人臉識別中個人信息保護合規(guī)審計的路徑研究

孫 悅

一、引言

《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)首次以法律的形式明確了個人信息保護合規(guī)審計制度,其中第五十四條以個人信息處理者為主體,規(guī)定了其要定期進行合規(guī)審計的義務(wù),從內(nèi)督促個人信息處理者自我約束,自我管理。第六十四條以監(jiān)管部門為主體,規(guī)定了監(jiān)管部門具有要求處理者進行合規(guī)審計的職權(quán),從外加強了對個人信息處理活動的監(jiān)督。內(nèi)、外兩方面規(guī)定,為個人信息處理活動加上雙保險。2023年8月,網(wǎng)信辦發(fā)布了《個人信息保護合規(guī)審計管理辦法(征求意見稿)》,完善了《個人信息保護法》第五十四條、六十四條關(guān)于合規(guī)審計的具體執(zhí)行規(guī)則,填補了下位法空白,開創(chuàng)新的審計實踐。

人臉識別是指使用攝像設(shè)備采集人臉圖像或視頻,基于個體的人臉的特征進行檢測、跟蹤,進而對個體進行識別的技術(shù)。人臉識別已經(jīng)應(yīng)用于我們生活的方方面面,例如手機解鎖、小區(qū)門禁、面部支付等,為我們帶來的巨大便利。但人臉識別屬于個人敏感信息,一旦泄漏,容易導(dǎo)致信息主體的人格尊嚴、人身安全、財產(chǎn)安全受到侵害。人臉識別技術(shù)存在知情同意規(guī)則失靈、算法“技術(shù)中立”陷阱,算法濫用等風(fēng)險,所以,對人臉識別進行合規(guī)審計具有合理的目的和充分必要性。

二、人臉識別技術(shù)的合規(guī)要求

(一)個人信息保護影響評估

《個人信息保護法》第五十五條規(guī)定在處理敏感個人信息前應(yīng)當(dāng)進行個人信息保護影響評估。個人信息保護影響評估的內(nèi)容包括:一是評估處理活動的安全、合法、必要。這也是處理個人信息的基本原則,發(fā)揮著統(tǒng)領(lǐng)作用[1]。二是評估對個人權(quán)益的影響,人臉面部信息承載了多項個人權(quán)益,不僅包括人身、財產(chǎn)安全,還會涉及隱私和人格尊嚴等,而人臉識別過程必然會對這些權(quán)益有著或多或少的影響,應(yīng)當(dāng)進行審慎評估,避免事后造成不可逆的傷害。三是評估所采取的保護措施是否合法、有效。在評估了對個人權(quán)益的影響后,需要采取保護措施,保護措施要限制在合理的成本范圍內(nèi),且要合法、有效,不能停留在應(yīng)付檢查的表面功夫,這也應(yīng)該成為合規(guī)審計的重點[2]。在對人臉識別進行合規(guī)審計的過程中,要重點審查事前是否進行了個人信息保護影響評估,并且要向個人告知進行人臉識別的必要性和其對個人權(quán)益的影響。

(二)收集

在收集階段,首先,個人信息處理者要履行告知義務(wù),告知對方自己的身份、聯(lián)系方式、處理規(guī)則,并切以清單的形式列明所收集的個人信息及其處理目的、方式、范圍。作為敏感個人信息,《個人信息保護法》還明確強調(diào)了需要告知收集人臉識別數(shù)據(jù)的必要性和對個人信息權(quán)益的影響,這種影響不僅包括負面影響,也包括積極的影響、事前影響、事后影響,是全方面的。如果有可以替代人臉識別的其他方案,需要將其他方案和人臉識別進行權(quán)衡。當(dāng)人臉識別的安全性、便捷性明顯強于其他方案時,才會啟動人臉識別方案,如果有其他方案,也需要告知對方。其次,收集人臉信息必須采用單獨同意的機制,不能使用概括授權(quán)、捆綁授權(quán)、兜底授權(quán)等方式,目前實踐中,個人信息知情同意機制存在復(fù)雜冗長、流于形式等問題,而人臉識別關(guān)系到身份認證、金融支付等重要人身、財產(chǎn)權(quán)益的實現(xiàn),采用單獨同意可以盡量做到信息處理和權(quán)益保護之間的平衡。最后,收集個人信息不能過度,要在目的范圍內(nèi)且遵循最小必要原則,不要超度、超頻次。

(三)存儲

個人信息處理者要采取有效的技術(shù)措施存儲信息,防止人臉數(shù)據(jù)被泄露、篡改、濫用。存儲在原則上是不存儲不加密的原始人臉圖像,在完成人臉識別的過程后應(yīng)當(dāng)立刻刪除,如果在法律規(guī)定情況下需要存儲人臉的原始圖像,應(yīng)當(dāng)設(shè)置存儲期限,最長不能超過3年。雖然《個人信息保護法》沒有明確規(guī)定,但在實踐中,人臉識別數(shù)據(jù)需要進行加密存儲且要與其他的個人信息進行隔離,可以是物理層面的隔離也可以是算法層面的邏輯隔離。另外,未經(jīng)批準(zhǔn),個人信息處理者不得向境外提供存儲的信息。

(四)共享、轉(zhuǎn)讓

一般來說,對收集來的人臉數(shù)據(jù)不得向第三人共享、轉(zhuǎn)讓,如果確實有共享、轉(zhuǎn)讓的需要,則要進行事前的個人信息保護影響評估,并且履行告知的義務(wù),告知的內(nèi)容包括共享、轉(zhuǎn)讓的目的、接收方的身份、聯(lián)系方式、數(shù)據(jù)安全能力以及可能產(chǎn)生的影響等相關(guān)信息,處理者還需要審核接收方的數(shù)據(jù)保護能力,與其簽訂數(shù)據(jù)共享協(xié)議,共享、轉(zhuǎn)讓中需要取得另外的單獨同意,并且這里的單獨同意不能涵蓋在收集環(huán)節(jié)中的。

(五)特殊的合規(guī)要求

人臉識別數(shù)據(jù)的應(yīng)用場景可以大致歸為三種,對于這三種不同的場景,除了上述一般的合規(guī)要求外,還有其自身的特別要求。

第一種是人臉驗證,是將即時的人臉和已經(jīng)提取的面部信息進行一對一的比較,識別到“你是你”的過程,例如手機面部解鎖、刷臉支付等。這種場景下要求用來比對的數(shù)據(jù)庫的來源必須是合法的,可以來自政府相關(guān)部門,或者是來自經(jīng)授權(quán)的機構(gòu)。第二種是人臉辨識,個人信息處理者要事先收集到多個人臉數(shù)據(jù),建立數(shù)據(jù)庫,然后將當(dāng)下的人臉信息與數(shù)據(jù)庫中的信息進行比對,從而識別出自己,這種場景在門禁查驗上應(yīng)用最為廣泛。這里的數(shù)據(jù)庫的數(shù)據(jù)需要是個體主動登記、上傳的人臉圖像,并且需要經(jīng)過單獨的告知、單獨的收集。第三種是人臉分析,不同與前兩種只是身份的比對,人臉分析將收集到的人臉數(shù)據(jù)進行二次加工,例如客流量統(tǒng)計、面部情況測評等。在這種場景下,處理者不能把即時收集到的人臉數(shù)據(jù)再重新關(guān)聯(lián)、識別到用戶個人,并且嚴格保護用戶個人的隱私權(quán)。

三、人臉識別合規(guī)審計的完善路徑

(一)理論方面的原則指導(dǎo)

1.合法原則

《個人信息保護合規(guī)審計管理辦法(征求意見稿)》第三條指出個人信息保護合規(guī)審計是審查、評價個人信息處理活動是否遵循法律、行政法規(guī)的監(jiān)督活動。這條規(guī)定表明合規(guī)審計的依據(jù)是法律和行政法規(guī)。但這樣合規(guī)審計的依據(jù)范圍是否過于狹窄,法律、行政法規(guī)的內(nèi)容是否能夠涵蓋所有個人信息處理活動的要求?作為一種特殊的個人信息處理活動,司法解釋、部門規(guī)章、其他規(guī)范性文件對其有著單獨的規(guī)定,例如《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》《信息安全技術(shù)人臉識別數(shù)據(jù)安全要求》等,這些也是人臉識別過程中需要遵守的“法”。另外,《信息安全技術(shù)個人信息安全規(guī)范》(GB/T35273-2020)等國家標(biāo)準(zhǔn)、金融、醫(yī)療等具體的行業(yè)標(biāo)準(zhǔn),這些標(biāo)準(zhǔn)文件也會涉及關(guān)于人臉識別技術(shù)的要求,不能對此視而不見,也應(yīng)該成為合規(guī)審計的依據(jù)。所以,這里的合法原則遵守的“法”不應(yīng)該局限于法律、行政法規(guī),要有廣度、有深度地看待。

2.比例原則

比例原則是指手段和目的的平衡,即對人臉識別信息處理者監(jiān)管的手段要和保護個人利益的目的相當(dāng)。人臉信息承載了多項個人權(quán)益,人臉識別技術(shù)勢必會帶來或多或少的安全風(fēng)險。因此,需要對人臉識別活動的風(fēng)險等級和采取的安全保障措施進行審查。合規(guī)審計是為了監(jiān)督人臉識別企業(yè)的行為,而不是打壓人臉識別這項技術(shù)的發(fā)展應(yīng)用,尤其是對監(jiān)管部門的合規(guī)審計活動,其審查的成本,對企業(yè)的審查方式、程度不能過分超于保護的利益,避免造成形式主義。企業(yè)在制訂合規(guī)計劃時,也要避免設(shè)立過多冗長、復(fù)雜、難以實現(xiàn)的合規(guī)規(guī)則,讓合規(guī)制度淪為形式主義。

3.目的正當(dāng)原則

人臉識別領(lǐng)域的合規(guī)審計的直接目的在于確保處理者按照法律規(guī)定的要求處理人臉信息,根本目的在于確保人臉信息的真實性、準(zhǔn)確性、完整性。由于人臉識別技術(shù)中人臉信息的主體和人臉信息的處理者相分離,而處理者對人臉信息具有更強的控制力,信息主體處于弱勢地位,所以,需要通過合規(guī)審計來監(jiān)督處理者是否按照法律要求和原則來處理這些信息數(shù)據(jù)。

(二)實踐層面的制度構(gòu)建

1.重構(gòu)知情同意規(guī)則

在上述人臉識別合規(guī)要求的論述中,知情同意規(guī)則幾乎貫串始終,屬于核心要求,而在實踐中,知情同意規(guī)則的運行存在失靈的風(fēng)險。《中華人民共和國民法典》的一千零三十四條,《中華人民共和國個人信息保護法》的十四條、十五條、二十三條、二十五條、二十九條等法律法規(guī)均對知情同意規(guī)則做出了規(guī)定。知情同意規(guī)則是個人信息保護的核心架構(gòu),其中蘊含著對信息主體人格尊嚴的保護以及主體對個人信息的自主決定權(quán)。但是,在很多情況下,企業(yè)對用戶的知情同意規(guī)則流于表面。作為人臉信息主體的用戶,應(yīng)當(dāng)作為同意與否的決策者,但是用戶群體廣泛,素質(zhì)層次不齊,對于煩瑣冗長的隱私聲明,用戶群體往往直接點擊同意,沒有經(jīng)過仔細閱讀,即便閱讀,由于專業(yè)知識的缺乏以及告知內(nèi)容表述的晦澀難懂,特別是在驗證、辨識的場景下,信息主體很難知曉其面部信息在何種數(shù)據(jù)庫中的對比程度,更難以知曉信息存儲安全性、自動化決策算法邏輯的信息。對于這個問題,知情同意規(guī)則的形式需要簡潔明了、重點突出,要摒棄現(xiàn)在繁雜的條款內(nèi)容,對涉及信息主體權(quán)利的內(nèi)容盡到提示義務(wù)。在簡潔易懂的同時,企業(yè)要將條款內(nèi)容向監(jiān)管部門備案,保證真實性。

知情同意規(guī)則的另一個困境在于數(shù)據(jù)技術(shù)對人臉識別信息的持續(xù)處理、對比和分析,導(dǎo)致人臉識別信息的屬性轉(zhuǎn)化、應(yīng)用場景的復(fù)雜性、安全風(fēng)險的持續(xù)性。如果同意是一種概括的同意,那么僅在收集階段,存在用戶對人臉信息的授權(quán)。在存儲、共享、轉(zhuǎn)讓等后續(xù)階段,人臉信息的安全性和風(fēng)險不斷變化,收集階段的同意將無法保障用戶的知情權(quán)、決定權(quán)。所以,知情同意應(yīng)該變成動態(tài)的同意,需要對變化的人臉信息使用方式、范圍、目的進行披露,提示用戶風(fēng)險程度,降低用戶和企業(yè)之間的信息不對稱。

2.企業(yè)算法問責(zé)制度

從主體的角度來看,人臉識別合規(guī)風(fēng)險可能是多方面造成的,但是企業(yè)對于算法的輸出具有安全審查義務(wù),企業(yè)有著無法逃避的責(zé)任。當(dāng)企業(yè)作為算法的設(shè)計者時,算法的設(shè)計范圍不僅包括對人臉信息的收集、存儲、使用,還要包括對外部網(wǎng)絡(luò)環(huán)境的實時反應(yīng)方式、對不良數(shù)據(jù)的反應(yīng)能力[3]。當(dāng)企業(yè)在作為算法的使用者時,算法的來源必須合法合規(guī),有些企業(yè)為了提高效益,違法販賣、購買人臉信息,嚴重損害了個人權(quán)益。此外,作為使用者,企業(yè)在投放前啟動安全測試,根據(jù)風(fēng)險等級設(shè)置安全保障機制。所以,無論是作為設(shè)計者還是使用者,當(dāng)出現(xiàn)合規(guī)風(fēng)險時,企業(yè)都需要被問責(zé),承擔(dān)相應(yīng)的責(zé)任。

企業(yè)算法問責(zé)制度應(yīng)當(dāng)遵循主客觀相一致的原則。在算法的設(shè)計、運行過程中,企業(yè)的主觀方面存在過錯,責(zé)任的設(shè)置要和主觀過錯相符合。主觀過錯的內(nèi)容包括保障存儲面部信息的安全、不得操縱用戶行為、保護用戶人格尊嚴等技術(shù)倫理問題。同時要警惕“技術(shù)中立”的陷阱,即算法作為技術(shù)本身是中立的,ABC技術(shù)(即算法algorithm)、大數(shù)據(jù)(big data)、云存儲(cloud))的復(fù)合運用掩蓋了企業(yè)的“主觀能動性”、削弱了認定主觀過錯的基礎(chǔ),造成了“技術(shù)中立”和“工具理性”的假象。對于企業(yè)的算法問責(zé),應(yīng)當(dāng)是動態(tài)過程,不僅包括算法設(shè)計的監(jiān)管,也包括投入使用過程中的監(jiān)督,算法應(yīng)用時出現(xiàn)違規(guī)情況,審計還需重點審查企業(yè)是否采取了有效的控制措施,防止損害結(jié)果的擴大。

3.區(qū)分場景公開算法

人臉識別技術(shù)具有算法歧視、泄露信息的風(fēng)險,問題在于算法的濫用。一部分學(xué)者認為算法濫用的根源在于算法的使用者利用算法運行的專業(yè)性和不透明性,在設(shè)計算法時為謀求個人目的違背技術(shù)中立性,設(shè)計出對自身有利的算法,也就是“算法黑箱”。基于這項理論基礎(chǔ),治理“算法黑箱”最有效的治理方法應(yīng)該是公開算法,這項看似合理的方法在實踐中存在多項難點。首先,算法具有極強的專業(yè)性,公開算法普通公眾也很難辨別其是否違背技術(shù)中立性,是否有濫用的風(fēng)險。其次,由于技術(shù)水平的發(fā)展,算法已經(jīng)升級到可以自行設(shè)計、自行進化的程度,即使公開,算法實質(zhì)已經(jīng)發(fā)生變化,解讀只會更加困難。最后,算法作為人臉識別技術(shù)的核心,是企業(yè)競爭力的體現(xiàn),也是知識產(chǎn)權(quán)所保護的對象,如果為了防止濫用而全部公開,會打擊企業(yè)創(chuàng)新積極性,違背商業(yè)倫理。

針對上述難點,全面公開算法是不具可操作性的,可以根據(jù)算法的主體、使用場景,對公開程度加以不同規(guī)定。對于普通的非壟斷性企業(yè),正常使用人臉識別技術(shù),沒有損害用戶權(quán)益的情況下,不強行要求其進行算法的公開,這樣既保護了企業(yè)的知識產(chǎn)權(quán),也保護了算法創(chuàng)新的動力,以及為算法的優(yōu)化提升創(chuàng)立了寬松良好的制度環(huán)境等。當(dāng)企業(yè)發(fā)生損害用戶權(quán)益結(jié)果或者存在算法濫用的風(fēng)險時,要求其向?qū)徲嫴块T和用戶公開算法并進行算法的解釋。多個企業(yè)進行算法合作時,企業(yè)在事前就要向?qū)徲嫴块T公開算法,做好實時被監(jiān)督、被抽查的準(zhǔn)備。基于管理職能,政府使用人臉識別技術(shù)具有合法性基礎(chǔ),當(dāng)政府利用人臉識別算法進行自動化行政時,需要在最大范圍內(nèi)公開算法,公開算法可以使政府的實際意圖呈現(xiàn)在公眾面前,從而得以被監(jiān)督,其行使權(quán)力時便能“有所忌憚”。