人臉識別技術的應用風險和法律規制

 人臉識別技術是根據人的臉部特徵資訊加以身份識別的一種先進識別技術。因其無感性、便利性和準確性而廣泛應用,不過近年來也引發一些法律問題,法律如何加以妥當規制值得深入研究。

  個人隱私與資訊保安的隱憂

  第一,威脅個人隱私。人臉識別技術採取的人臉資訊是具備唯一性的個人生物識別資訊,在制度不健全的情況下容易威脅公民個人的隱私。例如,2019年2月,深圳“AI+安防”公司因人臉識別資料庫缺乏保護導致資料洩露,致使超過250萬人的人臉資訊能被不受限制地訪問。同年9月,“ZAO”換臉App要求使用者同意授予“ZAO”及其關聯公司在全球範圍內完全免費、不可撤銷使用人臉照片的權利,明顯涉嫌侵犯使用者個人隱私,最終被工信部約談並要求整改。根據IHS的研究報告,到2021年,全球將有超過10億個監控攝像頭安裝執行,而超過50%的攝像頭將位於中國。相關資料庫的疏於保護、各類App的過度收集以及幾乎無所不在的人臉識別裝置導致人臉識別技術和個人隱私之間的緊張關係。

人臉識別技術的應用風險和法律規制

  第二,洩露個人資訊。根據《民法典》第四編“人格權”、《網路安全法》和相關司法解釋的規定,我國堅持“隱私和個人資訊”雙重保護的立法理念。人臉識別資訊既關乎隱私,也是能單獨識別特定自然人身份或反映其活動情況的公民個人資訊。海量的人臉資訊一旦洩露,就會因人臉的難以更換而導致終身洩露,資訊主體即使法律維權成功,也難以恢復原狀。因此,無論是政府部門還是商業機構,若在收集、儲存、運用人臉資訊過程中沒有遵守法律法規所確定的“合法、正當、必要”和“告知—同意”原則,都可能因侵犯公民個人資訊而引起相應的法律責任。例如,2020年5月,江蘇省宿遷市一家健身中心因違法收集會員人臉資訊,被宿遷市公安局宿豫分局責令限期整改並處警告。近年來,更有不少行為人因非法獲取或向他人出售、提供人臉資訊而被以侵犯公民個人資訊罪追究刑事責任。

  第三,存在安全隱患。目前,人臉識別技術被廣泛應用於公共安全(罪犯識別、邊防管理)、場所進出(機構門禁、物業服務)、資訊處理(賬戶認證、檔案解密)等領域,但人臉識別技術的應用並非無懈可擊。例如,2017年“3·15”晚會上,主持人在技術人員支援下,僅憑觀眾自拍照就現場“換臉”破解了“刷臉登入”認證系統。2018年8月,被告人唐某通過製作3D人臉動態圖的方式突破了人臉識別認證系統,導致被害人賬戶財產被轉移。人臉識別技術運用主體的技術條件和管理水平良莠不齊,而一些不法分子甚至會開發黑客工具來繞過、干擾或攻擊人臉識別技術背後的系統和演算法,進而引發盜竊、詐騙、侵入住宅等下游犯罪,危及被害人的資料安全、財產安全乃至人身安全。

  落實科學標準 區分應用場景

  個人資訊領域的行業標準兼具技術和制度的雙重屬性,決定了我們應在制定科學標準的同時加以有效執行,以最終形成全行業普遍遵從的共識。我國最新制定的國家標準GB/T35273-2020《資訊保安技術 個人資訊保安規範》取代GB/T35273-2017版本,提出了人臉識別技術應用在收集、儲存、共享、披露等不同環節的標準。為確保標準的落實,我們應進一步明確中央和地方層面的監管機構和監管事項,突出國家和地方網信辦的牽頭作用,避免不同監管機構視窗指導中潛在的隨意性和模糊性;採取分級分類制度對人臉識別技術的軟硬體進行專業認證,以確保人臉識別的安全性和準確性;建立“檢測評估類”機制,以針對現有標準設定可執行和可重複的驗收規則與核查程式。同時,整合全國資訊保安標準化技術委員會網站、中國知網標準庫等資訊源,推動統一的標準資訊公開平臺建設,以指導不同主體在人臉識別技術領域的合規執行。

  在基於公共利益而使用人臉識別技術的“公用”場景中,應堅持“比例性原則”和“最小必要原則”。“比例性原則”要求社會治理者本著“法無明文規定不可為”的理念,追求社會治理目標的實現和相對人合法權益之間的平衡。為此,需要在人臉識別領域明確公共利益的內涵和外延。公共利益往往指“社會不特定多數人所享有的利益”。結合人臉識別技術的應用場景,可將公共利益劃分為公共安全、公共秩序和公共財產等具體型別,應框定其具體場景,避免以公共利益之名任意收集和使用人臉資訊。同時,要推廣具有事前監督性質的聽證制度,評估人臉識別技術應用的必要性、效率性和風險性,並區分情形建立人臉識別技術應用的申報備案或審批制度。“最小必要原則”要求人臉識別技術應用要有明確的主體清單和資質條件,在收集頻率和數量上符合實現目的所需的最小數值,避免肆意擴張和無序收集。在授權訪問和儲存時間上,應建立被授權人的最少訪問控制策略;除非法律法規或資訊主體另有授權,人臉資訊在實現公共利益後應在一定時間內進行刪除或匿名化處理。

  在“商用”場景中,除遵守上述原則外,還必須真正落實公眾的“選擇權”和“同意權”。就選擇權而言,由於人臉資訊的高度穩定性和難以匿名性,商業機構應借鑑隱私保護的場景理論建立不同場景的身份識別機制。在確有必要人臉識別的特殊場景中應採用密碼、指紋、人臉等多因子識別管理體系,由資訊主體進行自主選擇;在無需確認精確身份的一般場景中,應採取密碼、指紋等人臉識別外的驗證手段,從源頭上減少人臉資訊的收集。就同意權而言,除法律授權或監管機構批准外,針對商業機構強制採集人臉資訊否則不提供產品或服務的行為,資訊主體可援引《民法典》第496條和第497條有關格式條款的規定主張合同無效並向監管機構舉報;監管機構應客觀評估商業機構採集人臉資訊的依據,將不當應用人臉識別技術的機構拉入“信用黑名單”,並可根據不同的違法程度實行罰款或市場禁入,以確保資訊控制者不違背資訊主體意願進行捆綁式的人臉資訊收集。

  打造便利的數字經濟法治環境

  在資訊資料已成重要生產資料的數字經濟時代,人臉資訊涉及個人、產業和社會的共同利益。首先,應選擇以《資料安全法》《個人資訊保護法》為代表的專門立法保護模式,釐清刪除、匿名化、去標識化等易混淆概念,整合涉及人臉識別的40多部部門規章、近百部地方性法規和規範性檔案,提升人臉識別規範的法律層級。其次,《民法典》第1034條和第1035條確立了生物識別資訊(包括人臉資訊)的個人資訊屬性,但沒有特殊保護的安排。應進一步釐清人臉資訊與隱私權、人格權、身份權的關係,強化“隱私政策”“使用者協議”等方式的“告知—同意”規則,避免默認同意、誘導同意、強制同意的現象,明晰侵害人臉資訊的“損害”認定、舉證責任和賠償標準。再次,應協調不同法律規範中不同主體的權利義務,促進資訊的有序流轉。資訊主體有查詢、更正、刪除、撤回人臉資訊的權利,但資訊控制者也有履行“網路實名制”和儲存“刑事犯罪證據”的義務,此種情形下可能會產生其履行義務行為與資訊主體權利之間的緊張關係。應設計好不同主體在涉及法定義務、國家安全、公共衛生、訴訟程式等特殊情形下的權利義務分配方案,打造操作便利、權責分明的數字經濟法治環境。

  尤其要積極發揮刑法對人臉資訊犯罪的威懾作用。我國刑法及司法解釋對個人資訊採取分類保護方法,但沒有明確人臉資訊的歸屬類別和定罪量刑標準。目前,第一類財產資訊、行蹤軌跡資訊、徵信資訊、通訊內容的入罪數量是50條以上;第二類健康生理資訊、住宿資訊等是500條以上;第三類其他資訊是5000條以上。人臉資訊既不屬於第一類資訊,又與第二類健康生理資訊不同,但顯然比第三類其他資訊更重要。應通過司法解釋中“其他情節嚴重的情形”條款來確定人臉資訊的定罪量刑標準,參照第一類資訊的50條為入罪標準,當數量達到標準10倍以上時,構成“情節特別嚴重”。同時,人臉資訊黑灰產業鏈除了侵犯公民個人資訊類犯罪外,還包括人臉識別破解軟體的提供,人臉識別“照片活化”工具的傳授、兜售,人臉識別幫助網路詐騙或盜竊等犯罪型別,應合理運用提供侵入、非法控制計算機資訊系統程式、工具罪,傳授犯罪方法罪,幫助資訊網路犯罪活動罪,詐騙罪和盜竊罪等罪名及共犯適用原理,通過有效打擊來實現刑法的預防效果。


  (作者系浙江理工大學法政學院法律系副主任;中國社會科學院法學研究所研究員)

來源:中國社會科學網-中國社會科學報 作者:鄭旭江 劉仁文

猜你喜歡