毛奕洲
扬州大学,江苏 扬州 225000
2019年10月,当事人郭某在杭州Y动物园入园检票之时,发现门检员正用手机而不是专业人脸识别设备为游客“刷脸”,其认为,在核实身份证信息后进行“刷脸”并非完全必要。门检员用手机为游客“刷脸”是否符合有关政府部门规定,专业设备由谁来提供,在对个人信息安全保障存疑的情况下,其选择与园方协商退卡但无果,遂以服务合同违约为由提起诉讼。
一审中,郭某提出诉讼请求,要求判定杭州Y动物园指纹识别、人脸识别相关格式条款内容无效,并未得到法院支持。一审法院根据《消费者权益保护法》第二十九条规定认定,杭州Y动物园以甄别用户身份、提高用户入园效率为目的使用指纹识别具有合法性。杭州Y动物园要求“刷脸”入园这一要约未对郭某发生法律效力。而后,双方当事人均提起上诉,杭州中院在原判决的基础上增判Y动物园删除郭某办理指纹年卡时提交的指纹识别信息。
大多国内学者将消费者界定为购买商品或接受服务的人。“消费者既可能是亲自购买商品的个人,也可能是使用和消费他人购买的商品的人;既可能是有关服务合同中接受服务(如旅馆、运输、酒店、食品、劳务等各种服务)的一方当事人,也可能是接受服务的非合同当事人。”[1]
在高科技普遍应用的当下,侵权的主体更加多元化,不仅局限于商家等经营主体,隐私侵权行为的法律关系也不只是存在于经营者与消费者二者之间。当大量信息汇集,并迅速交互传递,商家的技术平台,即中间技术服务提供者,并不一定拥有足够的信息把关能力,由此,侵权人、被侵权人、中间技术提供者之间的权利义务关系就变得尤为复杂。
2001年《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》第十条第二款规定:“违反社会公共利益、社会公德侵害他人隐私或者其他人格利益,受害人以侵权为由向人民法院起诉请求赔偿精神损害的,人民法院应当依法予以处理”,使隐私权成为独立的诉因。2005年《治安管理处罚法》在相关治安管理处罚办法中纳入偷窥、偷拍、监听、散布他人隐私的行为;同年,在新修订的《妇女权益保护法》中,隐私权的概念第一次在法律上被正式使用。2010年,原《侵权责任法》颁行,隐私权正式获得独立的法律地位,成为一项区别于名誉权的具体人格权。
一般来说,隐私权作为一项独立的人格权,主要是指公民享有的私人生活安宁与私人信息依法受到保护,不被他人非法骚扰、知悉、利用和公开。随着科技的迅速发展,网络隐私权这一新兴概念逐渐被引入。网络隐私权是一种较为特殊的人格权,它主要产生于各大网络媒体中,即法律保障公民在网络上的私人空间不受侵犯、私人生活不被打扰、私人信息不被泄露滥用等。
相较于传统隐私权而言,人工智能时代的网络隐私权,内容更加多元化,网络隐私权的侵权行为,无论是主体还是客体的种类都更为复杂,这使得侵权行为变得更加具有隐蔽性。当信息逐渐成为一种具有价值的资源,或者说商品,无论是人工智能、互联网,还是其他技术,都为个人隐私的侵犯提供了条件。日常的一次出行、一次扫码,都会留下数字痕迹,借助互联网数据传播速度之快、涵盖范围之广,个人隐私信息暴露所导致的损害后果也更为严重。
“人工智能是研究、开发用于模拟、延伸和拓展人的智能的理论、方法、技术及应用系统的一门新的技术科学。”[2]人脸识别技术运用到的则是人工智能的算法,而算法的主体,就是消费者的各项信息。
在本案中,Y动物园人脸识别技术的运用,大大提高了园方接纳游客的效率,使得公园的运行秩序得到一定保障。这种趋势并不是偶然。近年来,人脸识别技术在金融支付医疗教育、安保管控、政务服务等领域都广为运用。例如,高铁站检票可以通过刷脸,大幅度提高整个交通系统运转效率;大型公共演出中,人脸识别技术能在密集人群中精准定位逃犯面孔并协助办案人员逮捕;大医院排队取号,通过人脸识别技术把号贩子筛除出去。
人脸识别技术有着广阔的市场前景。作为一种新兴的身份认证手段,未来也将应用于越来越多的日常生活场景中。如何在利用好它的同时兼顾技术安全性,近来频频引发学界的讨论。
法的价值贯穿于法学发展的始终,深刻揭示了人类利用法来发展自己、创造生活的目标所在。自由、公平、安全、效率、秩序等价值影响着立法者对人们权利义务的界定与分配;影响着人们对法的评价;同时影响着执法者们的执法水平及司法者对案件的评判质量。[3]
所谓秩序价值,是指人与人、人与社会之间依照法律而形成的相对稳定、和谐的状态。维护良好的社会秩序,对于人们的物质生产效率方面的意义不得而知。人脸识别技术作为一种新兴的技术手段,在身份认证这一现代社会运行的必要环节上有着独到的优势,这是以往的传统手段无可比拟的,因此它得到各大商家组织和机构单位的广泛应用和推广。
而人权是法治保障的核心,人格权指主体与生俱来的基于自身人格利益而产生的维护其独立人格的权利。隐私的存在不仅维护了人类在社会中独立的主体地位,而且承认了个人灵魂和思想的重要性,保障个人发展更加符合其兴趣爱好等方面更高层面的追求,一定程度上也捍卫了公民的个人尊严,彰显了公民在社会中的价值。我国《宪法》第三十三条中增加了“国家尊重和保障人权”这一条款更是体现了对“人”本身的尊重。
只需短短几秒钟的刷脸,就可完成支付、考勤、入园等一系列事项。一方面,人们享受着智能技术带来的高效和便捷,时间人力成本大大降低;而另一方面,人脸识别收集的面部特征信息属于个人敏感信息,一旦泄露、非法提供或者滥用,将极易危害人身和财产安全。人脸识别的泛滥也为用户面部信息泄露留下了安全隐患,近几年来,人脸信息在电商平台上打包出售的消息被曝光,不少网络从业者以此批量倒卖非法获取的人脸等身份信息,从事虚假注册、电信网络诈骗等违法犯罪活动。这对于公民的人格权造成的伤害是难以估量的,更可怕的是这样的违法犯罪活动很难找到源头。
可以明确的是,人脸识别的广泛应用,能够很好地建立一种全国范围内相对规范的秩序。无论是对人们的日常活动,还是对于我国数字经济的整体运行,对于整个社会的治理,都是一种高效的创新发展模式。例如,杭州市某场驾照考试中,双胞胎替考就被“人脸识别”一眼看穿。在疫情防控的特殊时期,人脸识别技术对人权造成了一定限制,但是能够有效地记录公民的行程轨迹,这种手段对稳控疫情、加强人群动态管理是极为必要的。
反观本案,园方短信通知中的规定内容对于消费者是否公平而合理,是否遵循了最小伤害限度的原则?消费者不应当反对商家人脸识别技术的运用,但商家也有义务承担公民隐私泄露的风险。人工智能技术的运用可以对社会的发展进程起到推动作用,但一味地滥用,究竟是为了整体社会效益的提升还是只是商业利益推动下一种盲目的跟风,笔者认为应当认真审视。2022年天津的一起人脸识别案件中,法院在充分考虑到个人信息处理应当遵循合法、正当、必要的原则的情况下,最终将小区物业以人脸识别作为进出唯一通行证的行为判定为违法,这也可看作是对于信息使用主体的一次强有力警醒。
个人信息具有人格尊严和自由、商业、公共管理等价值,[4]信息带来价值的同时也造成了极大的风险——其极易以不恰当的方式被获得和非法使用。近年来,全国各地警方破获的盗用公民个人信息案中,犯罪嫌疑人均使用了“AI换脸技术”。不法分子非法获取市民照片后,通过技术手段生成视频,成功骗过人脸检测机构,为犯罪组织提供一系列黑产服务。当这些被非法买卖的人脸信息与身份证、手机号、银行卡号等隐私信息相匹配,极大可能被用于犯罪活动。这些面部数据存储在面部识别应用的运营者或技术提供者的数据中,在缺乏安全措施的前提下很容易泄露,而一旦泄露,就无法挽回。
事实上,包括住址、手机号等在内的个人信息是可以更改的,而人脸信息作为人体生物体征的重要一部分,在某种意义上来看是唯一的、不可更改逆转的。随着3D打印技术的发展,花费低廉的成本就可以制作一张3D人脸头套,根据测试,这样的3D面具,通过人脸识别系统的概率可达三成。生物信息泄露的不可救济性,使人格权的保护又被蒙上一层阴影。
人脸识别技术在缺乏监管的情况下极易造成个人隐私泄露,影响个人信息保护等直接现实利益,成为当下亟需解决的问题。
近几年来,国家陆续开始出台相关法律,对平台应当如何履行信息处理者的义务做了一定限制。2017年6月起施行的《网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。针对人脸这项个人生物特征信息,2020版《信息安全技术个人信息安全规范》明确了其属敏感信息的性质,要求个人生物识别信息与个人身份信息分开存储;原则上不应存储原始个人生物识别信息,可采取的措施包括但不限于仅存储摘要信息等。2021年起施行的《民法典》,将处理个人信息应当遵循合法、正当、必要原则写入“人格权编”。
针对公共领域的信息使用主体,2021年11月起施行的《个人信息保护法》第二十六条明确提出,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。值得一提的是,2022年3月起正式实施的《杭州市物业管理条例》增加了不得强制业主、非业主通过刷脸、指纹等生物信息方式进入小区,不得泄露业主个人信息等内容。这种辐射性的影响未来将在全国范围内逐渐铺开。
个人信息安全面临着日益严峻的考验,法律对个人信息的保护也存在不足。人工智能对隐私、个人信息、肖像权等人格权的保护提出了新挑战。[5]技术的发展和应用有待相关法律的同步。在现有相关法律的基础上,有必要进一步对不同主体收集人脸信息的正当性、必要性边界进行规范,使得信息采集尺度、技术使用边界、信息保护监管、信息安全责任等规范更为明确、具体、科学,从而形成一整套符合国情的个人信息保护模式。
人脸识别技术不同于一般的技术,面部特征信息也具有高敏感性,如何进行行业监管更成为一大难题。各大商家及营利性主体应当加强行业监管的监督制度,充分征求消费者或客户的意见和建议,定期抽查检查平台的使用情况,征求反馈意见。对于经信息主体授权而获得的个人数据,要确保数据采集来源合法合规,并保障数据的传输安全,做到全程规范化使用。对信息主体因被数据采集方泄露个人数据而造成的权益损害,应当追究数据责任主体故意或过失的责任。
我国各级政府部门也应当建立更严格的标准和规范,进一步明确具备采集资格的主体范围,加强对人脸信息的采集和存储的监管。在更趋严格的行业规范、监管机制下,技术开发方和运营方采集、使用、存储人脸信息数据的过程才能更加公正、透明。
大数据背景下,个人信息资源具有财产权和人格权的双重属性,个人信息的泄露、扭曲和不当使用,会对个人财产造成直接的财产损失和无形的精神损害。而一般此类案件较为隐秘,权利人难以证明自己的财产或精神遭受到了实质性损害,也很难获得损害赔偿方面的支持,最终往往只能请求停止侵害、消除影响等。未来,有必要增加对个人信息数据相对独立的救济路径追诉方式。类似于人脸信息这样的个人信息数据,更不应当仅仅划为隐私权的范畴,从而影响司法救济的力度。
人脸识别作为一项新兴技术,贯穿于信息的采集、流通、储存等各个环节,组织机构和技术公司在采集人脸信息时,应当遵循比例原则,既兼顾社会运行秩序和效率又充分考虑到人权,在征求被采集人意见的基础上,落实行业主体责任,公开信息使用规则,保障信息使用安全。此外,也可进一步开发替代性的身份识别手段,在信息安全流程尚不成熟的阶段,加强把控人脸识别技术风险。与此同时,在公民提高个人信息安全意识之外,政府也要落实监管主体责任,管控过度信息采集行为,监管信息的使用流通安全,建立组织机构的普适性安全责任底线,为公民搭建一张值得信赖的个人信息安全保护网络。在更加严格的法律边界下慎重运用人工智能技术,如此前提下产生的社会经济效益才是真正值得期待的。