人脸识别问题的法律规制
2021-11-25龚晓蔚
龚晓蔚 王 敏
(陕西理工大学,陕西 汉中 723001)
日前,“动物园人脸识别第一案”引起了人们的注意。背后折射出的是普通民众的存疑心理:动物园是否有收集公民人脸信息的权利?其如何保证客户脸部信息的安全性?而人脸识别技术使用的门槛又如此之低吗?法律作为规范社会秩序的“守门人”,有必要对这一系列的问题作出回应,从而厘清有权与无权、合法与非法的界限,进一步提出如何从法律路径上来规范人们的行为、提高企业的自律以及表明政府的责任。
一、人脸识别相关问题概述
人脸识别,是指基于人的脸部特征信息进行身份识别的一种生物识别技术。人脸信息具有各种特殊性,人脸识别技术很大程度上受到人脸特征的影响,从而形成了其复杂性的特征。因而,有必要对人脸信息的特征一一陈述。
(一)人脸信息的唯一性
所谓“唯一”,也就是独有的、不可复制的。据最近一次世界人口统计,目前世界人口总数已近76亿。然而在这其中,却很难找出两个相貌完全一样的人,哪怕是双胞胎,也有细枝末节的差别。因为每个个体都有属于自己的脸部特征,眉、眼、鼻、嘴形态各异,所构成的综合体千姿百态。所以,在使用人脸识别技术时,就很容易辨别是与非了。
(二)人脸信息的易采集性
易采集性,是指采集的方式和途径多样且便利。现如今,自媒体发达,人脸识别逐步由技术化偏向娱乐化。2018年底,根据中国消费者协会发布的《100款App个人信息收集与隐私政策测评报告》显示,10类100款App中,多达91款App列出的权限涉嫌“越界”,存在过度收集用户个人信息的问题。而个人信息中包含的14项信息,仅生物识别信息就占比10%。由此可见人脸信息采集的简易程度。
(三)人脸信息的不可更改性
不可更改,即不能改变。学者林凌、贺小石[1]在其文章中提到,人脸信息不同于手机号、密码等常见的个人信息,手机号可以换、密码可以重置。而人脸信息在录入的那一刻就定格了,以至于后来再次验证时,都需要与第一次保持一致,否则会有验证失败之可能。学者文铭、刘博[2]曾强调,人脸信息一旦丢失,随之而来的损失也是不可逆的,“丢失”意味着个人的人脸信息完全公开、完全透明,这将对个人生活造成极大的影响,带来极大的不利。
二、人脸识别的应用及反思
(一)人脸识别的应用
“人脸识别”作为一项新型的检验身份标准的技术,其具有的速度、效率、成本等方面的优势,在一定程度上代替了人工识别,获得了迅速传播与应用。
(二)法律视角下人脸识别弊端的反思
古语有云,“福祸相依”。不可否认的是,人脸识别的使用也引发了一系列的问题,需要社会的关注、法律的回应。具体如下:
1.现实应用层面:人脸识别实践运用存在违法之嫌
(1)产生以人脸信息为虚拟产品的线上交易。公众在使用软件、享受服务时,只有同意了服务者提供的用户协议,才能进行一系列的活动。虽然技术本身没有立场可言,但是使用技术的人有好坏之分。客户方不了解更不能控制软件背后操作者的行为。现在任意打开一个搜索引擎,输入“人脸信息”,就会出现“人脸信息0.5元一份”的信息条。这一现象反映了他人的脸部信息被随意兜售的猖獗,由此推断,其背后更深层次的产业链势必更加肆意妄为。
(2)在存储、流转过程中发生脸部信息泄露。在现有情况下,收集公民个人脸部信息没有一个强制且规范的规定,或者说,只要软件设置的服务有需要,再通过客户对象的授权,那么,产品服务方很容易可以得到用户的脸部信息。正如学者邢会强[3]所述,大到企事业单位、政府机关,小到商家,都可以安装人脸识别技术,强制刷脸。然而,在数据时代下,互联网使得资源共享变成一件稀松平常的事情。在共享、流转信息或者公司正常转让、过渡的过程中,信息丢失、遗失、泄露等情况都时有发生。
(3)迎合信息收集方利益的需要使得脸部信息被滥用。有部分商家为了加大销售力度,通过对客户脸部的追踪,判断其曾否来店和来店次数、消费情况以及消费的意愿和偏好等,再向其推荐适宜的产品。新的营销模式对商家而言,不仅能够在短时间内满足客户的需求,还提高了店铺的效率;对客户而言,也节约了闲逛的时间成本。但这看似两全其美的方案,却极大地侵犯了民众的个人隐私、滥用了个人的脸部信息。
2.法律规制层面:人脸识别法律规范不完善
(1)收集人脸信息的主体资格不明确。很多软件采用的是“不授权无服务”的态度,并且部分民众愿意用暂时的授权换取片刻的娱乐和便利。至此,只要产品服务和客户需求相对应,收集人脸信息就轻而易举了。这也是人脸识别技术使用门槛低而使用率高的原因。出现这一问题的关键,在于收集人脸信息的主体,其是否具有收集的资质,收集是否有必要,收集后是否有存储和保护的能力,以及一旦出现泄露、滥用等情况,又是否有承担相应责任的能力。如果商家缺乏存储客户脸部信息安全的能力,其又有什么资格来收集脸部信息呢?只收集不存储、只建立不保护,这样的便利所带来的收益相较于人脸信息使用不当带来的风险,小之又小。
(2)收集的人脸数据后续走向不清。用户在享受服务之前,对于授权的内容、使用目的和使用范围都有了解,但是该“同意”并不能为被收集后的自身的脸部信息换来应有的安全保障。一旦同意授权,该用户的脸部信息就会成为收集主体数据库中的一员,无形中成了收集方的虚拟财产,为收集方提供流量和其他利益所得。这一切,都是用户在授权时所没有预料的。
三、对人脸识别现存法律问题的对策和建议
(一)加快建立专门的个人信息保护法
在2003年,《个人信息保护法》专家建议稿就开始起草,这表明个人信息的重要性很早就得到了立法机关的重视。但由于当时我国制定该基本法律的条件不成熟,社会对于个人信息的敏感度不高,没有预料将来脸部也为成为一种个人信息,并且个人信息收集和传播的方式与途径也不如现在迅速、快捷,种种原因,使得公众在漫长的等待中,也一再付出着成为“透明人”的代价。因而有必要加快建立《个人信息保护法》,明确个人信息的地位和重要性,在包括脸部信息在内的公民个人信息遭到交易、泄露、滥用时,给予受害者相应的法律救济途径和依据。
(二)明确市场准入机制
明确市场准入机制,明确收集人脸信息的主体资格。从“人脸识别第一案”的出现,便可以窥见该技术使用之广,范围之大。实际上,很多行业在增强自身建设和发展的同时,都有幸搭上了科技的快车。然而,在资本逐利和流量的催生下,或多或少地让科技被贴上“不敢信任”的标签。但是为了保护个人信息安全,而不利用科技,或者说为了发展科技,而不得不牺牲部分信息安全的话,又似乎显得不够理智。因而,有必要加强新型科技的市场准入机制,明确能够使用的行业范围。一项事物,只有设置一定的门槛,才会遏制门槛外的鱼目混珠,防止泛滥成灾的恶况出现,才能促使门槛内的人自我提升,不断完善。
(三)明确用户方和收集方的权责关系
要了解被收集数据的后期走向,需要明确用户方和收集方的权责关系。收集方在为用户提供服务时,需要在用户协议中写明收集人脸信息的目的、用途、使用范围、数据可能的流向、使用期限等条款;而用户在享受服务之前,也应提前阅读有关事项,保证自己对自身脸部信息何时、在何处、被何人采集、使用、存储的情况有所了解,再确定是否授权。
四、结语
人脸识别技术作为一项新型的科技,有许多待开发的领域,同时也充满了许多的未知和冒险。这都需要理论界和实践界的配合和研究。对于新型事物,尤其是新型科技,要怀抱一种包容且谨慎的态度,力求用“高收益、低风险、小伤害”的方式,将科技用于生活,规范于法律,这才是“高性价比”!