新安全格局下人脸识别技术应用的法律规制
2024-03-01宋丁博男张家豪
宋丁博男 张家豪
1 引 言
加快构建新安全格局是全面贯彻总体国家安全观的内在要求和实践方略。党的二十大报告指出,要加强个人信息保护,强化数据安全保障体系建设,以新安全格局保障新发展格局,同时要求以人工智能为引擎推动战略性新兴产业融合集群发展。作为人工智能发展的重要体现,人脸识别技术被广泛应用于身份识别、金融支付、社会治理等场景。但是,人脸识别技术的引入与传统社会秩序结构的融合并不能无缝或自动实现,反而会带来重大的技术、政治和法律挑战,涉及各种既定秩序规则与法律规范之间的冲突和谈判。2023 年8月,《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称《人脸识别管理规定》)的出台使我国人脸识别技术应用的治理路径呈现出安全化、场景化、动态化、精细化的新特征。据预测,我国人脸识别市场规模在2024 年将突破100 亿元。因此,如何通过制度优化规范人脸识别技术应用,健全数据安全治理体系,成为构建中国式现代化数据治理体系的重点议题。
作为人工智能领域的落地标杆技术,人脸识别技术应用的法律规制与人工智能领域个人信息的法治化研究相承接。第一,从理论研究角度来说,人脸信息是人脸识别技术的核心来源(Shore,2022[1]),兼具人格权和财产权属性,实践中易产生个人信息安全风险(郭春镇,2020[2];Liu,2021[3])。同时,鉴于人脸识别技术具有泄露、破解及误差风险,应从风险规制的视角提供治理思路(Purshouse,2022[4])。第二,从实践进路研究角度来说,基于对美国、欧盟等地人脸识别技术规制体系的比较研究(邢会强,2020[5];曾雄等,2021[6]),从立法体系(韩旭至,2021[7];黎静仪等,2022[8])、赔偿制度(罗斌和李卓雄,2021[9];石超和张蓓洁,2022[10])、行政监管(于洋,2021[11];Kostka,2023[12])等不同面向提出人脸识别技术应用的治理方案。
总体来看,现有研究多集中于在个人信息保护视域下探讨人脸识别技术应用的法律规制问题,且多从行政规制的方向切入。规制措施的单一性导致新安全格局下人脸识别技术应用的风险传导与利益分配之间存在断裂性特征,缺乏多元化的应对措施。对此,本文以算法安全理论和数字人权理论为依据,全面剖析了新安全格局下人脸识别技术应用的法律风险与规制困境,并结合域外先进立法经验,提出了统筹发展和安全的法律规制路径。
2 新安全格局下人脸识别技术应用的现实困境
新安全格局强调科技支撑,通过科技自立自强防范化解重大风险(朱正威等,2023[13])。而人脸识别技术根植于人工智能算法框架,在推动科技创新、助力社会治理的同时,还易引发算法安全风险与个人信息安全风险,给人脸识别技术应用治理带来挑战。
2.1 人脸识别技术应用的法律风险
2.1.1 算法安全风险
人脸识别技术是指机器对人脸信息进行图像采集、提取特征、比对识别,以鉴定其身份的一项人工智能技术(徐竟泽等,2019[14])。该技术在实际应用中能够同时处理多个人脸信息(张溪瑨和王晓丽,2023[15]),采用各国研发的不同算法将人脸信息进行分类、比对、校验,并利用人脸识别技术的通用性、并发性、非接触性等特征,快速无感地识别大量人脸信息。而在此过程中,基于人脸识别技术特征产生的算法博弈、算法歧视及算法误判等风险迭代增生,给算法安全造成冲击。
第一,在宏观的国家应用层面,算法安全属于非传统安全的范畴,其首先是被动的算法防御,国家安全不受外部算法损害是实现算法安全的首要条件。同时,算法博弈对现有国际战略形势产生影响,主动竞争成为算法安全的新形态(罗有成,2023[16])。由于算法模型具有国际通用性,其技术逻辑与要素生成具有同一性,因此一旦人脸识别技术的共享应用存在漏洞,人脸信息将批量流转,不仅损害信息安全,还会对国家算法防御体系产生重大威胁,侵害国家根本利益。
第二,在中观的社会应用层面,人脸识别技术的并发性特征易引发算法歧视风险。在人脸识别技术应用中,人脸信息经采集后进入隐蔽的算法黑箱并进行深度分析。而此环节往往存在着对社会群体无依据、不合理的筛选评估,产生分类、排除等“标签化”行为,涉及算法歧视和算法偏见。而这种歧视往往是持续的、不可逆的,个人无法决定人脸识别技术的应用过程,一旦算法歧视产生将难以中止,信息主体将面临取证难、补救难等困境。此外,企业主体在应用人脸识别技术的过程中,为制定精准的市场战略,往往会通过“情感计算”等方式对人脸信息进行自动化决策(唐林垚,2022[17]),但同时也易引发自动化决策歧视,对个人区别对待,侵害算法嵌入社会时的实质公平,不利于算法安全的持续稳定。
第三,在微观的个人应用层面,算法的数据来源于每个个体,是算法安全的微观形态,其准确性将直接关系到算法是否安全可控,而算法系统自身的脆弱性往往导致对数据丢失、数据投毒等威胁难以及时响应。例如,人脸识别技术就存在着深度学习能力有限、样本数据不足等问题,从而引发算法误判风险。此外,基于人脸面具模型产生的3D 欺骗攻击蔓延滋生(孙道锐,2021[18]),攻击者通过向人脸识别技术系统演示假识别信息实施欺骗攻击,而人脸识别技术反欺骗攻击策略的不完善导致“代验证”“过人脸”等黑灰产业链持续扩张,诱发犯罪行为。由此可见,算法误判风险不仅会降低人脸识别技术的应用效率与安全指数,公众还会对人脸识别技术参与社会治理产生信任危机,不利于保障作为算法安全基本单元的个人的数据权益。
2.1.2 人脸信息风险
数字生活安宁与财产安全是数字时代个人利益的重要方面,“数字化生存”实践与第四代人权理论催生了数字人权理论,“数字人权”概念可界定为展现着智慧社会中人的数字化生存样态和发展需求的基本权利(马长山,2019[19])。《个人信息保护法》第28 条将人脸信息等生物识别信息确定为敏感个人信息,具有高度的人格利益属性,与个人隐私、个人行动自由等利益密切相关。因此,人脸识别技术应用过程中由于不当处理人脸信息所引发的信息泄露、滥用等风险,将会对个人人格利益和财产利益产生严重威胁。
第一,信息泄露造成隐私威胁和财产风险。一方面,对人脸信息的处理如果不符合敏感个人信息的安全处理要求,导致人脸信息泄露,容易对人格尊严产生侵害。人脸信息具有高度专属性与识别性,对人脸信息进行采集分析后将建立数据库,同其他网络节点的个人信息关联识别后能够形成“个人信息长链”。而数据库与信息链一旦泄露,面部识别特征、活动位置及可识别行为等个人私密信息将公诸于众,严重侵害个人隐私。另一方面,人脸识别技术能够对个人身份进行标识化、密码化处理(Eltaieb,2023[20]),使得人脸识别逐渐取代了传统的人工核对、指纹识别等方式,成为金融支付领域的首选模式。然而,受限于人脸识别系统的准确率和安全性,人脸信息若遭到泄露或篡改,人脸识别技术将为诈骗、洗钱等多种犯罪行为提供技术温床,从而侵害公民的个人财产安全。
第二,信息滥用造成尊严贬损及利益失衡。该风险主要体现在人脸信息的深度合成和深层利用两个方面。其一,AI 换脸等人脸合成技术如今已成为一项无门槛使用技术,实践中人脸信息未经授权被滥用、丑化、贬损等现象频发,侵害公民的人格尊严。加之人脸信息具有唯一性和不可替代性,对肖像权的侵害具有难以挽回的特征。此外,大量的人脸信息滥用在一定程度上导致知情同意框架失灵,人脸信息处理者对处理目的、方式及时限仅作简单告知或隐匿告知,从而遏制了个人信息自决权的实现。其二,在金融支付、市场交易等人脸识别技术深层利用的场域下,人脸信息不断生成、交互和流动。在该环节中,人脸信息的处理大多由第三方技术公司开展,商业主体的逐利性本质容易导致人脸信息的非法收集与流动,以及不履行或延迟履行删除义务等行为的产生。而在社会治理、公共服务的场域下,人脸信息的公共利益属性凸显,个人信息权益在维护公共利益的情形下应予以一定程度的让渡。然而,随着人脸识别技术应用“全场景监控”能力的不断提升(洪延青,2024[21]),个人权益、企业利益及公共利益三者之间的冲突也在与日俱增。
2.2 人脸识别技术应用的规制困境及成因
科学立法是完善技术应用治理体系的根本前提,公正司法是化解技术应用矛盾纠纷的有效手段,严格执法是推动技术向上向善发展的重要保障,三者共同构成了人脸识别技术应用法律规制体系的核心要素。目前,我国针对人脸识别技术应用在立法、司法和执法三个环节均进行了有效规制。总体而言,在立法层面,我国正在探索构建新安全格局下规范人脸识别技术应用、保护个人信息安全的制度约束框架,总体呈现从被动到主动、从单一到多元、从静态到动态的治理特点与趋势;在司法层面,人脸识别技术侵权采取过错推定责任原则,消解了公民取证难的现实困境,并通过公益诉讼的适用有效扩充了司法救济途径;在执法层面,我国针对人脸识别技术应用的安全监管总体呈现出领域分散监管的样态,并通过采取行业自律等模式对行政监管予以补充。然而实践中,人脸识别技术应用引发的新型法律风险对现行制度提出了新挑战。例如,人脸信息的场景化特征提高了人脸识别技术应用精细化立法的难度;人脸识别技术侵权的隐蔽性、不可挽回性等特征导致救济成本增加,限缩了公民的数字人权;同时,分散监管导致的治理真空使算法安全遭受冲击。
2.2.1 人脸识别技术应用的场景规制困境
场景化立法能够依照不同场景的特征,根据信息主体的合理预期制定具有针对性的法律规则,并已成为新兴技术应用中个人信息保护的重要手段。我国目前初步构建了体系化的人脸识别技术应用规则体系,呈现出“集中型”的立法态势,但针对技术应用的场景化规制依然存在缺位。《民法典》第1034 条将生物识别信息纳入个人信息的保护范畴,奠定了人脸识别技术应用治理的基本价值取向;《数据安全法》基于总体国家安全观视角,对人脸信息的安全管理进行了原则性规定;《个人信息保护法》将人脸信息纳入敏感个人信息保护范畴,并对信息处理规则予以细化;而《人脸识别管理规定》进一步细化上位法规定,运用场景化手段明确了公共场所、经营场所、私密场所等公私场景下的技术应用规则,初步体现了场景化规制的内容,但并未依据技术的不同功能予以针对性规制, 同时也缺乏对该技术在不同场景中应用风险差异的具体考量,难以指导日益复杂的技术应用实践。
首先,具体场景界定与划分的标准较为模糊,尽管该规定将场景分为个人隐私场景、公共场景和经营场景三大类,并详细划定了多个类型的场所,但并未在规则层面明确界定、区分涉及个人法益与公共法益的技术应用场景,导致场景分类标准模糊。其次,合理预期是目的限制原则的重要判定依据,但以信息主体为中心的合理预期方案亟待完善。信息主体在进行人脸识别时,对于人脸信息的使用目的和时限缺乏预期,无法有效保障其个人信息权益。最后,人脸识别技术场景化应用的风险防范措施缺位,导致场景化立法规制的效能未能得以充分发挥。因此,须在分类标准、信息授权及风险防范三个方面继续深化落实场景化规制理念,提升治理能力,以应对人脸识别技术引发的多重法益风险。
2.2.2 人脸识别技术侵权的法律救济困境
损害判定是追诉侵权责任的前提,亦是救济的先决要件。而人脸识别技术侵权产生的实质损害难以判定,导致被侵权人面临举证难、维权难及程序繁琐等困境。2021 年发布的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《人脸信息司法解释》)旨在维护个人信息安全与数字经济发展之间的平衡,其中第6 条第3 款规定,信息处理者主张其不承担民事责任的,应当就其行为的免责情形承担举证责任,从而将人脸信息侵权责任类型归为过错推定责任,实施举证责任倒置,一定程度上缓解了公民取证难的现实困境;第14 条规定了有关人脸识别技术应用的民事争议可适用公益诉讼,有效扩充了司法救济途径。基于此,《人脸信息司法解释》成为司法机关处理人脸识别技术领域民事争议的重要参考,但实践中仍存在适用上的困境。
首先,过错推定责任原则并未彻底消解信息处理者与信息主体间的数字鸿沟,受害人往往只有在法院综合评判信息处理程序规范性和损害结果危害性之后,才有机会获得相应救济,而程序违规不能成为责任判定的独立依据(罗斌和李卓雄,2021[9])。加之相关规则对受害人行使诉权设置了前置程序,加重了诉讼负担与维权成本。其次,人脸识别技术侵权具有秘密性、规模性等特征,导致大部分受害人难以发现及取证,而我国现有的代表人诉讼制度类似于欧盟的加入制集团诉讼,设立了受案范围、受案条件等多种限制,难以充分救济受害人的权益。最后,我国的公益诉讼制度对人脸识别技术侵权的民事救济具有一定制度优势,能够较大程度地修复公益损害。例如,2023 年10 月,广州互联网法院发布全国首例涉“人脸识别”民事公益诉讼案件,被告人因非法处理人脸信息侵害了不特定主体的信息自决权,最终判处被告支付公益损害赔偿金10 万余元。但现行制度对于人脸识别技术侵权领域公益诉讼的适用条件和赔偿标准规定不明,导致实践中责任认定和法律适用产生争议。此外,检察机关是提起公益诉讼的适格主体,但人脸信息侵权领域的检察公益诉讼制度尚未完全形成,难以充分发挥公诉机关的诉讼优势,疏解人脸信息侵权的救济困境。
2.2.3 人脸识别技术应用的分散监管困境
人脸识别技术应用的有效监管不仅是落实人脸识别技术应用规制的必要条件,也是推进国家数据安全治理体系的应有之义。从监管的运行逻辑来看,我国对于人脸识别技术应用的监管主体、监管内容与监管模式均呈现分散态势。
首先,尽管我国初步构建了以国家网信办为核心,电信、公安、市场监管等有关部门相协调的个人信息安全监管体系,例如,市场经营、金融支付领域产生的人脸信息风险分别由市场监督管理机构和金融监督管理机构监管,但现有规范尚未明确各监管机构的职权范围及边界,导致实践中多头监管、交叉监管等问题的产生。其次,我国在适用行业自律机制的同时,还实行了契合我国法治实践的备案管理制度:《生成式人工智能服务管理暂行办法》第17 条对算法备案进行了原则性规定;《人脸识别管理规定》第16 条进行了补充,规定在公共场所使用人脸识别技术,或者存储超过1 万人人脸信息的人脸识别技术使用者,应当向所属地市级以上网信部门备案。但是两者均未明确备案管理制度的审核方式、审核流程及审核结果等内容。同时,我国以传统的行政监管手段为主,对行业自律、第三方评估等监管机制的应用不足,导致监管机构之间缺乏协作,评估体系趋于主观化和形式化。最后,我国在人脸识别技术应用领域多采取事中和事后监管模式,在评估、试点等事前环节存在治理真空,增加了人脸识别技术的安全风险与监管合规成本。2023 年成立的“国家数据局”有助于加强数据安全和隐私保护,确保人脸信息的合法使用与共享,但其针对人脸识别技术领域的监管职责亦须进一步明确。
3 人脸识别技术应用法律规制的域外考查及启示
为应对人脸识别技术应用产生的各类风险与冲突,各国纷纷加强数据治理前瞻性布局,人脸信息保护法治化成为世界信息治理的新趋势,其中法律层面重在发挥法律评价和指引功能,政府层面以数据流转为治理重点,行业层面则以伦理和行业自律引导人脸识别技术的发展方向。实践中,以欧盟和美国的法律规制最为典型:欧盟的数据安全治理实践较早,目前已形成以《通用数据保护条例》(GDPR)为核心的人脸识别技术应用治理体系,以风险预防为原则;美国是人脸识别技术及立法的先驱,侧重市场调节导向,区分行业及地区对人脸识别技术应用进行规制。
3.1 欧 盟
在立法层面,欧盟采取集中立法的形式,呈现严格立法的态势。总的来说,欧盟以GDPR 作为人脸识别技术应用治理的基本依据。在GDPR 框架内,人脸识别技术被严格限制使用,除非符合明确同意、公共利益等特别规定,信息处理者不得处理人脸信息。2021 年,欧盟对《个人数据自动化处理中的个人保护公约》予以补充,发布了《人脸识别指南》,要求人脸识别技术使用前须进行合法性、正当性、必要性和安全性评估。此外,同年发布的《人工智能法案(草案)》要求对人脸识别技术应用进行场景化规制,将其应用场景区分为公共场所和非公共场所,并将公共场所中“实时”应用人脸识别技术归类于“禁止使用的人工智能技术”部分中。2023 年12 月,欧盟就《人工智能法案》达成临时协议,其中虽仍严格禁止各主体从互联网、闭路电视录像中无目的地抓取人脸信息,但对执法部门在面对严重犯罪、现实威胁等情形下应用人脸识别技术进行了一定的豁免,但必须附加额外的保障性措施。
在司法层面,欧盟对于人脸识别技术侵权责任采取了单方面判定的方式,即一旦存在程序违规即负有侵权责任,至于权利人是否经过前期投诉程序、有无受到实际损害并非人脸识别技术侵权的判断标准(Chen,2023[22])。具体而言,GDPR 规定的司法救济途径主要分为私人诉讼和加入型集团诉讼两种模式,其中后者在客观上保障了信息主体的诉权,但同时也在一定程度上导致了司法成本的增加和司法效率的降低。此外,欧盟各法院的裁判结果较为统一,除依据GDPR 进行行政处罚外,权利人还可根据GDPR 第17 条有关“被遗忘权”的规定,主张对人脸信息进行断链或删除,尽量减轻信息主体因人脸识别技术应用所受的损害,补足实质救济措施。
在执法层面,欧盟实行统一监管模式,设立了数据保护监管机构(DPA)、欧洲数据保护委员会(EDPB)等专门性机构,对人脸识别技术应用及其附带产生的法律问题进行监管,包括监督法案的落地实施情况、接收投诉并实施处罚等,总体构成了独立运行的监管体系。同时,欧盟通过GDPR 及相关法案引入第三方评估进行监管,通过第三方机构的独立性确保人脸识别技术评估的有效性和专业性。此外,欧盟近年来逐步加强了人脸识别等人工智能技术的安全屏障,重视全流程监管,严格限制人脸信息的跨境流动,并利用断链、封锁等安全手段防范核心数据泄露或滥用,以最大限度地保障个人信息安全。
3.2 美 国
在立法层面,州立法是美国规制人脸识别技术应用的主要方式,2008 年伊利诺伊州通过的《生物特征信息隐私法》(BIPA)就是其中的一部重要法案。该法第15 条规定,告知与同意仅在书面形式下有效,其他形式一律无效。然而实践中,州立法的分散性特征导致美国各州对于人脸识别技术应用的规制法案存在冲突,部分州禁止其应用于公共治理(郭跃等,2021[23]),部分州则限制使用,但总体呈现出限制公权力应用的趋势。在联邦统一立法中,2019-2020 年期间,美国通过区分场景及应用主体,将人脸识别技术的应用场景划定为公权主体应用和私权主体应用,并出台了一系列有关人脸识别技术应用的法案(杨华,2023[24]):其中,《商业人脸识别隐私法案》侧重隐私保护,但并未明确限制人脸识别技术的使用;《人脸识别技术授权法案》创设了人工审查机制,以确保人脸识别技术的准确性,防范算法歧视和误判;《道德使用人脸识别法案》要求尽快完善人脸识别技术应用规则,在规则出台前禁止公权力机关的使用。此外,2022 年美国国会提出的《人脸识别法案》也主张严格限制政府执法部门使用人脸识别技术。由此可见,美国在逐步限制公权主体使用人脸识别技术,收束人脸识别技术应用范围,但对私权主体的人脸识别技术应用仍缺少相应规制。
在司法层面,美国对于人脸识别技术侵权的救济侧重采用隐私权保护的方式,即在侵权责任认定中,先对处理程序是否违规予以审查,再根据有无侵犯个人隐私来判定侵权行为是否存在,最后根据实质损害结果决定具体的赔偿方式,形成“分步救济”的保护路径(Chen,2023[22])。在具体救济途径中,除私人诉讼外,《美国联邦民事诉讼规则》第23 条还规定了退出制集团诉讼,即一旦允许提起集体诉讼,所有符合条件的公民将自动成为集体诉讼的成员,除非他们主动选择退出,以保障更多公民在人脸识别技术应用领域的救济权利。基于此,在司法实践中,人脸信息处理者对所有权利人均负有赔偿义务(杨华,2023[24])。此外,《道德使用人脸识别法案》对司法救济措施还进行了有益补充,指出公民可依法向美国地方法院申请禁止令或宣告性救济,以避免人脸识别技术对公民基本权利的持续侵害。
在执法层面,由于美国尚未形成专门的监管机构,各州的监管模式和监管理念存在差异,导致监管体系较为混乱。尽管美国联邦贸易委员会(FTC)是综合性、跨行业的执法机构,对人脸识别技术应用具有执法权限,但实践中,FTC 多倾向于通过和解等方式促进企业合规,成为企业的“合规指导机构”而非“合规监管机构”,执法能力存在不足(Waldman,2022[25])。因此,美国公民自由协会(ACLU)、未来隐私论坛(FPF)等行业组织通过制定行业自律公约,形成了一套同行政监管互为补充的独特的行业自律机制(卢艳玲和杨震,2023[26]),为构建人脸识别技术应用的多元监管体系提供内生动力,并被多个国家所借鉴。
3.3 对我国的启示
相较于欧盟和美国,中国兼顾人脸识别技术发展与个人信息安全利益,形成了具有中国特色的数据安全治理体系,三者在人脸识别技术应用的立法、司法和执法方面各有侧重(见表1)。因此,比较考查人脸识别技术应用规制政策的特点与趋势,是掌握各国数据安全治理进路、转化域外数据安全治理经验的必要途径。
表1 欧盟、美国、中国人脸识别技术应用法律规制对照表
第一,贯彻场景导向的立法理念。立法理念是国家意志和法律精神的重要体现,是人脸识别技术应用治理的内在逻辑。目前,各国对人脸识别技术应用普遍采取审慎态度。例如,欧盟高度重视人脸识别技术应用引发的人权风险,针对人脸识别技术多样化的应用场景,构建了“动态同意”机制,严格限制人脸识别技术应用于公共场所,并规范了该技术在非公共场所的应用;美国立法者提倡新自由主义,以促进商业利益、限制公权力滥用为出发点,着眼于人脸识别技术应用主体,对民商事主体应用人脸识别技术的限制较少,重点规制公权力机关的技术应用行为,即公权力主体须公示人脸识别技术的使用情况,接受民众监督,避免权力滥用。总体而言,各国立法传统、体制与社会环境的差异使其法律规制的侧重点有所不同,但目前已普遍认识到人脸识别技术在不同应用场景下的特殊性,并据此出台了一系列法律法规,场景化规制理念成为各国人脸识别技术应用立法的必然选择。就我国而言,公民对于人脸识别技术应用的信赖度相对更高,具备消解数字鸿沟的现实基础。对此,应当秉承审慎应用场景化规制理念的基本原则,通过保护公民的合理信赖利益,建立动态知情同意机制,并进一步探索公私场所的具体区分标准。
第二,实施倾斜保护的救济体系。司法救济具有事后补救性特征,是维护程序正义与实体正义的重要环节。人脸识别技术革新导致信息主体与信息处理者之间的认知能力失衡,为填平能力差距,保障信息主体利益,各国在司法救济上总体呈现出降低诉讼门槛、扩大救济范围的趋势。例如,在欧盟的侵权责任认定规则中,只要数据处理者程序违规即可认定其侵权,且未对受害人行使诉权设置前置程序,以减轻受害人的举证责任;美国则采用“分步式救济”与退出制集团诉讼制度的救济思路,将利益关涉的沉默群体自动加入集团诉讼,并限制信息主体以明示或默示方式行使诉讼退出权,以排除个人因素对群体利益的妨害,降低弱势受害者群体行使诉权的成本与难度。鉴于司法救济具有一定的滞后性,我国应采取倾斜保护原则,科学配置强弱双方的程序性权利义务,完善便利信息主体的程序性要件,扩充公益诉讼等救济渠道,并借鉴欧盟的被遗忘权制度完善救济措施,进一步贯彻恢复性司法的理念。
第三,建立一体适用的监管机制。针对人脸识别技术多样态的应用场景,各国的监管机制各具特色,但协同一体的监管模式是其基本方向。在监管机构的体系化建设方面,欧盟GDPR 第51-59 条规定了数据安全监管机构DPA、EDPB 的职责范围,以确保GDRP 同其他法规在欧盟的适用一致性,并协调促进欧盟各成员国数据保护机构的合作;美国部分州成立了专门性的数据保护机构,如加利福尼亚隐私保护局(CPPA)等,对人脸识别技术应用进行监管,并通过FTC 保障技术的合规应用。此外,日本个人信息保护委员会(PIPC)、新加坡个人数据保护委员会(PDPC),以及俄罗斯联邦通信、信息技术和大众传媒监督局(Roskomnadzor)等也都是涵盖人脸信息保护职能的专门性监管机构。在监管措施方面,欧盟引入第三方评估机制并赋予其独立性,同时还采取了透明度报告、数据保护影响评估、人工智能监管沙盒等措施,积极引领全球标准化建设;美国则更为重视行业自律机制的软法价值,通过行业自律公约填补政府监管的不足。对此,为应对我国的分散监管困境,有必要设立独立的监管机构,搭建协同监管平台,突出风险管控和风险预防,实施能动高效、一体适用的技术应用监管机制。
4 统筹发展和安全的人脸识别技术应用治理路径探析
利益平衡是公共政策的逻辑起点。数字时代,数据的累积效应、结合效应,以及技术、算法的进步使得人脸识别技术发展与个人信息安全之间存在紧张关系,而安全是发展的前提,发展是安全的保障。我国应结合场景规制理论、风险预防理论和数据治理实际,构建统筹发展和安全的人脸识别技术应用治理路径。
4.1 构建场景化立法规制模式
场景化立法规制已广泛应用于我国个人信息保护领域,其内在机理在于建立不同场景下的个人信息保护规则。而人脸识别技术在各场景中的应用规则不同,运用场景规制理论能够契合人脸识别技术的本质特征,从而建立与场景特征相符的立法规制模式。
4.1.1 明确具体场景应用的分类标准
场景分类是场景化法律规制的先决条件,而《人脸识别管理规定》对于场景分类的标准模糊,且存在交叉重叠的现象,难以为人脸识别技术应用的精细化治理提供明确指引。虽然学界对于人脸识别技术应用的场景化分类标准尚存争议,但总体上可将场景划分为单一型和复合型两类,以信息来源、参与主体及传输原则作为判定标准,以使用场景的复杂性决定具体的法律规制模式(姜野,2023[27])。在个人信息保护影响评估、技术安全性评估及信息断链删除评估等环节中,应当着重考虑场景要素对评估标准的影响。由此,个人信息保护影响评估可在不同场景下防范化解人格权益风险;技术安全性评估可规避不同场景下的安全风险;信息断链删除评估可通过断链的方式使数据不可跨场景匹配,同时建立匿名化或删除信息的监测机制。
4.1.2 建立场景化动态知情同意模式
《个人信息保护法》第29 条规定,处理人脸信息等敏感个人信息须取得信息主体的单独同意或书面同意。然而,若在所有场景下均对人脸识别技术应用采取单独同意原则,将显著降低人脸识别技术的使用效率。因此,有必要通过场景化规制的手段完善知情同意原则,建立动态知情同意模式,在保障个人信息自决权的前提下,兼顾人脸识别技术的使用效率。首先,根据不同场景选用恰当的告知同意方式,如弹窗提示、书面签署等,并向信息主体提供分项同意的选择。其次,以显著方式向信息主体告知人脸识别技术的应用场景、用途、目的及必要性,保障信息主体的合理预期与信赖利益。最后,强调知情同意的动态性,完善“告知—同意—同意撤回”的动态机制,依据不同场景设置自主撤回的条件,并保障撤回权的便捷行使。
4.2 完善便利化司法救济体系
场景化立法规制为有效解决人脸识别技术治理的实体问题提供了制度保障,而在司法层面,救济体系的相对稳定性使其难以动态应对因新技术应用引发的程序性问题。因此,我国有必要完善便利化的司法救济体系,为处于弱势的信息主体提供倾斜保护(石超和张蓓洁,2022[10]),破除信息主体参与诉讼、获得救济的路径障碍。
4.2.1 厘清救济边界
在人脸识别技术侵权的司法救济中,既要厘清法律适用标准的实质要件,还要明确提起诉讼的程序要件。一方面,《人脸识别管理规定》对人脸识别技术应用的目的性审查提出了更为严格的要求,明确指出“非必要不使用人脸识别技术”(第4 条)。尽管《人脸信息司法解释》确立了举证责任倒置制度,但由于合法、正当、必要原则的审查标准过于宽泛,从而变相增加了侵权行为的认定难度。对此,应当进一步明确合法、正当、必要的界限,开展实质审查,审慎分析人脸信息处理者的处理目的,以规避形式审查对人格利益产生的侵害风险。另一方面,诉权是民事主体的基本权利之一,对诉权的限制必须由法律作出明确规定。对此,司法实践中不应设定人脸识别技术侵权诉讼的前置条件,即受害人无需先向侵权人提出请求或向监管机构投诉,可以直接向人民法院提起诉讼,以保障民事主体诉权的实现(程啸,2023[28])。
4.2.2 补足救济措施
首先,参照《证券法》中有关“特别代表人诉讼制度”的规定,完善代表人诉讼制度在人脸识别诉讼案件中的应用,扩大救济的覆盖面,使受害人因相同案由自动获得诉讼资格,降低参与诉讼的难度。其次,完善人脸识别技术侵权领域的民事公益诉讼制度,细化《人脸信息司法解释》的内容,对受案范围、起诉主体、起诉条件等内容作出明确规定,统一公益诉讼赔偿标准和赔偿范围。同时,在《检察机关提起公益诉讼改革试点方案》中细化人脸识别技术侵权的相关规定,切实发挥审判监督机关的作用,贯彻恢复性司法理念。最后,人脸识别技术侵权具有紧迫性、持续性和不可挽回性等特征,对此,欧盟建立了数据被遗忘权制度,以提升司法救济的实质效果。而我国可以适当简化信息主体行使删除权的程序,并通过第三方见证、司法监督等方式监督人脸信息的删除效果(宋丁博男和张家豪,2023[29]),尽量减轻人脸识别技术应用的消极影响。
4.3 健全协同化监督管理机制
形塑切实可行的监管机制是破除我国人脸识别技术规制困境的重点。总的来说,我国目前存在监管机构分散、监管模式单一、监管措施碎片的制度困境,导致执法效能降低。对此,有必要构建协同化监督管理机制,调动多元主体参与治理的积极性,形成人脸识别技术监管合力。
4.3.1 优化监管机构配置
首先,人脸识别技术作为以算法、数据、算力为核心的新兴数字技术,可由新组建的国家数据局统筹人脸识别技术应用监管策略,出台相关政策及标准,避免各地区、各领域因监管差异产生的政策偏移,减少监管协调成本。其次,明确监管机构的职能范围,运用场景化规制模式,依据场景特征选择与之匹配的监管主体。同时,在需要多部门、多区域联合监管的场景下,明确各个监管主体的责任,避免监管冲突,并建立相应的冲突解决机制,在监管冲突产生后报请共同上级机关确定监管主体。最后,细化末端监管,在监管体系的最末端引入第三方评估模式,监管公权力的行使,确保监管主体的独立性和协同性,避免因公私主体间利益交叠导致的监管失效。
4.3.2 完善行业自律机制
行业自律机制旨在激发市场内生动力,约束市场不良行为,并利用市场自身的调适功能对行政监管予以补充,有利于实现各方利益平衡、增强行业诚信,为人脸识别技术应用的协同监管提供内在动因。2020 年出台的《人脸识别线下支付行业自律公约(试行)》对金融支付领域的行业自律机制进行了有益探索,然而由于行业标准难以统一,加之监督救济规则的缺失,使得该制度在其他人脸识别技术应用场景中仍处于缺位状态。因此,行业自律机制的完善须建立在场景化规制的基础上,基于各领域特征总结适用标准,并为其制定配套的惩戒和救济措施,以保障行业自律机制的有效运转。但与此同时,由于行业自律公约的软法特征显著,具有较高的制度弹性,一方面,应确保人脸识别技术具有恰当的准入门槛、奖惩措施和退出机制;另一方面,应审慎对待自律公约,在订立、修改及废止自律公约时,须充分保障各方的知情权,防止行业自律公约因产生较大的任意性而丧失其公信力。
4.3.3 应用监管沙盒测试
监管沙盒测试以实现包容审慎监管为制度导向,是统筹人脸识别领域技术发展与数据安全的有效手段,能够在相关技术大规模应用前开展监管预评估,同时为人脸识别技术发展提供一定的“监管豁免”和试错成本,促进技术迭代。因此,有必要在人脸识别技术市场化应用之前,引入监管沙盒测试,将其放置于“沙盒”这一测试真空,促进监管弹性达到动态平衡,实现监管“去中心化”。同时,还可以利用监管沙盒的扁平化特征,提高技术透明度与可信度,打破横向监管壁垒,促进监管信息流动,为安全审查提供便捷的信息获取渠道。当然,在监管沙盒的实际应用中亦须考量多方面因素(戚聿东和刘欢欢,2022[30])。首先,监管沙盒测试的标准应由国家数据局、网信办等机构统一制定;其次,沙盒测试应重点考查人脸识别技术是否符合“目的性、安全性、规范性”三项原则,以确保人脸识别技术符合沙盒制定的安全标准,并具有相应的形式和技术规范;再次,依据场景化特征构建“沙盒”的具体方案,使人脸识别技术在最初的评估和测试环节中即具备场景化特征;最后,实行中止测试和监管豁免制度,在超出技术目的、损害信息安全时,应及时中止测试,并豁免合规技术开发者的一定责任(胡滨,2022[31])。
5 结 语
随着人工智能技术的高速发展,人脸识别技术应用场景趋于泛化,因人脸识别技术产生的安全风险持续升级。面对人脸识别技术带来的全球性机遇与挑战,我国作为人类网络空间命运共同体的倡议者与数字经济大国,在防范化解人脸识别技术应用风险的同时,还要促进人脸识别技术的革新与迭代。新安全格局下,我国应在保障数据安全和数字人权的基础上,加快构建统筹发展和安全的人脸识别技术应用治理体系,以高水平安全推动构建中国式现代化数据治理体系,并为世界人脸识别技术的治理方案提供中国经验。