摘要:人脸识别技术已广泛应用于我们的日常生活中,但该技术在给社会治理、日常生活、消费带来便利的同时,也引发了一系列风险。一方面,作为敏感个人信息的生物识别信息的泄露将给个人的人身和财产安全造成巨大影响,另一方面,传统的静态知情同意机制在非接触式信息收集中也难以发挥作用。因此,必须探索新型的动态知情同意规则,构筑起事前风险评估和事中动态同意的多层次的知情同意机制。
人脸识别技术是基于生理特征的识别,通过计算机提取人脸特征,并依特征进行身份验证的一种技术。[1]由于人脸识别技术的非接触性优势,自2015年以来得到了广泛的应用,特别是新冠肺炎疫情爆发以来,人脸识别技术的应用更是呈现了井喷式的增长。然而2019年郭兵诉杭州野生动物世界有限公司合同纠纷作为“中国人脸识别第一案”引发了人们对人脸识别技术应用的思考与担忧,技术的进步给人们的生活带来便利的同时,也带来了一系列的风险与危害,如何通过探索动态知情同意规则来平衡经济技术发展与个人权益的保障是值得思考的问题。
人脸识别技术作为一种身份认证技术,如今已被多角度多领域广泛运用,比如解锁解密、支付转账、门禁考勤等等。但其应用会衍生出一系列的风险,这些风险包括了技术本身带来的风险和法律层面的风险。
人脸识别技术的本质是一项基于人脸数据分析算法的人工智能身份验证技术,[2]而技术的发展往往是一个循序渐进的过程,不可避免的会存在一些漏洞,人们需要不断的填补这些漏洞从而不断地改良技术,因此在技术发展的过程中会衍生出一些由于技术不成熟而引发的风险。比如早期的人脸识别系统,可能被一张照片或者面具轻易地欺骗,认为就是被认证的对象本人。而随着技术的进步,人脸识别技术已经可以区分平面与立体图像,但对于立体图像的识别仍不够精确,曾有人用3D打印制作的蜡像人头,骗过支付宝的人脸识别系统。同时人脸信息在存储和流转的过程中也存在因技术原因而被泄露的风险,人脸信息通过转化为计算机可识别的二进制代码进行存储和流转,无论是存储在本地服务器还是公共云平台都存在被攻破的风险,而流转过程中也存在被复制、泄露和窃取的风险。
相较于指纹、基因、虹膜、声纹等其他生物识别信息,人脸信息的采取具有被动性、隐蔽性以及不可觉察性。[3]人脸信息可以被轻易获取,无需经过信息主体的同意,信息主体甚至根本无法察觉,此种行为既侵害了信息主体的信息自决权也侵害了信息主体的隐私权。2021 年央视“3. 15 晚会”曝光了科勒卫浴、宝马等 20 多个知名品牌或机构,通过安装人脸识别摄像头非法采集甚至滥用顾客人脸信息。[4]在消费者完全不知情的情况下进行人脸信息采集即侵犯了消费者的信息自决权和人格权益。在俄乌战争中,乌克兰士兵通过面部识别软件,对阵亡或被俘的俄罗斯士兵进行面部识别搜索,确认俄罗斯士兵的身份并联系了数百名死者家属,甚至还向他们发送了尸体被遗弃的照片。[5]单纯的人脸信息可能尚不构成对隐私权的侵犯,然而通过人脸信息与其他信息相结合,就能锁定个人的身份信息、家庭情况、社交关系,使得个人隐私暴露无遗。[6]而随着人们在支付转账中对人脸识别技术的广泛应用,人脸信息的泄露还会侵犯信息主体的财产权。
从《全国人大常委会关于加强网络信息保护的决定》(2012.12.28)《消费者权益保护法》(2014.3.15)《网络安全法》(2017.6.1)到《民法典》(2021.1.1)《数据安全法》(2021.9.1)《个人信息保护法》(2021.11.1)均采用知情同意作为信息处理的合法性基础。而人脸信息这一生物识别信息作为一种敏感信息受到《个人信息保护法》的强化保护,该法第29条明确规定,“处理敏感个人信息应取得个人的单独同意,或者按照法律、行政法规的规定取得个人的书面同意”。而在公共场所安装图像采集、个人身份识别设备的情形,该法第26条亦作出规定,如系维护公共安全所必需则可以无需取得个人的事先同意,但也必须“遵守国家有关规定,并设置显著的提示标识,所搜集的信息也只能用于维护公共安全的目的”,否则必须要取得个人的单独同意。
上述知情同意规则在实际操作中却面临了适用困境。一是基于信息不对称和技术的复杂性,信息主体无法充分理解信息处理者的告知内容,实践中信息处理者往往是通过《隐私政策》或《用户协议》的形式向信息主体履行告知义务。但是上述内容过于冗长,信息主体往往没有耐心看完,即便看完了可能也无法理解条文的真实含义。二是信息主体的同意很多时候并不能反应信息主体的真实意思表示,比如前述的《隐私政策》《用户协议》往往都是信息处理者制定的格式合同,合同中包含了众多的权利义务,而信息主体即便不同意其中的人脸识别内容,但只有全部同意方能使用相应服务,因此事实上信息主体丧失了选择权,只能选择同意,此种同意很难反应主体的真实意思。而基于不平等地位下的同意亦难反应主体的真实意愿,比如2019年瑞典一所学校在征得学生和监护人同意后,实行刷脸的考勤制度,但仍然受到瑞典数据保护局的行政处罚。理由就是学校与学生之间存在着明显的不平等地位,因而学校所获取的学生及其监护人对使用人脸识别技术的同意,并不能够证明属于其真实意愿。[7]
基于前述困境,笔者认为,为进一步探索经济技术发展与个人权益保障的平衡,可建立一种事前风险评估、事中动态同意的多层次动态同意机制。
由于人脸信息作为一种敏感个人信息,信息处理者在设置人脸识别技术前应进行充分的事前风险评估,评估人脸识别技术是否确有必要,即如果可以通过其他方式实现的就说明是非必要的。《个人信息保护法》第28条明确规定,“只有在具有充分必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息”。《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第2条第8款规定,信息处理者违反必要原则处理人脸信息的行为,侵害了自然人的人格权益。比如郭兵诉杭州野生动物世界有限公司合同纠纷中,动物世界将原本合同约定的指纹识别验证方式变更为人脸识别验证即不具有必要性。
结合前文所述通过《隐私政策》等进行概括告知并未起到明确的信息披露义务,信息主体的同意是违背其真实意愿的情况下不得不作出的选择,以及《个人信息保护法》第29条规定的“处理敏感个人信息应取得个人的单独同意”,建议信息处理者将人脸信息收集及处理的各项告知内容从《隐私政策》中单独抽出,就该部分内容向信息主体进行单独的告知,详细列明人脸识别信息的使用方式、范围和目的,保障信息主体的知情权,同时排除“推定同意、默示同意”的设置模式。这种同意不应该是一劳永逸的,而是应该进行动态调整,如果信息处理的情形发生了变化,信息处理者应对变化的利用情形及时进行披露、提示可能存在的风险,并重新获得信息主体的同意,保障信息主体在信息对称的情况下作出最符合内心真实意愿的选择。
[1]参见颜文彩:《人脸识别技术的应用风险及其法律规制》,载《哈尔滨学院学报》,2022年6月。
[2]参见《人脸识别技术应用的机遇与挑战》,资料来源于 https: / /m.gmw.cn /baijia /2019-12 /26 / 33430586.html,最后访问时间:2022年8月20日。
[3]参见潘林青:《面部特征信息法律保护的技术诱因、理论基础及其规范构造》,载《西北民族大学学报(哲学社会科学版)》2020年第6期。
[4]参见《你的脸正在被偷走,你却对此无能为力》,资料来源于: https://ishare.ifeng.com/c/s/v002SE8hjOyPzhHvmBfvhC--RfNFJMpaB-_KOTWGT14Q6gE0s,最后访问时间: 2022 年 8 月 20 日。
[5]参见《人脸识别最令人毛骨悚然的一次应用》,资料来源于:
https://mp.weixin.qq.com/s/9U1TRoLnmi4_kggbfnY4kA,最后访问时间2022年8月20日。
[6]参见朱红:《论人脸识别技术的法律规制》,载《中阿科技论坛》,2022年第3期。
[7]参见张新宝、葛鑫:《人脸识别法律规制的利益衡量与制度构建》张新宝,载《湖湘法学评论》,2021年09月。