人脸信息作为一种典型的个人生物信息,属于敏感个人信息,其具有难以更改性和泄露后损害的不可逆性,一旦泄露将是终身泄露。人脸识别因存在技术误差风险、信息泄露风险和算法歧视风险,会造成公民人身、财产和心理上的安全隐忧,对人脸识别中的个人生物信息处理进行法律规制已刻不容缓。在对人脸识别的规制中,应贯彻民法典确立的合法、正当、必要原则,引入比例原则,落实知情同意原则、最小权限原则和可注销原则。明确个人生物信息处理者的义务,推行个人生物信息侵权纠纷过错推定原则,实施人脸识别行业许可制度,增设数据保护专员岗,对公共主体和私营主体分类监管,构建多层次监管体系。
2020年,一场疫情席卷全球,在这次疫情中人脸识别也得到迅速推广,很多居民小区、学校等人员密集的地方比以往多了一道刷脸门禁。刷脸能够让人员出入信息更清晰明了,便于小区和高校的疫情防控。但是疫情期间很多小区和高校将刷脸作为人员出入的唯一方式,这种擅自收集公民人脸生物信息的行为涉嫌侵犯公民的人格尊严和隐私权。郭兵诉杭州野生动物世界服务合同纠纷案已由法院作出一审判决((2019)浙0111民初6971号)),杭州市富阳区人民法院支持了郭兵要求杭州野生动物世界删除办理年卡时提交的包括照片在内的面部特征信息的诉讼请求。2021年4月9日,杭州市中级人民法院对该案作出二审判决,二审在一审判决的基础上支持了郭兵要求杭州野生动物世界删除办理年卡时提交的指纹识别信息的诉讼请求。这是我国司法实践上对公民个人生物信息进行保护的第一案。
人脸信息不同于一般的密码等数字信息,人脸信息作为个体生物信息具有难以更改性、个体性、独特性和伤害不可逆性,一旦泄露就是终身泄露,给个人带来的损失几乎无法补救。2020年我国出台的民法典第1034条将“生物识别信息”纳入个人信息的范围内,确立了个人生物信息保护的基本法依据。在大数据时代,人脸生物信息的收集主体、收集条件、处理主体,以及泄露后的追责方式与救济方式,亟待法律规制。
技术误差风险
人脸识别技术一般由四个步骤构成:一是通过摄像头对人脸面部信息进行扫描,二是系统将摄像头扫描到的人脸信息编成数字代码,三是将这些数字代码储存在数据库中,四是当摄像头再次识别到相同人脸信息时,系统将该信息与数据库已有信息进行配对。其背后的技术原理是通过算法匹配已知个体,即将提取到的人脸图像特征与现有信息库中的人脸数据信息进行匹配,达到识别个体的目的。但是任何技术多多少少都会存在误差,人脸识别技术也不例外,目前人脸识别技术准入门槛低,人脸识别技术的误差高出其应有的容错率,美国公民自由协会曾做专门过一个测试,来检测亚马逊人脸识别系统的误差,测试结果是亚马逊人脸识别系统将二十多位国会议员的照片识别为犯罪嫌疑人。如果将人脸识别技术应用于刑事侦查对比犯罪嫌疑人,那么这种技术误差很可能会把两个长相相似的人识别错误,把无辜的人识别为犯罪嫌疑人,真正的罪犯可能未能被识别出来而成为漏网之鱼,造成冤假错案。
不仅如此,居民小区和学校门禁的人脸识别系统中也经常出现识别错误问题,在通过人脸识别门禁系统时,电脑屏幕上匹配到的是一个完全陌生的人。如果把人脸数据信息比作是一把钥匙,那么这种技术误差将会直接导致开锁的钥匙不唯一,并且这把钥匙背后所承载的所有重要信息、隐私和财产,都会面临被泄露被侵犯的风险。而原理上本应该是最方便最保险最安全的人脸数据就成了个人重要信息、隐私等被破解的最大漏洞。现在刷脸支付也在逐渐普及,如果这种技术误差出现在刷脸支付领域,那么将会直接带来个人账户内的电子资金被盗刷的风险,危及公民的财产安全。
信息泄露风险
如清华法学院教授劳东燕所说“人脸数据一旦泄露就是终身泄露”,因为人脸信息具有直接识别性、方便验证性、易采集性、独特性、难更改性。没有什么比一个人的人脸更容易被识别到,一个人无论走在哪里都会暴露面部特征。人脸信息不同于普通的数字信息,人脸信息是一种典型的个人生物信息,一旦泄露无法更改,而且造成的损失也是不可逆的,几乎没有补救措施。
算法歧视风险
人脸识别技术的应用分为三个层面,第一个层面是用于身份认证,即人脸认证;第二个层面是将收集到的人脸信息储存在数据库中,用于人脸识别;第三个层面是将收集到的人脸信息进行归档、分类和智能化分析,即人脸聚类。算法歧视风险一般产生于第三个层面,即使用聚类算法分类人脸信息,用于精准营销。
比例原则
美国著名学者罗纳德在《认真对待权利》一书中写到:“一个负责任的政府必须准备证明它所做的任何事情的正当性,特别是当它限制公民自由的时候”。2020年的疫情中,人脸识别技术被大量地推广,居民小区和高校将人脸识别门禁应用于疫情防控,小区居民和高校返校学生没有其他的选择。人脸信息被采集者不知道人脸识别门禁系统的技术提供公司,也无法知道自己的人脸信息被如何储存处理。
传统三阶比例原则包括适当性原则、必要性原则、狭义比例原则。适当性原则要求手段适合目的之达成,必要性原则要求要在多个手段中采取对基本权利干预最轻的手段。狭义比例原则又称“均衡原则”,该原则要求在人脸信息的采集者和被采集者间进行衡量,在公共秩序与人脸识别的风险间进行衡量。有学者将人脸识别技术的使用情形归纳为三种:应当使用、可以使用和不需要使用。在可以使用的情形下,就应当运用比例原则充分衡量个人生物信息采集者与被采集者双方的利益,力求二者利益的平衡。疫情期间,一些小区通过人脸识别门禁来管控出入的居民,其目的是便于小区更高效更清晰地审查每天出入的居民身份,尽管是基于疫情管控的目的,但是人脸识别并不是唯一的验证身份的方式,将人脸识别门禁系统作为疫情防控下出入小区的唯一手段,显然就与比例原则背道而驰。小区完全可以赋予小区居民自行选择持身份证等有效证件出入小区来替代“刷脸”的选择权。给予公民替代性选择,既体现了对人权的保护,同时又可以较好地平衡个人生物信息采集者与被采集者双方的利益。
人脸信息被“野蛮生长”的产业所裹挟,用户的生物信息被暴露在各种潜在风险之下,人脸识别的滥用现状违反了“实用主义理论”。鉴于人脸识别存在的潜在风险不可控且人脸信息数据一旦泄露则是终身泄露,会给公民带来难以弥补的损失,所以应当将比例原则作为规制人脸识别的首要原则。人脸识别技术存在的目的是通过人脸实名认证更好地保障公民的财产或者其他重要个人隐私信息。如果因为滥用人脸识别导致公民的个人生物信息被泄露,给公民的其他隐私或者财产带来巨大损失,则是本末倒置。
知情同意原则
动态同意原则建立在公开透明原则基础上。2020年10月1日,新版《信息安全技术个人信息安全规范》(下称《规范》),《规范》中明确了个人信息控制者处理个人信息应遵循目的明确、公开透明原则。公开透明原则是指人脸信息的采集主体对人脸信息的储存、使用、处理等过程应当公开透明,确保公民可以像查看流水账单一样明细地知道自己的人脸信息等生物信息在何处何时被使用,并且也可以随时了解到人脸信息的采集主体对这些收集来的人脸信息的储存和保密情况。任何一项新型科技要想长远地发展下去,甚至实现商业价值,从企业的角度而言,首先应当遵循“公开透明原则”让公民可以放心接纳并使用该项技术。人脸识别技术的提供者只有做到将人脸信息的采集、储存、处理等各个过程公开,用户才有可能支持人脸识别技术的应用和推广,“动态同意原则”才能不流于形式,在实践中得到遵循。
最小权限原则
最小权限原则(Principleofleastprivilege)最早出现在PeterJ.Denning的《容错操作系统》(Faulttolerantoperatingsystems)一文中,最小权限原则是指计算环境中的每个模组,例如进程、用户或者计算机程序,只能访问必须的信息或者资源,其目的是避免数据遭受错误或者恶意的破坏。
可注销原则
可注销原则的理论基础源自国外的“被遗忘权”,又称“删除权”,是指信息被采集者有权要求信息采集者永久删除其被采集的个人信息。“被遗忘权”在国外司法实践中得到首次确认在是“冈萨雷斯诉谷歌”一案中。可注销原则,顾名思义就是像我们在一些客户端上注册的账号,一旦不想继续使用该账号即可选择永久注销账号。人脸生物信息不同于账号密码,其具有难更改性,正因如此,对于商家、企业收集到的人脸信息,公民有权利要求其永久注销信息库中的个人人脸信息。如果将人脸识别系统后台收集到的大量人脸信息比作手机相册,那么可注销原则就是赋予公民自由选择删除照片的权利,并且有权要求云端同步删除,达到类似网络账号注销的效果,即一旦注销,无法查找,也无法恢复。
个人生物信息是指以自然人的生理特征与行为特征为内容的信息,除了人脸面部信息之外,还包括DNA、指纹、虹膜、声音等信息。2020年新版《信息安全技术个人信息安全规范》中明确个人生物识别信息属于个人信息的范畴。因个人生物信息具有难更改性和泄露后造成的损失不可逆这两大特殊属性,所以明确个人生物信息处理者的义务和责任就显得尤为重要。
企业内部增设数据保护专员岗
数据保护专员的独立性可以使公民被采集的个人生物信息更加安全,但是数据保护专员的独立性也会导致一个新的问题,即道德风险。设想一下,如果数据保护专员未能守住道德底线,将自己管理、控制的大量人脸信息等个人生物信息用于实施非法活动,甚至是非法贩卖,那造成的后果将不堪设想。目前,欧洲一些国家的数据保护专员大体分为两类,一类是在企业内部员工中任命DPO,还有一类是企业选择将数据保护专员岗外包。不管是哪一类,数据保护专员的道德风险都是存在的,那么不妨将数据保护专员纳入职业许可的范畴,要求他们像律师、医生等职业一样通过规范化训练和考核后,持证上岗。鉴于个人生物信息的特殊性,还有学者提出在数据保护专员上岗时可以要求他们进行保密宣誓。
信息匿名化处理
欧盟GDPR中规定,个人信息必须进行假名化或者匿名化处理。信息匿名化处理,顾名思义就是使个人生物信息不再具有可识别性。2020年版《信息安全技术个人信息安全规范》中对匿名化的定义是通过技术处理,使得个人信息主体无法被识别或者关联,且处理后的信息也不能被复原。目前实践中对个人生物信息匿名化处理的手段有两种—直接移除识别符和假名化。个人生物信息不同于账号密码等其他个人信息,因其无法更改,所以信息采集主体在收集了公民个人生物信息后首先应当将信息进行匿名化处理,通过技术手段抹掉个人生物信息携带的识别性元素。信息匿名化处理是公民个人生物信息保护和信息利用两者之间进行平衡的一种措施,经过匿名化的个人信息就不再属于个人信息。
相对于人脸信息,指纹、虹膜、声音等个人生物信息匿名化处理在技术层面上更简单也更容易实现。人脸信息虽然具有直接可识别性,但是对人脸信息的匿名化处理并不是“空头支票”,目前技术层面上也可以实现对人脸信息的匿名化处理。对人脸信息进行匿名化处理的研究最早开始于2015年,最初是对人脸图像进行模糊化或者像素化处理,现在技术已经可以通过生成对抗网络将人脸信息匿名化。
明确个人生物信息保存期限
实施行业许可制
表1国内计算机视觉人脸识别企业概况
公共主体与私营主体分类监管
2020年2月14日,美国加州通过了《加州人脸识别技术法案》(下称《法案》),《法案》中将人脸识别技术的使用主体分类为公共主体和私营主体。公共主体例如交管部门在公共道路上安装电子眼,其目的是用于交通管制和保护公共安全。私营主体例如新闻中曝光的科勒卫浴以及一些售楼处在营业大厅安装“智能”摄像头,其目的是为了对来访客户进行分类和分析。因对个人生物信息的使用目的不同,对这两类主体的监管力度自然也不可相同,公共主体应用敏感生物信息采集系统更多的是为了公共利益,而私营主体应用敏感生物信息采集系统往往是为了自己的利益。未来的监管重心应放到私营主体上,明确敏感信息采集系统的安装行业、安装门槛、安装范围以及主体责任。
健全问责制度
问责制度应当包括两个方面,第一是政府对企业的问责,第二是企业内部的问责。2020年我国个人信息保护法(草案)第六章规定国家网信部门负有对个人信息进行保护和监督的职责。国家网信部门要提高人脸识别行业准入门槛,定期对有资质的企业进行审计,加大企业的违法成本,一旦发现企业对采集的个人生物信息保管不善或者恶意泄露、贩卖等,应吊销企业的经营许可证,并把对个人生物信息处理不善的企业纳入行业黑名单。同时,企业内部也应当认真审核数据保护专员的资历,定期进行内部审计,将个人生物信息采集、储存、处理的各个环节公开化透明化,在企业内部设立数据监管机构,预防数据保护专员的道德风险,将具体责任分配到对个人生物信息进行采集、储存、处理等各个环节。
实施过错推定原则
据《人脸识别调研报告(2020)》,有30.86%的受访者已经因为自己的人脸信息泄露、滥用等遭受损失或隐私被侵犯。尽管如此,个人生物信息主体在司法实践中维权依然很困难。在深网视界和科勒卫浴事件中,由于侵权对象的规模很大,因此对侵权对象的救济也非常困难。
对于侵害个人生物信息的民事责任归责原则,欧盟GDPR中适用“过错推定原则”,要求生物信息控制者和处理者证明对引起损失的事件没有任何责任,方可以免除损害赔偿责任。我国现行法上依然适用的是“过错责任原则”。但是在人脸识别的滥用现状中,人脸生物信息的处理者与人脸信息的被采集者之间其实是处于一种不平等的关系,那么让生物信息主体来证明生物信息处理者的过错则显得不太合理,而且举证难度大。我国未来立法上对侵害个人生物信息的民事责任也应适用“过错推定原则”,让个人生物信息的采集者、控制者、处理者来证明对引起损失的事件没有任何责任,这将大大减轻生物信息主体的维权成本,有利于生物信息主体的维权。
人脸识别技术得到迅速推广,人脸识别技术在给我们日常生活带来方便的同时,其可能造成的个人生物信息泄露风险也是不容小觑。目前,人脸识别在国内的准入门槛低,不少营利性组织纷纷入局,造成人脸识别滥用的现状。人脸信息作为一种典型的个人生物信息,具有难更改性和损失的不可逆性,一旦泄露便是终身泄露,会给信息主体造成几乎无法挽救的伤害,因此对人脸识别中个人生物信息的处理进行法律规制已是刻不容缓。
从国家层面而言,一是要对个人生物信息进行专项立法;二是将个人生物信息作为敏感个人信息进行更严格的监管;三是明确监管机构,构建多层次监管体系;四是实施行业许可,健全问责机制,加大惩处力度。从企业层面而言,一是要充分贯彻落实“比例原则”“知情同意”原则、“最小权限原则”和“可注销原则”;二是将个人生物信息收集、存储、处理等各个环节公开化透明化,三是增设数据保护专员岗位,建立健全的数据信息保护系统,定期对个人生物信息进行审计;四是将采集到的个人生物信息进行匿名化处理;五是明确个人生物信息的保存期限,一旦到期,永久删除。