【摘要】人臉識(shí)別是人工智能技術(shù)發(fā)展的重要應(yīng)用。人臉識(shí)別應(yīng)用為公共安全、法律執(zhí)行及社會(huì)管理帶來諸多便利,但其也可能對(duì)個(gè)人隱私與自由、人格尊嚴(yán)、人身及財(cái)產(chǎn)安全帶來風(fēng)險(xiǎn)。因此,這一技術(shù)在許多國(guó)家的法律上仍存在爭(zhēng)議?;谖覈?guó)經(jīng)濟(jì)和社會(huì)發(fā)展實(shí)際情況,不宜采取一刀切式禁止,而應(yīng)充分考慮其所可能帶來的風(fēng)險(xiǎn),由法律進(jìn)行嚴(yán)格規(guī)制。
【關(guān)鍵詞】人臉識(shí)別 個(gè)人信息 生物識(shí)別信息 敏感信息
【中圖分類號(hào)】D912.1 【文獻(xiàn)標(biāo)識(shí)碼】A
近年來,隨著人工智能技術(shù)的快速發(fā)展,以人臉識(shí)別技術(shù)(FRT)為代表的生物識(shí)別信息技術(shù)開始為人所熟知。生物識(shí)別信息是指自然人可識(shí)別的身體生理信息或行為特征,包括個(gè)人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識(shí)別特征等。生物識(shí)別信息直接反映自然人獨(dú)一無二與不可替代的身體、生理或行為特征,具有強(qiáng)烈的人身屬性。作為自然人最直接和便捷的生物標(biāo)識(shí),人臉信息被廣泛用于身份識(shí)別、認(rèn)證和安全管理等諸多行政、商業(yè)和私人領(lǐng)域。人臉識(shí)別作為一種識(shí)別個(gè)人身份信息的新型技術(shù),其主要特征是非接觸性、主體唯一性和不易復(fù)制性,同時(shí)也具有無須攜帶、易于采集、成本低廉等特點(diǎn)。從技術(shù)角度來看,人臉識(shí)別包含四個(gè)階段:首先,探測(cè)人臉。攝像頭可以從人群中捕捉并固定特定個(gè)人的人臉。其次,對(duì)人臉進(jìn)行分析。軟件“閱讀”臉部信息并且識(shí)別其特征,譬如,兩眼之間的距離或者嘴部的寬度、面部主要輪廓。再次,將視頻圖像轉(zhuǎn)換為數(shù)據(jù)。圖像在被分析后,會(huì)轉(zhuǎn)換成一序列數(shù)據(jù);臉部的數(shù)字信息被稱為“臉?。╢aceprint,如同指紋一樣)”。最后,進(jìn)行比對(duì)匹配。將算法所形成的“臉印”與數(shù)據(jù)庫(kù)中的人臉信息進(jìn)行比對(duì)和識(shí)別,將其與特定個(gè)人相關(guān)聯(lián)。
人臉識(shí)別確實(shí)可以給社會(huì)的運(yùn)行與管理帶來很大的便利,這一技術(shù)尤其在執(zhí)法過程中被廣泛使用。但是,人臉識(shí)別也經(jīng)常發(fā)生錯(cuò)誤,譬如,錯(cuò)誤識(shí)別有色人種人士,或者進(jìn)行錯(cuò)誤的比對(duì)和匹配。導(dǎo)致人臉識(shí)別錯(cuò)誤的成因有:其一,人臉識(shí)別算法的品質(zhì)可能存在很大差異;其二,所拍攝照片的質(zhì)量對(duì)于匹配的精度有顯著影響;其三,即便在照片質(zhì)量較高的情況下,系統(tǒng)的某些設(shè)置也可能導(dǎo)致識(shí)別錯(cuò)誤發(fā)生。除了人臉識(shí)別技術(shù)較高的出錯(cuò)率之外,人臉識(shí)別技術(shù)的應(yīng)用對(duì)個(gè)人的隱私和自由可能構(gòu)成威脅。正是基于這些原因,人臉識(shí)別在很多國(guó)家都引發(fā)了法律上的爭(zhēng)議。
Clearview AI公司的法律爭(zhēng)議
Clearview AI公司是一家位于紐約的美國(guó)科創(chuàng)型企業(yè),成立于2016年。該公司使用圖像掃描器自動(dòng)收集社交媒體和其他網(wǎng)站上公開的人臉照片,以建立其生物識(shí)別數(shù)據(jù)庫(kù);它向執(zhí)法機(jī)構(gòu)和私營(yíng)公司出售其服務(wù)。Clearview的人臉識(shí)別技術(shù)包含四個(gè)步驟:首先,Clearview在公眾可以訪問的網(wǎng)絡(luò)平臺(tái)及Facebook(已改名為Meta)、Twitter、Instagram、LinkedIn等社交媒體上“抓取”人臉照片,并存入其數(shù)據(jù)庫(kù);其次,創(chuàng)建生物識(shí)別標(biāo)識(shí)符,以數(shù)字化方式來表達(dá)每一幅人臉圖片;再次,允許用戶上傳圖片,與數(shù)據(jù)庫(kù)中的生物識(shí)別符進(jìn)行匹配和比對(duì);最后,提供一序列比對(duì)結(jié)果,包括所有被比對(duì)的照片和數(shù)據(jù),如果用戶點(diǎn)擊其中任何結(jié)果,軟件可以將其指引到照片的源文件。Clearview 存儲(chǔ)了超過三十億張人臉圖片和相應(yīng)的生物識(shí)別符,其中包括很多兒童照片。僅在美國(guó),該公司就已向超過600家執(zhí)法機(jī)構(gòu)提供了數(shù)據(jù)及人臉識(shí)別系統(tǒng)服務(wù),包括聯(lián)邦調(diào)查局、國(guó)土安全部和許多州警察局。2021年1月6日美國(guó)國(guó)會(huì)騷亂事件后,Clearview發(fā)現(xiàn)其人臉?biāo)阉鲬?yīng)用的數(shù)量增長(zhǎng)了26%,佛羅里達(dá)和阿拉巴馬等州警察局使用其應(yīng)用來識(shí)別參與騷亂的人員。
但Clearview在美國(guó)的多個(gè)州都遭遇了訴訟,包括伊利諾伊州、弗吉尼亞州、紐約州、佛蒙特州,其中,僅在伊利諾伊州就被提起至少三起訴訟,包括針對(duì)著名零售商Macy的訴訟,后者是Clearview的大客戶之一,被指控使用其人臉識(shí)別應(yīng)用。另外,Google和Twitter明確向Clearview發(fā)出了停止訪問函,禁止其從它們網(wǎng)站上收集人臉照片。但Clearview認(rèn)為它擁有收集人們公開發(fā)布的照片的權(quán)利。同樣,一些外國(guó)的執(zhí)法機(jī)構(gòu)因?yàn)槭褂闷浞?wù)而在本國(guó)引發(fā)爭(zhēng)議。2021年2月,瑞典隱私保護(hù)機(jī)構(gòu)IMY對(duì)瑞典警察部門罰款250萬瑞典克朗,理由是后者使用Clearview 的服務(wù)違反了瑞典“犯罪數(shù)據(jù)法”。瑞典警察部門在2019年秋季至2020年3月期間,曾間斷性地使用Clearview 人臉識(shí)別應(yīng)用,查找犯罪的受害人及嫌疑人。IMY認(rèn)為這一做法違反了“犯罪數(shù)據(jù)法”的多個(gè)條文,根據(jù)該法,生物識(shí)別信息及基因信息只能在有明文規(guī)定的情況下,用于絕對(duì)必須的處理目的。
2021年2月,加拿大隱私專員辦公室與魁北克、不列顛哥倫比亞及阿爾伯塔三省的個(gè)人信息保護(hù)機(jī)構(gòu)所聯(lián)合發(fā)起的、針對(duì)Clearview的調(diào)查報(bào)告指出,其人臉識(shí)別工具違反了加拿大個(gè)人信息保護(hù)法的統(tǒng)一和適當(dāng)目的等要求。盡管加拿大個(gè)人信息保護(hù)法對(duì)于“可公開獲得的信息”豁免信息主體的同意要求,但是,從公開的網(wǎng)站包括社交媒體上所獲得的人臉信息并不適用公開獲得信息的豁免規(guī)則。此外,Clearview違反了個(gè)人信息保護(hù)法的適當(dāng)目的要求,這一要求對(duì)于有效同意的場(chǎng)景也仍然適用。Clearview公司收集和使用圖片是不適當(dāng)?shù)?,因?yàn)檫@些用途與照片最初被上傳的目的沒有關(guān)聯(lián),這些照片被無限期的保留,并且其使用損害了個(gè)人的利益(譬如被用于隨后針對(duì)其所發(fā)起的起訴),而且其使用的方式對(duì)個(gè)人造成了重大風(fēng)險(xiǎn)。此外,Clearview無差別地從網(wǎng)站抓取人臉照片,屬于信息收集的不合理方式。
北美地區(qū)的法律:對(duì)政府機(jī)構(gòu)使用人臉識(shí)別技術(shù)進(jìn)行限制
在美國(guó),率先就人臉識(shí)別問題作出法律規(guī)定的是一些州的城市。2019年5月,加利福尼亞州舊金山市成為美國(guó)最先以立法禁止政府機(jī)構(gòu)使用人臉識(shí)別技術(shù)的城市。同年6月,馬薩諸塞州的薩默維爾市議會(huì)一致表決通過議案,禁止政府機(jī)構(gòu)使用人臉識(shí)別技術(shù)。隨后,馬薩諸塞州的波士頓、伊斯特漢普頓以及密蘇里州的斯普林菲爾德等城市也相繼通過了類似禁令。與之類似,紐約市的法令規(guī)定,娛樂場(chǎng)所、零售店、食品與飲料商店在其營(yíng)業(yè)范圍內(nèi),不得使用人臉識(shí)別技術(shù)。不過,對(duì)于一般商業(yè)機(jī)構(gòu),紐約市并不禁止其對(duì)消費(fèi)者使用人臉識(shí)別技術(shù),但要求在消費(fèi)者入口處以清晰和顯著的標(biāo)識(shí)告知消費(fèi)者進(jìn)入人臉識(shí)別區(qū)域。
就州層面而言,一些州對(duì)于生物識(shí)別信息作出了法律規(guī)定,例如德州、伊利諾伊州和華盛頓州,這些法律要求企業(yè)收集和使用生物識(shí)別信息必須盡到事先告知和知情同意義務(wù)。例如,根據(jù)伊利諾伊州的“生物識(shí)別信息隱私法(BIPA)”,私立機(jī)構(gòu)在使用消費(fèi)者的生物識(shí)別信息之前,必須書面告知消費(fèi)者,其生物識(shí)別信息正在收集和存儲(chǔ)以及其期限;該機(jī)構(gòu)不得利用這些信息,向他人出售、出租或營(yíng)利。紐約州的法律亦有類似規(guī)定;俄克拉荷馬州和肯塔基州的法律規(guī)定,必須要有清晰的告知和獲得個(gè)人的知情同意;佛羅里達(dá)州和猶他州則在其隱私法中強(qiáng)化信息主體的權(quán)利及相關(guān)的告知和同意要求。
在美國(guó),華盛頓州被認(rèn)為在科技立法領(lǐng)域經(jīng)常走在各州前列。2020年3月,華盛頓州通過法律對(duì)人臉識(shí)別應(yīng)用進(jìn)行規(guī)制,要求人臉識(shí)別技術(shù)必須確保其公平性和準(zhǔn)確性;執(zhí)法機(jī)構(gòu)如需使用人臉識(shí)別技術(shù),需獲得法院的授權(quán)令;另外,法律責(zé)成州政府設(shè)立專門的研究小組,研究公共機(jī)構(gòu)如何使用和部署人臉識(shí)別設(shè)施。另有一些州對(duì)人臉識(shí)別采取了暫緩禁令(moratorium)或?qū)⑵鋺?yīng)用限于特定領(lǐng)域的做法。例如,2019年3月,加州通過立法為警察機(jī)構(gòu)使用人臉識(shí)別技術(shù)設(shè)定了三年的禁止期限,自2020年1月起實(shí)施。2021年5月,馬薩諸塞州通過法律,要求警察局等執(zhí)法機(jī)構(gòu)在使用州機(jī)動(dòng)車登記處、聯(lián)邦調(diào)查局或州警察局所建立的人臉數(shù)據(jù)庫(kù)的照片進(jìn)行比對(duì)之前,須獲得法院的許可令;為防止人臉識(shí)別技術(shù)的濫用,法律要求其應(yīng)用僅限于犯罪偵查領(lǐng)域,不得擴(kuò)展至民事糾紛。而與之相對(duì)照的是,緬因州則通過了更為嚴(yán)厲的立法。根據(jù)緬因州議會(huì)在2021年6月通過的法律,執(zhí)法機(jī)構(gòu)原則上不得使用人臉識(shí)別技術(shù),除非其有證據(jù)證明特定個(gè)人犯下“嚴(yán)重的罪行”,另外,人臉識(shí)別技術(shù)還可以用來識(shí)別死者或失蹤人員;人臉識(shí)別的結(jié)構(gòu)本身并不能成為警察逮捕嫌疑人的證據(jù)。法律也限制警察部門使用人臉身份識(shí)別技術(shù),在某些特定情形下警察部門可求助于聯(lián)邦調(diào)查局或州機(jī)動(dòng)車登記處;執(zhí)法機(jī)構(gòu)如果使用了人臉識(shí)別技術(shù),必須留存記錄備查。另外,如果公民認(rèn)為執(zhí)法機(jī)構(gòu)非法使用了人臉識(shí)別技術(shù),可以對(duì)其提起訴訟;法律還明確禁止在政府機(jī)構(gòu)的大部分區(qū)域、公立學(xué)校等場(chǎng)所使用人臉識(shí)別技術(shù)。這被認(rèn)為是美國(guó)迄今為止最為嚴(yán)厲的人臉識(shí)別法律。
在聯(lián)邦層面,值得注意的是,2021年6月,美國(guó)參議員在國(guó)會(huì)提出了《人臉識(shí)別和生物識(shí)別技術(shù)禁止法案》,準(zhǔn)備對(duì)聯(lián)邦和大多數(shù)州的全部生物識(shí)別技術(shù)采取一攬子禁止,包括在全國(guó)范圍內(nèi)禁止執(zhí)法機(jī)構(gòu)使用人臉識(shí)別技術(shù)。這一法案也被批評(píng)為可能會(huì)剝奪生物識(shí)別技術(shù)給執(zhí)法機(jī)構(gòu)所帶來的便利,包括:查找被綁架的受害人,識(shí)別在機(jī)場(chǎng)入口所使用的偽造身份文件,在關(guān)鍵場(chǎng)合幫助反恐偵查,使得無辜的人免受犯罪指控等。
在加拿大,并無專門針對(duì)人臉識(shí)別的法律,而適用個(gè)人信息保護(hù)法的一般規(guī)則。具體來說,私立機(jī)構(gòu)處理個(gè)人信息適用“個(gè)人信息保護(hù)法(PIPEDA)”,而公立機(jī)構(gòu)處理個(gè)人信息則適用“隱私法案”。“個(gè)人信息保護(hù)法”規(guī)定,收集、使用或公開個(gè)人信息必須告知個(gè)人并征得其同意。對(duì)于某些敏感信息,必須征得個(gè)人的“有效同意”。根據(jù)該法第6.1條,只有以下事實(shí)是可以合理被期待的時(shí)候——個(gè)人可以理解其給予同意的信息收集、使用或公開等行為的性質(zhì)、目的和結(jié)果,個(gè)人的同意方可被認(rèn)為是有效的。對(duì)于政府機(jī)構(gòu),“隱私法案”限定其使用或公開個(gè)人信息必須用于“指定的目的”,除非個(gè)人對(duì)于其他用途的使用或公開給予了同意;法案還要求政府機(jī)構(gòu)必須告知個(gè)人信息收集的目的。“個(gè)人信息保護(hù)法”要求收集、使用或公開個(gè)人信息,必須基于一個(gè)通情達(dá)理的人在所處的具體環(huán)境下認(rèn)為是適當(dāng)(appropriate)的目的。
歐洲國(guó)家的法律:嚴(yán)格限制下的例外允許
就英國(guó)而言,2020年8月,英國(guó)法院裁定南威爾士警方使用人臉識(shí)別技術(shù)侵犯了人權(quán)和個(gè)人信息保護(hù)法。南威爾士警方在2017年5月至2019年4月期間,曾在公共事件中使用人臉識(shí)別設(shè)備掃描了50萬余張人臉圖像,后被一名叫Edward Bridges的民權(quán)人士提起訴訟,他聲稱曾兩次接近人臉識(shí)別設(shè)備,盡管并非設(shè)備識(shí)別的對(duì)象,但他認(rèn)為其圖像仍被設(shè)備抓取,侵害了歐洲人權(quán)公約第8條所保護(hù)的隱私權(quán),也違反了英國(guó)的個(gè)人信息保護(hù)法及2010年平等法案中的“公立部門平等職責(zé)(PSED)”等法律規(guī)定。2019年9月,一審法院駁回了其起訴,但上訴法院則支持了其請(qǐng)求,認(rèn)為具體執(zhí)法的警官的裁量權(quán)過大,很難清楚地預(yù)知誰會(huì)在人臉識(shí)別的名單上。法院認(rèn)為,警方違反了“公立部門平等職責(zé)”,警方未能采取合理措施來判斷人臉識(shí)別應(yīng)用軟件是否存在種族或性別歧視。
2021年6月,英國(guó)信息專員辦公室發(fā)布了新的“實(shí)踐指南”,對(duì)視頻監(jiān)控和人臉識(shí)別技術(shù)提供了指引。新指南指出,“(人臉識(shí)別)系統(tǒng)是有價(jià)值的工具,有助于提升公共治安和安全的水準(zhǔn),可以保護(hù)人身和財(cái)產(chǎn)安全”。就公共場(chǎng)所的視頻監(jiān)控設(shè)備使用,指南嘗試列出最佳實(shí)踐和指導(dǎo)原則。這一文件認(rèn)為可以允許公共機(jī)構(gòu)和企業(yè)在公共場(chǎng)所使用遠(yuǎn)程生物識(shí)別技術(shù),但認(rèn)為應(yīng)設(shè)置較高的準(zhǔn)入門檻;不過,該文件并不贊成采取完全的禁止。指南要求人臉識(shí)別的使用必須合法,信息的控制者必須對(duì)處理特殊類別的信息提供合法基礎(chǔ),并確保其處理符合必要原則,與其所實(shí)現(xiàn)的目的成比例,并考慮使用人臉識(shí)別對(duì)個(gè)人所造成的潛在危害。
在法國(guó),關(guān)于人臉識(shí)別的法律框架主要有:1978年的信息與自由法(2018年12月修訂);歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR);歐盟2016年第2016/680號(hào)關(guān)于刑事領(lǐng)域個(gè)人信息保護(hù)的“警察—司法指令”。根據(jù)GDPR第4條,生物識(shí)別信息屬于敏感信息,原則上禁止處理,僅在該條所列明的例外情況下方可進(jìn)行處理:信息主體明確同意,履行法定職責(zé),保護(hù)自然人的重大利益,保護(hù)公共利益,信息主體已公開的信息,基于醫(yī)療診斷或評(píng)估雇員工作能力需要等。
在法國(guó),個(gè)人信息監(jiān)管機(jī)構(gòu)是1978年所創(chuàng)立的“信息與自由委員會(huì)(CNIL)”,該機(jī)構(gòu)同時(shí)是政府與國(guó)會(huì)的咨詢機(jī)構(gòu),就信息立法提供咨詢意見。鑒于法國(guó)一些機(jī)構(gòu)申請(qǐng)?jiān)囉萌四樧R(shí)別技術(shù),CNIL對(duì)此設(shè)定了三個(gè)條件:第一,劃定所應(yīng)遵守的紅線,遵守歐盟GDPR條例和“警察—司法指令”。CNIL認(rèn)為,盡管存在可以合法使用人臉識(shí)別技術(shù)的一些情形,但是不能據(jù)此推論一切皆合乎需要,或者一切皆可為;必須將人的尊重和保護(hù)置于這一體系的中心地位,特別是確保對(duì)隱私權(quán)的保護(hù);必須要獲得個(gè)人的知情同意,用戶必須可以控制其信息,并可能行使其同意的撤回權(quán);人臉識(shí)別系統(tǒng)對(duì)個(gè)人應(yīng)保持完全透明,應(yīng)確保生物識(shí)別信息的安全。第二,將人的尊重和保護(hù)置于這一體系的中心地位,特別是確保對(duì)隱私權(quán)的保護(hù)。必須獲得個(gè)人的知情同意,用戶可以控制其信息,并可能行使其同意的撤回權(quán);人臉識(shí)別系統(tǒng)對(duì)個(gè)人應(yīng)保持完全透明,應(yīng)確保生物識(shí)別信息的安全;私立機(jī)構(gòu)如果使用人臉識(shí)別技術(shù),應(yīng)獲得個(gè)人的知情同意,這一同意必須明確、特定、自由作出且毫不含糊,符合GDPR的要求。為此,必須提供人臉識(shí)別的替代措施,這些替代措施應(yīng)提供與人臉識(shí)別技術(shù)同樣的便利。第三,對(duì)于人臉識(shí)別的試用必須設(shè)定時(shí)間與空間上的明確限制,并具有明確的可識(shí)別的目標(biāo),且有績(jī)效評(píng)估模式。
就人臉識(shí)別而言,CNIL提出“在現(xiàn)在和未來并非一切皆可為”。在此前,CNIL曾拒絕同意尼斯和馬賽的兩所中學(xué)在其入口處安裝人臉識(shí)別設(shè)備;CNIL強(qiáng)調(diào)應(yīng)遵守比例性原則,所使用的手段與所達(dá)到的目的之間應(yīng)當(dāng)相稱;此外,應(yīng)當(dāng)對(duì)未成年人給予特殊保護(hù)。2019年,尼斯市政府安裝了具有人臉識(shí)別功能的視頻監(jiān)控,拍攝了上千人的面部照片,這些照片被相關(guān)軟件進(jìn)行實(shí)時(shí)分析。CNIL認(rèn)為,尼斯市政府就此提交的報(bào)告太過于模糊,缺乏對(duì)技術(shù)因素的必要說明。因此,報(bào)告無法讓人就人臉識(shí)別試用得出客觀的視角,也無法評(píng)估其有效性。在新冠肺炎疫情期間,戛納市政府希望安裝監(jiān)控設(shè)備,以核實(shí)人們是否按要求佩戴了口罩,市政府準(zhǔn)備購(gòu)買一家名為Datakalab的設(shè)備和服務(wù),該公司的設(shè)備同樣安裝在巴黎市中心的夏特萊地鐵站進(jìn)行試用,該公司聲稱,它們并非用于識(shí)別公眾,而只是在計(jì)算佩戴口罩的人數(shù)。但CNIL則認(rèn)為,公眾無法行使其異議權(quán),因?yàn)樗麄兏静恢老到y(tǒng)在分析他們的臉部。因此,CNIL叫停了戛納市的人臉識(shí)別應(yīng)用計(jì)劃,同時(shí)也叫停了巴黎夏特萊地鐵站人臉識(shí)別設(shè)備的試用。還值得注意的是,2020年10月,由萬喜(Vinci)集團(tuán)管理的里昂機(jī)場(chǎng)試用Mona公司人臉識(shí)別系統(tǒng),在法國(guó)機(jī)場(chǎng)中首開先河。這一技術(shù)的主要目的是減少旅客的排隊(duì)等候時(shí)間,因?yàn)槁每屯ǔP枰徊轵?yàn)身份(身份證件、機(jī)票等),比較費(fèi)時(shí)。根據(jù)這一系統(tǒng)的使用方法,旅客自行在手機(jī)上下載軟件,開設(shè)賬號(hào),上傳人臉照片;到機(jī)場(chǎng)后可以走專門通道,“僅需刷臉”閘機(jī)即自動(dòng)放行;每位旅客平均可節(jié)約半小時(shí)左右的時(shí)間。這套設(shè)備首先試用于Transavia 和 TAP兩家航空公司用于飛往波爾圖和里斯本的航班的旅客,未來將逐步擴(kuò)展至其他航班。
就歐盟而言,歐盟委員會(huì)2021年4月所提交的“人工智能條例”草案將執(zhí)法機(jī)構(gòu)在公共場(chǎng)所使用的實(shí)時(shí)生物識(shí)別系統(tǒng)定性為“不可接受的風(fēng)險(xiǎn)”,除非基于某些明確限定的目的。草案采取了以風(fēng)險(xiǎn)為基礎(chǔ)的方法,根據(jù)人工智能產(chǎn)品和服務(wù)的風(fēng)險(xiǎn),將其區(qū)分為低風(fēng)險(xiǎn)、中風(fēng)險(xiǎn)和高風(fēng)險(xiǎn)的不同等級(jí),還有一些人工智能應(yīng)用則被完全禁止。草案建議禁止在公共場(chǎng)所使用包括人臉識(shí)別在內(nèi)的“遠(yuǎn)程生物識(shí)別體系(RBIS)”,除法律所規(guī)定的例外情形,這些例外情形都是為實(shí)現(xiàn)重大的公共利益所必須,所保護(hù)利益的重要性超過其風(fēng)險(xiǎn),包括:查找潛在的犯罪受害人包括失蹤兒童,對(duì)自然人的生命和身體安全的某些威脅或者恐怖主義攻擊,偵測(cè)、定位、識(shí)別或檢控犯罪嫌疑人。與歐盟委員會(huì)的立場(chǎng)不同,歐盟議會(huì)2021年10月6日以壓倒性多數(shù)決議通過了一項(xiàng)名為“關(guān)于在刑法領(lǐng)域的人工智能及其由警察與司法機(jī)構(gòu)在刑事事務(wù)中的應(yīng)用”為題的決議,呼吁全面禁止公共場(chǎng)所的大規(guī)模生物識(shí)別監(jiān)控技術(shù)。決議認(rèn)為,人工智能驅(qū)動(dòng)的遠(yuǎn)程監(jiān)控技術(shù),如面部識(shí)別,對(duì)隱私等基本權(quán)利和自由有巨大影響,但已經(jīng)在歐洲的公共場(chǎng)合悄然開始使用。為了尊重“隱私和人類尊嚴(yán)”,歐洲議會(huì)議員表示,歐盟立法者應(yīng)通過一項(xiàng)永久禁令,禁止在公共場(chǎng)所對(duì)個(gè)人進(jìn)行自動(dòng)識(shí)別,并表示公民只有在涉嫌犯罪時(shí)才應(yīng)受到監(jiān)控。歐盟議會(huì)還呼吁禁止使用私人數(shù)據(jù)庫(kù),如Clearview 的數(shù)據(jù)庫(kù),并表示基于行為數(shù)據(jù)的預(yù)測(cè)性警務(wù)也應(yīng)被禁止。歐洲議會(huì)的決議要求歐盟采取措施,必要時(shí)甚至可以啟動(dòng)追責(zé)程序,以全面禁止就基于執(zhí)法目的對(duì)生物識(shí)別信息的任何處理包括人臉識(shí)別而在公共場(chǎng)所實(shí)施的大規(guī)模監(jiān)控;要求歐盟委員會(huì)停止資助有關(guān)的研究項(xiàng)目。
構(gòu)建符合我國(guó)國(guó)情的人臉識(shí)別法律規(guī)制框架
從前述分析可以看出,人臉識(shí)別技術(shù)是人工智能十分強(qiáng)大的應(yīng)用,對(duì)于法律執(zhí)行機(jī)構(gòu)和商業(yè)實(shí)體都能帶來很大的便利,譬如,維護(hù)公共安全,協(xié)助警方查找受害人或犯罪嫌疑人,查找失蹤人口等。其使用成本也較為低廉,因此,其使用范圍有不斷擴(kuò)大的趨勢(shì)。但是,人臉識(shí)別技術(shù)也是一項(xiàng)高度侵入性(invasive)的監(jiān)控技術(shù),對(duì)隱私和人權(quán)可能造成風(fēng)險(xiǎn),并可能造成歧視。另外,人臉識(shí)別涉及高度敏感的生物識(shí)別信息的收集和處理,而生物識(shí)別信息對(duì)每個(gè)人來說都是獨(dú)一無二的,并且很難隨著時(shí)間的推移而改變。因此,一旦泄露或被非法獲取,會(huì)給個(gè)人帶來嚴(yán)重影響。結(jié)合大多數(shù)國(guó)家的普遍經(jīng)驗(yàn),基于我國(guó)經(jīng)濟(jì)和社會(huì)發(fā)展實(shí)際情況,人臉識(shí)別技術(shù)已廣泛應(yīng)用于公共安全、智慧產(chǎn)業(yè)發(fā)展、網(wǎng)絡(luò)支付等多個(gè)領(lǐng)域,因此,不宜采取一刀切式禁止,而應(yīng)充分考慮其所可能帶來的風(fēng)險(xiǎn),由法律進(jìn)行嚴(yán)格規(guī)制。
最高人民法院于2021年7月發(fā)布了《關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問題的規(guī)定》,這也是我國(guó)專門針對(duì)人臉識(shí)別應(yīng)用進(jìn)行規(guī)制的第一部法律文件,具有里程碑式的重要意義。2021年8月,備受矚目的《個(gè)人信息保護(hù)法》由立法機(jī)關(guān)通過,其中關(guān)于敏感個(gè)人信息的規(guī)定、關(guān)于公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備的規(guī)定,與人臉識(shí)別密切相關(guān)。2021年11月,國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布了《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》。另外,《民法典》在其第四編人格權(quán)編規(guī)定了個(gè)人信息保護(hù)的基本原則和框架。這些法律規(guī)則構(gòu)成了我國(guó)關(guān)于人臉識(shí)別規(guī)制的主要法律框架。在充分借鑒和吸收國(guó)際經(jīng)驗(yàn)的基礎(chǔ)上,我國(guó)對(duì)人臉識(shí)別進(jìn)行法律規(guī)制的主要內(nèi)容有:
人臉信息屬于生物識(shí)別信息,是敏感個(gè)人信息?!睹穹ǖ洹返?034條引入了“生物識(shí)別信息”這一重要范疇;《個(gè)人信息保護(hù)法》第28條第1款明確將生物識(shí)別信息列為首要的敏感個(gè)人信息類型,足見其極端重要性。最高人民法院“人臉識(shí)別司法解釋”第1條進(jìn)一步明確:人臉信息屬于“生物識(shí)別信息”。因此,信息處理者如處理人臉識(shí)別信息,需遵守關(guān)于敏感信息處理的相關(guān)規(guī)則?!秱€(gè)人信息保護(hù)法》對(duì)敏感信息的處理設(shè)定了嚴(yán)格的法律規(guī)則,根據(jù)該法第28條第二款,只有在具有特定的目的和充分的必要性,并采取嚴(yán)格保護(hù)措施的情形下,個(gè)人信息處理者方可處理敏感個(gè)人信息。
人臉識(shí)別信息的收集和處理須遵循合法、正當(dāng)、必要原則,特別是最小夠用原則,不得擅自與第三方分享。根據(jù)《民法典》第1035條和《個(gè)人信息保護(hù)法》第5條和第6條,處理個(gè)人信息的,應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則,不得過度處理;收集個(gè)人信息,應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍,不得過度收集個(gè)人信息?!秱€(gè)人信息保護(hù)法》第26條規(guī)定:在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備,應(yīng)當(dāng)為維護(hù)公共安全所必需,遵守國(guó)家有關(guān)規(guī)定,并設(shè)置顯著的提示標(biāo)識(shí)。所收集的個(gè)人圖像、身份識(shí)別信息只能用于維護(hù)公共安全的目的,不得用于其他目的。由此,公共場(chǎng)所人臉識(shí)別的設(shè)備應(yīng)基于公共安全目的僅用于身份識(shí)別,而不能用于分析其經(jīng)濟(jì)狀況、消費(fèi)能力及偏好、個(gè)人興趣、健康狀況等其他用途,以防止“購(gòu)房人戴頭盔看房”現(xiàn)象的重演。
處理人臉識(shí)別信息須獲得個(gè)人的單獨(dú)同意?!秱€(gè)人信息保護(hù)法》第29條規(guī)定,處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意。因此,從比較法的經(jīng)驗(yàn)看,對(duì)于人臉識(shí)別,信息處理者需要在其隱私政策和使用條件之外以單獨(dú)文件向信息主體進(jìn)行告知,并獲得信息主體的明確同意。信息處理者在履行告知義務(wù)的時(shí)候,充分保障信息主體的知情同意權(quán),因此,必須遵循《個(gè)人信息保護(hù)法》第7條所規(guī)定的公開、透明原則,公開個(gè)人信息處理規(guī)則,明示處理的目的、方式和范圍。此外,處理者還應(yīng)當(dāng)向個(gè)人告知處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人權(quán)益的影響。另外,根據(jù)《個(gè)人信息保護(hù)法》第15條,個(gè)人有權(quán)撤回其同意。個(gè)人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式。“人臉識(shí)別司法解釋”第4條進(jìn)一步規(guī)定信息處理者不得對(duì)信息主體采取強(qiáng)迫同意、捆綁同意等手段,包括:信息處理者要求自然人同意處理其人臉信息才提供產(chǎn)品或者服務(wù)的,但是處理人臉信息屬于提供產(chǎn)品或者服務(wù)所必需的除外;信息處理者以與其他授權(quán)捆綁等方式要求自然人同意處理其人臉信息的;強(qiáng)迫或者變相強(qiáng)迫自然人同意處理其人臉信息的其他情形。
如果采取人臉識(shí)別作為身份識(shí)別的方式,則應(yīng)同時(shí)提供非人臉識(shí)別的身份識(shí)別方式,由信息主體選擇使用?!毒W(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》第25條規(guī)定:“數(shù)據(jù)處理者利用生物特征進(jìn)行個(gè)人身份認(rèn)證的,應(yīng)當(dāng)對(duì)必要性、安全性進(jìn)行風(fēng)險(xiǎn)評(píng)估,不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的個(gè)人身份認(rèn)證方式,以強(qiáng)制個(gè)人同意收集其個(gè)人生物特征信息。”由此,基于信息主體的同意權(quán),其可以對(duì)信息處理者處理其人臉信息給予同意,也可以拒絕,此種拒絕不得影響其享有公共服務(wù)的權(quán)利。因此,個(gè)人應(yīng)享有同意和拒絕之間的選擇。據(jù)此,“人臉識(shí)別司法解釋”第10條規(guī)定,物業(yè)服務(wù)企業(yè)或者其他建筑物管理人以人臉識(shí)別作為業(yè)主或者物業(yè)使用人出入物業(yè)服務(wù)區(qū)域的唯一驗(yàn)證方式,不同意的業(yè)主或者物業(yè)使用人請(qǐng)求其提供其他合理驗(yàn)證方式的,人民法院依法予以支持。
原則上不應(yīng)使用人臉識(shí)別方式對(duì)不滿十四周歲的未成年人進(jìn)行身份識(shí)別。當(dāng)下大量的手機(jī)App(如短視頻、直播及游戲類)的主要用戶群體為未成年人,而不少應(yīng)用軟件以身份認(rèn)證為由要求進(jìn)行人臉識(shí)別。但未成年人由于其身心發(fā)育特點(diǎn),對(duì)人臉識(shí)別的風(fēng)險(xiǎn)缺乏必要的認(rèn)知和警惕性,甚至由于好奇心驅(qū)使而輕易向平臺(tái)提供其人臉信息,這些信息如被擅自分析、泄漏或被盜用,可能對(duì)其未來一生的成長(zhǎng)產(chǎn)生不利影響,導(dǎo)致其成為一些犯罪行為(如綁架拐騙)的受害對(duì)象。因此,對(duì)未成年人的個(gè)人信息特別是敏感信息給予特別保護(hù),這是全世界的普遍做法。就我國(guó)而言,《個(gè)人信息保護(hù)法》第28條規(guī)定,不滿十四周歲未成年人的個(gè)人信息屬于敏感個(gè)人信息;《個(gè)人信息保護(hù)法》第31條及《未成年人保護(hù)法》第72條規(guī)定:個(gè)人信息處理者處理不滿十四周歲未成年人個(gè)人信息的,應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意。“人臉識(shí)別司法解釋”第3條也特別規(guī)定:人民法院認(rèn)定信息處理者承擔(dān)侵害自然人人格權(quán)益的民事責(zé)任,應(yīng)考慮受害人是否為未成年人這一重要因素?;谶@些法律規(guī)則和立法精神,應(yīng)原則上禁止對(duì)不滿十四周歲的未成年人進(jìn)行人臉識(shí)別;如基于公共安全(如校園安全)等原因確需對(duì)未成年人進(jìn)行人臉識(shí)別,應(yīng)征得未成年人的父母或者其他監(jiān)護(hù)人的明確同意,經(jīng)公安部門及履行個(gè)人信息保護(hù)職責(zé)的主管部門批準(zhǔn),并應(yīng)采取嚴(yán)格的信息安全保護(hù)措施。
(作者為中國(guó)人民大學(xué)民商事法律科學(xué)研究中心研究員、法學(xué)院教授)
【注:本文系國(guó)家社科基金重大項(xiàng)目“健全以公平為原則的產(chǎn)權(quán)保護(hù)制度研究”(項(xiàng)目編號(hào):20ZDA049)的階段性成果】
【參考文獻(xiàn)】
①陳宗波:《我國(guó)生物信息安全法律規(guī)制》,《社會(huì)科學(xué)家》,2019年第1期。
②張勇:《個(gè)人生物信息安全的法律保護(hù)——以人臉識(shí)別為例》,《江西社會(huì)科學(xué)》,2021年第5期。
③石佳友、劉思齊:《人臉識(shí)別技術(shù)中的個(gè)人信息保護(hù)——兼論動(dòng)態(tài)同意模式的建構(gòu)》,《財(cái)經(jīng)法學(xué)》,2021年第2期。
④US 117th Congress (1st Session),F(xiàn)acial Recognition and Biometric Technology Moratorium Act of 2021, Bill introduced by Mr. MARKEY, Mr. MERKLEY, Mr. SANDERS, Ms. WARREN, and Mr. WYDEN.
⑤Information Commissioner' s Opinion: The use of live facial recognition technology in public places, 18 June 2021.
⑥European Parliament, Resolution of 6 October 2021 on artificial intelligence in criminal law and its use by the police and judicial authorities in criminal matters (2020/2016(INI)).
⑦石佳友:《人臉信息司法保護(hù)的里程碑》,《人民法院報(bào)》,2021年7月28日。
責(zé)編/銀冰瑤 美編/李智
聲明:本文為人民論壇雜志社原創(chuàng)內(nèi)容,任何單位或個(gè)人轉(zhuǎn)載請(qǐng)回復(fù)本微信號(hào)獲得授權(quán),轉(zhuǎn)載時(shí)務(wù)必標(biāo)明來源及作者,否則追究法律責(zé)任。