出的结果与其他数据不同。这一特征是算法的“后天因素”。自动人脸识别的扩散应用在这些缺陷因素的影响下,对具有特定性别、种族或地域特征的人的歧视将是持续性的。同时,算法的隐蔽性、不可解释性以及技术中立原则又使得算法歧视难以察觉。
人脸识别技术的算法歧视问题已经被证实。美国公民自由联盟(American Civil Liberties Union)强烈反对人脸识别技术,其认为人脸识别技术在女性和有色人种的识别上屡屡出错。美国公民自由联盟做了一组测试,首先将美国国会议员的照片与犯罪数据库中的照片进行对比,结果有5%的人匹配上了。而单独拿非裔美国议员与犯罪数据库中的照片进行对比,识别错误率超过了20%。(12)ACLU of Maryland, Biden Must Halt Face Recognition Technology to Advance Racial Equity,https://www.aclu.org/news/privacy-technology/biden-must-halt-face-recognition-technology-to-advance-racial-equity,最后访问时间:2022年1月22日。2018年,麻省理工学院研究团队发现,商业人脸识别系统中存在着明显的种族歧视和性别歧视,通过对亚马逊Rekongnition软件的测试发现,该人脸识别系统对于白人男性的面部识别相对准确,但对黑人女性的面部识别错误率高达三分之一,这些发现也为官方所证实。(13)ACLU of Maryland, Biden Must Halt Face Recognition Technology to Advance Racial Equity,https://www.aclu.org/news/privacy-technology/biden-must-halt-face-recognition-technology-to-advance-racial-equity,最后访问时间:2022年1月22日。还有研究表明,目前商业应用的大多数人脸表情识别、情绪识别系统都缺乏科学性。(14)J.Barrett L.F.,Adolphs R.,Marsella S.,et al.,Emotional Expressions Reconsidered:Challenges to Inferring Emotion from Human Facial Movements,Psychological Science in the Public Interest,2019 (1).之所以缺乏科学性,是因为该系统所采用的统一标准的不可能性,身处不同的文化背景中的人,其表情的文化含义有所不同。
这些实证研究揭示了人脸识别技术的“双重错误”,一方面表明了人脸识别在技术上的不可靠性,另一方面则对比显示了人脸识别技术的算法歧视。或许有人会认为,有色人种的人脸识别错误的原因可能是可选数据集有限,对此观点我们需要指出的是,人脸识别技术在人脸验证时确实是以人脸数据库为对比基础的,这似乎可以归结为算法技术本身深度学习的有限性,这也是导致算法歧视的原因之一,其背后反映造成算法歧视的美国社会环境。由此可见,人脸识别技术的扩散加剧了算法歧视,侵害社会公平正义。人脸识别技术扩散危害社会公平正义的最终根源在于人或社会本身,而人脸识别技术的扩散又强化了对于社会公平正义的侵害。如果不加以干预,这种恶性循环将持续进行下去。又由于算法歧视本身的难以察觉,如果不对人脸识别技术的扩散进行自觉的规制,其后果将是人的不断异化。
人脸识别技术造成的伦理风险包括隐私泄露和算法歧视,对于防范和规制这一问题,可以有两种方式:一是法律调整方式;二是非法律调整方式。法律调整方式相对于非法律调整方式的优点在于,法律能够以权威的方式安排数据主体和数据适用者的法律权利和法律义务,从而建立起人脸识别技术使用的行为规范。
第一,保护数据主体的主体性,需要贯彻知情同意原则。知情同意原则根植于主体的自主性,可以从主体的自主性中推导而来。其一,在应然的意义上,一切自然人都是自由的,除他自己同意之外,无论什么事情都不能使他受制于任何世俗的权力。(15)〔英〕洛克:《政府论》下篇,叶启芳、瞿菊农译,北京:商务印书馆,2013年,第74页。其二,作为自由自主的人,有权将其意志体现在任何事物中。(16)〔德〕黑格尔:《法哲学原理》,范扬、孙企泰译,北京:商务印书馆,2013年,第24页。其三,任何一个成年的、心智健全的人都有权利自主决定如何处置自己的信息。数据控制者需充分尊重数据主体的知情同意权,只有在得到了相关数据主体的明示同意后才能采集其人脸数据,禁止在未经同意的情况下收集人脸数据。作为一项法律原则,知情同意原则的贯彻需要数据控制者对于法律的充分敬重,也需要数据主体充分意识到自己的法定权利,为维护自己的权利而斗争。数据主体有权拒绝不合理的人脸数据采集行为,有权要求数据控制者公布相关数据的具体使用以及对此进行审查。
第二,保护数据主体的自由,需要在法律上构建最小必要原则和不伤害原则。最小必要原则要求在有诸多能够达到技术目的的情况下,数据控制者在使用人脸识别技术时应当采取对于数据主体的自由侵害最小的方案。最小必要原则是比例原则的一部分。数据控制者在使用人脸识别技术时首先要遵守目的的正当性,其搜集的数据不能用于非法目的,并且该搜集行为也是合目的性的,例如为了公共安全等。保护数据主体的自由还应当在法律上构建不伤害原则。人脸识别技术的扩散应用不应当对个体造成伤害。不伤害原则可以导向三种具体化规则:第一种规则是要求技术的不断进化,即要求人脸识别技术要不断完善,减少错误率,相关数据存储系统也要不断增强安全性,防止黑客攻击,关于人脸识别技术的评估系统和技术测试也需要不断进化,以便提升人脸识别技术的可靠性。第二种规则要求是伤害补偿,如果发生了数据泄露事件,数据控制者需要及时止损,采取必要措施减少伤害,另外也需要对受到隐私泄露危害的相关主体给予补偿。第三种规则要求是人脸识别技术研发企业具备职业道德以及人脸识别技术使用者的安全意识。
第三,数据主体的主体性和自由、知情同意原则、最小必要原则和不伤害原则之间具有特定关系。数据主体的主体性和自由是确立相关法律原则的范导性原则和价值基础,其他法律原则衍生自数据主体的主体性和自由,而在主体性和自由之间,主体性又具有绝对优先性,主体性标示着人相对于客体的优先地位,在保证人相对于客体的优先地位的基础上才能确立人的自由,无主体性的自由是不可想象的,无自由的主体性却是能够接受的,例如基于个人同意放弃一定的权利和自由,正是由于个人的主体性,才具有放弃一定自由的可能性。所以围绕数据主体的主体性建立的知情同意原则是第一原则,要优先围绕数据主体的自由建立的最小必要原则和不伤害原则。根据这些法律原则,数据主体应当充分意识到自己的法定权利,数据控制者应当充分意识到自身的法律义务,只有征得数据主体的同意,履行了告知义务、遵守最小必要原则和不伤害原则,数据控制者对于人脸数据的合理使用才能够得以证成。换言之,如果知情同意原则没有发挥作用,则最小必要原则和不伤害原则发挥作用也是不可想象的,因为在逻辑上,数据控制者必须首先在知情同意原则的引导下获取了数据主体的同意之后,在数据收集和数据存储阶段才会受到最小必要原则和不伤害原则的调整。所以,知情同意原则相比于最小必要原则和不伤害原则具有优先性。
针对算法歧视建立的法律原则更多地与技术本身有关,属于相对具体的法律原则,包括算法中立原则和公正原则。
第一,要在法律上构建算法中立原则。算法歧视的一部分原因在于机器学习,人脸识别技术需要抓取人脸数据,形成人脸数据库,针对数据本身可能隐匿的社会偏见信息,可采用算法监测的技术治理手段,确保算法的中立性。为了保证数据收集的无偏见,对此需要进行数据清洗工作,运用一定的算法检测手段来避免社会交往空间中的偏见。(17)赵友华、蔡振华:《人工智能时代行政决策体制优化的技术范式与风险因应》,《理论月刊》2020年第2期。由此减少外部社会生活中的固有偏见对于算法中立性的影响。算法中立的实现主要是通过技术手段,这些数据清洗技术既可以内嵌于人脸识别技术之中,又可以外在于人脸识别技术,设立专门的数据清洗中心,对人脸识别技术进行监测。
第二,要在法律上构建公正原则。造成算法歧视的另一原因是算法研发人员的个性因素。算法研发人员应当秉持公正原则,加强对算法研发人员的行业伦理规制。公正原则导向了两种具体的规则要求:一方面,应当构建算法研发行业准入和监管制度,进行算法研发的人员须通过一定的伦理测试方可进入该职业,以减小算法研发人员的道德倾向对于算法中立性的侵害,在进行伦理测试时,尤其要注意算法研发人员对于少数群体的伦理态度。另一方面,应当构建算法研发行业监管制度,不断强化对算法研发的审查工作,要求算法本身必须符合一定的伦理标准方可投入使用。
知情同意原则在这些法律原则中具有优先性,是第一原则,这是知情同意原则与其他原则得以区分的关键。以上所述原则并非是一个松散的列举式关系,而是具有内在脉络的原则体系。
第一,采用以上法律原则是基于人脸识别技术带来危及人的主体性和自由以及社会公平正义的伦理风险,这两种伦理风险处于不同的层面。其一,隐私泄露所带来的危害主要是针对个体的,算法歧视的危害则针对整个社会。其二,隐私泄露更不易被察觉,带有隐蔽性,在当事人不知情的情况下,当事人的相关数据信息便有可能被加以非法利用。算法歧视则更为公开,也是可以经过验证的。其三,隐私泄露主要是与数据主体和数据控制者有关,算法歧视主要与算法处理有关。其四,隐私泄露与人脸识别技术固有缺陷无关,更多地涉及数据控制者的伦理道德水平,取决于数据控制者对于数据主体的尊重,而算法歧视则是人脸识别技术的固有缺陷,甚至是一切技术的固有缺陷,其所带来的伦理风险更多地需要公共行动来加以回应。基于以上差异,针对两种伦理风险所构建的法律原则也不尽相同,但其共同指向人脸识别技术不合理扩散而引发的问题。
第二,与隐私泄露风险相比,算法歧视造成的危害是社会性的,往往涉及对于某一群体的不公正对待,不同于个体的隐私泄露问题。如果说隐私泄露不尊重个体,那么歧视除了不尊重个体之外,主要是社会的结构性问题,属于正义问题。正义是社会的首要美德, 借用“词典式序列”是为了突出知情同意原则的优先性,关于“词典式”序列的说法(18)〔美〕约翰·罗尔斯:《正义论》,何怀宏等译,北京:中国社会科学出版社,2009年,第26页。具有不同于个人主体性和自由的价值指向。正义问题是复杂的,实现不歧视需要多方面的努力,既包括哲学上的探讨,也需要制度安排。这里所阐述的针对算法歧视设立的法律原则及相关制度仅仅是更大的关于社会正义理论构想的一部分,算法中立原则和公正原则仅仅是为了纠正算法歧视而确立的相对具体的法律原则,由之可以导出一系列的具体措施,但是它们也是有限的。前已述及,人脸识别技术危害社会公平正义的最终根源在于人本身,在于社会环境,而人脸识别技术扩散又强化了对于社会公平正义的侵害。消除算法歧视的最终方案在于良序社会的建立。
第三,知情同意原则是规范人脸识别技术应用的首要法律原则,与其他法律原则相比具有排他性和优先性,知情同意原则相比于其他法律原则处于“词典式序列”的优先性,只有承认知情同意原则才能承认其他原则。知情同意原则之所以处于如此优先的地位,是因为数据主体是其人脸数据的唯一正当所有者,其他主体使用该数据主体的人脸数据的唯一例外便是经过该数据主体的同意。在主体性上,每个人都是目的王国的立法者,都应当得到同等的尊重。所以,每个人都不具有相对于其他人的“多余的权利和自由”,除非部分主体自愿让渡出自己的权利和自由。知情同意原则的优先性体现在两方面:一方面在于,知情同意原则相对于最小必要原则和不伤害原则具有优先性;另一方面在于,知情同意原则相比于算法中立原则和公正原则也具有优先性。所以,如果知情同意原则未发挥作用,那么算法中立原则和公正原则将是无实际意义的空原则,只有经过数据主体的同意,人脸识别技术才能够收集和存储人脸数据,才能谈得上技术的改进问题。否则,引导技术改进的原则便无实际意义。
如何具体地构建知情同意原则,通过法律技术将之具体化为行动规则,是需深入研究的问题,欧盟与我国采取了两种不同的知情同意模式。
欧盟出台了成熟的个人资料保护法,被称为“通用数据保护条例”(General Data Protection Regulation),该条例是围绕知情同意原则而构建的。(19)以下分析均基于欧盟“通用数据保护条例”的相关规定。
第一,针对同意的表示方式,通用数据保护条例规定同意必须基于当事人自愿作出,并且是在知悉相关的情况之后作出,关于面部数据要求当事人必须明示同意。可见欧盟对于敏感个人信息的保护力度强于其他个人信息,不仅对于人脸数据的处理进行“原则—例外”式的立法模式,还对“例外”施加了诸多限制,体现在同意的生效条件、特殊同意问题以及不需同意的法律允许等。
第二,同意的生效条件。首先,同意是否生效涉及证明的问题,在举证义务的分配上,通用数据保护条例规定数据控制者负有举证义务,数据控制者应当证明数据主体已经同意其处理数据主体的个人数据。其次,如果数据主体的同意与其他事项并列于书面文件中,通用数据保护条例规定,书面文件中涉及的其他事项应当与同意的事项明确区别开来,这要求数据主体的同意必须清楚而明确地表达出来。复次,数据主体的同意范围不能超过通用数据保护条例允许的范围,否则同意无效,这是“原则—例外”的立法模式所发挥的效果。又次,数据主体的同意不是一次性的、持续性的同意,数据主体有撤回权,并且可以随时撤回自己的同意。数据处理的合法性只有在数据主体同意的时段中存续,在撤回同意前的数据处理是合法的,并且数据主体有权被告知自己拥有撤回权。最后,同意必须基于自愿,在评估同意是否基于自愿时,要考虑到相关合同的目的与同意事项的范围是否符合比例,如果同意的范围超出了履行合同的目的,则可推定当事人的同意并非基于自愿,这体现了最小必要原则对于同意的限制;另外,特殊同意问题。未成年人是同意的特殊主体,如果数据控制者需要收集未成年人的个人数据,必须获得其代理人的同意或者授权。在举证责任上,数据控制者应当核实未成年人的代理人是否已经同意或授权。基于体系解释,未成年人的同意或授权也应当符合同意的生效条件。关于行使刑事定罪和罪行的个人数据是同意的特殊事项,只有官方法律授权的情况下才能进行,因为任何关于刑事犯罪的数据都应当由公权力机关保存。
第三,不需同意的法律允许。数据主体的生物识别信息原则上被禁止处理,这一例外包括两个,一是经过数据主体的同意,二是无需同意的法律允许,不需同意的特殊处理便属于后者,它包括诸多情形:其一,数据处理者负有社会保障等义务,在履行义务的范围内进行数据处理,这一处理符合最小必要原则;其二,为了保护数据主体的更大利益而无法取得该数据主体的同意;其三,以政治、哲学、工会为目的的协会等非营利组织在合法以及具有适当的安全保障的情况下进行数据处理,所处理的数据仅仅涉及该组织内部人员,相关数据不对外披露;其四,处理数据主体已经公开的个人数据;其五,法院在行使司法职能时使用个人数据,该个人数据是为了达到司法目的所必须的;其六,为了医学和公共健康和其他公共利益、科学研究和历史研究、统计目的而进行数据处理,并且符合相关法律规定。数据通用保护条例并没有设置兜底性条款,也就是说,除了数据主体的同意和上述法律允许的范围,其他情况下的人脸数据处理都是非法的。
“原则—例外”的立法模式以及例外中的“法律允许”均体现了法律优先,并没有将一切事项均交给个人同意,这似乎违背了知情同意原则的主导地位。其实不然,知情同意原则一定程度上是当事人意思自治的表现,(20)贺栩栩:《比较法上的个人数据信息自决权》,《比较法研究》2013年第2期。但是在法律领域,法律优先也有其正当性,法律优先表明了意思自治的伦理风险,是基于意思自治的风险而设置的,如果将意思自治放在最重要的地位上,可能产生两个极端。一方面,数据主体或许基于个体认知和特定目的而无法作出最佳决定,最终可能“自由得一无所有”,例如为了获得报酬而随意出卖自身的敏感个人信息,而没有意识到个人数据的重要性。另一方面,数据主体有可能无法意识到公共利益的重要性,过分看重个人数据,这可能阻碍社会进步和公共利益的实现。欧盟的“原则—例外”立法模式是知情同意理论中特别同意理论的体现,在介绍我国的宽松同意模式之后,后文会对二者进行比较分析。
我国法律对于个人数据也进行了保护,在一定程度上借鉴了欧盟的做法。我国采取了“隐私权+个人信息”双重保护模式:第一,我国对个人数据采取了“隐私权”的保护方式,自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。第二,我国对个人数据也采取了“个人信息”的保护模式,自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。生物识别信息属于个人信息,受到法律保护。第三,在“隐私权”和“个人信息”的适用上,如果是个人信息中的私密信息,则适用有关隐私权的规定;如果隐私权部分没有规定的,适用有关个人信息保护的规定。
在对个人信息处理上,我国也采用了知情同意原则,这体现在:第一,处理个人信息应当遵循合法、正当、必要原则,不得过度处理。第二,处理个人信息要符合的必要条件是征得该自然人或者其监护人同意,并且需要公开处理信息的规则和明示处理信息的目的、方式和范围。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。第三,除了个人知情同意可以正当化个人信息处理之外,法律和行政法规的规定也可以成为处理个人信息的理由。处理已经公开的个人信息以及为了维护公共利益和数据主体的合法权益而实施的数据处理行为无需经过数据主体的同意。第四,针对个人同意的要求,个人应当在充分知情的情况下同意,个人信息发生变更也需要告知个人并重新征得个人的同意,个人有权撤回同意,但是撤回同意前的数据处理仍然正当。针对未成年人的同意需要其监护人代理。
由上可见,我国对于个人信息的处理原则也是知情同意原则,看起来似乎也采取了“原则—例外”模式,其实不然,欧盟的“原则”乃是原则上禁止对人脸数据的处理,例外是“法律允许”和“知情同意”,我国则并没有确立“原则上禁止对人脸数据进行处理”,而是要求数据处理不仅要遵循一系列要求,同时确立了合法处理人脸数据的“例外”,即“知情同意”和用兜底条款表达的法律允许。我国并未采取欧盟“原则—例外”的保护模式,这样的做法留下了空白:一方面,当事人可能随意授权,而无法维护自己的实质利益,由于没有采取原则上禁止收集敏感个人信息的这一原则,当事人便可以在很多情况下允许数据处理,即便这些情况有可能侵害数据主体的权利。另一方面,这种保护模式采取了兜底性规定,虽然《个人信息保护法》列举了其他不需要数据主体同意的法律允许的情况,但是也最终采取兜底性规定,也就是说,为了公共利益而实施的其他行为以及法律行政法规规定的其他情形可以突破数据主体的同意而进行数据处理,这有可能导致私权利被大大压缩。
欧盟和我国都在立法上贯彻了知情同意原则,欧盟模式可以被称作“原则—例外”模式,其把数据主体的同意置于崇高的地位,从而数据控制者进行数据处理则困难重重。欧盟模式贯彻的是知情同意原则中的特别同意理论,这是知情同意原则的经典模型,即必须为了维护个人自决而明确同意的对象。特别同意理论认为数据主体的同意应当是具体的有针对性的,数据主体的同意应当单独而明确。与之相对的是数据控制者的告知应当是全面而详细的,不能有所模糊。特别同意理论也强调同意的边界范围,如果数据控制者的数据处理超出同意的边界,则不再合法,需要重新征求数据主体的同意并履行全面详细的告知义务,如果数据控制者更新了数据处理事项,则也需要重新获得数据主体的同意。需要指出的是,“原则—例外”模式所体现的特别同意理论过分强调了数据主体的权利和自由,也具有一定的弊端。
欧盟的“原则—例外”模式在充分尊重数据主体的主体性和自由的同时,可能会产生两种实践效果:一是数据主体的主体性和自由确实得到了实际上的保护,但是数据控制者由于巨大的成本和法律负担而不再具有经济上的激励,从而不再具有发展技术的积极性;二是数据控制者为了维护人脸识别技术应用的商业价值而继续大肆扩散人脸识别技术,从而无视法律规则,而由于数据主体和数据控制者的分离,数据主体往往无法掌握人脸数据的具体使用,数据主体的主体性和自由便常常处于被侵犯的状态。这种困境是两方价值的冲突造成的:一方面,为了避免人脸识别技术扩散带来的伦理风险,我们需要坚决维护知情同意这一原则,保护数据主体的权利和自由;另一方面,又不能忽视人脸识别技术的正当使用,促进人脸识别技术的发展和相关人脸数据的合理使用,从而发挥技术本身造福于人类的初衷。
相比之下,我国模式可以被称作“隐私权+个人信息”双重保护模式。虽然是双重保护,相比于欧盟的法律规定,我国关于知情同意原则的法律规则却并不是很多。虽然确认了数据主体的撤回权等,但同意的生效条件和数据控制者的举证义务和论证负担等付之阙如。不采取“原则—例外”模式意味着我国模式没有过分强调数据主体的权利,以避免过分保护的弊端,但又给予数据主体以“隐私权+个人信息”双重保护,同时再以不对数据控制者施加过多具体义务而与这种双重保护模式对冲。我国模式并未过分强调数据主体同意的具体性,降低了数据控制者的告知标准,其所体现的不是特别同意模式。同时,我国采取的也不是极端的概括同意模式,概括同意模式认为,数据主体同意人脸数据处理时做出的同意是宽泛而概括的,这种同意模式典型地体现在我国的《涉及人的生物医学研究伦理审查办法》中,即允许参加者自愿签署同意未来所有研究的概括同意书。所以,我国采取的是一种宽松同意模式,如果按照对于个人权利和自由的保护强度绘制光谱,宽松同意模式应当位于特别同意模式与概括同意模式之间但更靠近概括同意模式之处,它虽然克服了特别同意模式的弊端,但也带有了概括同意模式的弊端,即弱化了对数据主体的个体性和自由的保护强度,降低了数据控制者的告知标准。
欧盟和我国的两种模式的缺陷,其实也是特别同意模式和概括同意模式的困境,为了克服这种非此即彼的困境,需要构建一种平衡个人权利与技术应用需要的“动态同意模式”。(21)还有学者提出了附条款同意模式和分层与分阶段同意模式。附条款同意认为同意应当附加排除条款。分层与分阶段同意认为应当将相关信息进行分类和分层,让数据主体分层与分阶段同意。这些同意模式也处于本文所绘制的同意模式的光谱上,不再具体介绍。参见田野:《大数据时代知情同意原则的困境与出路——以生物资料库的个人保护信息为例》,《法制与社会发展》2018年第6期;石佳友、刘思齐:《人脸识别技术中的个人信息保护——兼论动态同意模式的建构》,《财经法学》2021年第2期;陈晓云等:《“动态+泛知情同意”在医疗机构实施初探》,《中国医学伦理学》2018年第4期;单芳、毛新志:《生物样本库研究中知情同意问题的伦理挑战和应对》,《自然辩证法通讯》2019年第3期。理由在于:第一,要在大数据时代这一背景下看待人脸识别技术的应用,大数据时代,人脸识别技术应用获得同意的难度和成本上升。大数据处理使得数据处理的更新更加频繁,如果每次更新都需要同意,那么同意征集的频次便大大增加,因为同意只在特定范围内生效。每次同意都意味着时间成本和金钱成本。所以,数据控制者为了节省时间成本和金钱成本会反向选择不经过当事人同意而径直处理数据,这使得同意的作用虚化了。第二,个人自决能力问题。并且个人缺乏同意能力,有时无法理解个人信息给自己带来的风险和收益是否成正比。同时,大数据时代下的人脸识别技术更应当实现对数据权利的保护,因为相比于其他时期,大数据的使用结合人脸识别技术的扩散更容易侵害个人的隐私数据。换言之,动态同意模式需要兼顾数据主体的权利和自由与数据控制者对人脸数据的合理使用和人脸识别技术的正当应用。动态同意模式主张利用现代网络信息技术搭建一个交流平台,使得信息处理和知情同意成为一个持续、动态、开放的过程,数据主体可以随时了解最新信息,自由选择加入或退出。(22)田野:《大数据时代知情同意原则的困境与出路——以生物资料库的个人保护信息为例》。这是在特别同意与概括同意之间的第三条道路。
在动态同意模式下,数据主体可以基于自己的个性化选择去同意或不同意,它的优点有很多。(23)石佳友、刘思齐:《人脸识别技术中的个人信息保护——兼论动态同意模式的建构》。第一,使得数据主体成为中心,授权有效性大大增加,能够充分实现意思自治。个人能够对人脸信息进行管理,更为知情,而现行的人脸识别协议中均需要数据主体阅读重点信息,动态同意模式更好地保护了数据主体的知情权。第二,动态同意模式要求充分的数据信息披露,人脸识别技术的快速发展必然导致信息处理的透明性成为关注的焦点,要求数据控制者实时有效地向个人表明人脸数据如何采集、如何处理以及如何进行安全保障,等等。第三,动态同意模式充分保障数据主体的撤回权,不同于传统的一次性、持续性同意模式,数据主体可以随时撤回自己的同意,随时产生新的同意,数据主体自由决定同意与否,充分尊重了数据主体的自主性。第四,动态同意模式具有现实性,利用大数据、互联网5G技术搭建动态同意平台并非技术难题,通过该平台,数据控制者能够获得有效的同意,数据主体能够及时知悉相关信息。由上可见,动态同意模式避免了非此即彼的同意困境,而是将数据主体和数据控制者置于一个动态、开放和合作的信息交流过程之中,将数据主体和数据控制者视作合作者,数据主体能够随时获取信息,自由选择加入或者退出,既降低了同意的成本和难度,维护了人脸识别技术应用的商业价值,又保护了数据主体的权利和自由,避免了人脸识别技术扩散的伦理风险。当然,动态同意模式也有其局限性,它虽然赋予了数据主体更大的自主性,主体能够随时加入或退出,但是频繁地加入或退出也会影响数据处理效率,从而再次造成资源的浪费。另外,数据主体能否从动态同意平台中真正知悉所需信息,也有待实证研究。
对于构建动态同意模式如何从理论走向现实的问题,需要注意以下几点:第一,动态同意模式中的信息交流不是无序的,而是受规则指引的,需要依据信息本身的重要程度进行分层,一般认为,个人信息可以分为一般个人信息和敏感个人信息,人脸数据属于敏感个人信息,人脸数据本身又可以细化出更多的信息,这涉及人脸识别技术如何识别人脸的技术过程,因为人脸最终是以数字化的方式存储于人脸数据库中,人脸识别技术将人的面部信息进行分类分析,这些信息有的属于确定人体生物特征的不可或缺的信息,有的则属于其他信息,动态同意模式要求将信息进行分门别类,以便数据主体能够知悉并选择同意使用哪些信息。第二,在动态同意模式下,人脸数据处理的场景和风险必须被告知,不同的应用场景,人脸识别技术所造成的风险具有程度差异,人脸数据信息利用场景也可能发生转换,因此要建立评估人脸数据信息利用的风险,风险评估要实现告知数据主体,以供数据主体决定同意的参考。第三,动态同意模式需要提供差异化同意方案,数据主体的偏好可能是不一致的,有的数据主体会允许使用更多的人脸数据,有的主体则排斥过多人脸数据的使用,数据主体同意偏好具有多样性。(24)Zubin Master et al.,Biobanks,Consent and Claims of Consensus,Nature Methods,Vol.9,No.9 ,2012,pp.885-888.数据控制者应当提供多元化的同意方案,允许具有不同同意偏好的人参与,只要在法律法规允许的范围内,同意方案在理论上是可以无限的。第四,信息披露机制要具有持续性,特别同意模式和概括同意模式下的信息披露是一次性的,数据主体的权利行使也是一次性的,动态同意模式要求数据控制者持续披露人脸数据的使用,对其使用目的、使用方法进行持续的公开。第五,一定程度上允许宽泛同意,这一点是与信息披露的持续性相一致的,因为即便数据控制者能够做到及时更新人脸数据的使用方法和使用目的,等等,数据主体却不一定无时无刻需要处于同意的“待命”状态,数据控制者可以提供宽泛同意的选项以供数据主体选择来模糊化同意的具体性,从而获得使用人脸数据的一定自由空间,但也需要指出,对于宽泛同意需要匹配严格的监督措施。当然这些具体措施的建议仅仅是有利于动态同意模式从理论步入现实,人们当然也可以提出更多的措施,在这个意义上,实践操作并没有唯一正确答案,而具体的实践操作也可能创新出其他措施。
数字化社会和大数据时代中如何应对技术发展所带来的一系列问题已经成为焦点问题,数字化带给我们的不仅有便利,还有风险。正如其他技术一般,人脸识别技术最初是为了保卫社会而诞生的,它给人们带来了一系列的便利,但其快速扩散也引发了一系列伦理风险,为此需要确立相应的防范措施。本文所提供的动态同意模式只是应对人脸识别技术扩散的一种制度建议,在未来,全面规制人脸识别技术的不合理扩散,回归目的理性,不仅需要学界提供合理的制度建议,还需要与实务部门和技术部门一同前行。