中國(guó)民商法律網(wǎng)
本文摘編自趙精武:《<民法典>視野下人臉識(shí)別信息的權(quán)益歸屬與保護(hù)路徑》,載《北京航空航天大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)》2020年第5期。本文未經(jīng)原文作者審核。
【作者簡(jiǎn)介】趙精武,北京航空航天大學(xué)法學(xué)院助理教授,博士,工業(yè)和信息化部工業(yè)與信息化法治戰(zhàn)略與管理重點(diǎn)實(shí)驗(yàn)室辦公室主任,北京科技創(chuàng)新中心研究員。
全文共3903字,閱讀時(shí)間約9分鐘。
刷臉支付等人臉識(shí)別技術(shù)在推進(jìn)數(shù)字化社會(huì)進(jìn)程的同時(shí),也增加了數(shù)據(jù)泄露、隱私侵犯等諸多風(fēng)險(xiǎn)。人臉識(shí)別信息作為該技術(shù)的直接產(chǎn)物,其內(nèi)在的人格權(quán)益屬性顯而易見,但《民法典》“民事權(quán)利”一節(jié)與“人格權(quán)編”中的相應(yīng)規(guī)定在適用過程中仍存諸多疑問:自然人對(duì)人臉識(shí)別信息相關(guān)事項(xiàng)的“知情”范圍如何認(rèn)定?信息控制者如何在公共場(chǎng)所獲得自然人對(duì)面部數(shù)據(jù)采集和處理的“同意”?“優(yōu)化用戶產(chǎn)品體驗(yàn)”“保障其他用戶安全”等理由能否構(gòu)成信息處理者處理人臉識(shí)別信息的免責(zé)事由?對(duì)此,北京航空航天大學(xué)法學(xué)院趙精武教授在《<民法典>視野下人臉識(shí)別信息的權(quán)益歸屬與保護(hù)路徑》一文中,作出了解答和回應(yīng)。
一、人臉識(shí)別技術(shù)的應(yīng)用場(chǎng)景與風(fēng)險(xiǎn)定位
(一)人臉識(shí)別技術(shù)的應(yīng)用場(chǎng)景
學(xué)界普遍認(rèn)同“人臉識(shí)別技術(shù)”屬身份核驗(yàn)的生物識(shí)別技術(shù)。有學(xué)者將該技術(shù)應(yīng)用模式總結(jié)為“1對(duì)N”的人臉識(shí)別,即指通過對(duì)比被識(shí)別對(duì)象的臉部信息與集中數(shù)據(jù)庫中存儲(chǔ)的多個(gè)模板信息來辨識(shí)身份。此類技術(shù)具有無接觸、交互性強(qiáng)、高效迅速、符合人類識(shí)別習(xí)慣等優(yōu)勢(shì),且場(chǎng)景化應(yīng)用特征明顯。
在金融領(lǐng)域,人臉識(shí)別技術(shù)應(yīng)用主要包括安全防控和業(yè)務(wù)優(yōu)化兩類。而隨著市場(chǎng)精細(xì)化程度的深入,該技術(shù)應(yīng)用領(lǐng)域呈現(xiàn)縱深化趨勢(shì),如表1所示。
(二)人臉識(shí)別技術(shù)的風(fēng)險(xiǎn)定位:隱私、主體平等與技術(shù)獨(dú)裁
人臉識(shí)別技術(shù)的法律風(fēng)險(xiǎn)主要集中于“1對(duì)N”模式。從國(guó)內(nèi)外技術(shù)實(shí)踐來看,人臉識(shí)別技術(shù)所存在的社會(huì)風(fēng)險(xiǎn)主要表現(xiàn)為三類:(1)隱私侵犯風(fēng)險(xiǎn),即潛在的網(wǎng)絡(luò)安全威脅直接影響到數(shù)據(jù)庫中所存的用戶個(gè)人私密信息。(2)主體平等風(fēng)險(xiǎn),即因該技術(shù)常與各類社會(huì)公共服務(wù)系統(tǒng)鏈接,經(jīng)由分析可能直接對(duì)特定人群標(biāo)識(shí)“警惕”的標(biāo)簽。(3)技術(shù)濫用風(fēng)險(xiǎn),主要是與“公權(quán)力濫用”掛鉤。
中國(guó)現(xiàn)行立法對(duì)該技術(shù)的行政監(jiān)管與私法規(guī)范尚存空白。該技術(shù)的法律風(fēng)險(xiǎn)存在于從人臉數(shù)據(jù)采集到人臉數(shù)據(jù)關(guān)聯(lián)比對(duì)的信息處理全生命周期。在數(shù)據(jù)收集階段,主要表現(xiàn)為信息處理者以何種方式采集才能滿足中國(guó)現(xiàn)有立法規(guī)范。現(xiàn)行法要求收集個(gè)人信息需經(jīng)權(quán)利人同意并告知其處理個(gè)人信息的方式、范圍和目的,而當(dāng)下公共場(chǎng)所的數(shù)據(jù)采集以及網(wǎng)絡(luò)平臺(tái)公開照片的數(shù)據(jù)采集似難以在實(shí)踐層面尋求每一個(gè)人的“同意”。且在“1對(duì)N”的模式下,中國(guó)現(xiàn)行法亦未承認(rèn)在網(wǎng)絡(luò)公開照片等于默示同意商業(yè)化使用照片,信息處理者可能因此侵犯?jìng)(gè)人信息權(quán)益。在數(shù)據(jù)分析、存儲(chǔ)、更新等階段,信息處理者應(yīng)當(dāng)采取必要措施確保個(gè)人信息安全。一旦發(fā)生數(shù)據(jù)安全事件時(shí),除非致?lián)p原因表現(xiàn)為現(xiàn)有技術(shù)水平無法應(yīng)對(duì)、第三方網(wǎng)絡(luò)攻擊等形式、未履行《數(shù)據(jù)安全法(征求意見稿)》第27條規(guī)定的數(shù)據(jù)安全保護(hù)義務(wù)外,信息處理者極可能面臨以人格權(quán)益受損為由的集體索賠。在人臉識(shí)別信息維護(hù)、更新階段,信息處理者若未能及時(shí)更新存在內(nèi)容偏差的人臉識(shí)別信息,且關(guān)聯(lián)的信息服務(wù)對(duì)特定自然人產(chǎn)生重大影響時(shí),構(gòu)成對(duì)《民法典》第1037條規(guī)定的“更正權(quán)益”的損害。
二、技術(shù)治理的法理基礎(chǔ):人臉識(shí)別信息的法律屬性
(一)人臉識(shí)別信息保護(hù)的必要性與特殊性:從“杭州人臉識(shí)別第一案”談起
一方面,人臉識(shí)別信息保護(hù)具有必要性。依據(jù)《網(wǎng)絡(luò)安全法》第76條可推知,人臉信息的基本性質(zhì)為“可識(shí)別的個(gè)人信息”。該技術(shù)之所以亟需立法回應(yīng),在于此類信息一旦與身份信息關(guān)聯(lián),特定自然人就難以采取有效措施徹底消除“識(shí)別可能性”。在“杭州人臉識(shí)別第一案”中,原告郭兵還認(rèn)為,人臉識(shí)別所收集到的面部特征等個(gè)人生物識(shí)別信息屬于個(gè)人敏感信息,一旦泄露、非法提供或?yàn)E用,將極易危害消費(fèi)者人身和財(cái)產(chǎn)安全。人臉信息的不可更改性與無接觸性使得其被濫用的安全隱患呈高危性,因而具有保護(hù)之必要。
另一方面,人臉信息保護(hù)又具有特殊性。在前述案例中,若從侵權(quán)糾紛的角度來看,動(dòng)物園“脅迫式”收集人臉識(shí)別信息顯然構(gòu)成對(duì)“不得非法使用、加工、傳輸個(gè)人信息”的違反。可問題在于動(dòng)物園主張人臉識(shí)別之目的是為了提升消費(fèi)者入園效率且確實(shí)有效,能否構(gòu)成免責(zé)事由?此外,動(dòng)物園的刷臉進(jìn)入行為實(shí)難構(gòu)成侵權(quán)法中的“過錯(cuò)行為”,因?yàn)樵谒⒛樦Ц兜耐瑫r(shí),動(dòng)物園還允許年卡持有人每次入園時(shí)進(jìn)行身份核驗(yàn)。從合同糾紛的角度來看,郭兵與動(dòng)物園之間構(gòu)成年卡服務(wù)合同(無名合同),動(dòng)物園講“以個(gè)人身份證、指紋為入園條件”變更為“刷臉進(jìn)入”,實(shí)屬單方變更合同之行為,理應(yīng)對(duì)購買年卡服務(wù)的郭兵不產(chǎn)生法律效力,其也有權(quán)要求動(dòng)物園按照最初約定的方式入園。可見,不同視角下,人臉信息保護(hù)的策略和結(jié)果均不同。
(二)人臉識(shí)別信息的法律屬性
《民法典》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法(征求意見稿)》等法律對(duì)人臉識(shí)別信息的性質(zhì)均有所涉獵。在立法層面,意欲梳理人臉識(shí)別信息的法律屬性與規(guī)制方式,仍應(yīng)以人臉識(shí)別信息的獨(dú)特性為規(guī)范起點(diǎn),溯源該類信息的人格利益與財(cái)產(chǎn)利益在商業(yè)實(shí)踐中的表現(xiàn)形式。
從刷臉支付、刷臉進(jìn)出等具體的商業(yè)實(shí)踐來看,人臉識(shí)別信息并不能簡(jiǎn)單地等同于人臉生物特征的數(shù)據(jù)測(cè)量。二者最大的差別在于“識(shí)別”之表述。人臉識(shí)別信息更強(qiáng)調(diào)通過人臉生物識(shí)別特征的不可更改性與對(duì)應(yīng)自然人身份信息的關(guān)聯(lián)比對(duì),通過設(shè)備端的圖像采集與數(shù)字化處理,驗(yàn)證自然人的特定身份。這一技術(shù)則將傳統(tǒng)個(gè)人信息保護(hù)理念中的“可識(shí)別”轉(zhuǎn)換為精準(zhǔn)識(shí)別和持續(xù)識(shí)別。精準(zhǔn)識(shí)別,是指人臉識(shí)別信息能夠精準(zhǔn)地定位特定自然人;持續(xù)識(shí)別,則是指面部特征的不可更改性決定了人臉識(shí)別信息的識(shí)別能力不會(huì)因?yàn)樾袨槿说娜粘P袨槟J絼∽兌ァH鐖D1所示。
這種精準(zhǔn)且持續(xù)的識(shí)別能力在立法層面表現(xiàn)為人格利益在信息空間的異化與延伸。《民法典》人格權(quán)編具體條款中“等權(quán)利”“人格利益”之表述在實(shí)質(zhì)上確定了中國(guó)民法體系中人格權(quán)利保護(hù)的開放性。在此背景下,人臉識(shí)別信息的可識(shí)別利益顯而易見是《民法典》所確認(rèn)的信息空間人格權(quán)益。因?yàn)樵擃愋畔⒛軌蛑苯佑绊懙阶匀蝗藢?duì)識(shí)別自身身份可能性的控制能力,無法實(shí)現(xiàn)信息空間中的“個(gè)人自由”。但自然人對(duì)人臉識(shí)別信息享有人格權(quán)益并不是承認(rèn)存在所謂的“人臉識(shí)別信息權(quán)”。同時(shí),也并不排除信息處理者對(duì)人臉識(shí)別信息享有財(cái)產(chǎn)權(quán)益。因?yàn)槿四樧R(shí)別信息的形成需信息處理者支付各種信息處理環(huán)節(jié)的成本,這種“勞動(dòng)支出”決定了要在兩個(gè)層面強(qiáng)化對(duì)人臉識(shí)別信息的事前保護(hù),避免因信息復(fù)制成本低廉和指數(shù)式傳播等基本特性導(dǎo)致的損害結(jié)果不可彌補(bǔ):一是明確規(guī)范信息處理者在各個(gè)處理環(huán)節(jié)的具體義務(wù),明確人臉數(shù)據(jù)與特定自然人身份信息比對(duì)的必要性與合比例性;二是要細(xì)化人臉識(shí)別技術(shù)應(yīng)用的合法標(biāo)準(zhǔn)和例外情形,包括用戶表示同意和撤回同意等實(shí)際方式。
三、人臉識(shí)別技術(shù)應(yīng)用的修繕式解釋與填補(bǔ)式標(biāo)準(zhǔn)設(shè)計(jì)
(一)《民法典》第1035條的修繕式解釋
人臉識(shí)別信息作為“個(gè)人信息”的子概念,也要遵循《民法典》第1035條確立的“知情同意”一般規(guī)則,但其在適用中仍需進(jìn)一步完善。從個(gè)人信息保護(hù)實(shí)踐來看,通過“同意”來實(shí)現(xiàn)充分的信息自決或意思自治僅是理想法益狀態(tài),該項(xiàng)制度在商業(yè)實(shí)踐中已經(jīng)演變?yōu)樾刨嚨闹匦陆?gòu)。一方面,自然人通過知情同意原則建構(gòu)起對(duì)信息處理活動(dòng)的初步信賴;另一方面,信息處理者在遵守前述“信賴”內(nèi)容的基礎(chǔ)上完成信息的自由流動(dòng)。因此,以“知情同意”規(guī)制該技術(shù)應(yīng)用是通過信息處理活動(dòng)的規(guī)范化確保個(gè)人信息的合理使用。立法所需明確的是如何判斷信息處理者是否采取必要措施規(guī)避個(gè)人信息處理活動(dòng)的安全風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)。此外,法律法規(guī)所要規(guī)定的“同意”應(yīng)當(dāng)為一般理性人的概括式同意。
(二)人臉識(shí)別技術(shù)安全標(biāo)準(zhǔn)的“填補(bǔ)式”風(fēng)險(xiǎn)治理
對(duì)于人臉識(shí)別技術(shù)相關(guān)的破解技術(shù)與安全問題,立法者所要明確的是如何解釋圍繞人臉識(shí)別信息的權(quán)利義務(wù)關(guān)系,避免行政監(jiān)管可能造成的技術(shù)創(chuàng)新枷鎖。這意味著要以技術(shù)標(biāo)準(zhǔn)的方式規(guī)范人臉識(shí)別信息的處理活動(dòng),且該標(biāo)準(zhǔn)是否被遵守也將成為審判中判斷責(zé)任歸屬之依據(jù)。技術(shù)標(biāo)準(zhǔn)與法律責(zé)任的關(guān)聯(lián)意味著技術(shù)標(biāo)準(zhǔn)自身需以個(gè)人信息保護(hù)的“安全、合法、正當(dāng)且必要”基本原則為核心理念。
在人臉識(shí)別技術(shù)應(yīng)用中,安全風(fēng)險(xiǎn)的產(chǎn)生根源還在于技術(shù)本身的不確定性。因此,在技術(shù)標(biāo)準(zhǔn)中,或可借鑒歐盟《通用數(shù)據(jù)保護(hù)條例》的“經(jīng)由設(shè)計(jì)的數(shù)據(jù)保護(hù)”思路,強(qiáng)化人臉識(shí)別技術(shù)對(duì)個(gè)人信息安全的影響評(píng)估,包括人臉大數(shù)據(jù)建構(gòu)的合規(guī)性評(píng)估、人臉識(shí)別技術(shù)更新的安全評(píng)估、人臉識(shí)別信息及其數(shù)據(jù)庫的更新維護(hù)評(píng)估等。這種評(píng)估可嵌入至《數(shù)據(jù)安全法(征求意見稿)》第四章“數(shù)據(jù)安全保護(hù)義務(wù)”中。
四、結(jié)論
人臉識(shí)別技術(shù)作為諸多商業(yè)活動(dòng)的主流技術(shù)架構(gòu),天然地具備民商法調(diào)整的必要性和優(yōu)先性,如若將行政管制主義置于優(yōu)先順位,只會(huì)促成行政監(jiān)管對(duì)技術(shù)應(yīng)用的制度束縛。自然人對(duì)人臉識(shí)別信息所享有的民事權(quán)益可從《民法典》第126條“其他民事權(quán)利和利益”尋求正當(dāng)性基礎(chǔ),這是對(duì)《民法典》第1034條的合理解讀和延伸。在“后民法典”時(shí)代,對(duì)于特殊個(gè)人信息保護(hù),還有賴于法院擴(kuò)大解釋相應(yīng)的具體規(guī)則。同時(shí),借助技術(shù)安全標(biāo)準(zhǔn)等可操作性規(guī)范性文件補(bǔ)足“是否履行個(gè)人信息保護(hù)義務(wù)”的判斷標(biāo)準(zhǔn),達(dá)成“經(jīng)設(shè)計(jì)的信息保護(hù)”之法律效果。