人脸识别信息保护中的同意规则研究
2022-02-04姬蕾蕾
姬蕾蕾
(安阳师范学院,河南 安阳 455000)
随着数据技术的研发与应用,人脸识别技术已经被应用到各个场景中,既涉及到公共管理和公共安全领域,也涉及私人行业领域,关于这一技术的理论基础、规制路径等在法学语境中处于起步阶段,尚未得到充分研究。2019年作为“人脸识别第一案”——“郭某诉杭州野生动物世界合同纠纷”拉开了法学领域对人脸识别技术关注的序幕。①法院最终判决当事人双方解除合同,杭州野生动物世界赔偿郭某合同利益损失及交通费一千多元,删除郭某指纹、照片等生物识别信息。浙江省杭州市富阳区人民法院〔2019〕浙0111民初6971号民事判决书。人脸识别技术的全方位应用,是大数据分析技术发展的必然结果,而该技术的应用对法学领域发起的挑战也显而易见。技术的智能演进在给人们带来便利的同时,开拓场景的丰富性和复杂性也给人脸识别信息的泄露带来更大风险,在私法领域,人脸识别技术与肖像、隐私等具有高度敏感性的人格信息具有直接关联性,传统个人信息保护制度的局限性在当前的技术环境中暴露无遗。无论是国际法规范或者多数国家的个人信息保护法均对个人信息利用中的同意规则作出规定,授权同意是个人信息收集利用的合法性基础,该规则作为个人信息保护制度的核心构架一直为理论界与实务界所认可。在大数据时代背景下,知情同意规则的实用性受到质疑在学界已经成为共识,由此,从私法角度对这一规则进行软化和更新的惯常思路是,将同意规则细化为分层同意、特别同意及单独同意等等,尤其是对人脸识别信息的单独明确同意。事实上,仅仅在单一场景中对同意规则进行改良不足以完全适应人脸识别技术的发展前景以及匹配相关场景的制度逻辑。人脸识别技术的特殊性在于“被广泛应用于社会主体不同身份的认证和行为识别场景”[1],而人脸识别信息的法律属性也孕育出不同的法律属性,这就有必要从其法律属性入手,发现其特殊属性,再根据相关的场景设定差异化的同意规则,以此平衡数据保护与利用的利益关系。
一、人脸识别信息保护中的双重风险
(一)个人信息权益侵害风险
《APP收集使用个人信息最小必要评估规范:人脸信息》第3.1条规定:“人脸识别即基于个体的人脸特征,对个体进行识别的过程。”第3.3条规定,“人脸信息”即对自然人的人脸特征进行技术处理得到的、能够单独或者与其他信息结合识别该自然人身份的个人信息。可以看出,人脸信息属于生物识别信息的一种,对该类信息的处理可能会对个人的人格权益与财产权益造成侵害。首先,人格权益的侵害风险。相较于指纹、基因、虹膜、声纹等其他生物识别信息,该类信息的采取具有被动性、隐蔽性以及不可觉察性。[2]生物识别的验证技术本身具有中立性,在实践场景中更适用于远程安全验证、管理等需求。然而人脸信息在线下关乎个人的自然评价,线上关乎个人的算法评价,同时大数据技术的引用导致个人信息结合算法能够描绘出个人画像[3],因此人脸信息属于高度敏感信息。其具有对比其他生物识别信息获取的技术性与需求设备的复杂性,人脸信息的获取较为普遍且便利,仅需要利用摄像装备即可轻易获得,同时信息主体难以觉察。因此,未经信息主体的同意而获取该类信息直接侵害了个人的信息自决权,同时对信息主体造成的损害是不可逆转的。其次,财产权益的侵害风险。在数字社会,个人信息具有固有人格与天然财产的双重属性,个人信息是具有财产权益的人格利益,在法律上可以财产化,通过同意将个人信息授权给他人使用来实现其财产利益,但不会因此而丧失其人格权益。只是这种财产权益需要与数据生产者共享,并且个人只能借助消极的救济方式才能实现其财产价值。[4]人脸识别信息在算法的作用力下整合成一种财产资源,具有巨大的经济价值,同时该类信息与个人金融系统认证直接相关,一旦对该类信息泄露或者处理不当,则造成的财产侵害难以估计,为侵害个人的财产权益留下巨大风险。
(二)个人信息的安全风险
在传统的线下社会,人脸信息是熟人社会中相互识别的重要符号,以此维护个人在固定社交范围的沟通交流。个人基于自己的意愿进入一定的社会关系,以个人肖像(人脸信息)表征自己的身份,也可使他人识别自己的身份。[5]在此领域中,人脸信息发挥个人与社会交往的媒介功能,是个人从独处空间迈入公共空间,开始与他人共享信息开展社会活动的工具。识别利益包含两层含义,第一层含义是个人标识自己的身份,作为进入社会关系的资格,此时建立的是个人身份;第二层含义是他人以此信息识别个人,使他人对个人形成整体准确而正面的评价,获得社会的尊重与认可,此时建立的是共同体身份,人脸信息、社群身份、声誉机制、集体记忆/遗忘、合作交往等机制一起,共同构成了长久以来的社会生活。[6]数字社会的到来,在数据技术的应用下,人脸信息开始具有了身份验证的价值,机器算法替代人脑,脱离了熟人社会中对人脸信息验证身份的单一识别方式,成为对特定自然人身份认证与识别的重要方法。人脸识别技术在对比人脸信息的同时和个人的姓名、年龄、身份证号码、手机号码相互关联,实现身份认证一体化,具有能够方便快捷地进行在线交易、提升公共管理效率、维护公共安全等不可比拟的优势。然而,人脸识别机制正是通过自动化的技术闭环对个人信息进行整合分析,成为引起社会普遍忧虑的根本问题所在。[7]人脸信息作为一种社会交往的功能仅需要“观看”即可,而人脸识别技术的应用会引起处理人脸信息的持续关联性和循环分析性。信息处理者看似聚焦于对人脸信息的收集,实则是对该信息背后的健康信息、金融信息、行踪信息等关系链信息的对接,使得人脸识别信息本身具有多元化、复杂化的特点。因此,一旦人脸识别技术出现漏洞,不仅可能导致对个人的不利评价,侵害个人的人格自由与人格尊严,还可能因为光线、角度等问题造成错误识别,可能导致错误在技术分析的循环中不断扩大,侵害个人的合法权益。例如,美国密歇根州底特律的一位名叫Robert Williams的男子一纸诉讼将底特律警察局告到法院,原因是因为人脸识别错误,他被当成小偷被捕,且在拘留所待了30个小时才被放行回家。[8]
二、同意规则在人脸识别信息保护中的规范沿革与实践困境
(一)同意规则的规范沿革
知情同意规则是个人信息保护制度的核心构架,是平衡个人信息保护与利用的有效杠杆。《美国公平信息实践准则》 中提出的知情同意规则对美国信息隐私立法产生巨大影响,其中1974年颁布的《隐私法》直接采纳了知情原则以保障公民的知情权。①将美国自动化信息系统委员会提出的五项个人隐私保护原则纳入《隐私法》,其中包括知情原则和同意原则。Daniel J.Solove,Privacy Self-Management and the Consent Dilemma,Harvard Law Review,Vol.126,2013.随后,信息主体同意作为处理个人信息的合法要件为大部分国家立法或司法普遍采纳。1980年经济合作与发展组织(OECD)的《隐私保护与个人数据跨境流通指南》、联合国大会于1990年通过的《关于自动资料档案中个人资料的指南》、2004年亚太经济与合作组织(APEC)的《APEC隐私框架》均延续《美国公平信息实践准则》中的同意规则。[9]欧盟关于个人数据保护最为严格,以人权导向为基线在1995年颁布《个人数据保护指令》[10],规定了数据品质原则,包括正当处理原则、目的明确和限制原则等均对数据主体的同意作出明确规定[11],且第7条明确对同意条款的内容作详细规定②Directive 95/46/EC,Article.7规定了处理个人信息的一般标准:(1)信息主体已经明确表示同意;(2)为履行信息主体作为合同一方,或信息主体要求执行订立合同的先行措施所必需的处理;(3)信息控制者履行其法定义务所必需的处理;(4)为信息主体的重大利益而处理其个人信息;(5)为了公共利益而为的处理;(6)为第三人的正当利益,但信息主体的基本人权和自由优于第三人正当利益的除外。。与欧盟立法理念不同的是,美国对个人信息保护的基本立场是反对滥用,其注重对个人经济关系的保护。美国没有统一的个人信息保护立法,对个人信息保护采用行业自律的模式以适应经济的动态发展。因此,个人信息保护原则对实施分散立法兼行业自律的美国更为重要。起初,美国对于主体同意内容仅在《隐私法》中予以规定,即在1974年将美国自动化信息系统委员会提出的五项个人隐私保护原则纳入《隐私法》这一单行法中,其中包括知情原则和同意原则。随后,大数据分析的应用导致个人信息的侵犯幅度提高,对此美国将个人信息区分为一般个人信息和敏感个人信息,对于后者,联邦政府针对特殊主体或特殊信息出台了特别立法,例如1988年出台的《影视隐私保护法》《儿童在线隐私权保护法案》等,这些立法都对信息主体的同意作出了具体规定。可以看出,为顺应立法潮流,美国也逐步认同同意是个人信息利用的正当性要件。
与《数据保护指令》相比,2018年欧盟《一般数据保护条例》新增关于“同意条件”的规定更加细致,有别于过去将绝对同意作为信息处理的首要条件。①REGULATION(EU)-2016/679 OF EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement od such data,and repealing Directive 95/46/EC(General Data Protection Regulations).有别于过去将绝对同意作为信息处理的首要条件,《一般数据保护条例》对于特殊类型数据处理的同意为明确同意,而对其他一般信息的处理仅需同意,即同意包含明确同意和默示同意。根据《数据保护指令》第7条的规定,同意必须是明确的,而《一般数据保护条例》第6条的表述删去了“明确”。与此同时,《一般数据保护条例》第9条第2款规定,特殊类型的信息在获得信息主体明确同意时,其处理不受相关限制。由此可知,对于特殊类型数据处理的同意为明确同意,而对其他一般信息的处理仅需同意;后者的外延应大于前者,即同意应包含明确同意和默示同意。[12]可以看出,对比之前的僵化性同意要件,欧盟逐渐采取一些变通的姿态,对个人信息同意作出区分规定。2015年美国引入三部隐私法案:《消费者隐私保护法案(草案)》《学生数字隐私与父母权利法案》《数据经纪人责任以及透明法案》。三部法案中,《消费者隐私保护法案(草案)》最为典型,该法案第103条(b)款规定,在具体场景中机构处理信息的行为合理,则无需信息主体授权或者同意;当信息控制者利用信息的行为不合理,威胁到信息主体的隐私时,信息控制者需要对该风险进行评估,并采取相应的救济手段。[13]
我国《民法典》《网络安全法》《全国人大常委会关于加强网络信息保护的决定》《消费者权益保护法》《数据安全法》《个人信息保护法》均采用信息主体同意作为个人信息处理合法基础的立法理念,以法律的高度覆盖保护个人信息全生命周期。《个人信息保护法》对同意作出细致规定,该法第14条规定了同意的要件与方式、第15条规定了信息主体的同意撤回权、第23条规定信息处理者向第三方提供个人信息时的单独同意规则、第25条规定个人信息公开的单独同意规则、第29条对敏感信息的处理规定了单独同意及书面同意规则。同意规则作为个人信息保护的核心架构,蕴涵信息主体对其信息的自主决定权。即为平衡信息主体对自身信息参控力度的缺失,通过知情同意的机理给予信息主体在信息流转过程中以控制权,防止信息利用者侵害其知情权,进而维护信息主体个人尊严与自由。正如洛克所言:“一切自然人都是自由的,除他同意以外,无论什么事情都不能使他受制于任何世俗权力。”[14]时至今日,同意规则作为个人信息利用的合法基础在个人信息保护领域仍占据举足轻重的规范价值。在实践中,获取信息主体同意是信息处理者处理个人信息的合规要件和免责条款,成为打开个人信息宝藏的“万能钥匙”。
(二)同意规则在人脸识别信息保护中的实践困境
在历史的流变中,同意原则在个人信息保护中的精神内核从未变更,即保障个人自主。然而数字时代的到来给以同意规则为核心构建的保护体系带来冲击,该规则投射到人脸识别信息保护的适用困境日益凸显。
1.信息主体的有限理性。同意规则的规范前提是信息主体的理性标准,即个人是自身利益的最佳决策者,是个人自主决定的直观体现,然而在实践中,信息主体对自己利益的判断力似乎缺乏耐性和理性,因此导致同意框架构筑的理想愿景与信息主体的实际抉择差距显著。美国联邦贸易委员会主席乔恩·莱博维茨曾言:“隐私政策无疑是个人控制其信息的有效方式,但事实上这仅是一种愿景。”[15]面对各种冗长的隐私声明,现实中很少有人去认真地阅读,一是读不懂,二是没有时间读,三是读了也没用,在这种例行公事式的同意中,自决的成分就算有也微乎其微,同意的作用被虚化和弱化。[16]而对于人脸识别信息而言,由于人脸识别技术的复杂性、隐蔽性,信息主体难以理解同意之后的使用方式和可能风险。即使信息主体认真阅读隐私政策,专业知识的缺乏导致其陷入信息收集的后续决策困境。[17]特别是在识别分析机制下,信息主体很难知晓其面部信息在何种数据库中的对比程度,更难以知晓信息存储安全性、自动化决策算法逻辑的信息。[18]
2.同意规则缺乏可操作性。从上述规范可知晓,知情同意规则是个人信息利用的合法基础,是捍卫个人尊严与人格自由的必要规则。传统同意的操作方式是在必要情境下获得信息主体的同意签署书,而大数据时代下,人脸识别信息的同意规则却缺乏可操作性。首先,人脸识别信息收集的不易觉察性和非接触性瓦解了同意规则的适用性。由于技术的隐蔽性,信息处理者在收集人脸信息时可以悄无声息地收集人脸信息而不会为人知晓,而且即使获取了信息主体的同意授权,由于信息处理的目的和范围会不断变化,这种同意的实质效力也大打折扣。其次,大数据的共享性使数据处理者与信息主体间的直接联系被切断,信息处理者为获得同意,可能要在大千网络中寻找众多不相识的信息主体[19],这无疑增加了信息获取的成本,不具有太大的可操作性。同时,由于个人信息的流通使用和数据技术的持续分析,第三方信息处理者还可以在分析过程中获取人脸信息而不需要经过信息主体的同意。
3.同意规则的无效性。当前,同意制度包括信息处理者的告知和信息主体的同意两个阶段,告知是信息主体作出同意与否的前置条件,是私法自治的具体体现。在实践中,《隐私政策声明》《用户服务协议》是信息处理者获取个人授权的主要形式,然而作为一种格式合同,信息主体一般只有点击同意的选项,并不能改变信息被收集利用的最终结果,这实质违背了意思自治的私法理念。这种不自由、不真实的承诺呈现效力瑕疵,同意原则功能逐渐嬗变,被信息处理者操纵成一种获取个人信息资源的程序要件。[20]而对人脸信息这种极为敏感的信息类型,面对无感刷脸的隐蔽数据技术,适用同意规则显得尤为徒劳无益,难以保障同意规则的有效性。基于此,2019年瑞典一所学校征得学生同意,实行刷脸进校的管理制度,最终瑞典数据保护局依据《一般数据保护条例》的规定认定该行为无效,并对该校处以1 000万瑞典克朗的行政处罚。[21]
三、同意规则在人脸识别信息保护中的困境成因与欧美改革
(一)同意规则在人脸识别信息保护中的困境成因
1.属性的变动性。数字社会是我们讨论人脸识别信息的前提,人脸作为个人的身份识别符号,在传统的线下社会就存在,只不过当时是通过人来验证个人身份的。人脸信息具有表征自然人的功能,关乎个人的外在评价和隐私,在此意义上,人脸信息彰显个人人格要素中最核心的尊严与自由,因此其精神利益凸显,法律属性为人格利益。传统立法对人脸信息的保护一般通过肖像权、隐私权的方式。进入数字社会,个人的身份识别不仅依赖于个人的面部特征,声音、手机号码、身份证号码、手机验证码等都成为新的身份认证方式。同时,个人信息的记录和处理方式发生巨变,人脸信息的技术价值愈发凸显。人脸信息具有独特性、方便性、不可更改性、易采性、多维性等特征[22],这决定了人脸信息在识别认证上的快速识别性和精确性,因而备受信息处理者青睐。在人脸识别技术应用之初,其技术逻辑仅仅是捕捉图像进行横向匹配识别,对个人造成的侵害风险较小。技术是个人信息产出经济价值的变革性因素[23],大数据、区块链、人工智能技术的开发,使人脸信息具有了财产属性。人脸识别技术结合人脸信息的独特性和易采性的特征,可以对个人形成更为精准的数字画像,由此方便信息处理者可以以此进行精准营销或作为企业调整经营方针的依据。由此,人脸信息的应用场景复杂多变,人脸识别分析朝纵向进阶,人脸信息的属性开始发生变化,从最初表征身份的自然符号向识别分析的机制转变。[24]此时,信息处理者成为人脸信息的实际控制者,单一概括的同意规则很难预判人脸信息的后续使用方式,这导致最初的同意机制丧失了意思自治功能。
2.风险的持续性。敏感度高的个人信息对信息主体会造成重大伤害,且适用于大多数信息主体。[25]非经本人同意的敏感信息处理会在社会中造成超出本人预料的结果,并对本人的人格发展造成不可预料的影响,使得本人人格塑造的结构偏离原本的预期。[26]由于技术的隐蔽性和自动化特征,有些人脸信息可能与其他数据库进行自动化对比,由此导致未能经过他人同意的人脸信息被信息处理者直接收集和使用。同时,在传统个人信息规范中,同意规则一般适用于信息采集阶段,信息处理者在满足信息采集的合法基础,并声明信息使用的目的和形式之后,一般情境下均可以完成对个人信息的收集。对于人脸信息而言,由于其本身的唯一性、收集行为的非接触性以及易采集性,在采集环节更为便利,这在采集之初就埋下了风险的种子。在后续的存储、加工、利用环节均可能会发生人脸识别信息的泄露风险、歧视风险或技术破解风险,贯穿从收集到利用的整个处理周期。从获取与持有信息的主体而言,可分为初始获取主体与后续转移主体,而后续转移主体究竟是谁,绝大多数的个体都可能不知,确定的则是个体信息可能会处于不确定的风险之中。[27]有学者专门对现有人脸识别用户服务协议文本进行调查,不少人脸识别服务协议中均约定了向“相关第三方”传输人脸图像用于比对识别,但是第三方的身份不明导致人脸信息的传输可能无从追溯,因此,单一的概括同意规则很难有效预防风险。[28]
3.场景的单一性。个人信息的保护最初源于对隐私保护的设定,面对新型的媒体技术,沃伦和布兰代斯在19世纪80年代首创隐私权,保护个人空间不受干扰,保持独处的权利(to be let alone)。[29]梭罗伍(Solove)认为,隐私不是一个抽象的事实,它不是一种空间距离、信息、监视,而应该是一种具体的行为规范。[30]然而,在人脸识别技术的应用情景中,这种行为规范的设定场景与数字社会的复杂识别情景差距明显。由于网络环境的复杂性和技术性,传统隐私理论难以适应网络环境的需求,信息控制理论随即被Alan Westin提出,倡导个人信息的自主控制。[31]然而,同意规则往往基于单一的场景设定,而识别技术往往会根据个人主动或者被动提供的人脸信息进行对比解析,这种同意刷脸的场景会脱离最先设定的情景,随着个人信息的流通而不断丰富和演变,信息主体在技术的专业性与隐蔽性的背景下很难有控制能力。正如尼森鲍姆认为,任何社会生活情景都受信息流动规范的约束,社会生活情景跨越单一情景而在多重情景中徘徊与转化[32],信息流动需要受制于不同社会情景的信息规范。[33]以同意规则为核心构架的单一情景规范设定难以在数字时代发挥应该具有的规制效力。
(二)同意规则在人脸识别信息保护中的欧美改革
同意规则作为个人信息保护的核心框架,对敏感信息给予特别保护的规则更新显得尤为重要。世界主要国家和地区的立法者意识到,以人脸信息为代表的生物识别信息作为敏感个人信息需要给予特殊保护,纷纷就同意规则进行重构,以此适应数字社会的发展需求,其中欧美的立法改革最具代表性。
1.美国。美国伊利诺伊州于2008年通过《生物识别信息隐私法案》,该法案主要规范企业、协会和其他组织对生物识别时信息的收集与处理的行为,该法案规定企业、协会和其他组织收集生物识别信息必须以书面形式告知信息主体,告知内容包括收集、存储、处理生物识别信息的目的和期限,并且需要获得信息主体的书面同意。[34]德克萨斯州于2009年颁布了《生物特征信息隐私法》,加州在2018年底颁布的《加利福尼亚州消费者隐私法》中明确生物特征数据的特别保护规定。[35]司法层面,在Rosenbach V.Six Flags Entertainment Corp.一案中,伊利诺伊州最高法院援引《生物识别信息隐私法案》,认为被告未经同意收集原告14岁儿子的指纹信息构成对其信息控制权益的侵害,即使原告儿子并没有受到实质损害,但因为未经同意的处理行为具有高度风险性,故认定被告侵权成立。[36]2020年3月,美国参议员Jerry Moran提交《消费者数据隐私和安全法案》,该法案第14条明确包括人脸信息在内的生物识别信息属于敏感信息,并规定处理或者收集敏感信息需获得信息主体的明确肯定的同意。
2.欧盟。欧盟将包括人脸信息在内的生物识别信息纳入敏感数据的保护范畴,在《一般数据保护条例》第9条中新增对个人基因信息、生物特征信息等的特别保护,因为这类信息加上相关技术可识别到特定主体,故数据控制者在处理该类信息时,需要符合目的原则,且禁止对该类信息加以识别。[37]同时该类信息的处理需要遵守“明示同意+法定必要”的条件①《一般数据保护条例》规定处理生物识别信息的必要条件包括:(1)信息主体的明示同意;(2)数据处理是为了数据控制者履行义务或行使权利,或者为了利益相关方在劳动和社会保障法中的权利行使;(3)即使未经主体同意的情况下,为保护信息主体或其他自然人的重大利益;(4)数据处理涉及的是个人先前已公开的私人数据;(5)为维护公共利益目的;(6)为了提出、行使或辩护法律主张;(7)为了预防医学或职业医学有关的所有事宜,例如为评估雇员的精神状况、协助医生的医疗诊断、获得健康或社会照料服务等。,并加重数据控制者违反该规定的行政处罚,“未经数据主体同意而处理个人敏感数据,或者违反禁止处理个人敏感数据的规定,数据控制者将承担2 000万欧元或者公司在全球营业额4%的行政罚款。”[38]在以公共管理与公共安全为目的对生物识别信息进行使用的情景中,欧盟2018/1725条例(《通用数据保护条例》)中规定了相关机构、组织、代理处理个人信息的规则,并在第76条第1款规定相关处理主体在法定职权范围内,在必要情形下才可以处理包括人脸识别信息在内的生物识别信息。[39]基于《一般数据保护条例》的严格规范,欧盟基本权利局在2019年发布《人脸识别技术:执法中的基本权利考量》的报告[40],该报告指出人脸识别技术的应用可能会严重威胁公民的基本权利,故对该技术的应用进行特别规制。在司法实践中,欧盟法院将包括人脸信息在内的生物识别信息上升为宪法层面的权利,这在Michael Schwarz v.Stadt Bochum一案中得到了承认。在该案中,欧盟法院认为指纹信息具有高度敏感性,是一种宪法性的权利,但是对该类信息的保护需要区分公共目的和合同目的,并且公共管理的正当使用需要优先于个人信息保护。[41]可以看出,针对公共目的和合同目的的不同,欧盟对信息处理者适用同意规则的标准不同,基于公共目的而收集人脸识别信息的信息处理者一般要遵守必要原则,并对信息主体进行充分告知;而基于合同目的收集人脸识别信息的信息处理者则必须经过信息主体的明示同意。
四、同意规则在我国人脸识别信息保护中的规范重塑
(一)同意规则在我国人脸识别信息保护中的立法现状
目前我国人脸识别信息的特别规定主要集中在对个人信息安全的定位中,兼顾肖像权、隐私权的保护模式。鉴于人脸识别技术的特殊性以及人脸信息的高度敏感性,最高人民法院在2021年8月实施《关于审理使用人脸识别技术处理个人信息的司法解释》(以下简称《人脸识别技术处理个人信息的司法解释》)明确将人脸信息纳入《民法典》第1034条中“生物特征信息”的范畴,并对人脸识别信息保护中同意规则的适用进行更新,将未经同意的人脸识别信息的收集确定为侵权构成要件的行为之一,并对同意无效的情形进行详细规定。除此之外,关于人脸识别信息同意规范的基本法依据主要包括:《民法典》《网络安全法》对个人信息进行一般性的规定,《个人信息保护法》《电子商务法》《消费者权益保护法》增加获取生物特征识别信息的特别授权规定。同时,相较于基本法的抽象性,我国对人脸识别信息的保护表现出软法先行的特征,首先是行业规范文件:《互联网个人信息安全保护指南》《App违法违规收集使用个人信息行为认定方法》。其次是推荐性国家标准,《APP收集使用个人信息最小必要评估规范:人脸信息》《信息安全技术个人信息安全规范》《个人金融信息技术规范》《信息安全技术——人脸识别数据安全要求(征求意见稿)》等。在上述文件中,尽管聚焦于对个人信息的收集适用进行规定,但《APP收集使用个人信息最小必要评估规范:人脸信息》《信息安全技术个人信息安全规范》《个人金融信息技术规范》《互联网个人信息安全保护指南》《信息安全技术——人脸识别数据安全要求(征求意见稿)》直接明确针对包括人脸信息在内的生物识别信息的授权行为进行规定。
数据治理的普遍性、技术性、复杂性、应时性等特点决定了数据治理具有一定的软法空间。[42]规范性文件具有灵活性,在国家相关基本立法未出台之前,软法先行能够及时填补人脸识别技术规范的缺位。[43]相关规范性文件对人脸识别信息保护中同意规则的改进显示了国家对该类信息的重视。但基本法的硬性保护不可或缺,人脸识别技术应用带来的风险巨大,直接关乎个人的人格尊严与人格自由,对以人脸信息在内的生物识别信息的保护依赖基本法的加持。
(二)同意规则在人脸识别信息保护中的基本定位
针对同意规则在人脸识别信息保护中的适用困境,学者们纷纷提出对同意规则的改建制度,目前对于同意的模式大致有以下三种:其一,放弃同意规则,以情景规则代替。该模式认为同意规则已经失效,鉴于个人信息场景应用的复杂性,应该视具体情景对个人信息的风险进行评估,以此在保护的前提下促进个人信息流通。①持该观点的学者主要有:范为:《大数据时代个人信息保护的路径重构》,载《环球法律评论》2016年第5期;高富平:《个人信息使用的合法性基础——数据上利益分析视角》,载《比较法研究》2019年第2期;任龙龙:《论同意不是个人信息处理的正当性基础》,载《政治与法律》2016年第1期。面对未来不确定应对的风险预防理论,对人脸识别进行法律规制。[44]其二,软化同意的僵硬性。该模式认为同意规则的功能起到平衡信息双方的杠杆作用,不可放弃,针对其适用困境建议采用在具体情景中适用“情景合理+拟制同意”的方式平衡信息双方的利益。[45]其三,同意规则的分类适用。该模式认为应该类型化同意规则,在部分场景适用默认同意规则,在部分情景中适用明示同意规则。[46]
本文认为,上述第一种模式较为激进,否定了以同意规则为核心构建的个人信息保护制度。同意规则作为个人信息保护法的核心已经成为世界立法的共同趋势,此时若进行颠覆性立法容易动摇法律的稳定性。同时,这种改进理念的前提是信息处理只要保障信息安全,那么任何信息均可处理,完全否定了个人在其信息保护中的自主决定价值,尤其在人脸识别技术应用的高风险背景下,这种改进模式诚不可取。“在法律父爱主义的理念下,风险规则限制了信息主体在信息领域意思自治的适用。”[47]第二种改革方案试图通过降低同意的标准以调和矛盾,然而同意规则本就已经处于失效边缘,若此时的改进是降低对同意标准的适用,似乎是向权利利用的妥协。第三种改进模式克服了传统同意规则的模糊性,通过类型化的方式对同意规则进行差异化适用值得肯定。然而在人脸识别技术应用的情景中,如上所示,情景的复杂性与技术的隐蔽性,场景的设计无法穷尽,即使是信息处理者也无法完全掌握人脸信息的使用范围和使用方式。
综上分析,数字社会在信息主体和信息处理者的不对等关系中,同意规则是制约权利的最佳选择。[48]本文认为,在同意规则的核心构架内对其进行更新方为合理的解决路径。风险的持续性、属性的转化是同意规则适用困难的产生缘由,其核心缘由在于人脸识别信息在复杂场景中应用分析,导致传统的同意规则难以有效应对。同时,在数据技术背景下,同意规则需要结合技术的应用方能重新奏效,发挥其核心功能。因此,基于人脸识别信息区别于其他生物信息的易采集性、独特性以及技术的隐蔽性特征,本文认为对人脸识别信息的同意模式可以重塑信息主体与信息处理者的信赖理念,同时基于“动态场景+风险预防”作为制度设计的基本方向。
具体而言,首先,重新回溯信息主体的理性人定位。在大数据时代,立法需要矫正传统规范的失衡之处。人脸识别技术在给社会带来收益与便利的同时,需要明了的是该技术的应用离不开人脸信息的持续喂养,这就决定了人脸信息作为数据源,其本身是数据经济价值的参与者。正如学者所言,“个人为个人信息的描述对象,是信息之源。”[49]因此,立法必须重视信息主体在数字领域的参与者角色,在为其提供保护的同时,保证其作为个人信息权的参与主体。这就需要在信息双方建立信赖关系,毕竟个体知情同意所决定的事情在相当程度上体现一种“涉他性”,系基于大数据技术的涉及和运作方式以提升人们在作出个人决定与知情同意之时,同时考虑对他人的影响的可能性。[50]其次,体现同意规则的动态性和场景设计的包容性。传统同意规则的弊端在于过于僵硬,难以适应人脸识别信息流通中动态多变的复杂场景。基于此,可引入Helen Nissenbaum提出的情景完整性理论(Contextual Integrity Theory),该理论认为,信息流动受制于不同社会情景的信息规范,需要符合情景适当性标准(Context-Appropriate)保证情景的完整性,从而达到保护隐私的目的。[51]因此,重塑同意规则的方向应该和数据处理的复杂场景相适应,使其保持足够的弹性和灵活性,兼容人脸识别技术的收集、存储、使用等多种场景。为此,可在保持概括同意的基础上,设计出分层化、动态化的新型动态同意模式。最后,风险预防理论的协同。同意规则重新发挥其核心机制离不开系统化的机制更新,人脸识别信息的保护方式不单单靠同意规则,也难以仅仅依赖同意规则。面对人脸识别技术的专业性、不易觉察性的特征,必须借助信息处理者履行合规义务、采取技术手段进行风险防控,在场景化的信息处理中嵌入风险预防理论,在人脸识别信息的全生命周期评估信息风险,保证个人信息安全。
(三)同意规则在人脸识别信息保护中的设计思路
1.必要原则的先行检验。在收集阶段严控对人脸识别信息的收集是必要且必须的。欧盟《一般数据保护条例》导言第39条指出,个人数据应当充分、相关且仅限于处理目的所需的必要数据。《个人信息保护法》第28条亦明确指出对生物识别信息的收集处理以充分的必要性为前提。《人脸识别技术处理个人信息的司法解释》第2条第8款认定违反“必要”情形收集处理人脸识别信息构成人格权益侵权。因此,比例原则要求信息处理者在适用人脸识别技术时必须充分考虑到人脸信息的安全,并证明人脸识别技术是实现信息利用目的所必需的。只有在处理目的不能通过其他合理方式实现的情形下才能进行处理。[52]因此,当人脸识别信息的收集并非实现信息处理目的的唯一方式或者最安全的方式时,这种技术的应用即与必要原则不符。例如,北京地铁将试点刷脸安检,引起人们对个人隐私的担忧。有学者认为,该技术的应用需要考虑目的正当性和必要性,无论是北京地铁还是相关管理部门都需更清楚地界定设立人脸识别通道的目的。①“北京地铁又见刷脸安检,引隐私泄露担忧”,https://www.sohu.com/a/512902924_161795,最后访问日期:2022年1月8日。需要指出的是,尽管公私部门处理人脸识别信息的目的存在差异,但是这种独有的身份标识符可能会混同公私服务的界限,导致个人授权权限使用的混乱。尤其人脸识别系统在公共场景中的应用往往突破“同意使用”原则,强制、过度授权[53],因此,无论是公共部门还是私营企业在收集人脸识别信息时均需遵守必要原则,从初始源头保障个人信息安全。例如,《个人信息保护法》第26条就规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,并设置显著的提示标识。
2.公私主体的分层同意。从现有立法的角度看,我国立法对人脸识别信息保护中的同意规则体现出严格规范的倾向。由于人脸识别信息不同于一般个人信息,人脸识别信息的处理应坚持更强的知情同意原则。[54]考虑到这个方面,在设定必要原则的同时,以同意规则作为人脸识别信息收集保护的第一道关卡必须设置,基于人脸识别信息的敏感性和高风险性,对同意规则的设计应该更加严格。《个人信息保护法》第13条将取得个人同意作为信息处理的合法性依据,第29条、第30条规定处理敏感个人信息应该取得信息主体的书面单独同意。《信息安全技术个人信息安全规范》第3.6条和第3.7条规定,对于个人敏感信息的收集,必须明确标识或突出显示,并应征得个人的明示同意。《人脸识别技术处理个人信息的司法解释》第4条规定,存在强迫或变相强迫个人同意的情形,因违反意思自治原则而无效。
从法释义学的角度看,同意的法律性质有两种观点,一种表示知情,一种表示授权。第一种观点认为,个人信息保护体系中的“同意”并非“授权”,而是信息处理者合法收集信息的合法性基础,个人是否授权需要综合判断,[55]这实质上是把规制的重点放在“充分告知”层面,将同意作为“告知”的必然结果,信息主体此时似乎并没有其他选择。第二种观点认为,同意作为授权是意思自治原则在个人信息保护法中的具体体现,信息主体同意他人处理其个人信息,旨在践行个人的行动自由和信息自决,实现的正是其所欲实现的法律效果。倘若认为相关法律效力并非直接来自当事人的同意,而是来自法律规定,则事实上削弱了同意作为意思表示可能具有的规范表达空间。[56]本文认为,从不同的角度考查个人信息所呈现的法益不同,公私领域中同意规则的法律性质并不相同,适用形式也呈现差异。在私法领域,同意此时体现为一种初步授权,由于双方在形式上是平等主体,鉴于人脸识别信息的高度敏感性,决定了对该类信息的财产保护路径。首先,通过合同授权的格式合同中的弱势地位,使信息主体对自身信息具有足够的控制力度。其次,信息主体作为自身利益的最佳判断者有权提供自己的人脸信息,故可以尝试人脸识别信息的有偿使用机制。[57]在对人脸信息进行脱敏(打码、加密)后使个人信息具有可交易性,从而使人脸信息的利用并不会侵犯人格自由与人格尊严,类比名人明星等特殊主体对个人信息进行商业化利用的情景。在处理目的之外、转让情境中就需要个人的再次明确书面同意。同时,考量信息主体的理性人不足的适用困境,排除“推定同意、默示同意”的设置模式[58],并将人脸识别信息的使用目的、方式、范围详细告知,保障个人在充分知情的前提下自愿作出同意的选择。其次,在公共领域,同意的行为性质体现为一种知情,这实际上是一种责任保护路径。权利受法律的限制是权利必须付出的代价。它的正当根据是建构一种和平共处的权利秩序,化解多种利益之间的冲突和确保社会责任的承担。[59]《个人信息保护法》第26条就规定对人脸识别信息的收集只能出于维护公共安全的目的。由于公共利益在必要性原则下优先于个人利益,故对该情景的人脸识别信息的收集和处理并不需要设定明确、书面的同意标准,但是需要详细告知人脸信息的使用目的、方式和范围,确保个人知情。例如,在疫情防控之中,为防止个人在流动过程中被传染,故在支付宝中录入人脸识别信息进行身份验证,便于国家疫情管理具备必要性和适当性的要求,属于个人授权的例外情形。
3.持续控制的动态同意。由于人脸识别技术的持续分析给个人信息安全带来持续未知的风险,嵌入风险预防理论对未知风险的预防成为必需。首先,设置自动化处理禁区。识别分析风险的来源与自动化算法的识别分析框架一致,因此,设置自动化的处理禁区为保护人脸信息的必要一环。欧洲理事会《有关个人数据自动化处理之个人保护公约》第6条就明确规定了禁止敏感个人信息进行自动化处理;欧盟《一般数据保护条例》第22条规定个人有权拒绝对其信息进行自动化分析或预测;我国《个人信息保护法》第24条规定了算法透明化的自动化决策标准,同时赋予个人的反自动化决策权。其次,风险评估贯穿全生命周期。从风险角度考查同意规则,更新在收集阶段对人脸识别信息的授权效力是同意规则发挥功能的重要一步。在存储、分析、利用等动态处理阶段,同意规则应该呈现一种韧性和动态的灵活性。情景脉络完整性理论注重在不同的情景中采取差异化的保护规则,因此在对人脸识别信息的收集遵守合规的前提下,对动态利用的人脸识别信息进行风险控制是对场景理论的具体实践,再根据评估的结果对同意规则进行及时更新。至于风险评估的主体,可以设置第三方风险评估机构,值得注意的是,第三方主体并非唯一的评估机构,利益相关主体均应承担相应的风险评估责任。最后,信息披露的持续加持。传统的同意规则是一种概括同意,信息披露仅仅在收集阶段才发生,由此后续信息处理者对人脸识别信息如何利用未可知,“再次同意”将再次失灵。对此需要持续对人脸信息的利用情形进行披露,弥补信息主体在信息处理中同意能力的缺失,使信息主体可以在信息对称的前提下知晓信息的利用方式、范围,并根据可能存在的提示风险作出理性决定。因此,同意并非概括同意,而是可以随时根据信息披露的内容和评估的可能风险随时限制人脸识别信息的使用方式、使用目的、使用范围等等,同时也包括个人对同意的撤回。
在数字社会,人脸识别技术的智能应用在给人们带来便利的同时,该技术给个人带来的信息风险和安全风险也随之增强,由此以同意规则为核心构建的传统个人信息保护体系开始失灵。从表象来看,这仅仅是技术应用下身份验证机制的更新所引起的,但其根本原因在于数据技术对人脸识别信息的持续处理、对比和分析,导致人脸识别信息的属性转化、应用场景的复杂性、安全风险的持续性。因此,在数字社会对同意规则的重塑,应该秉持保护与利用、安全与效率兼顾的价值理念,深入人脸识别技术的具体应用场景,以必要原则为标准检验技术应用的合理性、建立分层同意的概括同意模式、构建持续的信息披露与分级同意的动态同意模式。由此,为人脸识别技术治理提供理论框架,保障个人信息安全,捍卫数字人权,从而驱动数字经济的健康发展。