【作者】 邢會強(中央財經大學法學院教授,法學博士)
【來源】北大法寶法學期刊庫《比較法研究》2020年第5期「論文」欄目(文末附本期期刊目錄)。因篇幅較長,已略去原文注釋。
內容提要:人臉信息屬於個人生物信息,具有獨特性、直接識別性、不可更改性、易採集性、不可匿名性等特徵。目前,人臉識別技術在實踐中參差不齊,誤差很大,儘管其可能會在一定程度上節省人力成本,但其風險也不可小覷。人臉識別技術的風險大於收益的可能性是存在的。鑑於人臉識別的應用場景很多,應採取場景理論、風險預防理論以及在此基礎上提煉的同一性與差異性相結合的規制原理予以規制。具體來說,我國應對人臉識別建立健全一體適用的安全與責任底線,區分公私部門並配置不同的規制重心,同時對人臉信息的採集施加比對一般個人信息的採集更強的規制力度。
關鍵詞:人臉識別;生物識別;個人信息;場景正義;風險預防原則
隨著技術的發展,人臉識別(俗稱 「刷臉」)在我國逐漸盛行。我國目前對人臉識別技術尚無專門的法律規定,無論是政府、社區、事業單位還是商家,均可以任意安裝人臉識別技術,強制人們刷臉驗證。而人們若拒絕刷臉,則基本上無法使用相關服務。如若不服,則投訴無門,只能對簿公堂,但訴訟成本高昂。我國已出現「人臉識別第一案」。基於此,有必要對人臉識別的法律規制予以深入研究,釐定人臉識別技術應遵循的法律底線,明晰人臉識別技術法律規制的基本要點。因此,本文先研究人臉識別技術本身的特徵與風險,接下來研究和借鑑美國對人臉識別技術的法律規制,最後提出我國完善法律規制的對策建議。
一
人臉識別技術的特徵、收益與風險
人臉識別可簡單地概括為:機器對靜態或視頻中的人臉圖像進行特徵提取、分類識別,以達到身份鑑別的目的。人臉識別技術的應用場景日漸豐富,如帳戶登錄、門禁控制、考勤打卡等,甚至還可以用來進行走失人員查找、丟失物品找回等公益慈善事業。人臉識別的功能歸納起來主要是身份驗證和監控。這又可以分為政府機構的公共應用和非政府機構的商業應用與慈善應用等。
(一)人臉的特徵與人類識別技術的特徵
對人臉識別的法律規制必須針對人臉以及人臉識別技術的具體特徵。對於人臉識別這一新興事物,釐清其特徵是研究對其進行法律規制不可或缺的基礎性工作。人臉的特徵與人臉識別技術的特徵顯然是兩個不同的概念,人臉的特徵決定了人臉識別技術的特徵。
人臉具有如下七個方面的特徵:(1)獨特性、直接識別性。每個人的人臉都是獨特的,即便是雙胞胎。通過人臉可以直接識別到個人,而無需結合其他信息(當然,如果結合其他個人信息進行識別則準確度更高)。(2)方便性。與其他人體生物特徵相比,人臉具有不容易被遺忘的特徵。它「隨身攜帶」,方便驗證。(3)不可更改性。密碼也可以用來進行帳戶登錄和身份驗證,但密碼很容易更改,而人臉一般是不可以更換的。(4)變化性。人臉雖難以更改,但會變化。歲月、整容、光線等都會使人臉發生變化,從而導致識別困難甚至識別錯誤。(5)易採集性。採集人臉,可使用攝像頭自動抓拍,無須人工操作,也無須被採集者配合,只要他以正常狀態經過攝像頭前即可。因此,人臉識別的隱蔽性強,特別適合用於安保、罪犯監控與抓逃。儘管基於指紋和虹膜的身份認證比人臉識別技術的身份認證具有更高的準確性和可靠性,但人臉識別因具有自然、友好、對用戶幹擾少、易被用戶接受等優勢而有更廣闊的應用前景。(6)不可匿名性。很多個人信息都可以去身份而實現匿名化,匿名之後的信息就不再屬於個人信息了。但是人臉無法去身份和匿名化。正因為此,人臉信息一旦洩露,給人造成損害便難以逆轉。(7)多維性。通過人臉識別可獲得表情信息,如悲傷、憂愁、高興等,通過「觀色」,可以洞察人心。
人臉的上述特徵直接決定了人臉識別技術具有複雜性特徵。一方面,由於人臉的變化性和多維性,決定了要用機器識別一張臉,絕非易事。儘管早在20世紀五六十年代,科學家們就開始對人臉識別技術展開研究,但進展極為緩慢。2000年後,隨著機器學習理論的蓬勃發展,人臉識別的研究才取得長足進步。2009年前後,基於傳統算法的人臉識別技術已經基本成熟,並開始商業化應用。2013年前後,大量人臉識別技術商業成果的廣泛應用取得良好口碑,各國政府開始對此高度關注,人臉識別技術的研究得以再次推進。比起指紋識別、聲紋識別、虹膜識別等生物識別,從理論上講,人臉識別對技術的要求是最高的。相比人臉識別技術的基準測試環境,實際應用環境要更加複雜,它受諸多外部因素的影響,包括光線、角度、距離、天氣、表情、髮型、衣著等,這對人臉識別技術提出了更高的要求,帶來了更大的挑戰。另一方面,通過人臉識別技術,除了可以獲取人臉信息這一生物特徵之外,甚至還可能獲得位置信息、軌跡信息等。
現實中應用的人臉識別技術則是參差不齊的。目前,大部分人臉識別都是基於二維(靜止圖像)的,這可以在一定程度上解決姿態或光照的變化問題,但是人臉是一個三維的身體部位,利用人臉的三維信息是解決姿態、光照變化問題的最本質的方法。三維數據具有顯式的空間形狀表徵,在信息量上比二維圖像豐富。但現階段利用視頻數據生成3D模型的計算複雜度很大,很多人臉識別技術都達不到三維的程度。據媒體報導,浙江一小學生用一張照片就能刷開快遞櫃。此外,很多收集人臉的機構並不具備相應的風險防控、安全保障能力、組織和機制。在「大數據是未來的石油」的基本認知之下,它們瘋狂收集,全然置公民個人信息安全於不顧。
(二)人臉識別技術的收益與風險
人臉識別技術的收益與風險關係直接決定了法律規制的基本態度。如果收益大於風險,法律的天平就應該向利用一側傾斜。如果風險大於收益,法律的天平就應該向保護一側傾斜。如果收益與風險的關係不確定,則法律應該謹慎,而不能盲目放開其利用。
人臉識別技術的收益是世所公認的。世界經濟論壇指出:「人臉識別技術可以應用於諸多場景,從改善銀行業和零售業的消費者體驗到加快機場邊境管制。該項技術的發展創造了大量裨益社會的機會。」人臉識別技術的收益主要在於它有時候比肉眼識別更準確,識別速度更快,能極大地節省成本。以機場安檢前檢查身份證為例,肉眼識別既慢又欠準確。但人臉技術識別既快又準。又以支付為例,輸入6位數密碼平均需要3秒,指紋支付只需1秒,而「刷臉」支付僅需300毫秒。人臉識別技術在追緝不法分子,減少違法犯罪行為,維護社會治安等方面也屢立奇功。人臉識別技術運用於社會治理領域,能夠實現精準治理,提高社會管理水平。例如,醫院的人臉識別系統能有效打擊號販子;養老金認證啟用「人臉識別」系統,可使養老金認證工作通過網絡終端完成,解決了長期以來退休人員只能到指定地點或機構認證的煩瑣做法,同時還可以有效遏制冒領養老金的現象。
但是,另一方面,人臉識別技術的風險也是不可小覷的。其風險主要有:(1)誤差風險。人臉識別技術「本質上是容易出錯的。生物特徵比較系統提供的答案從來不是是或否,它是匹配的概率」。誤差是客觀存在的,任何技術都有。但人臉識別技術水平目前可能超出應有的容錯率。在進行人臉識別驗證的時候,有時會遇到相似度較高的兩個或多個生物個體。如果人臉識別技術不夠成熟,則可能出現混淆。此外,由於人臉為非剛體性,人臉之間的相似性以及各種變化因素的影響,準確的人臉識別仍較困難。為了滿足自動人臉識別技術實時性的要求,在必要時需與指紋、虹膜、語音等識別技術相融合。但很多驗證仍是僅憑人臉,而沒有結合其他認證手段。人臉識別誤差的負面影響不可輕視。在比對犯罪嫌疑人的時候,這種誤差會促成錯判,將無辜者投入監獄。這種誤差還可能會導致無辜者受到騷擾,或帶來各種不便。「用於身份識別功能的系統對容錯率的要求相當高,由系統本身的不準確性造成的潛在消極效益難以評估。」(2)身份認證被破解的風險。密碼是秘密保存的,但人臉卻是公之於眾的。人臉識別驗證最早出現於2009年,但是很快被證明是不可信賴的,因為黑客用一張列印的照片就能解鎖。之後,人臉識別技術結合了動態驗證,如眨眼等,但也很容易被規避。最新的人臉驗證技術,結合了3D圖片進行登錄與驗證,這比以前的技術更難破解,但破解並非完全不可能。科技是把雙刃劍。人臉識別技術有利於識別和抓捕小偷,但抓捕的往往是低級小偷,更高級的小偷則能夠利用人臉識別技術的漏洞對身份進行破解,從而實現手段更為隱蔽、金額更大的盜竊。對此類高級小偷,破案更難。(3)信息洩露風險。用於保存人臉信息的電子計算機系統存在被黑客入侵、病毒入侵的風險,這可能導致信息洩露。此外,內部員工的作案也可能導致信息洩露。生物信息具有100%的可識別性,一旦被洩露或是被不當利用,後果無法估量。
總之,人臉識別技術能帶來可觀的收益,但其風險也是不可小覷甚至是難以估量的,風險大於收益的可能性也是存在的。這就是說,人臉識別的風險與收益關係目前尚不明確。即使人臉識別技術的收益大於風險,也有必要創建強有力的治理架構來降低風險。
二
國外對人臉識別的法律規制
(一)國外對人臉識別的法律規制
1.美國對人臉識別的法律規制
美國是人臉識別及其立法的先行者。從美國有限的既有立法或立法草案、建議來看,其對人臉識別的法律規制因該項技術的使用主體的不同而不同,體現出差異化的規制路徑。具體言之,對於政府部門使用人臉識別的法律規制,有別於對於非政府機構使用人臉識別的法律規制,二者是分別立法、分別規制的,規制的具體方法和價值取向截然不同。
(1)對政府部門使用人臉識別的法律規制
從美國現有立法和立法建議來看,對政府部門使用人臉識別的法律規制主要分為三種:第一種是禁止使用制度,第二種是特別許可使用制度,第三種是任意使用制度。禁止使用制度為美國舊金山市所首創,並被美國不少城市所效仿,在目前備受關注。特別許可使用制度目前尚處於民間建議階段。任意使用制度即對政府使用人臉識別尚未特別立法,政府部門可以任意使用人臉識別。目前,美國大多聯邦和地方政府都沒有對政府使用人臉識別進行特別立法,沒有進行專門限制,因此,本文無需詳述。這裡僅對禁止使用制度和特別許可使用制度進行介紹。
①禁止使用人臉識別制度
2019年5月,美國加利福尼亞州的舊金山市(San Francisco)監督委員會(Board of Supervisors)通過一部《停止秘密監控條例》(Stop Secret Surveillance Ordinance),決定禁止該市所有政府部門(包括警察局)使用人臉識別技術。該條例還要求市政府各部門披露其目前使用或計劃使用的任何監控技術,並說明有關隱私政策,並需要獲得監督委員會的批准。該條例不影響個人、商業或聯邦政府使用人臉識別技術。由此,舊金山成為美國乃至全球首個推出人臉識別禁令的城市。2019年6月,麻薩諸塞州的薩默維爾市(Somerville)通過了《薩默維爾市禁止人臉技術監控條例》(Banning the Usage of Facial Technology Surveillance in Somerville),宣布該市或該市的任何政府部門(包括法院)獲得、保留、接入(access)或使用面部監控系統或通過該系統獲取個人信息是非法的。一經發現,即予刪除。受害人可對違法使用面部監控系統及違法收集個人面部信息的政府部門,在任何具有管轄權的市法院提起訴訟,並有權要求賠償其實際損失,但獲得的法定賠償金(liquidated damages)不得少於1000美元或每一違法行為100美元(以較高者為準)。2019年7月,美國加州的奧克蘭市(Oakland)修改了《奧克蘭市政法典》(Oakland Municipal Code)第9.64章,禁止該市任何政府部門獲取(acquiring)、獲得(obtaining)、保留、請求或接入(accessing)人臉識別軟體(face recognition software)。
除了這三個城市的立法外,美國其他地方反對人臉識別用於公共監控的聲音也很高。一些反對者還專門建立了「禁止人臉識別」的網站並徵集籤名進行請願。他們聲稱「僅有規制是不夠的」,「應該全面禁止人臉識別」。2020年2月,美國參議院正在審議的《人臉識別道德使用法(草案)》要求國會成立一個人臉識別方面的委員會,為人臉識別技術制定使用指南,在該指南頒布之前,禁止任何政府部門安裝任何與人臉識別相關的設備,禁止通過人臉識別技術獲得個人信息,禁止執法機構在沒有獲得逮捕令的情況下使用人臉識別技術來對特定個人進行識別。這屬於暫時性的禁止使用人臉識別制度,但該立法草案能否最終通過,現在還未可知。
②人臉識別特別許可使用制度
美國的一家民間組織喬治敦法律隱私與技術中心(Center on Privacy & Technology at Georgetown Law)於2016年起草了一部所謂的《人臉識別示範法》,建議對執法部門運用人臉識別技術採取特別許可制度:調查和執法部門不得使用或求助於人臉識別技術與身份證照片資料庫進行比對,除非獲得法院的許可。調查和執法部門如獲準使用人臉識別技術,還應當每年進行審計(audit),以確保該系統不被濫用,並定期送交獨立的檢測部門對其人臉識別系統進行準確性和偏見性檢測(accuracy and bias testing),以確保其不以種族、性別和年齡而作出歧視性對待。任何人如被違法人臉識別系統監視,則其有權對違法使用者提起民事訴訟,獲得賠償甚至懲罰性賠償。法院將在以下兩者的比較中,將數額較大者作為賠償金支付給勝訴的起訴人:(ⅰ)受害人的實際損失或違法者的獲益;(ⅱ)每天500美元乘以違法天數或總額5萬美元的法定賠償金。
(2)對非政府機構使用人臉識別的法律規制
美國對非政府機構使用人臉識別的法律規制,主要是將人臉信息作為生物信息之一加以規制,它也可以分為兩種路徑:一種是比對一般個人信息的保護更為嚴格的高強度規制路徑或特別規制路徑,另一種是與對一般個人信息的保護沒有區分的、同等程度保護的普通規制路徑。
①特別規制路徑
對非政府機構使用人臉識別的特別規制路徑以美國伊利諾州《生物信息隱私法》以及美國議會正在審議的《商用人臉識別隱私法草案》為代表。
美國伊利諾州2008年頒布的《生物信息隱私法》(The Biometric Information Privacy Act,簡稱BIPA)是美國在州層面上的第一部保護個人生物信息的法律。BIPA區分「生物識別符」(biometric identifiers)與「生物信息」(biometric information)。「生物識別符」具體包括視網膜或虹膜掃描、指紋、聲紋,或掃描手或臉的幾何結構等。「生物信息」是指根據用以識別特定個人的生物識別符所獲得的任何信息。「生物信息」包含某種類型的「生物識別符」。人臉自然屬於「生物識別符」和「生物信息」之一。BIPA只規範私人實體(private entity),私人實體既包括個人,也包括合夥企業、公司等,但不包括政府機構、法院等。BIPA要求私人實體在收集個人的生物信息之前,提供通知,並獲得個人的同意。通知和同意的形式都應當是書面的。該同意須是「知情的書面同意」(informed written consent)。BIPA禁止任何擁有生物識別符或生物信息的私人實體出售、租賃、交易或以其他方式從個人或客戶的生物識別符或生物信息中獲利。BIPA對擁有生物識別符或生物信息的私人實體實施兩重並行的安全保護要求。第一是合理的注意標準。一個私人實體必須符合「私人實體行業內的合理的注意標準」。這就意味著,不同行業的合理的注意標準是不盡相同的。當然,確定什麼是「合理的」注意標準不能依靠直覺,而常常取決於陪審團的裁決或司法裁決。第二是對於生物信息的包含至少等同於對「機密和敏感信息」的保護,即私人實體還必須以與對「機密和敏感信息」相同或更高的保護方式保護生物特徵標識符和生物信息。BIPA還向受害人提供了私人訴權。私人實體違反BIPA的任何規定,勝訴的受害人可在被告的每次違法行為中獲得最高1000美元(如果被告是魯莽或故意的,則為最高5000美元)的法定損害賠償金(liquidated damages)或實際損害賠償金(以較高者為準)。在最近的一則案例中,伊利諾州最高法院裁定,原告不必證明其受到了實際損害也有權獲得賠償。該法院認為,生物信息具有不可更改性,被告違反了BIPA,原告的損害(injury)就是「現實和重大的」(real and significant),因為「當私人實體沒有遵守法定程序時,個人保持其生物隱私的權利就消失了」。如果被告侵犯了數據主體的法定權利後,原告非要等到受到了實際損害才能獲得法定損害賠償金和禁令救濟的話,就與BIPA預防和威懾不法收集和處理個人生物信息的目的背道而馳了。
《商用人臉識別隱私法草案》(Commercial Facial Recognition Privacy Act of 2019)已經美國國會審議過兩次,其主要目的是禁止商業機構在未獲得終端用戶的肯定同意的情況下使用人臉識別技術來識別或跟蹤終端用戶。具體言之,任何數據處理者使用人臉識別技術收集人臉識別數據都是非法的,除非:(ⅰ)根據本法獲得終端用戶的明確同意;以及(ⅱ)在儘可能的情況下,給終端用戶清晰明確的通知,告知終端用戶如何獲取數據處理者關於人臉識別技術的更多信息,以及終端用戶能懂的介紹人臉識別技術的功能和局限的文件。使用人臉識別技術對用戶進行歧視化對待也是違法行為。此外,將通過人臉識別技術獲得的信息進行超出最初目的的使用,以及在未獲得最終明確同意的情況下,將通過人臉識別技術獲得的信息與非從屬的第三方共享,也是違法的。這裡的「明確同意」是指,終端用戶對數據控制者收集和使用數據政策的個別、自願和明晰的同意。如果對於一項服務來說使用人臉識別技術是不必要的,則任何數據控制者都不能將終端用戶放棄隱私權予以同意作為提供服務的前提條件,或者如終端用戶拒絕提供肯定同意就直接終止或拒絕相關服務。使用人臉識別技術提供在線服務的實體應提供一個應用程式編程接口,以使至少一個合法從事獨立測試的第三方能夠對人臉識別技術的準確性和偏差進行合理的測試。
②一般規制路徑
對非政府機構使用人臉識別的一般法律規制路徑以美國《加利福尼亞消費者隱私法》(The California Consumer Privacy Act,簡稱CCPA)為代表。CCPA將包括人臉信息在內的生物信息作為個人信息中的一種予以規制。該法對生物信息的定義是:「個體的生理、生物學或行為特徵……可單獨或組合或與其他識別信息一起,以識別出某個特定的個人。生物信息包括但不限於虹膜、視網膜……和臉部的圖像,從中可以提取一個識別符,例如臉紋(faceprint)……」如果企業年總收入超過2500萬美元,或每年收集5萬個以上的消費者的個人信息,則必須遵守CCPA。如果一家公司每天收集超過137人的個人信息,也必須遵守CCPA。由於大多數人臉識別系統都達到了上述條件,因此其運營者必須遵守CCPA。CCPA對收集個人生物信息的規制比較寬鬆,與對一般個人信息的規制無異。
2.歐盟對人臉識別的法律規制
與美國對政府部門和商業部門使用人臉識別技術分別進行立法不同,歐盟《通用數據保護條例》(以下簡稱GDPR)是對公私部門一體適用的。這就意味著,無論是政府部門還是非政府部門,只要使用人臉識別技術,就必須遵守相同的規範。
GDPR第4條定義條款對「生物數據」(biometric data)進行的界定包括「面部圖像」(facial images)。GDPR第9條規定了特殊種類的個人數據處理,其中就包括生物數據。GDPR對於生物數據的處理,遵循「原則禁止,特殊例外」的原則。數據控制者可援引「數據主體的同意」作為個人生物數據處理的例外,但該同意必須是「自由給予、明確、具體、不含混」的,數據主體的任何被動同意均不符合GDPR的規定。
2019年7月,歐洲數據保護委員會(EDPB)頒布了《關於通過視頻設備處理個人數據的3/2019指引》提供了儘量降低風險的措施,例如,對原始數據進行分離存儲和傳輸;對生物識別數據尤其是分離出的片段數據進行加密並制定加密和秘鑰管理政策;整合關於反欺詐的組織性和技術性措施;為數據分配整合代碼(例如標識符和哈希表);禁止外部訪問生物識別數據;及時刪除原始數據,如果必須保存則採取添加幹擾(noise-additive)的保護方法。
最近,瑞典的執法部門曾對當地一市政部門處以近2萬歐元的罰款,原因是該市政當局通過捕捉影像,使用了人臉識別技術,將其與學生進行匹配,來監督學生的考勤。瑞典執法部門認為,學校使用人臉識別技術存在以下問題:第一,將其用於前述目的過於侵犯隱私;第二,缺乏GDPR第9條下所述的有效法律依據;第三,不滿足GDPR第35條、第36條關於數據保護影響評估以及事前協商的要求。
(二)國外對人臉識別予以特別規制的背景與原因
國外對人臉信息和人臉識別技術予以特別規制的立法,是一種新的立法動向,非常值得關注,其背景和原因非常值得深入挖掘。
1.政治背景與原因
從政治上看,對人臉信息和人臉識別技術予以特別規制的主要原因是人們對政府監控的恐懼。奧威爾的《一九八四》描述了極權政府對人們進行身體和思想的全方位監控,為人們對政府監控敲響了警鐘。1973年美國《公平信息實踐守則》所確立的處理個人信息的五項原則中就包括「禁止所有秘密的個人信息檔案保存系統」、「確保個人了解其被收集的檔案信息是什麼,以及信息是如何被使用的」、「確保個人能夠阻止未經同意而將其信息用於授權之外的目的」等。1977年德國的《聯邦數據保護法》被定位為公法,主要處理國家、公共部門與私人之間的衝突問題。
生物識別技術,尤其是人臉識別技術的發展,使得政府不僅可以收集外國人的信息、監控外國人,也可以收集本國人的信息、監控本國人。人們對此驚恐不安,主張以法律限制人臉識別技術的使用。本次修改《奧克蘭市政法典》時,奧克蘭市議會主席卡普蘭(Rebecca Kaplan)公布的備忘錄指出:政府可能濫用數據,這可能導致對少數群體的迫害。美國加利福尼亞公民自由聯盟(ACLU)在支持舊金山《停止秘密監控條例》時說:「如果允許政府通過人臉識別技術對人們進行監控,它將會壓制公民參與(civic engagement)、加劇警務歧視,徹底改變人們生存的公共空間。」《薩默維爾市禁止人臉技術監控條例》在鑑於條款中指出:公共部門使用面部監視將使憲法所保護的言論自由受挫。喬治敦法律隱私與技術中心在起草《人臉識別示範法》時的理由包括:執法機構未採取適當措施保護言論自由,執法機構使用人臉識別系統的信息對外不公開,人臉識別系統的濫用不受審計。《道德使用人臉識別法(草案)》認為,人臉識別技術存在損害《憲法》第一修正案中規定的公民權利的可能,即侵犯公民隱私權和影響公民自由。
2.社會背景與原因
多元化的民族特色與保護少數族裔免受歧視是美國一些政府禁止政府部門使用人臉識別技術的原因。《薩默維爾市禁止人臉技術監控條例》在鑑於條款中的表述具有代表性:面部監控技術在對婦女、年輕人和有色人種進行識別時被證明是非常不準確的,而且這種不準確將使特定群體面臨有害的假身份風險。許多應用面部監控技術的資料庫都帶有種族偏見和其他偏見,這些偏見會複製到面部監控資料庫中。《道德使用人臉識別法(草案)》也指出,執法機構在使用人臉識別技術的過程中,對不同膚色的人群、激進主義者、移民者等群體已經在不同程度上進行不公平的對待。
美國警察濫用暴力與民眾對美國警察的反感也是一個重要的社會原因。專門建立了「禁止人臉識別」網站並徵集籤名進行請願的反對者認為,人臉識別技術具有很大的危險性:美國各地的警察經常濫用機密資料庫,監視間諜、商業夥伴、鄰居和記者。還有報告顯示,人臉識別的出錯率一度高達98%。這將嚴重侵擾人們的生活,導致美國警察錯誤地將無辜的人投入監獄或驅逐出境。喬治敦法律隱私與技術中心認為:美國的執法人員使用人臉識別幾乎不受任何監管,並且在許多情況下都是失控的。一些警察在沒有任何合理懷疑的情況下便使用人臉識別技術進行搜索。大多數執法人員在沒有接受任何培訓的情況下就對所謂的違法犯罪嫌疑人進行匹配,錯誤概率極大。
3.技術本身的原因
(1)人臉識別資料庫本身的特徵
專門建立了「禁止人臉識別」網站並徵集籤名進行請願的反對者認為,人臉識別資料庫具有很強的脆弱性:一旦我們的生物特徵信息被收集並存儲在政府資料庫中,它很容易成為身份竊賊或國家之間黑客攻擊的目標。成功的黑客攻擊已經發生,而且只會隨著政府監控範圍的擴大而變得越來越普遍。它威脅著我們的未來。人臉識別能夠對整個人口進行自動化和無處不在的監測。如果不阻止它傳播,它將不是被用來保護人民的安全,而是控制和壓迫人民。奧克蘭市議會主席卡普蘭公布的備忘錄指出,人臉識別系統依賴高度不準確的、存在缺陷的資料庫,缺乏使用和共享該技術的標準,該技術具有侵入性質(invasive)。「禁止人臉識別」網站指出:人臉識別技術具有侵入性。執法人員在沒有獲得任何批准的情況下,就在人臉資料庫中搜集嫌疑人的照片,並懷疑人們做了壞事,這侵犯了基本人權。
(2)人臉識別技術的誤差較大
ACLU曾做過一項測試,運用人臉識別軟體,將加利福尼亞州議會議員的面部圖像與2.5萬幅警方的罪犯面部照片資料庫進行比對,該軟體竟錯誤地將26名議員標記為罪犯。麻省理工學院實驗室2018年的一項研究通過對一個擁有1270人的資料庫進行人臉識別後得出結論:人臉識別系統對白人男性最有效,對深皮膚的女性最易失敗,錯誤率高達34.7%。《奧克蘭市政法典》本次修改時,奧克蘭市議會主席卡普蘭還引用了以下幾個案例或事例來支持其觀點:蘋果公司目前正被一名18歲名叫奧斯曼·巴(Ousmane Bah)的少年起訴,因為蘋果的人臉識別系統誤認他是個小偷;在斯裡蘭卡,人臉識別技術錯誤地將一個美國人作為2019年4月恐怖爆炸案的嫌疑人;2018年,南威爾斯警方在皇家馬德裡對尤文圖斯的一場足球比賽現場,使用人臉識別軟體對17萬名觀賽觀眾進行比對,竟發現了2470人是犯罪嫌疑人,實際上其中的2297人都不是犯罪嫌疑人,即錯誤率高達92%。喬治敦法律隱私與技術中心指出:大多數執法機構幾乎沒有採取任何措施來確保人臉識別系統的準確性。人臉識別不如指紋識別準確,特別是在實時或大型資料庫中使用時。只有少數機構將準確性測試或閾值作為購買該技術的條件。人臉識別公司FaceFirst公開發布其準確率高達95%,但對其與聖地牙哥政府的合同未能達到該閾值不承擔任何責任。不幸的是,獨立的準確性測試都是自願的,且很少進行。舊金山市《停止秘密監控條例》的提案人阿倫·比斯金(Aaron Peskin)強調,該法案是2018年以來數據隱私保護改革的一部分,這不是一項「反技術的政策」,而是為了「確保安全和負責任地使用」監控技術。
(3)人臉識別技術的危害存在不確定性
《薩默維爾市禁止人臉技術監控條例》在鑑於條款中指出:使用面部監視的好處很少,而且是推測性的,但它的危害是巨大的,危害遠遠超過好處。伊利諾州2008年頒布的《生物信息隱私法》的立法背景則是,大多數公眾對企業使用個人生物信息持謹慎態度,生物識別技術的全部影響目前還不完全清楚。《道德使用人臉識別法(草案)》也指出,人臉識別技術未經過適當的討論也並未評估其可能帶來的影響。2019年7月,歐洲數據保護委員會(EDPB)頒布的《關於通過視頻設備處理個人數據的3/2019指引》指出:使用生物數據特別是人臉識別技術會增加數據主體的風險,必須在完全尊重GDPR中規定的合法性、必要性、合比例性和數據最小化等原則的情況下才能使用。
(三)國外對人臉識別進行法律規制的經驗啟示與借鑑
就政府部門使用人臉識別的法律規制,目前國外雖然三種制度並存,但任意使用制度顯然是大數據時代之前的做法,未認識到人臉識別技術給人們帶來的風險。隨著相關風險事件的發生,它終將被特別許可使用制度或禁止使用制度所取代。禁止使用制度也太過於激進,不利於發揮人臉識別技術的優勢,扼殺了技術的發展,走向了另一個極端。相比較而言,特別許可使用制度既發揮了人臉識別技術之利,又防範了人臉識別技術之弊,是一種更加理性的制度安排,值得我國借鑑。
就非政府部門使用人臉識別的法律規制,目前國外雖然兩種制度並存,但將人臉信息作為一般個人信息對待的普通規制路徑顯然是沒有認識到人臉信息及人臉識別技術的特殊性,將個人置於極大的風險之中,法律規制的手段與人臉信息及人臉識別技術特殊風險不成比例。而將人臉信息作為比對一般個人信息更為嚴格的特別保護和特別規制,更有利於保護個人的人臉信息,更值得我國借鑑。
但是,就各國的政治、社會和技術背景與原因而言,有的是相同的,有的則是不同的。挖掘和分析對人臉識別信息進行特別規制背後的政治、社會和技術原因,有助於我們更深刻地理解和認識相關制度規則,引進位度時更加理性。就政治和社會背景與原因而言,各國尤其是中美兩國差異較大;但面臨的技術社會背景與原因卻是相同的。就我國而言,人們對政府的信賴以及對自由價值的態度,民眾與警察的關係,少數群體所面臨的社會環境和社會待遇等,與美國是存在較大差異的,這就決定了美國部分地方對於人臉識別技術的嚴格禁止使用制度未必適合於我國,我國在引進相關制度時需要審慎甄別。
三
完善我國人臉識別法律規制的對策建議
(一)我國對人臉識別法律規制的現狀
我國2016年頒布的《網絡安全法》和2017年頒布的《民法總則》雖然對個人信息的保護有所規定,但均未對人臉識別信息乃至其上位概念(個人生物識別信息)作專門規定,進行特別保護。2020年5月頒布的《民法典》第1034條第1款規定,「自然人的個人信息受法律保護」,並在該條第2款個人信息的定義中,明確將生物識別信息列舉為個人信息,但也未對個人生物識別信息作特別保護。
我國目前對包括人臉信息在內的生物識別信息的特別保護呈現出軟法先行的特點。2020年2月,全國金融標準化技術委員會審查通過的《個人金融信息保護技術規範》(JR/T 0171-2020)(以下簡稱《規範》)將生物識別信息列為敏感性最高的C3類信息,並要求金融機構不應委託或授權無金融業相關資質的機構收集C3類信息,金融機構及其受託人收集、通過公共網絡傳輸、存儲C3類信息時,應使用加密措施;不得公開披露用於用戶鑑別的個人生物識別信息。2020年3月新修訂的我國國家標準GB/T 35273-2020《信息安全技術 個人信息安全規範》明確規定個人生物識別信息屬於個人敏感信息,並對個人敏感信息進行了特殊保護:傳輸和存儲個人敏感信息時,應採用加密等安全措施;共享、轉讓個人敏感信息前,除向個人信息主體告知共享、轉讓個人信息的目的、數據接收方的類型以及可能產生的後果外,還應向個人信息主體告知涉及的個人敏感信息類型、數據接收方的身份和數據安全能力,並事先徵得個人信息主體的明示同意;不應公開披露個人生物識別信息;等等。
軟法具有靈活性,在國家相關立法(即硬法)未制定之前,宜軟法先行。數據治理的普遍性、技術性、複雜性、應時性等特點決定了數據治理具有一定的軟法空間。但這並不意味著包括人臉信息在內的個人生物識別信息的特別法律保護只要有軟法就足夠了。軟法欠缺強制力的特點決定了對包括人臉信息在內的個人生物識別信息的特別保護離不開硬法的託底。因此,我們應在及時總結軟法的成熟的治理工具和治理經驗的基礎上,及時將軟法規範上升為硬法規定。因此,有必要從硬法的角度系統思考對包括人臉信息在內的個人生物識別信息的特別法律保護、對人臉識別的特別法律規制問題。
(二)對人臉識別進行法律規制的原理
結合隱私保護的場景理論和對未來不確定應對的風險預防理論,以及差異性原理,筆者認為,應以同一與差異相結合的規制原理為指導,對人臉識別進行法律規制。
隱私保護的場景理論認為,「場景正義」(contextual integrity)意味著,信息保護與信息流動在特定的情景中應符合各方的預期。對於政府監控,場景理論的創立者海倫·尼森鮑姆(Helen Nissenbaum)認為,在監控技術如此發達的今天,人們之所以對監控活動抱有如此大的敵意乃至於深惡痛絕,這並不是一種錯誤的憤懣情緒,而是有其擔憂的合理性。這是因為,一方面信息彙編和組合的過程總是伴隨著信息的轉移,信息組合者將信息抽離原本合適的場景,並將其嵌入到信息主體不了解的場景中,這就等於破壞了信息原本的「場景正義」;另一方面,信息組合的危害巨大,因為儘管零碎的信息的洩漏不會對信息主體造成過大的傷害,但是信息組合、匯集成一個信息組合體之後,會使信息主體被別人牢牢地記住,從此信息主體的寧靜生活將被打破。場景理論目前已成為美國的主流理論。美國2012 年《網絡環境下消費者的數據隱私保護》體現了依場景評估信息敏感性的理念。2015 年《消費者隱私權利法案》的政府討論稿則更是極力倡導場景理念。場景理論區分不同場景來評估信息的敏感性,實際上體現了矛盾論中同一性與差異性,普遍性與特殊性的辯證法。
對未來不確定應對的風險預防理論,分為強風險預防理論和弱風險預防理論。強風險預防理論認為一項行動只有被確認為沒有任何危害的情況下方可進行。弱風險預防理論認為缺乏充分的確定性不能作為延遲採取預防危害的措施之理由。舊金山、奧克蘭和薩默維爾等市禁止政府部門使用人臉識別技術則體現了強風險預防理論。而對於非政府部門使用人臉識別系統,目前的特別立法多體現了弱風險預防理論。由於風險預防理論在最初都是強風險預防理論即禁止開發、使用某種技術或從事某種活動,這可能阻止科技的發展。因此,後來又發展出弱風險預防理論以彌補強風險預防理論的僵化之不足。但弱風險預防理論進一步發展出對風險預防理論從嚴解釋與從寬解釋兩種版本。即對於損害較大、損害發生概率較小的技術,往往對風險預防理論作從嚴解釋;而對於損害較小、損害發生概率較大的技術,往往對風險預防理論作從寬解釋。人臉識別技術的風險發生的概率並不難估計,根據一般的個人信息被洩露或攻破的概率進行估計即可,即不確定性並不大。但是,人臉信息一旦洩露,由於人臉的不可更改性和不可匿名性,其帶來的損害程度在目前並不容易確定,我們只能預估其損害較大。因此,風險預防理論在人臉識別技術領域的適用就需要對風險預防理論從嚴解釋。但從嚴解釋並不是絕對禁止開發、使用該技術。「風險預防理論要求採取的措施,既有可能防止可能發生的危害的,也有可能遏制或減少可能發生的危害的。原則上,總會有一系列可能的策略來滿足這一要求。……即使在各種條件的限制下,也可能存在各種可能的預防措施,包括從實踐上的簡單限制、增強系統的彈性、發展有效的控制(補救)技術到全面禁止活動。最終的選擇永遠是基於價值的。」無論如何,根據風險預防理論作出的決定應始終是臨時性的,這意味著應積極審查這些決定,並在獲得進一步的信息以減少不確定性時加以修改。風險預防理論區分不同的情形,強調不同的預防策略,而不是「一刀切」地予以禁止,其實也是矛盾論中同一性與差異性、普遍性與特殊性原理的體現。
同一與差異相結合的規制原理是矛盾論中同一性與差異性、普遍性與特殊性原理的體現。同一與差異相結合的規制原理起源於經濟法上的差異性原理。經濟法的差異性原理強調:(1)在現實的經濟和社會生活中,各類主體在地位、信息、能力、時空、利益等方面存在著諸多差異,並由此帶來了市場失靈、經濟失衡等問題,影響了經濟的穩定增長、社會公益和基本人權的保障,需要通過法律的調整來加以解決,並且,尤其需要經濟法的調整。(2)傳統的民法是以主體的均質性或無差異性為前提的,因而,在制度功能上不能有效地解決這些差異問題,需要有新興的法律制度尤其是經濟法來彌補其調整的不足。經濟法上的差異性原理是辯證法中「一分為二」的思想、方法和「具體問題具體分析」的分析方法的具體運用。它體現的是矛盾論中同一性與差異性、普遍性與特殊性原理。同一與差異相結合的規制原理強調:一方面,應該看到規制對象的同一性和共同點,並對其進行同一性規制,以避免規則窪地和監管套利的出現;另一方面,也應該看到規制對象的具體特點和特殊性,並根據這些特殊性進行更精細的規制,以適合規制對象的特點,從而避免「一刀切」。同一與差異相結合的規制原理結合了場景理論和風險預防理論的有益成分,是對場景理論和風險預防理論的共同性的進一步提煉,更是對場景理論和風險預防理論的超越,但卻不是對場景理論和風險預防理論的完全替代或排斥。同一與差異相結合的規制原理在個人信息保護尤其是人臉信息保護領域中的應用,也應結合場景理論和風險預防理論,具體而言:
其一,就人臉信息與一般個人信息或其他個人生物信息的關係而言,一方面應看到人臉信息與其他個人生物信息乃至其他個人信息的共同性和同一性;另一方面也應看到人臉信息區別於一般個人信息乃至其他個人生物信息的特殊性。對人臉信息的法律規制,既有與對一般個人信息或其他個人生物信息規制的共同性,也有與對一般個人信息或其他個人生物信息規制的差異性。而該差異性規制是要結合場景理論的。
其二,就人臉信息的具體應用領域而言,一方面應該看到人臉信息應用的所有領域的共同性,如人臉信息之於個人的風險性的共同性,建立公私部門一體適用的安全與責任底線,這就需要運用預防理論;另一方面也應該看到人臉信息商業化應用與政府非商業化應用的差異性,並進行差異化的規制,即在風險預防中運用場景理論。
當然,就政府對人臉信息的非商業化應用而言,也存在著監控與驗證等不同的應用。再者,基於反恐和國家安全的目的、調查犯罪和刑事偵查的目的、行政執法目的,在使用人臉識別技術時,相應的法律規則應有所不同。就非政府機構對人臉信息的應用而言,也是如此。對於人臉信息用於監控目的與用於驗證目的,其規制方法也可能不盡相同。限於篇幅與主題,本文不再細分。
總而言之,就人臉識別技術而言,其風險不容小覷和忽視,因此,應該運用風險預防理論。但由於人臉識別技術應用的情景不同,而風險防範的規制方法可能有別,這需要進行差異化規制。雖然風險防範的規制方法可能有別,但畢竟都是對人臉信息風險的防範,其防範也是有共同的基本底線的。
(三)對人臉識別進行法律規制的對策建議
根據同一與差異相結合的規制原理,結合場景理論和風險預防理論,筆者認為,我國應從以下三個方面完善人臉識別技術的法律規制:第一是建立健全一體適用的安全與責任底線;第二是區分公私部門配置不同的規制重心;第三是對人臉信息的採集施加比對一般個人信息的採集更強的規制力度。
1.建立健全一體適用的安全與責任底線
微軟的首席法律官布拉德·史密斯(Brad Smith)認為:「人臉識別這一精靈剛剛從瓶子裡出來。我們應對此及時採取行動,否則我們有可能在五年後才醒來,那時,我們將發現人臉識別已經以加劇社會問題的方式傳播開來。到那時,挑戰將更加艱巨。因為逐底的商業競爭的存在,我們不應指望世界會自動變得美好,因為科技公司被迫在社會責任和商業成功之間作出選擇。防止這種逐底競爭的唯一途徑就是建立一個支持市場健康競爭的責任底線。堅實的底線原則要求我們確保這項技術,以及開發、使用這項技術的組織,都受到法治的支配。」法國國家數據保護委員在《人臉識別的挑戰》中也指出:「在任何使用實驗(人臉識別技術)之前,先畫一條紅線。」法律規制人臉識別技術的目的,不是一味地叫停該項技術的使用,而是要在確保安全的前提下,倡導一種負責任的使用。為此,筆者建議建立如下公私部門一體適用的安全與責任底線。如果不符合這些安全與底線原則,則為違法收集個人信息。
其一,無論誰使用人臉識別技術,人臉識別系統要經第三方獨立機構定期檢測,以檢測其準確性與非歧視性。必要時,人臉識別系統及其定期檢測結果應向監管部門備案。
其二,無論誰通過公共網絡收集、傳輸、存儲人臉信息,都應使用加密措施,並對收集到的人臉信息進行分片段單獨存儲,並不得公開披露人臉信息。
其三,無論誰使用人臉識別技術,都應該建立可追蹤的技術體系。誰在何時何地查詢、使用、修改、下載了人臉信息,事後都可查證,以便發生侵權時,人臉識別技術使用主體對侵權人進行查證和追責。
其四,法律應該規定,無論是誰使用人臉識別技術,如果其收集的信息被證明出現被盜竊、洩露、非法使用、非法出售、非法提供等情形,從而給信息主體造成損失的,收集者對受害人受到的實際損失承擔連帶賠償責任;如果受害人的實際損失難以證明,則應對每個受害人至少賠償一定數額(如2000元人民幣)的法定賠償金。受害人受到的實際損失小於該法定賠償金的,受害人可直接主張法定賠償金。
其五,無論是誰使用人臉識別技術,人們均有權拒絕「刷臉」。如果是在無競爭性的服務領域(如民航、鐵路、學校、社區等)使用人臉識別技術,當人們拒絕「刷臉」時,應提供其他替代性的驗證機制,而不能不「刷臉」就不能使用或進入。畢竟,每個人的風險偏好是不盡相同的,法律規則的設置應容忍和尊重那些低風險偏好的人,尤其是在當前不能做到人臉識別系統百分之百安全的情況下。
2.區分公私部門配置不同的規制重心
對政府部門使用人臉識別技術應以事前事中規制為主,對非政府部門使用人臉識別技術應以事中事後規制為主。這是因為,政府部門執行公務過程中構成侵權,因有國家賠償法的限額賠償而使當事人難以獲得充分賠償,且一旦政府部門涉嫌侵權對政府部門的聲譽將造成重大不良影響,因此,應著重從事前進行風險防範,即對於政府部門安裝、使用人臉識別技術應堅持有權機構批准同意原則,未經有權機構批准同意,政府任何部門不得安裝、使用人臉識別技術。有權機構在批准時,應考慮到安裝、使用人臉識別技術的必要性、正當性,且應通過一定的法律正當程序,遵循公開、透明、民主參與等原則予以批准。
但是,如果對商業部門安裝、使用人臉識別技術堅持事前批准的話,因政府部門在技術上往往落後於商業部門,這可能發展不出來一種有效的審批,更為重要的是,還可能遏制商業創新和技術創新。但是,如果商業部門的人臉識別給消費者造成損害的話,受害人卻可以通過事後的民事訴訟來進行追責,執法部門也可以通過事中或事後的執法進行監管和追責。當然,這需要我們健全法律框架,使執法部門有法可依,使受害人可以依法維權。
至於我國是否需要全面禁止政府部門安裝、使用人臉識別系統,這屬於政治過程決定的結果。我國公安機關布控的天眼系統,通過安裝在城市公共場合的攝像頭對人臉進行實時、精準且快速的甄別,同時將抓拍到的人臉照片和公安局逃犯資料庫內的幾十萬數據進行對比,在三秒內即完成身份確認和準確定位,讓犯罪分子無處可逃。但通過人臉識別技術所進行的監控對個人自由的威脅也越來越引起人們的重視。人們對全面監控感到壓迫和焦慮。即使我國不全面叫停政府部門安裝、使用人臉識別技術,也應該對其進行嚴格的法律規制,防範其安全風險,防止其被濫用。
3.對人臉信息的採集施加比對一般個人信息的採集更強的規制力度
人臉信息不同於一般個人信息,甚至人臉信息作為生物信息也與其他生物信息(如指紋)也有較大區別。比如,人臉信息的識別度弱於指紋信息;人臉信息具有易採性,可以在不知不覺中偷偷採集,而指紋信息的採集則不具備這一特點。因此,對於人臉信息的採集應堅持特別規制即差異化規制,即應堅持更強的知情同意原則。
採集一般個人信息,除了法定例外情形,一般都需要徵得數據主體的知情同意。但人臉信息具有特殊性,除了法定例外情形,其所適用的知情同意原則,應比一般的個人信息所適用的知情同意原則更嚴格,即應堅持書面(written)知情同意原則。美國伊利諾州《生物信息隱私法》也是這樣規定的。此外,法律應規定採集人臉信息之前,採集者應告知被採集者其採集的信息具體類型、目的、保存時間、被採集者的風險與權利,告知的方式必須是書面的。
《比較法研究》2020年第5期要目
【專題研討】
1.論過失犯的構造
張明楷(1)
2.過失犯的規範構造:以朱平書等危險物品肇事案為線索
陳興良(22)
【論文】
3.個人數據的刑法保護模式
勞東燕(35)
4.人臉識別的法律規制
邢會強(51)
5.技術性正當程序:人工智慧時代程序法和算法的雙重變奏
劉東亮(64)
6.論司法裁判的人工智慧化及其限度
宋旭光(80)
7.解除權的行使和行使效果
朱虎(93)
8.民法典婚姻家庭編的回歸與革新
申晨(109)
9.改革與憲法關係論
李樹忠(121)
10.具體合憲性審查的必要性及其制度空間
黃明濤(132)
11.德國行政訴訟證據調查與客觀證明責任的分配規則
——兼評對我國的借鑑價值
馬立群(147)
12.論民事訴訟被告之「明確」
段文波(164)
13.論中國移民法律制度的歷史演進與制度建構
熊文釗(177)
14.普惠金融視閾下的金融科技監管悖論及其克服進路
沈偉;張焱(188)
《比較法研究》(雙月刊)是中華人民共和國教育部主管、中國政法大學主辦的法學期刊,由中國政法大學比較法學研究院編輯出版,創刊於1987年1月,1992年9月經國家新聞出版署批准於1993年起向國內外公開發行。原刊期為季刊,自2003年開始改為雙月刊,逢單月25日出版發行。
-END-
責任編輯 | 吳珊
審核人員 | 張文碩
▼
獲取更多信息
北大法寶
北大法律信息網
法寶學堂
法寶智能