洞见 | 张新宝 葛鑫:人脸识别法律规制如何可能
人脸识别法律规制的利益衡量与制度构建
作者:张新宝,中国人民大学法学院教授、博士生导师;葛鑫,中国信息通信研究院安全研究所研究员
来源:《湖湘法学评论》2021年第1期(创刊号),第36-51页。原文责任编辑:王文胜。
(中国人民大学法学院教授)
(中国信息通信研究院安全研究所研究员)
摘要:人脸识别技术在公共安全、商业等领域的广泛应用引发了一系列问题,需 要法律在制度层面予以回应。人脸识别技术在数据、算法、应用三个层面存在问题和风险。我国目前已经初步建立了人脸信息法律规范体系,但欠缺对人脸识别技术在算法、应用等维度的规定。对人脸识别技术的应用,仍应坚持“两头强化、三方平衡”理论,通过在公共安全领域、商业领域等不同场景中的利益衡量,进一步提出我国人脸识别法律制度构建的具体方案。
关键词:人脸识别;利益衡量;算法监管
引言
人脸识别又称为人像识别、面部识别,旨在通过自然人的脸部特征信息识别或验证自然人身份。人脸识别概念在五十多年前即已出现。直至2012年,伴随着深度学习领域的技术突破,人脸识 别成为计算机视觉领域中的重要应用方向。2015年以来,人脸识别技术从公共领域的安防应用普及 到商业领域的支付、教育、医疗、交通,成为最具应用前景的生物特征识别技术。全球范围内,美国仍 是人脸识别技术应用的最大市场,但亚洲地区是未来人脸识别技术发展增速最快的地区,其中又以 我国和印度为领先。过去十年间,我国人脸识别市场发展迅猛。与此同时,全球范围内人脸识别技术 应用可能引发的安全问题和风险也被广泛关注。Facebook、Google、TikTok等科技巨头相继因人脸识别技术的应用支付了高昂和解金,欧美也纷纷出台人脸识别等人工智能领域的专门立法。在我国,售楼处人脸识别事件,以及由社区人脸识别门禁、课堂人脸情绪识别、地铁人脸识别安检等所引发的事件一次次将人脸识别的讨论推向公众视野。
可以预见,随着技术的不断成熟,人脸识别的市场需求将加速释放,其应用场景也将更为广阔。如何从法律层面入手,对人脸识别技术应用实现有效治理,成了必须回应的问题。毫无疑问,人脸识别技术作为一项生物识别技术,其本质上仍是服务于人类社会的工具。人脸识别技术在应用于社会生产生活的过程中,既能增加社会福利,也会引发一系列危害和风险。“技术一旦进入社会领域,必然会被社会制度、社会组织和社会群体的各种利益、诉求和价值判断所塑造和限制”,法律不仅要应对科技的正常使用所蕴含的风险,还应当回应科技不当使用给人们带来的威胁。相较于欧美较为严格的限制乃至禁止政策,我国对人脸识别技术的应用采取了较为包容的态度。不论是我国人脸识 别技术发展的领先地位还是我国人脸识别应用市场的未来潜力,都说明该问题的解决需要更多的中国智慧和中国方案。
本文首先对我国现有人脸识别法律规范体系进行梳理,随后考察欧美对于人脸识别的法律规制现状及趋势,最后结合具体的应用场景,提出我国人脸识别技术应用法律规制的利益衡量和制度构建方案。
一、我国人脸识别法律规范体系的现状及分析
人脸信息属于个人生物信息,具有独特性、直接识别性、不可更改性、易采集性、不可匿名性等特征。在法律规范层面,在人格尊严不受侵犯的宪法基础之上,我国通过《网络安全法》《民法典》《个人信息保护法》《刑法》等法律以及最高人民法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》等司法解释初步构建起了人脸识别法律规范体系。
(一)《网络安全法》和《民法典》对于个人信息的一般性保护
《网络安全法》立法之时,个人信息保护法尚未被纳入立法规划。《网络安全法》第四章“网络信 息安全”着重对网络运营者收集、使用个人信息的基本原则、规则等作出规定,回应社会对个人信息 保护的需求。《网络安全法》第76条第5项对个人信息进行了界定,明确规定了个人信息包括个人 生物识别信息。因此,人脸信息作为个人生物识别信息的一种具体类型,能够借由《网络安全法》中对个人信息保护的规定而获得一般性保护。《民法典》采取隐私权和个人信息保护区分的理念。《民法典》第111条明确规定自然人的个人信息受法律保护,第1034条第2款明确规定个人信息包括生物识别信息。第1034条第3款虽然明确个人信息中的私密信息适用有关隐私权的规定,但碍于人脸通常暴露于外的社会公开性,人脸信息难以被视为私密信息。因此,《民法典》同样也仅通过有关个人生物识别信息的规定对人脸信息提供一般性保护。
(二)《个人信息保护法》对于敏感个人信息的强化保护和人脸识别的专门规定
相较于《网络安全法》与《民法典》,《个人信息保护法》作为个人信息保护的基础性立法,更加强化了对敏感个人信息的保护,将“一旦泄露或非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”界定为敏感个人信息,并专节规定了敏感个人信息的处理规则。针对数字经济时代个人信息保护与利用的利益平衡,笔者曾提出“两头强化、三方平衡”的利益平衡理论:在个人敏感隐私信息与个人一般信息区分的基础之上,通过强化个人敏感隐私信息的保 护和强化个人一般信息的利用,调和个人信息保护与利用的需求冲突,实现利益平衡。回溯我国自《网络安全法》以来的个人信息保护法治进程,可以清晰地看到这一理论已经被我国立法和实践充 分认可和吸收:作为贯彻落实《网络安全法》的重要文件,国家标准GB/T35273-2017《信息安全技术个人信息安全规范》吸收了敏感个人信息的概念,并在个人信息的收集、传输和存储等多个环节对个人敏感信息进行强化保护。由此,作为生物识别信息的人脸信息,因属于敏感个人信息,能够借由敏感个人信息的处理规则获得强化保护,这包括:在具有特定目的和充分必要性并采取严格保护措施的情形下,方可处理人脸信息;处理人脸信息应当事前进行个人信息保护影响评估;处理人脸信息应当取得个人的单独同意等。《个人信息保护法》立法之时,由于人脸识别技术在公共安防领域、教育、医疗、商业等各领域已经获得了广泛应用,《个人信息保护法(草案)》即已经对公共场所安装图像采集、个人身份识别设备提出了“维护公共安全目的所必需”“遵守国家有关规定”“设置显著提示标识”“未经个人单独同意不得将个人图像、身份识别信息用于其他非公共安全目的”等四项基本要求。及至《个人信息保护法(草案二次审议稿)》,则专门新增了由国家网信部门统筹协调有关部门制定人脸识别技术专门的规则、标准的规定,并且与处理敏感个人信息保护规则、标准并列。由此可见,在人脸识别技术的应用目的或领域维度,立法者大体肯定了人脸识别技术法律规制的二分框架;在保护强度上,立法者认可了人脸信息作为敏感个人信息获得强化保护的必要性,认可了对人脸识别技术进行专门规范的必要性。
(三)《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》对人脸信息的专门保护
在《个人信息保护法》通过前夕,最高人民法院发布了《关于审理使用人脸识别技术处理个人信息相关案件适用法律若干问题的规定》,以司法解释的形式明确了人脸信息属于生物识别信息,并明确列举了处理人脸信息构成侵害自然人人格权益的具体情形。具体来说,该司法解释提出了处理人脸信息应当满足合法、正当、必要、公开透明、知情同意、公序良俗等原则的要求,并以知情同意为核心,明确了信息处理者的无效抗辩和免责情形:第4条明确,强迫或变相强迫自然人或监护人同 意处理人脸信息不构成有效抗辩事由;第5条参考《个人信息保护法》第13条规定的合法性事由,明确列举了4种类型的免责事由;第10条对物业服务企业或其他建筑物管理人以人脸识别作为通行唯一验证方式的行为进行了特别规定。总体上来看,该司法解释虽先于《个人信息保护法》发布,但其体现出的裁判逻辑与《个人信息保护法》一脉相承,实则是以《个人信息保护法》为框架提出的裁判指引。
(四)《刑法》与《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》为打击人脸信息相关刑事犯罪提供法律依据
我国个人信息保护的法治发展过程呈现出“刑法先行”的特点。《刑法修正案(七)》《刑法修正案(九)》均对侵害公民个人信息的违法犯罪行为作出了规定,最高人民法院、最高人民检察院也发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》进行规则细化。但是,我国的刑事法律并未对人脸信息乃至生物识别信息作出特别规定。目前,仅可根据《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条中有关非法获取、出售或者提供公民个人信息构成“情节严重”的具体情形,将人脸信息乃至生物识别信息纳入该条第4项所述“等其他可能影响人身、财产安全”的信息之列。并且,对人脸信息违法犯罪行为的打击力度仍不及对“行踪轨迹信息、通信内容、征信信息、财产信息等”违法犯罪行为的打击力度。
由此可见,借由《网络安全法》《民法典》《个人信息保护法》《刑法》等个人信息保护相关立法及司法解释,虽然我国已经初步建立了人脸信息法律规范体系,但同时也存在着一些问题。
一方面,从个人信息保护视角来看,人脸信息法律规范尚未形成体系。从概念种属关系看,人脸信息与个人信息之间存在着“人脸信息———生物识别信息———敏感个人信息———个人信息”的逻辑脉络。当前我国《个人信息保护法》仅实现了对个人信息和敏感个人信息处理规则的原则性规定,对属于人脸信息上位概念的生物识别信息、敏感个人信息保护尚欠缺专门规定。从《个人信息保护法》的相关内容来看,我国未来可能跳过生物识别信息而径行对人脸信息的保护作出专门规定。考虑到人脸信息与指纹、声纹、基因、步态等生物识别信息存在着较大差别,此种立法安排也具有合理性,但可能欠缺对于生物识别信息专门规定的通盘考量。
另一方面,从人脸识别技术的法律规制的视角来看,目前我国人脸识别法律规范体系尚不全面。人脸识别技术应用集成了人工智能、机器识别、机器学习、模型理论、专家系统、视频图像处理等多种专业技术,属于“通过基于算法的大数据分析,发现隐藏于数据背后的结构或模式,从而实现数 据驱动的人工智能决策”,因而人脸识别技术必然包含数据和算法两个维度。人脸信息的法律规范更多对照了数据维度,而对算法维度欠缺保护与监管。算法是“一种有限、确定、有效并适合用计算 机程序来实现的解决问题的方法 ”。从算法层面看,人脸识别技术已经呈现出算法自身安全和算法歧视等问题,而这些问题在个人信息保护框架内并不能得到妥当监管。同时,人脸识别技术开发的目的在于应用,人脸识别的法律规制还应当回应人脸识别技术在不同应用场景中的风险判定、不当使用等问题。简言之,我国目前的人脸识别法律规范体系更多关注人脸信息的法律规范,对人脸识别的算法、应用等事项尚未全面覆盖。
二、从数据治理到风险预防的观察
当前,全球范围内针对人脸识别的法律规制尚未形成体系化,但考虑到人脸识别技术包含着数据、算法和应用多维度的问题及风险,欧美对于人脸识别的法律规制已经呈现出单一数据治理到风 险全面预防的转型趋势。
(一)基于数据治理体系的回应
虽然人脸识别是一项新技术,但对其应用引发的问题及风险,法律并非束手无策。总体上看,欧美也通过现有的个人数据相关立法对人脸识别技术应用进行一定的规制。
1. 欧盟:个人数据保护的一般性立法规制
欧洲人权保护和数据保护的厚重历史与法律传统为当下我国回应人脸识别技术应用提供了参考。从人权保障方面看,《欧洲人权公约》第8条第1款明确规定了人们享有私人、家庭生活及其通 信得到尊重的权利;第8条第2款则规定,公共机构非依法律的规定以及基于在民主社会中为了国家安全、公共安全或者国家的经济福利的利益考虑,为了防止混乱或者犯罪,为了保护健康或者道德,为了保护他人的权利与自由而有必要,不得对该等权利进行干预。在南威尔士警方使用自动人 脸识别技术一案中,原告Edward Bridges据此诉至英格兰及威尔士高等行政法庭,认为警方人脸识 别技术的应用违反了人权及数据保护要求。该案历经两审,英格兰及威尔士上诉法院在2020年8月判决南威尔士警方对人脸识别技术的适用构成对人权的侵犯而属于非法行为。上诉法院在判决中指出,人脸识别技术的应用所面向的监视对象、部署位置等均依赖于警方的个人判断,现行法律并未规定警察如何实施自由决定权,因而现有法律框架并未能向警方提供干预该等权利的法律依 据,据此,警用人脸识别设备的应用不属于《欧洲人权公约》第8条第2款中公共机构可实施的必要干预。同时,在对其进行数据保护影响评估时,也未能充分地评估对数据主体的权利和自由造成的风险,尤其是没有涉及对不在监视名单中主体的人脸图像的收集和处理的评估。
从数据保障方面看,欧盟《通用数据保护条例》(GDPR)对生物特征数据的收集和处理作出了明确规定。其中,“人脸图像”被明确列举为第 4 条所界定的“生物特征数据”,并且在以识别自然人为目的处理生物特征数据时,“人脸图像”构成第9条所规定的特殊种类的个人数据,其数据处理活动 受到严格的限制。2019年7月,应公众咨询,欧盟数据保护委员会(EDPB)发布了《关于通过视频设 备处理个人数据的3/2019指南》,从数据保护的视角对视频监控设备的使用提出了降低风险的措施。EDPB指出,利用生物识别技术对视频监控进行智能分析属于具有较高侵入性的行为,会使得个人保持匿名或保护个人隐私更加困难,因而,此类技术的应用必须充分尊重GDPR中规定的合法性、必要性、比例性和数据最小化原则,并且控制者首先应当评估对基本权利和自由的影响,采用具有更小侵害性的手段实现其处理目的。2019年8月,瑞典数据保护机构在GDPR生效后开出的第一张罚单便与人脸识别技术应用有关。当地一所高中使用人脸识别系统记录学生出勤率,DPA认为此种场合使用人脸识别技术欠缺数据处理的必要性,也欠缺数据处理的合法性基础:其一,学校完 全可以通过其他方式记录学生考勤情况,人脸识别技术的应用并非必须的;其二,学校与学生之间存在着明显的不平等地位,因而学校所获取的学生及其监护人对使用人脸识别技术的同意,并不能够证明属于其真实意愿。
2. 美国:生物特征信息的立法规制
美国在联邦层面并没有统一的隐私保护法,因而,各州层面的隐私保护法,尤其是有关生物特征信息的法律规定,是当前人脸识别技术在美诉讼案件的主要法律依据。以伊利诺伊州为首,得克萨斯州、华盛顿特区、马萨诸塞州萨默维尔市、俄勒冈州和新汉普郡,以及加利福尼亚州旧金山市也制定了与生物特征数据相关的法律,从生物特征信息全生命周期的视角对其作出专门性保护规定。其中,2008年伊利诺伊州的《生物特征信息隐私法》立法最早、最为详细也最为严格。因该法赋予个人诉权,这使得该州成为目前民众及隐私保护组织对抗科技巨头的重要阵地,Facebook、Google、Clearview AI、TikTok等人脸识别诉讼案件均发生在该州。具体而言,BIPA第10条对生物特征信息进行了列举式定义,包括视网膜或虹膜扫描图、指纹、声纹、手或脸的几何扫描图形,以及任何基于生物标识可识别特定个人的信息;第15条等还要求企业以书面形式告知用户对其生物特征信息的收集、存储、使用情况,并征得用户的书面同意;同时,还要求企业公开生物特征数据相关的隐私政策,并建立生物特征数据的留存、销毁计划等,并要在满足收集的目的或收集满3年后销毁用户的生物识别数据。第20条明确规定,任何受到违反该法行为损害的人有权在州巡回法院提起诉讼或在联邦地区法院提出损害赔偿:对于因过失实施违法行为的私人实体,可以要求赔偿1000美元损害赔偿金或根据实际损害赔偿;对于故意实施违法行为的私人实体,可以要求赔偿5000美元损害赔偿金或根据实际损害赔偿(均取数额较大者)。2020年1月,Facebook因违规使用用户人脸信息,以向每位用户支付340元赔偿金、总计6.5亿美金的代价达成和解。该案源于2015年,三位伊利诺伊州居民认为Facebook的“标签建议”功能,未经用户同意使用人脸识别技术标记用户上传照片中的个人,并创建、存储了大型的人脸数据库,构成违反BIPA的行为。该案诉讼后形成集体诉讼,共计有160万用户提起赔偿,最终刷新了美国隐私保护史上最高和解金额。案件和解后,Facebook将“人脸识别”的默认设置调整为“关闭”,适用于没有“明确选择或同意生物特征信息扫描的用户”;对于现有和存储的人脸模板,除非已经获得用户的“明确同意”外,均予以删除,并删除在3年内非活跃用户的人脸图像模板。或许BIPA中的严格规定并不能完全适应十余年后的人脸识别技术和产业发展现状,比如可能加大创新型企业的合规成本、增大消费者滥诉的风险,但是,其中有关生物特征信息保护的规定毫无疑问能够为避免人脸识别等生物特征信息的滥用建立起最基本的防线。
(二)基于风险预防的立法动向
风险预防原则起源于环境法领域,意指“在没有科学证据证明人类的行为确实会发生环境损害的情况下,要求国家和社会采取预防措施,防止可能损害的发生”。随着风险社会的到来,风险意识已经成为社会治理的“底线思维”,风险预防原则也不再局限于环境法领域,而是成为政府通过法律手段回应科技风险的重要原则。欧美在应对人脸识别技术应用所引发的风险时,存在着强弱不同的两种风险预防立场:强风险预防立场认为,“除非能够确定意向行动没有任何危害,否则不能进行”;弱风险预防的立场则认为,虽然风险并不确定,但应基于“成本-效益分析”采取相应预防措施。
1. 美国:从强风险预防到弱风险预防的立法尝试
强风险预防的立场尤其体现为人脸识别在执法、公共场所的应用。美国的人脸识别技术一直走 在全球科技前沿,在应用层面也属于先行者。Amazon、Microsoft、Google等均发行过相应的人脸识别 软件,并提供给执法机构开展执法活动,如Clearview AI的人脸识别服务的客户便包括了联邦调查 局、司法部、移民局等执法机构。
与此同时,联邦制政体提供了试验田,各州层面也纷纷立法回应人脸识别技术的应用风险。2019年5月,加州旧金山市监督委员会率先通过《停止秘密监控条例》,明确禁止所有政府部门使用人脸识别技术,并要求各政府部门披露已使用或即将使用的任何监控技术且应取得监督委员会的批准。以旧金山市的禁令为引线,随后马萨诸塞州萨默维尔市、加州奥克兰市也通过了类似的人脸识别禁令:萨默维尔市在2019年6月出台的《禁止人脸识别技术监控条例》规定,无法律明确授权,禁止政府部门使用面部监控系统或通过此类监控系统获取、访问、识别个人信息,并允许公民就违法使用行为提出损害赔偿诉讼;2019年7月,奥克兰市修改《奥克兰市政法典》,明确禁止政府部门获取、获得、保留、请求或接入人脸识别软件。直至2019年10月,加利福尼亚州发布三年禁令:自2020年1月起,暂停在警用随身摄像机中使用人脸识别技术。各州层面对人脸识别的禁令态度延续至2020年。马萨诸塞州的布鲁克莱恩、剑桥、北安普顿、波士顿等城市也加入禁用人脸识别的城市。2020年9月,俄勒冈州的波特兰市更是出台了最为严格的人脸识别禁令。与前述禁令不同,波特兰市的禁令旨在保护民众在公共场所中的隐私权,因此,该禁令不仅禁止公共机构使用人脸识别技术,同时也禁止商店、饭店、旅馆等私营机构使用人脸识别技术,仅允许个人基于验证目的使用人脸识别技术,如手机的刷脸解锁。
在联邦层面,2020年2月,民主党参议员杰夫·默克利和科里·布克提出的《道德使用人脸识别法案》(Ethical Use of Facial 5 Recognition Act,S.3284)也对人脸识别技术的应用持否定态度。该法案提出,在国会成立的专门委员会明确人脸识别技术的使用准则和限制条件前,应当禁止政府部门(包括政府部门的官员、雇员以及承包商)安装人脸识别相关的设备或通过人脸识别技术访问、获取个人信息,并禁止执法机构在未申请逮捕令的情况下使用人脸识别技术识别特定个人。该法案背景说明部分明确指出,虽然执法机构愈加频繁地使用人脸识别技术,但并未对该技术应用导致的可能后果进行充分评估,而已有的事实表明,人脸识别技术应用对妇女、非裔美国人等识别准确率不高,会导致有色人种等少数群体遭受不公平待遇,并且可能对言论自由、公民权利和自由造成不利影响。
当然,作为人脸识别技术的前沿国家,美国在州和联邦层面也有基于弱风险预防立场的立法尝试。2020年2月,加州通过《人脸识别技术法案》,作为州民法典隐私权保护部分的新增章节。该法案对公共主体和私营主体如何使用人脸识别技术作出规定,试图以更加包容、友好的态度在保护公民权利和自由、发挥人脸识别技术优势之间寻求平衡。该法案强调,私营主体在公共场所使用人脸识别技术的,应当以显著和契合场景的方式向信息主体告知人脸识别技术的使用目的和行使权利的方式;除基于安保或安全目的等特定情形外,在进行人脸图像登记前应当取得信息主体的同意;除 征得信息主体同意或据法庭传票等正当事由,私营主体不得故意向执法机构披露通过人脸识别技术获取的人脸信息。对于公共机构,该法案对其使用人脸识别技术的态度较为宽容:除因宗教、政治、社会活动另有要求等特殊情形,以及利用人脸识别进行持续监视不被允许外,法案试图通过问责报告、年度报告的方式,构建公共机构与公众之间对应用人脸识别技术的互信与监督。对于信息主体,法案也明确了其享有的各项权利,如确认人脸信息是否已经登记、删除人脸信息等权利。值得一提的是,法案充分考虑到通过人脸识别技术进行决策可能存在不合理的情形,在一般性要求第三方对人脸识别技术应用进行合法、独立、合理的测试之外,法案还明确规定了人工审查的要求:若欲通过人脸识别技术作出对信息主体具有法律效力或其他类似重大影响的决策,如涉及金融贷款、住房、保险、升学、就业机会等,必须对此采取有意义的人工审查,确保在出现决策偏差时能够被及时纠正。无独有偶,2020年3月,华盛顿州也通过了《人脸识别服务法》,其立法思路、主要内容等与加州《人脸识别技术法案》有诸多相似之处。该法案中还提出了构建人脸识别特别工作组的设想,从而引入多利益相关方治理机制。在联邦层面,也有参议员提出《商业人脸识别隐私法案》(CommercialFacial Recognition Privacy Act of 2019,S.847)和《人脸识别技术授权法案》(Facial Recognition Technology Warrant Act of 2019,S.2878)。前者旨在规范人脸识别技术的商业应用,保护消费者隐私,规制人脸识别技术应用可能引发的偏见和歧视行为;后者旨在规范联邦调查局、移民与海关执法局等机构使用人脸识别技术用于持续监视。
2. 欧盟:从弱风险预防到强风险预防的立法转变
与美国频繁的立法尝试不同,欧盟最初对人脸识别应用风险的讨论更多地体现在研究报告、指南等不具有法律拘束力的政策文件中,直至新近人工智能领域内的统一立法草案才将该问题提升至立法层面。总体来看,欧盟对于人脸识别技术应用风险的防范,逐渐呈现出由从弱风险预防到强风险预防的立场转变。
由于长期以来注重对基本权利的保护,欧洲率先关注了执法领域内使用人脸识别技术对于基本权利的影响。2019年11月,欧盟基本权利署(FRA)发布了题为《人脸识别技术:执法中的基本权利考虑》的报告,关注在执法和边境管理场景中使用实时人脸识别技术对于基本权利的影响。基本权利署在报告中认为,使用实时人脸识别技术与人的尊严广泛关联,但执法机构更多关注了该技术的准确性,而未能就其对基本权利造成的影响和风险做好充分应对和准备。具体来说,基本权利署认为,人脸识别技术应用可能对公共场所中私生活受尊重和个人信息受保护、确保非歧视、儿童和老年人等特殊群体权利的保障、言论自由和结社自由等造成潜在影响;并且,因使用目的、场景和范 围不同,人脸识别技术应用会对基本权利产生不同的影响且难以预测,因而,基本权利署主张,应当由独立的监督机构密切关注人脸识别技术的发展,并开展对基本权利影响的评估。同时,报告强调,执法部门使用人脸识别技术必须充分考虑为公众提供充分的程序性权利,包括享受善政权(如为个人提供访问其人脸识别数据文件)、有效救济和公正审判权。
紧随其后,2021年1月28日,“第108号公约+”咨询委员会发布了《关于人脸识别的指南》(以下简称“《指南》”)。《指南》面向广泛的受众,包括执法机构、立法者和决策者、人脸识别技术开商、生产商和服务提供商、人脸识别技术使用者以及数据主体,提出了人脸识别技术应用的参考措施和建议。就人脸识别技术的立法与决策,《指南》提出了基于合法性基础、必要的监管、人脸识别技术及数据保护认证机制、增强数据主体意识的治理框架。在合法性基础部分,《指南》强调,应当结合人脸识别技术应用的必要性、目的相称性以及对数据主体权益影响等因素综合判断合法与否。《指南》也建议在以下场合禁用人脸识别技术:其一,对于个人可自由进入、通行的公共和准公共场所, 如购物中心、医院、学校等,由于在此类非受控环境中使用实时人脸识别技术会造成对公民隐私权和人格尊严的侵犯,并对基本权利和自由产生不利影响,因此建议在对其使用进行民主辩论和全面分析之前暂停使用;其二,除非法律规定了适当保障措施,否则禁止仅为确定个人肤色、宗教或其他信仰、种族或族裔、年龄、健康状况、社会状况等目的而使用人脸识别技术;其三,禁止通过人脸识别 技术进行情绪识别,并将其与就业、保险、教育机会等相结合。对于非禁用用途,《指南》建议应当根 据人脸识别技术应用的具体场景,以类型化的方式明确其合法性基础及相应的法律框架。《指南》还进一步探讨了在数字图像中整合人脸识别技术、执法机构等公共部门使用人脸识别技术、私营部门 使用人脸识别技术等三种不同场景中的法律基础。
此后,欧盟首部人工智能法案也将人脸识别应用纳入规范。自 2018 年以来,欧盟一直在筹谋人 工智能发展战略布局,先后发布《欧洲人工智能战略》《人工智能协调计划》《可信人工智能伦理指南》《人工智能白皮书》等政策文件,试图在人工智能领域复刻《通用数据保护条例》在全球范围内的 示范效应,以保持欧盟的竞争力。2021年4月21日,欧盟委员会发布欧洲议会和理事会《建立人工智能统一框架及修订相关联盟法案的草案》,从法律层面落实欧盟人工智能战略,以期引领全球人工智能规则之治。《AI 法案(草案)》总体上秉承欧盟一贯的风险治理路径,将人工智能的应用场景分为“低”“有限”“高”“不可接受”四个风险等级,进而适用不同的规制措施。具体到人脸识别系统,《AI法案(草案)》在“生物特征数据”的概念之上,区分“远程生物识别系统”、“生物识别分类系统”、“情感识别系统”等不同应用场景进行规制:除为寻找失踪儿童等潜在受害者、防范恐怖袭击等明确且紧急的危害、追查犯罪嫌疑人等极少数例外情形,其他基于执法目的在公共场所进行实时远程生物识别被视为“不可接受的风险”而应当予以禁止;对于远程生物识别的人工智能系统(由于存在技术上的不准确性、可能导致偏见或歧视性影响),以及执法领域内的情绪识别,《AI 法案(草案)》将其归为“高风险”,将受到严格管控;对于其他情形中的情绪识别系统、生物特征分类系统、深度伪造系统,《AI 法案(草案)》将之归为“有限风险”,提出了向用户告知等透明度义务、保障用户的知情权和选择权等要求。
作为全球范围内首部人工智能立法,各界对《AI 法案(草案)》褒贬不一。《AI法案(草案)》虽然得到了Amazon、Google等科技巨头的支持,但以欧洲数字权利组织(EDRi)为代表的机构认为《AI法案(草案)》中规定的豁免情形过于宽泛,在某种程度上已经背离了禁止或限制“不可接受风险”和“高风险”人工智能所要实现的目的。2021年6月21日,欧盟数据保护委员会(EDPB)和欧盟数据保护监督局(EDPS)就《AI法案(草案)》发表了《联合意见》。实时远程生物识别技术的应用成为《联合意见》的关注焦点。简言之EDPB和EDPS提出了三项“禁止”呼吁:其一,呼吁欧盟全面禁止在公共场所使用AI自动识别人类特征,包括人脸、步态、指纹、DNA、声音和其他生物识别或行为信号;其二,呼吁禁止基于AI自动识别人类特征而将个人依据种族、性别、政治取向或性取向等进行分类或进行社会信用评分;其三,呼吁除基于某些医疗健康目的对病人进行情绪识别外,禁止使用人工智能来推断个人的情绪。虽然按照欧盟法律制定程序,EDPB和EDPS并无参与修改法案的授权,但作为欧盟数据保护领域的权威,《联合意见》无疑将会影响法案的未来走向。可以预见,未来欧盟就人脸识别的态度将会日趋严格。
三、我国人脸识别法律规制的利益衡量
“立法是认识利益、表达利益的过程。要调整好各种不同的利益,首先要了解和认识利益。”面对多元化和冲突化的利益主体,立法需要借助于利益衡量实现对利益关系的调节,使得各类利益主体能够各得其所、各安其位。欧美基于强风险预防原则的立法尝试实则将人脸识别的发展推入不确 定的休眠期,“一刀切”的禁令并不能够实现多方利益主体的“多赢”和“共和”。具体到人脸识别立法 的利益衡量,仍然应当坚持“两头强化、三方平衡”,并在此框架下进行更加精细化的利益平衡考量。人脸识别技术的应用凸显了这样一种张力:作为主体与生俱来的具有唯一性的通用标识符,人脸对 于个体的人格尊严和自由意义重大,同时人脸识别在公共安全和商业领域有其高效、便利的一面。因此,基本的立场是,强化敏感个人信息的保护,从而显著区别于个人一般信息利用中不侵犯个人 权益的底线平衡。这一点已经在欧盟、美国和我国个人信息保护法制中得以确立。这构成了人脸识别 立法利益衡量的一个维度。与此同时,立法还必须跳出零和博弈“非此即彼”的单向思考,可以结合具体场景审慎认可人脸识别技术在公共和商业领域的应用需求。这构成了立法利益衡量的另一个维度。具体说来,可以将人脸识别技术应用领域进行公共安全场景和非公共安全场景(主要是商业场景)的二分,并在此基础上结合人脸识别技术在具体场景中的应用目的和功能进行精细化的利益衡量。
(一)公共安全领域人脸识别技术法律规制的利益衡量
《个人信息保护法》第26条规定:“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。”从立法背景、立法目的和立法过程讨论来看,虽然本条没有明确提及“人脸识别”,但因为图像采集、个人身份识别设备是人脸识别技术的“基础设施”,因而多认为本条是对以公共安全为目的应用人脸识别技术作出了规定。从条文内容来看,立法者已经在本条中固化了一些利益衡量的价值判断,即,可因维护公共安全的目的对个人决定权作出限制。安全是人的基本政治需求,国家的目的也在于“为了人民的和平、 安全和公众福利”。国家通过推进执法等措施保障社会安全的同时,也限制着私人的自由。安全与自由始终是一对基本的矛盾关系。风险社会中风险的泛在,使得人们对于安全的期待也进一步增强。“安全与过去的公共秩序有了很大差别,即使社会井然有序,却也有可能处于岌岌可危的状态之下”。相应地,整个社会开始出现维持公共安全和秩序优先的倾向,安全与自由的关系转变为“安全中的自由”,但这并不意味着径行认可安全具有更高的地位,不惜一切代价维护社会公共安全。“天下无贼”的理想虽然可欲,但其实现不能以对个人自由的过分牺牲为代价,仍然需要明确对于社会整体而言“所预期的安全水平”。因此,作为维护公共安全的具体手段之一,人脸识别技术的应用仍然需要在具体的应用场景中进行安全与自由的平衡。另外,通过人脸识别方式应对和治理公共安全风险,也可能在治理方式和手段层面引入新的科技风险,还需要从“成本-效益”分析的维度加以平衡考量:不仅仅应当满足损害最小的必要性要求,还应当在社会整体福利层面满足效能考量。
为维护公共安全而应用人脸识别技术的场景大致可以区分为身份识别、追踪、分析三大类。
通过人脸识别维护公共安全的基础应用场景表现为,以人脸作为身份标识符,结合其他国家法定身份数据库,实现对个人身份的认证、识别。“国家的运行,依赖于对人的身份和财产的认证”,因此,对公民身份的确认构成政府维持社会秩序、推进国家治理的前提条件,身份认证制度也成为一项最为基本的国家基本制度,国家通过为公民创设唯一的权威身份、颁发身份证件,实现对自然人基本事实的识别、确认,进而可以对人口、税收、公共服务等方面进行统计调查,或者说,国家通过“认证”来实现有效治理。在此意义上,人脸识别技术的应用与此前《居民身份证法》修改时增加应当登记指纹信息的要求并无二致,事实上拓展了国家认证可依赖的自然人的特征类型,进一步提升了国家的身份认证能力。从维护公共安全的角度来说,这一过程侧重于发挥人脸特征的验证功能,将人脸特征与个人声明主体对应的人脸模板进行比对,从而通过人脸这一生物识别信息的应用,将法定身份的认证、识别的颗粒度从“实名”推进到“实人”。从个人权益保障的角度来说,从“实名”到 “实人”的推进并不仅仅提升了公共安全治理的效率,而且也有利于防范身份窃用、冒名顶替,个人也从中有所获益。人脸识别技术的普遍应用可能会导致人脸信息泄露,进而引发个人其他人身权益尤其是财产权益的二次风险或次生损害,但也可以通过本地存储、不存储人脸特征的方式,最大限度地降低和控制人脸信息的泄露风险,进而减轻对于个人权益造成的负面影响。
通过人脸识别维护公共安全的增强式应用场景表现为,在视频监控系统中应用人脸识别技术。风险社会中风险普遍存在的恐慌情绪,空前激发了公众对于安全保障的诉求。为了安抚公众对风险的恐慌情绪,预防和控制风险成为公共安全领域的首要任务,公共场所大规模安装图像采集设备在此背景下应运而生。随着平安中国建设的推进,我国通过“天网工程”“雪亮工程”已经形成了深入乡村、警民合作的视频监控体系,视频图像分析技术也成为继刑事技术、行动技术、网侦技术之后的第四大破案侦查技术。视频监控技术能够对道路、街面等公共场所进行24小时不间断的记录,具有破获预谋案件、抓获现行犯罪、动态追踪目标、寻找认定嫌犯、证明犯罪等重要功能。但24小时不间断式、触达下沉至各类公共场所的视频监控体系也引发了人们对于隐私的焦虑。在公共场所运用监控措施必须兼顾安全保障与隐私保护,已经成为法理共识:预防风险、安抚公众的需求证立了监控措施的合理依据,“公权力行使不得损害私权利”的理念要求明确了监控措施的合法限度,以保障公共空间大规模监控的合法性和合理性。当前,人脸识别技术以工具变量的形式极大地影响了公共安全与隐私保护的平衡。公共场所中安装的图像采集设备构成了底层基础设施。在人脸识别技术应用之前,大量视频监控系统提供了海量的数据,从中提取有效信息有赖于专业人员运用信息辨识、比对、重构、辐射等方法。人力的有限性决定了对视频监控系统中图像信息的分析并非人人皆可为, 也并非事事皆需为,因此,应限定在特定案件中、针对特定人员启用图像侦查方法。人脸识别技术作为配套与辅助技术,极大地提升了视频监控数据分析的效率,能够“又好又快”地获取视频监控图像 中蕴含的相关主体的实用信息,从视频监控系统“被动记录和存储”的角色转变为对公众身份及其行为、轨迹的主动识别,更为便捷地呈现特定主体在公共场所中的“私密生活”,因而对民众隐私的侵入性更强、滥用的风险也更大。人脸识别技术的应用虽然仍然受限于图像清晰度等客观条件的限制,但以人脸作为标识符能够在最大程度上汇集特定个人在公共活动中的所有行动轨迹,实现个人在公共场所中的行为、轨迹的全景式呈现。人脸识别技术“激活”了海量视频图像记录,使得其可以 呈现为公共场所中不特定主体的行踪轨迹的汇总;同时,人脸识别也突破了视频图像数据分析应具备图像侦查等专业知识的主体限制,转化为一般性技术工具的操作方法,受限于访问授权等外在机制约束,可能的滥用风险也随着加剧。因此,公共场所中应用人脸识别技术并不等同于在公共场所安装图像采集设备,并非所有图像采集设备均意味着人脸识别技术的直接应用。申言之,人脸识别 技术不应当作为图像采集设备的默认缺省设置。由此,即使为了维护公共安全也不能一般性地许可在现有公共安全视频图像信息系统中直接应用人脸识别技术。人脸识别技术应用对公众隐私的侵入性更强,这决定了一般性地应用人脸识别技术并不符合狭义比例原则所要求的最小损害性,在社会成本收益的总体权衡上,也不能一般性地满足“可能侵害的隐私权应小于所要保护的公共安全利益”的均衡性。因此,在此场景中人脸识别技术的应用应当遵循更加严格的限制,如仅可适用于维护重大公共利益的特定事由,而不得被一般性地用于维护社会管理等,如人脸识别闯红灯抓拍系统便 不符合比例性。
此外,我国在推进智慧城市建设的过程中,也开始尝试对人脸信息进行分析应用。典型的如,借助于人脸识别技术分析不特定公众的情绪,以发现异常情况、锁定嫌疑人。在此场景中,人脸识别技术是情感计算的前置技术。情感计算旨在根据自然人的生物特征数据识别或推断自然人的情绪或意图。例如,相关报道指出,“阿尔法鹰眼”安检系列产品能够通过摄像头采集的人体面部视频流,分析头部和颈部微小肌肉振动的频率和振幅,计算出个人压力、侵略性和焦虑度等参数,甄别有自体原发性焦虑紧张状态的潜在可疑危险人员,以辅助安检人工排查。该产品已经在北京首都机场、北京南站、杭州部分地铁站等完成项目试点测试。与前述两种人脸识别技术应用场景的显著不同在于,在此场景中不再是对主体外在身份、行为、轨迹的识别,而深入到主体的个性领域的情绪进行识别。情绪属于主体的精神世界,对主体情绪的识别构成对隐私保护核心领域的“窥探”。主体有权决定如何向外界表达自身情绪,对于焦虑、恐惧、内疚、沮丧等负面情绪,也许主体并不欲为外人所知晓。对情绪的窥探反过来会影响主体个性的塑造:“当知道自己正在被观看或倾听时,我们的行为会有所不同,而行为的变化则是一种自由的丧失”。另外,与前述两种人脸识别技术应用场景的不同还在于,此种场景不存在意欲识别或追踪的特定主体,而是通过对不特定公众的面部表情进行分析,以筛选出可能的嫌疑人,实际隐含着“有罪推定”的治理逻辑。因此,即便此种场景应用人脸识别技术能够提高可疑危险人员的排查效率从而有利于公共安全,但其对主体权利和自由的限制并不具有必要性,实际上构成了对隐私权的侵犯。
(二)商业领域人脸识别技术法律规制的利益衡量
与公共领域内人脸识别技术应用的功能大致相似,在商业领域内,信息处理者也试图通过处理个人人脸信息,实现对个人身份的识别、对个人的追踪乃至画像分析。与基于公共安全目的可以对个人的自治与自由加以必要限制不同,在商业场景中应用人脸识别技术更多地在于实现经营者的商业利益,因此,对人脸识别技术的应用应当以尊重个人的自治与自主为前提,即,应当遵循知情同意原则,由个人在充分知情的基础上自主决定。但是,人脸识别技术应用的商业化场景纷繁复杂,不仅知情同意原则受到了挑战,而且新型的人脸识别技术应用还可能引发伦理和法律风险,同样需要结合具体场景进行利益衡量。
在商业场景中,人脸识别的基础应用仍然在于发挥人脸生物信息标识符的作用,通过刷脸实现对特定主体身份的确认,实现从“实名”到“实人”。一方面,在远程提供支付、信贷等对于信息主体人身、财产权益有重大影响的服务时,经营者期望发挥人脸生物信息标识符的功能,确保特定主体即为所声明身份的真实主体,避免身份冒用;另一方面,经营者也期望将人脸作为通用的身份标识符,以刷脸登录方式取代传统的账号密码登录。在此等场景中,人脸识别技术的应用,所涉及的是与个人之间的单一关系,即,是否通过刷脸的方式提高登录效率、提高身份认证的准确度,仍然应以个人的自主意愿为准据,因而仍当贯彻知情同意原则,由个人自主选择是否开启人脸识别功能。同时,为了确保个人的同意是自愿的,经营者还应当在人脸识别方式之外,提供身份认证的其他替代方式,由个人自愿选择。
人脸也为商业场景中定向营销提供了天然的追踪标识符。基于人脸的唯一性,人脸天然地适合作为主体身份的标识符,能够用于实现对主体最为广泛的数据画像。用户画像与个性化推荐是伴随互联网经济发展而兴起的重要商业模式,企业通过Cookies、Fingerprinting等技术手段收集用户个人信息进而进行用户画像和精准营销。借助于人脸图像这一唯一标识符,企业最终能够将用户画像 的维度推向极致,不仅可以实现线上业务跨平台、设备、操作系统的追踪识别用户,还可以拉通用户的线上与线下行为,实现更广泛的用户画像和更精确的个性化推荐。
但在线下人脸识别场景中,知情同意原则的适用受到了极大的挑战。首先,当前的人脸采集硬件设施已经可以做到中远距离或远距离人脸采集,人脸信息可以实现非接触式无感采集,无感知闸机、室内外监控、零售客群分析、会员识别等也是相应设备销售的卖点所在,个人能否知晓人脸采集标识符,实现对个人的关联分析,通过刷脸识别个人身份,进而结合会员系统、线上服务中已有的个 人消费记录、消费偏好等数据对个人进行分析,从而消弭线下场景中的营销黑洞,实现“千人千面”。在这一过程中,存在着设备感知、识别/验证、关联分析的三阶技术逻辑,个人难以充分理解其同意的后果和风险。最后,更为重要的是,对于安装在经营场所等公共区域内的人脸采集硬件设施,个人 即便知晓其存在,也在事实上难以表示是否同意。人脸采集硬件设施一旦安装在经营场所等公共区域,即便能够做到充分的告知,但如果个人在知情后并没有是否同意的余地,实际上还是等同于要求个人“要么接受曝光的最小风险,要么就不参加任何社会活动”,难谓真正的同意。简言之,对于个体而言,经营场所等公共区域内安装中远距离或远距离多人人脸采集设备,不仅仅是难以做到知情同意,还难以做到“不同意”,也即不存在不同意的选择。“知情与同意的概念在公民没有选择权的案件中是毫无意义的,更何况有时候公民‘选择’进入公共场所往往不是自愿的”。传统隐私权理论存在着公共场所无隐私权的预设,“一旦他人冒险进入公共场所,则他人实际上就是自愿承担被社会公众进行公开审视的风险”,因为个人出现在公共场所中意味着不可避免地会被出现在同一场所内的其他人观察。但是,被记录定格的个人活动不同于瞬息化的观察,前者给人提供了仔细揣摩的空间。由此,人脸识别技术作为科技变量明显超出了“自甘风险”的范畴,不得仅以个人选择进入提示有人脸识别设备的场所视为对人脸识别的同意。对此,一方面,应当通过引入事前公众参与、备案等机制,强化对经营者部署人脸识别技术的约束,包括能否设置、设置区域、充分提示等要求,实现事前公众的意见表达和监督管理;另一方面,也应当强化、便利个人删除权等权利的行使,从而确保具体个人在非自愿接受人脸识别后能够通过删除权的行使保障其自主意愿。
商业场景中也存在着基于人脸的分析和应用。此处人脸并非作为关联分析的标识符,而是将面部特征作为分析对象本身。典型的如基于面部特征实现对其他个人特征的分析,主要集中在人种估计、性别识别、年龄估计等方面,分别根据给定的人脸图像,识别个人所属人种、性别、年龄等。比如,为防范网络娱乐对未成年用户可能造成的网络沉迷、不良内容侵蚀、过度消费等负面影响,部分网络娱乐领域开始推行人脸识别系统,对登录、充值等操作实行人脸识别,精准识别未成年人。基于面部特征的分析也被用于医疗美容领域,通过AI相貌诊断系统,判断个人脸部不符合黄金比例的地方,进而推荐给用户适合的化妆方式、整容分析等。基于面部特征的情感计算也呈现出商业化应 用的场景,如利用人脸识别技术提取学生、员工的表情等,进而从面部表情中识别其情绪状态。此外,人脸识别技术也被用于伪造,“换脸视频”成为“深度伪造”技术最为典型的应用。利用人脸识别“换脸”的对象迅速由明星、政客向一般公众扩展,制作者只需要通过程序上传需要替换的目标人的照片,软件可以进行人脸识别,并且在海量视频库中自动匹配最为合适的身体。
应当说,基于人脸面部属性的人脸识别应用未来还将层出不穷。在此类场景中,除了保障个人的知情同意原则外,还应当注意知情同意原则本身存在着适用限制,因此,对于可能导致歧视,或者引发中、高风险的人脸特征分析还应当在事前进行伦理性和合法性的考量,在保障伦理秩序和法律秩序的基础上推进商业应用。比如,欧盟“第108号公约+”咨询委员会发布的《关于人脸识别的指南》便明确提出,不得仅为了确定肤色、宗教信仰、健康状况等目的使用人脸识别技术。以情绪识别为例,情绪属于个人的内在感受,对于一般公众而言,其不欲外露的情绪状态构成其具备合理期待的隐私。“如果我们不能自由选择向别人公布何种信息的话,我们就没有隐私了”。情绪识别会抑制人格自由发展,并且情感计算关注人类的情感,在技术逻辑上以影响人的情感为最终目的,因而 面对一系列的伦理挑战,需要事先进行伦理层面的审查,避免科技应用引发伦理风险。而“换脸视频”可能导致对被换脸对象的敲诈、羞辱、骚扰等,侵犯其人身权利和财产权利;涉及政治人物的换脸视频还可能对社会稳定、国家安全和国际秩序造成破坏,最终消解社会共同体的信任,也面临着合法性挑战。
四、人脸识别法律规制的制度构建
(一)完善人脸识别法律规制的规范体系
如前所述,《个人信息保护法》隐含着对维护公共安全目的和非公共安全目的的人脸识别技术应用的基本区分。我国未来对人脸识别法律规制规范体系也将呈现出二分局面:一是为维护公共安全目的所必需而应用人脸识别技术场合应遵循的“国家有关规定”,二是为非公共安全的目的而应用人脸识别技术场合应遵守的人脸识别专门规则和标准。
对于维护公共安全目的所必需的人脸识别应用,结合现有部门职责划分,以及公共视频图像信息系统建设、运营维护、管理等相关工作的开展情况,其具体规定的制定可交由公安部门会同有关部门推进。公安机关是公共安全视频图像信息系统的主管部门,有权就视频图像设备进行监督管理。在此前,公安部会同有关部门起草了《公共安全视频图像信息系统管理条例(征求意见稿)》[以下简称“《管理条例》(征求意见稿)”],云南、安徽、广东等省市也已经正式发布了相应的地方管理规定。从监管职权和监管经验的角度来看,由公安机关统筹规范公共视频图像信息系统中的人脸识别技术应用更为妥当和现实。从2018年公安部发布的《管理条例》(征求意见稿)内容来看,该条例旨在回应公共安全视频图像信息系统存在的信息安全与个人隐私保护问题。该条例对公共视频图像信息系统的建设范围及责任主体、系统建设及运营维护、信息的管理及使用等问题作出了规定,已经涉及秘密和隐私保护、明示标识、合理设置、系统建设规范等基本内容。未来可以增加公共视频图像信息系统应用人脸识别技术的专门管理要求,如人脸识别视频图像信息系统应在系统投入使用前向所在地县级以上人民政府公安机关备案,备案内容包括系统使用的设备类型、点位分布等事项,由县级以上人民政府公安机关发布专门标识;查阅、复制、调取人脸识别视频图像信息应遵循的实体和程序性要求等。
对于非公共安全目的的应用,人脸识别技术应遵守的人脸识别专门规则、标准,《个人信息保护法》第62条已经明确由国家网信部门统筹协调有关部门推进。在人脸识别专门规则、标准中应当重点明确:人脸识别技术的一般原则,如充分必要原则、尊重人格尊严原则、非歧视原则等;人脸识别技术应用场景的风险等级判定,以“概括+列举”的方式明确人脸识别技术应用中、高风险,以及不可接受风险的典型场景;不同风险等级人脸识别技术应用的安全保障措施、个人信息强化保护的具体要求、算法等监管措施事项。对于人脸识别技术应用的监督管理事项,2021年“两会”期间,曾有公安部门审批与监管,工信部、市场监管总局联合备案监管等多种建议方案,考虑到《网络安全法》《个人信息保护法》等多部法律已经确认国家网信部门在我国网络治理方面的综合性和协调性角色定位,笔者仍然建议由国家网信部门统筹协调各部门实现对非公共安全目的人脸识别技术的监督管理。同时,应当明确的是,碍于法律法规用语习惯、管理颗粒度等限制,除了前述“硬法”规则之治外,还 可以借助于国家标准、行业标准等“软法”等细化人脸识别技术应用的自治。当前,在信息技术、环境保护、产品质量等领域,国家标准、行业标准在引导企业合规方面发挥着不可或缺的支撑作用,也应纳入人脸识别规范体系进行通盘考量。未来也应当在法律法规的一般性规则的统摄之下,借助于国家标准、行业标准等实现对人脸识别技术应用的细化和场景化管理。
(二)健全人脸识别算法监管机制
人脸识别技术应用的风险涉及数据、算法、不同应用场景三个层面,但总体上看,人脸识别技术属于数据驱动的人工智能决策,本质上是基于算法的大数据分析,因此,算法规制理应是人脸识别技术的重点监管内容。针对算法,《个人信息保护法》从避免自动化决策损害个人权益的角度,提出了自动化决策、拒绝权、可解释权等规范,但这不能充分回应人脸识别算法自身存在缺陷或被不当利用等问题,因而从完善监管治理角度而言,亟待补充针对算法的监管机制。当前,我国已经关注到算法层面的风险。2017年,国务院发布的《新一代人工智能发展规划》便提出了建立健全公开透明的人工智能监管体系,实行设计问责和应用监督并重的双层监管结构,实现对人工智能算法设计、产 品开发和成果应用等的全流程监管。2021年,国家网信办会同有关部门发布的《关于加强互联网信息服务算法综合治理的指导意见》也明确,将利用三年左右时间,逐步建立治理机制健全、监管体制完善、算法生态规范的算法安全综合治理格局。
针对人脸识别技术,可以建立事前、事中、事后全流程的算法监管制度。一方面,在人脸识别算法应用前,应当进行算法安全评估和算法备案。针对人脸识别认证算法,应当着重进行算法自身安全性评估,确保算法具备与进行人脸识别认证等级相适应的识别准确率、错误接受率、正确接受率等性能控制参数,并且能够防范人脸照片、视频、仿真面具等假体攻击。针对人脸识别追踪、关联分析、个人特征分析等算法,安全评估还应当着重对其应用后可能存在的法律和伦理风险进行评估,确保算法不存在损害人格尊严、公序良俗、公共安全、国家安全等风险。对于影响规模较大、风险较 高的人脸识别算法,开发者还应当向监管部门进行算法备案,通过对算法及其应用关键内容和信息的登记,使得监管部门能够掌握算法应用相关情况,并进行动态监测与认证。另一方面,在人脸识别算法应用过程中,应当通过算法查验和算法监测等实现事中和事后监管。算法查验是指算法应用面向用户或公众提供公开的查验渠道,使用户、交易者或第三方有机会检验算法能否实现其所宣称的目标,从而对算法的运行机理建立相当程度的了解和预期。对于影响规模较大、风险较高的人脸识别算法,还可以建立必要的试运行机制。从比较法上看,美国加州的《人脸识别技术法案》、华盛顿州的《人脸识别服务法案》中也有类似规定,即,要求人脸识别服务的处理者提供接口或其他技术方式,以便控制者或第三方能够对人脸识别服务进行合法、独立和合理的测试,以确定其准确性以及在不同亚种群之间不存在实质不公正的性能差异。算法监测则是对算法的数据使用、应用场景、影响效果等进行日常监测,预警和防范算法应用可能产生的风险。在实践中,可参考我国在区块链信息服务管理中为监管部门提供技术接口和监管便利条件的机制,要求人脸识别开发者或应用方为监管部门提供技术接口、风险控制入口等必要的监管便利条件。
(三)引入公众参与机制
如前所述,知情同意原则在人脸识别技术应用过程中面临着极大挑战,甚至可以称之为“失灵”。不论是公共安全领域还是商业领域,单个个人在人脸识别技术投入应用的具体场景中,事实上可能并不具备作出同意的平等地位,但个人又是人脸识别技术应用的直接承受者,其自身利益与人脸识别技术应用休戚相关。由此,应当在人脸识别技术应用的事前环节,引入公众参与机制,就人脸识别技术应用风险等问题展开沟通,以便公众能够充分表达其利益诉求,并在不同利益主体之间实 现交涉、协商继而形成相应决策。
首先,在个人、国家和信息处理者三方平衡中,公众参与机制能够体现对个体利益的重视,改变个人诉求易被忽视的处境。“对于一个人的福祉,本人是关切最深的人;除在一些私人联系很强的事情上外,任何他人对于他的福祉所怀有的关切,和他自己所怀有的关切比较起来,都是微薄而肤浅的”。通过广泛的公众参与,大众的利益能够得到更为充分的表达。通过公众对程序的公平参与,不仅能够使得相关决策获得形式理性,也会使得人脸识别技术应用及其决策更具有可接受性。
其次,从风险防范的角度看,风险本身也是社会构建的产物。对于未来而言,何者构成风险也取决于主体的主观认知。因而,风险决策过程中需要决定的、最重大的问题,实则关涉风险的再分配和 应对风险的资源的再分配,并不是单凭科学理性就可解决的问题,需要借助于广泛参与的协商和民主的讨论,回答什么是社会可容许的风险水平。通过广泛地吸纳专家、利益相关方和一般民众提供 的信息或知识,也可以削减决策的不确定性,从而更有效地防范风险。
最后,借助于“信息公开———公众意见表达———决策及理由说明”的过程,在一定程度上也能实现公众对于人脸识别技术应用的事前约束,减轻公众对于人脸识别技术滥用的担忧。从比较法上看,美国加州《人脸识别技术法案》对问责报告、年度报告的要求,便体现了公众参与的理念。该法案要求,公共机构在应用人脸识别技术之前,应当制定问责报告,并在应用人脸识别技术之前90日完成向公众的充分告知人脸信息的收集、使用、存储、共享、删除规则,人脸数据相关的数据安全保障措施、人员培训及管理制度,信息主体享有的权利及响应机制,对于人脸识别技术采取的测试程序以及对公民权利和自由的影响评估等内容。公众在公共机构最终确定和执行问责报告之前,可以在评议期或磋商会议中提出质疑,公共机构必须予以审议。由此,在事前通过公众监督倒逼公共机构进行自我约束。在人脸识别技术应用后,公共机构应当遵守问责报告中所列明的人脸识别技术用途等事项,否则应当更新问责报告并在公众评议和磋商会议上通过。同时,公共机构还需要编写年度报告披露问责报告的遵守情况,包括已经违反或被质疑为违反问责报告的情况;年度报告不仅需要向公众披露也需要向立法机构提交。由此,通过年度报告的形式对问责报告的遵守情况形成事中的持续监督。华盛顿州的《人脸识别服务法》还曾提出构建人脸识别特别工作组的设想,引入多利益相关方治理机制,由参众两院、非裔美国人等曾受监视技术影响的各群体阶层、执法机构、消费者保护 组织、人脸识别技术服务提供商、研究机构等共同组成,就如何在保护公民权利和自由的前提下发挥人脸识别技术应用的优势提供建议,对人脸识别服务的质量和准确性进行研究,并就法律的充分 性和有效性等提出建议。未来,我国也可以建立类似制度:一方面,明确将公众参与纳入人脸识别技术应用的事前环节,要求公私领域的人脸识别技术应用方事先向社会公布人脸识别的算法设计、部署和应用相关情况,并根据人脸识别技术应用对公众影响的范围、程度等具体情况,通过座谈、协商、网络平台等方式听取公众的意见和建议。另一方面,构建公私领域内人脸识别技术应用方的决策理由说明制度,要求其对公众参与的意见和建议进行归类整理,对公众提出的合理意见应当采纳;未予采纳的,应当说明理由,并要求其向社会公布公众意见及其采纳情况。
(四)落实法律责任认定与追究
对于人脸识别应用引发的风险和损害问题,除依法追究相关主体的行政责任、刑事责任外,还 应当重视民事责任的认定与追究。从比较法上看,美国伊利诺伊州之所以成为民众、隐私保护组织 对抗人脸识别的重要阵地,原因之一也在于该法明确规定了民事损害赔偿请求权,从而使得Facebook、Google等科技巨头纷纷支付了高昂的和解金。
一方面,对于人脸识别技术应用导致的人脸信息泄露或其他对个人权益造成损害的情形,往往涉及多方主体,在认定损害赔偿责任时,应当着重区分各方主体承担的角色,继而判定应承担的责任。在移动互联网应用程序(App)中引入提供人脸识别服务的受托方时,App运营者与受托方在不同场景中可能成立共同个人信息控制者、委托处理个人信息等多种情形,需要结合具体场景中对于人脸信息的处理目的、处理方式等的决定权,具体判定二者的角色及责任。在共同控制者的情形,App运营者与受托方应当承担连带责任。对于委托处理的情形,由App运营者向个人承担损害赔偿责任,并在事后追究受托方的违约责任。在线下场景中,可能会存在着个人、人脸识别设备或服务使用方以及人脸识别设备或服务提供方三方主体。在具体场景中,如人脸识别设备或服务的使用方仅仅引入人脸识别设备或服务,但未能对人脸识别信息系统施加影响,如决定人脸信息的处理目的、处理方式等,此时应当越过与个人直接接触的人脸设备或服务使用方,由人脸识别设备或服务提供方作为责任主体。但是,为了保障个人能够得到及时救济,应当允许个人向其中任意一方请求承担责任,人脸识别设备或服务使用方向消费者赔偿后,有权向人脸识别设备或服务提供方追偿。典型的如,线下刷脸支付场景中,虽然零售商店引入了刷脸支付设备,但其对于人脸信息收集、处理等均不具有相应的控制力,一旦发生人脸信息泄露或盗刷等侵害个人权益等情形,应当以背后的刷脸支付设备提供商为追责对象。对于基于人脸识别设备或服务使用方的要求建设人脸识别系统,或者人脸识别设备或服务使用方决定人脸信息具体用途的情形,则仍以该使用方作为责任主体,其理由在于,人脸识别设备或服务提供商处于受托者的角色。典型的如,无锡售楼处使用人脸智能抓拍系统对到访者进行抓拍,并将信息比对后用于商业用途和不正当竞争的情形,售楼处(开发商)决定了人脸智能抓拍系统的具体用途,因而构成非法采集消费者人脸信息违法行为的责任主体。
另一方面,违法使用人脸识别技术往往会导致众多个人权益受到侵害,但个人进行私益救济存在着诉讼成本高昂、举证困难等维权阻力,应着力通过《个人信息保护法》中规定的个人信息保护公益诉讼制度,强化人脸识别信息保护和违法责任追究。在人脸识别技术应用相关案件中,也可以适当考虑风险社会中损害观念发生的变革,而不拘泥于人脸识别技术不当应用所致损害的确定性。对于存在高风险的人脸识别技术应用,也可以有条件地认可损害的观念化,肯定未来被侵权的风险构成法律上的损害,继而通过公益诉讼机制实现预先救济。
结语
人脸识别技术的应用更加凸显了数字经济时代个人信息保护与个人信息利用之间的紧张状态。面对人脸识别技术应用可能导致的问题和引发的科技风险,我国在进行精细化利益衡量的基础上,应当采取更加开放、包容的态度,实现人脸信息的强化保护和人脸识别技术应用之间妥当的利益平衡,并通过完善法律规范体系、健全监管机制、引入公众参与、落实法律责任认定与追究等,实现科学的制度安排。
本文载《湖湘法学评论》2021年第1期,36-51页。注释从略,引用请核对原文。
图片由作者授权。
《湖湘法学评论》是经国家新闻出版署批准,由教育部主管、湖南大学主办的法学学术期刊,于 2021 年创刊。本刊为中文版季刊,国际标准连续出版物号为 ISSN 2097-020X,国内统一连续出版物号为 CN 43-1556/D。 本刊坚持正确的舆论导向和办刊方向,立足中国,借鉴域外经验,刊载法治建设理论和实践经验成果,突出实证研究特色,以服务法学理论创新和法治中国建设。 本刊严格实行专家匿名审稿制度,充分尊重专家评审意见,结合刊物定位、宗旨、特色、学科等因素,以决定刊用稿件。本刊设置“马克思主义法学”“习近平法治思想研究”“名家特稿”“热点研讨”“智慧法治”“青年法苑”“域外法治”“法学教育”“交叉前沿”“数量与计算法学” “纪检与监察法学”等栏目,并根据选题规划灵活设置相关栏目(请关注“湖湘法学评论”微信公众号),欢迎作者针对栏目投稿。 《湖湘法学评论》致力于成为一本倡导实证研究的高水平法学学术期刊,对基础理论话题与社会热点问题予以双重关注,强调问题性、思想性、科学性,勠力打造供海内外法学界展开学术交流与思想争鸣的高水平学术平台。
论道 | 张新宝 赖成宇:个人信息保护公益诉讼制度的理解与适用
张新宝:个人信息权益构造 | 基于“两头强化 三方平衡”理论
张新宝 张馨天 | 民法典对“高空抛(坠)物”致人损害责任规则的完善