人臉識別技術應用的法律風險與防范路徑探析

馬海然,張艷萍

(1.云南大學 法學院,云南 昆明650091;2.云南九夏律師事務所, 云南 昆明650031;3.云南大學 漢語國際教育學院;云南 昆明650091)

0 引言

人臉識別技術是指通過深度學習算法對人的臉部特征信息進行特征提取和分類識別,從而實現身份識別的一種生物識別技術[1]。該技術憑借自身所具有的快捷性、便利性、非侵擾和直觀性等優勢,在金融服務、安防檢查、智慧社區、移動支付、教育醫療以及智慧政務等諸多領域得到廣泛應用,不僅全方位塑造了私人領域的生產、消費以及生活方式,而且也助推了公共領域的治理效能變革,成為未來人工智能發展的重要趨勢之一。然而,在帶來巨大社會治理紅利的同時,人臉識別技術應用的多元化風險也逐漸顯現,隱藏在技術背后的法律風險不僅導致公眾個人隱私的泄露,人身以及財產安全受到威脅,而且還容易引發利用居民人臉信息進行盜竊、詐騙、敲詐勒索等一系列下游犯罪,最終不利于實現技術進步與公民權利保護的均衡。面對人臉識別技術所帶來的風險,探索如何防范,以使其更好服務于社會生產生活便具有研究價值。

1 人臉識別技術的應用場景與立法考察

為實現對人臉識別技術法律風險及其防范相關問題的研究,就需要首先了解該技術當前的應用場景,并對現有立法進行考察,以從現實角度實現對人臉識別技術的整體把握。

1.1 人臉識別技術的應用場景

在實踐中,鑒于人臉識別技術所具有的快捷性、便利性、非侵擾和直觀性等優勢,它在社會領域得到廣泛應用。根據人臉識別技術的邏輯可以將應用場景大致劃分為三種模式:其一為以人臉認證為主的應用場景。即將個體識別對象同人像數據庫中的特定個人信息進行對比核驗,以此來判斷兩者是否為同一主體。例如政務服務領域,通過刷臉就可以完成在線辦理查詢、繳費、申領證件、預約登記等政務服務項目,不僅方便了辦事群眾,而且還極大提升了身份核驗的準確性和安全性,有利于政務服務整體水平的提升。此外,還有金融行業的遠程認證[2],無論是銀行、證券、保險等實體金融服務領域,還是支付寶、網上銀行等線上金融服務領域,都采用人臉識別技術進行遠程認證,不僅方便了群眾,也保證了資金安全。

其二為以人臉辨認為主的應用場景。即將特定人像同數據庫中的海量人像進行對比來識別個體身份的應用模式。在現實中人臉辨認模式主要應用于智慧社區以及商業智能化建設,例如小區的智能門禁系統、智能垃圾管理系統、電梯管控系統以及商業領域的考勤打卡、票證核驗以及場所出入等領域。具有人臉識別功能的智能門禁系統可以在無人查驗的情形下自動識別人員身份信息,不僅可以方便社區管理,而且還能為社會居民提供更加安全有序的生活環境。針對一些商業表演、體育賽事等,通過運用人臉識別技術不僅能實現智能檢票,提高檢票效率,使購票者更方便快捷地進入活動現場,而且還能避免假冒和非法入場。

其三為以人臉搜索為主的應用場景。即對特定場景內多人進行面部識別,然后將識別信息與人像數據庫中的信息進行對比,以完成人像的識別。在現實中人臉搜索模式主要應用于治安維穩以及平安城市建設方面。例如在大型交通站場因人員復雜、流量大以及空間場所相對封閉等特點而存在較大管理難度,通過運用人臉識別技術不僅可以建立起事前預警防范機制,還可以在事后對事故進行快速排查,最終實現對秩序的維護。此外,人臉識別技術還可以被應用于刑事領域的偵查情報的分析,融合人臉識別技術與監控錄像的集成信息系統不僅能夠實現大規模快速掃描識別,而且還能從海量的人臉信息中快速鎖定犯罪嫌疑人和其他犯罪行為,并能有效拓展情報收集效率和范圍[3]。

1.2 人臉識別技術的立法考察

目前來看,我國還沒有規范人臉識別技術應用的專門法律,對于人臉識別技術的規制可見于《憲法》《民法典》《刑法》《個人信息保護法》以及一些部門規章中。具體來看,我國《憲法》所規定的人格尊嚴不受侵害條款,為人臉識別技術應用的規制提供了人權保障的指引。《刑法》所規定的侵犯公民個人信息罪,即禁止違法出售或者提供公民個人信息的行為,而人臉屬于個人信息中的生物識別信息,這是《刑法》對人臉識別技術規制的條款。2020年頒布的《民法典》通過專章形式對公民隱私權和個人信息保護進行了規定,其中在對公民個人信息進行概念界定時,還明確列舉了生物識別信息為個人信息,這也是人臉識別技術受民法規制的根據,但弊端在于該規定僅為一般性列舉,尚未提出包括對人臉識別信息在內的生物識別信息如何具體保護的問題。后全國信息安全標準化技術委員會發布的《信息安全技術—個人信息安全規范》首次明確了對個人生物識別信息的特殊保護,并嚴格規定了對開展收集、存儲、傳輸、共享以及轉讓等個人信息處理活動的要求,但該標準僅為國家推薦性標準,并不具有法律強制力[4]。2021年頒布施行的《個人信息保護法》規定生物識別信息屬于個人敏感信息,并明確規定了個人敏感信息的處理規則;同時該法還對人臉識別技術在公共場所的應用進行了嚴格限制,即僅限于維護公共安全,出于其他目的在公共場所使用人臉識別,將被法律所禁止,除非取得個人單獨同意。

2 人臉識別技術應用過程中可能存在的法律風險

在實踐中,鑒于人臉信息具有唯一性,人臉識別技術在社會生產、生活以及公共治理領域得到普遍應用。與此同時,萬物互聯以及技術入侵技術導致人臉識別應用又存在侵害公民隱私權、財產權、知情權以及個人信息權的法律風險,最終不僅給人們的人臉信息安全帶來巨大的風險隱患,而且也容易引發技術進步與公民權利保護的失衡。

2.1 具有侵犯隱私權風險

人臉識別技術最基本的功能就是利用分析比較技術來識別人臉,其在代替傳統面對面身份查驗形式、為社會提供諸多便利的同時,也在很大程度上減輕了社會治理負擔。一般而言,雖然人們每天都會出入各種公共場所,也并不會對臉部進行遮掩,因此從隱私定義層面來看,人臉信息并不屬于個人隱私范疇。但對于人臉識別技術而言,其利用數據挖掘以及圖像處理等技術手段不僅可以從人臉信息中出獲取個人的年齡、性別、種族、健康狀況、情緒狀況[5],而且還可以關聯到個體的活動軌跡等多種隱私。尤其是在當前智能時代,手機APP自帶的人臉識別功能使得公眾通過人臉識別就可以開通、使用各類在線服務;社區也將人臉識別系統作為智能化社區建設的重要組成,雖然安裝人臉識別技術的目的是為公眾提供便利,維護社會治安,但是當個人信息被大量收集、存儲或使用時,公民的隱私權就面臨巨大威脅。如美國的一家AI創業公司Clearview AI泄露客戶超過30億人臉數據的丑聞在全球引起軒然大波;該公司與600多家執法機構和一些私人保安公司合作,使用該公司的一款人臉識別工具,只需要一張照片就可以從30億張圖像中鎖定個人姓名、住址、聯系方式以及人際關系網等。

2.2 具有侵犯財產權風險

財產權作為我國公民的重要權利,對其進行保護既是法律層面的要求,同時也是道德層面的要求。人臉識別技術雖然為社會生產生活帶來諸多便利,但與此同時也導致風險加劇。例如在網絡支付領域,當前多數APP都開通了人臉識別應用,使得人們在使用移動智能終端支付時無需輸入密碼,僅通過刷臉就可以完成支付,由此也導致在實踐中存在不法分子利用信息技術手段非法獲取面部識別信息,進而實施對公民財產權的侵害[6]。相較于傳統盜竊手段,利用人臉信息進行盜竊的行為不僅更加快捷、隱蔽,而且也更容易使損失更大、侵害范圍更廣。如人臉信息被金融機構獲取之后,受機構內部的安全設施以及相關工作人員的安全意識以及技術等的影響,也很難確保海量人臉信息永久處于安全狀態,而人臉信息一旦被不法分子獲取并使用,則必然會對賬戶安全造成威脅。同時,隨著技術不斷升級換代,對于人臉識別的攻擊手段也在不斷翻新且成本不斷下降,不法分子可利用技術手段來偽造人臉視頻以達到身份認證目的并進行財產類犯罪。

2.3 具有侵犯公平交易權風險

公平交易權是公民享有的公正、合理進行市場交換行為的權利。而在實踐中人臉識別技術通常會和金融系統、社會信用系統、購物系統以及公安系統相聯通,以實現對識別對象身份狀況、社會信用情況以及購物水平的分析,并將個體分類與標簽化,因此極易導致消費水平不同的個體被區別對待,最終導致公平交易權受到挑戰。例如房地產公司售樓部安裝人臉識別系統對到訪客戶的面部進行抓拍、采集,以此來識別客戶身份,并根據客戶身份的差異在進行費用結算時進行區別對待。此外,利用對用戶個人信息的挖掘實現區別對待的現象雖然并非基于人臉識別技術的應用而產生的現象,但通過該技術的應用,在無感收集人臉信息以及數據關聯分析的作用下,卻可以將原本存在于線上的“大數據殺熟”轉移到線下[7]。總之,人臉識別技術雖然為當前生產生活以及社會治理帶來諸多便利,但其也加劇了經營者與消費者之間的信息不對稱,經營者在未經消費者允許的情況下擅自收集、分析人臉信息,不僅使得消費者更加處于弱勢地位,而且利用信息失衡所帶來的信息優勢以及人臉識別技術對個體身份進行識別,進而實施差別定價的行為,也是對個體公平交易權的侵害。

2.4 具有侵犯個人信息權風險

人臉識別技術作為智能技術與傳統生產生活相結合的產物,其本身具有中立性,但也基于其技術屬性,使得在實踐中隨處可見的人臉識別應用在采集個體信息時通常會忽視信息主體的同意,進而造成對個人信息的非法采集,最終也在一定程度上侵害了個體的信息自決權。在傳統信息收集方式中,一般來說需要被收集者的配合才能實現信息的收集工作,例如通過詢問、填寫信息等方式。但在使用人臉識別技術收集信息的過程中,人臉極易被無感識別,即任何一個高清攝像頭都可以在個體非接觸且無意識的情況下自主抓取人臉圖片,甚至可以持續性且大規模收集公眾臉部信息[8],最終造成對個體信息自決權的侵害。此外,人臉識別技術離不開對于人臉信息的海量存儲,不法分子也可以通過技術手段來攻擊存儲大量人臉信息的網絡云端系統。

3 人臉識別技術應用法律風險的防范路徑

當前,人臉識別技術應用存在諸多法律風險是現實,若不對該種技術應用造成的法律風險加以防范,不僅可能引發公眾對人臉識別技術的不信任,而且還容易加劇公眾對個人信息安全的擔憂。因此,對人臉識別技術應用法律風險進行防范很有必要,具體應明確相應防范原則,并從完善事前的防范機制、事中的監管措施以及事后的司法救濟著手,構建人臉識別技術應用法律風險的防范體系。

3.1 人臉識別技術應用法律風險的防范原則

一般說來,法律相較于社會現實而言總具有一定的滯后性。基于認識層面的局限性, 人們很難制定出具有前瞻性的法律,也未必能完全防范人臉識別技術應用中出現的各種現實問題,且隨著技術的不斷發展,各種新問題會持續涌現。為了實現對人臉識別技術應用法律風險最大程度的防范,就需要首先明確防范原則。首先,應堅持合法、正當、必要原則。合法即合乎法律規定,正當即基于必須,且具有合理、明確的特定目的來使用技術,必要即在目的實現的必要范圍內運用最小損害的手段應用人臉識別技術[9]。通過上述原則,有利于彌補信息時代意思自治與契約自由的不足,進而實現對科學技術的有序使用。其次,應堅持透明處理原則。人臉識別技術在開發時需要提供公眾能明確了解的記錄人臉識別技術的功能和局限性的說明,并需要經第三方檢驗后才可以應用。技術的使用者在公共領域采集人臉信息時,應對相關采集程序、用途予以公示,以使被采集者知情;在商業領域使用人臉識別技術時應經信息主體的知情同意,嚴禁概括授權、默認授權情況。其三,必要的人工干預原則。即人臉識別技術從開發到應用應確保根據技術風險的動態變化以及場景特點進行必要的人工干預,以保證技術對人的服務性。例如在人臉識別技術應用之前應由獨立第三方進行測試,在保證準確性的同時,也能避免因技術而導致歧視性和不公正現象。

3.2 完善事前的防范機制

為了實現對人臉識別技術的法律風險防范,充分保障公民合法權益,就需要完善事前的防范機制。一方面應建立人臉識別信息采集的許可準入制度。具體可以通過立法形式明確規定使用人臉識別技術的組織或者個人應具備的資質,例如只有相關主體能證明所提供的技術通過了獨立第三方平臺的測試,進而確保技術確實表現出準確性和公平性時,人臉識別技術才能應用到公眾場合。同時還應制定嚴格的人臉信息區分領域采集審批規定,并對人臉識別技術的相關應用場景進行必要限定,通過使用具體性例舉的形式來明確不同場景的監管規定。例如在社會公共服務領域的人臉識別技術,在安裝使用時應就人臉信息采集的方式、內容、對象以及存儲等向公安部門報批,以實現對數據的監控。另一方面,還可以引入監管沙盒機制。該機制可以對安全影響評估中風險較高以及預計進入市場后用戶量較大的人臉識別應用加以審查,然后根據評估報告決定是否允許使用。引入監管沙盒機制不僅能增強用戶對人臉識別技術的信任,也能為技術創新提供真實場景予以測試,最終實現個人權益保障與技術創新發展共同發展。

3.3 完善事中的監管措施

事中監管也是保證人臉識別技術應用有序使用的重要環節。相較于傳統書面檢查、突擊檢查以及現場檢查而言,在信息時代人臉識別技術應用的監管明顯缺乏準確性和時效性,監管效果也并不明顯。因此可以借助大數據、云計算以及人工智能等技術手段來創新對人臉識別技術應用的監管方式,具體可以通過構建人臉識別應用數字平臺監管系統,并將其應用于行政部門的監管端和技術合規應用端,實現對人臉識別技術應用實時檢測的同時,還能定期監測并排查信息安全風險,最終實現對人臉識別技術應用的全過程安全監管。總之,通過創新監管方式不僅有利于提升監管效率、減少監管成本,還能有效填補行政監管部門同人臉識別應用主體之間的信息壁壘,提升監管執法準確性及時性。另一方面,為了充分發揮行政監管效能,還需要明確由公安機關作為對人臉識別技術監管的主體[10],原因主要在于我國公安機關本身就配備了預防、打擊網絡相關犯罪的專門部門,并具備相應的人才隊伍。再加上人臉識別技術本身就涉及公民隱私、人身、財產安全以及國家數據安全等,對其進行保護也是公安機關重要職責。

3.4 完善事后的司法救濟

在實踐中,鑒于人臉識別技術已經在公眾領域得到普遍應用,利用人臉信息實施的違法犯罪也時有發生,但基于訴訟成本的考量,個體通過訴訟維護人臉信息權益的現象并不多見。因此為了維護公眾信息安全和國家數據安全,便有必要引入公益訴訟制度[11],我國《個人信息保護法》第70條明確規定了個人信息處理者違法處理個人信息,造成眾多個人權益受損的,人民檢察院、相關消費者組織等可以向法院提起訴訟,此也是人臉識別信息案件提起公益訴訟的法律依據。具體可以通過司法解釋形式將利用人臉識別技術侵犯公眾利益的案件納入公益訴訟范疇,并明確公益訴訟的立案標準,舉證、質證規則以及相應的賠償標準,確保公眾人臉信息權益能通過司法救濟獲得保障。此外,還可以引入集團訴訟制度,原因在于利用人臉識別技術實施的違法行為所涉及的受害客體通常是龐大的群體,有時甚至可能達到百萬,而利用集團訴訟制度就可以實現在一個起訴的情況下,眾多受害客體則可以自動獲得原告主體資格,在案件勝訴的情形下其他受害客體也可以獲得同等賠償。該種形式不僅可以實現對人臉識別技術應用主體的威懾,促使其不僅能規范使用人臉識別技術,還能不斷改進自身技術來提高信息保護能力。

人臉識別基于自身獨特的技術優勢而在現代社會得到廣泛應用,并成為社會治理的重要手段,但基于技術的新型性以及法律監管等的滯后性,導致該技術在應用過程中也出現了諸如侵害公民隱私權、財產權、知情權以及個人信息權等的法律風險,但即使存在上述風險也不能隨意否認其價值,應在遵循基本防范原則基礎上分別從事前、事中以及事后階段來加強防范,最終實現對技術濫用的遏制。