2022年6月29日,美国政府问责局(U.S. Government Accountability Office, GAO)发布了报告《人脸识别技术:联邦机构的使用和相关隐私保护》。随着人脸识别技术使用范围不断扩大,倡导组织和其他组织强调了人脸识别技术在联邦机构中的使用及其相关隐私风险的重要性。
近年来,人脸识别技术作为最为大众熟知、商用落地最为成熟的人工智能技术之一,在市场上取得巨大成功,并培养出一批“独角兽”企业,其中最主要的原因之一在于人脸识别技术被广泛、灵活地运用在了一系列公共和私有领域之中,展现出丰富而充满活力的应用前景。除政府公共部门运用人脸识别技术赋能执法外,用户身份验证、刷脸支付、员工考勤管理等都是人脸识别技术在商业环境下非常典型的应用场景。
伴随着商业上的热捧,人脸识别技术也引发了一些关于技术安全性和隐私风险的担忧,以及各国立法与监管部门的关注。如何合法合规地运用人脸识别技术赋能企业发展尤其值得企业关注。本文将从人脸识别技术带来的风险问题入手,对比欧盟、英美等各国对人脸识别相关的规制,探讨对我国AI技术合规的启示,在此基础上为企业在有关人脸识别技术的合规使用上提供一些思路和想法。人脸识别技术在快速发展、深入社会的同时,也给我们带来了诸多安全挑战。一是安全风险。由于人脸信息等生物信息具有强识别性和不可变更性,一旦发生数据泄露,损失将难以估量。在技术安全层面,人脸识别面临被黑客攻击、恶意利用等带来的财产安全、人身安全等风险问题。由于缺乏技术审查和评估要求,当前上市应用的人脸识别技术安全保障参差不齐,部分应用通过在 3D 模型、硅胶脸膜即可实现人脸解锁,极易带来财产损失或人身安全问题。同时,相比其他新兴技术,人脸识别技术使用方涉及小区物业、用人单位、学校等大量小微实体,数据安全保障措施难以跟进,因此面临更大监管困境。
二是自主风险。人脸识别技术可在未经自然人同意的情况下,实现远程、实时和自动收集,极易规避个人信息保护中的知情—同意要求,强制使用、隐蔽使用等现象突出,进而侵犯个人信息主体的自主权。三是歧视风险。作为敏感个人信息,人脸信息能体现人的种族、肤色、性别,甚至可通过分析体现性取向、政治倾向等特征,技术滥用容易放大歧视问题。从技术成熟度来看,人脸识别技术在不同皮肤、种族的识别率上存在着巨大差异,使用中容易导致弱势种族利益受损。同时,人脸识别技术存在错误使用带来的侵权风险,如美国新泽西州一公民曾因人脸识别系统问题被错误关押十天。近年来,警察使用人脸识别带来的歧视或错误执法问题也受到关注,美国多州出台立法禁止或限制警用人脸识别技术。IBM、微软、亚马逊也相继宣布停止向警方提供人脸识别技术。伴随人脸识别技术风险不断凸显,各国基于规制政府监控、种族歧视、技术偏差等多方面因素,从生物数据保护源头治理到人脸识别技术规范等措施,积极探索公共利益、社会效益与权利保护的平衡路径。欧盟上矩形
欧盟对面部识别的治理侧重于立法和监管的路径,主要以《通用数据保护条例》(GDPR)为基础开展。GDPR将生物识别数据定义为“经由特定技术处理,获取的有关自然人身体、生理或行为特征的个人数据,并且该个人数据能够识别或确认特定自然人”。
根据GDPR规定,面部图像构成特殊类型个人数据下的“生物识别数据”,因而比一般个人数据适配更高的保护要求。该条例禁止未经同意处理和分享生物识别数据,特别是商业应用。并且,数据主体任何形式的被动同意均不符合GDPR的规定。但是,GDPR也保留了诸如事关重大公共利益等例外适用情况。同时,条例还专门提出了关于新的数据存储机制和生物识别数据转移机制的合法性问题。通过严格的立法和监管,欧盟有效加强了对非欧盟互联网科技巨头的限制,但也在一定程度上削弱了创新,催生出新问题。
美国上矩形美国将维护国家竞争力放在人工智能政策立法的首要位置。美国针对人脸识别的治理则呈现出轻监管的特点,以政策不阻碍AI技术和产业发展、降低创新门槛和成本为优先考虑。同时,美国注重推进人脸识别技术在国防与军队建设中的重要作用,以维护美国的国际竞争力。
目前,美国在联邦层面尚没有统一的法律规制人脸识别数据的收集和使用,但发布了一些政策指南等指导文件。在州的层面,主要通过各州单独立法分别进行规制。其中,《加州消费者隐私法2019》(CCPA 2019)为部署人脸识别系统设置了很高的法律标准。为保护公民个人隐私免受过分侵扰,防止执法机构滥用执法权,加州旧金山市甚至全面禁止了人脸识别的适用。
CCPA 2019对美国的隐私权和消费者保护立法具有较强示范效应。美国参议院参考该法案提出了《商业人脸识别隐私法案》(CFRPA2019),以对人脸识别的商业应用进行立法监督。CFRPA 2019禁止在没有得到数据主体同意的情况下对其使用人脸识别,且企业在获得面部识别数据之前必须进行告知。该法案对企业可以在哪些情况下从个人那里收集和分享哪些信息,以及数据的用途都做出了限制,反映出美国保护消费者隐私的进步。
英国上矩形脱离欧盟后的英国在治理人脸识别方面尚处于法律滞后于技术发展的状态。目前既没有针对人脸识别应用的监管框架,也缺乏限制人脸识别商业应用的立法,只是简单规定警方在部署和使用人脸识别系统时需遵守《数据保护法案2018》(DPA2018)和《监视摄像机业务守则》。缺乏正确使用生物识别技术的监管体系保障,可能导致司法不公,因此亟需加快立法步伐。
不过,一些既有判例能够反映出英国对人脸识别偏向理性和务实的态度。2019年9月,在爱德华·布里奇斯(Edward Bridges)诉南威尔士警察局局长与英国内政大臣一案中,英格兰和威尔士高等法院行政庭判决支持了被告南威尔士警方使用部署了人脸识别技术的街道闭路电视获取原告的实时位置信息并将其逮捕的行为。法院认为该技术的应用具有维护公共安全和保护重大公共利益的必要性,实现了个人隐私权利与公共利益的平衡。这是英国首例肯定警方使用人脸识别技术合法性的法院判决,有较大参考意义。
结合国外立法趋势来看,人脸识别技术应用在于规范而非禁止,明确使用依据和规范要求是应有之意。在权衡利弊的基础上对人脸识别进行必要的监管,寻求科技创新与个人权益保护的“最大公约数”,而非一刀切地予以禁止或者放任不管。首先是适时开展全球对话,推动形成对于人脸识别治理规则框架的共识,以及相对统一又能兼顾开放性的数据共享与数据保护标准,整合目前碎片化的治理模式、填补法律空白,以便在更高层面上平衡隐私保护、执法效率、创新活力三者的关系。
其次,在治理人脸识别过程中贯彻对应用必要性和相称性的检验。为防止技术滥用,可参照GDPR提倡的数据最小化原则,规定收集个人数据仅限于与处理这些数据的目的有关的必要内容。同时,需要判断目标是否足够重要且足以证明限制受保护的权利具有合理性;所采取措施是否与要实现的目标存在合理联系;是否还能使用侵扰性较低的措施等。检验相称性主要是因为某些情况下出于合法目的应用人脸识别技术,会无可避免地影响基本人权,所以要把握好目标与手段之间的相称,尽量减少政策对公民基本权力的干涉,保持恰当透明度和监控力度,并提供有效的检查和验证措施,以保障数据主体的权益。
此外,还需要制定高效的保障和救济措施,确保数据主体有权在其权利受到侵害时得到有效救济,并配备问责制度、确立拥有足够资源和专业知识的独立监督机构,避免让政府同时成为人脸识别的玩家和裁判。
无论是中国还是欧盟,企业若想合法收集、处理人脸数据,明确告知数据主体,取得数据主体的同意是一大根本性原则。在这一过程中需要注意:·同意必须是积极、肯定式的确认;·企业必须清晰地告知数据主体所收集的人脸数据的性质,收集人脸数据的目的,还需告知数据主体其有权随时撤回针对人脸数据所作出的授权同意;·针对人脸数据的同意应该与有关其他类型的个人数据的同意分开;·若企业需要处理人脸数据以向个人提供服务,则可以将明确的同意作为处理该数据的条件,但前提是处理人脸数据是所提供服务的客观所需,而不得以同意将人脸数据用于其他商业目的(如用户分析和营销目的)为前提条件而拒绝提供服务;·企业必须能证明已获得该等同意(保留获取同意的证据)。在某些时候,企业可能临时需要执行一些人脸识别处理步骤(例如核实用户身份真实性),以便准确地评估用户是否提供了真实、有效的同意。此时的人脸识别必须严格服务于核实同意的目的,且核实之后必须马上删除。若人脸数据被泄露,后果将难以挽回。因此,将人脸数据等生物识别数据储存于用户个人设备的方案应该始终优于集中储存在数据库的方案。如果确有必要存储人脸数据的,应将人脸数据与个人身份信息建立不同的数据库,使人脸识别信息与个人身份信息得以分别存储,并采取适当的加密安全措施,尽可能压缩人脸数据的存储期限。另外,《个人信息安全规范》规定,“如果产品或服务的提供者提供工具供个人信息主体使用,提供者不对个人信息进行访问的,则不属于本标准所称的收集行为”。因此,将人脸数据存储于用户个人设备,单纯提供工具而自身并不访问或处理人脸数据的,可以豁免《个人信息安全规范》的要求。人脸数据等生物识别数据极为重要,处理这类数据的风险较高。《欧盟关于数据保护影响评估指南(Guidelines on Data Protection Impact Assessment)》规定,大规模处理人脸数据属于必须执行数据保护影响评估的情形。一是可以确认自身是否为人脸数据的保护提供了足够的安全支撑,二是向监管机构展示自身已积极履行了数据合规的义务。
虽然GDPR在劳动雇佣法律领域为处理包括人脸数据在内的特殊类型数据提供了不经同意便可处理的例外,但是这种例外必须基于履行法律所规定的权利和义务。单纯为履行劳动合同规定的权利和义务或为了一般人事行政管理目的而处理人脸数据,不属于GDPR规定的例外。有企业提出,《欧盟工作时间指令(Working Time Directive)》可以成为企业在未经员工事先同意下使用人脸识别技术考察员工出勤状况的法律基础。但是,企业除了找到自身能依赖的法律基础外,还需说明使用人脸识别技术进行考勤管理的必要性,而这一点是相对比较难说明的。因此,就欧盟和英国而言,企业在使用人脸识别手段考察员工出勤状况之前,仍须获得员工明确的同意。目前中国就劳动领域的人脸识别问题暂无特殊规定,因此应遵循一般原则,企业雇员的人脸特征信息属于个人信息,其处理活动需要获得员工的同意。最后,企业在应用人脸识别技术收集、处理人脸数据时,必须抓住“知情—同意”这一主线。同时,企业最好将收集的人脸数据存储于用户终端内,避免集中存储于服务器上。建议企业开展彻底的数据保护影响评估,降低数据泄露风险,履行合规职责。
参考来源:
1.《前沿 | 人脸识别技术风险法律规制问题研究》中国信息安全
2.《全球数治|从法理视角看“人脸识别”治理的国际经验》澎湃新闻3.《关于人脸识别技术的使用和相关隐私保护》赛博研究院4《美国对人脸识别技术的法律规制及启示》信息安全与通信保密杂志社5.《人脸识别数据合规-规则、执行与展望》西盟斯全球法律资讯关于人民中科人民中科智能技术有限公司,是人民网与中科院自动化所共同发起设立的“人工智能技术引擎”和科技成果转化平台,拥有世界领先的内容理解技术,核心产品是跨模态智能搜索引擎“白泽”,初始应用场景是数字世界的安全,目标是成为全球内容科技领导企业。