石佳友、刘思齐:人脸识别技术中的个人信息保护--兼论动态同意模式的建构 | 前沿
中国民商法律网
人脸识别技术在现有应用场景中已经被证明了其便捷性和高效性,但是,围绕该技术自身准确性、安全性、伦理性和合法性等问题的争议也从未停息。2020年我国“人脸识别第一案”引发公众及学界关注与讨论,急需在快速扩散的技术应用中,寻找信息法益保护模式。完善人脸识别技术中个人信息保护模式的可能性如下:第一,坚持“合法、正当、必要”原则,引入“特殊审查许可”对技术适用和信息处理行为进行限制,以此作为第一道保护屏障;第二,基于准入限制,在必要技术实践中严格限制概括同意的适用范围并辅助以监管审查和退出权保障;第三,在技术日趋成熟的前提条件下,科学甄别并引入动态同意模式,以实现明确、清晰、特定且有效的同意授权,保障信息主体的合法权益。 关键词:人脸识别;生物识别信息;知情同意权;动态同意
一、
引言
2020年6月15日,杭州市富阳区人民法院公开审理郭兵诉杭州市野生动物园服务合同纠纷案。该案是由2019年杭州市野生动物园入园系统升级导致的纠纷。入园方式升级后,原告之前购买的年卡所采用的入园方式由指纹验证变更为人脸识别。原告诉称人脸信息作为敏感个人信息,对信息主体影响重大,被告就改变入园方式进行的短信、公告通知无效,且变相强制收集人脸信息,违反《消费者权益保护法》,要求动物园退还购卡费用,赔偿相关交通费用并且删除已采集的信息。被告则辩称其进行的个人信息收集符合知情同意原则,因此双方服务合同依然合法有效。一审法院判决支持原告请求。虽然此案被定性为服务合同纠纷,但有观点认为这是围绕敏感个人信息处理中“告知与选择”“最小必要”和“风险评估”三大原则的争议。该案并非我国首次因人脸技术而产生的争议。早在2017年,城市公共交通路口设置人脸识别查处违反交通规则人员的做法就引发了关于公共安全和公民个人隐私权如何进行价值平衡的热烈讨论。2020年底,天津市人民代表大会表决通过了《天津市社会信用条例》,其第16条禁止社会信用信息提供单位采集生物识别等信息。
国际范围内,人脸识别技术也同样争议不断。2019年5月英国南威尔士公民爱德华•布里斯奇(Edward Bridges)在英国知名人权组织的支持下,以午餐时间被人脸识别摄像头拍摄并被侵犯人格权利为由,将南威尔士警方告上法庭。2020年8月,上诉法院最终支持原告诉求,并认为公共监控中使用人脸识别侵犯公民隐私权,违反《人权和基本自由欧洲公约》第8条、英国2018年《数据保护法案》第64条以及2010年《平等法案》(The Equality Act 2010)第149条。随后,当地人权组织将人脸识别技术称为“具有威胁性的危险技术”,并呼吁禁止在公共领域使用该技术。在美国,脸书公司则因未经用户同意而收集、存储个人生物识别信息面临集体诉讼。在最新的动议中,脸书公司将赔偿6.5亿美金,同时应在动议获批后的180天内关闭当地人脸识别“照片标签”功能,同时删除数据库中存储的人脸图像及人脸生物识别符模板信息。在政策层面,美国多个城市政府也相继表现出对于人脸识别的犹疑和抵制态度。基于技术歧视、叠加算法偏见、隐私与自由的压迫和公权力过度的多重顾虑,2020年9月,美国伊利诺伊州斯普林菲尔德市发布市政令,暂停人脸识别在公开政务中的使用。另外,加利福尼亚州、马萨诸塞州、俄勒冈州等所属10个城市亦相继发布市政令,直接禁止包括警察部门在内的政府机构在辖区内公共场合使用人脸识别技术。
20世纪50年代至今,生物识别技术迅速发展。有预测数据指出人脸识别行业未来年均增速可能高达25%,其市场规模在2022年将达到约67亿元。人脸识别技术前景可观,但其风险与收益比例关系依然存疑。人脸识别技术自身和所涉及的个人信息均具有特殊性,而这些特殊性则导致在技术应用过程中产生新的个人信息风险与威胁。因此,行业引领者和制度设计者应在技术发展和公民权利保护之间把握边界,在技术应用与发展中,同时构建相对应的隐私和个人信息权益保护模式。本文将从人脸识别技术的特殊性切入,结合我国社会经济体制和技术发展环境,并且顺应现有的立法趋势,对比甄别域外实践经验,探寻我国人脸识别技术实践中个人信息保护的适宜路径。
二、
人脸识别对个人信息保护的特殊挑战
欧盟《互联网及移动设备人脸识别技术的意见书(2012年)》中将人脸识别技术定义为“通过自动处理包含人类面部图像的数字照片来识别、验证以及鉴别个体的技术”。美国司法部司法援助局定义该技术为“通过生物识别算法来检查和匹配自然人人脸的区别性特征的技术”,并称这项技术有助于快速识别无身份人和死者,在调查和预防犯罪活动上是“有价值的调查工具”。从技术应用场景划分,人脸识别目前主要应用于两大场景:一是政府机构进行公共管理和维护公共安全的场景;二是涉及身份认定和定制服务的多样化商业场景,包括照片分类与标签、安全访问、精准营销以及消费者服务等等。在上述场景中,人脸识别技术所带来的便利性被日渐认可,但其背后的风险和隐患也逐步进入各界视野,带来重重顾虑。
第一,人脸识别技术的实践须基于拉网式的人脸信息收集,因此在收集过程中可能严重威胁个人隐私。美国学者经调查研究认为隐私权风险是人脸识别技术发展中最为核心的问题,同时在伦理、政策、安全、公平公正性方面都存在技术衍生问题。人脸识别技术与公共监控摄像头的融合,导致公民个人“随时随地活在镜头之下”,个人行动路径和习惯偏好都可能在拉网式的人脸图像捕捉中被分析、提取和窥探。斯坦福大学有研究者曾称可通过面部特征的智能分析,判断主体的性取向,触及个人隐私。
第二,人脸识别技术造成人身、财产以及心理上的安全隐忧。在某媒体发起的覆盖两万多人的人脸识别调查中,30.86%的受访者表示已经因为人脸信息泄露蒙受财产损失,而在“最担忧的安全隐患”中,个人行踪持续记录(54.4%)和账户盗刷导致财产受损(53.72%)仅次于“人脸信息泄露”被列为第二和第三。通过人脸识别,被系统判断为“本人”的用户可以远程行使访问权或者决定权,例如进出某特定空间,或进行远程金融交易等。除此之外,有学者将人脸信息称为“生物密码”,并且指出人们一旦丢失该密码,将无法通过更换来保障安全,也因此让“冒充者”有可乘之机。除了物理性的财产损失,有学者认为人的社会存在表征就是生物和哲学双重意义下的“脸”,因此脸的存在与否和人的社会存在直接相关,若人脸信息泄露并遭遇侵权,则可能造成其精神上的社会存在受到压迫。
第三,人脸识别技术为肖像权保护带来新的忧虑。有学者指出人脸识别技术在人工智能发展的推动下在各领域进入实质性应用,也将对肖像权产生新的威胁。首先,人脸识别依托于光学摄影技术,通过终端摄像头拍摄人脸照片并进行快速识别。随着技术的发展,不同拍摄环境对于镜头精确度的影响日益降低,对人脸肖像的提取和利用的门槛也随之降低。其次,人脸识别需要存储大量人脸图像或人脸生物识别符作为数据库进行后续识别比对,因此若人脸数据库遭遇泄露并用于技术深度伪造,其所造成的安全危害将无法预估。
第四,人脸识别算法可能造成自由危机。现如今,自动化技术和人工智能依然无法完全去除人工干预的痕迹,且在智能算法自动累积学习中,人的主观选择效应将被无限次叠加,从而引发“标签化”的歧视问题。从法理学视角出发,有学者认为 “技术挤压自由”,技术便利性的强化将提高人类对技术判断的依赖性,从而潜移默化地逐步挤压自由,导致人性中的模糊状态异化为 “好”与“坏”的两种极端选择。基于我国公众普遍对公权力更为信任,对权威更为认可的这一社会心理特点,当技术结合公权力之后,这种挤压将更加明显。
为了进一步探寻人脸识别技术中的个人信息保护路径,做到有的放矢,应明确技术应用中个人信息风险的特殊性。
第一,人脸信息具有特殊属性。人脸信息属于活体数据,来源于自然人身体,具有直接识别性,独特性,唯一性,极难变更或替代。相较于指纹或声纹等需要主体配合才能够采集的其他生物识别信息,人脸不可藏匿,“随身携带”且极易采集。同时,人脸信息一定程度上可以关联到特定自然人的既往社会评价、名誉等人格利益,若遭遇泄露或冒用,则可能影响其在社会生活中的自由,且该影响在互联网时代犹如现代“刺黥”,极难褪色消逝。2018年人工智能报告显示出在广泛的人脸识别应用中,若是将数据主体根据“兴趣”进行分类,衍生出特定个体标签,将直接导致背负标签的主体面临特殊对待或过度监控的问题。
第二,无接触信息采集中的知情同意障碍。人脸识别技术中的信息采集以摄像头自动拍摄为手段,不需要信息主体主动接触采集设备。因此,在整个采集过程中,被采集对象往往毫无察觉,从而错失判断风险并明确表达同意或拒绝的机会。同时,现有人脸识别服务存在“使用即同意”的乱象,例如某公共查询平台将人脸识别设置为“唯一”的识别方式,导致信息主体因需要选择服务而不得不同意。
第三,“同意”边界模糊且范围不明,导致人脸信息泄露后溯源无门。在现有人脸识别用户服务协议文本调查中,不少人脸识别服务协议中均约定了向“相关第三方”传输人脸图像用于比对识别。但是,该第三方身份通常无从知晓,仅仅以“相关性”进行约束,极可能导致人脸图像经过多次传输后无迹可查,无从溯源。以新型冠状病毒肺炎疫情防控初期实践为例,基层管控多处应用了人脸识别技术采集公民人脸,而后网络人脸“黑市”就随之出现,数千张戴口罩和不带口罩的人脸照片被廉价出售,但是,这些人脸图像的源头却不得而知。
第四,技术滥用导致管制缺席。新技术如同“诱人的魔盒”,诱使各领域跃跃欲试:从校园管理到公共洗手间的厕纸取用,从线上账户登录查询到线下垃圾分类,包裹着“黑科技”或者“智慧”外衣的人脸识别技术,无限制地在各种场景下被推广使用,而这些使用场景是否符合信息处理的合法性、正当性和必要性,是否存在合理监管路径,依然存在巨大疑问。
第五,事后救济效力存在局限性。万物互联以及技术仿冒导致人脸信息的侵权结果扩散极快,极难恢复如初。同时,由于技术和信息的不对等地位,公民个人极易因为缺乏专业技术知识而维权困难。另外,现有侵权赔偿救济模式的震慑效力仍然有待检验。值得注意的是,立法机关于2020年10月所公布的《个人信息保护法(草案)》中规定了违法处理个人信息的法律责任:除勒令整改之外,还规定了违法处理者100万以下以及主管人员1万到10万人民币的处罚额度,情节严重时处罚额度最高可达非法所得的5%。同时,信息主体可根据实际损失或信息处理者违法营业额百分比请求赔偿,并允许在无法计算时由法院行使自由裁量权。虽然现有草案通过提高违法成本对违法信息处理行为予以威慑,但是,从人脸识别行业现有规模来说,100万处罚额度是否具备足量的威慑力,是否能够有效阻止处理者因利益而“铤而走险”,尚且存疑。
三、
人脸信息保护的现行法律框架
在2021年起正式施行的《民法典》中,“个人信息保护”与“隐私权”并列作为第四编第六章的主要内容,并通过固定的法律条款明确了个人信息定义、保护原则以及相关主体权利。2020年10月公开征求意见的《个人信息保护法(草案)》进一步区分一般个人信息和敏感个人信息,并分别对两类信息处理过程中涉及的处理者义务,主体权利以及责任部门都作出了具有针对性的规定。同时,草案顺应时代需求,体现出对于个人信息流动必要性的认可,并以尊重信息流通需求、实现信息价值和保障合理合法利用为立法目的,充分体现了我国在个人信息保护领域的积极主动态度和未来立法趋势。
(一)人脸信息保护具备明确的法律基础
《民法典》第1034条第2款从信息记录形式、可识别属性两个角度定义个人信息,且明确罗列出“生物识别信息”属于个人信息,肯定其受保护的法律地位。但是,《民法典》并未进一步细化“生物识别信息”的定义。其他现行法律包括《消费者权益保护法》和《网络安全法》,对于生物识别信息均未做出明确的定义。从文义解释来看,生物识别信息应解释为生物活体上足以识别特定主体的信息。全国信息安全标准化技术委员会在2019年6月公开发布的《信息技术安全技术生物特征识别信息的保护要求》征求意见稿中,将生物识别信息定义为“生物特征样本、特性、特征模型、性质以及原始描述数据的识别特征,或上述数据的聚合”。人脸信息来自活体,且作为原始生物特征具备识别性,符合该生物识别信息定义。
《民法典》对私密信息采取了“隐私权+个人信息”的双重保护,这被认为是“权利+利益”的二元保护模式。《民法典》第1034条第3款规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”按照这一规定,私密信息首先适用隐私权保护的规定。这些规定包括:第1032条第2款规定的“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”;第1033规定的“除法律另有规定或者权利人明确同意外,任何组织或者个人不得实施下列行为⋯⋯(五)处理他人的私密信息……”。根据《民法典》前引条款,仅在上述隐私权规定无法适用的时候,方可适用个人信息保护的有关规定。这一做法可以理解成,对于私密信息应优先适用隐私权的规定,类似于特别法——因为隐私权是《民法典》明确承认的“民事权利”类型,而个人信息保护由于未明确使用“权利”措辞,从而属于法律所保护的“利益”范畴,所以其规则属于普通法。这一做法正好与比较法上以隐私权涵盖个人信息的通例相反,具有独特性。第1034条第3款在解释上的困惑在于,“没有规定”究竟是指隐私权保护范围未能涵盖(即可能存在隐私权范围以外的私密信息),还是指隐私权保护手段方面没有规定(即存在隐私权保护方式无法保护的私密信息)。但不难理解的是,此种保护模式可能并非最适宜的方式。就信息特性而言,人脸信息并非不愿为人所知的信息,对周围的人来说也不具备足以比肩隐私的私密性(当然,对于陌生人具有一定的私密性)。在实际社会生活中“人脸”作为公民社会交往的“活体名片”,具备生理和心理的双重属性,蕴含丰富的非语言情感信息,承载了对应主体的既往社会评价,信用评分,以及人格尊严。因此,人脸信息应属于“并不私密但却敏感”的信息,如果简单适用一般类型的个人信息保护规则,则可能导致保护不力,致使信息主体权益遭受侵害。
值得注意的是,《个人信息保护法(草案)》摒弃了“私密信息”这一外延高度不确定的概念,转而采取了“一般信息-敏感信息”的分类方式,其第2章第2节明确以“敏感个人信息的处理规则”为标题,并且在第29条中明确列举个人生物特征属于敏感信息。相较而言,“敏感信息”的概念内涵更为明确具体(如种族、政治与宗教信仰、生物识别信息、健康信息、性取向等);而“私密信息”在边界上则较为模糊,可涵盖所有未公开的个人信息,包括在特定范围内(如家庭成员、朋友间)分享的所有信息。从客体范围的确定性角度来看,《个人信息保护法(草案)》的做法似更可取。另外草案中第27条针对公共场所的图像采集、身份识别设备的规定,可以直接关联到人脸识别技术,足见草案对于这一特殊信息处理技术的关注和区别性规制。
对比国外现有规则,生物识别数据由于其特殊性,一致地被作为特殊数据予以单独保护。GDPR第9条第1款将生物识别数据列为特殊类别的个人数据之一,规定在通常情况下禁止处理。美国在人脸信息保护领域制定专项规范,例如BIPA中针对私人实体进行人脸数据处理提出特殊要求,同时美国信息技术与创新基金会在针对联邦数据隐私法案的建议中也明确将生物识别数据列为敏感数据。
《民法典》第1035条规定了个人信息处理的原则和条件,而《个人信息保护法(草案)》沿袭相关原则,并在第29条针对个人生物特征等敏感信息提出了更高要求,即“特定目的”和“充分必要性”,以及更严格的“知情同意”,并在第30条和第32条两次提及从严规定,体现出对于该类型信息更坚定的保护态度。
人脸识别技术区别于传统个人信息处理手段,在其技术保护中,行业自治组织基于专业知识,结合法律规范,以行业自律形式规范技术的设计、开发以及应用,可以有效填充法律规范和技术专业性中间的留白。2019中国刷脸支付市场调查数据显示,截至2018年刷脸支付用户达到0.61亿人,而在支付平台的推动下,未来预计可增长到7.6亿人。中国支付清算协会发布的《人脸识别线下支付行业自律公约(试行)》对其会员单位提出安全管理、终端管理、风险管理和用户权利保护的要求,呼吁应在遵循国家法律法规的前提下,保障用户信息和财产安全。另外,目前已有互联网企业发起《生物识别用户隐私与安全保护倡议》,从隐私、安全、防止信息滥用、责任与监督、公平性五个方向发起行业倡议,结合我国法律规范,提出“最小、够用”这一基本原则,并建议企业内部设置风险小组,保护用户信息安全。但目前此类行业公约覆盖范围仅限于互联网服务领域,对于线下其他领域的人脸识别应用,例如人脸识别门禁等更为普遍的现象,依然缺乏行业指引。
四、
人脸识别中个人信息保护路径探析
无论合法、正当、必要的基础原则或是具体原则,都应在生物识别信息处理中结合适用,而知情同意原则的适用应以基础原则适用为限制。在人脸识别技术适用前,应经由法定授权机构,根据理性设计的审查标准和步骤,对技术准确性、算法非歧视性设置、安全加密设置和主体权利保障路径等进行评估。
1. 人脸识别中的知情同意应以告知义务的充分履行为前提
国外法中以“Informed Consent”作为一般个人信息处理的前提,其中Informed从文义上解释为“信息充分、知悉情况”,因此整体应被理解为“充分了解情况后的同意”。在处理生物识别信息时,则进一步提升其同意的要求:GDPR第9条第2款要求在不违背禁止处理的条件下,由信息主体做出明确同意;BIPA则升级为清晰严格的书面告知同意形式,从而固定信息传递的明确性和稳定性。在目前我国人脸识别的技术实践中,生物识别信息处理者存在未能充分履行告知义务的情形,包括告知“缺席”或者告知“失灵”。究其原因,一方面是由于生物识别信息处理者藏匿于终端设备之后,用户面对提供服务的终端机器无从查询,或者告知冗长造成阅读不便;另一方面,生物识别服务涉及专业技术领域,技术知识不对等可能导致信息主体难以理解告知内容。基于此,建议在生物识别信息处理的告知义务上给予两个维度的规范:
第一,针对生物识别信息等敏感个人信息的处理行为均统一要求履行告知义务,不得免除,即任何组织或机构,无论出于何种目的(不违反禁止规定)处理生物识别信息之前,都应向所涉信息主体进行告知,且告知内容至少包括其处理的个人信息类型,收集方式,信息处理目的,存储方式与时限,安全设置以及信息处理者身份和联络方式等基本信息。
第二,应采用清晰、通俗、易懂且明确的语言进行书面告知,同时对于不易理解的部分或重点内容进行单独告知。在处理人脸信息等敏感信息时,可能面临处理信息规模巨大或远程采集等情况,应考虑结合现代技术手段,通过移动端推送或服务内弹窗等形式进行单独告知。若告知中存在预设格式条款或系统预设模式,应由国家相关监管机构进行预先审查,在生物识别信息的处理周期开始之前保障信息主体的知情权。
2. 从严限制概括同意的适用
根据前文所述,人脸识别技术存在两种适用情形:第一,法律法规允许的、为实现重大的利益所需的情形,例如公共安全、公共健康所需等;第二,法律法规不禁止,且获得主体明示同意授权的情形。在知情同意领域,同意的模式不断发展演变。传统的知情同意要求明确、具体且详实,被称为特别同意,但特别同意在以往生物识别信息处理(基因研究或生物资料库等)的实践中,被证明存在效率较低无法满足实践所需的问题。无论是法定许可还是基于主体知情同意的情形,人脸识别势必需要采集海量人脸图像,并和数据库中存储的人脸识别符进行比对,因此完全适用特别同意的难度和成本之大将超乎想象。作为同属于生物识别信息的基因,在其处理实践中,概括同意模式允许将信息主体的同意从当下处理目的延申扩充至固定框架下的未来处理目的,凭借其灵活性和自由度受到推崇。
我国个人信息的同意模式也普遍采用概括同意结合特定例外的形式,它给予信息处理者一定的自由,在设定的处理范围框架内合理处理信息,提高信息处理效率,以应对技术升级或场景变更的需求。但是,作为特别同意的矫正提案,反对观点认为概括同意在未加限制的情况下,可能导致告知程度下降,造成同意虚化。因此,在人脸信息处理中,应甄别现有知情同意模式,适当采用附带严格限制条件的概括同意,保障信息价值实现,同时保持个人法益保护的应有水准。另外,可以仿效基因研究领域的医学伦理审查机制,设立科技伦理委员会,对人脸识别等可能引发伦理风险的科技应用,设置科技伦理审查机制,规范同意模式的适用。
首先,人脸识别中概括同意的适用条件应该予以限制。由于概括同意涉及限制框架下一定程度的信息处理自由,在人脸信息等敏感信息处理前,必须经由严格的适用审查。生物资料库研究适用概括同意的探讨中,有学者建议伦理委员会对这种同意模式的采用进行提前审查,并允许主体自由选择是否愿意适用概括同意;也有观点建议根据信息对主体的重要性,将个人信息处理划分为四个层级,并基于情境理论,考量并选择匹配的同意模式;另有观点认为针对生物识别信息等敏感性更高的信息,“以一概全”的同意模式无法有效避免风险,而应根据情境酌定。无论是伦理审查,还是情境酌定,应由具备专业技术和法律知识的法定授权机构就人脸识别服务中的同意模式进行审查,或将其囊括在事前技术准入审查程序之中,以判断技术应用场景下概括同意模式是否足以有效规避风险、是否存在超额让渡主体权益的情形、信息处理情形是否具备采用该同意模式的条件以及信息安全保障是否匹配和有效。
其次,人脸识别中概括同意的范围限制。其一,概括同意的框架范围必须合法且正当,符合目的限制。概括同意允许信息处理者在约定框架内处理信息,而无需再次取得信息主体的授权。但是,在人脸信息处理中,对该授权延展长度应做出明确的限制,例如规定仅允许在实现同一目的且情境一致的范围内,概括同意有效,若超越情境或变更目的,则需要二次评估并获得新的同意。其二,概括同意范围应以必要性为限度。“最小、够用”除了作为生物识别信息收集的实践标尺之外,也应作为主体概括同意范围的边界。其三,人脸信息加工后的跨境存储、共享或处理不应纳入概括同意范围。有学者针对我国网络服务隐私条款进行了文本调查,发现存在“当服务器位于境外时,主体同意其数据在境外存储”的表述,这种情形下的概括同意可能导致人脸信息在未经确认的境外不特定区域存储、流转,信息风险急剧升高。
最后,人脸识别中采用概括同意应设有严格的监督审查机制,并设置个人选择权、退出权等保障机制。知情同意源自信息主体对于个人信息处理的自决权,这意味着主体不仅有作出同意的自由,也享有撤回同意的自由。为避免技术不对等造成主体难以监督的困境,国家法定授权机构应定期进行信息处理监督和审查,以确保概括授权框架持续符合“合法、正当、必要”原则,并将其审查结果及时披露和公示,使得信息主体能够充分了解风险,有机会更新或撤回同意。信息处理者还应设置人脸识别之外的替代选项,例如动态验证码识别或密码识别,保障用户的自由选择权。
3. 利用技术发展和超级平台创新引入动态知情同意模式
面对刷脸支付终端或者人脸识别门禁,个人难以真正理解其中的安全风险,并且可能无法做出出于真实意愿的同意。另外,人脸识别技术的实现过程存在不确定性,例如,约定“必要时”需要将人脸图像与“法律法规允许的或政府机关授权的机构所保存的人脸图像”进行比对核验,或者人脸图像处理所对应的服务可能因为适用场景和功能存续情况而发生未知的调整,但具体是哪些法律规定或哪个政府授权的机构,所提供服务(即信息处理目的)与人脸信息采集的持续相适性,对于信息主体而言均无从判断,无法给出符合期待的同意授权。就此而言,美国学者提出的动态情境理论佐证这一现实问题。该理论要求信息保护应考虑情境关联因素,以及信息主体在当下情境中做出的同意和合理预期。如今美国CCPA也已经认可且采纳了情境风险这一理论,要求信息处理应符合信息主体在其同意情境下的合理预期。
其实,涉及人体基因、健康状况的生物医学领域也曾面临类似的情境困境——高敏感度的信息特性、技术门槛和不对等地位,以及快速迭代的技术手段和处理目的,导致知情同意原则遭遇前所未有的挑战。围绕这一困境,学者们进行了激烈的批判、反思甚至重构,最终在传统特别同意、概括同意、分段分层同意、附条件同意等众多理论中,提出了动态同意模式,允许个人选择其偏好的知情方式、频率以及内容,并自由决定授予同意或退出同意,以提高信息主体在信息处理过程中的参与度。动态同意模式的核心在于参与感和撤回权,这一授权模式对于人脸识别技术应用中的人脸信息知情同意具备参考借鉴意义。
首先,动态同意模式下信息主体享有中心地位,能够提高同意授权的有效性,实现充分意思自治。在原有基因生物研究的背景下,动态同意要求在生物资料库和提供基因的参与者之间搭建沟通平台,参与者可以进行偏好设置,自由选择在何时、以何种方式和频率、告知何种内容,进而做出同意选择。在现有人脸识别协议的文本调查过程中,发现几乎所有服务提供者都选择了加粗或使用着重符号提示用户注意阅读重点信息,但依然存在条款冗长的阅读负担,可能由于能力限制或时间紧迫而无法充分知情。动态同意模式下,个人将可以根据个人偏好,对国家法定人脸数据库中的人脸信息进行管理,定制告知的时间、频率、形式和内容等,提高知情效率。
其次,动态同意模式下信息披露程度和透明程度较高,满足生物识别信息等高敏感度信息处理的知情权要求。譬如,英国牛津大学研究者和部分产业界代表联合提出的同意确保和撤销研究项目( Ensuring Consent and Revocation, 2008-2012)是动态同意模式在生物资料研究中的实践探索。该项目中,研究者可以通过技术平台动态地、开放地、及时地披露研究进度和生物资料及信息的处理细节。人脸识别技术正在快速革新,从二维平面识别到三维景深识别,再到活体检测技术。在快速迭代的技术发展中,信息处理的透明性将成为人脸识别中个人信息保护的基础之一,能够实时、有效地向个人传达其人脸信息正在由何种技术采集、如何处理、如何进行安全保障,以及实现了何种目的等信息处理细节,从而帮助个人做出判断。
再次,动态同意模式可以保障信息主体享有同意撤回权,将信息主体置于中心地位,允许其根据所了解到的事实决定选择进入和退出,打破既往“同意即终身”的弊端,符合情境理论中合理预期的需求。若将动态同意模式引入人脸识别应用,信息主体将有机会选择让自己的“人脸”消失于互联网络和信息世界之中,从而重获被大数据忘却的片刻自由。以新型冠状病毒肺炎疫情基层防控的场景为例,部分社区管理委员会执行严格的出入政策,采用人脸识别门禁,以限制非本社区人员的流动并追踪社区内人员的进出记录。在疫情防控的场景下,社区居民对于其人脸信息处理的预期是保护个人和社区健康安全,但在疫情逐渐缓解乃至有效控制之后,该期待即发生变化,此时作为信息主体,个人应有权根据更新后的处理目的(社区日常进出管理等),自由选择继续给予或撤回同意。
最后,动态同意在当今技术发展水平下具备实现可能性,且难度可控。万物互联时代的到来和5G网络技术的发展,使得轻便、快速、及时的移动小程序更加普及,搭建一个高效动态同意平台不再是难以克服的技术难题。与此同时,依托于现有极具实力的超级平台,人脸识别行业从业者将可能在控制成本的同时,实现高速有效的动态同意。例如,通过手机系统设置、统一用户中心或者加载在社交软件中的程序动态,及时披露公告附近人脸识别技术的细节,包括采集方式、处理目的、安全设置、存储时限、脱敏处理方式等等主体应当获知的信息。
动态同意模式也存在其制约因素,包括主体反复给予或撤回同意而影响信息处理效率,从而造成资源浪费和成本增加,而且信息主体是否能够从相关的、不相关的披露中有效识别潜藏风险也有待商榷。但我们需要结合实践,结合其他同意模式,逐步构建我国高效科学的知情同意模式。
4. 人脸识别中的未成年人信息处理限制
由于无差异无接触信息采集的形式,人脸识别适用过程中无法区分被采集者的年龄,因此不可避免地涉及大量未成年人人脸信息。同时,根据我国近年来发布的移动社交用户报告,用户日益年轻已成为趋势,未成年人使用人脸识别服务(例如游戏登录、AI图片编辑等)十分普遍。如果未成年人的人脸信息泄露或被侵权,其侵权影响将可能伴随一生,特别是技术歧视或算法偏见导致的不公平待遇,会直接严重影响未成年人步入正常社会生活。
未成年人的个人信息通常作为特殊类型的信息被予以特殊规定,且采用监护人代为同意的授权模式。GDPR规定未成年人生物识别信息处理,除了满足第9条关于特殊数据的规定之外,还应同时获得其监护人的同意。同时,处理涉及儿童的个人数据应该更谨慎的考虑数据处理的必要性,保障其目的实现不以过度侵犯基本权利为代价。英国教育部曾根据《自由保护法案》和1998年《数据保护法案》发布针对教育机构的生物识别信息保护指导文件,规定学校在使用、计划安装生物识别系统之前,必须根据法律规定获得至少一位监护人的书面同意授权,并且提供了书面告知文件内容模板。英国2018年《数据保护法案》中则提出“适龄设计规范”,要求如果某社会信息服务涉及儿童访问者或用户,应在其服务设计时,体现不同年龄差别适用的理念。
实践中,我国对于未成年人个人信息保护的年龄界限设定为14周岁。《民法典》第1036条第1款规定的行为人不承担责任的个人信息处理行为中包括“监护人同意的范围内”的“合理实施”。但是,结合第1034条个人信息定义和范围条款来解读这一限制,可以理解为该限制仅适用于非私密信息的个人信息,而人脸信息由于其敏感特性,虽不私密但影响巨大,还应予以明确规范。笔者认为未成年人的人脸信息保护应在普遍保护标准之上予以更为严格的保护:第一,应普遍禁止处理未成年人的人脸信息;第二,在法定必要处理的例外情形下,借助识别系统的适龄设计保障和监护人同意授权模式对信息处理进行约束;第三,严格以“最小必要”为限。这里将衍生出一个问题:监护人同意的核实,包括个人年龄核实和监护人同意真实性核实两个方面。在主体年龄核实层面,随着网络用户的低龄化和普及化,实践中如果由服务提供者或信息处理者全权承担核查义务存在实际困难。因此,《个人信息保护法(草案)》第15条关于未成年人信息处理的规定,提出该条款的适用场景是信息处理者“知道”或“应当知道”,即要求处理者在其能力范围和注意义务内进行年龄核查,而非强加给处理者无限的义务。在一般个人信息处理过程中,有三种常见的年龄验证方式:第一,主体自查,即使用特定服务时个人在资料中心填写出生日期,但这种方式无法规避随意填写而导致误差率极高;第二,实名身份验证,即使用服务时需要提供身份证照文件进行验证,通过身份证照登记的年龄进行核对;第三,自动评审,即通过技术手段,结合个人提供的其他信息综合考评并预估用户年龄段。在人脸识别技术应用中,笔者建议首先应在技术中增加适龄设计,当检测到可能是未成年人用户时,提示应在获得其监护人书面同意后才可以继续使用服务;其次,限缩同意范围,严格禁止对于未成年人人脸信息的对外传输,并最小化其存储时限。
五、
结论
当今技术发展日新月异,“刷脸”已经日渐向更为广泛的领域蔓延。在可预测的未来,人脸识别技术在深度和广度上都将进一步延展,例如将识别技术扩展至毛细血管识别,以及基于主体内在情绪和心理变化等的情感识别,或者基于数字孪生技术全方位捕捉复原生物的一切表征。同时,人脸识别的应用场景在未来也将日益广泛,而人脸信息也将逐步成为部分行业的核心生产要素,那么,基于人脸信息所产生的商业利益,信息主体是否享有相应的报酬请求权,都可能成为值得探讨的议题。但是,在享受技术所带来的便捷红利时,人脸识别的法律风险不容忽视:人脸识别技术的泛滥可能会严重威胁个人的隐私权、平等权、人身自由,人身及财产安全等。当前由于监管执法的真空,人脸识别应用已有失控的苗头,亟待出台相关具体法律法规和监管措施。
我国《民法典》对个人信息保护制度已经作出了重要的完善,对个人信息的处理设定了基础性的法律框架,其所约束的义务主体“信息处理者”涵盖了从事个人信息处理活动的所有机构和个人,突破了《网络安全法》在适用对象上的限制,具有一般性意义。此外,立法机关当前也在紧锣密鼓地推进《个人信息保护法》的制定。在未来,相信与之相配套的行政法规、规章等规范性文件、实施准则也将陆续颁行。这些配套法律规则的实施,对人脸识别的法律规制而言,无疑是十分必要和大有助益的。
中国民商法律网
原文刊载于《财经法学》2021年第2期。