人脸识别技术应用的风险与法律规制
2021-10-19王鑫媛
王鑫媛
摘 要:人脸识别技术是社会治理智能化转型过程中广泛应用的技术之一。人脸识别技术的身份认证和识别功能在虚拟空间实現了个人信息的自动化集合。人脸识别技术本身存在着技术风险,一旦被滥用将会侵犯公民权利、危害社会秩序、消弭共同体信任。当下,现有对人脸识别技术的法律规制呈现分散性和碎片化特征,法律本身的事后规制逻辑更是难以有效规制技术应用、防止技术滥用。应把握国家综合性立法的契机,根据场景理论对人脸识别技术进行细化规制,既发挥其强大的社会功用,又预防化解其潜在危害,实现法治化社会化协同治理的目标。
关键词:人脸识别;个人信息保护法;场景理论;数字正义
中图分类号: D 912 文献标识码:A 文章编号:2096-9783(2021)05-0093-09
刷脸进小区、进学校、进公司,刷脸支付、刷脸健康认证等刷脸行为已经成为当今社会向智能化转型的行为标志。人工智能和大数据等技术的发展与应用,已然成为影响社会治理现代化进程的重要技术因素,智能社会正在快速形成。人脸识别技术作为其中的代表,为社会生活带来高效便捷的同时,也为人身安全带来了新的风险和问题,引发了人们对技术伦理的担忧与反思。2020年初,Clearview AI公司30亿人脸数据被泄露,同年11月3日“万豪因泄露3亿客人信息被罚1.6亿”的新闻成为微博热搜。此前亦出现过诸多类似新闻,针对技术带来的风险进行法律规制的必要性,已经触动到了学者们敏锐的神经。“中国人脸识别第一案”受到各界关注,其当事人郭兵是一名法政学院副教授。郭兵凭借其敏锐的思维感受到了动物世界采集人脸信息行为背后存在的技术应用边界问题,并希望通过该案来推动各界对人脸识别技术应用达成最低共识[1]。法学界对人脸识别技术相关法律问题的探讨在近两年急剧增加。虽然人脸识别技术发展迅猛,但关于其技术应用限度和法律规制的问题却亟待完善,尤其是在《中华人民共和国民法典》和《中华人民共和国个人信息保护法(草案)》(以下简称《草案》)公布以后,如何对人脸识别技术进行体系化法律规制是实现社会治理现代化的重点。
一、人脸识别技术应用的风险
人脸识别又称人像识别、面像识别、面部识别等。人脸识别技术是一种利用已经存储的若干已知身份的人脸图像数据库,对给定场景的静态或动态图像中的一人或多人身份进行验证和鉴别的生物识别技术。人脸识别技术目前主要应用于金融业、安防业、公共场所、司法系统等。人脸识别主要有三种识别模式:第一种是一对一的识别模式,例如电子支付、企业打卡、地铁进站等;第二种是一对多或多对多的识别模式,主要是对特定群体的监控、追踪和识别;第三种是监控检测模式,例如公共场所客流量的监控,其主要目的不是用来识别,而是用来监测。
人脸识别技术识别的是生物面部特征信息,属于个人信息的子项。《草案》第四条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。第二十九条对敏感个人信息进行了定义,个人生物特征被列举在内1。《网络安全法》规定的个人信息包括个人生物识别信息。2020年修订的《信息安全技术 个人信息安全规范》中列举了个人信息范围,其中个人生物识别信息中就包括了面部识别特征。因此,人脸识别技术所涉及的生物面部识别特征属于个人信息中的敏感个人信息。敏感个人信息与个人的人身安全和财产安全息息相关,一旦被泄露、非法使用会产生无法预料的后果。
(一)人脸识别技术应用隐含的技术风险
科技是把双刃剑。技术本身的发展在带来收益的同时必然会带来风险。风险包括技术本身存在的风险和技术运用过程中引发的社会风险。人脸识别技术作为人工智能技术发展的一个分支,其本身受制于现有技术发展水平。人工智能技术的核心是算法,而算法的核心是数据,数据在收集、整理、计算过程中则会出现偏差和泄露,这是技术本身所不可避免的问题,是技术发展的自身局限性。对数据的依赖和盲目崇拜会陷入“技术乌托邦”的误区,导致唯数据论的甚嚣尘上[2]。虽然人脸具有独特性,但这种独特性是分等级的,如果个体面部的独特性高,即与其他人脸差别较大,则人脸识别的出错率更低。如果个体面部的独特性低,即与其他人脸差别较小,尤其是双胞胎或相似度较高的近亲属之间,人脸识别出错率会明显提升。这是技术本身存在的误差风险,如果人脸识别不与其他验证手段相结合,这种误差所带来的现实影响是不可估量的。此外,人脸具有可变性,会随着年龄的增长、妆容的修饰、自然环境的影响等而发生变化。这就导致人脸识别技术具有被破解的可能性。人脸识别技术还受制于摄像头等硬件设施的发展,和成像技术等软件技术的发展。研究机构已经证明了利用3D打印技术来破解人脸识别的可能性。
随着人脸识别技术的广泛运用,技术的发展和衍生带来了更多的技术伦理风险。换脸视频的出现可以说是人脸识别技术的衍生品。换脸视频依托于深度伪造技术,即通过深度学习技术将视频进行智能化技术处理,从而实现对视频人物进行换脸,利用杨幂等公众人物制作的换脸视频就是其中的典型[3]。众多公众人物的形象被广泛用于换脸视频的制作,尤其是用于色情视频制作,真假难辨的视频被广泛传播,在伦理和道德领域引发公众的关注。显而易见,当前的人脸识别技术不仅止步于“识别”,更走向了“替换”,肖像的真实性问题引发了更深入的伦理讨论。进一步而言,关于人工智能技术的道德问题,是选择规制在前模式,还是选择实践演进模式,再次成为技术伦理的焦点。
(二)人脸识别技术应用产生的侵权风险
个体生物特征可以分为个人隐私信息、一般个人信息和个人数据三种[4]。一般个人信息和个人隐私信息都具有人格权属性,前者涵盖的范围更广,后者属于隐私权保护范围且不具有财产属性。个人数据是智能社会的产物,是数字经济的主要生产资料,包含财产属性。人脸识别技术应用所涉及的人脸信息包含多种法益,是人格属性与财产属性的结合,仅从个人角度而言,涉及公民个人的隐私、财产、个人身份、人身安全等各方面。陌陌旗下的AI变脸软件ZAO因为隐私问题被工信部约谈[5];Facebook因运用面部识别功能将他人详细个人信息进行标记链接而受到诉讼;瑞典一学校因未备案就运用面部识别技术进行考勤,违背了欧盟通过的《通用数据保护条例》(以下简称GDPR)中的隐私条款而被处罚款,如此种种都是技术侵权的体现。人脸识别技术应用不仅包括个人,还包括技术管理者、提供者、经营者等众多主体,涉及的不仅是个体的人格权与财产权,更是公共利益与社会安全。从数据安全法益的角度来看,人脸识别信息具有多元化、复杂化的法律特征,具有复合型的权利属性。因此,一旦人脸识别信息发生泄露,将产生广泛的侵权风险。如前所述的杨幂换脸视频,其转发量以亿为单位,造成的社会影响不可估量,对公众人物的肖像侵犯和情感伤害难以估量。
此外,人脸信息泄露所涉及的并不限于面部信息。人脸识别是一种身份识别法律制度,具有身份认证功能,其背后囊括了一系列个体信息,包括家庭背景、资产、学历、工作等[6]。如果发生人脸信息泄露,个人信息链亦容易被获取。另一方面,受限于技术本身发展因素、技术设计者的价值偏好、数据本身的偏差使得算法歧视与高效率决策一体同源。人脸识别的高效率性意味着其具有标签分类的判断方式,从而引发社会歧视。
(三)人脸识别技术应用引发的社会治理风险
人脸识别技术加剧了社会犯罪风险,容易破坏社会稳定和国家安全。人脸信息作为敏感个人信息与个人的人身和财产安全休戚相关。人脸信息具有更高的准确性、可靠性、易采集性。现今许多手机app都具有人脸识别认证和支付功能。人脸识别技术的特性为财产犯罪提供了更广阔的途径和思路。例如, 2019年发生在浙江宁波的人脸识别盗窃案。人脸识别技术应用还会加剧社会歧视风险。许多国外的研究机构对人脸识别在不同样本情况下的成功率进行了验证,结果表明人脸识别技术对非白人种个人,尤其是黑人个体的准确率要低于白人个体。这就意味着其他非白人个体更容易被打上犯罪嫌疑人的标志,美国黑人弗洛伊德事件引发的微软禁止将人脸识别技术销售给警方就是例证。
人脸识别加剧了社会秩序风险。高效率的社会生产模式来源于社会分工的细化和专业化,交通的便利使得地缘关系渐渐被陌生人社会代替,从身份到契约的转变随着市场经济的不断发展而愈发深入。现代社会不再是原有的熟人社会,每个人都具有且依赖经济人属性,契约则是经济人之间交流沟通的依凭。契约代表着平等自由的意志表达,代表着利益置换的模式和方法。人脸识别技术应用加剧了社会监控的风险,使得个人在社会活动中的行动信息受到监控,从而无法表达自身的自由意志,契约的意义也因此遭到破坏。并且,监控范围的扩张使得个人隐私范围缩减,实质是对个人隐私权的威胁和侵犯。公私范围的不均衡和单方面的倾轧,容易打击社会活力,使得个体性被消磨,社会秩序极易僵化,不利于社会创造和发展。
与此同时,人脸识别技术的发展延展了公众认知世界的方式。但这种延展带来了社会信任危机,消弭了社会共同体之间的信任。刷脸、换脸等技术使得人像真实性问题成为信息传播中的关键问题,传统的根据人脸进行社会身份识别的模式被现有科技拓展为识别-认证模式,身份信息的可破解性和非真实性使得人际交往之间的欺诈现象丛生,信任关系难以确立,从而危害社会秩序的稳定和共同体的信任危机。
有数据显示,2019年人脸识别市场规模为34.5亿元。随着新冠疫情的爆发,人脸识别这种无需接触的识别验证方式愈发受到重视。随之而来的人脸识别相关犯罪现象也频繁被报道。人脸识别技术应用所来的风险是不可避免的,对其进行法律规制迫在眉睫、势在必行,也是社会治理智能化转型的当务之急、重中之重。2020年《民法典》的出台,以及《草案》的公布,意味着我国对人脸识别技术的法律规制体系正在形成。
二、人脸识别技术应用的现有法律规制
欧美对人脸识别技术所涉法益的定性及具体制度设计已然形成体系化模式。与欧美国家相比,我国关于人脸识别的法律规制还处于立法探索阶段。人脸识别的专门性立法并没有建立,其主要是作为个人信息子项进行统一规制。现有法律规制的滞后性、分散性使得以个人生物识别信息为代表的个人信息权益缺乏体系性、统一性的保护。一体化、系统性法律规制模式的建立是当前该类技术发展所需的必要规制,也是维护社会稳定秩序和智能化转型的基石和框架支撑。
(一)国外人脸识别技术应用的现有法律规制
国外人脸识别的法律规制已经形成一定规模,我国理论界和立法实践对此有所借鉴。国外对人脸识别技术应用大体呈现审慎态度,美国部分州主张禁止使用该类技术,欧盟则主张对其进行限制使用。国外对该技术的立法主要有两种模式:一是以美国为代表的专门立法模式;二是以欧盟为代表的统一立法模式。
美国在联邦层面未对人脸识别进行统一性立法,主要是各州结合自身的发展情况进行的专门性立法2。美国的立法模式较为自由,立法权力掌握在各州。美国对人脸识别技术的法律规制因主体不同、目的不同而有所差异,总体而言是审慎、分层级的严格态度[7]。针对政府部门运用人脸识别技术的法律规制非常严格,有的州采取禁止使用制度,如旧金山市的《停止秘密监控条例》。2020年提出的《人脸识别道德使用法案》亦呼吁禁止美国政府使用人脸识别技术。美国民间对人脸识别技术在公共场合进行监控的反对之声众多,尤其是黑人弗洛伊德事件爆发之后,这种呼声愈发高涨。对非政府机构使用人脸识别技术的规制最具代表性的就是BIPA,其以严格著称。BIPA对生物信息等一系列关键概念进行了定义,并确定了生物信息从收集、运用到删除整个过程的原则制度和标准,并且赋予了私人诉权。CCPA则相对较为宽松,其将人脸信息在一般个人信息的意义上进行了规制。
总体而言,美国模式的人脸识别法律规制具有分散性和专门性特征。各州具有其特定的立法宗旨。法律具有完备的和相对准确的法律概念体系,如BIPA对生物信息的界定。法律主體保持权责统一和协调,如赋予信息主体知情、同意权、信息自决权,与之相对应得是相对方的告知义务、安全保障义务、合法合规处理信息义务;并且赋予主体诉权以实现权利救济,以及严格侵犯主体的责任处罚。除正式法律外还配有各类明确的保护规则和特定办法,具有较强的特殊性、实践性、操作性[8]。美国立法模式的形成有其特殊的社会政治背景。美国是一个多种族移民国家,实行的是联邦制。美国的种族问题是社会主要问题,而人脸识别技术的局限性使其不可避免的会加重种族歧视,因此政府对人脸识别技术的运用,多州采取严格限制的方式。此外,美国主张自由主义、个人权利至上,对人权问题的敏感度更高,更注重个人的权利保护,而人脸识别的运用会产生社会监控的风险,进而侵害个人隐私,这也导致美国对人脸识别技术的审慎态度。
欧盟采取的是统一、综合立法模式,其主要依据为GDPR3。欧盟的综合立法模式主要分为两个层级:一是欧盟统一立法,二是各成员国出台的个人信息保护法律。欧盟统一立法与美国模式不同,其将不同种类的个人信息统一纳入到个人信息的范畴进行立法保护。生物识别信息作为个人信息的子项,被GDPR确定为特殊敏感类信息,遵循“禁止处理”“明示同意”“法定必需”三大法律原则,并将生物识别信息运用的整个生命过程纳入到保护范围内,确定主体间的权利义务关系和主要原则标准。欧盟的立法模式亦有其独特的政治社会背景。欧洲各国因地理位置的原因紧密相连,其交通和贸易往来息息相关,欧盟的建立为其区域一体化建设提供了共通标准,因此统一的、概括性的立法就成为其首选,同时赋予了各国更广阔的立法空间。另一方面,由于每个国家的风土人情、发展水平和精神理念的不同,各国针对国情进行专门立法更贴合本土实践,与GDPR相呼应形成双层法律规制体系,并且集合了民事、刑事、行政领域的规范手段,更加全面和稳定。
总结域外立法经验可以看出,不论是美国模式还是欧洲模式,对人脸识别技术的重视在立法层面已经表现得非常明显。不论是分散立法还是统一立法,都立基于本国的国情,结合本国技术的发展情况和现实社会需求进行立法模式的选择和立法宗旨的确定。值得注意的是,二者都对人脸识别技术进行了分场景规定,将政治与法律相协调,具有实践可行性。二者对人脸识别技术持有审慎态度,对技术风险保持警惕,尤其是在公权力领域,对技术的运用呈现出谨慎、严格、限制运用,以防止对个人隐私和个人信息的侵害。
(二)国内人脸识别技术应用的现有法律规制
当前我国对人脸识别技术应用并未进行专门性立法,有关规定分散在宪法、民法典、刑法、网络安全法以及其他法律、行政法规和司法解释中。《中华人民共和国宪法》第三十三条提到“国家尊重和保障人权”,第三十七条和第三十八条规定“人身自由和人格尊严不受侵犯”。在关于人格权的法律构造上,人身自由、人格尊严被具体化为生命权、健康权、身体权、姓名权、肖像权、名誉权、隐私权等具体人格权[9]。这从根本大法的层面为个人权利的保护提供了法律依据。
民事领域对个人生物特征信息的保护主要集中在个人信息项下。《民法典》在民事权利一章中,第一百一十条原则性的规定了自然人的个人信息受法律保护。人格权编的第六章对隐私权和个人信息保护进行规定。值得注意的是,《民法典》将隐私权与个人信息保护并列规定,并且在民事权利章中将个人信息保护单独提出,表明了隐私权与个人信息保护是独立的两个概念,二者虽有范围交涉,但应区别对待。虽然个人信息保护未被确权,但对其利益进行保护已被确立。这在一定程度上为学界争论的个人信息保护确权,以及隐私权与个人信息保护之间的关系给予明确指向。《民法典》第一千零三十四条至一千零三十九条对个人信息保护进行了具体规定。这六条规定包括了概念界定、主要遵循原则、免责条款、信息主体的权利界定、信息处理者的义务概括和保密条款等。这六条是民事领域规制个人信息保护的基本条款和立法宗旨,其所具有的立法意义和地位是毋庸置疑的。
2020年《中华人民共和国个人信息保护法(草案)》的公布,为个人信息保护的制度雏形提供了法律框架和方向指引。《草案》共有八章,包含了总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任和附则。总则明确了自然人依法享有个人信息权益,指明了立法目的、适用范围、个人信息和个人信息处理的概念、处理个人信息应遵循的原则和范围、国家建立个人信息保护制度的原则和国际合作机制。从概念界定来看,《草案》确定的个人信息范围与GDPR相似,都是与已识别或可识别的自然人有关的各种信息,要比《民法典》确定的范围更广。个人信息处理的范围则与《民法典》相统一,包含了个人信息全生命周期的活动。与《民法典》的规定相衔接,确定了处理个人信息要遵循合法原则、正当原则、诚信原则、必要性原则、公开透明原则、准确及时原则,并确定了个信息处理者应承担个人信息安全义务和责任。《草案》进一步将个人信息处理范围限定在法律法规、国家利益与公共利益允许的范围内。
第二章是个人信息处理规则,包括一般规定,敏感个人信息处理规则、国家机关处理个人信息的特别规定。关于个人信息处理的一般规定,《草案》确定了“告知-同意”为核心的一系列规定。其最大亮点是扩大了处理个人信息的合法性基础,与《民法典》进行衔接,增添了个人同意除外的其他合法性基础。《草案》中的同意规则是个人自愿、明确的意思表示,包括单独同意、书面同意、重新同意,以及其他特殊同意情形,还包括撤回同意的情形,并强调个人信息处理者不得以不同意或撤回同意为由拒绝提供产品和服务。《草案》确定了告知的原则和例外情形,具体规定了告知的时间、语言和内容要求,并且未对告知主体进行限定,这就意味着所有个人信息处理者均要受其限制。关于敏感个人信息处理规则,《草案》进行了严格限定。首先是敏感个人信息的范围进行了严格限定,身份证号码等个人信息不在敏感个人信息范围内;其次是只有具备特定目的和充分必要的情形才能进行处理;最后是单独同意的要求和特殊告知要求,进一步严格对敏感个人信息处理的限定。关于國家机关处理个人信息的情形进行了特别规定,一定程度上有利于信息公开,增强社会监督。第三章完善个人信息跨境提供规则,表明了国家对个人信息境外提供的严格限制,维护国家利益的坚决态度,以及与国外合作的前提条件。
第四章和第五章确定了个人信息主体的权利和信息处理者的义务。个人信息处理活动中的个人具有知情权、决定权、查阅复制权、更正补充权、删除权等,个人信息处理者具有信息安全保护义务、信息安全合规审计义务、风险评估义务、信息泄露通知和补救义务等。第六章规定了履行个人信息保护职责的部门,以及履行职责时可以采取的措施,包括约谈制度、投诉举报制度。第七章法律责任包括民事责任、刑事责任和行政责任,包括罚款、信用惩戒、处分等惩罚措施。第八章附则主要是对法律用语的含义界定和特殊个人信息处理场景的法律适用。
刑事领域关于人脸识别的法律规制较为分散,且涵盖范围较广。《刑法修正案(九)》将《中华人民共和国刑法》中的“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”。其在形式上将犯罪行为方式抽象为“侵犯”,实质上将罪名主体从特殊主体扩展为年满16周岁的一般主体。此外,2017年两高出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对侵犯公民个人信息罪进行了进一步解释。与此同时,由于人脸识别技术应用广泛,尤其是深度伪造技术引发的视频换脸风波,进一步扩大了该技术的受制范围,如故意传播虚假信息罪、传播淫秽物品罪等都可对不同情景下的人脸识别技术应用进行归罪。
总体来看,我国关于人脸识别技术的法律规制与欧盟模式类似,即统一在个人信息项下进行综合规制。人脸识别法律规制主要集中在民事领域,刑事和行政领域与之衔接。但应注意到,上述法律规制的缺陷也尤为显著:其一,该技术涉及的权利法益定位并不明晰。不同于欧美国家将其进行明确的法益保护,我国对个人信息的法律定性还存在争议,尤其是在人格权与财产权分属,以及是否将其作为单独权利进行法律规制等方面,学者们始终争论不休。从目前的法律规定来看,其更多被作为人格权益进行保护,而缺乏人格与财产的双重保护。其二,责任承担方式不明确,或缺乏实践可行性。以换脸视频为例,其既有损于公民的肖像,又可能产生知识产权纷争,在非商业用途情況下如何进行公众人物的肖像权保护,如何解决精神损害赔偿问题,以及普遍性传播引发的知识产权维权等问题,都是实践中面临的紧迫问题。权责的统一是法律制度严谨的表现,没有责任制度的保障,权利确认仅是口号和纸面上的权利,无法对技术滥用进行有效规制。其三,现有法律用语本身开放性过大,使得规则过于粗糙模糊,且不同法律制度之间缺乏衔接性,未形成一体化的规制。《草案》第十三条第五款所提到的“合理范围”如何界定?第十五条关于不满十四周岁未成年人信息保护的规定,如果不进行解释则与第十三条存在冲突可能性。此外,如上文提到的现有《民法典》和《草案》之间亦存在用语和法律定性上的不一致,而人脸识别技术涉及到民事、行政、刑事等多领域,统一且规范的法律用语以及相互配合的法律制度建设是进行有效法律规制的前提。
三、人脸识别技术法律规制的完善方向
人脸识别技术的产生源于传统社会生活中的“刷脸”行为。人脸是社会身份的标志,因而具有重要的社会性和动态性。在传统社会中,人脸与其他个人信息相联系,是熟人社会实现信任、合作、交往的前提。正如身份证具有认证作用,传统意义上的人脸识别是一种身份法律制度。随着智能科技的发展,人脸识别从传统的身份认证向虚拟化身份识别发展,这背后隐藏的是个人信息在虚拟空间的扩充和集中。人脸识别技术逐渐成为个人信息的安全阀,一旦打开则个人信息集合将全面暴露。人脸识别技术作为一种身份认证与识别的技术,对其技术发展逻辑和规制原理的探讨离不开其社会性,换言之,需要将其放置在社会治理的大背景中进行探讨。
(一)人脸识别技术法律规制的原理逻辑
人脸识别等智能技术的发展之所以充满争议,是因为其发展和运用对现有社会价值秩序和权利体系产生了冲击,造成了利益冲突和失衡,如安全秩序与隐私自由之间的矛盾冲突、科技发展所带来的效率发展与个人权利需求的公平对待之间的冲突等。人脸识别技术的发展带来“全方位监控型社会”的隐忧[10],算法升级带来了数字鸿沟与社会分层的隐患[11]。这些权利冲突和风险隐忧背后隐含的是对算法中心主义的担忧,是对个人价值逐渐被技术发展消解的恐惧,是数据主义对人文主义的冲击。因此,如何平衡科技发展与人文价值保护之间的关系,以及如何协调效率与权利的关系是法律规制人脸识别技术所应考量的重要方面。
依据功利主义伦理学“最大多数人的最大幸福”原则,人工智能技术的发展应遵循社会效用最大化的原则逻辑。这种原则将技术视为价值中立的手段,是促进社会发展的科技动力。所谓的社会效用最大化,是以社会为本的一种效用总和的最大化。如果单纯以社会效用最大化为价值判断标准,容易导致数据中心主义,忽略个人利益,从而形成“数字利维坦”现象[12]。因此,与之对应的是个人权利伤害最小化原则。这种原则是结果目的论与义务论相结合的产物。在人脸识别技术发展中,其要求为对个人自由、隐私、人格尊严和财产等权利的伤害最小化[13]。罗尔斯提到“最大最小化原则”,其通过对最坏结果排序进行价值选择[14]。人脸识别技术发展中的“最大最小化原则”,就是要以坚持个人权利伤害最小化原则的同时,实现社会效用的最大化。此外,有学者提出以社会本位为价值取向,将权利开放给社会,形成对个人的弱保护和对科技的强保护。这种理论通过将个人数据权利赋予给企业主体,激发企业的创造活力,在促进经济和科技发展的同时,激发企业对自身权利的维护,进而实现数据安全的保护[15]。其所针对是现实社会中普遍存在的个人权利实现的不可能性,即现今社会普遍存在的“无授权即无权利”现象,通过将权利转移到企业主体手中,从而真正实现数据权利保护。这种做法强调对数据流转的治理,重视个人信息生命周期活动的保护和规制,更具有针对性和可操作性。
在关注社会治理实效的基础上,还应重视社会公平正义的价值逻辑。社会治理的智能化转型主要遵循场景正义理论和数字正义理论。场景理论是国外关注隐私保护的主要理论,分场景对社会行为进行规制是其主要表现。场景理论背后蕴含着法经济学原理,通过对治理风险的预判来进行成本—收益的计算,从而进行具体化的规制,以达到具体问题具体分析具体规制的目的。与此同时,该理论还应用了马克思主义哲学的矛盾理论,是同一性与差异性的统一,在注重共性的同时避免对问题进行“一刀切”,以实现真正的社会公平。
在大数据时代,数据治理早已成为社会治理的主要方式。数据具有关涉公共利益的共有属性[16]。把握数据的共有属性,进行社会共治,实现共有共治共享的逻辑格局,更符合我国社会治理的发展。在社会治理过程中,个人与社会之间的关系决定了个人权利让位于公共责任,而公共责任的实现则保证了个人权利的实现,此过程类似于社会契约演进,是一种公众参与、社会协同的治理格局,有利于激发社会活力,同时关注个人数据保护。更进一步而言,为防止陷入数据中心主义,过分依赖数据决策从而消解人文主义价值,强调数据正义,反思数据治理的正当性是必要且必须的。数据正义强调以人为本和权利本文,强调技术运用的正当性、充分必要的有限性扩张。有学者提出可以通过“可见性、事先约定、防范不公平对待”来构建数据正义[17]。
综上所述,就人脸识别技术而言,现有的法律规制多从事后保障出发,缺少事前和事中的规制,且分散性的立法使之未能形成应对风险的完备法律体系。从人脸识别的技术属性和规制逻辑来看,分场景进行差异化规制,建立多元主体一体化规制体系是保障社会治理和社会正义的关键。
(二)人脸识别技术法律规制的体系化完善
以国情发展需求为立法限度,是人脸识别法律规制需要遵循的原则。从科技发展的实践现状来看,我国一直坚持支持鼓励态度,“科学技术是第一生产力”的论断是我国一直遵循的指导方向。有数据显示,2020年,人脸识别市场规模达到42.8亿,经济领域的人脸识别应用已经成为潮流[18]。公共领域对人脸识别技术的应用在近两年迅猛发展,且并未引起严重的社会问题,亦并未激起恐慌情绪。尤其在疫情期间,人脸识别技术为疫情防控起到了辅助作用。因此,一刀切的禁止使用模式并不符合我国的国情,倡导一种负责任的使用才是我国技术应用法律规制的方向。
其一,人脸识别技术法律规制要通过场景理论进行分层规制。欧美国家针对不同情景,结合自身的政治和社会背景形成了多层次的法律规制。一是从使用目的出发,通过风险预判来对该技术的使用模式进行限定,如美国旧金山等地明确禁止使用该技术、华盛顿等地则允许基于公共利益的目的正当使用该技术、欧盟则规定了严格限制使用该技术的条件和标准。二是从使用主体出发对该技术进行规制,正如上文提到的公私不同机构的使用标准限定。我国在应用场景理论时应注意人脸识别技术的发展反映的数字身份在社会治理智能化转型中的功用。人脸识别技术在不同场景中的应用代表了不同政策目标和实施效果的差异,同时反映了不同场景下的法律关系侧重,进而区分不同公私使用者的不同规制标准。在这一过程中要注意事前的风险评估,以及相应的成本-收益计算,从而确定个人信息保护强度与第三方监督细则。
其二,人脸识别技术法律规制要明确主体权责,实现协商共治。现有的法律规制从事后保障出发,保障力度不足。在综合性立法的契机之下,人脸识别技术法律规制的下一阶段要注重体系化构建和多元规范复合规制。对于该问题的探讨仍应建立在社会治理实践基础上。从我国的治理实践出发,人脸识别技术应用的最主要规制难题在于知情同意权无法落实。不管是人脸本身的外在性降低了公众的风险意识,还是各类平台的强制同意规制,都是知情同意权无法实现的原因。在数据采集和存储过程中加强验证方式,分场景级别进行验证,限制数据保存时间、加强认证监管等方式不失为可行性路径。同时,还应明确统一的安全责任底线和基本使用标准,包括必要性原则、合理性原则、同意原则、退出机制、第三方监督机制、损害赔偿机制等。
此外,人脸识别技术应用还带来了公共性问题的思考,个体与共同体的关系,多元主体的权责分工是人脸识别技术法律规制要思考的重要方面。由于技术的发展远快于刚性立法的进度,加强复合型规范治理,重视软法功用已然成为新的方向。这就需要多元主体自治、自律与法律规制相结合。对于公众而言,就是要培养公众的法理意识和信息素养。公众对法律的信仰和自律是扼制人脸识别技术滥用的重要力量。公众信息素养的提升,认知和辨别知识能力的提高,有助于自下而上的实现权利保护。同时,建立动态同意机制,在信息利用过程中分情景对知情同意权进行落实,从而实现个人权利的保障。对于行业从业者而言,则是要加强行业自律。行业内部通过建立自律规范,建立内生机制,如增强追踪、访问控制、数据加密等機制保障数据安全,从而形成良好市场环境,将个人信息更好地转换为数字经济生产资料,从而助推数字经济的发展,为社会治理智能化转型提供充足物质基础。第三方监督机构是防止技术滥用、保障信息安全的重要主体。监督机构要实现动态化监管,强化事前和事中的监管,通过必要性、合理性等原则性审查以及具体的行业评估标准,实现数据安全的监管。总而言之,人脸识别技术应用过程涉及的多方主体应坚持协同共治,在共同体中实现各方权益,同时通过各方行动来推动共同体发展。
结 语
人脸识别技术为社会治理的智能化转型提供了广泛的技术支持。然而,人脸识别技术对应的个人信息涵盖着多元法益,若无科学有效的法律规制,人脸识别技术不可避免被滥用,也必然会诱发复杂多元的社会风险。当前我国对人脸识别技术的法律规制严重滞后于该技术的运用,具体表现为人脸识别技术应用当中的权利属性界定不明晰、各项立法目的不统一、法律规制的针对性不强,以及法律本身的事后规制逻辑。因此,把握综合性立法的契机,针对不同场景细化规制,明确各方主体的权责异同,实现协同共治,是维护个人信息安全,保障社会治理智能化转型的方向。
参考文献:
[1] 毛亚楠.人脸识别第一案:告的是什么[J].方圆,2019(24):14-17.
[2] [17]单勇.犯罪之技术治理的价值权衡:以数据正义为视角.[J].法制与社会发展,2020,26(5):185-205.
[3] 王禄生.论“深度伪造”智能技术的一体化规制[J].东方法学,2019(6):58-68.
[4] 张勇.个人生物信息安全的法律保护——以人脸识别为例[J].江西社会科学,2021,41(5):157-256.
[5] 李晓光,石丹.人脸识别第一案:“要脸”or“要安全”?[J].商学院,2019(12):76-78.
[6] 胡凌.刷脸:身份制度、个人信息与法律规制[J].法学家,2021(2):41-192.
[7] 邢会强.人脸识别的法律规制[J].比较法研究,2020(5):51-63.
[8] 付微明.个人生物识别信息的法律保护模式与中国选择[J].华东政法大学学报,2019,22(6):78-88.
[9] 柳经纬.民法典编纂的历史印记[J].河南财经政法大学学报,2019,34(3):1-14.
[10] 張新宝.我国个人信息保护法立法主要矛盾研讨[J].吉林大学社会科学学报,2018,58(5):45-205.
[11] 郑戈.在鼓励创新与保护人权之间——法律如何回应大数据技术革新的挑战[J].探索与争鸣,2016(7):79-85.
[12] 孙道锐.人脸识别技术的社会风险及其法律规制[J].科学学研究,2021,39(1):12-32.
[13] 张秀.智能传播视阈下伤害最小化伦理原则探讨——以智能人脸识别技术为例[J].当代传播,2020(2):82-84.
[14] [美]罗尔斯.正义论[M].何怀宏等,译.北京:中国社会科学出版社,2009:151-152.
[15] 李庆峰.人脸识别技术的法律规制:价值、主体与抓手[J].人民论坛,2020(11):108-109.
[16] 徐圣龙.“公共的”与“存在于公共空间的”——大数据的伦理进路[J].哲学动态,2019(8):86-94.
[18] 朱玲凤.数据合规2020年展望[J].互联网经济,2020(Z1):64-69.
Risk and Legal Regulation of the Application of Face Recognition Technology
Wang Xingyuan
(School of law, Jilin University, Changchun 130012, China)
Abstract: Face recognition technology is one of the widely used technologies in the process of intelligent transformation of social governance. The identity authentication and recognition function of face recognition technology realizes the automatic collection of personal information in virtual space. Face recognition technology itself has technical risks. Once it is abused, it will violate civil rights, destroy social order and eliminate community trust. The existing legal regulation has the characteristics of decentralization and fragmentation, and the post regulation logic of the law itself is difficult to effectively restrict the application of technology. The next goal of legal regulation is to grasp the opportunity of national comprehensive legislation, give full play to the social function of face recognition technology, refine the regulation according to the scene theory, clarify the rights and responsibilities of multiple subjects, and achieve common governance.
Key words: face recognition; personal information protection law; scene theory; digital justice
