摘 要:人臉識別技術(shù)的應(yīng)用在給我們生活帶來便利的同時,其所生之諸多法律風(fēng)險也日漸彰顯,如侵犯隱私權(quán)、導(dǎo)致個人信息泄漏和濫用等。該文提出應(yīng)從立法和監(jiān)管兩個層面對人臉識別之法律風(fēng)險防范體系進(jìn)行構(gòu)建。在立法體系構(gòu)建方面,宜采用專門立法模式,明確立法宗旨和八大原則,并創(chuàng)設(shè)個人信息權(quán)。在監(jiān)管體系構(gòu)建方面,建立風(fēng)險評估和許可機制,并成立個人信息保護(hù)委員會,強化執(zhí)法力度。
關(guān)鍵詞:人臉識別;隱私權(quán);個人信息;法律風(fēng)險;防范體系
一、問題的提出
人臉識別技術(shù)是一種基于人的面部特征信息進(jìn)行身份識別的一種生物識別技術(shù),也叫做人像識別、面部識別。[1]隨著人臉識別技術(shù)的不斷優(yōu)化和完善,人臉識別的準(zhǔn)確率和安全性得到了很大提升,打消了人們之前對其望而卻步的念頭,人們對它的接受度和信賴度也隨之得到了增強,使得該技術(shù)能夠被公眾所認(rèn)可和接納,并在各個行業(yè)、各領(lǐng)域得到廣泛運用,較為常見的有刷臉支付、刷臉報到、刷臉解鎖、刷臉入住、刷臉登機等。然而,在人臉識別技術(shù)應(yīng)用的同時,其所生之諸多法律風(fēng)險也日益凸顯。
(一)侵犯隱私權(quán)之風(fēng)險
人臉識別技術(shù)可以在用戶無意識的情況下對用戶的面部信息進(jìn)行采集,由此獲取用戶的年齡、性別、國籍、膚色、種族、心情、行蹤軌跡等個人隱私信息,侵犯用戶的隱私權(quán)。更可怕的是,隨著人臉識別技術(shù)的不斷進(jìn)步以及攝像頭覆蓋面積的不斷增加,我們的一舉一動包括行蹤軌跡都將在攝像頭之下暴露無遺,人類將逐步進(jìn)入“弱隱私時代”。屆時,由此引發(fā)的隱私問題將進(jìn)一步惡化。[2]
(二)侵犯肖像權(quán)、名譽權(quán)之風(fēng)險
不法分子通過人臉檢測識別用戶發(fā)布在社交網(wǎng)站上的照片是否含有人臉圖像,如果檢測到照片中含有人臉圖像則將其保存,用于販賣,侵犯用戶肖像權(quán)。據(jù)了解,目前網(wǎng)上存在不少涉及人臉照片的交易信息,交易價格也是參差不齊,一些售賣人臉照片的賣家透露稱8元便可購買3萬張人臉照片。此外,一些不法分子通過一些換臉軟件,將他人的頭像進(jìn)行交換,從而對他人形象進(jìn)行丑化,損害他人名譽。更有甚者將一些明星的照片換在一些色情表演者身上,嚴(yán)重侵犯他人的名譽權(quán)。[3]
(三)引發(fā)種族歧視之風(fēng)險
根據(jù)麻省理工學(xué)院一項研究表明,人臉識別技術(shù)在算法設(shè)計階段對給白種人和非白種人做了明顯的區(qū)別,對于白種人的識別率要高于非白種人。[4]再比如美國邁阿密的智能化治安監(jiān)控系統(tǒng)重點關(guān)注低收入的黑人群體和西班牙移民。[5]可見,人臉識別技術(shù)的應(yīng)用仍蘊含著種族歧視的風(fēng)險。
(四)個人信息泄露、濫用、盜用之風(fēng)險
人臉數(shù)據(jù)的保管者沒有盡到妥善保管義務(wù),亦或數(shù)據(jù)保管系統(tǒng)被不法分子侵入均可能造成個人信息的泄露。人臉數(shù)據(jù)與密碼不同,密碼泄露可以及時更換,而人臉數(shù)據(jù)具有不可更改性,一旦泄露就是終身泄露。由此導(dǎo)致人臉數(shù)據(jù)主體、控制者、使用者喪失對該數(shù)據(jù)的控制,進(jìn)而將人臉數(shù)據(jù)安全置于更大的不確定性中。[6]數(shù)據(jù)本無罪,使用者卻有善惡之分。人臉數(shù)據(jù)使用者如果并沒有嚴(yán)格按照約定的方式使用其所收集的人臉數(shù)據(jù),亦或是未經(jīng)他人允許私自使用他人泄漏的個人信息,均會造成個人信息的濫用。相對于個人信息濫用,其被盜用所帶來的風(fēng)險則更加巨大。一旦我們的個人生物信息被不法分子獲取,不法分子便可以通過技術(shù)手段偽裝成“另一個我”,從而對我們實施欺詐、脅迫等不法行為,侵犯我們的人身和財產(chǎn)權(quán)益。
二、人臉識別法律規(guī)制現(xiàn)狀分析
縱觀世界各國,對人臉識別技術(shù)應(yīng)用的法律風(fēng)險防范主要有兩種方式:一種是通過對含人臉數(shù)據(jù)在內(nèi)的個人數(shù)據(jù)保護(hù)來進(jìn)行防范,如歐盟的《通用數(shù)據(jù)保護(hù)條例》(GDPR);另一種是通過制定專門的人臉識別法律進(jìn)行防范,如2020年美國加利福尼亞州的《面部識別法案》。
(一)美國模式
美國目前涉及人臉識別技術(shù)規(guī)制的法案尚有三部正在審議當(dāng)中,即《商業(yè)性人臉識別隱私法案(2019)》、《面部識別技術(shù)授權(quán)法案(2019)》、《人臉識別道德使用法案(草案)》。分析三部法案可知,在商業(yè)領(lǐng)域,美國持較為開放的態(tài)度,在用戶明確積極同意下,鼓勵人臉識別技術(shù)的商業(yè)運用。然而,對于政府層面的運用,美國卻持相對謹(jǐn)慎的態(tài)度,原則上對州和地方政府對人臉識別的使用進(jìn)行了較為嚴(yán)格的限制。例如,2019年5美國舊金山市立法機構(gòu)通過了《停止秘密監(jiān)控法令》、2020年3月華盛頓州頒布《面部識別法案》,均對州和地方政府對于人臉識別技術(shù)的使用做了嚴(yán)格限制。
(二)歐盟模式
歐盟對個人信息的保護(hù)比較保守,更注重個人數(shù)據(jù)隱私,其采取的是一種全方位國家立法模式。[7]具體來講,歐盟針對人臉識別技術(shù)應(yīng)用的法律風(fēng)險防范主要是通過GDPR中對個人生物識別數(shù)據(jù)的保護(hù)來實現(xiàn)的。GDPR 第 9 條規(guī)定,生物識別數(shù)據(jù)屬于“特殊種類的個人數(shù)據(jù)”,除一些特殊情況外,如為了公共利益、科學(xué)研究、統(tǒng)計的目的,原則上禁止處理。但是在商業(yè)領(lǐng)域中,在獲得用戶明確同意情況下,可以使用人臉識別技術(shù)對用戶的人臉數(shù)據(jù)進(jìn)行收集和使用,但應(yīng)對數(shù)據(jù)的收集和使用情況進(jìn)行公示。
(三)中國現(xiàn)狀分析
目前,我國尚未制定關(guān)于人臉識別技術(shù)應(yīng)用法律風(fēng)險防范的專門法律,只是通過在《民法典》、《網(wǎng)絡(luò)安全法》、《消費者權(quán)益保護(hù)法》等法律中設(shè)置關(guān)于對個人信息保護(hù)或隱私保護(hù)的條款加以規(guī)制,既分散,又較為概括,現(xiàn)實可操作性不強,仍需進(jìn)一步整合細(xì)化。
三、人臉識別的法律風(fēng)險防范體系構(gòu)建
筆者認(rèn)為,要解決人臉識別技術(shù)所帶來的法律風(fēng)險防范問題,除了通過增加科研投入來提高該技術(shù)的準(zhǔn)確性和安全性,并通過行業(yè)標(biāo)準(zhǔn)及行業(yè)自律來規(guī)范該技術(shù)的使用外,關(guān)鍵仍在于構(gòu)建完備的法律體系和監(jiān)督體系。
(一)法律體系構(gòu)建
1.立法模式的選擇
美國在商業(yè)領(lǐng)域并不排斥人臉識別技術(shù)的使用,其持較為開放和樂觀的態(tài)度,規(guī)定在滿足“知情+同意”的情況下,允許使用人臉識別技術(shù)。但是,美國很多州原則上禁止并限制政府機構(gòu)使用人臉識別的做法并不可取。著眼歐盟從數(shù)據(jù)保護(hù)層面對人臉識別進(jìn)行規(guī)制的方式,我國目前正在制定的《個人信息保護(hù)法》似乎較符合歐盟關(guān)于GDPR的立法模式,即從宏觀個人信息保護(hù)層面對人臉識別進(jìn)行規(guī)制,但這種模式也存在著諸多的不足,它在細(xì)致性、征對性、可操作性上不如專門立法來的好。因此,考慮到針對個人信息的專門立法正在進(jìn)行,目前尚無一部針對人臉識別技術(shù)進(jìn)行規(guī)制的法律,且對于人臉識別技術(shù)的法律規(guī)制又顯得尤為迫切。因此,我國現(xiàn)階段可以借鑒美國模式,在制定《個人信息保護(hù)法》的同時,加快制定專門性的人臉識別規(guī)制法,這是較為適當(dāng)?shù)牧⒎ūWo(hù)模式。[8]
2.明確立法宗旨和原則
人臉識別規(guī)制法應(yīng)明確以規(guī)范人臉識別技術(shù)行業(yè)發(fā)展、促進(jìn)社會進(jìn)步和保護(hù)個人信息和隱私相結(jié)合的立法宗旨。人臉識別技術(shù)的使用應(yīng)遵循合法、目的正當(dāng)、程序正當(dāng)、最小必要、信息安全保障、主體參與、公開透明、權(quán)責(zé)一致的原則。合法原則要求人臉識別的使用應(yīng)遵守相關(guān)公民隱私和個人信息保護(hù)的法律法規(guī),不得損害國家、集體和他人的合法權(quán)益,亦不可違背公序良俗。目的正當(dāng)原則要求人臉識別技術(shù)的使用者在收集和使用公民人臉信息時,應(yīng)具有正當(dāng)目的,并有助于促進(jìn)社會的進(jìn)步與發(fā)展。程序正當(dāng)原則要求通過人臉識別技術(shù)收集、使用公民的人臉數(shù)據(jù)時,應(yīng)告知公民人臉信息采集的用途、方式、使用范圍、保存期限、可能存在的風(fēng)險等信息,并征得公民明確且肯定的同意。最小必要原則要求人臉信息收集者或人臉識別技術(shù)使用者在權(quán)衡收集、使用人臉信息過程中蘊含的風(fēng)險與企業(yè)可得利益后,在滿足特定用途的前提下,盡可能少的收集用戶的人臉信息,在信息使用完后及時予以刪除。信息安全保障原則要求對于收集的人臉信息,企業(yè)應(yīng)該根據(jù)信息的敏感性、規(guī)模和使用環(huán)境,將原始人臉信息加密存儲。同時,要求個人信息控制者將可用于恢復(fù)識別個人的信息與去標(biāo)識化后的信息分開存儲。[9]主體參與原則要求人臉信息收集者向個人信息主體提供能夠訪問、更正、刪除其個人信息的途徑。[10]公開透明原則要求數(shù)據(jù)的控制者和使用者及時向社會公布人臉信息收集的范圍、存儲的期限、使用的目的等相關(guān)信息,并接受公眾的監(jiān)督。權(quán)責(zé)一致原則要求經(jīng)用戶授權(quán)收集和使用人臉信息的個人或單位,對用戶的人臉信息負(fù)有安全保障義務(wù),因其收集、使用、存儲不當(dāng)造成用戶合法權(quán)益受損的應(yīng)承擔(dān)相應(yīng)的責(zé)任。
3.個人信息權(quán)的創(chuàng)設(shè)
目前,關(guān)于公民個人信息保護(hù)的現(xiàn)有法律尚未明確個人信息權(quán),只是在一些部門法予以較為概括和寬泛的保護(hù)。個人信息權(quán)與隱私權(quán)有著本質(zhì)的區(qū)別。[11]個人信息權(quán)更多的是一種對個人信息控制的主動性權(quán)利,包括對個人信息的復(fù)制、使用、轉(zhuǎn)讓、銷毀等一系列權(quán)利,是一種兼具人格性和財產(chǎn)性的權(quán)利,而隱私權(quán)則更多地體現(xiàn)為一種人格性權(quán)利,是一種對人格尊嚴(yán)和自由嚴(yán)格保護(hù)的防御性權(quán)利。故,有必要在法律上明確創(chuàng)設(shè)個人信息權(quán),并確定該權(quán)利的人格和財產(chǎn)雙重屬性、地位和具體內(nèi)容,為個人信息的保護(hù)提供強有力的法律保障。
(二)監(jiān)管體系構(gòu)建
目前政府在人臉識別技術(shù)的監(jiān)管過程中并非順風(fēng)順?biāo)?,針對侵犯公民人臉信息的行政處罰因缺乏專門具體的法律依據(jù),導(dǎo)致頻發(fā)的個人臉部信息泄露和濫用問題多以主管部門約談、整改收場。因此,有必要構(gòu)建強有力的監(jiān)管體系。
1.建立風(fēng)險評估和許可機制
人臉識別技術(shù)風(fēng)險評估具有較強的專業(yè)性,為了保障評估結(jié)果的公正客觀性,宜通過第三方機構(gòu)對人臉識別技術(shù)相關(guān)軟件和應(yīng)用予以風(fēng)險評估,并將評估報告交給專門的個人信息保護(hù)機構(gòu),由其進(jìn)行審核備案。只有風(fēng)險評估結(jié)果為合格的人臉識別軟件或應(yīng)用,個人信息保護(hù)機構(gòu)應(yīng)該許可其向市場投放使用。針對人臉識別應(yīng)用或軟件的風(fēng)險評估報告應(yīng)及時通過網(wǎng)上平臺或政府信息公示渠道向社會公示,讓公眾能夠及時查詢,以便在使用相關(guān)人臉識別技術(shù)軟件和應(yīng)用時對其可靠程度有一個較為準(zhǔn)確的認(rèn)識,避免公眾因市場上人臉識別軟件和應(yīng)用良莠不齊導(dǎo)致的個人信息泄漏和侵權(quán)風(fēng)險。
2.成立個人信息保護(hù)委員會,強化執(zhí)法力度
目前,針對人臉識別技術(shù)使用所引發(fā)的個人信息泄漏和隱私侵犯問題,呈現(xiàn)出了執(zhí)法分散和執(zhí)法力度不夠的特點。筆者認(rèn)為,針對此類侵犯個人信息和隱私的問題時不應(yīng)一味地采取一些臨時性處罰措施,而應(yīng)總體布局,協(xié)調(diào)聯(lián)動,充分調(diào)動市場監(jiān)管總局、公安部、工信部、中央網(wǎng)信辦等有關(guān)部門力量,形成合力,并從各相關(guān)政府部門中抽調(diào)負(fù)責(zé)個人信息安全職能的工作人員,成立個人信息保護(hù)委員會,建立常態(tài)化監(jiān)管機制,從而避免執(zhí)法分散的弊端。個人信息委員會的職責(zé)包括對人臉識別技術(shù)風(fēng)險評估報告進(jìn)行審核備案,對人臉識別技術(shù)的開發(fā)商、應(yīng)用平臺、相關(guān)軟件進(jìn)行監(jiān)管并進(jìn)行定期檢查。此外,對人臉識別技術(shù)使用過程中存在的違法違規(guī)行為應(yīng)依法查處,構(gòu)成犯罪的,及時移送司法機關(guān)并追究其刑事責(zé)任。[12]
結(jié)語
科學(xué)技術(shù)的進(jìn)步為我們開拓了一個新時代,引領(lǐng)我們?nèi)ヌ剿鬟@個復(fù)雜繽紛的大千世界。在面對諸如人臉識別這樣的新興技術(shù)時,切不可“窺一斑而見全豹,因噎而廢食”,我們應(yīng)該保持理性的態(tài)度,用包容、開放、全面、發(fā)展的眼光來看待它,簡單叫停并非良策,唯有正確使用、科學(xué)防控,并為其構(gòu)建完善的法律和監(jiān)管體系,方可便利生活、方便生產(chǎn)、促進(jìn)人類進(jìn)步。
參考文獻(xiàn)
[1]李梅;范東琦;任新成;廖忠志.物聯(lián)網(wǎng)科技導(dǎo)論[M]. 北京:北京郵電大學(xué)出版社,2015:44.
[2]方陵生.臉部識別系統(tǒng):個人隱私終結(jié)者[J]. 世界科學(xué),2015,(03):38-39.
[3]侯學(xué)賓.AI換臉:法律風(fēng)險不容小覷[J]. 浙江人大,2019,(11):45.
[4]洪延青.人臉識別技術(shù)的法律規(guī)制研究初探[J]. 中國信息安全,2019,(08):85-87.
[5]蔣潔.人臉識別技術(shù)應(yīng)用的侵權(quán)風(fēng)險與控制策略[J]. 圖書與情報,2019,(05):58-64.
[6]張凱倫,王倩.你知道“刷臉”的風(fēng)險嗎[J]. 方圓,2019,(09):60-63.
[7]張平.大數(shù)據(jù)時代個人信息保護(hù)的立法選擇[J]. 北京大學(xué)學(xué)報(哲學(xué)社會科學(xué)版),2017,54(03):143-151.
[8]付微明.個人生物識別信息的法律保護(hù)模式與中國選擇[J]. 華東政法大學(xué)學(xué)報,2019,22(06):78-88.
[9]陳云峰.區(qū)塊鏈征信業(yè)務(wù)中如何保證數(shù)據(jù)使用合規(guī)[J]. 中國信用,2018,(08):116-117.
[10] 蘇鳴立.ZAO隱私保護(hù)存“大坑”[J]. 計算機與網(wǎng)絡(luò),2019,45(17):8-10.
[11] 王利明.論個人信息權(quán)的法律保護(hù)——以個人信息權(quán)與隱私權(quán)的界分為中心[J]. 現(xiàn)代法學(xué),2013,35(04):62-72.
[12] 張曉彤.為“刷臉”技術(shù)劃定法律邊界[J]. 人民論壇,2020,(05):72-73.
作者簡介:
余磊(1992-),男(漢族),四川西昌人。福建農(nóng)林大學(xué)公共管理學(xué)院,2019級法律碩士在讀。