人脸识别带来高效、便利治理的同时,也给个人信息与隐私保护带来了隐忧与风险。近期有媒体报道,一些网络黑产从业者利用电商平台,批量倒卖非法获取的人脸等身份信息和“照片活化”网络工具及教程。报道显示,网络黑市中售卖的“人脸照片”,包含公民个人身份信息(身份证号、银行卡号、手机号等)一系列敏感数据,这些黑交易不仅加深了人们对个人信息泄露的担忧,更会给人们生命财产带来安全隐患。学界较早就AI人脸识别技术的滥用及如何进行法律规制展开探讨,从分析人脸识别技术应用场景及滥用所存在的风险,探究域外对于人脸识别技术的法律规制路径,对人脸识别技术在我国个人信息保护领域提出有益建议。
人脸识别技术的显见风险
王锴在《国家治理》2020年第20期《人脸识别在治理领域的应用与规制》一文中认为,人脸不属于隐私,因为隐私是不愿意被他人知晓的。人脸每天都暴露在公众面前,个人不可能对其拥有合理的隐私期待。但人脸能够标识出特定的个人身份,具有个体识别性,因此应当属于个人信息。我国民法典第111条规定:“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”人脸识别的风险在于,首先,人脸虽然不属于隐私,但是人脸识别能够根据个体面部特征,分析和发现种族、年龄等个人隐私,因为人脸这种生物特征具有唯一性;其次,基层治理主体掌握了诸多数据库,一旦将人脸信息与其他信息结合,个人隐私甚至个人具体活动将无所遁形;此外,人脸识别要依靠人脸信息数据库,理论上,该数据库储存的人脸信息越多,其识别的精确性就越高。但如果这种人脸信息数据库越大,其被滥用或者泄露所造成的危害也就越大。一旦掌握了该数据库,就等于掌握了“通往个人隐私和其他个人权利(比如用户将人脸作为支付密码)”的钥匙。
域外对人脸等生物识别信息的保护路径
尹菡在《上海法学研究》集刊2020年第5卷《AI人脸识别技术滥用的法律规制》一文从欧盟、美国两地梳理相关法律保护模式。作者认为,欧盟以综合立法模式通过制定通用数据保护条例(GDPR)规定了能否使用包含人脸数据在内的生物识别数据,即商用方面私主体在获得数据主体明示同意(自由给予、明确、具体、不含混)后可以对生物识别数据进行处理,而涉及违法犯罪、公共安全领域,个人生物数据也必须由法律授权的官方机构有保障的进行处理,且允许成员国规定在特定情形下排除适用限制。如GDPR第9条,“为了特定识别自然人的生物性识别数据,应当禁止处理,但数据主体明确同意的除外”。第10条,“处理违法犯罪或与安全措施相关的个人数据,只有个人数据处理为官方机构控制或者法律授权进行处理,并且采取了恰当的措施保障数据主体的权利与自由时,才能被允许”。
美国在联邦层面并没有关于人脸识别的规制条款,则是由各州自行规定,如伊利诺伊州于2008年颁布了《生物信息隐私法案》(BIPA)是美国第一部规制生物识别信息的法案,BIPA规定了“初次收集自然人的生物识别信息须告知该自然人其生物数据被收集的情况、收集目的、数据的保留时间,并获得该自然人的书面授权;生物识别数据不得出售,且除非获得相关自然人的同意或法律规定的特定例外情况不得对他人披露;企业须制定书面政策设定生物识别数据的保留时间表,且当收集数据的目的已达到或距信息主体与企业最后一次联络已满三年时(以先发生者为准),应当摧毁该数据”等使用生物数据的方式。
我国关于人脸识别技术方面的立法现状
杨建军、李童心在《南宁师范大学学报》2020年第3期《人脸识别技术运用的法律原则》一文中认为,目前,我国没有专门规范人脸数据的法律法规,但就自然人生物特征信息(虹膜、人脸、指纹等)的保护性规定早已经存在于刑法、网络安全法、《电信和互联网用户个人信息保护规定》等法律或相关国家标准中。2013年《信息安全技术公用及商用服务信息系统个人信息保护指南》规定,处理个人信息应该具备特定、明确且合理的目的,“个人敏感信息”在收集和利用之前必须获得信息主体明确授权,并在使用目的实现后删除该信息。2015年,《刑法修正案(九)》设立了“侵犯公民个人信息罪”。2016年,网络安全法对个人信息的收集、利用等作了一般规定,将个人信息界定为以电子或其他方式记录的,能单独或与其他信息结合识别自然人个人身份的各种信息。2018年5月生效的《信息安全技术个人信息安全规范》则规定了开展收集、保存、使用、转让等个人信息处理活动应遵循的原则,包括权责一致原则、目的明确原则、选择同意原则、最少够用原则、确保安全原则等。作者认为,目前涉及个人信息保护的规范普遍存在三个问题:一是缺乏专门的个人信息保护法,立法碎片化现象突出;二是对个人信息保护的利益衡量不清晰,多为原则性规定,缺乏可操作的具体规则;三是位阶偏低,对人脸识别技术的发展起不到良好的规范作用。
人脸识别法律规制路径的本土化选择
林凌、贺小石在《法学杂志》2020年第7期《人脸识别的法律规制路径》一文中认为,人脸识别是把双刃剑,立法既要保护智能产业的创新活力,又要规范人脸识别技术不被滥用,确保公民的个人信息安全及相关利益。作者建议,一是确立个人信息自决原则。法律特别授权国家公权力机关采集使用个人生物识别信息范围,公共管理部门在职权范围内依法进行个人信息采集、保管与利用,任何个人、机构或组织在使用公民生物识别信息时都必须书面告知信息主体收集的目的、存储期限以及具体使用方式和渠道,在获得被收集主体的书面同意后才可以进行信息识别。二是确定“新治理”比例原则,以国家法律法规为基础的平衡规则,权衡并协调各方资源、利益与优劣势作为动态调节的方式,技术突破与公共利益、行政公权力与个人私领域的流动均应在合适的比例调适下进行利弊分析与优势整合,寻求多方主体融合连接中的法理渐进。三是专项责任审核原则。如可在公安部门设置生物特征识别信息保护专员或专门机构,将数据使用和技术控制与公安机构已有的DNA实验室相结合,提高人脸识别管理工作效率,审查和问责流程进一步与公检法对接,保障生物特征识别信息保护措施的落实。
完善监管措施引入“吹哨人”制度
也有学者认为,在立法体系和行业自律规范不完善的情况下,政府监管是有效规制人脸识别技术滥用的形式。尹菡在前述文章中建议可以借鉴欧盟和美国集中统一管理的做法,建立统一监管治理机构,明确监管机构的法定职责和权限,加大处罚力度。作者举例GDPR设立了专门数据监管机构,对于一般性的违法,罚款上限是1000万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的2%(两者中取数额大者);对于严重的违法,罚款上限是2000万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的4%(两者中取数额大者)。BIPA设置了生物识别信息隐私调查委员会,其职责包括调查州和地方保护个人生物识别信息的程序,检查生物识别技术及安全性问题。
作者认为就私主体来说,数据信息处理是企业内部行为且可能涉及商业秘密,而在政府监管过程中,一般不易获取企业内部违法违规处理个人敏感数据的行为,企业与商家在数据信息摄取及运用过程中占有主导地位,数据信息的来源及处理环节被企业商家所控制,其整个过程处于暗箱之中,不论是面对政府机关监管部门还是普通用户都欠缺透明性。作者建议引入“吹哨人”制度,若企业内部滥用人脸识别技术违法违规处理个人敏感信息,而政府却不易察觉或收集证据困难,即可由“内部吹哨人”进行举报,让政府介入监管,从而维护广大信息主体的隐私权益。作者认为,对人脸识别的法律规制理应纳入即将制定的《个人信息保护法》,从而更好地应对科学技术对人格权保护的挑战。