引言
人臉識別(俗稱“刷臉”)技術已經在越來越多的場景下得到應用,既涉及公共服務場所和設施,也涉及私人服務行為。關于使用這一技術的法律、倫理與文化基礎,迄今尚未在我國本土語境下得到充分討論。從中央到地方,我國目前開始逐漸出臺一些針對作為生物識別信息的人臉信息的立法,部分規則主要涉及這一行為過程中的某些環節,例如公共視頻監控、人臉數據作為敏感個人信息的搜集與使用等。刷臉技術的大規模使用,在人類歷史上是全新的事物,不僅涉及有關肖像、隱私、監視的傳統觀念與制度,而且涉及國家認證能力、安全預防問題,還涉及刷臉背后相關場景下法益的保護和平衡。和任何其他技術形態一樣,刷臉作為一種較為進階的技術,是嵌套在之前較不智能的技術環境下得到逐步使用和更新的;從較不智能到更為智能的技術裝置的演進,能夠幫助使用主體在更大范圍內降低成本、開拓應用場景,同時也開始面臨人臉數據泄露風險等疑問和挑戰。由此,從法律角度對這一技術進行研究的慣常思路是,將刷臉視為人工智能(AI)應用的一種,從而分割成算法規制、場景化的數據使用規制、事后損害救濟等一般性問題分別加以討論,特別是人臉數據文件作為敏感個人信息的使用監管與保護。事實上,僅僅看到刷臉的算法與數據面向,不足以理解這一技術在中國乃至世界范圍內的迅速興起以及應用場景的制度邏輯,從而難以辨識技術使用的應然維度。有必要看到,刷臉的特殊性在于,它被廣泛應用于社會主體不同身份的認證(authentication)和行為識別(identification)場景,從而也涉及人臉數據作為不同身份信息標識符的相關問題,因此有必要將刷臉放在一個更為開闊的數字身份認證與識別的路徑下進行討論,以辨明這一技術應用的不同層次、主體和用途,進而在不同的應用場景下,按照該行業/環境的使用目的與慣例,通過成本-收益分析判斷該技術是否可以以及應如何得到使用。受到廣為關注的人臉數據泄露和歧視風險,也可以從這一視角找到解決路徑。
本文將詳細討論刷臉在身份認證與識別場景中的原理及其法律應對。第一節從宏觀維度對比傳統網格社會和現代網絡社會中刷臉的不同功能,從而將刷臉定位為一種技術-法律制度過程,強調其是社會治理中身份制度的重要環節,而非簡單的技術應用過程。第二節將討論身份認證中的刷臉,認為認證的實現過程,從傳統物理空間中的分布式(人們親自持有各類證件到不同場景中的權威機構進行認證),開始轉向虛擬空間中的數據集中化(數據庫中已經儲存相關信息,只需要遠程確認)。人臉作為新型身份標識符,可能起到廣泛的表面上去身份化的效果,嵌套在實名身份認證體系中的刷臉,實際上會促成社會中身份認證權力在橫向與縱向上的集中,而這對于作為平臺的政府和企業具有不同的意義。第三節將討論行為識別和追蹤中的刷臉,以及人臉數據能否作為基礎身份信息加以使用的問題。刷臉事實上為數據主體在物理空間中開啟了默認賬戶,這在事前和事后產生了不同的功能。人臉數據在不同領域具有不同的法律屬性,需要進一步區分為公共安全進行的追蹤和平臺企業對個人行為的服務追蹤,并提供不同的信息披露要求。第四節進一步討論作為個人信息的面部數據在具體場景中的風險,認為表面上的去身份化仍然有可能在實質上掩蓋并加強社會性身份歧視等不公平因素,而未經授權的刷臉也會促成合并更多場景的個人畫像,從而為個體帶來不可預知的風險。因此,有必要深入不同的具體場景辨識技術使用的特定社會規范,防止通過刷臉形成的數據主體異化。
一、作為身份法律制度的刷臉
(一)人臉是通用身份標識符
盡管刷臉在當下數字時代更多地是與技術相互關聯,但從社會性角度來看,人臉從來都是一種互相識別和驗證的通用身份標識符。在傳統的熟人社會中,人們主要不是像其他動物那樣通過聲音和氣味互相識別同類,而是認臉。通過認臉(“認人”),熟人社會中的成員得以識別相互之間的社會地位和在差序社會網絡中的相對地位,從而使得人類種群得以穩定交往、合作,維系血緣和信任。由此,認臉能力意味著在看到人臉的那一瞬間,同時在頭腦中反映出對方的姓名、稱謂、社會身份甚至過往與其打交道的經歷,如果不能很快記起并按照相應規范進行回應,那么會被認為失禮。和指紋、虹膜、DNA信息這些純粹靜態的生物信息不同,人臉具有重要的社會性(因此更多具有公開的而非私密的屬性)和動態性(表情和皺紋都反映了內心變化與滄桑經歷),我們很難完全拒絕來自別人的人臉識別(蒙面的社會幾乎不存在),除非徹底與世隔絕。從這個意義上說,人臉、辨識人臉的技術、對相貌表情和人類情感關聯的發掘,一直都構成了人類社群社會規范和環境的重要組成部分,已經逐漸形成社會制度和法律制度。刷臉和社群身份、聲譽機制、集體記憶/遺忘、合作交往等機制一起,共同構成了長久以來的社會生活。因人臉和身份各異,甚至刷臉一詞在現代還被賦予某種特權色彩,反映了不經正當程序就享受某些服務的現象。這些都說明,為了理解數字時代的刷臉,需要回到線下社會運作過程本身。
隨著現代社會朝向陌生化和高度流動性轉變,人臉的社會性意義開始受到削弱,人臉代表的對穩定小規模社群成員的認證意義,也被國家和單位組織提供的大規模認證職能所替代。新的國族和社會身份取代了傳統身份,并通過“證件”“證明”這類現代治理工具得以維系,最終通過法律加以確認,國家和社會的認證權力由此展開。在此過程中,身份法律制度逐漸興起。例如,以《居民身份證法》為代表的國家認證制度,規定了作為“每個公民唯一的、終身不變的身份代碼”“由公安機關按照公民身份號碼國家標準編制”的身份證號碼(第3條),及其發放、使用與查驗方式。通過這一制度,居民獲得了有效公民身份,并能真正成為負責任的法律主體。
刷臉也正是在這個意義上獲得了新的價值,其技術層面逐漸凸顯(帶有機器色彩的“人臉識別”說法更為普遍)。機器算法取代了人腦,替代其他社會成員對特定個體的社會身份進行認證與識別,人與人的關系愈加生疏,隱私和個人信息保護逐漸成為社會問題。通過快速登入賬戶與認證,無處不在的刷臉能夠幫助在線交易和公共服務提升效率,成為一種極端的選擇/退出機制和默認設置,而且還可能意味著(在成本允許的條件下)我們在每一個場景中的任何舉動都需要認證身份、識別行為,并可被追蹤。機器認臉的計算過程在邏輯上和人腦類似,即在比對面部數據的同時,訪問含有該個體姓名、生日、身份證號碼甚至犯罪記錄等的數據庫,將相關信息關聯在一起做出決策。人機交互倫理和社會規范逐漸成為數字時代無法回避的問題。
大規模刷臉的背后,也反映了新型數字基礎設施的構建。從法律治理和服務角度來看,在公共領域布置的公共視頻監控終端,已成為智慧城市設施的重要組成部分,延伸到城市管理的諸多方面;從私人服務角度來看,以第三方支付為代表的刷臉應用,將不同的單位和組織連在一起,提供統一的支付系統(連帶一般性的信息管理系統)服務。人機社會規范、新型基礎設施與社會網絡機制(如聲譽評分、同儕合作、網絡記憶、表情識別等)共同運作,輔助作為正式制度的法律正常運行,幫助降低流動性社會的交易總成本,有效應對社會失范現象,使得整個數字環境的可信程度大大增加,從而順利地將傳統的線下成員身份資格之間的了解和信任,轉變為經由機器自動執行的線上信任,最終促成了人類社會性的架構變化和重塑。通過大規模刷臉實踐,社會成員獲得了繼身份證之后新的可信身份證明和通用身份標識符(新冠肺炎疫情期間則增加了作為健康碼的二維碼)。因此,拋開技術應用的外殼,數字時代的刷臉仍持續體現出強烈的身份法律制度屬性。刷臉技術的使用,首先需要服從于制度的目標,即流動性的社會和法律治理。
(二)刷臉如何嵌入國家治理:從區隔到聯通
從社會治理和法律治理的模式來看,上文提及的從傳統社會到現代流動性社會的轉型,也部分體現了從封閉網格(grid)到開放網絡(network)的變化。在網格化社會中,流動性程度較低,社會成員在每一個網格中具有可辨識的不同社會地位和相對固定的社會身份,社會通過官僚制組織和具有外在強制力的成文法律規范進行治理。為確保本網格的安全,且使社會成員享有相應的權利、履行義務,需要由外在組織賦予固定不變的身份,并給予具有法律效力的證明文件。于是,不同層次的身份認證就變得不可或缺,各類證件的使用成為常態。而從查驗身份證件到人臉識別的轉換,僅折射出通用身份標識符形態的變化,實質上沒有區別。在這一階段,個人信息的收集和使用,主要被用于網格內的區隔認證(若超出則無效,價值效用會降低),并可以動員群眾參與治理,大規模個體的行為痕跡對網格化治理的意義不大,只是被用于個別情形中的事后證據收集與事實認定,從而通過法律和單位組織的次級成文規范進行懲罰,形成潛在威懾。
在網絡化社會中,不同網格被吸納進同一個流動性更強的高維網絡之中,社會成員的身份變得多元,統一的跨越網格的數字身份認證替代了獨立分散的驗證措施。新的在線社會強調通過信息技術和社交網絡的“連接”和“聯通”,由此形成了“點贊文化”等聲譽機制和社會機制。正如下文將詳細闡述的那樣,此種社會連接是被互聯網平臺面對不特定用戶不斷通過身份認證和行為識別重新塑造出來的,這和表面上宣稱的以通用身份標識符進行“去身份化”實踐并不完全相符。當在線場景大量集中在一個平臺上時,用戶的數字身份就可以通過進一步挖掘數據得到塑造,在不同的傳統場景下獲取用戶行為習慣偏好,向其有針對性地推薦廣告和商品,從而更好地使多元社會身份為用戶的消費者身份服務。在數字社會中,人與人之間的人臉直接識別仍然存在,并維系著不同的社會網絡,但在更多情況下,通過無處不在的大規模機器間接識別作為中介,才能確保流動中的安全、秩序和信任。只有在這一階段,大規模的個人信息可以跨越場景使用,具有更多關聯和挖掘價值,可被用來幫助預測個體行為,進行更多事前預防。也因此,對其的保護與風險防范,以及對數據分析的算法權力的警惕,才成為新問題。
下表將網絡和網格中的刷臉及其特征進行了對比,能夠進一步凸顯不同場景技術-法律制度的治理意義:
網絡社會中無處不在的攝像頭代表了“權力的眼睛”,可能會給社會主體帶來壓迫感,但問題不在于技術本身,而是由于大規模流動性導致穩定的社會秩序和社會關系難以短期形成均衡,從而很難讓傳統熟人社會中的各種機制和不成文規范再次發生作用并降低風險。因此,刷臉不過是嵌入當代社會治理過程的技術-法律制度形態。它是為了應對流動性而存在的,是總體安全和信任的一部分,而不單純是一種中立技術。只有深入理解這一技術-法律制度是如何在不同場景下得到內化和使用,才能更好地評估其成本和收益。
二、刷臉與認證權力的集中化
(一)當認證權力遇見刷臉
人臉識別技術的提升,首先是基于早期互聯網時代數字化照片的流行,大量免費的在線人臉數據集,為人工智能機器學習能力的開發奠定了基礎;其次,由于家用和公共攝像頭的增多,以及智能手機和數碼相機的普及,大眾對到處充滿鏡頭的社會環境的接受/容忍程度日益提高;最后,刷臉技術逐漸變得成熟,被更多地用于公共服務,成為一種身份認證的方式和數字基礎設施服務,在打擊犯罪、維護公共安全方面也起到了積極作用。人臉在法律上長期以來僅具有肖像權的私法意義,現在則能夠被大規模數據化,成為一種認證口令、敏感的個人信息和數字經濟的生產資料。人臉識別精確度是一個逐漸實現的過程,經過前期大量的人臉數據集訓練,人工智能有能力精確區分人和其他事物(這對無人駕駛汽車和其他智能化產品非常關鍵),甚至每一個特定的個人;一旦連接到更多數據庫,還能對該個體的身份和背景信息有更多掌握,且機器不會因人臉的些微變化而遺忘或誤認。刷臉的大致技術過程是,首先需要被識別者提供本人較為清晰的照片錄入數據庫,然后利用計算機視覺技術,通過相關硬件上的攝像頭/屏幕在經由掃描收集到的真實人臉圖像上進行特征參數標記,形成虛擬3D模型,從而轉化為一個實時的人臉數據文件,最終將這一文件與數據庫照片進行對比,以判斷是否為同一個體。識別精確度依賴于不斷改進的人臉圖像標注算法。例如,在新冠肺炎疫情期間,一些公司開發出新型算法,甚至能基于有限人臉樣本識別出佩戴口罩的小區居民。
認證制度是國家的核心法律制度之一,通過為公民創設唯一的權威身份、頒發身份證件,并通過這一證件對人口、稅收、公共服務等方面的統計調查,國家能夠實現有效治理。隨著單位和社會組織的興起,不同的組織、協會也會相應地對其成員圍繞各自頒發的社會身份進行認證,認證權力也更加泛化。在互聯網時代,作為生物特征識別之一的人臉識別技術逐漸推動一場“身份認證的革命”。公共服務場所(例如機場、火車站、賓館)通過刷臉確認需要使用交通、住宿服務的旅客,某個企業用刷臉讓員工打卡進入其辦公區域,支付寶通過刷臉確定用戶有權進行大額資金轉賬,它們的目標都在于確保享有特定資質的主體以真實的給定身份(公民、消費者、員工等)進行活動,享有權利,接受服務。人臉具有普遍性、真實性和唯一性的特點,可以作為成本較低的一種生物信息標識符。作為人的自然屬性,人臉并非一種天然的社會身份信息,對于傳統的社會組織來說,可以將其和代表身份資質的身份證件結合起來使用。而對于那些并不強調身份特征的、為大量流動性用戶提供服務的組織而言(例如互聯網平臺),刷臉技術會更受歡迎。
傳統身份證件在認證過程中的功能,包括:(1)對外展示特定身份信息,既可出示給第三人查驗,也能體現頒發者的不同權力等級和效力差別(例如國家頒發的身份證不能等同于校園卡);(2)對內作為一種資質證明,在不同領域行使特定權利義務的憑證,很可能是一串數字編號,甚至可以機讀。相應地,通過刷臉進行的身份認證,能夠直接通過實時對比認證對象和后臺數據庫基礎信息,無疑降低了認證主體和被認證對象的成本。對前者而言,省去了人力和傳統證件的對比查驗過程;對后者而言,免去了身份證件丟失補辦的麻煩。這意味著刷臉使證件的對外展示部分消失了,人臉從而成為一種替代各類證件的、能適用于各類不同場景的通用身份標識符,從外部看不出不同的社會身份(無論是公共關系還是私人關系),但成員的資質信息本身嵌入在背后的數據庫和計算過程當中,從而實現了信息與物理載體的真正分離。從表面上看,此過程似乎是由數字系統取代了物理證件,即人(臉)+物理證件→人(臉)+數字系統,但實質上是數字系統背后的數據庫比對過程替代了人和物理證件之間的匹配關系(持有身份證件、目測相貌比對),從而更加精準。
刷臉認證的邏輯過程涉及兩類人臉數據,一類是基于在先法律關系所收集的人臉照片,另一類是實時生成的人臉數據文件。第一步是收集人像照片形成基礎人臉數據庫,這是由在先的特定法律關系決定的(由權威來證明你是誰,授予身份,是否做到知情同意),第二步是對已經收集到的圖像進行使用(也需要告知),先是對真實人臉的實時拍照生成新的人臉數據文件,再用這個數據文件與事先收集的照片進行比對,即相當于使用一個基礎人臉數據庫,能否聯通到更多數據庫獲取信息,還要看是否明確告知被認證的個體。
就通過信息系統的認證而言,通用身份標識符的出現,使得原來通過用戶名和密碼登錄賬戶和身份認證這兩個行為合二為一,變得更為簡易。也就是說,刷臉事實上幫助用戶開啟登入了一個單獨賬戶,以人臉更加方便地取代了賬號信息,并開始積累行為數據。這意味著認證基礎設施的升級,在一定程度上能降低傳統身份證在認證過程中發生泄露的風險。此類風險在早期實名制的實踐中較為突出,當時很多網站在登錄后要求用戶上傳身份證件照片或號碼而未采取加密措施,造成大量用戶身份證信息失竊并流轉于黑市,甚至可能被用來騙貸、虛假注冊公司,結果影響到個人社會信用。而如果賬號信息(現在是人臉)本身能夠承擔登入和認證的雙重功能,那么避免使用基礎身份信息,就可以降低此類風險。
(二)刷臉認證的兩種思路
然而,如果刷臉技術取代不同的賬號信息,被相當廣泛地在公共領域和私人領域當中使用,那么有可能會造成如下后果:公共和私人用于認證身份的基礎信息標識符被混同。除非人臉數據文件因算法和技術水平不同而有差異,但就其表現在外的實際過程而言并沒有差別,進而取消了一切票據和證書所代表的時空、法律和社會意義。早期的互聯網治理實踐也表明,基礎身份信息(身份證僅表明公民的政治身份)不應當被廣泛用于各類社會服務,而應當僅限于公共權力機關提供的公共服務或重大交易場景(例如參與交通、金融、醫療、教育、購置車房等),否則的話,如果連普通交易場景都要查驗身份的話,那么一旦泄露,便可能直接影響當事人的重大人身和財產安全,也會淡化基礎身份的價值。如果放在網格模式下,那么這種擔憂更容易理解,它代表了一種“分散認證”思路,即不同身份證件應當被用于區隔領域單獨使用,而不會發生混同,目的是確保符合資質的人有資格從事某些活動,并防止他人盜用資質和相應的資源。盡管證件化的社會生活一直在不斷擴張,人們擁有的各種代表社會身份的證件/證明也越來越多,但分散認證思路及其實踐在互聯網產生之前的物理空間中一直運轉良好。
在互聯網上,這一趨勢開始終結,很多網絡服務提供者沒有能力一一向用戶頒發帶有成員身份性質的獨一無二的證書,而是放任用戶使用自己的用戶名或郵箱進行注冊,它們僅關心賬戶的使用行為(是否消費或付出了注意力)而非用戶的各種社會身份及其真實性。看上去這意味著賽博空間的邏輯開始壓倒物理空間,趨向一種“去身份化”邏輯,即主導賽博空間的平臺企業向大量不特定用戶通過創設賬戶的方式發放虛擬身份證明以推動數字經濟生產。截至目前,人們在賽博空間中并不擁有真正穩定的法律意義上的普遍虛擬身份,即使有實名制認證,也不過是線下基礎身份的映射。如果說互聯網用戶仍然有某種普遍社會身份的話,那就是“消費者”,傳統的社會身份只有統一在消費者這一標簽下,才生發出新的意義(例如生產相應的行為數據)。
虛擬身份的匿名性,無疑帶來了非法信息傳播、詐騙等諸多網絡犯罪問題,因此國家計劃推行統一的真實身份認證,以便于識別追蹤,于是就產生了“集中認證”思路。集中認證的理念是,面對互聯網大規模服務去身份化的服務能力,為降低基礎身份信息混同的風險,仍然需要使用某種超越各類傳統身份信息的統一標識符,要么是線下二代身份證的映射(例如公安部第一研究所開發的二代身份證數字版CTID,甚至通過“一網通辦”平臺自建APP),要么重新創設賽博空間中的新基礎身份(例如公安部第三研究所開發的eID)。
由此可見,認證方式已經出現了分散認證(網格化)和集中認證(網絡化)的明顯路徑區分,刷臉在這一背景下產生了截然不同的后果。對前者而言,任何物理空間以及設備都可能通過刷臉進行用戶身份認證,因此可能產生不同的人臉數據文件,分散在不同的認證主體服務器上,監管起來成本較高。正是刷臉技術的普及,將賽博空間中的控制/生產邏輯擴展到物理空間中,完成了完美的空間分割與封閉。這對線下封閉組織的秩序管理和資源使用有一定的好處。對后者而言,依托于平臺的特定APP都可以集中使用手機硬件或平臺提供的人臉識別功能,平臺作為認證代理人,既能夠降低監管成本,也能降低中小APP的運營合規成本。類似地,大型平臺的第三方賬號登錄機制起到同樣的功能,將經過認證的本平臺服務賬號擴展到更多第三方服務上,從而成為一種基礎設施服務。從這個意義上說,大型平臺企業有能力率先提供較為安全的人臉識別服務,既方便了用戶,又能夠通過延伸至更多APP而獲得流量,成為其競爭優勢,此外還可以幫助降低監管成本和創業成本。
刷臉技術在嵌入上述兩種認證思路的過程中變相推動了集中認證。這主要是因為大量私人服務越來越多地使用刷臉幫助消費者登入賬戶,待技術成熟后,進一步將其推廣至線下諸多場景乃至傳統組織。這反映了賽博空間覆蓋物理空間的另一條路徑,即表面上幫助單位和社會組織維持既有身份認證體系,但通過技術系統滲透其中,不斷增強對其成員進行的行為識別和追蹤,以技術便利換取(傳統組織無法處理的)行為數據。由此,刷臉客觀上促成了社會中認證主體數量的減少和認證權力的集中,人臉作為一種自然生物信息不會取代各類社會身份,但開發人臉識別技術的服務提供者試圖將這一自然身份逐漸凌駕于多元社會身份之上,成為激活各類社會身份與活動的口令和鑰匙。
三、行為識別與人臉數據的法律性質
(一)公共機關與人臉識別
當下引發較多爭議的是通過刷臉進行的行為識別,這不僅進一步凸顯公共機關和私人服務提供者的差別,而且也有助于厘清人臉數據在網格/網絡不同語境下的法律性質。本節將分別討論公共機關和私人服務中通過刷臉進行行為識別的法律問題。如前所述,對特定個體進行身份認證后,刷臉事實上自動開啟了一個虛擬賬戶(取代手動賬戶登錄),同一個賬戶可以繼續用于積累數據和跟蹤,識別出特定賬戶使用者的行為,從而持續定位同一個人。鑒于刷臉的成本較低,它更容易被使用在不同場景中的明示接受服務活動。刷臉開啟賬戶的行為同時具有事后追蹤和事前預測兩種功能。從公共機關的角度來看,為確保公共安全需要,較早地使用身份證作為定位公民在公共場所活動(從酒店旅館入住到公共視頻監控)的唯一標識符,在應用刷臉技術后,相關賬戶積累了認證對象的相關活動,能夠起到事后追蹤、提供證據的功能。例如,多年以來的公共安全視頻監控建設,使城市中遍布攝像頭和傳感器,可以匯集到公共安全應急指揮中心或其他警務平臺(最近升級為智慧城市的“城市大腦”之一部分),公共區域的攝像頭也從單一的錄像存儲功能升級為可動態識別認證對象的刷臉功能,越來越成為一種信息基礎設施和默認技術設置。在這一過程中,攝像頭背后的算法會自動將獲取的人臉數據與更多特定數據庫(例如犯罪信息數據庫)進行比對匹配,從而能很快鎖定交通肇事者、犯罪嫌疑人或普通違法者。此為與僅僅訪問基礎身份數據庫之認證過程的不同之處。
人臉數據的法律性質在識別階段就成為一個問題,即在多大程度上被識別個體能夠“同意”其人臉數據可以對接不同數據庫中進行比對,這需要根據不同法律設定的場景進行辨別。例如,人臉數據文件是否是《居民身份證法》意義上的基礎身份信息,或是《網絡安全法》意義上的(敏感)個人信息。作為生物性的通用標識符,人臉數據文件未必天然能夠成為基礎標識符,而是需要國家的強制性認可。盡管現有規則將人臉界定為主要的個人信息或敏感信息,但其在性質上仍然是一種可采集的自然生物信息,在地位上不具備由國家授權發放或確認的條件,也不能對外展示證明身份,只能與身份證結合起來使用。在技術層面上,人臉數據文件也無法被看成是固定不變的基礎身份信息,因為不同識別主體使用不同的技術和算法生成的人臉數據文件是不同的,這取決于算法、攝像的像素以及建模的顆粒度等因素。從這個意義上說,一張人臉可能對應著完全不同的人臉數據文件。就此而言,人臉數據并非一種認證意義上的單一基礎信息和身份證明,而是必須依托權威的認證系統及其背后的官方數據庫加以輔助說明,它本身只能是一個激發各類身份技術裝置的口令(即用戶名和密碼),實質性的身份認證仍然需要在后臺進行。鑒于人臉識別技術有能力對所有社會個體進行識別,遠遠超出了我國法律規定的應當申領身份證的16周歲范圍,則這一技術的使用將在身份證制度以外創設出一套新型的個體識別體制,并能夠打通原來各種各樣的身份證件數據庫,例如居民身份證、護照、戶口簿、機動車駕駛證、軍官證等軍(部)隊身份證明、往來港澳通行證、大陸居民往來臺灣通行證等。
因此,通過攝像頭的針對不特定人的刷臉行為,就可以被視為一種以人臉為媒介的大規模實時身份證信息查驗(包含了認證與識別過程)。根據《居民身份證法》第15條的規定,在程序上核查實體身份證,需要查驗主體(如警察)表明身份和意圖,而通過公共攝像頭的無人身份查驗,只能以加強信息披露的方式增強合法性。例如,不能簡單地說明特定位置安裝的是公共安全攝像頭(這只是表明安裝主體和目的),還需要針對三種不同的功能分別標識,并以可視化的圖像加以呈現:(1)單純的錄像和存儲;(2)通過人臉進行認證;(3)收集人臉數據文件和其他數據庫進行比對分析。這還能在事前起到提升執法威懾強度的功能,其效果會大大優于一般性的警察安全巡查。如果按照這一邏輯開展公共安全視頻制度建設,那么就需要對《居民身份證法》進行修改,授權“電子警察”為公共安全的需要在某些區域以不間斷的方式通過刷臉進行身份證查驗,并以合理方式(可見標識、短信等)告知進入該區域的公民正在被查驗,從而和線下查驗行為相匹配。
這一行為若涉及訪問犯罪數據庫或任何其他執法數據庫,則可被解釋為一種在公共場所開展的基于公共安全的大規模執法/偵察行為,需要公眾更加有效的認知和配合,而非對個體肖像權的侵犯。基于公共安全而設置的刷臉,超越了私法意義上個人信息使用的“知情同意”原則,但仍需要在形式上告知展示,這里涉及的更多的是對公民在公共場所行為信息的收集和處理,已經進入了公共數據的范疇。一般性的人臉識別攝像頭,對普通人在公共場所的行為尚不構成足夠的壓力,缺乏針對性,而在機動車駕駛的特定場合以及行人過馬路的十字路口,刷臉技術對特定違法行為的捕捉越來越容易,可以精準定位到個體,就會給當事人帶來直接的壓力與合規動力。
公共機關的刷臉識別行為,會改變傳統技術裝置下的公私權力關系。首先,它進一步延伸了自邊沁(Jeremy Bentham)、福柯(Michel Foucault)以來的“全景敞視監獄”的監視邏輯,即通過無處不在的攝像頭在社會中表明“權力眼睛”的存在,能夠以有效提升發現違法行為之概率的方式,增加對潛在犯罪行為的威懾。在這種情況下,事后懲罰就開始變得沒那么重要,普遍的事前威懾才是刷臉更加重要的社會功能。甚至身份識別本身不一定真實發生,只要大眾相信有可能發生,就會有效地進行自我約束,從而遏制潛在的不法行為。
其次,人臉識別有能力無差別地適用于刑事違法行為和普通違法行為。原來因違法活動等級的差別而使得國家資源不得不投入到那些更重要的領域,而現在公共機關則可以無差別地監控在逃嫌疑人、交通肇事和普通的行人闖紅燈行為,并自動分類實施處罰。如果從一般公共執法行為上升到刑事偵查行為,那么需要更進一步做好刑事程序合規,例如,(1)嚴格規范技術偵查措施事前審批程序;(2)特別是偵查過程中獲得的人臉數據文件需要單獨收集儲存,獲悉的秘密內容應當保密,獲取的與案件無關的人臉數據應當及時銷毀;(3)明確被識別個體對技術偵查措施的事后知情權以及求償權等救濟性權利;(4)完善通過技術偵查取得證據的使用規定,等等。
再次,刷臉背后的數據庫接入與分析,無疑能擴大公共機關(特別是公安機關)的執法和取證能力,不僅可以迅速比對公共數據庫,而且還能夠將監控攝像頭延伸設置在小區、商場、學校等組織,即它們擁有的錄像或服務器在某些情況下能夠連通至當地公安機關的監控平臺,變成了公共空間(有爭議的)延伸。這更需要做好程序上的知情展示和民眾溝通參與。
最后,由于人臉是個體表露在外的進行社會交往的公開媒介,個體仍然有足夠多的選擇和能力避免被識別,例如對頭部和面部進行全部或部分遮掩。這也說明了即使是在非私人空間中,也存在一定程度的隱私期待,人們會對未經授權使用攝像頭在公共場所以安全為名進行錄像的做法感到反感。這種社會態度,不單純是簡單區分公共權力和私人權利的問題,而是攝像頭(權力)的可見性,人們可以接受公共場所針對不特定人的監控,但卻無法接受直接針對自己或私人空間的攝錄行為。可以設想,大規模常規刷臉終端設備的出現,可能會變相推動遮掩面部社會規范的形成(新冠肺炎疫情期間已經形成了佩戴口罩的習慣和社會規范)。由此有必要規范公共安全視頻安裝的位置和數量,增強信息披露和公共空間內可見的威懾。
(二)私人服務與人臉識別
越來越多的私人服務提供者使用攝像頭和刷臉技術,這主要體現在支付領域和安全防護領域,也出現了不經告知的違法偷拍直播。在私人主體使用刷臉的場合,應當執行知情同意原則作為約束,明確展示說明攝像頭和終端的功能。這意味著在一些無法對攝像頭及其功能進行展示披露的場合,刷臉將無法合理地被使用。和其他個人信息一樣,如果人臉數據不是該項提供的服務必須收集的話,那么用戶有權拒絕以刷臉方式開通一個賬戶并積累其活動數據。
私人服務提供者基于默認的用戶協議生成、獲取和使用人臉數據文件,并可能主張這一文件因為企業投入技術勞動而創設,有權排他性地使用這些作為生產資料的數據(例如訓練人工智能)。只要使用過程能精確識別和還原到特定主體,對同一人的行為進行追蹤,那么對人臉數據文件的使用就可被認定為使用個人信息,從而需要遵守一系列個人信息保護規范,法律提供的可能救濟包括知情權和刪除權等。
私人服務提供者(特別是平臺企業)通過刷臉幫助用戶開啟新賬戶以后,產生的行為數據就會在事前對用戶未來的活動產生約束,這就回到了數字經濟的生產過程。社會主體的在線身份不再是某個組織通過外在證件賦予的,而是使用服務的事前資質和事后活動的集合,數據集(及其不斷挖掘的實踐)構成了新的社會意義上的動態在線身份,為整個新經濟的價值生產服務,人臉數據只是這一生產過程中的一環。應當看到,刷臉通過互聯網應用大量普及,本身加速了數字經濟的生產、交易和資源流動,即確保活動主體的唯一性和行為的連貫性,由此通過刷臉而積累活動數據,使得身份識別只有在網絡在線場景下才具有更大價值。對網格化的傳統組織機構而言,認證與識別過程相互分離,不會混合在一起;由于成員的社會身份是默認給定的,在必要時,單位或社會組織只需進一步追蹤成員活動即可。但通過網絡化平臺和數字系統進行刷臉,認證和識別這兩個環節就完全可以無縫融合在一起,以認證統攝識別,從而產生了諸如基礎信息泄露等風險。下文將討論此類風險大小和預防問題。
四、個人信息、刷臉風險與法律應對
(一)刷臉的風險與一般性規制
公眾輿論和不少研究者往往會擔心,一旦刷臉技術普及,則作為生物信息的人臉數據文件會遭到大規模泄露,使得作為通用標識符的身份信息被偽造和濫用,進而帶來無法預估的損失。按照一般個人信息保護思路的討論,人臉數據作為敏感個人信息,需要經過更為嚴格的程序處理,刷臉風險集中于采集、存儲與數據分析三個環節。
在數據采集環節,實際上只要滿足形式上的知情同意規范,說明采集的目的與用途,就很難完全阻止針對人臉或照片的數據采集。在數據存儲環節,討論者普遍認為可能會發生人臉數據泄露風險,考慮到人臉具有唯一性,一旦泄露,則會帶來難以彌補和想象的損失。按照這一說法,其主要的假想前提是:(1)在大量的重要場景中,刷臉認證設施十分普遍,這一點正在逐步成為現實;(2)非法獲取者用他人面部數據制作3D模型或物理面具,進而偽造篡改其在線身份,或冒充刷臉。此類觀點的問題在于:首先,泄露風險究竟有多高,仍然很模糊,而只是強調“無法預估的”風險難以進行成本-收益分析,至少目前人臉數據失竊不像銀行卡賬號密碼或身份證失竊那樣顯著,概率也不比后者更高。其次,需要區分事先收集的人臉照片和實時生成的3D數據文件的不同風險,前者自互聯網產生以來一直都存在,并且已經形成了大量數據集,但后者則更為關鍵。第三,至少是目前,偽造面部模型行動的成本太高,幾乎難以大規模進行,對追求低成本獲利的“黑灰產”團隊而言得不償失,只要認證主體采用多重因子認證或人工審核,就能解決大部分的安全問題。因此,盡管人臉數據失竊很聳人聽聞,但這并非從真實的成本-收益分析加以測算,而更多地是由于人們對極具人身屬性的面部在心理上十分敏感,經過大眾媒體的宣傳放大,變成了似乎不證自明的道理。從實際來看,對特定主體人臉數據文件的濫用,并不比未經許可傳播或商用其照片所帶來的人格權損害更多,甚至遠遠低于身份證和電話號碼失竊的概率。易言之,大眾之所以會內心中覺得臉被盜刷后引發的風險更大,不僅是因為它是一種生物性信息隱私(指紋更容易被收集,但沒人在意),更是因為它的公共屬性,即傳統觀念中將人臉作為進入社會網絡的重要標識,代表了社會身份,一旦被盜刷,則可能意味著失去(虛擬)社會地位和信任,最終喪失社會行動和交往能力。當然,上述分析并不意味著就可以忽視大眾輿論和態度,而是強調需要不斷平衡使用刷臉技術的政策目標和風險,保持大眾對這一技術使用的信任,防止過度恐慌。
除了極端情況下的人臉數據文件被偽造冒用,刷臉的真實風險主要在于實質性知情同意的落空。人臉一直會暴露在社會生活和工作過程中,一旦人臉成為單純的賬戶登入或支付口令,則就相當于將用戶名和密碼完全暴露在外,很容易通過遠程刷臉被非法使用,造成不知情情況下的人身財產損失。在一些情況下,甚至還會造成所屬單位和網格的相關潛在權益受損。人臉數據泄露的主要原因,恰好在于其易用性和有效率,一旦當通用標識符被大量認證主體和場景廣泛收集采用時,它自然會成為“黑灰產”犯罪團體關注的對象,從而導致其失竊概率增大。人臉數據也可能與二維碼等標識打通,與電話號碼、身份證一樣都指向唯一不變的個體,如果通用標識符的展現形態過多,那么其泄露風險就會增加,并沖淡其認證價值。此外,相關人臉數據文件或照片可能被自動化地上傳至特定數據庫進行實時比對和關聯,導致沒有經過認證對象的知情和授權而脫離場景地理解和使用人臉數據。對于此類人臉識別搜索引擎和自動化整合服務,有必要加以限制。
因此,在人臉數據的采集和儲存環節可以進行如下制度性規制:首先,需要認識到,沒有哪一種單一的認證方式是絕對安全的,雙重或多重因子認證盡管成本較高,但卻是提升安全概率的必由之路。在需要確保信息安全的領域,應當強制要求多重因子登錄識別。其次,按照分類分級原則系統規劃不同場景中認證的方式,防止基礎身份和次級身份混同。例如,刷臉可被用于公共服務或需要基礎身份認證的重要場景,但要限制普通私人服務通過人臉或身份證進行直接認證(除非采用eID加密技術)。再次,可以限制留存實時生成的人臉數據文件的時間,降低泄露概率。最后,強化對人臉識別軟硬件的專業認證措施,采取類似網絡安全分級制度進行分級管理。對于那些落入基礎設施領域的刷臉服務,需要加強諸如牌照管制一類的特殊監管方式,這將有助于提升和統一技術標準與安全標準,使刷臉變成稀缺性資源,從而避免向社會更大范圍的服務提供者提供,激勵后者轉向開發其他安全的身份認證手段。
在數據分析環節,由于人臉的公開性和社會性,其作為自然屬性的面部信息能夠在一定程度上被賦予社會意義,即不可避免地與膚色、表情、五官等因素放在一起,展示出某種統計意義上的社會評價(性別、階級、膚色,甚至同性戀和成人視頻演員等),由此只要擁有足夠大的樣本,就能夠通過分析給特定主體貼上標簽,進行精準差別對待(歧視)。目前出現的數字歧視行為表明,表面上的去身份化的刷臉服務,可能會在技術平等的意識形態下掩蓋黑箱中持續的身份歧視,人臉識別只不過為服務商或認證主體提供了更加廣泛和低成本的登入服務而已,發生的變化,只是客觀上用統一的賬戶體系取代多元化賬戶體系。在中國語境下,在多大程度上能夠產生社會性歧視行為尚有待觀察,當下可能更值得關注的是消費者歧視問題(例如大數據殺熟)。
(二)場景化規制的方法論反思
場景理論作為數字隱私保護的新型路徑已得到了諸多討論,甚至也可以擴展到對一般性技術(例如算法)進行規制的討論。本文將推進這一理論的積極意義,即探索如何具體地發現和界定場景,從而理解某種特定技術在嵌入既有制度環境之后應如何應用的問題。單純的個人信息保護與算法規制研究的慣常思路是,將算法與個人信息看成是基本上在真空中就可以運行無誤的制度,處于核心地位;即使進入具體場景展開討論,也只是自上而下地闡釋基本原則和規則,進而消解了場景的特殊性和自主性。這種思路不太符合現實實踐,未能看到這些問題的發生實際上依賴于技術設計、從屬于需要該種技術的在先制度邏輯,也遮蔽了作為一種制度的技術本身運行的真實狀況,從而難以合理地評估個人信息保護的程度,以及平衡效率導向的技術目標與場景中其他社會規范、大眾認知與參與之間的關系。類似地,比例原則要求對個人信息的使用和收集須與其應用的政策目標相匹配,而這也要求我們進一步討論如何在理論上建構場景及其制度邏輯。
前文的討論已經充分表明,刷臉技術是逐步嵌套進公共和私人的不同場景中得到應用的,不可能也沒有必要凌駕于既有行為目標和規范之上,只有首先理解認證/識別中身份權力機制的演變,才能更好地界定場景,進而在問題集合中尋求個人信息/隱私問題的適當定位和解決方案。具體而言,第一步是要看到數字身份在社會轉型中的重要意義,將其放置于網絡/網格模式二分中進行討論,這決定了不同場景中政策目標和實施效果的本質差異。第二步是將認證/識別設定為劃分更為具體的場景的標準,鑒別出達成共識的某種法律關系,進而區分出公共機關與私人服務提供者的不同制度性約束,包括該行業/環境的使用目的與慣例等,理解技術如何進入既有制度設計,并成為制度的一部分。最后一步則是,在需要強化個體權利時,進一步討論具體個人信息保護與算法監管的規則細節,根據成本—收益分析評估風險,形成解決方案和政策建議。
按照上述這一方法論思路,還可以稍作延伸,討論刷臉在上文未涉及的其他熱點領域的應用及其法律問題。它們都超出了單純個人信息和算法的范疇,而是需要回溯至該場景的基本法律關系和原則共識。例如:
其一,教育與情感計算。在諸如學校課堂的教育領域,攝像頭和人工智能可以幫助教師記錄和分析學生的表現,潛在地提升考試分數,但這會把教育和學習過程完全變成像富士康工廠那樣的機械生產流程,成為分數教育的一個縮影。問題還在于,人工智能無法精準判斷人在特定場合的表情和行為(一些學生們之所以沒有專注聽老師講課,很可能是因為已經學會了),故而總是存在著(機器性)權力無法深入和理解的特定社會空間。學生們自主學習的潛在能力可能會因此受到干擾和侵犯,所以應當對學校的類似活動進行法律限制。
其二,雇主監視。雇主會通過刷臉加強對雇員的監視,特別是在遠程辦公或靈活用工的情況下。這可能會造成勞動者在工作場所中進一步喪失隱私,強化了雇主對勞動過程的控制權力。在開放的靈活用工平臺上,平臺所有者通過刷臉對平臺上數字勞動者加強控制力,其行為可以被解釋為人身/經濟從屬性的一種司法標準,從而為數字勞動者爭取權益。
其三,社會規范。違法行為(例如闖紅燈)監控往往通過頭像展示和嵌入社會信用的方式加以約束。這降低了公共機關的行政總成本,但必將增加個體合規成本,即對人機規范和機器執法方式的認知成本。例如,現有的道路規則及其標識變得越來越繁復,需要司機完全集中精力進行駕駛,稍有疏忽,就可能會被無處不在的刷臉捕捉到,進而被判定為違規,最終被扣分。現在這種認知負擔已經從駕駛活動擴展到日常活動的許多方面。從這個意義上說,不能僅因為實施成本低就盲目使用刷臉技術和擴張權力對個體行為的約束空間,而是應看到個體認知成本的約束,將一部分底層社會行動空間繼續交由個體熟悉的社會規范,否則普通人將會因無法認知大量規范而持續違規,威懾也難以起到作用。
結語
刷臉是賽博空間不斷擴展的必然階段,但很可能只是伴隨新技術開發的生物信息認證的諸階段之一。有必要超越討論單純的刷臉行為本身,而是深入刷臉嵌套和應用的具體場景,為未來其他生物信息的應用提供問題意識和理論框架。從經驗來看,刷臉技術服務于一個設定空間中的兩種不同層次目的:(1)外層的身份認證,即確定某個個體是否有資質和權利使用某種服務(無論是公共的還是私人的服務),驗證“你是誰”;(2)內層的識別與追蹤,即在確定資格之基礎上通過同一賬戶對成員/用戶的行為數據進行積累和分析,證明“你是你”,同時在各場景內進一步獲知和間接影響數據主體的行為,使其按照不同的政策目標行動。上述兩個層次會涉及個人信息保護及算法規制,但更多是涉及制度性原理,比如說為何需要認證/識別、圍繞此行為構建出來的主要法律關系,以及這一技術如何嵌入、推進、解決或改變已有的問題意識。即使需要在特定場景中討論,這一路徑也和流行的“場景化隱私”研究有所不同。場景理論聲稱需要尋找不同場景的具體規范,但并未展示如何在特定場景中應用該理論,因此就自我消解了。只有首先理解認證/識別中身份權力機制、法律關系的演變,才能更好地界定場景,進而在問題集合中尋求個人信息/隱私問題的適當定位和解決方案。例如,在認證層面,收集人臉作為認證信息越來越成為無須選擇的默認設置,只能根據不同行業需要加以分類限制;而在識別層面,則需要加強程序性的明示告知,尊重人們的選擇。
刷臉在名義上代表了一種普世的效率導向的技術應用,伴隨著后臺更多數據庫的聯通,公權力機關在公共安全方面能夠無縫切換地在不同場所持續追蹤違法者或嫌疑人,而提供私人服務的平臺企業則可以推動更為高效的支付、交易和其他服務。特別是后者在某種程度上率先推動了認證權力在賽博空間中的泛化和集中,在幫助諸多線下主體加強認證過程的同時,表面上推進了一種打破既有傳統組織邊界的“去身份化”社會過程,但實質上是通過普及刷臉來獲取更多傳統場景下無法獲得的行為數據,并重新界定和塑造流動的多元社會身份。由此,刷臉不單純是一個社會身份查驗過程,它也意味著身份認證和行為識別系統在社會范圍內的重塑。中國的社會治理正經歷著從網格模式(grid)向網絡模式(network)轉變的過程,認證/識別在這一過程中的功能有較大差異,從而帶動作為個人信息的人臉在不同場景下產生不同的意義。
本文的初步研究結論是,首先,刷臉是一種身份法律制度,起到身份認證功能,能夠開啟一個通向賽博空間的賬戶,從而延續了人臉作為通用標識符的社會功能,這意味著認證權力的極大增強。其次,刷臉意味著認證權力過程從分布式轉向集中化,認證信息與載體的分離。在實踐中,法律對公共機構和私人機構的刷臉實踐之要求是不同的,但通用標識符可能進一步模糊了公共服務和私人服務的界線,導致不同身份與權限的混同,形成了從(社會身份)認證到識別的轉換。在法律上仍然需要區分對為公共安全目的和為私人目的進行的刷臉監控的不同約束。再次,盡管無須恐慌,但我們仍需要關注刷臉的可能風險,特別是其背后的個人信息的自動化整合,以及可能的使用方式與歧視、異化的問題。最后,網格和網絡作為治理之理想類型的二分,為理解刷臉提供了有益的視角,也是場景理論的一個具體應用和延伸。