要目
一、问题的提出二、我国人脸识别应用的监管困境三、我国人脸识别应用监管的完善建议
结语
对于人脸识别应用政府应采取何种态度,要不要严格监管、由谁监管、采取何种方式监管等问题的解决实为当务之急。当前监管立法不完善,监管体制混乱,监管机制缺失滞后、措施乏力,是当下人脸识别应用监管不到位的重要原因。有必要坚持问题导向、靶向施策,通过完善立法体系、厘清监管体制、健全监管机制三个维度予以解决:一是以包容审慎及场景监管理念为指引,出台人脸识别应用监管专门立法;二是确立网信办统筹协调、工信部门具体执法的监管体制;三是于事前推行人脸识别应用准入制度,并引入“监管沙盒”机制,事中利用技术赋能构建人脸识别应用数字监管系统及实行年度报告制度,事后加大处罚力度,细化裁量规则,规范执法。
在数字化社会建设与发展、在数字赋能政策加持下,作为身份识别技术中具有特别优势的人脸识别技术,其应用场景已蔓延至社会和生活的各个方面,成为创建智慧社会的基础设施。然而,人脸识别技术广泛运用现象背后也隐藏着众多风险,不仅影响着个人权益也对社会安全造成了威胁,由此引发社会对人脸识别应用风险的担忧与不安,监管呼声日益高涨,也引起了学界对人脸识别应用监管问题的热烈讨论与思考。据App违法违规收集使用个人信息专项治理工作组2021年发布的《人脸识别应用公众调研报告2020》(以下简称《人脸识别应用调研报告》)中显示,在2万多名受访者中,64.39%受访者认为,目前人脸识别技术存在被滥用的趋势。随着有关争议日趋增多,规制人脸识别应用的讨论甚嚣尘上。如何充分发挥人脸识别应用积极作用的同时,将其负面影响尽可能降至最低,是当前社会亟待解决的问题。2019年“国内人脸识别技术第一案”引发社会热议;2021年央视3·15晚会上,曝光了许多国际品牌在未经消费者同意的情况下,利用人脸识别摄像头获取消费者人脸信息及相关数据。可见,随着人脸识别技术的滥用与人们安全意识的觉醒,社会对该项技术应用监管的呼声越来越高。与此同时,各地市场监督管理部门先后开展对房地产、住宅小区等领域人脸识别技术应用的专项执法行动,两会代表亦提出了加强人脸识别应用监管提案。回顾人脸识别在我国的发展历程,我国总体上秉持包容审慎、发展与规范并重的原则,坚持了“管、促、创”的政策理念。在人脸识别发展初期,我国出台一系列助力技术创新的促进产业发展政策。然而,人脸识别技术在包容的环境下获得快速发展后,治理问题逐渐显现,发展与监管的矛盾激化。现阶段,对人脸识别应用政府应采取何种态度,是疏而导之?还是防而堵之?抑或是放任自流?对于人脸识别应用要不要进行严格监管、由谁监管、采取何种监管方式等等问题,在学界、实务界以及技术用户中,是一个有待探讨和商榷的问题。人脸识别应用内蕴的风险引发了社会强烈的监管需求。从政府监管的运行逻辑来看,对人脸识别应用风险予以有效监管,需要依据科学合理的法律体系,建设高效有序的监管体制,设计宽严有度的高效监管机制来防范或减轻风险。科学合理的监管法律体系是监管效能的基本前提,监管工作实质上是监管部门对法定职责的履行,监管效能的提升亦有赖于立法对监管体制、监管手段和监管程序良好的设置。分析和解决现有监管法律法规的不足,客观上能为人脸识别应用监管工作的有效实施创造良好条件。纵观我国现有法律规范,人脸识别应用监管专门立法的空缺仍有待填补。尽管2021年实施的个人信息保护法对个人信息保护规则进行了整合统一,规定了人脸信息等敏感个人信息的特殊保护要求。但该法作为高位阶法律,立法的普遍适用性及高度概括性使其难以对各类个人信息作出面面俱到的细致规定。同年,最高人民法院发布了《审理使用人脸识别技术处理个人信息相关民事案件的司法解释》(以下简称《人脸识别司法解释》),回应了人脸识别应用于众多场景下对人脸信息保护的需求。可囿于该司法解释主要是为人脸信息侵害的事后救济提供司法裁判指引,虽对行政监管执法具有参照作用但仍难以直接适用。目前,我国人脸识别应用监管立法层级呈现出“地方先行、软法治理”的特点。监管规范多为地方性法规、部门规章甚至各类通知、通告、政策等规范性文件以及国家标准、行业标准等,位阶低、法律效力不足的局限性显而易见。如天津市、杭州市等地在个别领域中明确禁止或规定不得强制收集人脸信息;宁波市、佛山市等地针对房地产售楼处设置人脸识别系统收集购房客户人脸生物识别信息问题,相继发出监管通知;但各地规范严厉程度不一,有些地方要求“未经消费者书面同意,不得使用人脸识别系统”,有些地方则要求“遵循合法、正当、必要原则,禁止使用人脸识别系统”。此外,以上立法针对的范围、领域十分有限,且各地立法或监管政策参差不一,缺乏框架性和体系化监管制度。在专门性立法缺失的情况下,现有人脸识别应用立法指导理念有待进一步优化。一方面,包容审慎监管理念存在立法与理解偏差。我国人脸识别技术发展迅猛位居世界前列,主要得益于国家包容审慎的政策环境和多元的应用场景。于技术发展初期,国家出台了一系列助力技术创新、促进产业发展的政策,相关立法也旨在鼓励、利用和推广,并未对技术具体使用、信息收集安全予以严格规定。直到《人脸识别司法解释》的颁布才表现出对人脸识别技术审慎监管的一面。由此,人脸识别应用领域的包容审慎立法指向表现出“先包容、后审慎”的理念偏差。在此理念指向下,对技术市场主体的“过度包容”,加之某些监管部门对技术应用具有较大的现实需求,包容审慎监管理念一定程度上被某些监管部门误读和曲解为弱监管、慢监管乃至不监管。最终导致人脸识别技术从“产品化”走向“市场化”的过程中,由于法律规制不足、政府监管缺失,致使技术滥用、侵权乱象频现。另一方面,现有立法规范中场景监管理念不足。相比于其他国家所采取公私主体、公私场所等细致区分规定,我国于人脸识别应用领域对场景监管理念适用程度较低。个人信息保护法对“公共场所”“维护公共安全”尚缺乏具体的判定标准,涉及不同的技术开发商、供应商、应用商,需要依据场景规定不同的安全保障义务,对人脸识别应用的全链条、全主体、全流程责任义务规范仍有待完善。在衡量不同主体及其人机交互行为面临的风险、成本和收益基础上,如何对公共场所等人脸识别应用具体场景予以细致划分,并合理设定差异化、针对性的预控方案和监管措施是场景监管理念于该领域下需进一步回应的问题。当前,人脸识别应用监管以个人信息保护为基点,故而现阶段人脸识别应用的监管体制研究,需回到个人信息保护监管体制之下进行分析,得出人脸识别应用监管体制设计难点所在。数字社会发展引发对技术的恐慌,以及个人信息保护法的出台,使得监管部门对人脸信息保护问题逐渐重视,为此组织了专项治理行动。国家网信办以互联信息内容管理为主,对移动App涉及人脸识别运用情况予以监管,同时工信部负责人脸识别应用的检测及违法行为通报;国家公安机关作为公共安全视频图像信息系统主管部门,有权就视频图像设备进行监督管理;市场监督管理机构则负责监管企业的经营行为和保护消费者权益,主要对开发和运用人脸识别的企业予以监管。上述各部门虽都对人脸识别应用承担了监督管理的职责,但各部门仅对各自负责领域进行治理,难以形成有效的监管合力。形成这一监管现状,是当前中国个人信息保护领域较为复杂的监管体制所造成的。个人信息保护法第60条规定了管理主体及其地位,其中第1款规定中央层面由国家网信部门负责统筹协调,国务院其他有关部门依法分工负责。延续了以往多主体的监管架构,并增设国家网信部门作为统筹协调机构,与网络安全法、数据安全法的监管体制相呼应。虽然将国家网信部门作为统筹协调机构的方案也褒贬不一,但有学者表示该种模式呈现出当前个人信息保护监管正从无专责机关模式转向过度或统筹协调模式,体现了国家对探索成立专责机构的积极转变,相比原先的执法体制已向前走了一大步。然而遗憾的是,从现有规范中“国家网信部门及有关部门”字样,仍无法得出行政机关对于相关领域的具体分工,其形成的“统筹协调+分业管理”仍然保留了多主体的监管架构,这也意味着分头监管的机制仍将继续延续。立法规范监管主体不明确,部门分工不明晰,进而容易造成监管空缺或者监管重合,甚至监管推诿等情况。比如部分领域立法缺乏监管主体,并无监管机构来履行个人信息保护义务的职责。又如,部分立法中规定的“其他有关部门”“国务院有关部门”“各部门”等表述未予明确,可能导致负有监管义务的机关逃避职责、相互推诿。再如,部分行业或领域的多头监管,容易引发管辖中的混乱。“工商行政管理部门”与“电信主管部门和公安部门”分别监管“消费者权益”与“网络信息安全”的个人信息侵害行为。当侵害经营者的个人信息但尚未危害网络安全或构成犯罪时,即出现了监管的“空白区域”;在行为人利用电信或网络盗卖消费者个人信息时,又存在“重复监管”的现象;或者同一领域存在不同监管主体,市场监督管理部门与公安部门均对房地产销售厅非法处理人脸信息行为予以行政处罚,这不仅会导致“重复监管”还会出现监管标准不一。总而言之,在分业监管架构下,部门/行业监管的分而治之,固然有助于发挥行业监管优势,但监管部门之间各自为政和碎片化监管容易出现尺度不一、宽严皆失,如此反而提高了政府监管成本。现阶段,虽有国家网信部门进行统筹协调,但不得不承认,以国家网信部门现有资源及人员力量难以面面俱到,兼顾多部门、多领域、各种信息类型的执法情况,有效协调各部门的执法行为,多部门分散执法的弊端依然存在,大大降低了人脸识别应用的监管效能。在个人信息保护治理结构框架错综复杂、具体执法主体难明确、各部门间监督内容交叉难题下,为解决人脸识别应用的统一监管需求,执法主体问题争论随即转移到人脸识别应用监管体制讨论中,学界建议、构想可谓聚讼纷纭。第一种观点是确定两个以上的执法部门分担人脸识别应用监管执法权。有学者建议公安部门和网信办按公共场所和非公共场所分区域监管,或以应用类型为区分由工信部和市场监督管理局分管;也有观点提出由工信部牵头,联合网信办、公安部、市场监督管理总局共建人脸识别记录数据库,并形成多部门协调监管机制。以上观点均是在现有监管体制下的进一步优化,以期多部门齐抓共管,发挥各部门优势形成监管合力。但根据前文分析,维持多部门监管模式仍非解决问题的根本之道。第二种观点是坚持构建个人信息保护专责机关,并在专责机关中下设人脸识别应用监管部门。在个人信息保护法出台之前,学界中构建独立统一的个人信息保护专责机关建议呼声高涨。众多学者认为独立的监管机构能够保证执法不受其他公权力部门的干预,提升行政监管统一性。同时,机构的专业化、技术化得以保障信息保护力度和技术应用监管深度,得以形成规范化、程序化、体系化的执法监管机制。该种观点同样认为人脸识别应用由专责机构统一监管,能够有效破除多头监管桎梏的同时降低行政监管成本。本文认为,构建独立的监管机构对个人信息保护及人脸识别应用风险予以统一监管不乏具有众多优势。但从实际情况考量,考虑到另设机构需重新配备人员、技术、经费等资源,在其职能功能与现有机构相似的情况下容易造成资源重复配置、执法成本升高,与现下政府精简机构的改革目标有所背离,这也是个人信息保护法未采取构建专责机构的重要原因之一。故此,本文认为面对人脸识别应用监管的急迫性与现阶段设立条件限制的冲突,该观点的可行性仍有待商榷。第三种观点则是在妥协与坚持中寻找平衡,即遵循现有网信办为主导统筹协调的监管体制下,于现有执法部门中明确某一部门承担统一监管职能。该观点基于弥补无法构建个人信息保护专责机关遗憾这一动机,考虑到日后无论是新设机关抑或是调整国家网信部门作为个人信息保护专责机关,此做法都能在网信办统筹协调之下统一执法权限,无疑是积累经验、适当过渡的有效方式。但确定何部门作为人脸识别应用统一监管部门,学者存在不同看法。有学者建议由公安部门统一审批、监管或于公安部门下设专门监管机构,亦有建议应发挥市场监督管理部门强大的执法力量,以市县级市场监督管理部门作为人脸识别应用统一监管部门。以何种模式构建人脸识别应用监管体制,确定何许部门为统一监管部门,学者从不同角度思量提出的众多观点见仁见智,现阶段人脸识别应用监管主体确定问题仍委决不下。随着社会技术不断发展,个人信息内涵也在不断扩大变化,人脸识别技术对个人信息的处理出现许多新特点。现有监管部门的认知能力和技术水平难以跟上技术创新和应用场景的变化,加之既有的个人信息保护监管体制以线下监管为主,与人脸识别技术跨领域、线上传输、云端识别的技术架构不匹配,导致监管部门在人脸识别监管上出现了“能力缺失”和“监管迷茫”等问题,其中事前监管机制缺位、事中监管方式片面、事后监管措施乏力是以上问题的重要原因。事前监管是解决市场失灵中信息不对称、负外部性等问题的重要监管措施,能够有效规范人脸识别应用主体法律行为,具有警示和震慑违法行为、防范风险的作用。然而,现阶段人脸识别应用事前监管机制的缺失导致技术性能把关不严、信息采集随意等情况。人脸识别应用事前监管,可以分为技术入市前监管和技术应用之后的信息处理监管。现阶段对人脸识别应用监管存在局限性,侧重个人信息收集环节是否满足知情同意规则,而忽略了对人脸识别应用必要性及技术安全性的审查监管。从对“人脸信息处理最小必要原则”的监管来看,当前有关人脸识别应用的行政处罚案件中均以“信息收集违反告知同意规则”为由施以处罚,部分情况公安部门会在此基础上进一步考虑是否采取安全保障措施,但鲜有裁量人脸信息收集、人脸识别应用是否符合最小必要原则。从技术安全性监管方面来看,政府部门与商业应用要求存在差异。部分地方政府规章要求部门安装公共安全视频图像的设备(包含部分具有人脸识别功能的设备)必须符合国家标准,并且须经法定机构检验、验收,不合格不得投入使用。自2008年开始,在商业应用中国家认证认可监督管理委员会明确表示人脸识别机不属于强制性产品认证范围,即无需取得相关机构审查是否符合国家标准和相关技术规范便可直接出厂、销售或在其他经营活动中使用。然而,信息技术所产生的危害一般都具有范围广、损害难以复原等特点,技术风险性要求对技术的监管尽可能在技术被使用之前,这也是域外各国纷纷加强对技术事前监管的原因,我国人脸识别应用监管也理应如此。尽管个人信息保护法第32条明确了准入规则,但由于缺乏具体的配套制度,并不足以对抗人脸识别应用泛滥的现状。尽管个人信息保护法针对信息处理技术推出一系列事前监管措施,包括合规审计、安全风险评估等事前安全保障措施,能够在一定程度上督促应用主体合法、合规处理个人信息。但为了实现以上措施在人脸识别应用行业有效落实,仍有待进一步细化、提高相关制度的可操作性。在人脸识别技术广泛应用背景下,监管不力还体现在传统监管方式的落后。传统个人信息监管方式主要有现场检查、询问有关单位和个人,查阅以及对相关平台安全防护系统进行检查等。传统监管手段对以往线下信息管理尚能起到一定的监督作用,但随着人脸识别技术的不断更新换代,信息收集、处理方式不断升级,然而难以满足当前人脸识别应用技术监管需求。随着深度学习算法的成熟和应用,人脸识别应用从最初的单纯利用定点画像进行人脸核验,发展到如今利用算法技术结合大数据实现人脸分析,进行大规模的个性化分类。甚至可以在人脸信息与个人真实身份之间建立直接、绝对及有效的自动化链接,这无疑对人脸识别应用监管能力提出了极大要求。不仅要满足对计算机网络的基本技术安全需求,更需达到自动化采集形式、密集化访问控制和广泛化的远距离识别下的技术监管要求。面对人脸识别应用深度学习的强技术性及多维度利用,单单依靠传统的监管措施,显然缺乏时效性和准确性。人脸识别技术在信息收集及处理、存储方面具有较强的隐蔽性,监管主体通过简单的现场检查、询问和查阅等浮于表面的方式难以实现有效监管,监管效能大打折扣。实践中,部分违法主体在被监管部门查处后,通过对技术平台进行掩人耳目式升级,将人脸图像处理转化为执法人员难以识别的数字代码进行隐藏,技术的更新不断为监管执法带来新挑战。故此,检查技术、执法方式的局限,导致监管部门往往难以准确、全面追踪、识别人脸信息的流向,甚至难以证明收集的人脸信息与最后产品盈利之间的必然关系,无法确定违法所得。此外,依靠人力走访的传统检查、排查方式亦难以将人脸识别应用事中监管常态化。当前人脸识别应用执法以在联合或专项执法活动的检查、排查行动中,对发现违法收集行为予以处罚为主。显然,联合或专项的“运动式”执法往往难以应对日常的轻微违法,且该模式带来的‘摇摆不定’的执法效果可能影响执法威慑力。同时,在面对数量巨大的人脸识别应用情况下,专项整治活动或日常检查难以做到全面覆盖,在囿于执法资源、人员不足的情况下,容易导致“选择性”执法问题的发生。当前执法领域仅关注到互联网移动应用、房地产销售厅以及少量小区和公司考勤系统,纳入监管范畴的人脸识别应用与实际应用的数量相比,陷入杯水车薪的困境。总体而言,现阶段囿于执法方式对人脸识别技术认识、控制具有局限性,监管难度不断加强,确有必要提升现有监管技术水平,通过技术赋能方式进行实时或定时、随时自主监控,强化对人脸识别应用事中监管的力度和效率。当前人脸识别应用、人脸信息处理的监管主要侧重于事后监管,线上场景监管执法措施形式表现趋于多样化。网信部门对侵害人脸信息的App进行专项执法,并以约谈相关违法、违规主体的处罚方式为主;工信部则依职权对相关App进行检测、调查,并采取通报、约谈、下架等措施,同时对摄像头生产产业进行整治,依法处置未设置授权访问程序等存在漏洞的摄像头;市场监督管理部门主要对公共场所营业厅进行人脸识别应用合规排查,多以单处罚款或罚款与警告相结合的方式进行处罚;公安部门相关执法活动相对较少,且均采取了警告的方式。同时,尚未启动双罚制,没有对直接负责的主管人员和其他直接责任人员进行处罚。总体来看,当前我国对利用人脸识别技术违法处理人脸信息的处罚力度较轻。依据消费者权益保护法第56条及网络安全法第64条第1款规定,相关行政责任包括责令改正、警告、责令暂停相关业务、关闭网站、吊销相关业务许可证或者吊销营业执照、罚款,前者规定的罚款最高限额为50万元,后者为100万元。经统计,当前对于违法收集人脸信息行为顶格处罚较少,绝大多数的案件罚款幅度在25万元以下,包括违法使用人脸识别技术采集、上传人脸照片多达43万张的小鹏汽车公司,因仅被罚款十万元,数额较少引起社会热议。同时,监管部门大量采取约谈、责令整改等柔性措施。显然,对于需要严格保护的人脸信息以及一经使用便会自动收集大量信息的人脸识别应用来说,当下的处罚力度难以起到警示与震慑违法行为的执法效果。甚至,约谈措施的泛化,容易导致以谈代罚,严重削弱监管效果。究其原因,考虑到当前人脸识别应用监管处于初期阶段缘故,以及需要兼顾技术市场应用需求,监管部门更多以被执法者容易接受的柔性、弹性执法措施为主,以求顺利打开局面。但随着处罚力度更大的个人信息保护法出台,人脸识别应用监管形成常态化、规范化后,有必要在实际执法中相应提升处罚力度。此外,人脸识别应用监管缺乏明确和具体的客观标准,导致实践中执法混乱,抑或是采取简单粗暴的“统一式执法”,未充分考虑人脸信息收集数量等执法裁量因素。故而现实中存在对违法采集人脸信息行政处罚力度不一的问题,即使排除部分因积极配合,及时删除数据等行为对其从轻处罚的情况,因裁量标准模糊导致的执法混乱现象仍客观存在。尽管个人信息保护法相较于消费者权益保护法等规定了更为严厉的行政处罚,但在处罚梯度规定中,仅以情节是否严重作为梯度的区分标准。这无疑给予了执法机关较大的自由裁量权,同时对于“情节严重”的标准未进一步明确,这极有可能导致执法机关因缺乏明确处罚标准而持续存在差异化、选择性执法等问题。通过上文所分析的“立法分散、体制不清、措施乏力”问题,本文认为,解决上述问题需明确我国监管思路及方向,建议通过完善立法体系、厘清监管体制、健全监管机制等方式予以解决。遵循什么样的原则理念,直接决定立法内容,更是决定了最终建构的规则能否满足监管需求。人脸识别技术安全应用和健康发展是有效监管的基本目标,坚持包容与审慎并举的监管理念,才能明确发展与安全的监管定位。积极的包容审慎监管与人脸识别应用动态发展、多元场景应用相匹配,包容性监管强调为技术应用提供合理的发展空间;审慎监管要求技术应用不突破法律底线,有效防范各类风险;积极监管要求包容与审慎齐驱并进,避免过度包容又确保监管到位。此外,在人脸识别应用领域嵌入场景监管理念,根据不同场景类型对人脸识别技术采取分层、分类的监管方式,这不仅是技术特性使然,更是对于现代社会高复合化风险的回应,探索包容审慎的监管格局。随着部分国家不约而同地采取场景监管方式,场景理论作为人脸识别应用治理的新路径在我国学界也备受关注,采取场景监管理念的优势在于,根据人脸信息收集使用目的区分不同的适用场景。通过法律操作层面理性地界定信息的合理流动和有效限制,设计符合各相关主体成本、风险和利益平衡的保护方式,从而有效克服人脸识别技术的应用歧视和信息技术鸿沟。其次,人脸识别技术风险的不确定性与场景风险的差异性,强调多种监管措施并用,依据不同场景应用风险,采取不同程度的监管手段,采取分类分级、宽严相容的监管方式。同时创新监管手段引入“监管沙盒”机制,得以保障技术发展与安全目标的有效平衡。在大数据时代,人脸识别技术作为前沿科技,应用空间广阔,对社会、个人安全影响深远,在监管中应采取包容审慎的态度,以场景监管理念为指导开展具体的制度设计,保障技术安全的同时留足发展空间。为了解决当前监管立法不完善、缺乏体系化、规范文件位阶较低的情况,有必要在厘清现有人脸信息保护规范基础上,出台专门的人脸识别监管立法。在人脸识别应用领域采取专门性立法的方式,源于交易成本较高的领域存在着对法律调整的迫切需求,选择相关领域作为加快立法的突破口,有利于降低法律的运行成本。人脸识别技术作为生物识别技术市场占比最高的产业,对该领域予以专门立法以达到快速规范识别技术市场,为其他识别技术提供范式指引的同时,也有助于减少立法数量,提升立法质量,以避免碎片化立法导致立法重复、交叉的问题。因此,需要提升人脸识别应用监管立法层级,在总结各地方人脸识别监管经验的基础上,创新监管手段、提升处罚力度。最终确保政府监管人脸识别应用有法可依、相对人有章可循,人脸识别应用技术服务可以朝着法治、有序、安全的轨道发展。“共建、共享、共治”的社会治理理念于个人信息保护而言,应体现为构建以行政机构监管为核心,涵盖公权力、行业力量和私力救济的三角形治理架构。在人脸识别应用监管领域上亦不例外,在厘清人脸识别应用监管体制下,明确主要监管主体,构建分工明确、高效协同的监管体系。各国和地区的立法和实践表明,个人信息保护监管机构的独立性、专业性和全局视野,对有效排除干预、科学高效监管具有重要意义。在欧盟范围来看,尽管机构名称存在些许差异,但大部分成员国已构建起本国的个人信息保护监管机构,而美国虽以分散式监管为主,但近年来亦表现出对构建专责监管机构的理念转移。质言之,我国众多学者对构建个人信息保护专责机构的呼吁,体现出对监管主体的理性选择和发展趋势的顺应。囿于我国现实条件限制,构建专责机构时机尚未成熟,本文认为当下以国家网信部门统筹协调为统领,明确统一监管部门的体制选择不失为权宜之策。该方式不但顺应当前我国网络治理、信息监管由分散化不断向集中化转变的趋势,承接以国家网信部门为核心的治理结构,还能继续强化网信办在人脸识别应用监管中相较于其他政府部门的优先地位。以现有执法部门为基础明确某一部门承担统一监管职能具有现实性与必要性。一方面既能够保证执法统一性、专业性,从根本上解决传统多头监管导致执法混乱现状,一定程度上兼具了专责机构的优势;另一方面还避免了新增执法部门、遵循现有体制,对现有中央行政机关冲击不大更易于体制所接受,同时也能够较大程度利用、发挥现有职能部门的执法资源、执法经验,节约执法成本的同时响应了当前精简机构的方针政策。如何确定人脸识别应用主要监管部门,则成为监管体制确定又一新问题。本文认为,确定以何许部门监管之前应先明确人脸识别应用实际监管需求。人脸识别应用作为互联网技术发展的产物,属于新兴技术及新产业,人脸识别应用为社会发展、数据利用带来巨大潜能。然而技术仍处于持续发展进程中,导致监管需兼顾多方因素,难度较大。因此,选择适宜的监管主体赋予其统一监管权限,至少需要结合以下两点予以衡量考虑:一是新技术、新产业发展需求。监管不单单是对处理人脸信息行为予以监督,更重要的是需要兼顾技术产业健康发展的引导管理需求,实现技术助推社会发展。二是监管机关执法队伍的专业性。人脸识别应用监管难度不仅在于人脸信息数据处理层面,更重要的是人脸识别算法程序、技术安全性能、识别准确率等技术层面,故监管机关还应当对相关执法活动有着强大的技术支撑,对人脸识别不同应用场景具备较强的行政执法资源与指导监管能力。现阶段,结合人脸识别应用发展与监管需求,从职能划分、管理经验、技术能力、人才队伍等多方面考量分析现有监管部门的执法优势,由工业和信息化部门承担人脸识别应用统一监管职权较为合适。理由如下:其一,从部门职能与人脸识别应用发展需求来看。网信部门侧重把控互联网信息内容、网络安全管理工作,公安部门以维护公共安全、打击信息犯罪为主线,市场监督管理部门仅就涉及消费者权益保护进行个人信息保护执法工作。相比之下,工信部门职责范围不仅包含了“承担市场秩序……用户权益和个人信息保护等监管工作”,同时更致力于“推进信息技术服务工具、平台研发和产业化,推动新技术、新业态发展应用”,其中便包括对推动生物特征识别等技术的研发应用。既承担拟定实施移动互联网、物联网等网络技术发展政策的规划统领职能,同时还具备组织实施互联网新技术、新业务安全评估、技术准入审查的管理能力。在人脸识别技术不断演化迭代,不断融合行业发展的前提下,技术发展仍具有较大不确定性,工信部可以统合技术力量,跟踪新技术发展趋势,灵活调整监管方向,满足技术发展与风险防范的监管需求。其二,从人脸识别应用监管专业性需求来看。工信部门相比于其他部门在互联网技术方面具有更强的技术指导和监管能力,能够为人脸识别应用监管提供了强大的专业技术保障,足以涵盖事前技术安全检测,事中监测系统搭建、事后违法者、信息追踪查处等技术要求,充分解决当前执法队伍专业水平不足的困境。其三,从执法人才队伍方面考虑。人脸识别应用从互联网移动应用平台到公共场所、营业门店等各种场景,执法范围之广,数量之大,故需要一支从上到下专业执法队伍。相比于网信部门有限的执法能力和线下执法资源,工信部门从目前承担的网络安全、信息通信服务、个人信息保护等信息管理工作所形成的执法机制、人员队伍,能够为人脸识别应用监管提供较为完备的执法资源。同时,可以结合工信部门现有的人员、资源组建一支专业的人脸识别应用监管执法队伍,实现执法的专业化、标准化、规范化。国家网信部门于2011年经国务院批准设立,并将原由工信部承担的信息化推进和网络信息安全协调职责划入该办,依法负责网络信息服务统筹协调指导与监督管理执法工作。故,在人脸信息保护与识别技术监管的双重需求下,工信部凭借原有对信息资源管理及现有对新技术的研发管理能力,以及与网信办职能相通的优势,成为弥补网信办执法力量不够、专业技术水平不足的优选。现代谦抑包容监管的一个重要特征,便是注重监管协同合作和提高监管效益。以网信办和工信部门为主构建起的人脸识别应用监管体制,同样要厘清统筹部门与主管部门及协助监管部门之间的职责划分,建立高效畅通的沟通制度。明确职责划分。首先,网信办作为监管体制的顶层设计,发挥着整体控制、引导协调、统一规制的作用。承担对人脸识别应用监管整体把控职责,需兼顾公共利益和个人权利平衡,关注实务应用动态及时调整监管方式。当面对跨部门、跨领域及重大事项时,抑或者主管部门在执法过程中出现职权重合等情况,则需要网信办启动联合执法或从中协调厘定。为确保人脸信息保护与其他个人信息保护制度的衔接度及协调性,亦需要以网信办为主,协同工信部制定人脸识别应用监管具体细则、标准、规范清单等,同时负责核准具有约束性的相关产业规则、企业规则、认证规则及标准等。其次,工信部门作为人脸识别应用统一监管部门,除了承担统一的执法职能外,还负有构建技术监测系统、事前准入审查审批、相关技术专利安全审核等监管职能。最后,结合人脸识别应用场景及现有部门职责分工,需明确网信办、公安部门、市场监督管理部门的协助监管职责。公安部门及市场监督管理部门可以协助对公共场所、实体经营场景下人脸识别应用的巡查,网信办可协助互联网领域移动应用的监管工作,当发现违法行为时可报工信部门统一执法。建立健全相关监督管理联合工作机制,推进各部门之间协同监管常态化,保障监管工作高效畅通。因此,于网信办与工信部之间构建信息数据互联互通系统尤为必要。通过将相关执法结果、许可、备案、举报申诉等情况实现线上同步,由网信办建立联席会议平台,为各部门构建起沟通对话平台,实现人脸识别应用协同高效监管。当代社会治理正走向网络化、多元化、自组织的复杂科学管理范式,诚然政府监管是治理人脸识别技术的有效手段。人脸识别技术应用中存在较多未知的风险与多变性,针对人脸识别技术应用的监管问题,不应一味采用机械的监管体制,应当鼓励多元主体共同参与管理,提高监管效率。借鉴美国行业自律监管模式,可以由网信办引导协助建立人脸识别应用行业管理组织。推动行业组织协助政府监管,其目的在于配合政府建立规范有序的人脸识别应用环境。一方面,行业组织有助于与政府监管形成协调机制,增强有效沟通,协助政府相关政策的落实执行。另一方面,行业组织具有更强的灵活性、专业性与针对性,能够根据现实需求进行专业考量,快速调整,以及能够为人脸识别应用安全影响评估、合规审计等制度制定更切合场景、技术发展需求的行业标准供监管部门参考,同时参与人脸识别应用的安全发展引导。与此同时,发挥社会主体强大的监督作用,提升信息用户自我保护意识。鼓励社会专业研究机构、群众对人脸识别应用过程技术安全性质疑,建立与消费者协会、网信部门、工信部门等单位的沟通渠道,在发现存在侵权行为时可以直接将质疑结果上报监管部门。推动人脸识别应用从政府端、企业端到用户端的全方位监管。社会监督对政府部门应用场景同样具有一定的监督效用,通过举报、投诉甚至诉讼等渠道督促政府部门合法处理人脸信息,合理应用人脸识别技术,实现从商主体到公权力主体的规范应用。当前,人脸识别应用监管方式仍存在一定的滞后性,有必要参照域外合理、可行的做法,借鉴其行之有效的监管方式。结合我国实际需求,建立和完善从事前到事中、事后全面完备、操作便当的人脸识别应用监管机制。在人脸识别应用监管机制中采取严格的事前监管,能够补救告知同意规则的失灵现状,破解人脸识别应用审查风险由信息用户独自承担的不合理困境,督促国家履行风险预防义务。同时,引入“监管沙盒”机制为新场景、高风险技术应用提供安全试点平台,实现引导人脸识别技术产业健康发展的监管目标。近年来,世界各地立法者对人脸识别应用逐步采取愈发严格的准入机制,个别地区甚至直接发布禁令,事前监管意识逐渐由放任包容转为严格管制。相比于美国部分地区所采取的严格禁止机制,从我国实际国情出发,遵循包容审慎的监管理念,采取宽严有别的准入制度更切合发展与安全的监管目标。基于此,本文将结合场景监管理念,以分类分级管理为导向,对人脸识别技术事前准入制度提出细化建议。明确人脸识别应用事前准入制度的适用范围,具体分为技术准入审查和场景应用准入审查。其一,技术准入审查是为了解决人脸识别应用带来的技术风险,为此建议由工信部门开展技术评估审查,包括技术安全性能、检测抵御攻击能力、算法透明性、数据保护等方面。通过检测获得相关许可,方可进入生产、销售以及进入市场应用环节。其二,场景应用准入审查主要针对人脸识别应用的必要性,解决技术滥用、乱用问题而开展的事前监管。依前文所述,重点强化公共场所及商业应用场景监管,实现人脸识别应用事前监管依照风险高低遵循差异化、宽严有别的监管原则,突出风险监管的科学性。基于此,可借鉴欧盟《人脸识别指南》的审查原则,于场景理念指导下,根据人脸识别应用是否必要、信息处理是否可受信息主体控制来设置不同规则,并根据以上两项指标划分出三级监管措施,建议监管部门以清单管理形式对三类场景予以明确(参见图一)。
第一,“必要性”是人脸识别应用及信息处理的基本原则,民法典第1035条明确了个人信息处理必须遵循合法性、正当性以及必要性。同时人脸信息作为敏感个人信息,个人信息保护法第28条严格要求“必须具有特定目的和充分的必要性”方可处理。鉴于学界及实际应用中对人脸识别应用的必要性存在诸多质疑,尤其是当下热门的AI换脸等娱乐场景,或收集人脸信息但无实质性影响的适用场景,故此对于收集人脸信息必须作好充分的必要性论证。规范人脸识别应用,事前审查其是否满足必要性应成为技术应用的条件之一,对于不满足必要性的应用场景无论其信息主体是否具有可控性均应当予以禁止。第二,“可控性”是指信息主体对信息处理知情权、决定权等个人信息权益的有效控制。如线上软件对人脸识别应用,通过可行、有效的程序设置,信息主体能够在弹出的告知书及相应的同意、删除按钮设置中保障自己的个人信息权益,则属于信息主体具有可控性。而公共场所或强制必须收集、使用的情况下,由于信息主体难以察觉人脸识别应用的存在,导致告知同意规则难以有效实现、离开无法及时删除信息,抑或是拒绝同意无法进入相应场所、无法进行相应事务等情况则属于信息主体不具有完全的控制权。对于不可控的应用场景,则应当实行严格的事前准入制度。借鉴美国区分主体、使用目的的监管模式,我国同样对此提出差异化监管思路(参见图二)。对公共部门为维护公共安全使用人脸识别的事前准入审查,建议选择备案制度,在技术使用前将技术安全影响评估、安装范围、使用目的等情况向相应的监管部门备案,便于事中监督管理。为提高行政效率等维护公共安全目的之外的场景,建议向有关部门申请,经同意批准后使用。而商业主体应用则应当选择更为严厉的行政许可制度,未经有权机构审查许可的,不得安装、使用。
图二
第三,既满足必要性又满足可控性的应用场景中,可放宽应用事前监管,自由规范使用。在应用主体保障信息安全的情况下,经过安全风险评估检查,确保严格执行知情同意规则及落实安全保障义务、接入人脸识别应用数字监管系统等措施后予以应用。以最大程度保障人脸识别应用在大部分场景下的高效应用,通过放宽事前监管、强化事中监管、加大事后处罚的方式实现技术发展应用与信息保护、风险防范的价值平衡。在保证现有应用场景合法、安全的情况下,对新型人脸识别技术应用场景给予“试验、引导、规范”,做到在规范中发展人脸识别产业。随着机器学习能力以及数据吸收量不断增加,人脸识别应用结果或许会与原本预设产生偏离,“监管沙盒”则能够观测有关技术的实际应用情况以应对以上问题,并且人脸识别应用算法鲁棒性也需要在实际场景下才能真正得以探测与改良。“监管沙盒”机制产生并应用于金融领域,随着数字治理、人工智能发展监管治理要求提高,自2017年以来,各国国际组织、数据保护机构等已开始尝试将监管沙盒模式适用于隐私保护领域。2022年,工信部联合五部门出台《关于试行汽车安全沙盒监管制度的通告》,以应对电动化、智能化、网联化等新发展给汽车安全监管带来的新挑战,该创新监管思路与人脸识别应用监管需求不谋而合。将“监管沙盒”机制用于人脸识别技术,重点针对安全影响评估中风险较大以及预计进入市场后用户量较大的人脸识别应用进行审查。由技术供应商或具体应用商申请,工信部根据申请划定适用范围进行人脸识别技术应用测试,对技术应用进行全方位监控及适时提供相应的技术指导意见,最后对适用情况予以评估出具评估报告,判定是否满足人脸识别技术应用条件,并进一步决定是否批准予以在沙盒之外推广适用。“监管沙盒”不仅能为人脸识别技术创新应用提供真实场景予以测试,监管部门还能在测试中给予技术应用商合规指导;也能够为监管提供更立体、更真实的实践经验以便制定更有效的监管政策,有利于缓解立法与技术高速发展之间形成的滞后性问题。对于信息主体技术使用者而言,经过“监管沙盒”测试批准使用的人脸识别技术能够增加用户对其的信任度,减少信息处理者告知获取同意的难度,既更好地保障个人权益又有效推动技术发展应用。“监管沙盒”作为一种监管创新方式,形成了技术应用创新者、监管部门与消费者三者之间的良性互动,为人脸识别技术甚至个人信息保护、数字治理提供了全新监管思路。事前监管只是人脸识别技术应用监管第一步,事中监管将是对技术应用以及信息处理的全过程监管。利用技术赋能强化监管部门日常执法检查,构建人脸识别应用年度报告审查制度,实现企业自查自纠,自我监管的范式转变。传统书面检查及现场检查监管措施对于依托互联网、大数据发展的人脸识别应用监管来说,明显缺乏准确性与时效性,已难以取得有效的监管效果。创新监管方式,实现动态化、科技化,借助数字技术推动“互联网+监管”是高科技产业监管新趋势。有必要通过技术赋能,利用大数据、云计算、人工智能等一系列数字技术,打造人脸识别应用数字平台监管系统,应用于部门监管端和技术合规应用端,在监管机构与被监管主体之间构建起信任度高、稳定性强、操作方便的监测、分析和预警机制。基于此,建立人脸识别应用安全管理系统,以接入系统为技术应用条件之一,由监管部门对人脸识别技术运用进行实时监控,定时检测信息安全风险,及时排查安全隐患,以期实现全过程安全监督管理。数字技术监测系统的构建不仅可以迅速提高执法人员监管效率,节省日常监管执法成本,促进人脸识别应用监管实现常态化、长效化,还能极大程度填补监管机构与人脸识别应用主体之间信息不对称、技术鸿沟等问题,精准追踪人脸信息流向,加强监管执法准确性、及时性。与此同时,探索构建以人脸识别应用年度报告制度为核心的常态化监管机制,推动从部门主动监管向企业主动接受监管的范式转变。依据个人信息保护法第58条第4款对于“提供重要互联网平台服务、用户数量巨大、业务类型复杂”的个人信息处理者所规定的“定期发布个人信息保护社会责任报告”。首先,建议于立法中明确相应的义务主体,主要是针对收集人脸信息数量巨大、应用场景社会风险威胁较大的应用主体。其次,明确定期发布报告的时间,要求相关个人信息处理者每年向监管部门提交人脸识别应用情况报告。最后,明确年度报告的公开性,由监管部门审查、评估后,将年度报告及相关部门审查结果一并向社会公开,接受社会监督。总体而言,建立年度报告制度不仅便于监管部门全面、及时掌握当前技术应用情况,方便对监管机制予以调整,实现动态、高效监管。同时,定时公开人脸识别应用情况还有助于保障公众对信息处理的知情权,提高公众对人脸识别应用的信任度,营造良好应用环境。事后监管是指行政主体经事中监管,对抽查、检查发现的违法、违规行为依法实施行政处罚。因此,一个完整的监管机制框架,事后监管的行政处罚是必不可少的。其能确保事前监管规范和预防体系有效运行,是人脸识别应用监管的最后一道防线。事后监管措施的设定应当注重刚柔并济,软硬兼施,形成有效震慑和规范引导,以增强人脸识别应用主体的守法自觉性。第一,加大人脸识别应用事后处罚力度。个人信息保护法第66条规定了警告、责令暂停或终止提供服务及两个梯度的罚款幅度。但考虑到该法是个人信息保护领域的基本法律,无法就每种个人信息违法行为类型加以描述并规定对应处罚措施罚款等,仅能做原则性规定。故须针对人脸识别应用、人脸信息的特殊性在第66条的行为、种类及幅度范围内予以细化。从比较法的经验来看,加州民法典第1798.155条,将收集、处理个人信息的违法行为进行分类,并对处理未满16周岁未成年人个人信息给予更严格的处罚幅度,以此给予未成年人个人信息更大的安全保障力度。以此为鉴,在当前个人信息保护法中关于“情节严重”尚未明晰的情况下,建议考量人脸信息被侵害的不可更改性以及人脸识别技术潜在的侵害风险,促使其作为敏感个人信息相比其他一般个人信息具备更为严格的安全保障措施及严厉的违法处罚力度。因此,可以设计原则上将侵害人脸信息的行为划入情节严重的罚款梯度,需要行政许可的场景可以吊销人脸识别应用行政许可。对于虽存在违法行为,但尚未使用、分享或发生数据泄露、被盗等确保人脸信息及时删除不会遭受侵害风险的情况,可以给予轻微处罚的例外规定,甚至采取警告、通报批评等,以此起到震慑作用。第二,细化行政处罚裁量规则,建议设计更为全面、针对的计罚考量因素和更为细化的罚款数额确定规则(参见表一)。实际上,量罚是一项系统工程,只有按照逻辑且周到地考量应当予以考量的各种情节,方能保证量罚适度、公平和高效。首先,在客观因素层面中可以分为主要裁量因素即法定裁量因素以及次要裁量因素。个人信息保护法第66条规定的法定裁量因素包括了“违法行为性质”和“违法行为程度”。可以将“违法行为性质”细化区分为违法收集、处理人脸信息和违法使用人脸识别(在前述划定禁止使用的场景下或未经法定程序违法使用)。“违法行为程度”可以通过收集人脸信息数量、人脸信息处理使用程度、是否将人脸信息用于其他违法行为、是否分享人脸信息、摄像头辐射范围数量、安装明显程度等因素予以衡量。次要因素可以考虑“消除违法行为后果的情况”“信息处理者性质”,前者主要考虑到人脸识别应用监管不只是要预防风险、制止违法行为,还要削减、消除违法行为带来的信息侵害后果或安全隐患,后者是依据个人信息保护法第58条对特定大型信息处理者课以特别义务思路出发,大型信息处理者的违法行为对社会影响性更大。其次,考虑主观因素层面,主要是违法行为人的悔过情况,包括是否屡查屡犯、是否主动停止违法行为、配合调查情况及是否积极整改等。最后,在明晰裁量因素的构成及层次关系后,建议依据主要裁量因素在罚款幅度内设置相应的梯度,再根据次要裁量因素、主观因素在各梯度范围内进一步细化或上下浮动,以实现将执法人员的自由裁量权控制在基本一致的范围内,保障执法的公正与合理性。表一
个人信息保护法的出台体现出国家在数字时代发展下对个人信息权益的衡量保护。科学技术疯狂发展的今天,享受技术带来便利的同时,也要考虑技术侵入的安全风险,人脸识别应用监管问题便是如此。在面对人脸识别应用监管立法不完善,监管体制未厘清,多头监管弊端未解决,监管的事前、事中、事后机制有待健全强化之时,应明确包容审慎的监管理念,出台相应的监管专门立法予以规范确定。在明确人脸识别应用监管体制、统一监管主体的前提下,健全人脸识别应用监管机制,以场景监管理念为指引,实行分级分类的事前准入措施,以技术赋能构建人脸识别应用数字监管系统形成常态化监管。同时加大事后监管力度、细化裁量规则,形成有效震慑和规范引导。当前,人脸识别应用监管刚刚起步,现有问题尚未深化,监管体系的完善恰逢其时,以期本文的问题研究及建议提出能为人脸识别应用监管体系完善提供些许参考,为平衡人脸识别应用发展和用户安全保障提供思路。往期精彩回顾
上海市法学会官网
http://www.sls.org.cn