中国周刊

数字法治:人脸识别技术的风险与法律规制

2021-04-30 16:57:07 来源:中国周刊

图片 1.png

作者:余圣琪:华东政法大学博士研究生。本文原载《上海法学研究》集刊2020年第15卷

随着数字时代的到来,人脸识别技术的发展取得了重大的进步。人脸识别技术现已成为一种流行,被广泛运用于多个领域。特别是在新冠肺炎疫情防控期间,人脸识别进入了小区、校园、办公楼,前段时间甚至进入了东莞星级公厕引发了公众热议。人脸识别技术在给人们生活带来便利的同时,也给个人隐私权、财产安全、公共安全带来风险和威胁。2020年11月20日,杭州市富阳区人民法院对我国人脸识别第一案进行了宣判。2019年瑞典GDPR第一案因瑞典学校使用面部识别技术登记学生出勤率而被罚款。Facebook因人脸识别技术引发了其在伊利诺伊州的集体诉讼而赔偿6.5亿美元。加拿大商场在没有获得授权的情况下使用人脸识别技术,采集了超过五百万人脸信息。美国公开禁止人脸识别技术的城市已经包括旧金山、波特兰市、萨默维尔市等八个城市。欧盟发布的《欧盟人工智能白皮书》提出将在公共场所禁用人脸识别技术3到5年。

一、人脸识别技术应用的风险

随着人工智能、大数据的发展,人脸识别技术成为热门的AI技术。人们最常使用的AI应用有“刷脸”解锁“刷脸”支付“刷脸”签到等。美国商会认为面部识别技术有巨大的潜力,可以在交通、零售、酒店和金融服务等众多领域中进行创新。人脸识别技术不同于其他的生物识别技术,具有不可复制性、非接触性、可扩展性和快速性等特点。人脸识别技术在应用中对于个人隐私权保护、财产权益及公民权利具有法律风险。

(一)人脸信息的收集侵犯隐私权保护

人脸识别技术日益完善,在街头的各处都布有摄像头,收集个人面部生物信息更加便捷。人脸识别技术在抓取个人的面部信息后,与数据库的既有数据进行比对。通过个人图像与一个广泛已知的图像数据库进行比对,确定一个未知人的身份是一种侵入个人领域的表现。虽然不属于隐私,但由于个人面部生物信息具有唯一性,且能通过信息比对知晓个人的基本信息、出行轨迹、密切接触人员等相关信息,人脸信息的收集挑战对于隐私权的保护。

一方面,人脸信息收集的方式挑战“信息隐私权”。隐私权是自然人所享有的私人生活安宁与私人信息秘密依法受到保护,不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权。到底何为隐私?隐私既可以视为物理的私人空间不被打扰的权利,也可以包括在数字、虚拟世界中不受干扰的权利。隐私权理论起源于美国,是在自由主义思想影响下的产物。美国的隐私权理论从基于“独处权”的隐私权理论,随着信息技术的发展,延伸出了信息隐私权理论以适应高速发展的信息社会。

1967年,威斯汀在《隐私与自由》一书中提出了“信息性隐私权”。“所谓隐私权,指自然人所享有的决定何时、何种方式以及何种程度将其个人信息向别人公开的权利。”从威斯汀对“信息性隐私权”的界定中可以看出,在信息时代,隐私权更多体现的是一种决定权。决定何时、以何种方式以及何种程度的信息公开的权利。威斯汀的信息隐私权理论在司法实践中得到了联邦最高法院的认可,在具体个案中法院对于信息隐私权理论进行了系统的阐释。信息隐私理论的核心是“控制权”,信息隐私权指自然人所享有的对其个人信息以及能够被识别的个人信息获取、披露和使用予以“控制”的权利。人脸信息的收集目前多采取在生活场景中放置摄像头拍摄和识别的方式,如售楼处对看房者使用人脸识别系统进行抓拍。这样的无接触性收集方式侵害了被收集者的“信息隐私权”,被收集者无从知晓于何时何地被收集了人脸信息,更无法对人脸信息行使控制权。

另一方面,人脸信息的比对识别损害“人格尊严”。隐私权保护自然人的安宁状态及个人的人格尊严。信息主体的人格尊严和自由价值需要进行保护已经成为共识。“人格尊严”表征着人是主体、目的,而非手段、工具,拥有不可侵犯与不可剥夺的尊严。人们对自身价值有着本能和微妙的感觉,对自身价值的贬损不亚于对身体和财物的损害。人格尊严是一项根本的、终极性的价值,它需要通过具体权利来实现,隐私权是人格尊严在私法领域的体现,是人格尊严的必要条件。在数字时代,人格尊严体现为能够为自己所独立自主支配的私人空间,并且能在私人空间中不受打扰地展示自己。人脸识别技术中心的“识别”已经不再只是个人对世界的识别,逐渐演化为社会机器对个人的识别。与此同时,隐私理论也从古典时期的空间范式向信息时代的控制范式进行转变。

个人“信息自决权”最早是由德国的施泰姆勒在70年代个人信息保护法的草案中提出。个人“信息自决权”强调的是信息主体对于个人信息的自我决定的权利。从“个人信息权”的角度出发,个人行使自决权的前提是充分知情,即个人需要充分了解风险,同时要求个人全程参与个人信息流动的过程。人脸识别技术进行无感抓拍、实行非接触性的收集,在这种情况下个人无法控制甚至无法意识到自己的面部生物信息正在被收集和使用。人脸识别信息如果被泄露或者滥用,将会对个人隐私造成巨大损害与此同时也将严重的侵犯人格尊严。正如瑞典在2019年对一所学校使用面部识别技术来登记学生的出勤率,瑞典数据监管局认为这种行为严重侵犯了学生的个人隐私,对该校处于瑞典历史上第一个GDPR处罚。人脸识别信息属于典型的敏感个人信息,我国《公共及商用服务信息系统个人信息保护指南》和《个人信息安全规范》规定对于敏感信息的收集需要获得信息主体的明示同意授权。学校收集、处理和使用面部信息需要获得学生的同意和授权

(二)人脸信息的非法使用侵害财产权益

中国的人脸识别技术在安防、交通、金融、教育等各个领域已开始广泛运用。通过摄像头可以轻松获取面部生物信息。与此同时,人脸信息易于被破解,破解厦门银行APP人脸识别技术的“黑客”是仅有初中文化的00后。人脸识别技术给人们的生活带来了便利、使得管理变得高效有序,但是如果人脸信息被泄露和滥用将会对信息主体、信息控制者、信息使用者造成财产权益的损害。

其一,人脸信息的泄露侵害信息主体财产权益。人脸信息属于生物识别信息,我国《信息安全技术个人信息安全规范》将生物识别信息归属于敏感数据。我国《公共及商用服务信息系统个人信息保护指南》和《个人信息安全规范》将一般信息和个人敏感信息作出了区分,并规定对于敏感信息的收集需要获得信息主体的明示同意授权。即在收集人脸信息时,建立在信息主体知情同意的基础上;人脸信息在使用时,应该在确保安全的前提下公开使用规则、使用目的、方式和范围。随着人脸识别技术的发展,信息泄露造成信息主体财产权益损害的案件频频发生。正如多家售楼处使用人脸识别系统区分不同的客户以进行不同的优惠。决定购房优惠力度的关键是购房者是否曾经被人脸识别系统拍到,而这个人脸识别系统,购房者即使戴着口罩也可以进行识别。为了保护个人信息,避免财产权益的损失,出现了购房者戴着头盔去看房的新闻。

其二,人脸信息的滥用冲击企业商业利益和国家公共利益。人脸信息是复合权益的体现。一方面,个人面部生物信息不仅承载着“人格要素”,同时也承载着“财产利益”。之前在网络商城,有商家公开出售“人脸数据”,数量达到17万条之多,而且当事人对此事毫不知情。另一方面,个人面部生物信息具有多重利益主体。人脸信息对于数据主体而言具有个人价值、对于企业而言具有商业价值、对于社会而言具有公共价值。人脸信息的滥用导致企业的商业利益和国家的公共利益都受到损害。正如我国人脸信息刑事第一案,犯罪嫌疑人通过滥用人脸信息进行头像伪造,损害了企业的财产权益。在“净网2020”行动中,龙岗警方在广东、河南、山东等地抓获犯罪嫌疑人13名,不法分子利用人脸信息提供虚假注册、刷脸支付等数据黑产服务。

(三)人脸信息的识别误差损害人权保护

面部识别技术主要是通过公共场所中摄像头拍摄到的人脸信息与数据库中的图像进行对比识别,使用面部识别技术对人权的侵犯主要源于人脸识别技术的核心算法设计。美国国家标准与技术研究院的一份研究表明,不同开发者的算法精确度不同。研究评估了软件算法后发现,在一对一的匹配中,亚洲与非洲裔美国人比白种人的人脸图像取伪错误率更高;在一对多的匹配中,非洲裔美国女性的取伪错率较高。

一是人脸信息掌握的不对称。随着数字时代的到来,由传统社会走向了信息社会,由单一的物理空间向物理/电子(现实/虚拟)的双重空间转换。信息时代有三个变化:“双重空间”“人机协同”“双重属性”。“历史已经向我们表明重大的技术变迁会导致社会和经济的范式转换”,人脸识别技术的应用将引起数字时代人权的重塑和变革。“所有的数据都由我们自身产生,但所有权却并不归属于我们”。正如各种街头、商户、银行、学校等的摄像头,无感实时的抓拍由我们自身产生的具有唯一性且不可更改的人脸信息,但我们却无法控制和使用这些信息,甚至我们根本无从知晓何时何地被收集了人脸信息。由于没有经过用户的同意非法收集和存储了数百万用户的生物特征数据,2015年Facebook被美国伊利诺伊州的用户提起集体诉讼,Facebook同意将赔偿金额由5.5亿美元增加至6.5亿美元,目前诉讼双方已达成和解。由于信息掌握的不对称性,人脸信息的被收集者常常无法知道信息被收集,没有经过当事人同意收集、使用人脸识别,会侵犯其个人的人权。

二是人脸数据的鸿沟。由于技术或者经济等相关方面的原因如没有互联网设备、缺少互联网知识等造成的数据鸿沟,数据鸿沟对一些社会群体进行赋权,而对另一些社会群体则没有。由于数据鸿沟的关系,知识储备和技术掌握的不同,人们对于人脸识别技术所持有的观点也不同。有人认为人脸识别技术是科技的进步,为我们的生活带来便利,顺其自然的享受便利即可;也有人认为人脸识别技术的泄露和滥用有侵犯人权的风险;还有人认为在享受人脸识别技术便利的同时需要对人脸识别技术的使用进行规定和限制。人脸识别技术的算法由于数据的鸿沟不易被人们所了解,算法的识别误差侵犯公民的基本权利。例如北京地铁站为了提高安检效率准备对乘客进行分类安检,对于不同类别的乘客采取不同的安检方式。这样的分类标准是一种算法的体现,由于数据鸿沟的存在算法不易被人理解、接受,这样的分类行为将侵犯公民的人权。

二、域外人脸识别技术的法律规制

由于政治、经济、社会和文化的不同,欧美对于人脸识别技术的法律规制方式和路径也不相同。美国采取的是分散的管理模式,美国各州在联邦政府之前已经开始对人脸识别技术的使用进行规制。目前已经有八个州公开禁止使用人脸识别技术;欧盟采取的是统一禁止的态度,强调对于“基本权利”的保护。

(一)美国人脸识别应用的法律规制

美国对数据隐私和数据安全领域进行分别立法,并且美国联邦层面没有制定统一的数据保护基本法典,而是对数据进行分行业式的分散立法,制定专门的数据保护法律,进行分类管理。美国各州则形成了具有各州特色的数据保护法律框架。关于人脸识别技术的运用,目前美国联邦层面没有统一的法律法规,但部分州已经在联邦之前对人脸识别技术进行限制。

由于历史传统文化及立法驱动力的不同,美国在保护个人数据主体权利的基础上,侧重于促进数据共享流动与数据的商业利用价值。关于人脸识别的数据保护,美国对于政府等公权力部门和商业私营机构采取了不同的规制态度。通过抑制政府部门权力,利用美国各个行业之间的严格自律来实现人脸数据隐私保护的目的。由于面部生物信息具有易获取性、唯一性、不可更改性、难以救济性等特征,《2019年商业面部识别隐私》提出禁止商业上的面部信息的使用,足以可见面部生物信息保护的特殊性和重要性。2020年2月,美国两位民主党参议员提出了人脸识别道德使用法案,主要包括三个方面:其一成立国会委员会,专门制定在美国使用人脸识别技术的准则;其二在委员会颁布人脸识别技术使用指南前,限制政府机构使用人脸识别技术;其三是关于救济渠道和限制联邦基金使用的相关执行规定。美国科技业代表公司对于公权力机关使用人脸识别技术相继表态,IBMCEO克里希纳宣布不再提供通用人脸识别软件,亚马逊、微软都声明将暂停向警方提供人脸识别技术,并提议国家相关法律的出台。

目前,已经有八个州对人脸识别技术的应用作出相关规定。美国旧金山市、奥克兰、萨默维尔、麦迪逊等市都对人脸识别技术出台了禁令。2019年5月,美国旧金山出台了停止秘密监控法令,禁止将人脸识别技术用于公共部门,成为美国第一个禁止使用人脸识别技术的城市。伊利诺伊州制定了生物识别数据相关的专门法案,生物信息隐私法案于2008年颁布,是美国境内第一部规范“生物标识符和信息”的法律。伊利诺伊州拥有全美关于生物特征隐私保护最全面的法律,基于此Facebook同意赔偿6.5亿美金与伊利诺伊州集体诉讼的用户和解。2020年3月华盛顿州通过人脸识别服务法,该法强调州和地方政府机构应以有益于社会、保护公民自由的方式使用人脸识别技术。首先,州或地方政府机构在开发、使用、获取人脸识别服务时需要向立法机关提交问责报告;其次,在运营状态下对人脸识别服务进行合法、独立、合理的测试,确保准确性。最后,从事人脸识别服务的技术人员需要定期进行培训。由此可见,华盛顿州对政府使用人脸识别技术进行严格限制。加州也在2020年制定专门的人脸识别法,该法授予个人关于人脸识别信息的确认权、删除权、撤回权以及纠正或质疑的权利;与此同时,加州人脸识别法规定了强制令处罚,对违法行为处以不超过2500美元的民事处罚或对故意违法行为处以7500美元的罚款。

(二)欧盟人脸识别技术的法律规制

欧盟目前并没有对于人脸识别技术的应用制定专门的法律法规,主要是通过通用数据保护条例(以下简称GDPR)进行法律规制。欧盟制定的GDPR以人权高度及天价罚款树立起保护个人数据权利的最高标准。GDPR第1章是关于基本条款的规定,第2章谈论的是数据保护的基本原则,第3章对数据权利保护进行了专章的规定,由此可以看出GDPR对于数据权利的重视。

欧盟对于人脸识别技术的规制不同于美国,采取统一禁止的管理模式。欧盟不仅仅限制公权力收集人脸信息同时也严格限制私企业采集人脸数据。具体到欧洲各国,对于人脸识别技术的规制持有不同的态度。瑞典GDPR第一案以及法国数据保护法都表明出对人脸识别数据的强监管态度。但英国却表现出不同的态度,认可警察使用人脸识别技术的合法性。2019年5月,英国公民里奇斯认为南威尔士警方在没有获得其本人同意的情况下,使用人脸识别技术获取了其面部生物数据的行为侵犯了其隐私权。原告认为警方使用人脸识别技术“AFRLocate”违反了《欧洲人权公约》,违背英国数据保护法的相关规定,未尽公共部门平等职责。

法院认为:第一,警方使用“AFRLocate”有职权依据,警察的普遍法权力使得警方可以使用该人脸识别设备,警察为了预防、侦查犯罪有权合理使用个人的照片。第二,警方使用“AFRLocate”符合正当性原则。警方在部署人脸识别设备时对公众进行了告知;使用该技术有时限限制且覆盖范围有限;对于原告权利的限制仅限于对其面部数据的比对,如果比对成功最多保留24小时,如果未比对成功将会自动删除,并不涉及对原告信息的披露和存储。

三、完善我国人脸识别技术的法律规制

随着万物互联时代的到来,数据成为一种财富,成为驱动商业的一种重要模式。运用人脸识别技术收集的面部生物信息,对于个人而言使得生活更加便捷、智能;对于企业而言人脸数据具有高额的变现价值;对于政府而言利用人脸识别技术有利于社会的治理。由于信息革命的推动,引发了包括价值观念、生产方式、生活方式、社会关系、社会秩序等在内的全方位的变革。我国在运用人脸识别技术推动智慧社会建设的同时,也要注意人脸识别技术运用带来的法律风险,完善我国人脸识别技术的法律规制。

(一)建构统一的法律规范体系

对于个人信息保护,我国多部法律、行政法规、部门规章、地方性法规、地方规章及司法解释都作出了相关规定。目前我国采用的是安全防范为主兼顾数字经济发展的个人信息保护模式。我国制定了很多与安全相关的规范,如国家安全法、网络安全法、个人信息安全规范、网络安全审查办法、数据安全法草案、个人信息保护法草案等,法律规范体系都是从安全风险防范的逻辑体系构建的,与此同时,我国高度重视数字经济的发展。总体而言,由于我国个人信息保护的法律规范体系不完整,呈现出“碎片化”“散乱化”“板块化”的特点。

我国需要制定统一的个人信息保护法。具体到人脸识别规制上,我国目前并没有对人脸数据的规制进行专门立法,多以地方性法规和部门规章的形式予以规制。《信息安全技术个人信息安全规范》对个人敏感信息进行了界定,并将一般信息和个人敏感信息作出了区分,规定对于指纹、虹膜、面部信息等敏感信息的收集需要获得信息主体的明示授权同意。《信息安全技术个人信息安全规范》是国家标准,法律效力较低,对于生物识别信息的法律属性、功能没有具体的规定,缺乏系统、统一的法律规制机制。因此需要制定统一的个人信息保护法。

(二)建立政府主导的多重治理机制

随着互联网、人工智能、大数据的发展,人类进入了数字时代。在大数据时代,人脸识别技术的应用对于企业而言具有变现价值。在使用人脸识别技术时,人脸数据的保护应该强调政府和社会共同参与、合作,鼓励互联网企业、行业协会等单位依法收集、处理、使用人脸数据,在保护数据权利的前提下才能更好地促进人脸识别技术的使用和发展。

各大互联网企业是数据权利保护重要的主体,加强企业的自律机制也是数据权利保护的重要环节。正如美国对于数据立法采用的是自由式市场为导向,以强监管为基础的治理模式。为了促进数据的流动,CCPA采用的是选择退出(opt-out)的模式,对于数据收集采取的是通知告知原则。CCPA的管辖范围设置了三个门槛:第一个是年收入门槛,即年度总收入超过2500万美元;第二个门槛是数量门槛,即5万条及以上数量的个人信息;第三个门槛是收入比例门槛,即年收入的50%及以上来自出售消费者个人信息。只有当企业达到上述一个或多个门槛时,并且“以商业目的处理加州居民个人信息”时,才属于CCPA管辖的实体。由于美国对于数据的价值取向更加鼓励数据的自由流动,所以美国鼓励企业实行自律管理,但当企业无法自我规制,美国联邦贸易委员会(FTC)有强监管权。欧盟GDPR采用的是选择进入(opt-in)的模式,GDPR重视对于人权的保护,在使用数据之前需要获得数据主体的同意,才能选择进入。我国对于人脸数据应该采用“opt-in”为主、“opt-out”为辅的模式,因为人脸数据等生物识别数据属于敏感信息,需要建立在主体数据明示同意授权的基础上才能进入,在选择进入后应该给予企业风险评估等数据处理的空间和权利。

(三)塑造“数字人权”的正义观

随着大数据、人工智能的发展,人脸识别技术也在走进人们的日常生活。人脸识别技术在给人们的生活带来便利的同时也存在着侵犯公民人权的风险。2011年联合国宣布互联网接入权是基础性人权,2016年联合国认为互联网相关的权利是人权的重要组成部分,2018年联合国社会发展研究机构(UNRISD)在报告中讨论了新技术对于传统三代人权的变革和颠覆。

卡雷尔·瓦萨克提出的“三代人权”理论被大众所知悉并接受,“第一代人权”主张公民政治权利,“第二代人权”强调经济、社会和文化权利,“第三代人权”主张的是民族自决权和生存发展权。自主性、福利和自由构成了最高层次的人权的一个三元组合。三代人权的理念都建立在传统的工商业时代基础上,涉及的是物理时空中的生产生活关系。如今数字时代,传统的人权理念已经无法保护数字时代遭遇的线上线下双重空间的人权挑战,如算法霸权、算法歧视、数字鸿沟等。数字人权是以数据和信息为载体,展现着智慧社会中人的数字化生存样态和发展需求的基本权利,其目标在于反技术霸权、反数据信息控制,努力消解和应对信息鸿沟、侵犯隐私、算法歧视、监控扩张等人权难题。“数字人权”的意义在于,以人权的力量和权威强化对数字科技开发及其运用的伦理约束和法律规制。虽然“数字人权”理念目前只是处在学界讨论的阶段,并没有相关的法律法规或制度上予以确立。但伴随着数字科技的发展,社会已经进入到智能时代,“数字人权”是更加适合数字时代的人权观念。“无数字,不人权”。数字时代带来的社会全方位的变革使得“数字人权”的探讨和研究急迫且重要。

郭兵诉杭州野生动物世界有限公司案被称为中国“人脸识别第一案”,2020年11月20日法院进行了判决,引起了学界的关注和讨论。人脸识别技术目前被广泛地运用于各个领域。“人脸识别”技术在便利生活、发挥技术潜力的同时也存在着法律风险,如人脸信息的收集侵犯隐私权保护、人脸信息的非法使用侵害财产权益、人脸信息的识别误差损害人权保护。域外对于人脸识别技术的法律规制也不相同,欧盟采取的是统一禁止的态度;美国目前已经有八个州公开禁止使用人脸识别技术。我国目前并没有制定专门规制“人脸识别”技术的法律法规,为了防范“人脸识别”运用带来的法律风险,需要建构统一的法律规范体系、建立政府主导的多重治理机制、塑造“数字人权”的正义观等规制方式,在保护公民隐私权、财产权益、人权的同时促进“人脸识别”技术合法、合理的使用。

图片 2.png

《数字法治》专题由华东政法大学数字法治研究院供稿。专题统筹:秦前松


编辑:海洋

已经到底部