濫用人臉識別存在法律風險,有律師稱,「沒有人否認個人信息應受保護,但如何去保護卻難以落實」。
人臉信息,作為人體重要的生物信息,在技術發展的推動下,已經應用到支付、娛樂、安防、教育等各個生活領域。技術是一把雙刃劍,人臉識別作為一項高新技術,人們在體驗其為生活帶來便利的同時,也不能忽視其帶來的信息安全、隱私洩露等問題,更不能對其帶來的法律風險視而不見。也正因此,人臉識別技術在應用中遇到了很多爭議,從惡搞視頻到AI換臉淫穢視頻,從刷臉購物到乘車安檢,有人樂見人臉識別技術的落地應用,有人擔憂技術帶來的隱患和風險。在此背景下,新京報記者邀請聯合國網絡安全與網絡犯罪問題高級顧問吳沈括、北京志霖律師事務所副主任趙佔領、大成律師事務所高級合伙人陳立彤、中聞律師事務所合伙人趙虎等,圍繞人臉識別技術在應用中帶來的爭論、法律風險等問題展開討論。
聯合國網絡安全與網絡犯罪問題高級顧問吳沈括。
人臉識別應用的爭議有哪些?吳沈括:最近一兩年,隨著人工智慧的爆發,人臉識別技術以其不可複製性、非接觸性、可擴展性和快速性等特點在多種生物識別技術中脫穎而出。人臉識別帶來的便利不可忽視,然而,技術的發展沒有邊界,但技術的使用必須有邊界,可這個邊界是模糊的。哪些場景可以應用,哪些領域可以擴展,均無明顯規範。因此,當其逾越了邊界,自然就產生了諸多爭議。趙佔領:近年來社會公眾的隱私意識、個人信息保護意識有了很大提升,加之近年來個人信息保護相關立法不斷出現,政府部門也屢屢有監管措施,這使得個人信息保護一直是一個各界高度關注的話題。人臉識別、人工智慧是新技術,通過該技術收集、使用人臉特徵等生物特徵信息,涉及技術與法律的衝突、技術應用的邊界,尤其是這種生物特徵信息一旦洩露,造成的危害巨大,甚至難以採取有效的彌補措施。
北京志霖律師事務所副主任趙佔領。
濫用人臉識別有何法律風險?趙虎:以換臉視頻為例,若有人用其謀利,則涉嫌侵犯他人肖像權。同時,可能涉嫌侵犯相關影視作品的製片方的著作權。根據我國著作權法的規定,電影和類電作品的著作權由其製片者享有,製片者對作品享有保護作品完整權,即保護作品不受歪曲、篡改的權利。不僅如此,換臉視頻還涉嫌侵犯相關人物的名譽權問題;嚴重者也可能涉嫌刑事犯罪。趙佔領:有關人臉數據的濫用,存在五種違規或犯罪的可能。一是未經用戶同意的情況下收集用戶個人信息;二是違反法律規定的必要原則,超範圍收集用戶個人信息;三是收集用戶個人信息之後未按照事先約定的用途、方式使用或轉讓;四是未盡到網絡安全管理義務,由於管理漏洞或技術漏洞導致用戶的個人信息被洩露;五是經營者或其員工將用戶的個人信息非法轉讓或倒賣給他人,這也是涉嫌刑事犯罪的行為。陳立彤:最高人民法院、最高人民檢察院在今年6月1日正式實施的《關於辦理侵害公民個人信息刑事案件適用法律若干問題的解釋》中明確了侵害公民隱私犯罪行為的具體標準和類型,將公民個人信息安全置於法律保護的最高位階,在刑事法律上對侵害公民數據權的行為標清了底線。不過,兩高司法解釋的重點在於打擊侵害公民個人信息的「明偷」「明搶」,對於濫用格式條款非法「獲取」用戶授權,侵害公民隱私權的「暗偷」「暗搶」行為影響卻不大。這是因為,隱私權作為民事權利,用戶也有自我處分的權利,一旦網站搬出已經獲得用戶授權的「隱私條款」作為抗辯理由,刑事法律就很難認定其為犯罪行為。
大成律師事務所高級合伙人陳立彤。
收集人臉信息有無相應的法律門檻?趙佔領:人臉這種生物信息屬於個人信息的範圍,需要遵守《網絡安全法》等相關法律法規的規定。收集、使用個人信息需要符合正當、合法、必要的原則。目前我國還沒有專門針對人臉識別技術相關的法律法規,但是在個人信息保護方面有很多的法律。其中關於必要原則,一是所收集的信息與所提供的產品或服務本身有直接的關聯,比如社交軟體需要讀取手機通訊錄、導航軟體需要收集地理位置信息;二是法律本身的要求,必須根據《網絡安全法》等法律法規進行操作,例如對於需要實施實名制的領域,經營者要求用戶提供身份證相關信息的情形;三是為了改進產品或服務的用戶體驗,比如地鐵、圖書館、景區等場所的經營者為了改進檢查效率而引入人臉識別技術收集人臉特徵信息;另外有些公權力機構為了維護公共安全、預防和打擊犯罪,也使用人臉識別技術,這種也符合必要原則。吳沈括:圍繞面部特徵等個人信息的收集、利用,各國法律大多是以用戶的「知情-同意」作為合法的基礎。在「知情-同意」的背後,是用戶對廠商的授權。授權廠商根據用戶「同意」的內容收集、使用個人信息。但不可忽視的是,一方面「同意」形同虛設,少有用戶會去關注自己到底「同意」了什麼;另一方面,在一些場景下,「授權同意」幾乎是不可能完成的任務,例如公共場合使用人臉識別技術對人臉影像進行商業性的收集、分析,這樣幾乎沒有獲取用戶同意的可能。在更多情況下,用戶所面臨的是如果拒絕提供個人信息,廠商會拒絕提供服務。更有甚者,有的時候,用戶既不知情,也沒法不同意。廠商通過「隱私政策」「用戶協議」向用戶告知數據利用的範圍與方式,用戶點擊同意,但問題在於「隱私政策」「用戶協議」大多佶屈聱牙,難以理解,這樣一份重要的協議幾乎無人閱讀。可以說,各國的「隱私政策」與「用戶協議」都更像是一份為了應付監管,而非構建與用戶之間法律關係的文件。陳立彤:人臉識別技術可用於人員出入管理和城市安防,包括公安抓捕逃犯、小區門禁啟用刷臉系統,以及一些商家的VIP管理、大學課堂上「刷臉籤到」、當事人身份驗證等法律實施和判決執行領域。從實踐角度講,網際網路時代的數據權相比隱私權而言,更加突出用戶對自己數據的「控制權」。除了用戶知情權等倫理性權利之外,我國《網絡安全法》還特別明確了用戶對自己數據的「自我決定權」。該法第43條規定,個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求網絡運營者刪除其個人信息;發現網絡運營者收集、存儲的其個人信息有錯誤的,有權要求網絡運營者予以更正。網絡運營者應當採取措施予以刪除或者更正。
中聞律師事務所合伙人趙虎。
人臉信息採集的法律邊界究竟在哪?陳立彤:依據《信息安全技術個人信息安全規範》,個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,如姓名、出生日期、身份證件號碼、個人生物識別信息等。採集個人信息需取得個人信息主體的同意,未經同意,不得轉讓、共享、加工其個人信息。吳沈括:2019年5月,舊金山成美國首個禁止面部識別監控的城市。2019年6月,美國在國會聽證會上討論了對執法部門使用面部識別軟體所帶來的擔憂。2019年7月,薩默維爾市通過了禁止在公共場所使用面部識別軟體的法令,成為繼舊金山之後全美第二個禁止面部識別技術的城市。同時,瑞典數據保護局(DPA)曾表示面部識別技術違反了歐盟隱私法規「通用數據保護條例」(GDPR)的若干條款,因此會對非法收集數據的校方處以罰款。圍繞面部特徵等個人信息的收集、利用,各國法律大多是以用戶的「知情-同意」作為合法的基礎。沒有人否認個人信息數據應該受保護,但如何去保護卻難以落實。部分企業會因為法律為數據保護設定的「過高」要求叫苦不迭,認為增加了合規成本。目前我國需要進一步推進法治化進程,建立相關法律法規,做到有法可依。這是確保技術不被濫用、限制技術的負面影響、真正發揮其促進社會發展作用的關鍵所在。
新京報記者 程平 陳維城
編輯 趙澤 校對 賈寧