【作者簡介】石佳友,中國人民大學法學院教授。劉思齊,吉尼斯世界紀錄咨詢(北京)有限公司高級經(jīng)理。
人臉識別技術在現(xiàn)有應用場景中已經(jīng)被證明了其便捷性和高效性,但是,圍繞該技術自身準確性、安全性、倫理性和合法性等問題的爭議也從未停息。2020年我國“人臉識別第一案”引發(fā)公眾及學界關注與討論,急需在快速擴散的技術應用中,尋找信息法益保護模式。完善人臉識別技術中個人信息保護模式的可能性如下:第一,堅持“合法、正當、必要”原則,引入“特殊審查許可”對技術適用和信息處理行為進行限制,以此作為第一道保護屏障;第二,基于準入限制,在必要技術實踐中嚴格限制概括同意的適用范圍并輔助以監(jiān)管審查和退出權保障;第三,在技術日趨成熟的前提條件下,科學甄別并引入動態(tài)同意模式,以實現(xiàn)明確、清晰、特定且有效的同意授權,保障信息主體的合法權益。
關鍵詞:人臉識別;生物識別信息;知情同意權;動態(tài)同意
一、引言
2020年6月15日,杭州市富陽區(qū)人民法院公開審理郭兵訴杭州市野生動物園服務合同糾紛案。該案是由2019年杭州市野生動物園入園系統(tǒng)升級導致的糾紛。入園方式升級后,原告之前購買的年卡所采用的入園方式由指紋驗證變更為人臉識別。原告訴稱人臉信息作為敏感個人信息,對信息主體影響重大,被告就改變?nèi)雸@方式進行的短信、公告通知無效,且變相強制收集人臉信息,違反《消費者權益保護法》,要求動物園退還購卡費用,賠償相關交通費用并且刪除已采集的信息。被告則辯稱其進行的個人信息收集符合知情同意原則,因此雙方服務合同依然合法有效。一審法院判決支持原告請求。雖然此案被定性為服務合同糾紛,但有觀點認為這是圍繞敏感個人信息處理中“告知與選擇”“最小必要”和“風險評估”三大原則的爭議。該案并非我國首次因人臉技術而產(chǎn)生的爭議。早在2017年,城市公共交通路口設置人臉識別查處違反交通規(guī)則人員的做法就引發(fā)了關于公共安全和公民個人隱私權如何進行價值平衡的熱烈討論。2020年底,天津市人民代表大會表決通過了《天津市社會信用條例》,其第16條禁止社會信用信息提供單位采集生物識別等信息。
國際范圍內(nèi),人臉識別技術也同樣爭議不斷。2019年5月英國南威爾士公民愛德華•布里斯奇(Edward Bridges)在英國知名人權組織的支持下,以午餐時間被人臉識別攝像頭拍攝并被侵犯人格權利為由,將南威爾士警方告上法庭。2020年8月,上訴法院最終支持原告訴求,并認為公共監(jiān)控中使用人臉識別侵犯公民隱私權,違反《人權和基本自由歐洲公約》第8條、英國2018年《數(shù)據(jù)保護法案》第64條以及2010年《平等法案》(The Equality Act 2010)第149條。隨后,當?shù)厝藱嘟M織將人臉識別技術稱為“具有威脅性的危險技術”,并呼吁禁止在公共領域使用該技術。在美國,臉書公司則因未經(jīng)用戶同意而收集、存儲個人生物識別信息面臨集體訴訟。在最新的動議中,臉書公司將賠償6.5億美金,同時應在動議獲批后的180天內(nèi)關閉當?shù)厝四樧R別“照片標簽”功能,同時刪除數(shù)據(jù)庫中存儲的人臉圖像及人臉生物識別符模板信息。在政策層面,美國多個城市政府也相繼表現(xiàn)出對于人臉識別的猶疑和抵制態(tài)度。基于技術歧視、疊加算法偏見、隱私與自由的壓迫和公權力過度的多重顧慮,2020年9月,美國伊利諾伊州斯普林菲爾德市發(fā)布市政令,暫停人臉識別在公開政務中的使用。另外,加利福尼亞州、馬薩諸塞州、俄勒岡州等所屬10個城市亦相繼發(fā)布市政令,直接禁止包括警察部門在內(nèi)的政府機構在轄區(qū)內(nèi)公共場合使用人臉識別技術。
20世紀50年代至今,生物識別技術迅速發(fā)展。有預測數(shù)據(jù)指出人臉識別行業(yè)未來年均增速可能高達25%,其市場規(guī)模在2022年將達到約67億元。人臉識別技術前景可觀,但其風險與收益比例關系依然存疑。人臉識別技術自身和所涉及的個人信息均具有特殊性,而這些特殊性則導致在技術應用過程中產(chǎn)生新的個人信息風險與威脅。因此,行業(yè)引領者和制度設計者應在技術發(fā)展和公民權利保護之間把握邊界,在技術應用與發(fā)展中,同時構建相對應的隱私和個人信息權益保護模式。本文將從人臉識別技術的特殊性切入,結合我國社會經(jīng)濟體制和技術發(fā)展環(huán)境,并且順應現(xiàn)有的立法趨勢,對比甄別域外實踐經(jīng)驗,探尋我國人臉識別技術實踐中個人信息保護的適宜路徑。
二、人臉識別對個人信息保護的特殊挑戰(zhàn)
歐盟《互聯(lián)網(wǎng)及移動設備人臉識別技術的意見書(2012年)》中將人臉識別技術定義為“通過自動處理包含人類面部圖像的數(shù)字照片來識別、驗證以及鑒別個體的技術”。美國司法部司法援助局定義該技術為“通過生物識別算法來檢查和匹配自然人人臉的區(qū)別性特征的技術”,并稱這項技術有助于快速識別無身份人和死者,在調(diào)查和預防犯罪活動上是“有價值的調(diào)查工具”。從技術應用場景劃分,人臉識別目前主要應用于兩大場景:一是政府機構進行公共管理和維護公共安全的場景;二是涉及身份認定和定制服務的多樣化商業(yè)場景,包括照片分類與標簽、安全訪問、精準營銷以及消費者服務等等。在上述場景中,人臉識別技術所帶來的便利性被日漸認可,但其背后的風險和隱患也逐步進入各界視野,帶來重重顧慮。
第一,人臉識別技術的實踐須基于拉網(wǎng)式的人臉信息收集,因此在收集過程中可能嚴重威脅個人隱私。美國學者經(jīng)調(diào)查研究認為隱私權風險是人臉識別技術發(fā)展中最為核心的問題,同時在倫理、政策、安全、公平公正性方面都存在技術衍生問題。人臉識別技術與公共監(jiān)控攝像頭的融合,導致公民個人“隨時隨地活在鏡頭之下”,個人行動路徑和習慣偏好都可能在拉網(wǎng)式的人臉圖像捕捉中被分析、提取和窺探。斯坦福大學有研究者曾稱可通過面部特征的智能分析,判斷主體的性取向,觸及個人隱私。
第二,人臉識別技術造成人身、財產(chǎn)以及心理上的安全隱憂。在某媒體發(fā)起的覆蓋兩萬多人的人臉識別調(diào)查中,30.86%的受訪者表示已經(jīng)因為人臉信息泄露蒙受財產(chǎn)損失,而在“最擔憂的安全隱患”中,個人行蹤持續(xù)記錄(54.4%)和賬戶盜刷導致財產(chǎn)受損(53.72%)僅次于“人臉信息泄露”被列為第二和第三。通過人臉識別,被系統(tǒng)判斷為“本人”的用戶可以遠程行使訪問權或者決定權,例如進出某特定空間,或進行遠程金融交易等。除此之外,有學者將人臉信息稱為“生物密碼”,并且指出人們一旦丟失該密碼,將無法通過更換來保障安全,也因此讓“冒充者”有可乘之機。除了物理性的財產(chǎn)損失,有學者認為人的社會存在表征就是生物和哲學雙重意義下的“臉”,因此臉的存在與否和人的社會存在直接相關,若人臉信息泄露并遭遇侵權,則可能造成其精神上的社會存在受到壓迫。
第三,人臉識別技術為肖像權保護帶來新的憂慮。有學者指出人臉識別技術在人工智能發(fā)展的推動下在各領域進入實質性應用,也將對肖像權產(chǎn)生新的威脅。首先,人臉識別依托于光學攝影技術,通過終端攝像頭拍攝人臉照片并進行快速識別。隨著技術的發(fā)展,不同拍攝環(huán)境對于鏡頭精確度的影響日益降低,對人臉肖像的提取和利用的門檻也隨之降低。其次,人臉識別需要存儲大量人臉圖像或人臉生物識別符作為數(shù)據(jù)庫進行后續(xù)識別比對,因此若人臉數(shù)據(jù)庫遭遇泄露并用于技術深度偽造,其所造成的安全危害將無法預估。
第四,人臉識別算法可能造成自由危機。現(xiàn)如今,自動化技術和人工智能依然無法完全去除人工干預的痕跡,且在智能算法自動累積學習中,人的主觀選擇效應將被無限次疊加,從而引發(fā)“標簽化”的歧視問題。從法理學視角出發(fā),有學者認為 “技術擠壓自由”,技術便利性的強化將提高人類對技術判斷的依賴性,從而潛移默化地逐步擠壓自由,導致人性中的模糊狀態(tài)異化為 “好”與“壞”的兩種極端選擇。基于我國公眾普遍對公權力更為信任,對權威更為認可的這一社會心理特點,當技術結合公權力之后,這種擠壓將更加明顯。
為了進一步探尋人臉識別技術中的個人信息保護路徑,做到有的放矢,應明確技術應用中個人信息風險的特殊性。
第一,人臉信息具有特殊屬性。人臉信息屬于活體數(shù)據(jù),來源于自然人身體,具有直接識別性,獨特性,唯一性,極難變更或替代。相較于指紋或聲紋等需要主體配合才能夠采集的其他生物識別信息,人臉不可藏匿,“隨身攜帶”且極易采集。同時,人臉信息一定程度上可以關聯(lián)到特定自然人的既往社會評價、名譽等人格利益,若遭遇泄露或冒用,則可能影響其在社會生活中的自由,且該影響在互聯(lián)網(wǎng)時代猶如現(xiàn)代“刺黥”,極難褪色消逝。2018年人工智能報告顯示出在廣泛的人臉識別應用中,若是將數(shù)據(jù)主體根據(jù)“興趣”進行分類,衍生出特定個體標簽,將直接導致背負標簽的主體面臨特殊對待或過度監(jiān)控的問題。
第二,無接觸信息采集中的知情同意障礙。人臉識別技術中的信息采集以攝像頭自動拍攝為手段,不需要信息主體主動接觸采集設備。因此,在整個采集過程中,被采集對象往往毫無察覺,從而錯失判斷風險并明確表達同意或拒絕的機會。同時,現(xiàn)有人臉識別服務存在“使用即同意”的亂象,例如某公共查詢平臺將人臉識別設置為“唯一”的識別方式,導致信息主體因需要選擇服務而不得不同意。
第三,“同意”邊界模糊且范圍不明,導致人臉信息泄露后溯源無門。在現(xiàn)有人臉識別用戶服務協(xié)議文本調(diào)查中,不少人臉識別服務協(xié)議中均約定了向“相關第三方”傳輸人臉圖像用于比對識別。但是,該第三方身份通常無從知曉,僅僅以“相關性”進行約束,極可能導致人臉圖像經(jīng)過多次傳輸后無跡可查,無從溯源。以新型冠狀病毒肺炎疫情防控初期實踐為例,基層管控多處應用了人臉識別技術采集公民人臉,而后網(wǎng)絡人臉“黑市”就隨之出現(xiàn),數(shù)千張戴口罩和不帶口罩的人臉照片被廉價出售,但是,這些人臉圖像的源頭卻不得而知。
第四,技術濫用導致管制缺席。新技術如同“誘人的魔盒”,誘使各領域躍躍欲試:從校園管理到公共洗手間的廁紙取用,從線上賬戶登錄查詢到線下垃圾分類,包裹著“黑科技”或者“智慧”外衣的人臉識別技術,無限制地在各種場景下被推廣使用,而這些使用場景是否符合信息處理的合法性、正當性和必要性,是否存在合理監(jiān)管路徑,依然存在巨大疑問。
第五,事后救濟效力存在局限性。萬物互聯(lián)以及技術仿冒導致人臉信息的侵權結果擴散極快,極難恢復如初。同時,由于技術和信息的不對等地位,公民個人極易因為缺乏專業(yè)技術知識而維權困難。另外,現(xiàn)有侵權賠償救濟模式的震懾效力仍然有待檢驗。值得注意的是,立法機關于2020年10月所公布的《個人信息保護法(草案)》中規(guī)定了違法處理個人信息的法律責任:除勒令整改之外,還規(guī)定了違法處理者100萬以下以及主管人員1萬到10萬人民幣的處罰額度,情節(jié)嚴重時處罰額度最高可達非法所得的5%。同時,信息主體可根據(jù)實際損失或信息處理者違法營業(yè)額百分比請求賠償,并允許在無法計算時由法院行使自由裁量權。雖然現(xiàn)有草案通過提高違法成本對違法信息處理行為予以威懾,但是,從人臉識別行業(yè)現(xiàn)有規(guī)模來說,100萬處罰額度是否具備足量的威懾力,是否能夠有效阻止處理者因利益而“鋌而走險”,尚且存疑。
三、人臉信息保護的現(xiàn)行法律框架
在2021年起正式施行的《民法典》中,“個人信息保護”與“隱私權”并列作為第四編第六章的主要內(nèi)容,并通過固定的法律條款明確了個人信息定義、保護原則以及相關主體權利。2020年10月公開征求意見的《個人信息保護法(草案)》進一步區(qū)分一般個人信息和敏感個人信息,并分別對兩類信息處理過程中涉及的處理者義務,主體權利以及責任部門都作出了具有針對性的規(guī)定。同時,草案順應時代需求,體現(xiàn)出對于個人信息流動必要性的認可,并以尊重信息流通需求、實現(xiàn)信息價值和保障合理合法利用為立法目的,充分體現(xiàn)了我國在個人信息保護領域的積極主動態(tài)度和未來立法趨勢。
(一)人臉信息保護具備明確的法律基礎
《民法典》第1034條第2款從信息記錄形式、可識別屬性兩個角度定義個人信息,且明確羅列出“生物識別信息”屬于個人信息,肯定其受保護的法律地位。但是,《民法典》并未進一步細化“生物識別信息”的定義。其他現(xiàn)行法律包括《消費者權益保護法》和《網(wǎng)絡安全法》,對于生物識別信息均未做出明確的定義。從文義解釋來看,生物識別信息應解釋為生物活體上足以識別特定主體的信息。全國信息安全標準化技術委員會在2019年6月公開發(fā)布的《信息技術安全技術生物特征識別信息的保護要求》征求意見稿中,將生物識別信息定義為“生物特征樣本、特性、特征模型、性質以及原始描述數(shù)據(jù)的識別特征,或上述數(shù)據(jù)的聚合”。人臉信息來自活體,且作為原始生物特征具備識別性,符合該生物識別信息定義。
《民法典》第1034條第2款強調(diào)個人信息的“特定自然人的可識別性”。但是,根據(jù)現(xiàn)有規(guī)定,具備“可識別性”的生物信息才符合保護對象的界定,反之,倘若人臉圖像在經(jīng)過模糊或遮擋處理,抑或是圖像數(shù)字編碼處理之后,則因喪失可識別性可能無法受到保護。這其中依然存在隱患:一是技術的流動性和發(fā)展變遷將導致當下無法被識別的人臉在未來有可能被新技術破譯,恢復其可識別性;二是大數(shù)據(jù)共連的環(huán)境下,原本喪失識別性的信息,再次結合位置、行蹤或者其他信息之后,可能重新具備整體識別性,足以指向特定自然人。
相較之下,歐盟和美國對于生物識別信息的定義則更為具體,且人臉信息均被明確納入生物識別信息范疇。歐盟《通用數(shù)據(jù)保護條例》(英文簡稱“GDPR”)第4條第14款將“生物識別數(shù)據(jù)”定義為“對自然人的物理、生物或行為特征進行特定技術處理后所得到的具備識別性的個人數(shù)據(jù)”,例如人臉圖像或指紋數(shù)據(jù)。美國《加利福尼亞州消費者隱私保護法案》(英文簡稱“CCPA”)中將“生物識別信息”定義為個人“生理、生物或行為上的特征”,包括脫氧核糖核酸序列等一切可以單獨或結合其他信息識別特定個體的信息。美國《伊利諾伊州生物信息隱私法案》(英文簡稱“BIPA”)將“生物識別信息”直接概括定義為具有“個人生物識別標識符”的任何信息,并以反例形式列舉出不包含在“生物識別信息”里的信息種類。由此可見,美國從生物識別信息的定義上趨于囊括盡可能多的生物特征及相關數(shù)據(jù),在實踐中可以幫助執(zhí)法者快速判斷涉案數(shù)據(jù)是否屬于生物識別數(shù)據(jù),從而援引相關的保護性規(guī)定。
(二)人臉信息作為敏感信息進行特別保護的立法趨勢
《民法典》對私密信息采取了“隱私權+個人信息”的雙重保護,這被認為是“權利+利益”的二元保護模式。《民法典》第1034條第3款規(guī)定:“個人信息中的私密信息,適用有關隱私權的規(guī)定;沒有規(guī)定的,適用有關個人信息保護的規(guī)定。”按照這一規(guī)定,私密信息首先適用隱私權保護的規(guī)定。這些規(guī)定包括:第1032條第2款規(guī)定的“隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息”;第1033規(guī)定的“除法律另有規(guī)定或者權利人明確同意外,任何組織或者個人不得實施下列行為⋯⋯(五)處理他人的私密信息……”。根據(jù)《民法典》前引條款,僅在上述隱私權規(guī)定無法適用的時候,方可適用個人信息保護的有關規(guī)定。這一做法可以理解成,對于私密信息應優(yōu)先適用隱私權的規(guī)定,類似于特別法——因為隱私權是《民法典》明確承認的“民事權利”類型,而個人信息保護由于未明確使用“權利”措辭,從而屬于法律所保護的“利益”范疇,所以其規(guī)則屬于普通法。這一做法正好與比較法上以隱私權涵蓋個人信息的通例相反,具有獨特性。第1034條第3款在解釋上的困惑在于,“沒有規(guī)定”究竟是指隱私權保護范圍未能涵蓋(即可能存在隱私權范圍以外的私密信息),還是指隱私權保護手段方面沒有規(guī)定(即存在隱私權保護方式無法保護的私密信息)。但不難理解的是,此種保護模式可能并非最適宜的方式。就信息特性而言,人臉信息并非不愿為人所知的信息,對周圍的人來說也不具備足以比肩隱私的私密性(當然,對于陌生人具有一定的私密性)。在實際社會生活中“人臉”作為公民社會交往的“活體名片”,具備生理和心理的雙重屬性,蘊含豐富的非語言情感信息,承載了對應主體的既往社會評價,信用評分,以及人格尊嚴。因此,人臉信息應屬于“并不私密但卻敏感”的信息,如果簡單適用一般類型的個人信息保護規(guī)則,則可能導致保護不力,致使信息主體權益遭受侵害。
值得注意的是,《個人信息保護法(草案)》摒棄了“私密信息”這一外延高度不確定的概念,轉而采取了“一般信息-敏感信息”的分類方式,其第2章第2節(jié)明確以“敏感個人信息的處理規(guī)則”為標題,并且在第29條中明確列舉個人生物特征屬于敏感信息。相較而言,“敏感信息”的概念內(nèi)涵更為明確具體(如種族、政治與宗教信仰、生物識別信息、健康信息、性取向等);而“私密信息”在邊界上則較為模糊,可涵蓋所有未公開的個人信息,包括在特定范圍內(nèi)(如家庭成員、朋友間)分享的所有信息。從客體范圍的確定性角度來看,《個人信息保護法(草案)》的做法似更可取。另外草案中第27條針對公共場所的圖像采集、身份識別設備的規(guī)定,可以直接關聯(lián)到人臉識別技術,足見草案對于這一特殊信息處理技術的關注和區(qū)別性規(guī)制。
對比國外現(xiàn)有規(guī)則,生物識別數(shù)據(jù)由于其特殊性,一致地被作為特殊數(shù)據(jù)予以單獨保護。GDPR第9條第1款將生物識別數(shù)據(jù)列為特殊類別的個人數(shù)據(jù)之一,規(guī)定在通常情況下禁止處理。美國在人臉信息保護領域制定專項規(guī)范,例如BIPA中針對私人實體進行人臉數(shù)據(jù)處理提出特殊要求,同時美國信息技術與創(chuàng)新基金會在針對聯(lián)邦數(shù)據(jù)隱私法案的建議中也明確將生物識別數(shù)據(jù)列為敏感數(shù)據(jù)。
(三)人臉識別中個人信息處理原則的從嚴適用
《民法典》第1035條規(guī)定了個人信息處理的原則和條件,而《個人信息保護法(草案)》沿襲相關原則,并在第29條針對個人生物特征等敏感信息提出了更高要求,即“特定目的”和“充分必要性”,以及更嚴格的“知情同意”,并在第30條和第32條兩次提及從嚴規(guī)定,體現(xiàn)出對于該類型信息更堅定的保護態(tài)度。
其一,人臉識別技術中個人信息處理應具備嚴格的合法性前提。知情同意是個人信息處理的合法性基礎,而《民法典》中則體現(xiàn)出不同程度的“同意”層級:第1035條規(guī)定個人信息處理的“同意”可以來自“自然人或其監(jiān)護人”,或者是“法律、行政法規(guī)另有規(guī)定”;第1033條中處理隱私或私密信息可根據(jù)“法律另有規(guī)定”或“權利人明確同意”。有學者認為這一差異體現(xiàn)了《民法典》在私密信息和一般個人信息保護的三點不同:一是法定授權范圍情形不同,即對于處理私密信息的法定授權,僅限制在我國正式施行的法律,并不包含行政法規(guī);二是作出同意的主體不同,在隱私權保護的框架下對于私密信息僅有信息主體本人有決定權,而在個人信息框架下允許監(jiān)護人代為處決;三是“明示同意”是以書面或其他形式做出清晰的許可,而同意則可能包含了不反對、默認等被動暗示。基于生物識別信息具備更高敏感度這一共識,如果直接適用一般個人信息的要求,是無法充分保障主體的權益的。《個人信息保護法(草案)》第30條規(guī)定個人生物特征等敏感信息的同意授權應該是本人單獨、書面同意。對于“單獨”一詞,在文義上應解釋為“獨立的,不和其他一起的”,即該同意應該是獨立且明確的“專項同意”,不能與其他信息混同或隨意擴增其原有同意范圍。在同意形式上,要求主體基于“完全知情”做出書面“具體、清晰、明確的”同意,這基本與域外做法一致。GDPR第9條規(guī)定在常規(guī)情況下禁止處理包含生物識別數(shù)據(jù)等的特殊數(shù)據(jù)只允許在數(shù)據(jù)主體明確同意,且該同意具備對抗禁止處理規(guī)定效力的前提下才可以處理。BIPA中則明確要求處理生物識別數(shù)據(jù)必須基于書面同意包括紙質或電子的形式,以保障信息主體通過“主動行為”,在形式上更為明確地表達對個人信息的處決決定。這不難看出,各國對生物識別信息屬于特殊數(shù)據(jù)已經(jīng)達成共識,且認可一般性的同意會導致主體對于信息掌控和自決的效果有所折損,無法滿足主體權益保護需求。
其二,人臉識別技術處理個人信息時應嚴格遵循“明確特定目的”及必要性要求。目的正當性的含義不僅僅是合法合規(guī),還應同時符合目的限制,誠實信用和公開透明的要求,即“相關、特定、明確且合法”,這也與第1035條中規(guī)定的四條件中“公開處理規(guī)則”和“明示目的、方式和范圍”相呼應。從這個角度來看,《個人信息保護法(草案)》第29條第1款規(guī)定仍有值得完善的地方。該款規(guī)定:“個人信息處理者具有特定的目的和充分的必要性,方可處理敏感個人信息。”此處“具有特定的目的和充分的必要性”,措辭過于寬泛,建議在“具有”之前增加“基于維護公共利益或個人的重大利益”。以GDPR第 9條為參考,盡管該條第1款也使用了“特定目的”(Specific Purposes)這一說法,但該語詞結合隨后其他幾項條款,可以被明確解讀為個人的重大利益或者在健康、勞動、社會保險等領域的公共利益,具體包括:對信息數(shù)據(jù)主體的基本權利和利益是必要的;非營利機構的正當性活動中所進行的處理;處理是為了實現(xiàn)公共利益所必要的;科學或歷史研究目的或統(tǒng)計目的是必要的并采取了合理的保護措施等。
人臉識別技術的實際應用目前大致分為政府機構基于公共服務或社會管理目的的使用和企業(yè)基于商業(yè)目的的使用。政府部門應用人臉識別處理信息往往基于法定授權而無需個人的單獨同意,且通常覆蓋面極廣,因此應依法明確劃定“警戒線”,尋求個人利益和公共利益的平衡。《個人信息保護法(草案)》第27條對公共場所設置圖像采集以及身份識別設備有所規(guī)定,為這一場景下的人臉識別技術應用設置了三層約束:第一,以“維護公共安全”為目的,而“必需”則限制了政府機構在存在替代方案能夠達成同一目的時對人臉信息等生物特征信息的使用;第二,設置明顯標識保障個體知情權的有效落實;第三,禁止目的之外的對外公布和傳輸,即將生物識別信息限制在目的框架之中。但是,公共安全范疇伸縮性較強,包含了信息、食品、衛(wèi)生、交通、建筑物、環(huán)境等廣泛領域,因此草案應考慮細化公共安全目的、技術使用主體以及批準審核程序等,確保個人法益的折損程度和所保護的法益符合比例原則,例如進一步明確列舉出人臉識別等生物識別可以適用的具體公共安全場景,包括重大公共衛(wèi)生健康所需、追蹤調(diào)查重大違法犯罪嫌疑人,或為維護個人憲法性基本權利和公共安全所必需等。
在商業(yè)應用領域,人臉識別技術作為當下不斷發(fā)展的新型技術,其技術的專業(yè)性和普通人的認知水平存在較大的落差,信息處理目的也更為動態(tài),在處理過程中是否一直符合初始目的,對于個人來說難以充分監(jiān)督。我國現(xiàn)有個人信息安全規(guī)范將審核監(jiān)督的責任分配到信息控制者,要求信息控制者成立個人信息安全負責人和個人信息保護機構,履行隱私政策的制定簽發(fā),安全影響評估和審計等職責。但是,作為信息控制者組建的下屬機構,并不獨立,角色更趨近“責任人”而無法充分履行獨立監(jiān)管的責任。《個人信息保護法(草案)》第32條體現(xiàn)出在行政許可監(jiān)管上的從嚴趨勢,即在處理生物識別信息時,如果法律法規(guī)要求必須獲得特殊許可或有更為嚴格的要求,應從嚴適用。這一規(guī)定體現(xiàn)出我國未來在敏感個人信息處理上從嚴治理的大方向,也為未來細分信息類型,“量身”制定行政法規(guī)提供可能性和空間。
其三,人臉信息處理應嚴守“最小必要”的限度。《民法典》第1035條強調(diào)“不得過度處理”,要求必須采取對權利人最小侵害的方式處理信息。“過度”一詞,文義上應該理解為超越常度或者超過制度規(guī)定,但是《民法典》第四編第六章中除了第1033條規(guī)定未經(jīng)法律許可或主體明示同意時禁止處理私密信息之外,其他條款并沒有明確“常度”的標準線。所以,生物識別信息處理的限制“常度”在現(xiàn)行法規(guī)下依然相對模糊。《個人信息保護法(草案)》第29條嘗試進一步定義“必要性”,將“特定目的”和“充分必要性”作為兩個更為嚴苛的信息處理條件,并在第54條明確要求個人信息處理者在處理敏感信息前須進行事前風險評估,并全程受到監(jiān)管部門的監(jiān)督管理。
就比較法的規(guī)定來看,考慮到生物識別信息敏感度的定性,歐盟和美國在生物識別信息處理領域采用更為保守的做法,即采取概括性“禁止”結合“例外情形”來反向明確允許處理的“必要場景”,即“原則禁止、例外允許”。GDPR第9條第1款規(guī)定生物識別信息等特殊數(shù)據(jù)禁止處理,而第2款列舉十種允許處理的例外情形,并且沒有包含“等”作為兜底,就意味著有且僅有這十種情形允許處理生物識別信息。與之相比,美國似乎趨向更為保守的做法,趨于以禁用的方式限縮技術應用的范圍,且民間技術反對者們已經(jīng)自發(fā)創(chuàng)建網(wǎng)絡社群,呼吁抵制人臉識別技術的應用,充分規(guī)避技術風險以及技術可能造成的個人權利侵害。《人臉識別道德使用法案》要求政府機構在沒有形成技術應用準則和條件之前,禁止使用或投資購買人臉識別技術處理生物識別信息。同時,美國國會針對執(zhí)法目的下的技術使用,出臺《人臉識別技術保證法案》規(guī)定執(zhí)法過程中的技術審批流程、期限和信息最小化原則,限制聯(lián)邦政府的執(zhí)法機構在執(zhí)法過程中使用人臉識別。舊金山市《通知秘密監(jiān)視條例》中禁止政府和執(zhí)法機構使用人臉識別技術進行拉網(wǎng)式的公共監(jiān)控,并嚴格監(jiān)督政府對于監(jiān)控技術的購買和使用。紐約州立法機關也通過了禁止學校使用人臉識別以及其他生物識別技術的法令;波特蘭市則禁止一切政府及商業(yè)私營機構在公開場合中應用人臉識別技術。反對者認為,全面禁止人臉識別技術會剝奪社會革新的可能性,降低犯罪調(diào)查等合法目的實現(xiàn)效率,應關注“預防濫用”或小范圍試點,至少無須全面禁止,為技術發(fā)展保留必要空間;而支持者則呼吁全面禁止這項“危險的侵入性”技術,這也符合美國憲法第四修正案中對于聯(lián)邦公民隱私權和平等自由等基本權利的保護理念。
就人臉識別技術存廢之爭,筆者認為,人臉識別技術作為信息時代的產(chǎn)物,在一定范圍內(nèi)有助于提高社會管理效率,為公眾帶來便利,一刀切式的禁止可能會嚴重制約社會發(fā)展。不過,鑒于人臉識別技術可能對人的基本權利造成嚴重的影響,必須借助合法、正當、必要等原則來加以嚴格規(guī)制,而這也是抑制技術泛濫,保護個人權利的必要“防護盾”。
(四)初具雛形的行業(yè)自律機制
人臉識別技術區(qū)別于傳統(tǒng)個人信息處理手段,在其技術保護中,行業(yè)自治組織基于專業(yè)知識,結合法律規(guī)范,以行業(yè)自律形式規(guī)范技術的設計、開發(fā)以及應用,可以有效填充法律規(guī)范和技術專業(yè)性中間的留白。2019中國刷臉支付市場調(diào)查數(shù)據(jù)顯示,截至2018年刷臉支付用戶達到0.61億人,而在支付平臺的推動下,未來預計可增長到7.6億人。中國支付清算協(xié)會發(fā)布的《人臉識別線下支付行業(yè)自律公約(試行)》對其會員單位提出安全管理、終端管理、風險管理和用戶權利保護的要求,呼吁應在遵循國家法律法規(guī)的前提下,保障用戶信息和財產(chǎn)安全。另外,目前已有互聯(lián)網(wǎng)企業(yè)發(fā)起《生物識別用戶隱私與安全保護倡議》,從隱私、安全、防止信息濫用、責任與監(jiān)督、公平性五個方向發(fā)起行業(yè)倡議,結合我國法律規(guī)范,提出“最小、夠用”這一基本原則,并建議企業(yè)內(nèi)部設置風險小組,保護用戶信息安全。但目前此類行業(yè)公約覆蓋范圍僅限于互聯(lián)網(wǎng)服務領域,對于線下其他領域的人臉識別應用,例如人臉識別門禁等更為普遍的現(xiàn)象,依然缺乏行業(yè)指引。
四、人臉識別中個人信息保護路徑探析
人臉識別技術的便捷性和效率性無可否認,一定程度上符合當代構建智能社會的需求,但其技術實現(xiàn)所依托的人臉信息,一旦遭到泄露或侵權后將可能嚴重影響信息主體的其他民事權益,甚至人格尊嚴、平等、自由等憲法性基本權利。因此,既要充分利用技術革新的便利,也要避免技術泛濫的弊端,理性評估并規(guī)制技術適用和個人法益間的平衡才是未來的趨勢。有學者建議參考實際國情,在人臉識別規(guī)制中有甄別地借鑒域外的特別許可制度,即經(jīng)由授權機構評估審核和許可,允許技術適用,同時輔助以定期技術準確性測試和技術應用審計,并設置懲罰性賠償?shù)闹贫取A碛杏^點也提出人臉識別信息的保護在于事前保護,包括必要性審查,確保信息處理和目的實現(xiàn)符合價值比例要求,以及細化技術適用標準以及知情同意的實際操作制度。因此,人臉識別中的個人信息保護路徑應從特別許可的準入審查以及更為合理的知情同意模式入手。
(一)基于合法正當必要原則的技術準入審查制度
無論合法、正當、必要的基礎原則或是具體原則,都應在生物識別信息處理中結合適用,而知情同意原則的適用應以基礎原則適用為限制。在人臉識別技術適用前,應經(jīng)由法定授權機構,根據(jù)理性設計的審查標準和步驟,對技術準確性、算法非歧視性設置、安全加密設置和主體權利保障路徑等進行評估。
英美和歐盟等國家和地區(qū)均選擇借助法案或規(guī)范強制要求在處理生物識別信息之前進行風險評估,其差別在于評估導向。英國深受歐盟GDPR影響,以數(shù)據(jù)保護為導向,明確針對生物識別數(shù)據(jù)等特殊數(shù)據(jù)強制適用評估制度。美國則以隱私保護為導向,對任何足以識別個體的信息處理均進行評估,并要求在四種情形下必須進行隱私影響評估即:開發(fā)或采購任何處理或采集個人識別信息的新技術時,創(chuàng)建涉及隱私的程序、系統(tǒng)、技術或信息收集方式時,涉及新的隱私風險的系統(tǒng)升級時,發(fā)布全新或升級的個人識別信息收集規(guī)則時。其核心目的在于保障個人信息收集的合法合規(guī),提前識別風險和影響,同時評估保護措施的有效性。
目前,《個人信息保護法(草案)》第六章擬指定國家網(wǎng)信部門進行統(tǒng)籌協(xié)調(diào),結合國務院下轄部門和各地人民政府部門,在各自管轄領域內(nèi)進行個人信息保護監(jiān)管,但尚未細分到具體職能部門。全國信息安全標準化技術委員會發(fā)布的2020年《信息安全技術個人信息安全影響評估指南》旨在指導行業(yè)基于個人權益影響和安全措施設置情況,以訪談、檢查、測試的方法對待評估的個人信息處理技術進行風險評估。無論是現(xiàn)有法律規(guī)定,還是現(xiàn)行行業(yè)規(guī)范,對于我國后續(xù)信息處理的安全影響評估模式,均有借鑒作用,但前者在其適用范圍,后者在其強制力上都存在缺陷,僅能作為目前生物識別信息處理的參考性或國家推薦性評估制度予以參考。因此,未來人臉識別技術準入審查應考慮從以下三方面進行構建:
1. 借助國家強制力,以專項法律或行政法規(guī)的形式強制要求在技術適用前進行全面的技術檢測和信息安全影響評估,并禁止豁免評估的例外情形。與設置公正、權威、獨立保護機構的學者建議和歐盟集中監(jiān)管體制不同,《個人信息保護法(草案)》第56條所確立的監(jiān)管體制依然是多機構混合且分散監(jiān)管的模式:由國家網(wǎng)信部門負責統(tǒng)籌協(xié)調(diào)個人信息保護工作,而國務院其他有關部門在各自職責范圍內(nèi)負責個人信息處理活動的監(jiān)管。在這一監(jiān)管模式下,建議網(wǎng)信部門針對不同類型的個人信息(例如生物識別信息)設置單項評估機構,只有通過評估的技術才能獲得應用許可,并對該技術應用進行定期回訪、追蹤與監(jiān)督,實現(xiàn)動態(tài)評估。《個人信息保護法(草案)》第54條具體規(guī)定了事前評估的實施主體、適用場景和評估內(nèi)容。在評估內(nèi)容上,草案提議的內(nèi)容覆蓋基本需求,但實踐中如何評估其原則的適用程度,以何種標準和參考系進行評估,還需要更細致、更具可操作性的規(guī)定。
2. 設立合法、正當、必要三重審查維度。人臉識別技術應用中的個人信息處理應從嚴貫徹“合法、正當、必要”原則。根據(jù)比較法經(jīng)驗,生物識別信息作為敏感個人信息,原則上應禁止處理,若出現(xiàn)“法定必需”情境,例如出于國家安全、公共安全、司法鑒定的目的,允許有限的法定授權機構進行處理,但依然不允許豁免“合法、正當、必要”原則的適用。
就此而言,歐盟GDPR可以作為借鑒,其第35條規(guī)定數(shù)據(jù)保護影響評估的最少內(nèi)容范疇包括:數(shù)據(jù)處理目的和具體操作的系統(tǒng)性描述,數(shù)據(jù)控制者希望實現(xiàn)的具體合法利益描述(適用情形下);數(shù)據(jù)處理與目的是否相稱和必要;評估數(shù)據(jù)處理對個體權利和自由所產(chǎn)生的風險;為應對風險而設置的保障措施、安全措施以及個人數(shù)據(jù)保護機制;技術處理過程中如何將數(shù)據(jù)主體合法權利和法案相關規(guī)定納入考量并適用的證明。以上規(guī)定分別與GDPR第5條第1款“合法性、合理性和透明性”、第2款“具體、清晰和正當?shù)哪康摹币约暗?款“為達到目的而適當?shù)摹⑾嚓P的、必要的處理”相對應。
3. 人臉信息存儲安全應作為準入審查重點。人臉識別技術的實踐無可避免地需要篩選捕捉人臉圖像進行數(shù)據(jù)庫比對。因此,人臉識別數(shù)據(jù)庫勢必包含大量人臉信息樣本。面對海量人臉信息存儲需求,人臉識別技術中的存儲安全設置必須作為事前準入評估重點,應從三方面予以審核:首先,信息存儲的時限和分區(qū)。基于人臉信息的特性,若結合其他個人信息將導致信息主體面臨急切的隱私、尊嚴及自由威脅,有學者認為人臉識別技術實踐中應在原則上禁止存儲原始人臉信息,或在必要時和其他個人信息分開存儲。其次,人臉信息的匿名化存儲設置。現(xiàn)有個人信息的規(guī)制中均要求信息應進行技術處理使其喪失指向特定自然人的識別性,且在當下技術條件下無法恢復,比如通過加密、假名、隨機化處理,去除其標識性。但有學者提出信息匿名化的程度提高將降低其可用性,且不存在絕對不可技術復原的信息。因此,應借助法律規(guī)則,明確匿名化處理并非對外傳輸或共享信息的前提條件,二者并不具備充分條件關系。若須共享傳輸,則應再次審核第三方傳輸及二次處理設置是否合規(guī)合法,是否足以保障主體法益。最后,第三方介入情境下的存儲服務審查。實踐中人臉識別技術使用方可能向第三方采購技術或設備,或接入第三方人臉數(shù)據(jù)庫,例如全國居民身份證系統(tǒng)等,實現(xiàn)其技術應用,因此,在涉及第三方服務時,應對第三方技術提供者協(xié)議里涉及信息采集和存儲的條款進行審查。
(二)人臉識別技術應用中的知情同意實踐建議
1. 人臉識別中的知情同意應以告知義務的充分履行為前提
國外法中以“Informed Consent”作為一般個人信息處理的前提,其中Informed從文義上解釋為“信息充分、知悉情況”,因此整體應被理解為“充分了解情況后的同意”。在處理生物識別信息時,則進一步提升其同意的要求:GDPR第9條第2款要求在不違背禁止處理的條件下,由信息主體做出明確同意;BIPA則升級為清晰嚴格的書面告知同意形式,從而固定信息傳遞的明確性和穩(wěn)定性。在目前我國人臉識別的技術實踐中,生物識別信息處理者存在未能充分履行告知義務的情形,包括告知“缺席”或者告知“失靈”。究其原因,一方面是由于生物識別信息處理者藏匿于終端設備之后,用戶面對提供服務的終端機器無從查詢,或者告知冗長造成閱讀不便;另一方面,生物識別服務涉及專業(yè)技術領域,技術知識不對等可能導致信息主體難以理解告知內(nèi)容。基于此,建議在生物識別信息處理的告知義務上給予兩個維度的規(guī)范:
第一,針對生物識別信息等敏感個人信息的處理行為均統(tǒng)一要求履行告知義務,不得免除,即任何組織或機構,無論出于何種目的(不違反禁止規(guī)定)處理生物識別信息之前,都應向所涉信息主體進行告知,且告知內(nèi)容至少包括其處理的個人信息類型,收集方式,信息處理目的,存儲方式與時限,安全設置以及信息處理者身份和聯(lián)絡方式等基本信息。
第二,應采用清晰、通俗、易懂且明確的語言進行書面告知,同時對于不易理解的部分或重點內(nèi)容進行單獨告知。在處理人臉信息等敏感信息時,可能面臨處理信息規(guī)模巨大或遠程采集等情況,應考慮結合現(xiàn)代技術手段,通過移動端推送或服務內(nèi)彈窗等形式進行單獨告知。若告知中存在預設格式條款或系統(tǒng)預設模式,應由國家相關監(jiān)管機構進行預先審查,在生物識別信息的處理周期開始之前保障信息主體的知情權。
2. 從嚴限制概括同意的適用
根據(jù)前文所述,人臉識別技術存在兩種適用情形:第一,法律法規(guī)允許的、為實現(xiàn)重大的利益所需的情形,例如公共安全、公共健康所需等;第二,法律法規(guī)不禁止,且獲得主體明示同意授權的情形。在知情同意領域,同意的模式不斷發(fā)展演變。傳統(tǒng)的知情同意要求明確、具體且詳實,被稱為特別同意,但特別同意在以往生物識別信息處理(基因研究或生物資料庫等)的實踐中,被證明存在效率較低無法滿足實踐所需的問題。無論是法定許可還是基于主體知情同意的情形,人臉識別勢必需要采集海量人臉圖像,并和數(shù)據(jù)庫中存儲的人臉識別符進行比對,因此完全適用特別同意的難度和成本之大將超乎想象。作為同屬于生物識別信息的基因,在其處理實踐中,概括同意模式允許將信息主體的同意從當下處理目的延申擴充至固定框架下的未來處理目的,憑借其靈活性和自由度受到推崇。
我國個人信息的同意模式也普遍采用概括同意結合特定例外的形式,它給予信息處理者一定的自由,在設定的處理范圍框架內(nèi)合理處理信息,提高信息處理效率,以應對技術升級或場景變更的需求。但是,作為特別同意的矯正提案,反對觀點認為概括同意在未加限制的情況下,可能導致告知程度下降,造成同意虛化。因此,在人臉信息處理中,應甄別現(xiàn)有知情同意模式,適當采用附帶嚴格限制條件的概括同意,保障信息價值實現(xiàn),同時保持個人法益保護的應有水準。另外,可以仿效基因研究領域的醫(yī)學倫理審查機制,設立科技倫理委員會,對人臉識別等可能引發(fā)倫理風險的科技應用,設置科技倫理審查機制,規(guī)范同意模式的適用。
首先,人臉識別中概括同意的適用條件應該予以限制。由于概括同意涉及限制框架下一定程度的信息處理自由,在人臉信息等敏感信息處理前,必須經(jīng)由嚴格的適用審查。生物資料庫研究適用概括同意的探討中,有學者建議倫理委員會對這種同意模式的采用進行提前審查,并允許主體自由選擇是否愿意適用概括同意;也有觀點建議根據(jù)信息對主體的重要性,將個人信息處理劃分為四個層級,并基于情境理論,考量并選擇匹配的同意模式;另有觀點認為針對生物識別信息等敏感性更高的信息,“以一概全”的同意模式無法有效避免風險,而應根據(jù)情境酌定。無論是倫理審查,還是情境酌定,應由具備專業(yè)技術和法律知識的法定授權機構就人臉識別服務中的同意模式進行審查,或將其囊括在事前技術準入審查程序之中,以判斷技術應用場景下概括同意模式是否足以有效規(guī)避風險、是否存在超額讓渡主體權益的情形、信息處理情形是否具備采用該同意模式的條件以及信息安全保障是否匹配和有效。
其次,人臉識別中概括同意的范圍限制。其一,概括同意的框架范圍必須合法且正當,符合目的限制。概括同意允許信息處理者在約定框架內(nèi)處理信息,而無需再次取得信息主體的授權。但是,在人臉信息處理中,對該授權延展長度應做出明確的限制,例如規(guī)定僅允許在實現(xiàn)同一目的且情境一致的范圍內(nèi),概括同意有效,若超越情境或變更目的,則需要二次評估并獲得新的同意。其二,概括同意范圍應以必要性為限度。“最小、夠用”除了作為生物識別信息收集的實踐標尺之外,也應作為主體概括同意范圍的邊界。其三,人臉信息加工后的跨境存儲、共享或處理不應納入概括同意范圍。有學者針對我國網(wǎng)絡服務隱私條款進行了文本調(diào)查,發(fā)現(xiàn)存在“當服務器位于境外時,主體同意其數(shù)據(jù)在境外存儲”的表述,這種情形下的概括同意可能導致人臉信息在未經(jīng)確認的境外不特定區(qū)域存儲、流轉,信息風險急劇升高。
最后,人臉識別中采用概括同意應設有嚴格的監(jiān)督審查機制,并設置個人選擇權、退出權等保障機制。知情同意源自信息主體對于個人信息處理的自決權,這意味著主體不僅有作出同意的自由,也享有撤回同意的自由。為避免技術不對等造成主體難以監(jiān)督的困境,國家法定授權機構應定期進行信息處理監(jiān)督和審查,以確保概括授權框架持續(xù)符合“合法、正當、必要”原則,并將其審查結果及時披露和公示,使得信息主體能夠充分了解風險,有機會更新或撤回同意。信息處理者還應設置人臉識別之外的替代選項,例如動態(tài)驗證碼識別或密碼識別,保障用戶的自由選擇權。
3. 利用技術發(fā)展和超級平臺創(chuàng)新引入動態(tài)知情同意模式
面對刷臉支付終端或者人臉識別門禁,個人難以真正理解其中的安全風險,并且可能無法做出出于真實意愿的同意。另外,人臉識別技術的實現(xiàn)過程存在不確定性,例如,約定“必要時”需要將人臉圖像與“法律法規(guī)允許的或政府機關授權的機構所保存的人臉圖像”進行比對核驗,或者人臉圖像處理所對應的服務可能因為適用場景和功能存續(xù)情況而發(fā)生未知的調(diào)整,但具體是哪些法律規(guī)定或哪個政府授權的機構,所提供服務(即信息處理目的)與人臉信息采集的持續(xù)相適性,對于信息主體而言均無從判斷,無法給出符合期待的同意授權。就此而言,美國學者提出的動態(tài)情境理論佐證這一現(xiàn)實問題。該理論要求信息保護應考慮情境關聯(lián)因素,以及信息主體在當下情境中做出的同意和合理預期。如今美國CCPA也已經(jīng)認可且采納了情境風險這一理論,要求信息處理應符合信息主體在其同意情境下的合理預期。
其實,涉及人體基因、健康狀況的生物醫(yī)學領域也曾面臨類似的情境困境——高敏感度的信息特性、技術門檻和不對等地位,以及快速迭代的技術手段和處理目的,導致知情同意原則遭遇前所未有的挑戰(zhàn)。圍繞這一困境,學者們進行了激烈的批判、反思甚至重構,最終在傳統(tǒng)特別同意、概括同意、分段分層同意、附條件同意等眾多理論中,提出了動態(tài)同意模式,允許個人選擇其偏好的知情方式、頻率以及內(nèi)容,并自由決定授予同意或退出同意,以提高信息主體在信息處理過程中的參與度。動態(tài)同意模式的核心在于參與感和撤回權,這一授權模式對于人臉識別技術應用中的人臉信息知情同意具備參考借鑒意義。
首先,動態(tài)同意模式下信息主體享有中心地位,能夠提高同意授權的有效性,實現(xiàn)充分意思自治。在原有基因生物研究的背景下,動態(tài)同意要求在生物資料庫和提供基因的參與者之間搭建溝通平臺,參與者可以進行偏好設置,自由選擇在何時、以何種方式和頻率、告知何種內(nèi)容,進而做出同意選擇。在現(xiàn)有人臉識別協(xié)議的文本調(diào)查過程中,發(fā)現(xiàn)幾乎所有服務提供者都選擇了加粗或使用著重符號提示用戶注意閱讀重點信息,但依然存在條款冗長的閱讀負擔,可能由于能力限制或時間緊迫而無法充分知情。動態(tài)同意模式下,個人將可以根據(jù)個人偏好,對國家法定人臉數(shù)據(jù)庫中的人臉信息進行管理,定制告知的時間、頻率、形式和內(nèi)容等,提高知情效率。
其次,動態(tài)同意模式下信息披露程度和透明程度較高,滿足生物識別信息等高敏感度信息處理的知情權要求。譬如,英國牛津大學研究者和部分產(chǎn)業(yè)界代表聯(lián)合提出的同意確保和撤銷研究項目( Ensuring Consent and Revocation, 2008-2012)是動態(tài)同意模式在生物資料研究中的實踐探索。該項目中,研究者可以通過技術平臺動態(tài)地、開放地、及時地披露研究進度和生物資料及信息的處理細節(jié)。人臉識別技術正在快速革新,從二維平面識別到三維景深識別,再到活體檢測技術。在快速迭代的技術發(fā)展中,信息處理的透明性將成為人臉識別中個人信息保護的基礎之一,能夠實時、有效地向個人傳達其人臉信息正在由何種技術采集、如何處理、如何進行安全保障,以及實現(xiàn)了何種目的等信息處理細節(jié),從而幫助個人做出判斷。
再次,動態(tài)同意模式可以保障信息主體享有同意撤回權,將信息主體置于中心地位,允許其根據(jù)所了解到的事實決定選擇進入和退出,打破既往“同意即終身”的弊端,符合情境理論中合理預期的需求。若將動態(tài)同意模式引入人臉識別應用,信息主體將有機會選擇讓自己的“人臉”消失于互聯(lián)網(wǎng)絡和信息世界之中,從而重獲被大數(shù)據(jù)忘卻的片刻自由。以新型冠狀病毒肺炎疫情基層防控的場景為例,部分社區(qū)管理委員會執(zhí)行嚴格的出入政策,采用人臉識別門禁,以限制非本社區(qū)人員的流動并追蹤社區(qū)內(nèi)人員的進出記錄。在疫情防控的場景下,社區(qū)居民對于其人臉信息處理的預期是保護個人和社區(qū)健康安全,但在疫情逐漸緩解乃至有效控制之后,該期待即發(fā)生變化,此時作為信息主體,個人應有權根據(jù)更新后的處理目的(社區(qū)日常進出管理等),自由選擇繼續(xù)給予或撤回同意。
最后,動態(tài)同意在當今技術發(fā)展水平下具備實現(xiàn)可能性,且難度可控。萬物互聯(lián)時代的到來和5G網(wǎng)絡技術的發(fā)展,使得輕便、快速、及時的移動小程序更加普及,搭建一個高效動態(tài)同意平臺不再是難以克服的技術難題。與此同時,依托于現(xiàn)有極具實力的超級平臺,人臉識別行業(yè)從業(yè)者將可能在控制成本的同時,實現(xiàn)高速有效的動態(tài)同意。例如,通過手機系統(tǒng)設置、統(tǒng)一用戶中心或者加載在社交軟件中的程序動態(tài),及時披露公告附近人臉識別技術的細節(jié),包括采集方式、處理目的、安全設置、存儲時限、脫敏處理方式等等主體應當獲知的信息。
動態(tài)同意模式也存在其制約因素,包括主體反復給予或撤回同意而影響信息處理效率,從而造成資源浪費和成本增加,而且信息主體是否能夠從相關的、不相關的披露中有效識別潛藏風險也有待商榷。但我們需要結合實踐,結合其他同意模式,逐步構建我國高效科學的知情同意模式。
4. 人臉識別中的未成年人信息處理限制
由于無差異無接觸信息采集的形式,人臉識別適用過程中無法區(qū)分被采集者的年齡,因此不可避免地涉及大量未成年人人臉信息。同時,根據(jù)我國近年來發(fā)布的移動社交用戶報告,用戶日益年輕已成為趨勢,未成年人使用人臉識別服務(例如游戲登錄、AI圖片編輯等)十分普遍。如果未成年人的人臉信息泄露或被侵權,其侵權影響將可能伴隨一生,特別是技術歧視或算法偏見導致的不公平待遇,會直接嚴重影響未成年人步入正常社會生活。
未成年人的個人信息通常作為特殊類型的信息被予以特殊規(guī)定,且采用監(jiān)護人代為同意的授權模式。GDPR規(guī)定未成年人生物識別信息處理,除了滿足第9條關于特殊數(shù)據(jù)的規(guī)定之外,還應同時獲得其監(jiān)護人的同意。同時,處理涉及兒童的個人數(shù)據(jù)應該更謹慎的考慮數(shù)據(jù)處理的必要性,保障其目的實現(xiàn)不以過度侵犯基本權利為代價。英國教育部曾根據(jù)《自由保護法案》和1998年《數(shù)據(jù)保護法案》發(fā)布針對教育機構的生物識別信息保護指導文件,規(guī)定學校在使用、計劃安裝生物識別系統(tǒng)之前,必須根據(jù)法律規(guī)定獲得至少一位監(jiān)護人的書面同意授權,并且提供了書面告知文件內(nèi)容模板。英國2018年《數(shù)據(jù)保護法案》中則提出“適齡設計規(guī)范”,要求如果某社會信息服務涉及兒童訪問者或用戶,應在其服務設計時,體現(xiàn)不同年齡差別適用的理念。
實踐中,我國對于未成年人個人信息保護的年齡界限設定為14周歲。《民法典》第1036條第1款規(guī)定的行為人不承擔責任的個人信息處理行為中包括“監(jiān)護人同意的范圍內(nèi)”的“合理實施”。但是,結合第1034條個人信息定義和范圍條款來解讀這一限制,可以理解為該限制僅適用于非私密信息的個人信息,而人臉信息由于其敏感特性,雖不私密但影響巨大,還應予以明確規(guī)范。筆者認為未成年人的人臉信息保護應在普遍保護標準之上予以更為嚴格的保護:第一,應普遍禁止處理未成年人的人臉信息;第二,在法定必要處理的例外情形下,借助識別系統(tǒng)的適齡設計保障和監(jiān)護人同意授權模式對信息處理進行約束;第三,嚴格以“最小必要”為限。這里將衍生出一個問題:監(jiān)護人同意的核實,包括個人年齡核實和監(jiān)護人同意真實性核實兩個方面。在主體年齡核實層面,隨著網(wǎng)絡用戶的低齡化和普及化,實踐中如果由服務提供者或信息處理者全權承擔核查義務存在實際困難。因此,《個人信息保護法(草案)》第15條關于未成年人信息處理的規(guī)定,提出該條款的適用場景是信息處理者“知道”或“應當知道”,即要求處理者在其能力范圍和注意義務內(nèi)進行年齡核查,而非強加給處理者無限的義務。在一般個人信息處理過程中,有三種常見的年齡驗證方式:第一,主體自查,即使用特定服務時個人在資料中心填寫出生日期,但這種方式無法規(guī)避隨意填寫而導致誤差率極高;第二,實名身份驗證,即使用服務時需要提供身份證照文件進行驗證,通過身份證照登記的年齡進行核對;第三,自動評審,即通過技術手段,結合個人提供的其他信息綜合考評并預估用戶年齡段。在人臉識別技術應用中,筆者建議首先應在技術中增加適齡設計,當檢測到可能是未成年人用戶時,提示應在獲得其監(jiān)護人書面同意后才可以繼續(xù)使用服務;其次,限縮同意范圍,嚴格禁止對于未成年人人臉信息的對外傳輸,并最小化其存儲時限。
五、結論
當今技術發(fā)展日新月異,“刷臉”已經(jīng)日漸向更為廣泛的領域蔓延。在可預測的未來,人臉識別技術在深度和廣度上都將進一步延展,例如將識別技術擴展至毛細血管識別,以及基于主體內(nèi)在情緒和心理變化等的情感識別,或者基于數(shù)字孿生技術全方位捕捉復原生物的一切表征。同時,人臉識別的應用場景在未來也將日益廣泛,而人臉信息也將逐步成為部分行業(yè)的核心生產(chǎn)要素,那么,基于人臉信息所產(chǎn)生的商業(yè)利益,信息主體是否享有相應的報酬請求權,都可能成為值得探討的議題。但是,在享受技術所帶來的便捷紅利時,人臉識別的法律風險不容忽視:人臉識別技術的泛濫可能會嚴重威脅個人的隱私權、平等權、人身自由,人身及財產(chǎn)安全等。當前由于監(jiān)管執(zhí)法的真空,人臉識別應用已有失控的苗頭,亟待出臺相關具體法律法規(guī)和監(jiān)管措施。
我國《民法典》對個人信息保護制度已經(jīng)作出了重要的完善,對個人信息的處理設定了基礎性的法律框架,其所約束的義務主體“信息處理者”涵蓋了從事個人信息處理活動的所有機構和個人,突破了《網(wǎng)絡安全法》在適用對象上的限制,具有一般性意義。此外,立法機關當前也在緊鑼密鼓地推進《個人信息保護法》的制定。在未來,相信與之相配套的行政法規(guī)、規(guī)章等規(guī)范性文件、實施準則也將陸續(xù)頒行。這些配套法律規(guī)則的實施,對人臉識別的法律規(guī)制而言,無疑是十分必要和大有助益的。