就政府部门使用人脸识别的法律规制,特别许可使用制度既发挥人脸识别技术之利,又防范人脸识别技术之弊,是一种更加理性的制度安排。就非政府部门使用人脸识别的法律规制,对人脸信息作出比一般个人信息更为严格的特别保护和特别规制,更有利于保护个人的人脸信息。

  在无竞争性的服务领域(如民航、铁路、学校、社区等)使用人脸识别技术,当人们拒绝“刷脸”时,应提供其他替代性的验证机制,而不能不“刷脸”就不能使用或进入。即使不全面叫停政府部门安装、使用人脸识别技术,也应该对其进行严格的法律规制,防范安全风险,防止被滥用。

  随着技术的发展,人脸识别(俗称 “刷脸”)在我国逐渐盛行。我国目前对人脸识别技术尚无专门的法律规定,无论是政府、社区、事业单位还是商家,均可以任意安装人脸识别技术,强制人们“刷脸”验证。而人们若拒绝“刷脸”,则基本上无法使用相关服务。如若不服,则投诉无门,只能对簿公堂,但诉讼成本高昂。基于此,有必要对人脸识别的法律规制予以深入研究,厘定人脸识别技术应遵循的法律底线,明晰人脸识别技术法律规制的基本要点。

  人脸识别技术的特征、收益与风险

  人脸识别可简单地概括为:机器对静态或视频中的人脸图像进行特征提取、分类识别,以达到身份鉴别的目的。人脸识别技术的应用场景日渐丰富,其功能归纳起来主要是身份验证和监控。这又可以分为政府机构的公共应用和非政府机构的商业应用与慈善应用等。

  人脸具有如下的特征:独特性和直接识别性,方便性,不可更改性,变化性,易采集性,不可匿名性,多维性。人脸的上述特征直接决定了人脸识别技术具有复杂性特征,而现实中很多收集人脸的机构并不具备相应的风险防控、安全保障能力、组织和机制。

  人脸识别技术的收益是世所公认的,人脸识别技术可以应用于诸多场景。

  但是,另一方面,人脸识别技术的风险也是不可小觑的。其风险主要有:一是误差风险。如果人脸识别技术不够成熟,可能出现混淆。此外,由于人脸为非刚体性,人脸之间的相似性以及各种变化因素的影响,准确的人脸识别仍较困难。二是身份认证被破解的风险。密码是秘密保存的,但人脸却是公之于众的。最新的人脸验证技术,结合了3D图片进行登录与验证,这比以前的技术更难破解,但破解并非完全不可能。三是信息泄露风险。用于保存人脸信息的电子计算机系统存在被黑客入侵、病毒入侵的风险,这可能导致信息泄露。此外,内部员工的作案也可能导致信息泄露。生物信息具有100%的可识别性,一旦被泄露或是被不当利用,后果无法估量。

  国外人脸识别法律规制的经验

  从美国有限的既有立法或立法草案、建议来看,美国对政府部门使用人脸识别的法律规制,有别于对非政府机构使用人脸识别的法律规制,二者是分别立法、分别规制的,规制的具体方法和价值取向截然不同。对政府部门使用人脸识别的法律规制主要分为三种:第一种是禁止使用制度,第二种是特别许可使用制度,第三种是任意使用制度。禁止使用制度为美国旧金山市所首创,目前备受关注。特别许可使用制度目前尚处于民间建议阶段。任意使用制度即对政府使用人脸识别尚未特别立法,政府部门可以任意使用人脸识别。而美国对非政府机构使用人脸识别的法律规制,主要是将人脸信息作为生物信息之一加以规制,它也可以分为两种路径:一种是比对一般个人信息的保护更为严格的高强度规制路径或特别规制路径,另一种是与对一般个人信息的保护没有区分的、同等程度保护的普通规制路径。

  欧盟与美国对政府部门和商业部门使用人脸识别技术分别进行立法不同,欧盟《通用数据保护条例》(以下简称GDPR)是对公私部门一体适用的。这就意味着,无论是政府部门还是非政府部门,只要使用人脸识别技术,就必须遵守相同的规范。

  GDPR第4条定义条款对“生物数据”(biometric data)进行的界定包括“面部图像”(facial images)。GDPR第9条规定了特殊种类的个人数据处理,其中就包括生物数据。GDPR对生物数据的处理,遵循“原则禁止,特殊例外”的原则。数据控制者可援引“数据主体的同意”作为个人生物数据处理的例外,但该同意必须是“自由给予、明确、具体、不含混”的,数据主体的任何被动同意均不符合GDPR的规定。

  2019年7月,欧洲数据保护委员会(EDPB)颁布了《关于通过视频设备处理个人数据的3/2019指引》提供了尽量降低风险的措施,例如,对原始数据进行分离存储和传输;对生物识别数据尤其是分离出的片段数据进行加密并制定加密和秘钥管理政策;整合关于反欺诈的组织性和技术性措施;为数据分配整合代码;禁止外部访问生物识别数据;及时删除原始数据,如果必须保存则采取添加干扰(noise-additive)的保护方法。

  就政府部门使用人脸识别的法律规制,目前国外虽然三种制度并存,但任意使用制度显然是大数据时代之前的做法,未认识到人脸识别技术给人们带来的风险;禁止使用制度也太过于激进,不利于发挥人脸识别技术的优势,扼杀了技术的发展。相比较而言,特别许可使用制度既发挥人脸识别技术之利,又防范人脸识别技术之弊,是一种更加理性的制度安排,值得我国借鉴。

  就非政府部门使用人脸识别的法律规制,目前国外虽然两种制度并存,但将人脸信息作为一般个人信息对待的普通规制路径显然是没有认识到人脸信息及人脸识别技术的特殊性,将个人置于极大的风险之中。而对人脸信息作出比对一般个人信息更为严格的特别保护和特别规制,更有利于保护个人的人脸信息,更值得我国借鉴。

  但是,各国的政治、社会和技术背景存在各自的特殊性,这就决定了国外对于人脸识别技术的相关制度未必适合于我国,我国在引进相关制度时需要审慎甄别。

  完善我国人脸识别法律规制的建议

  我国2020年5月颁布的民法典第1034条第1款规定,“自然人的个人信息受法律保护”,并在该条第2款个人信息的定义中,明确将生物识别信息列举为个人信息,但也未对个人生物识别信息作特别保护。个人信息保护法(草案)第27条规定:“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。”这里“图像采集”包括人脸识别。个人信息保护法(草案)第29条将个人生物信息作为敏感个人信息加以保护,并规定了“充分必要”原则。但总体而言,个人信息保护法(草案)对人脸识别技术的规制仍较为简略。

  我国目前对包括人脸信息在内的生物识别信息的特别保护呈现出软法先行的特点。2020年2月,全国金融标准化技术委员会审查通过的《个人金融信息保护技术规范》(JR/T 0171-2020)(以下简称《规范》)将生物识别信息列为敏感性最高的C3类信息,并要求金融机构不应委托或授权无金融业相关资质的机构收集C3类信息,金融机构及其受托人收集、通过公共网络传输、存储C3类信息时,应使用加密措施。2020年3月新修订的我国国家标准GB/T 35273-2020《信息安全技术个人信息安全规范》明确规定个人生物识别信息属于个人敏感信息,并对个人敏感信息进行了特殊保护。2020年11月27日,工信部组织发布了电信终端产业协会团体标准《APP收集使用个人信息最小必要评估规范 人脸信息》,规定了移动应用软件对人脸信息的收集、使用、存储、销毁等活动中的最小必要规范和评估方法,并通过个人信息处理活动中的典型应用场景来说明如何落实最小必要原则。

  数据治理的普遍性、技术性、复杂性、应时性等特点决定了数据治理具有一定的软法空间,但软法欠缺强制力的特点决定了对包括人脸信息在内的个人生物识别信息的特别保护离不开硬法的托底。因此,有必要从硬法的角度系统思考对包括人脸信息在内的个人生物识别信息的特别法律保护、对人脸识别的特别法律规制问题。

  1、建立健全一体适用的安全与责任底线

  法律规制人脸识别技术的目的,不是一味地叫停该项技术的使用,而是要在确保安全的前提下,倡导一种负责任的使用。为此,笔者建议建立如下公私部门一体适用的安全与责任底线。如果不符合这些安全与底线原则,则为违法收集个人信息。

  其一,无论谁使用人脸识别技术,人脸识别系统要经第三方独立机构定期检测,以检测其准确性与非歧视性。必要时,人脸识别系统及其定期检测结果应向监管部门备案。

  其二,无论谁通过公共网络收集、传输、存储人脸信息,都应使用加密措施,并对收集到的人脸信息进行分片段单独存储,并不得公开披露人脸信息。

  其三,无论谁使用人脸识别技术,都应该建立可追踪的技术体系。谁在何时何地查询、使用、修改、下载了人脸信息,事后都可查证,以便发生侵权时,人脸识别技术使用主体对侵权人进行查证和追责。

  其四,法律应该规定,无论是谁使用人脸识别技术,如果其收集的信息被证明出现被盗窃、泄露、非法使用、非法出售、非法提供等情形,从而给信息主体造成损失的,收集者对受害人受到的实际损失承担连带赔偿责任;如果受害人的实际损失难以证明,则应对每个受害人至少赔偿一定数额(如2000元人民币)的法定定额赔偿金。受害人受到的实际损失小于该法定定额赔偿金的,受害人可直接主张法定定额赔偿金。

  其五,无论是谁使用人脸识别技术,人们均有权拒绝“刷脸”。如果是在无竞争性的服务领域(如民航、铁路、学校、社区等)使用人脸识别技术,当人们拒绝“刷脸”时,应提供其他替代性的验证机制,而不能不“刷脸”就不能使用或进入。毕竟,每个人的风险偏好是不尽相同的,法律规则的设置应容忍和尊重那些低风险偏好的人,尤其是在当前不能做到人脸识别系统百分之百安全的情况下。

  2、区分公私部门配置不同的规制重心

  对政府部门使用人脸识别技术应以事前事中规制为主,对非政府部门使用人脸识别技术应以事中事后规制为主。

  政府部门执行公务过程中构成侵权,因有国家赔偿法的限额赔偿而使当事人难以获得充分赔偿,且一旦政府部门涉嫌侵权对政府部门的声誉将造成重大不良影响,因此,应着重从事前进行风险防范,即对政府部门安装、使用人脸识别技术应坚持有权机构批准同意原则,未经有权机构批准同意,政府任何部门不得安装、使用人脸识别技术。有权机构在批准时,应考虑到安装、使用人脸识别技术的必要性、正当性,且应通过一定的法律正当程序,遵循公开、透明、民主参与等原则予以批准。

  如果对商业部门安装、使用人脸识别技术坚持事前批准的话,因政府部门在技术上往往落后于商业部门,这可能发展不出来一种有效的审批,更为重要的是,还可能遏制商业创新和技术创新。但是,如果商业部门的人脸识别给消费者造成损害的话,受害人可以通过事后的民事诉讼来进行追责,执法部门也可以通过事中或事后的执法进行监管和追责。当然,这需要我们健全法律框架,使执法部门有法可依,使受害人可以依法维权。

  至于我国是否需要全面禁止政府部门安装、使用人脸识别系统,这属于政治过程决定的结果。我国公安机关布控的天眼系统,通过安装在城市公共场合的摄像头对人脸进行实时、精准且快速的甄别,让犯罪分子无处可逃。但通过人脸识别技术所进行的监控对个人自由的威胁也越来越引起人们的重视。人们对全面监控感到压迫和焦虑。即使不全面叫停政府部门安装、使用人脸识别技术,也应该对其进行严格的法律规制,防范安全风险,防止被滥用。

  3、对人脸信息的采集施加比对一般个人信息的采集更强的规制力度

  人脸信息不同于一般个人信息,甚至人脸信息作为生物信息也与其他生物信息(如指纹)也有较大区别。因此,人脸信息的采集应坚持特别规制即差异化规制,即应坚持更强的知情同意原则。

  采集一般个人信息,除了法定例外情形,一般都需要征得数据主体的知情同意。但人脸信息具有特殊性,除了法定例外情形,其所适用的知情同意原则,应比一般的个人信息所适用的知情同意原则更严格,即应坚持书面(written)知情同意原则。此外,法律应规定采集人脸信息之前,采集者应告知被采集者其采集的信息具体类型、目的、保存时间、被采集者的风险与权利,告知的方式必须是书面的。