个人隐私与信息安全的隐忧
第一,威胁个人隐私。人脸识别技术采取的人脸信息是具备唯一性的个人生物识别信息,在制度不健全的情况下容易威胁公民个人的隐私。例如,2019年2月,深圳“AI+安防”公司因人脸识别数据库缺乏保护导致数据泄露,致使超过250万人的人脸信息能被不受限制地访问。同年9月,“ZAO”换脸App要求用户同意授予“ZAO”及其关联公司在全球范围内完全免费、不可撤销使用人脸照片的权利,明显涉嫌侵犯用户个人隐私,最终被工信部约谈并要求整改。根据IHS的研究报告,到2021年,全球将有超过10亿个监控摄像头安装运行,而超过50%的摄像头将位于中国。相关数据库的疏于保护、各类App的过度收集以及几乎无所不在的人脸识别设备导致人脸识别技术和个人隐私之间的紧张关系。
第二,泄露个人信息。根据《民法典》第四编“人格权”、《网络安全法》和相关司法解释的规定,我国坚持“隐私和个人信息”双重保护的立法理念。人脸识别信息既关乎隐私,也是能单独识别特定自然人身份或反映其活动情况的公民个人信息。海量的人脸信息一旦泄露,就会因人脸的难以更换而导致终身泄露,信息主体即使法律维权成功,也难以恢复原状。因此,无论是政府部门还是商业机构,若在收集、存储、运用人脸信息过程中没有遵守法律法规所确定的“合法、正当、必要”和“告知—同意”原则,都可能因侵犯公民个人信息而引起相应的法律责任。例如,2020年5月,江苏省宿迁市一家健身中心因违法收集会员人脸信息,被宿迁市公安局宿豫分局责令限期整改并处警告。近年来,更有不少行为人因非法获取或向他人出售、提供人脸信息而被以侵犯公民个人信息罪追究刑事责任。
第三,存在安全隐患。目前,人脸识别技术被广泛应用于公共安全(罪犯识别、边防管理)、场所进出(机构门禁、物业服务)、信息处理(账户认证、文件解密)等领域,但人脸识别技术的应用并非无懈可击。例如,2017年“3·15”晚会上,主持人在技术人员支持下,仅凭观众自拍照就现场“换脸”破解了“刷脸登录”认证系统。2018年8月,被告人唐某通过制作3D人脸动态图的方式突破了人脸识别认证系统,导致被害人账户财产被转移。人脸识别技术运用主体的技术条件和管理水平良莠不齐,而一些不法分子甚至会开发黑客工具来绕过、干扰或攻击人脸识别技术背后的系统和算法,进而引发盗窃、诈骗、侵入住宅等下游犯罪,危及被害人的数据安全、财产安全乃至人身安全。
落实科学标准 区分应用场景
个人信息领域的行业标准兼具技术和制度的双重属性,决定了我们应在制定科学标准的同时加以有效执行,以最终形成全行业普遍遵从的共识。我国最新制定的国家标准GB/T35273-2020《信息安全技术 个人信息安全规范》取代GB/T35273-2017版本,提出了人脸识别技术应用在收集、存储、共享、披露等不同环节的标准。为确保标准的落实,我们应进一步明确中央和地方层面的监管机构和监管事项,突出国家和地方网信办的牵头作用,避免不同监管机构窗口指导中潜在的随意性和模糊性;采取分级分类制度对人脸识别技术的软硬件进行专业认证,以确保人脸识别的安全性和准确性;建立“检测评估类”机制,以针对现有标准设定可执行和可重复的验收规则与核查程序。同时,整合全国信息安全标准化技术委员会网站、中国知网标准库等信息源,推动统一的标准信息公开平台建设,以指导不同主体在人脸识别技术领域的合规运行。
在基于公共利益而使用人脸识别技术的“公用”场景中,应坚持“比例性原则”和“最小必要原则”。“比例性原则”要求社会治理者本着“法无明文规定不可为”的理念,追求社会治理目标的实现和相对人合法权益之间的平衡。为此,需要在人脸识别领域明确公共利益的内涵和外延。公共利益往往指“社会不特定多数人所享有的利益”。结合人脸识别技术的应用场景,可将公共利益划分为公共安全、公共秩序和公共财产等具体类型,应框定其具体场景,避免以公共利益之名任意收集和使用人脸信息。同时,要推广具有事前监督性质的听证制度,评估人脸识别技术应用的必要性、效率性和风险性,并区分情形建立人脸识别技术应用的申报备案或审批制度。“最小必要原则”要求人脸识别技术应用要有明确的主体清单和资质条件,在收集频率和数量上符合实现目的所需的最小数值,避免肆意扩张和无序收集。在授权访问和存储时间上,应建立被授权人的最少访问控制策略;除非法律法规或信息主体另有授权,人脸信息在实现公共利益后应在一定时间内进行删除或匿名化处理。
在“商用”场景中,除遵守上述原则外,还必须真正落实公众的“选择权”和“同意权”。就选择权而言,由于人脸信息的高度稳定性和难以匿名性,商业机构应借鉴隐私保护的场景理论建立不同场景的身份识别机制。在确有必要人脸识别的特殊场景中应采用密码、指纹、人脸等多因子识别管理体系,由信息主体进行自主选择;在无需确认精确身份的一般场景中,应采取密码、指纹等人脸识别外的验证手段,从源头上减少人脸信息的收集。就同意权而言,除法律授权或监管机构批准外,针对商业机构强制采集人脸信息否则不提供产品或服务的行为,信息主体可援引《民法典》第496条和第497条有关格式条款的规定主张合同无效并向监管机构举报;监管机构应客观评估商业机构采集人脸信息的依据,将不当应用人脸识别技术的机构拉入“信用黑名单”,并可根据不同的违法程度实行罚款或市场禁入,以确保信息控制者不违背信息主体意愿进行捆绑式的人脸信息收集。
打造便利的数字经济法治环境
在信息数据已成重要生产资料的数字经济时代,人脸信息涉及个人、产业和社会的共同利益。首先,应选择以《数据安全法》《个人信息保护法》为代表的专门立法保护模式,厘清删除、匿名化、去标识化等易混淆概念,整合涉及人脸识别的40多部部门规章、近百部地方性法规和规范性文件,提升人脸识别规范的法律层级。其次,《民法典》第1034条和第1035条确立了生物识别信息(包括人脸信息)的个人信息属性,但没有特殊保护的安排。应进一步厘清人脸信息与隐私权、人格权、身份权的关系,强化“隐私政策”“用户协议”等方式的“告知—同意”规则,避免默认同意、诱导同意、强制同意的现象,明晰侵害人脸信息的“损害”认定、举证责任和赔偿标准。再次,应协调不同法律规范中不同主体的权利义务,促进信息的有序流转。信息主体有查询、更正、删除、撤回人脸信息的权利,但信息控制者也有履行“网络实名制”和保存“刑事犯罪证据”的义务,此种情形下可能会产生其履行义务行为与信息主体权利之间的紧张关系。应设计好不同主体在涉及法定义务、国家安全、公共卫生、诉讼程序等特殊情形下的权利义务分配方案,打造操作便利、权责分明的数字经济法治环境。
尤其要积极发挥刑法对人脸信息犯罪的威慑作用。我国刑法及司法解释对个人信息采取分类保护方法,但没有明确人脸信息的归属类别和定罪量刑标准。目前,第一类财产信息、行踪轨迹信息、征信信息、通信内容的入罪数量是50条以上;第二类健康生理信息、住宿信息等是500条以上;第三类其他信息是5000条以上。人脸信息既不属于第一类信息,又与第二类健康生理信息不同,但显然比第三类其他信息更重要。应通过司法解释中“其他情节严重的情形”条款来确定人脸信息的定罪量刑标准,参照第一类信息的50条为入罪标准,当数量达到标准10倍以上时,构成“情节特别严重”。同时,人脸信息黑灰产业链除了侵犯公民个人信息类犯罪外,还包括人脸识别破解软件的提供,人脸识别“照片活化”工具的传授、兜售,人脸识别帮助网络诈骗或盗窃等犯罪类型,应合理运用提供侵入、非法控制计算机信息系统程序、工具罪,传授犯罪方法罪,帮助信息网络犯罪活动罪,诈骗罪和盗窃罪等罪名及共犯适用原理,通过有效打击来实现刑法的预防效果。