关于政府部门使用人脸识别技术的法律规制,特别许可使用制度旨在兼顾人脸识别技术的优势与潜在风险,形成一种更加理性的制度安排。对于非政府部门的使用法律规制,应对人脸信息施加比一般个人信息更为严格的保护与管理,以更有效地维护个人的人脸信息安全。
在没有竞争性的服务领域(如民航、铁路、学校和社区等)中,采用人脸识别技术时,应确保在用户拒绝“刷脸”的情况下提供其他替代的验证方式,而不是强制要求用户“刷脸”才能获得服务。即使不全面禁止政府部门的安装与使用,仍需对相关行为实施严格的法律规制,以降低安全风险并防止技术的滥用。
随着技术的进步,人脸识别(通常被称为“刷脸”)在我国逐渐普及。目前,我国尚未制定专门的法律来规范人脸识别技术的使用,无论是政府、社区、公共机构还是商家,均可随意安装此技术,且强迫用户进行“刷脸”验证。对于拒绝“刷脸”的人,通常无法享受相关服务,若对此不满,投诉渠道相对有限,诉讼成本也较高。因此,有必要深入研究人脸识别的法律规制,明确其应遵循的法律底线以及基本要点。
人脸识别技术的特性、优势与风险
人脸识别技术可以简要描述为:通过机器对静态或动态视频中的人脸图像进行特征提取与分类识别,从而实现身份验证。该技术的应用场景日益广泛,主要包括身份验证和监控,其应用可分为政府机构的公共用途以及非政府机构的商业与慈善用途等。
人脸具有独特性、直接识别性、便利性、不可更改性、变化性、易采集性、不可匿名性和多维性等特点。这些特性导致人脸识别技术的复杂性,而许多收集人脸信息的机构未必具备相应的风险防控与安全保障能力。
人脸识别技术的益处是广受认可的,其应用场景涵盖多个领域。
然而,另一方面,人脸识别技术的风险也不容忽视。主要风险包括:一是误差风险,若技术尚不成熟,可能导致识别混淆;二是身份认证被破解的风险,由于人脸信息是公开的,尽管最新的3D识别技术相对更安全,但破解仍有可能;三是信息泄露风险,存储人脸信息的系统可能遭遇黑客攻击或内部人员的恶意行为,导致信息泄露,生物信息一旦泄露或滥用,后果将不堪设想。
国际上人脸识别法律规制的经验
从美国已有的相关立法及草案来看,政府部门与非政府机构在使用人脸识别技术的法律规制上存在差异,分别采取不同的立法与规制方式。针对政府部门的规制主要分为三类:禁止使用制度、特别许可使用制度和任意使用制度。禁止使用制度最初由旧金山市提出,受到广泛关注;特别许可使用制度目前仍处于建议阶段;而任意使用制度则意味着政府在使用人脸识别时没有特别的立法限制。
对于非政府机构,法律规制主要将人脸信息视为生物信息进行管理,分为两种路径:一种是对人脸信息实施比普通个人信息更为严格的保护,另一种则是与普通个人信息保护无差别的普通规制路径。
欧盟与美国在政府与商业部门使用人脸识别技术的立法上存在差异,欧盟的《通用数据保护条例》(GDPR)适用于所有部门。这意味着无论是政府还是非政府组织,只要使用人脸识别技术,均需遵循相同的规范。
GDPR第4条明确了“生物数据”的定义,包括“面部图像”。第9条则规定了特殊种类个人数据处理的原则,即“原则禁止,特殊例外”。数据控制者可以在获得“数据主体同意”的情况下处理生物数据,但该同意必须是“自由给予、明确、具体、不含糊”的,任何被动同意均不符合GDPR要求。
2019年7月,欧洲数据保护委员会(EDPB)发布了《关于通过视频设备处理个人数据的3/2019指引》,提出降低风险的措施,如对原始数据进行分离存储和传输、对生物识别数据进行加密等。
在国外,人脸识别法律规制现存三种制度,但任意使用显然是大数据时代以前的做法,未考虑到人脸识别技术所带来的风险;而禁止使用则过于极端,限制了技术的发挥。相比之下,特别许可使用制度能够兼顾技术的优势与风险,是一种更为理性的选择,值得我国借鉴。
对于非政府部门的法律规制,虽然存在两种路径,但将人脸信息视为普通个人信息的路径明显未能认识到其特殊性,可能使个人面临较大风险。因此,施加比普通个人信息更严格的保护与规制更能有效保护个人的人脸信息,值得我国参考。
然而,各国在政治、社会和技术背景上的差异决定了国外的相关制度不一定适用于我国,因而我国在引进相关制度时需审慎考虑。
完善我国人脸识别法律规制的建议
我国在2020年5月公布的民法典第1034条第1款中规定,“自然人的个人信息受法律保护”,并在第2款中将生物识别信息列为个人信息,但并未对生物识别信息提供特别的保护。此外,个人信息保护法(草案)第27条规定,在公共场所安装图像采集与个人身份识别设备需遵循国家相关规定,并设置明显的提示标识,所收集的个人信息仅限于维护公共安全,除非获得个人同意或法律另有规定。这里的“图像采集”包括人脸识别。第29条则将个人生物信息视为敏感个人信息进行保护,并规定“充分必要”原则,但总体而言,草案对人脸识别技术的规制仍显得较为简略。
目前,我国对包括人脸信息在内的生物识别信息的特别保护呈现出软法先行的特点。2020年2月,全国金融标准化技术委员会审查通过的《个人金融信息保护技术规范》将生物识别信息列为敏感性最高的C3类信息,并要求金融机构在收集和传输时使用加密措施。2020年3月修订的国家标准GB/T 35273-2020明确规定个人生物识别信息属于个人敏感信息,并对其实施特殊保护。2020年11月27日,工信部发布的《app收集使用个人信息最小必要评估规范 人脸信息》则规定了移动应用软件在收集、使用、存储和销毁人脸信息时的最小必要规范和评估方法。
数据治理的普遍性、技术性、复杂性和应时性等特征决定了数据治理具有一定的软法空间,但软法缺乏强制力的特点使得对包括人脸信息在内的个人生物识别信息的特别保护仍需依赖硬法的支撑。因此,有必要从硬法角度系统思考对包括人脸信息在内的个人生物识别信息的法律保护和规制问题。
1. 建立健全一体适用的安全与责任底线
法律规制人脸识别技术的目标并非一味停止该技术的使用,而是在确保安全的基础上倡导负责任的使用。为此,建议建立适用于公私部门的安全与责任底线,若不符合这些安全底线,则视为违法收集个人信息。
首先,无论是谁使用人脸识别技术,人脸识别系统应当经第三方独立机构定期检测,以确保其准确性与非歧视性。必要时,检测结果需向监管部门备案。
其次,无论是通过公共网络收集、传输还是存储人脸信息,都应采用加密措施,并将收集的人脸信息进行分片存储,禁止公开披露。
再次,使用人脸识别技术的主体应建立可追溯的技术体系,确保任何查询、使用、修改、下载人脸信息的行为均可追溯,以便发生侵权时能够追责。
法律应规定,无论是
