【摘要】人臉識別是人工智能技術(shù)發(fā)展的重要應(yīng)用。人臉識別應(yīng)用為公共安全、法律執(zhí)行及社會管理帶來諸多便利,但其也可能對個(gè)人隱私與自由、人格尊嚴(yán)、人身及財(cái)產(chǎn)安全帶來風(fēng)險(xiǎn)。因此,這一技術(shù)在許多國家的法律上仍存在爭議?;谖覈?jīng)濟(jì)和社會發(fā)展實(shí)際情況,不宜采取一刀切式禁止,而應(yīng)充分考慮其所可能帶來的風(fēng)險(xiǎn),由法律進(jìn)行嚴(yán)格規(guī)制。
【關(guān)鍵詞】人臉識別 個(gè)人信息 生物識別信息 敏感信息
【中圖分類號】D912.1 【文獻(xiàn)標(biāo)識碼】A
近年來,隨著人工智能技術(shù)的快速發(fā)展,以人臉識別技術(shù)(FRT)為代表的生物識別信息技術(shù)開始為人所熟知。生物識別信息是指自然人可識別的身體生理信息或行為特征,包括個(gè)人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等。生物識別信息直接反映自然人獨(dú)一無二與不可替代的身體、生理或行為特征,具有強(qiáng)烈的人身屬性。作為自然人最直接和便捷的生物標(biāo)識,人臉信息被廣泛用于身份識別、認(rèn)證和安全管理等諸多行政、商業(yè)和私人領(lǐng)域。人臉識別作為一種識別個(gè)人身份信息的新型技術(shù),其主要特征是非接觸性、主體唯一性和不易復(fù)制性,同時(shí)也具有無須攜帶、易于采集、成本低廉等特點(diǎn)。從技術(shù)角度來看,人臉識別包含四個(gè)階段:首先,探測人臉。攝像頭可以從人群中捕捉并固定特定個(gè)人的人臉。其次,對人臉進(jìn)行分析。軟件“閱讀”臉部信息并且識別其特征,譬如,兩眼之間的距離或者嘴部的寬度、面部主要輪廓。再次,將視頻圖像轉(zhuǎn)換為數(shù)據(jù)。圖像在被分析后,會轉(zhuǎn)換成一序列數(shù)據(jù);臉部的數(shù)字信息被稱為“臉?。╢aceprint,如同指紋一樣)”。最后,進(jìn)行比對匹配。將算法所形成的“臉印”與數(shù)據(jù)庫中的人臉信息進(jìn)行比對和識別,將其與特定個(gè)人相關(guān)聯(lián)。
人臉識別確實(shí)可以給社會的運(yùn)行與管理帶來很大的便利,這一技術(shù)尤其在執(zhí)法過程中被廣泛使用。但是,人臉識別也經(jīng)常發(fā)生錯(cuò)誤,譬如,錯(cuò)誤識別有色人種人士,或者進(jìn)行錯(cuò)誤的比對和匹配。導(dǎo)致人臉識別錯(cuò)誤的成因有:其一,人臉識別算法的品質(zhì)可能存在很大差異;其二,所拍攝照片的質(zhì)量對于匹配的精度有顯著影響;其三,即便在照片質(zhì)量較高的情況下,系統(tǒng)的某些設(shè)置也可能導(dǎo)致識別錯(cuò)誤發(fā)生。除了人臉識別技術(shù)較高的出錯(cuò)率之外,人臉識別技術(shù)的應(yīng)用對個(gè)人的隱私和自由可能構(gòu)成威脅。正是基于這些原因,人臉識別在很多國家都引發(fā)了法律上的爭議。
Clearview AI公司的法律爭議
Clearview AI公司是一家位于紐約的美國科創(chuàng)型企業(yè),成立于2016年。該公司使用圖像掃描器自動收集社交媒體和其他網(wǎng)站上公開的人臉照片,以建立其生物識別數(shù)據(jù)庫;它向執(zhí)法機(jī)構(gòu)和私營公司出售其服務(wù)。Clearview的人臉識別技術(shù)包含四個(gè)步驟:首先,Clearview在公眾可以訪問的網(wǎng)絡(luò)平臺及Facebook(已改名為Meta)、Twitter、Instagram、LinkedIn等社交媒體上“抓取”人臉照片,并存入其數(shù)據(jù)庫;其次,創(chuàng)建生物識別標(biāo)識符,以數(shù)字化方式來表達(dá)每一幅人臉圖片;再次,允許用戶上傳圖片,與數(shù)據(jù)庫中的生物識別符進(jìn)行匹配和比對;最后,提供一序列比對結(jié)果,包括所有被比對的照片和數(shù)據(jù),如果用戶點(diǎn)擊其中任何結(jié)果,軟件可以將其指引到照片的源文件。Clearview 存儲了超過三十億張人臉圖片和相應(yīng)的生物識別符,其中包括很多兒童照片。僅在美國,該公司就已向超過600家執(zhí)法機(jī)構(gòu)提供了數(shù)據(jù)及人臉識別系統(tǒng)服務(wù),包括聯(lián)邦調(diào)查局、國土安全部和許多州警察局。2021年1月6日美國國會騷亂事件后,Clearview發(fā)現(xiàn)其人臉?biāo)阉鲬?yīng)用的數(shù)量增長了26%,佛羅里達(dá)和阿拉巴馬等州警察局使用其應(yīng)用來識別參與騷亂的人員。
但Clearview在美國的多個(gè)州都遭遇了訴訟,包括伊利諾伊州、弗吉尼亞州、紐約州、佛蒙特州,其中,僅在伊利諾伊州就被提起至少三起訴訟,包括針對著名零售商Macy的訴訟,后者是Clearview的大客戶之一,被指控使用其人臉識別應(yīng)用。另外,Google和Twitter明確向Clearview發(fā)出了停止訪問函,禁止其從它們網(wǎng)站上收集人臉照片。但Clearview認(rèn)為它擁有收集人們公開發(fā)布的照片的權(quán)利。同樣,一些外國的執(zhí)法機(jī)構(gòu)因?yàn)槭褂闷浞?wù)而在本國引發(fā)爭議。2021年2月,瑞典隱私保護(hù)機(jī)構(gòu)IMY對瑞典警察部門罰款250萬瑞典克朗,理由是后者使用Clearview 的服務(wù)違反了瑞典“犯罪數(shù)據(jù)法”。瑞典警察部門在2019年秋季至2020年3月期間,曾間斷性地使用Clearview 人臉識別應(yīng)用,查找犯罪的受害人及嫌疑人。IMY認(rèn)為這一做法違反了“犯罪數(shù)據(jù)法”的多個(gè)條文,根據(jù)該法,生物識別信息及基因信息只能在有明文規(guī)定的情況下,用于絕對必須的處理目的。
2021年2月,加拿大隱私專員辦公室與魁北克、不列顛哥倫比亞及阿爾伯塔三省的個(gè)人信息保護(hù)機(jī)構(gòu)所聯(lián)合發(fā)起的、針對Clearview的調(diào)查報(bào)告指出,其人臉識別工具違反了加拿大個(gè)人信息保護(hù)法的統(tǒng)一和適當(dāng)目的等要求。盡管加拿大個(gè)人信息保護(hù)法對于“可公開獲得的信息”豁免信息主體的同意要求,但是,從公開的網(wǎng)站包括社交媒體上所獲得的人臉信息并不適用公開獲得信息的豁免規(guī)則。此外,Clearview違反了個(gè)人信息保護(hù)法的適當(dāng)目的要求,這一要求對于有效同意的場景也仍然適用。Clearview公司收集和使用圖片是不適當(dāng)?shù)?,因?yàn)檫@些用途與照片最初被上傳的目的沒有關(guān)聯(lián),這些照片被無限期的保留,并且其使用損害了個(gè)人的利益(譬如被用于隨后針對其所發(fā)起的起訴),而且其使用的方式對個(gè)人造成了重大風(fēng)險(xiǎn)。此外,Clearview無差別地從網(wǎng)站抓取人臉照片,屬于信息收集的不合理方式。
北美地區(qū)的法律:對政府機(jī)構(gòu)使用人臉識別技術(shù)進(jìn)行限制
在美國,率先就人臉識別問題作出法律規(guī)定的是一些州的城市。2019年5月,加利福尼亞州舊金山市成為美國最先以立法禁止政府機(jī)構(gòu)使用人臉識別技術(shù)的城市。同年6月,馬薩諸塞州的薩默維爾市議會一致表決通過議案,禁止政府機(jī)構(gòu)使用人臉識別技術(shù)。隨后,馬薩諸塞州的波士頓、伊斯特漢普頓以及密蘇里州的斯普林菲爾德等城市也相繼通過了類似禁令。與之類似,紐約市的法令規(guī)定,娛樂場所、零售店、食品與飲料商店在其營業(yè)范圍內(nèi),不得使用人臉識別技術(shù)。不過,對于一般商業(yè)機(jī)構(gòu),紐約市并不禁止其對消費(fèi)者使用人臉識別技術(shù),但要求在消費(fèi)者入口處以清晰和顯著的標(biāo)識告知消費(fèi)者進(jìn)入人臉識別區(qū)域。
就州層面而言,一些州對于生物識別信息作出了法律規(guī)定,例如德州、伊利諾伊州和華盛頓州,這些法律要求企業(yè)收集和使用生物識別信息必須盡到事先告知和知情同意義務(wù)。例如,根據(jù)伊利諾伊州的“生物識別信息隱私法(BIPA)”,私立機(jī)構(gòu)在使用消費(fèi)者的生物識別信息之前,必須書面告知消費(fèi)者,其生物識別信息正在收集和存儲以及其期限;該機(jī)構(gòu)不得利用這些信息,向他人出售、出租或營利。紐約州的法律亦有類似規(guī)定;俄克拉荷馬州和肯塔基州的法律規(guī)定,必須要有清晰的告知和獲得個(gè)人的知情同意;佛羅里達(dá)州和猶他州則在其隱私法中強(qiáng)化信息主體的權(quán)利及相關(guān)的告知和同意要求。
在美國,華盛頓州被認(rèn)為在科技立法領(lǐng)域經(jīng)常走在各州前列。2020年3月,華盛頓州通過法律對人臉識別應(yīng)用進(jìn)行規(guī)制,要求人臉識別技術(shù)必須確保其公平性和準(zhǔn)確性;執(zhí)法機(jī)構(gòu)如需使用人臉識別技術(shù),需獲得法院的授權(quán)令;另外,法律責(zé)成州政府設(shè)立專門的研究小組,研究公共機(jī)構(gòu)如何使用和部署人臉識別設(shè)施。另有一些州對人臉識別采取了暫緩禁令(moratorium)或?qū)⑵鋺?yīng)用限于特定領(lǐng)域的做法。例如,2019年3月,加州通過立法為警察機(jī)構(gòu)使用人臉識別技術(shù)設(shè)定了三年的禁止期限,自2020年1月起實(shí)施。2021年5月,馬薩諸塞州通過法律,要求警察局等執(zhí)法機(jī)構(gòu)在使用州機(jī)動車登記處、聯(lián)邦調(diào)查局或州警察局所建立的人臉數(shù)據(jù)庫的照片進(jìn)行比對之前,須獲得法院的許可令;為防止人臉識別技術(shù)的濫用,法律要求其應(yīng)用僅限于犯罪偵查領(lǐng)域,不得擴(kuò)展至民事糾紛。而與之相對照的是,緬因州則通過了更為嚴(yán)厲的立法。根據(jù)緬因州議會在2021年6月通過的法律,執(zhí)法機(jī)構(gòu)原則上不得使用人臉識別技術(shù),除非其有證據(jù)證明特定個(gè)人犯下“嚴(yán)重的罪行”,另外,人臉識別技術(shù)還可以用來識別死者或失蹤人員;人臉識別的結(jié)構(gòu)本身并不能成為警察逮捕嫌疑人的證據(jù)。法律也限制警察部門使用人臉身份識別技術(shù),在某些特定情形下警察部門可求助于聯(lián)邦調(diào)查局或州機(jī)動車登記處;執(zhí)法機(jī)構(gòu)如果使用了人臉識別技術(shù),必須留存記錄備查。另外,如果公民認(rèn)為執(zhí)法機(jī)構(gòu)非法使用了人臉識別技術(shù),可以對其提起訴訟;法律還明確禁止在政府機(jī)構(gòu)的大部分區(qū)域、公立學(xué)校等場所使用人臉識別技術(shù)。這被認(rèn)為是美國迄今為止最為嚴(yán)厲的人臉識別法律。
在聯(lián)邦層面,值得注意的是,2021年6月,美國參議員在國會提出了《人臉識別和生物識別技術(shù)禁止法案》,準(zhǔn)備對聯(lián)邦和大多數(shù)州的全部生物識別技術(shù)采取一攬子禁止,包括在全國范圍內(nèi)禁止執(zhí)法機(jī)構(gòu)使用人臉識別技術(shù)。這一法案也被批評為可能會剝奪生物識別技術(shù)給執(zhí)法機(jī)構(gòu)所帶來的便利,包括:查找被綁架的受害人,識別在機(jī)場入口所使用的偽造身份文件,在關(guān)鍵場合幫助反恐偵查,使得無辜的人免受犯罪指控等。
在加拿大,并無專門針對人臉識別的法律,而適用個(gè)人信息保護(hù)法的一般規(guī)則。具體來說,私立機(jī)構(gòu)處理個(gè)人信息適用“個(gè)人信息保護(hù)法(PIPEDA)”,而公立機(jī)構(gòu)處理個(gè)人信息則適用“隱私法案”。“個(gè)人信息保護(hù)法”規(guī)定,收集、使用或公開個(gè)人信息必須告知個(gè)人并征得其同意。對于某些敏感信息,必須征得個(gè)人的“有效同意”。根據(jù)該法第6.1條,只有以下事實(shí)是可以合理被期待的時(shí)候——個(gè)人可以理解其給予同意的信息收集、使用或公開等行為的性質(zhì)、目的和結(jié)果,個(gè)人的同意方可被認(rèn)為是有效的。對于政府機(jī)構(gòu),“隱私法案”限定其使用或公開個(gè)人信息必須用于“指定的目的”,除非個(gè)人對于其他用途的使用或公開給予了同意;法案還要求政府機(jī)構(gòu)必須告知個(gè)人信息收集的目的。“個(gè)人信息保護(hù)法”要求收集、使用或公開個(gè)人信息,必須基于一個(gè)通情達(dá)理的人在所處的具體環(huán)境下認(rèn)為是適當(dāng)(appropriate)的目的。
歐洲國家的法律:嚴(yán)格限制下的例外允許
就英國而言,2020年8月,英國法院裁定南威爾士警方使用人臉識別技術(shù)侵犯了人權(quán)和個(gè)人信息保護(hù)法。南威爾士警方在2017年5月至2019年4月期間,曾在公共事件中使用人臉識別設(shè)備掃描了50萬余張人臉圖像,后被一名叫Edward Bridges的民權(quán)人士提起訴訟,他聲稱曾兩次接近人臉識別設(shè)備,盡管并非設(shè)備識別的對象,但他認(rèn)為其圖像仍被設(shè)備抓取,侵害了歐洲人權(quán)公約第8條所保護(hù)的隱私權(quán),也違反了英國的個(gè)人信息保護(hù)法及2010年平等法案中的“公立部門平等職責(zé)(PSED)”等法律規(guī)定。2019年9月,一審法院駁回了其起訴,但上訴法院則支持了其請求,認(rèn)為具體執(zhí)法的警官的裁量權(quán)過大,很難清楚地預(yù)知誰會在人臉識別的名單上。法院認(rèn)為,警方違反了“公立部門平等職責(zé)”,警方未能采取合理措施來判斷人臉識別應(yīng)用軟件是否存在種族或性別歧視。
2021年6月,英國信息專員辦公室發(fā)布了新的“實(shí)踐指南”,對視頻監(jiān)控和人臉識別技術(shù)提供了指引。新指南指出,“(人臉識別)系統(tǒng)是有價(jià)值的工具,有助于提升公共治安和安全的水準(zhǔn),可以保護(hù)人身和財(cái)產(chǎn)安全”。就公共場所的視頻監(jiān)控設(shè)備使用,指南嘗試列出最佳實(shí)踐和指導(dǎo)原則。這一文件認(rèn)為可以允許公共機(jī)構(gòu)和企業(yè)在公共場所使用遠(yuǎn)程生物識別技術(shù),但認(rèn)為應(yīng)設(shè)置較高的準(zhǔn)入門檻;不過,該文件并不贊成采取完全的禁止。指南要求人臉識別的使用必須合法,信息的控制者必須對處理特殊類別的信息提供合法基礎(chǔ),并確保其處理符合必要原則,與其所實(shí)現(xiàn)的目的成比例,并考慮使用人臉識別對個(gè)人所造成的潛在危害。
在法國,關(guān)于人臉識別的法律框架主要有:1978年的信息與自由法(2018年12月修訂);歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR);歐盟2016年第2016/680號關(guān)于刑事領(lǐng)域個(gè)人信息保護(hù)的“警察—司法指令”。根據(jù)GDPR第4條,生物識別信息屬于敏感信息,原則上禁止處理,僅在該條所列明的例外情況下方可進(jìn)行處理:信息主體明確同意,履行法定職責(zé),保護(hù)自然人的重大利益,保護(hù)公共利益,信息主體已公開的信息,基于醫(yī)療診斷或評估雇員工作能力需要等。
在法國,個(gè)人信息監(jiān)管機(jī)構(gòu)是1978年所創(chuàng)立的“信息與自由委員會(CNIL)”,該機(jī)構(gòu)同時(shí)是政府與國會的咨詢機(jī)構(gòu),就信息立法提供咨詢意見。鑒于法國一些機(jī)構(gòu)申請?jiān)囉萌四樧R別技術(shù),CNIL對此設(shè)定了三個(gè)條件:第一,劃定所應(yīng)遵守的紅線,遵守歐盟GDPR條例和“警察—司法指令”。CNIL認(rèn)為,盡管存在可以合法使用人臉識別技術(shù)的一些情形,但是不能據(jù)此推論一切皆合乎需要,或者一切皆可為;必須將人的尊重和保護(hù)置于這一體系的中心地位,特別是確保對隱私權(quán)的保護(hù);必須要獲得個(gè)人的知情同意,用戶必須可以控制其信息,并可能行使其同意的撤回權(quán);人臉識別系統(tǒng)對個(gè)人應(yīng)保持完全透明,應(yīng)確保生物識別信息的安全。第二,將人的尊重和保護(hù)置于這一體系的中心地位,特別是確保對隱私權(quán)的保護(hù)。必須獲得個(gè)人的知情同意,用戶可以控制其信息,并可能行使其同意的撤回權(quán);人臉識別系統(tǒng)對個(gè)人應(yīng)保持完全透明,應(yīng)確保生物識別信息的安全;私立機(jī)構(gòu)如果使用人臉識別技術(shù),應(yīng)獲得個(gè)人的知情同意,這一同意必須明確、特定、自由作出且毫不含糊,符合GDPR的要求。為此,必須提供人臉識別的替代措施,這些替代措施應(yīng)提供與人臉識別技術(shù)同樣的便利。第三,對于人臉識別的試用必須設(shè)定時(shí)間與空間上的明確限制,并具有明確的可識別的目標(biāo),且有績效評估模式。
就人臉識別而言,CNIL提出“在現(xiàn)在和未來并非一切皆可為”。在此前,CNIL曾拒絕同意尼斯和馬賽的兩所中學(xué)在其入口處安裝人臉識別設(shè)備;CNIL強(qiáng)調(diào)應(yīng)遵守比例性原則,所使用的手段與所達(dá)到的目的之間應(yīng)當(dāng)相稱;此外,應(yīng)當(dāng)對未成年人給予特殊保護(hù)。2019年,尼斯市政府安裝了具有人臉識別功能的視頻監(jiān)控,拍攝了上千人的面部照片,這些照片被相關(guān)軟件進(jìn)行實(shí)時(shí)分析。CNIL認(rèn)為,尼斯市政府就此提交的報(bào)告太過于模糊,缺乏對技術(shù)因素的必要說明。因此,報(bào)告無法讓人就人臉識別試用得出客觀的視角,也無法評估其有效性。在新冠肺炎疫情期間,戛納市政府希望安裝監(jiān)控設(shè)備,以核實(shí)人們是否按要求佩戴了口罩,市政府準(zhǔn)備購買一家名為Datakalab的設(shè)備和服務(wù),該公司的設(shè)備同樣安裝在巴黎市中心的夏特萊地鐵站進(jìn)行試用,該公司聲稱,它們并非用于識別公眾,而只是在計(jì)算佩戴口罩的人數(shù)。但CNIL則認(rèn)為,公眾無法行使其異議權(quán),因?yàn)樗麄兏静恢老到y(tǒng)在分析他們的臉部。因此,CNIL叫停了戛納市的人臉識別應(yīng)用計(jì)劃,同時(shí)也叫停了巴黎夏特萊地鐵站人臉識別設(shè)備的試用。還值得注意的是,2020年10月,由萬喜(Vinci)集團(tuán)管理的里昂機(jī)場試用Mona公司人臉識別系統(tǒng),在法國機(jī)場中首開先河。這一技術(shù)的主要目的是減少旅客的排隊(duì)等候時(shí)間,因?yàn)槁每屯ǔP枰徊轵?yàn)身份(身份證件、機(jī)票等),比較費(fèi)時(shí)。根據(jù)這一系統(tǒng)的使用方法,旅客自行在手機(jī)上下載軟件,開設(shè)賬號,上傳人臉照片;到機(jī)場后可以走專門通道,“僅需刷臉”閘機(jī)即自動放行;每位旅客平均可節(jié)約半小時(shí)左右的時(shí)間。這套設(shè)備首先試用于Transavia 和 TAP兩家航空公司用于飛往波爾圖和里斯本的航班的旅客,未來將逐步擴(kuò)展至其他航班。
就歐盟而言,歐盟委員會2021年4月所提交的“人工智能條例”草案將執(zhí)法機(jī)構(gòu)在公共場所使用的實(shí)時(shí)生物識別系統(tǒng)定性為“不可接受的風(fēng)險(xiǎn)”,除非基于某些明確限定的目的。草案采取了以風(fēng)險(xiǎn)為基礎(chǔ)的方法,根據(jù)人工智能產(chǎn)品和服務(wù)的風(fēng)險(xiǎn),將其區(qū)分為低風(fēng)險(xiǎn)、中風(fēng)險(xiǎn)和高風(fēng)險(xiǎn)的不同等級,還有一些人工智能應(yīng)用則被完全禁止。草案建議禁止在公共場所使用包括人臉識別在內(nèi)的“遠(yuǎn)程生物識別體系(RBIS)”,除法律所規(guī)定的例外情形,這些例外情形都是為實(shí)現(xiàn)重大的公共利益所必須,所保護(hù)利益的重要性超過其風(fēng)險(xiǎn),包括:查找潛在的犯罪受害人包括失蹤兒童,對自然人的生命和身體安全的某些威脅或者恐怖主義攻擊,偵測、定位、識別或檢控犯罪嫌疑人。與歐盟委員會的立場不同,歐盟議會2021年10月6日以壓倒性多數(shù)決議通過了一項(xiàng)名為“關(guān)于在刑法領(lǐng)域的人工智能及其由警察與司法機(jī)構(gòu)在刑事事務(wù)中的應(yīng)用”為題的決議,呼吁全面禁止公共場所的大規(guī)模生物識別監(jiān)控技術(shù)。決議認(rèn)為,人工智能驅(qū)動的遠(yuǎn)程監(jiān)控技術(shù),如面部識別,對隱私等基本權(quán)利和自由有巨大影響,但已經(jīng)在歐洲的公共場合悄然開始使用。為了尊重“隱私和人類尊嚴(yán)”,歐洲議會議員表示,歐盟立法者應(yīng)通過一項(xiàng)永久禁令,禁止在公共場所對個(gè)人進(jìn)行自動識別,并表示公民只有在涉嫌犯罪時(shí)才應(yīng)受到監(jiān)控。歐盟議會還呼吁禁止使用私人數(shù)據(jù)庫,如Clearview 的數(shù)據(jù)庫,并表示基于行為數(shù)據(jù)的預(yù)測性警務(wù)也應(yīng)被禁止。歐洲議會的決議要求歐盟采取措施,必要時(shí)甚至可以啟動追責(zé)程序,以全面禁止就基于執(zhí)法目的對生物識別信息的任何處理包括人臉識別而在公共場所實(shí)施的大規(guī)模監(jiān)控;要求歐盟委員會停止資助有關(guān)的研究項(xiàng)目。
構(gòu)建符合我國國情的人臉識別法律規(guī)制框架
從前述分析可以看出,人臉識別技術(shù)是人工智能十分強(qiáng)大的應(yīng)用,對于法律執(zhí)行機(jī)構(gòu)和商業(yè)實(shí)體都能帶來很大的便利,譬如,維護(hù)公共安全,協(xié)助警方查找受害人或犯罪嫌疑人,查找失蹤人口等。其使用成本也較為低廉,因此,其使用范圍有不斷擴(kuò)大的趨勢。但是,人臉識別技術(shù)也是一項(xiàng)高度侵入性(invasive)的監(jiān)控技術(shù),對隱私和人權(quán)可能造成風(fēng)險(xiǎn),并可能造成歧視。另外,人臉識別涉及高度敏感的生物識別信息的收集和處理,而生物識別信息對每個(gè)人來說都是獨(dú)一無二的,并且很難隨著時(shí)間的推移而改變。因此,一旦泄露或被非法獲取,會給個(gè)人帶來嚴(yán)重影響。結(jié)合大多數(shù)國家的普遍經(jīng)驗(yàn),基于我國經(jīng)濟(jì)和社會發(fā)展實(shí)際情況,人臉識別技術(shù)已廣泛應(yīng)用于公共安全、智慧產(chǎn)業(yè)發(fā)展、網(wǎng)絡(luò)支付等多個(gè)領(lǐng)域,因此,不宜采取一刀切式禁止,而應(yīng)充分考慮其所可能帶來的風(fēng)險(xiǎn),由法律進(jìn)行嚴(yán)格規(guī)制。
最高人民法院于2021年7月發(fā)布了《關(guān)于審理使用人臉識別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問題的規(guī)定》,這也是我國專門針對人臉識別應(yīng)用進(jìn)行規(guī)制的第一部法律文件,具有里程碑式的重要意義。2021年8月,備受矚目的《個(gè)人信息保護(hù)法》由立法機(jī)關(guān)通過,其中關(guān)于敏感個(gè)人信息的規(guī)定、關(guān)于公共場所安裝圖像采集、個(gè)人身份識別設(shè)備的規(guī)定,與人臉識別密切相關(guān)。2021年11月,國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》。另外,《民法典》在其第四編人格權(quán)編規(guī)定了個(gè)人信息保護(hù)的基本原則和框架。這些法律規(guī)則構(gòu)成了我國關(guān)于人臉識別規(guī)制的主要法律框架。在充分借鑒和吸收國際經(jīng)驗(yàn)的基礎(chǔ)上,我國對人臉識別進(jìn)行法律規(guī)制的主要內(nèi)容有:
人臉信息屬于生物識別信息,是敏感個(gè)人信息。《民法典》第1034條引入了“生物識別信息”這一重要范疇;《個(gè)人信息保護(hù)法》第28條第1款明確將生物識別信息列為首要的敏感個(gè)人信息類型,足見其極端重要性。最高人民法院“人臉識別司法解釋”第1條進(jìn)一步明確:人臉信息屬于“生物識別信息”。因此,信息處理者如處理人臉識別信息,需遵守關(guān)于敏感信息處理的相關(guān)規(guī)則。《個(gè)人信息保護(hù)法》對敏感信息的處理設(shè)定了嚴(yán)格的法律規(guī)則,根據(jù)該法第28條第二款,只有在具有特定的目的和充分的必要性,并采取嚴(yán)格保護(hù)措施的情形下,個(gè)人信息處理者方可處理敏感個(gè)人信息。
人臉識別信息的收集和處理須遵循合法、正當(dāng)、必要原則,特別是最小夠用原則,不得擅自與第三方分享。根據(jù)《民法典》第1035條和《個(gè)人信息保護(hù)法》第5條和第6條,處理個(gè)人信息的,應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則,不得過度處理;收集個(gè)人信息,應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍,不得過度收集個(gè)人信息?!秱€(gè)人信息保護(hù)法》第26條規(guī)定:在公共場所安裝圖像采集、個(gè)人身份識別設(shè)備,應(yīng)當(dāng)為維護(hù)公共安全所必需,遵守國家有關(guān)規(guī)定,并設(shè)置顯著的提示標(biāo)識。所收集的個(gè)人圖像、身份識別信息只能用于維護(hù)公共安全的目的,不得用于其他目的。由此,公共場所人臉識別的設(shè)備應(yīng)基于公共安全目的僅用于身份識別,而不能用于分析其經(jīng)濟(jì)狀況、消費(fèi)能力及偏好、個(gè)人興趣、健康狀況等其他用途,以防止“購房人戴頭盔看房”現(xiàn)象的重演。
處理人臉識別信息須獲得個(gè)人的單獨(dú)同意?!秱€(gè)人信息保護(hù)法》第29條規(guī)定,處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意。因此,從比較法的經(jīng)驗(yàn)看,對于人臉識別,信息處理者需要在其隱私政策和使用條件之外以單獨(dú)文件向信息主體進(jìn)行告知,并獲得信息主體的明確同意。信息處理者在履行告知義務(wù)的時(shí)候,充分保障信息主體的知情同意權(quán),因此,必須遵循《個(gè)人信息保護(hù)法》第7條所規(guī)定的公開、透明原則,公開個(gè)人信息處理規(guī)則,明示處理的目的、方式和范圍。此外,處理者還應(yīng)當(dāng)向個(gè)人告知處理敏感個(gè)人信息的必要性以及對個(gè)人權(quán)益的影響。另外,根據(jù)《個(gè)人信息保護(hù)法》第15條,個(gè)人有權(quán)撤回其同意。個(gè)人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式。“人臉識別司法解釋”第4條進(jìn)一步規(guī)定信息處理者不得對信息主體采取強(qiáng)迫同意、捆綁同意等手段,包括:信息處理者要求自然人同意處理其人臉信息才提供產(chǎn)品或者服務(wù)的,但是處理人臉信息屬于提供產(chǎn)品或者服務(wù)所必需的除外;信息處理者以與其他授權(quán)捆綁等方式要求自然人同意處理其人臉信息的;強(qiáng)迫或者變相強(qiáng)迫自然人同意處理其人臉信息的其他情形。
如果采取人臉識別作為身份識別的方式,則應(yīng)同時(shí)提供非人臉識別的身份識別方式,由信息主體選擇使用?!毒W(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》第25條規(guī)定:“數(shù)據(jù)處理者利用生物特征進(jìn)行個(gè)人身份認(rèn)證的,應(yīng)當(dāng)對必要性、安全性進(jìn)行風(fēng)險(xiǎn)評估,不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的個(gè)人身份認(rèn)證方式,以強(qiáng)制個(gè)人同意收集其個(gè)人生物特征信息。”由此,基于信息主體的同意權(quán),其可以對信息處理者處理其人臉信息給予同意,也可以拒絕,此種拒絕不得影響其享有公共服務(wù)的權(quán)利。因此,個(gè)人應(yīng)享有同意和拒絕之間的選擇。據(jù)此,“人臉識別司法解釋”第10條規(guī)定,物業(yè)服務(wù)企業(yè)或者其他建筑物管理人以人臉識別作為業(yè)主或者物業(yè)使用人出入物業(yè)服務(wù)區(qū)域的唯一驗(yàn)證方式,不同意的業(yè)主或者物業(yè)使用人請求其提供其他合理驗(yàn)證方式的,人民法院依法予以支持。
原則上不應(yīng)使用人臉識別方式對不滿十四周歲的未成年人進(jìn)行身份識別。當(dāng)下大量的手機(jī)App(如短視頻、直播及游戲類)的主要用戶群體為未成年人,而不少應(yīng)用軟件以身份認(rèn)證為由要求進(jìn)行人臉識別。但未成年人由于其身心發(fā)育特點(diǎn),對人臉識別的風(fēng)險(xiǎn)缺乏必要的認(rèn)知和警惕性,甚至由于好奇心驅(qū)使而輕易向平臺提供其人臉信息,這些信息如被擅自分析、泄漏或被盜用,可能對其未來一生的成長產(chǎn)生不利影響,導(dǎo)致其成為一些犯罪行為(如綁架拐騙)的受害對象。因此,對未成年人的個(gè)人信息特別是敏感信息給予特別保護(hù),這是全世界的普遍做法。就我國而言,《個(gè)人信息保護(hù)法》第28條規(guī)定,不滿十四周歲未成年人的個(gè)人信息屬于敏感個(gè)人信息;《個(gè)人信息保護(hù)法》第31條及《未成年人保護(hù)法》第72條規(guī)定:個(gè)人信息處理者處理不滿十四周歲未成年人個(gè)人信息的,應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意。“人臉識別司法解釋”第3條也特別規(guī)定:人民法院認(rèn)定信息處理者承擔(dān)侵害自然人人格權(quán)益的民事責(zé)任,應(yīng)考慮受害人是否為未成年人這一重要因素?;谶@些法律規(guī)則和立法精神,應(yīng)原則上禁止對不滿十四周歲的未成年人進(jìn)行人臉識別;如基于公共安全(如校園安全)等原因確需對未成年人進(jìn)行人臉識別,應(yīng)征得未成年人的父母或者其他監(jiān)護(hù)人的明確同意,經(jīng)公安部門及履行個(gè)人信息保護(hù)職責(zé)的主管部門批準(zhǔn),并應(yīng)采取嚴(yán)格的信息安全保護(hù)措施。
(作者為中國人民大學(xué)民商事法律科學(xué)研究中心研究員、法學(xué)院教授)
【注:本文系國家社科基金重大項(xiàng)目“健全以公平為原則的產(chǎn)權(quán)保護(hù)制度研究”(項(xiàng)目編號:20ZDA049)的階段性成果】
【參考文獻(xiàn)】
①陳宗波:《我國生物信息安全法律規(guī)制》,《社會科學(xué)家》,2019年第1期。
②張勇:《個(gè)人生物信息安全的法律保護(hù)——以人臉識別為例》,《江西社會科學(xué)》,2021年第5期。
③石佳友、劉思齊:《人臉識別技術(shù)中的個(gè)人信息保護(hù)——兼論動態(tài)同意模式的建構(gòu)》,《財(cái)經(jīng)法學(xué)》,2021年第2期。
④US 117th Congress (1st Session),F(xiàn)acial Recognition and Biometric Technology Moratorium Act of 2021, Bill introduced by Mr. MARKEY, Mr. MERKLEY, Mr. SANDERS, Ms. WARREN, and Mr. WYDEN.
⑤Information Commissioner' s Opinion: The use of live facial recognition technology in public places, 18 June 2021.
⑥European Parliament, Resolution of 6 October 2021 on artificial intelligence in criminal law and its use by the police and judicial authorities in criminal matters (2020/2016(INI)).
⑦石佳友:《人臉信息司法保護(hù)的里程碑》,《人民法院報(bào)》,2021年7月28日。
責(zé)編/銀冰瑤 美編/李智
聲明:本文為人民論壇雜志社原創(chuàng)內(nèi)容,任何單位或個(gè)人轉(zhuǎn)載請回復(fù)本微信號獲得授權(quán),轉(zhuǎn)載時(shí)務(wù)必標(biāo)明來源及作者,否則追究法律責(zé)任。