人脸识别技术应用的法律风险与防范路径探析
2023-06-07马海然张艳萍
马海然,张艳萍
(1.云南大学 法学院,云南 昆明650091;2.云南九夏律师事务所, 云南 昆明650031;3.云南大学 汉语国际教育学院;云南 昆明650091)
0 引言
人脸识别技术是指通过深度学习算法对人的脸部特征信息进行特征提取和分类识别,从而实现身份识别的一种生物识别技术[1]。该技术凭借自身所具有的快捷性、便利性、非侵扰和直观性等优势,在金融服务、安防检查、智慧社区、移动支付、教育医疗以及智慧政务等诸多领域得到广泛应用,不仅全方位塑造了私人领域的生产、消费以及生活方式,而且也助推了公共领域的治理效能变革,成为未来人工智能发展的重要趋势之一。然而,在带来巨大社会治理红利的同时,人脸识别技术应用的多元化风险也逐渐显现,隐藏在技术背后的法律风险不仅导致公众个人隐私的泄露,人身以及财产安全受到威胁,而且还容易引发利用居民人脸信息进行盗窃、诈骗、敲诈勒索等一系列下游犯罪,最终不利于实现技术进步与公民权利保护的均衡。面对人脸识别技术所带来的风险,探索如何防范,以使其更好服务于社会生产生活便具有研究价值。
1 人脸识别技术的应用场景与立法考察
为实现对人脸识别技术法律风险及其防范相关问题的研究,就需要首先了解该技术当前的应用场景,并对现有立法进行考察,以从现实角度实现对人脸识别技术的整体把握。
1.1 人脸识别技术的应用场景
在实践中,鉴于人脸识别技术所具有的快捷性、便利性、非侵扰和直观性等优势,它在社会领域得到广泛应用。根据人脸识别技术的逻辑可以将应用场景大致划分为三种模式:其一为以人脸认证为主的应用场景。即将个体识别对象同人像数据库中的特定个人信息进行对比核验,以此来判断两者是否为同一主体。例如政务服务领域,通过刷脸就可以完成在线办理查询、缴费、申领证件、预约登记等政务服务项目,不仅方便了办事群众,而且还极大提升了身份核验的准确性和安全性,有利于政务服务整体水平的提升。此外,还有金融行业的远程认证[2],无论是银行、证券、保险等实体金融服务领域,还是支付宝、网上银行等线上金融服务领域,都采用人脸识别技术进行远程认证,不仅方便了群众,也保证了资金安全。
其二为以人脸辨认为主的应用场景。即将特定人像同数据库中的海量人像进行对比来识别个体身份的应用模式。在现实中人脸辨认模式主要应用于智慧社区以及商业智能化建设,例如小区的智能门禁系统、智能垃圾管理系统、电梯管控系统以及商业领域的考勤打卡、票证核验以及场所出入等领域。具有人脸识别功能的智能门禁系统可以在无人查验的情形下自动识别人员身份信息,不仅可以方便社区管理,而且还能为社会居民提供更加安全有序的生活环境。针对一些商业表演、体育赛事等,通过运用人脸识别技术不仅能实现智能检票,提高检票效率,使购票者更方便快捷地进入活动现场,而且还能避免假冒和非法入场。
其三为以人脸搜索为主的应用场景。即对特定场景内多人进行面部识别,然后将识别信息与人像数据库中的信息进行对比,以完成人像的识别。在现实中人脸搜索模式主要应用于治安维稳以及平安城市建设方面。例如在大型交通站场因人员复杂、流量大以及空间场所相对封闭等特点而存在较大管理难度,通过运用人脸识别技术不仅可以建立起事前预警防范机制,还可以在事后对事故进行快速排查,最终实现对秩序的维护。此外,人脸识别技术还可以被应用于刑事领域的侦查情报的分析,融合人脸识别技术与监控录像的集成信息系统不仅能够实现大规模快速扫描识别,而且还能从海量的人脸信息中快速锁定犯罪嫌疑人和其他犯罪行为,并能有效拓展情报收集效率和范围[3]。
1.2 人脸识别技术的立法考察
目前来看,我国还没有规范人脸识别技术应用的专门法律,对于人脸识别技术的规制可见于《宪法》《民法典》《刑法》《个人信息保护法》以及一些部门规章中。具体来看,我国《宪法》所规定的人格尊严不受侵害条款,为人脸识别技术应用的规制提供了人权保障的指引。《刑法》所规定的侵犯公民个人信息罪,即禁止违法出售或者提供公民个人信息的行为,而人脸属于个人信息中的生物识别信息,这是《刑法》对人脸识别技术规制的条款。2020年颁布的《民法典》通过专章形式对公民隐私权和个人信息保护进行了规定,其中在对公民个人信息进行概念界定时,还明确列举了生物识别信息为个人信息,这也是人脸识别技术受民法规制的根据,但弊端在于该规定仅为一般性列举,尚未提出包括对人脸识别信息在内的生物识别信息如何具体保护的问题。后全国信息安全标准化技术委员会发布的《信息安全技术—个人信息安全规范》首次明确了对个人生物识别信息的特殊保护,并严格规定了对开展收集、存储、传输、共享以及转让等个人信息处理活动的要求,但该标准仅为国家推荐性标准,并不具有法律强制力[4]。2021年颁布施行的《个人信息保护法》规定生物识别信息属于个人敏感信息,并明确规定了个人敏感信息的处理规则;同时该法还对人脸识别技术在公共场所的应用进行了严格限制,即仅限于维护公共安全,出于其他目的在公共场所使用人脸识别,将被法律所禁止,除非取得个人单独同意。
2 人脸识别技术应用过程中可能存在的法律风险
在实践中,鉴于人脸信息具有唯一性,人脸识别技术在社会生产、生活以及公共治理领域得到普遍应用。与此同时,万物互联以及技术入侵技术导致人脸识别应用又存在侵害公民隐私权、财产权、知情权以及个人信息权的法律风险,最终不仅给人们的人脸信息安全带来巨大的风险隐患,而且也容易引发技术进步与公民权利保护的失衡。
2.1 具有侵犯隐私权风险
人脸识别技术最基本的功能就是利用分析比较技术来识别人脸,其在代替传统面对面身份查验形式、为社会提供诸多便利的同时,也在很大程度上减轻了社会治理负担。一般而言,虽然人们每天都会出入各种公共场所,也并不会对脸部进行遮掩,因此从隐私定义层面来看,人脸信息并不属于个人隐私范畴。但对于人脸识别技术而言,其利用数据挖掘以及图像处理等技术手段不仅可以从人脸信息中出获取个人的年龄、性别、种族、健康状况、情绪状况[5],而且还可以关联到个体的活动轨迹等多种隐私。尤其是在当前智能时代,手机APP自带的人脸识别功能使得公众通过人脸识别就可以开通、使用各类在线服务;社区也将人脸识别系统作为智能化社区建设的重要组成,虽然安装人脸识别技术的目的是为公众提供便利,维护社会治安,但是当个人信息被大量收集、存储或使用时,公民的隐私权就面临巨大威胁。如美国的一家AI创业公司Clearview AI泄露客户超过30亿人脸数据的丑闻在全球引起轩然大波;该公司与600多家执法机构和一些私人保安公司合作,使用该公司的一款人脸识别工具,只需要一张照片就可以从30亿张图像中锁定个人姓名、住址、联系方式以及人际关系网等。
2.2 具有侵犯财产权风险
财产权作为我国公民的重要权利,对其进行保护既是法律层面的要求,同时也是道德层面的要求。人脸识别技术虽然为社会生产生活带来诸多便利,但与此同时也导致风险加剧。例如在网络支付领域,当前多数APP都开通了人脸识别应用,使得人们在使用移动智能终端支付时无需输入密码,仅通过刷脸就可以完成支付,由此也导致在实践中存在不法分子利用信息技术手段非法获取面部识别信息,进而实施对公民财产权的侵害[6]。相较于传统盗窃手段,利用人脸信息进行盗窃的行为不仅更加快捷、隐蔽,而且也更容易使损失更大、侵害范围更广。如人脸信息被金融机构获取之后,受机构内部的安全设施以及相关工作人员的安全意识以及技术等的影响,也很难确保海量人脸信息永久处于安全状态,而人脸信息一旦被不法分子获取并使用,则必然会对账户安全造成威胁。同时,随着技术不断升级换代,对于人脸识别的攻击手段也在不断翻新且成本不断下降,不法分子可利用技术手段来伪造人脸视频以达到身份认证目的并进行财产类犯罪。
2.3 具有侵犯公平交易权风险
公平交易权是公民享有的公正、合理进行市场交换行为的权利。而在实践中人脸识别技术通常会和金融系统、社会信用系统、购物系统以及公安系统相联通,以实现对识别对象身份状况、社会信用情况以及购物水平的分析,并将个体分类与标签化,因此极易导致消费水平不同的个体被区别对待,最终导致公平交易权受到挑战。例如房地产公司售楼部安装人脸识别系统对到访客户的面部进行抓拍、采集,以此来识别客户身份,并根据客户身份的差异在进行费用结算时进行区别对待。此外,利用对用户个人信息的挖掘实现区别对待的现象虽然并非基于人脸识别技术的应用而产生的现象,但通过该技术的应用,在无感收集人脸信息以及数据关联分析的作用下,却可以将原本存在于线上的“大数据杀熟”转移到线下[7]。总之,人脸识别技术虽然为当前生产生活以及社会治理带来诸多便利,但其也加剧了经营者与消费者之间的信息不对称,经营者在未经消费者允许的情况下擅自收集、分析人脸信息,不仅使得消费者更加处于弱势地位,而且利用信息失衡所带来的信息优势以及人脸识别技术对个体身份进行识别,进而实施差别定价的行为,也是对个体公平交易权的侵害。
2.4 具有侵犯个人信息权风险
人脸识别技术作为智能技术与传统生产生活相结合的产物,其本身具有中立性,但也基于其技术属性,使得在实践中随处可见的人脸识别应用在采集个体信息时通常会忽视信息主体的同意,进而造成对个人信息的非法采集,最终也在一定程度上侵害了个体的信息自决权。在传统信息收集方式中,一般来说需要被收集者的配合才能实现信息的收集工作,例如通过询问、填写信息等方式。但在使用人脸识别技术收集信息的过程中,人脸极易被无感识别,即任何一个高清摄像头都可以在个体非接触且无意识的情况下自主抓取人脸图片,甚至可以持续性且大规模收集公众脸部信息[8],最终造成对个体信息自决权的侵害。此外,人脸识别技术离不开对于人脸信息的海量存储,不法分子也可以通过技术手段来攻击存储大量人脸信息的网络云端系统。
3 人脸识别技术应用法律风险的防范路径
当前,人脸识别技术应用存在诸多法律风险是现实,若不对该种技术应用造成的法律风险加以防范,不仅可能引发公众对人脸识别技术的不信任,而且还容易加剧公众对个人信息安全的担忧。因此,对人脸识别技术应用法律风险进行防范很有必要,具体应明确相应防范原则,并从完善事前的防范机制、事中的监管措施以及事后的司法救济着手,构建人脸识别技术应用法律风险的防范体系。
3.1 人脸识别技术应用法律风险的防范原则
一般说来,法律相较于社会现实而言总具有一定的滞后性。基于认识层面的局限性, 人们很难制定出具有前瞻性的法律,也未必能完全防范人脸识别技术应用中出现的各种现实问题,且随着技术的不断发展,各种新问题会持续涌现。为了实现对人脸识别技术应用法律风险最大程度的防范,就需要首先明确防范原则。首先,应坚持合法、正当、必要原则。合法即合乎法律规定,正当即基于必须,且具有合理、明确的特定目的来使用技术,必要即在目的实现的必要范围内运用最小损害的手段应用人脸识别技术[9]。通过上述原则,有利于弥补信息时代意思自治与契约自由的不足,进而实现对科学技术的有序使用。其次,应坚持透明处理原则。人脸识别技术在开发时需要提供公众能明确了解的记录人脸识别技术的功能和局限性的说明,并需要经第三方检验后才可以应用。技术的使用者在公共领域采集人脸信息时,应对相关采集程序、用途予以公示,以使被采集者知情;在商业领域使用人脸识别技术时应经信息主体的知情同意,严禁概括授权、默认授权情况。其三,必要的人工干预原则。即人脸识别技术从开发到应用应确保根据技术风险的动态变化以及场景特点进行必要的人工干预,以保证技术对人的服务性。例如在人脸识别技术应用之前应由独立第三方进行测试,在保证准确性的同时,也能避免因技术而导致歧视性和不公正现象。
3.2 完善事前的防范机制
为了实现对人脸识别技术的法律风险防范,充分保障公民合法权益,就需要完善事前的防范机制。一方面应建立人脸识别信息采集的许可准入制度。具体可以通过立法形式明确规定使用人脸识别技术的组织或者个人应具备的资质,例如只有相关主体能证明所提供的技术通过了独立第三方平台的测试,进而确保技术确实表现出准确性和公平性时,人脸识别技术才能应用到公众场合。同时还应制定严格的人脸信息区分领域采集审批规定,并对人脸识别技术的相关应用场景进行必要限定,通过使用具体性例举的形式来明确不同场景的监管规定。例如在社会公共服务领域的人脸识别技术,在安装使用时应就人脸信息采集的方式、内容、对象以及存储等向公安部门报批,以实现对数据的监控。另一方面,还可以引入监管沙盒机制。该机制可以对安全影响评估中风险较高以及预计进入市场后用户量较大的人脸识别应用加以审查,然后根据评估报告决定是否允许使用。引入监管沙盒机制不仅能增强用户对人脸识别技术的信任,也能为技术创新提供真实场景予以测试,最终实现个人权益保障与技术创新发展共同发展。
3.3 完善事中的监管措施
事中监管也是保证人脸识别技术应用有序使用的重要环节。相较于传统书面检查、突击检查以及现场检查而言,在信息时代人脸识别技术应用的监管明显缺乏准确性和时效性,监管效果也并不明显。因此可以借助大数据、云计算以及人工智能等技术手段来创新对人脸识别技术应用的监管方式,具体可以通过构建人脸识别应用数字平台监管系统,并将其应用于行政部门的监管端和技术合规应用端,实现对人脸识别技术应用实时检测的同时,还能定期监测并排查信息安全风险,最终实现对人脸识别技术应用的全过程安全监管。总之,通过创新监管方式不仅有利于提升监管效率、减少监管成本,还能有效填补行政监管部门同人脸识别应用主体之间的信息壁垒,提升监管执法准确性及时性。另一方面,为了充分发挥行政监管效能,还需要明确由公安机关作为对人脸识别技术监管的主体[10],原因主要在于我国公安机关本身就配备了预防、打击网络相关犯罪的专门部门,并具备相应的人才队伍。再加上人脸识别技术本身就涉及公民隐私、人身、财产安全以及国家数据安全等,对其进行保护也是公安机关重要职责。
3.4 完善事后的司法救济
在实践中,鉴于人脸识别技术已经在公众领域得到普遍应用,利用人脸信息实施的违法犯罪也时有发生,但基于诉讼成本的考量,个体通过诉讼维护人脸信息权益的现象并不多见。因此为了维护公众信息安全和国家数据安全,便有必要引入公益诉讼制度[11],我国《个人信息保护法》第70条明确规定了个人信息处理者违法处理个人信息,造成众多个人权益受损的,人民检察院、相关消费者组织等可以向法院提起诉讼,此也是人脸识别信息案件提起公益诉讼的法律依据。具体可以通过司法解释形式将利用人脸识别技术侵犯公众利益的案件纳入公益诉讼范畴,并明确公益诉讼的立案标准,举证、质证规则以及相应的赔偿标准,确保公众人脸信息权益能通过司法救济获得保障。此外,还可以引入集团诉讼制度,原因在于利用人脸识别技术实施的违法行为所涉及的受害客体通常是庞大的群体,有时甚至可能达到百万,而利用集团诉讼制度就可以实现在一个起诉的情况下,众多受害客体则可以自动获得原告主体资格,在案件胜诉的情形下其他受害客体也可以获得同等赔偿。该种形式不仅可以实现对人脸识别技术应用主体的威慑,促使其不仅能规范使用人脸识别技术,还能不断改进自身技术来提高信息保护能力。
人脸识别基于自身独特的技术优势而在现代社会得到广泛应用,并成为社会治理的重要手段,但基于技术的新型性以及法律监管等的滞后性,导致该技术在应用过程中也出现了诸如侵害公民隐私权、财产权、知情权以及个人信息权等的法律风险,但即使存在上述风险也不能随意否认其价值,应在遵循基本防范原则基础上分别从事前、事中以及事后阶段来加强防范,最终实现对技术滥用的遏制。