在信息技术时代,人脸识别技术的发展给我们的日常生活带来相当多的便利,同时也给个人信息、隐私和财产的安全带来了风险。我们在考虑经济发展的同时,应对人脸识别技术的应用持审慎态度,合理把控人脸识别技术应用的风险控制及其所涉的各方利益。
一、个人信息与人脸识别技术的相关概念
(一)个人信息的概念与特征
根据《中华人民共和国个人信息保护法》,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息具有如下特征:
一是个人信息具有人格属性。个人信息可以直接或者间接的识别特定个人,直接识别如通过姓名、肖像、性别,间接识别如联系方式、家庭地址等,因此个人信息具有人格特征。此外,任何自然人均有权自主控制其信息,有权决定是否同意他人使用以及如何使用,并在个人信息遭到侵权后维护自己的权利。该权利不取决于自然人的身份差异、社会地位、财富多少等方面,体现为人格尊严和人格平等。
二是个人信息具有价值属性。个人信息因为其潜在的商业价值而可以被利用,例如电商平台可以基于互联网用户的消费习惯、性别、浏览网页信息和其他网络信息来分析个人消费水平、取向与需求,并向广告商提供相关信息供他们使用并收取昂贵的费用,广告商则针对具体客户需求做个性化推荐,实现流量的变现。
三是个人信息具有扩张性。在大数据时代,商家收集消费者个人信息的方法呈现多渠道、多样化,因此某些最初无法识别出自然人的信息,可以通过与其他信息相关联而成功地定位出具体个人。一个人的位置信息,浏览器网页记录均可以被定义为个人信息,个人信息的范围随着社会的发展不断扩大。
(二)人脸识别技术的概念与特征
继指纹识别、语音识别之后,人类近几年内在人工智能的另一领域——图像识别,尤其是人脸识别方面取得重大进展。人脸识别技术是基于人的脸部特征信息进行身份识别的一种生物识别技术,通过使用摄像机或摄像头采集含有人脸的图像或视频流,并自动在图像中检测和跟踪人脸,进而对检测到的人脸进行一系列技术处理,以达到识别不同人身份的目的。人脸识别技术具有如下特征:
一是非接触性。被识别主体不需要和识别设备直接进行接触就能获取人脸图像信息,当主体面部进入到摄像设备可捕捉的范围时即可以被自动识别,可接受度比较高。而多数生理特征识别技术都需要被识别主体与识别设备接触来进行有关操作,比如指纹识别、掌纹识别等都对客观条件有严格要求。
二是便捷性。该技术对个体的配合度相对没有那么高,每个人在不知不觉的状态下就被获取了人脸信息,而其他技术几乎都需要个体的配合才能完成对其生理特征的提取。比如DNA识别技术容易出现检材污染等意外情况,这主要就是因为个体的配合不当而影响结果的准确性。
三是隐蔽性。人脸识别中运用的设备主要是各式各样的摄像头,一部分高科技摄像头既能清晰的捕捉人像信息,又能做到体积小巧玲珑,不易被发觉。因此在一些场合中,只要被识别主体出现在摄像头的捕捉范围内,人脸数据的收集工作就已经完成了。不被个体察觉就可以主动获取人脸信息的人脸识别技术,天然具有一定的隐蔽性。
四是性价比高。该技术可以在同一时段对多人进行人脸图像的收集比对,工作效率高,对于服务的双方都能提供方便。而且与其他技术进行横向比较,从设备成本、采集效率和循环使用次数来看,人脸识别技术的性价比是非常高的,适合大范围内推广使用。
二、人脸识别运用对保护个人信息的挑战
人脸识别技术的应用使得对个人信息的收集、利用行为呈现隐蔽化收集、不透明处理、动态化流通的特点。同时,互联网下个人信息本身产生了范围宽泛化、内容可识别化等变化。人脸识别技术的广泛运用对个人信息保护形成挑战。
(一)人脸识别技术威胁个人信息和隐私权。《民法典》将个人信息权益作为一项独立的人格权进行保护,明确个人信息与隐私权是相关而有所区别的法律概念,但在救济法律规范、侵权路径上,个人信息与隐私权存在诸多交叉重叠。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息,个人信息中的生物识别信息等私密信息,适用有关隐私权的规定。个人拥有隐私权,但隐私权不是控制个人信息的权利,也不是在保护范围内限制访问个人信息的权利,但从个人信息中产生的对隐私的期望是一种权利。人脸特征信息从属于个人信息,但人脸识别技术对人脸特征信息的收集、处理活动同样可能威胁个人隐私,侵犯公民的隐私权。
(二)人脸识别技术威胁财产安全。人脸识别技术的发展增加了防范人脸识别技术中的个人信息商品化的风险。目前“刷脸付款”等人脸识别功能的开发使得人脸特征信息侵权往往因其财产属性而起。商业公司虽然积极应用人脸识别技术打造优质服务,通过对个人信息进行大规模攫取和处理获取商业利益,但受限于保密技术和谋利本质,往往无法承担人脸识别技术带来的人身安全、财产安全威胁。个人信息的数据安全性问题一定程度上取决于处理个人信息活动的保密范式,而人脸识别技术放大了保密范式的影响,类似于场景理论关于隐私取决于具体场景的论点,人脸识别技术的应用增加了社会公众被识别的风险,因而针对人脸识别技术中个人信息的保密性要求应有所提高,一般的商业公司无法保障人脸特征信息的保密性。但商业公司可以始终通过人脸识别获取的个人信息的流通获益,因为相伴而生的个人信息被侵犯受到的损失已被转嫁给作为信息主体的消费者。
(三)人脸识别技术侵蚀个人信息的匿名性。人脸特征信息与一般个人信息不同,年龄、面孔和种族的复杂性是恒定的,并且可以在边界范围内辨别。人脸识别技术所带来的匿名性丧失实质上最终导致了隐私和个人自主权的丧失。任何未能意识到匿名性丧失的个人信息保护措施最终都会破坏法律保护,并在信息披露具有强制性时剥夺选择的自由。实践中每当服务条款坚持要以丧失隐私换取对服务的访问权时,都是对信息披露选择权的强制剥夺。
(四)人脸识别技术威胁个人尊严与自由。个人信息可以被划分为敏感的与非敏感的,敏感个人信息指涉及公民人格尊严和自由等重要权益的个人信息,通常指构成隐私的个人信息,一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或者歧视性待遇。人脸识别技术的“善”与“恶”易受预期使用目的与使用场景的影响。人脸识别技术会对个人尊严与自由产生威胁,极有可能导致对其人格尊严的严重损害。
三、完善人脸识别运用中个人信息保护的对策建议
人脸识别技术中的个人信息保护困境产生的本质因是人脸识别技术的发展使作为个人信息贡献者的个人与信息控制者之间的力量强弱发生显著变化,个人从信息技术、社会地位等多个层面都难以与掌握人脸识别技术的政府机关、商业巨擘之间相匹敌。因此,对人脸特征信息的收集、处理应施加比对一般个人信息的更细致的规制力度。
(一)完善个人信息保护立法
传统个人信息保护模式已难适应互联网时代对人脸识别技术应用的需求,人脸识别技术带来的个人信息的不当泄露、相关产业对个人信息的无限度挖掘、潜在歧视、不公平待遇、禁止自由表达等风险和威胁,都是传统个人信息保护法律无法从根源上予以彻底规制的。传统的个人信息保护模式不再能够适应时代的需要,在立法层面对个人信息进行符合时代要求的保护具备必要性。
一是制定特殊法律规制。现实中个人信息保护的大部分困境,都是由个人信息保护立法缺乏与人脸识别技术发展相匹配的、统一的专门法律规制所引发的。我国应制定统一的包含针对人脸识别技术中个人信息特殊性规制的保护立法,协调散落于各层级的立法文件中的个人信息保护规则之间的关系,强调作为信息主体的自主控制与信息控制者的合法利用的平衡,确立适应时代发展和我国背景的个人信息保护法律。
二是细化人脸特征信息的收集和处理规则。人脸特征信息归属于敏感个人信息,一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或者歧视性待遇。对人脸特征进行收集、处理的活动所受的法律规制应当比一般个人信息的保护性立法更为细致、全面。目前,人脸识别技术的信息实践中对个人信息的保护参差不齐,如何对人脸识别技术运用中的个人信息进行法律保护成为立法需要面对的难题。《民法典》并没有对敏感的个人信息进行保护的规定,但是考虑到《民法典》的宏观性,这类专业性、行业性强的个人信息,应由专门的个人信息保护法律予以规范。
三是加强人脸特征信息上财产权益的保护。人脸识别技术应用中的个人信息安全困境不止表现在如何对个人信息受到侵犯进行认定,还体现在已经认定个人信息被侵犯的情形下,如何确定信息主体的损失,明确对个人信息的保护要达到何种效果。派生的难题是应如何对个人信息进行估值。未来立法应重视个人信息的财产化趋势,关注与财产利益相关的权利与救济,在立法领域作适应社会特点的疏通与重点规制。
四是对人脸识别技术中个人信息保护面临的新情况作出规范。人脸识别技术还在不断地变革和创新之中,随着应用场景的深入和复杂化,未来立法上关涉人脸识别技术中个人信息保护的新情况、新问题还会在很长一段时间里持续爆发。我国也应重视互联网时代下人脸识别技术中个人信息的保护范围、权利内容、跨域流通的新趋势,变革旧规,针对人脸识别技术中个人信息保护面临的新情况、新问题创制适应时代发展的解决机制。
(二)完善个人信息保护的风险分级制度
对人脸识别技术中个人信息依据具体场景进行风险分级规制,引入场景理论评估风险对个人信息予以区分保护,明确具体场景中信息主体的权利义务,制定宽严相济的多方位风险分级制度,可以解决目前个人信息范围泛化带来的规制难题。
一是引入场景理论评估风险。为避免对个人信息保护的法律重实体规范轻程序规范,虽设置具体权项而无实际行权的可操作性,我国应当借鉴场景理论,还原到具体场景中判断信息控制者的行为是否对信息主体产生实际影响,进而对风险进行评估,强调依据具体场景对侵犯不同的个人信息的行为予以分类规制,对违反法律、约定的使用目的滥用、盗用及泄露个人信息的信息控制者课以与其损害程度相当的责任。
二是明确信息主体的权利义务。将具体个案中受侵犯的个人信息依据识别性和相关性的程度进行细化归类,结合具体案情对不同个人信息的风险进行分层规制,依据相应风险确定侵权主体相应的责任和义务。鉴于人脸识别技术活跃在政府监督和商业使用维度,对人脸特征信息的收集、处理应优先考虑公共利益、消费者利益的充分实现。
三是制定宽严相济的多方位风险分级制度。风险分级制度的目的是促进人脸识别技术中个人信息的合理使用与流通。风险分级制度的规制内容不仅包括风险评估,还包括风险预警、分类保护、信息泄露时的强制性告知等,强调对人脸特征信息通过人脸识别技术进入流转的每一阶段进行监督与保护。重要的是,设置风险分级制度的最终目的并不是抑制人脸识别技术的创新,立法者需要兼顾人脸特征信息的合理使用与流通,制定宽严相济的风险分级制度。
(三)完善人脸识别技术应用的监管制度
通过建立标准化的监管制度可以将监管活动渗透到人脸识别技术发展的各个阶段,贯彻人脸识别技术从研发、生产到投入应用全过程的监管机制,充分保障个人信息上的合法权益。
一是完善事前监管制度。完善人脸识别技术应用的事前监管制度的关键,在于密切监测社会的关注和反应。按照法律规定,人脸识别相关行业的信息控制者在前端收集个人信息阶段,应遵循“合法、正当、必要”的原则和征得信息主体同意的规则。同时,事前监管制度还要求各执法部门协同合作,在侵权行为尚未发生时提前进行监管布局。
二是完善事中监管制度。完善人脸识别技术应用的事中监管制度的关键,在于增强监管制度的实际可操作性。法律规定人脸识别相关行业的信息控制者,在事中控制信息过程中需要遵循确保安全原则,不得泄露、出售或者非法向他人提供个人信息。事中监管制度是事前监管的延伸,进行事中监管应充分依靠事前监管制度打下的基础。整合各监管执法部门的优势,设立独立性更强的人脸识别技术专业化监管机构,可以提高事中监管的效率和精确度,降低执法资源浪费。
三是完善事后监管制度。完善人脸识别技术应用的事后监管制度的关键,在于充分考虑人脸特征信息的敏感性以制定责任赔偿与处罚机制。法律规定人脸识别相关行业的信息控制者在末端出现个人信息被侵害之时,信息控制者依法需要承担采取补救措施等相应的侵权责任。而人脸特征信息作为敏感的个人信息应遵循更为严苛的收集、处理程序,赋予执法机构对侵犯人脸特征信息的违法行为的控制程度应远高于一般个人信息。
参考文献:
[1]修扬、曹天杰、孟宣彤.移动端人脸识别技术的安全性分析[J].网络安全技术与应用.2021(11)。
[2]刘军平、杨芷晴.人脸识别数据保护困境及其法律应对[J].科技与法律.2021(06)。
[3]陈冬梅.基于隐私保护的人脸识别技术应用研究[J].电脑知识与技术.2020(16)。
