摘要:人脸识别技术作为计算机视觉的一项热门新兴技术,近些年来取得了突破性的进展,成为人工智能最热门的风口之一,正逐渐成为人们生活的新趋势。人脸识别技术在给人们带来便捷与效率的同时也一并带来许多问题,个人隐私数据被过度分析和滥用,市场准入门槛过低,相关法律制度尚未健全,导致大量权利侵害案件喷涌袭来。针对于此,文章提议人脸识别技术应用领域的治理模式应逐步转化为以应用平台为核心,侧重多元共治,切实保障公众个人信息安全,促进人脸识别技术产业的健康发展。
关键词:人脸识别技术;伦理挑战;法律规制;权利侵害;隐私权;
作者简介:丁利明,男,内蒙古赤峰人,博士,大连民族大学教授,国际法。;
基金:大连民族大学大学生创新创业计划(202112026031)资助;
一、人脸识别技术的发展现状
人脸识别技术是基于人的面部特征信息进行身份识别的一种生物识别技术,具备远程识别性、识别唯一性和关联验证性。我们在深入地研究和亲身的生活体会中都认识到人脸识别技术是人工智能发展的必经之路,是社会科学技术发展向好的标志之一,人脸识别技术在当代社会具有不可替代的作用。
目前,人脸识别技术在金融、安防、交通、移动支付等领域的应用潜力十分巨大,显着提高了人们生产生活的便捷度,给经济的发展、社会运转机制效率的提升提供了强大助力。但是由于这一新兴产业的特殊性质,加上其在技术上的不完善与在法律规制方面的缺陷,存在优势的同时也给社会、公众带来了一系列伦理道德方面的挑战。
近些年,在各行业中,占比最多、最受关注的莫过于个人隐私问题。人脸识别、视频监控等盗用、滥用事件接二连三地被曝光,引人深思。不仅如此,“刷脸支付”之后的信息盗取更为可怕,现在的门店商家将带有人脸识别系统的监控摄像头布满了顾客的所到之处,这些监控设备在收集人脸信息时,通常都突出“主动”“无感”的特点。商户在收集顾客人脸信息时,无需征得信息所有人的同意,在毫无感知的情况下就能进行人脸信息的抓拍,在走访调查中,我们得知消费者们大多数都对商家的这一行为毫不知情,大部分民众的维权意识薄弱。
二、人脸识别技术的法律现状
(一)国内现状
放眼国内,我国目前对于人脸识别技术应用领域的法律规范较为零散地分布在不同的法律条文中。2016年颁布实施了《中华人民共和国网络安全法》,从法律层面上规定了个人信息保护,但未明确到人体生物面部信息的相关问题。2021年1月1日实施的《中华人民共和国民法典》中第一千零三十五条规定,处理生物识别信息等自然人的个人信息,应当遵循合法、正当、必要原则。但不足的是仍未明确到具体的保护方式和保护范围。由此可见,我国关于人脸识别技术应用的法律规制问题仍有待进一步地完善。
在2021年的“两会”上,这一话题也成为最为关注的热点。全国政协委员、360集团董事长周鸿祎表示,网络安全是数字化战略的底座,有了网络安全的保障,我们的数字化战略才能发展得更好,走得更快、更远;全国政协委员、中科院近代物研所研究员蔡晓红提出亟待对人脸识别信息安全加强监管。目前,《中华人民共和国个人信息保护法》已于2021年11月1日施行,国家有关部门也在开展包括制定相关国家标准规范、加强应用软件违法违规收集使用个人信息专项治理等相关工作。
(二)国外现状
1.美国分散式立法模式
美国在人脸识别应用技术领域的立法中保持先行,在联邦形成统一法案之前,各州纷纷采取立法措施,伊利诺伊州、佛罗里达州、华盛顿州等已经发布多项法案对人脸识别技术进行专门立法规制。美国各州最早是通过生物识别信息立法保护的方式对非政府部门使用人脸识别技术进行规制的。其典型代表是2008年颁布于伊利诺伊州的《生物识别信息隐私法案》,该法案通过个体赋权、强化义务的方式对包含面部特征信息在内的生物识别信息的采集、存储、使用、保留与销毁进行规范。除了生物识别信息的专门立法外,华盛顿州、加利福尼亚州还通过人脸识别技术专门立法的方式对人脸识别技术应用进行直接性、针对性的规制。随着人脸识别技术在实践应用中带来的各项风险不断增多,联邦层面也加紧了制定人脸识别技术专门法案的步伐,以迎合面部特征信息保护的现实需要。
2.欧盟统一式立法模式
与美国分散式立法规制人脸识别技术应用形成鲜明对比的是,欧盟早先立法形成了严格限制人脸识别技术应用的普遍认识。2016年通过的《通用数据保护条例》将不同种类、性质的个人信息均纳入该条例保护框架之下,通过民事、行政、刑事措施合一的立法安排对个人信息进行严格保护[1]。其中第四条第十四款对“生物特征数据”的内涵与外延进行了界定,能够识别特定自然人的“面部图像”通过技术应用转化为个人数据后即归于此列;第九条规定自然人的生物数据属于个人数据的特殊类别,处理该类数据须遵守“原则禁止、特殊例外”的原则,特殊情况下确需处理的需满足“合法、正当、同意”等要件,且“同意”必须基于数据主体“自愿、明确、具体、不含混”的方式作出[2]。由此可见,人脸识别技术的应用受到极大限制,即使是在特定情形下允许该项技术对人脸信息的采集,其处理条件也十分严苛。
三、人脸识别技术应用领域的发展建议
在现代科技迅猛发展的今天,人脸识别技术应用行业的整体向好发展绝非一方之力可以推动,应有多方的参与。下面我们将以应用平台为核心,三方主体形成合力,“自治”与“他治”并行,实现人脸识别技术产业的多元共治体系。
(一)“三方合力”
首先,信息所有者,这是我们最关心的主体。我们对人脸识别技术的担忧主要来自信息所有者们的个人人脸信息被他方采集后会被侵犯隐私,及由此会带来的诸如滥用、歧视等问题。换言之,即社会大众警惕意识的建设。“美国公众强调对政府部门权力行使的限制,对监控技术的应用比较敏感,在加州可能装个摄像头都困难。”中国社会科学院科学技术和社会研究中心主任段伟文曾说,因为我国现在还是处于法治建设的幼年阶段,国内公众并不会对一个摄像头有十分敏感的反应,有着“人之初,性本善”这样的思维惯性,但是“传统的宽容”并不是没有边界的,一定程度的接受并不意味着摄像头的无序安装和监控可以肆无忌惮,特别是随着人脸识别和智能分析技术的日益完善进步,对数据安全产生质疑的国内公众数量会与日俱增,由此,我国的广大受众群体确应提高防范意识,维护自身信息安全。[3]
其次,技术应用平台,也可以称之为信息采集方。它使用来自技术开发商的技术产品为信息所有者提供相应具象化的“人脸识别技术服务”,如果可以让技术应用平台在伦理道德层面有确切的保障,那么人脸识别技术的应用生态就会得到质的改变,走向更加美好的未来。
在调查研究过程中,我们了解到近些年广州市慈善会、佳都科技等企事业单位共同启动开展了“人工智能+慈善”战略合作,创建运用人工智能技术的寻亲平台——“AI回佳”平台。这个平台被打造成智能进行人脸识别,提高寻人效率,也能模拟人脸成长变化的平台应用。平台利用人脸识别技术,组成人脸信息库,进行识别对比,从而协助有失踪人口的家庭寻找失散的亲人。[4]不仅是在国内,平台运用好人脸识别技术,在世界范围内的任何地区都会带来积极意义。例如印度新德里警方最近利用人脸识别技术,在4天内发现了近3000名失踪儿童;美国历史学家使用人脸识别技术识别出了19世纪60年代南北战争时期照片中的无名士兵等等。这样正确地开发和使用科学技术,给社会弱势群体和亟待帮助的人们带来了不可小觑的帮助,成为社会道德文明发展的驱动器,优化了营商环境,具有很好的示范作用。
相反的是,与以上背道而驰的做法也不胜枚举。以我国“人脸识别第一案”为例,在行业道德缺失和法律规制暂时缺席的背景下,在人脸识别领域的技术应用边界变得越来越模糊,我们自己和行业平台的心中似乎都默认了大众的人脸信息数据的随意性,可以大方拿出去,简单收集来。显而易见,这个行业中依然存在着大量不讲伦理、不论社会道德的冰冷经营者挑战着社会道德底线。
我们可以从技术应用平台这一主体上清晰地看到,和大多数的新兴技术一样,人脸识别技术也是一把双刃剑,技术应用平台在使用这项技术时,主观是出于善意还是恶意,这就在一定程度上决定了人脸识别技术是否恰到好处地被应用了,因为相关法律法规的缺失,这使得相关平台企业的专业良心和道德水准变得十分重要,是防止这个技术应用领域走入歧途的唯一“屏障”。
最后,技术开发商。对于人脸识别来说,威胁与侵害的前提是搜集,在技术应用方面,最大的争议就出现在“不知不觉”与“知情同意”之间了。很多商家安装了具有人脸识别功能的摄像头,在消费者毫不知情的情况下,摄像头抓取面部信息并自动生成文件存储。其实,解决问题就要从源头上根治,正所谓物尽其用,“有什么需求就给什么样的工具”,技术开发商可以通过审核技术应用平台的资质和产品用途,再结合平台的需要后,提供适合平台使用的人脸识别技术产品,这样就可以限制使用过程中产品搜集人脸数据的广度。如若只需要通过识别人脸信息来完成入园游览,就完全不需要全方面的人脸信息扫描和记录存档,这样就完全截断了技术应用平台滥用人脸识别技术的可能性。
(二)“双治并行”
首先,要完善“自治”,即完善行业自律监督机制。推动人脸识别技术的个人数据保护,需要有关部门根据法律、行政法规、部门规章等规范,推动建立和完善相关行业的自律监督机制。通过确定在哪些必要情况下可以进行人脸信息的采集,禁止不合法的人脸识别监控设备的安装,人脸信息储存的技术手段以及根据专门立法确定的储存期限,公民知情权、同意权的实施方式等内容,必须用强制规定的方法规范商家平台的操作行为,使行业自律机制成为简明有效合法的自我监督管理手段。
其次,要依靠“他治”,即法律规制。关于个人信息保护的法律规制路径共分可以分为三种方式,分别是:以禁止性规范为主,行政禁令先行的规范政府机构的行政法律规制路径;平衡个体赋权与合理利益的法理私营部门的民事法律规制路径;制裁身份识别犯罪,打击二次标识行为的整治非法群体的刑事法律规制路径。以下进行简述:
在行政法律规制方面,要强化行政监管机制。针对商业行为与公权力应用人脸识别技术带来的对个人信息保护与数据管理方面的挑战,可以通过立法的方式设立专门的行政与监督机构。例如,健全相应组织体系和工作机制,人脸识别技术应用需要统一的审批与监管,加快设立相应审批标准及程序,监控数据信息的安全,保护消费者合法权益。我国也应建立专门性的个人信息保护系统,自上而下地形成一条从中央到地方相关政府机关的个人信息保护网络,依照现有行政系统各种类别部门的职能划分各个部门。
在民事法律规制路径方面,要在法律层面确定个人信息权。公民信息权不同于隐私权,公民信息权兼具精神和财产性质,更加注重身份识别,表现为公民对个人信息的支配。个人信息泄露的直接后果就是侵犯信息所有者的人格权、隐私权等具有明显人身属性的权利,因此应该在人格权领域增设公民信息权。此外,加强关于“人工智能”领域的相关立法,加快制定和完善有关人脸识别数据管理的专门法律,明确人脸识别技术运用的法律边界,突出人脸识别技术运用的必要性,强化人脸识别技术运用的规范性;建立相关人脸识别技术的侵权责任规范机制,对人脸识别数据的采集、存储、使用、加工等方面进行规范,除了应遵循合法、正当、必要原则外,还应遵循事前申请原则、数据监管原则、数据保密原则等。地方政府制定关于人脸识别数据管理的地方法规,政府部门制定相关的规章和办法,对人脸识别技术数据安全进行规制和保障,以规范人脸识别技术在法律轨道上不断向好发展。
在刑事法律规制路径方面,人脸特征信息为高敏感性信息,且人脸信息易于读取,存在人脸信息泄露的高风险。若有不法人员企图通过不法手段获取这些信息并加以利用,其后果不堪设想。在我国现行的《刑法》中,对于个人信息保护的规定体现在第二百五十三条之一上,但这也仅仅是广义上的非法获取他人信息,并没有及时地更新信息窃取的方式,也就是具体犯罪情节,而这些恰恰都是犯罪量刑的重要考察标准。可以根据非法获取信息数量的多少,以及商家处理这些信息的方式方法,以及根据是否存在买卖个人隐私信息的行为等来制定相应的惩罚制度。
康德曾说,“在这个世界上,有两样东西值得我们仰望终生:一是我们头顶上璀璨的星空,二是人们心中高尚的道德律法。”所以,即便现代社会的人类可以通过技术应用研发出具备无限潜质的人工系统,但必须要在科学工具落实及应用的时候,遵循人类的道德规范,以善为引导,助力人类发展。时代的发展日新月异,科学技术的进步与法治进程理应齐头并进,我们不能因为技术的发展不完善就进行全盘否定一项技术的未来可能性与可塑性。立法应平衡个人利益与公共利益,符合社会伦理道德观念,贴合社会当下发展实际,从而为人脸识别、人工智能的行业的发展提供良好的发展进步空间。
参考文献
[1]付微明.个人生物识别信息的法律保护模式与中国选择[J] .华东政法大学学报,2019.22(6):78-88.
[2]洪延青.人脸识别技术的法律规制研究初探[J].中国信息安全, 2019(8):85-87.
[3]操秀英.人脸识别屡遭非议会成为“潘多拉魔盒”[N].科技日报, 2019-07-12(3).
[4]叶青.人脸识别让寻亲不再是大海捞针[N] .科技日报, 2019-06-10(8).