【摘要】人脸识别是人工智能技术发展的重要应用。人脸识别应用为公共安全、法律执行及社会管理带来诸多便利,但其也可能对个人隐私与自由、人格尊严、人身及财产安全带来风险。因此,这一技术在许多国家的法律上仍存在争议。基于我国经济和社会发展实际情况,不宜采取一刀切式禁止,而应充分考虑其所可能带来的风险,由法律进行严格规制。
【关键词】人脸识别 个人信息 生物识别信息 敏感信息
近年来,随着人工智能技术的快速发展,以人脸识别技术(FRT)为代表的生物识别信息技术开始为人所熟知。生物识别信息是指自然人可识别的身体生理信息或行为特征,包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。生物识别信息直接反映自然人独一无二与不可替代的身体、生理或行为特征,具有强烈的人身属性。作为自然人最直接和便捷的生物标识,人脸信息被广泛用于身份识别、认证和安全管理等诸多行政、商业和私人领域。人脸识别作为一种识别个人身份信息的新型技术,其主要特征是非接触性、主体唯一性和不易复制性,同时也具有无须携带、易于采集、成本低廉等特点。从技术角度来看,人脸识别包含四个阶段:首先,探测人脸。摄像头可以从人群中捕捉并固定特定个人的人脸。其次,对人脸进行分析。软件“阅读”脸部信息并且识别其特征,譬如,两眼之间的距离或者嘴部的宽度、面部主要轮廓。再次,将视频图像转换为数据。图像在被分析后,会转换成一序列数据;脸部的数字信息被称为“脸印(faceprint,如同指纹一样)”。最后,进行比对匹配。将算法所形成的“脸印”与数据库中的人脸信息进行比对和识别,将其与特定个人相关联。
人脸识别确实可以给社会的运行与管理带来很大的便利,这一技术尤其在执法过程中被广泛使用。但是,人脸识别也经常发生错误,譬如,错误识别有色人种人士,或者进行错误的比对和匹配。导致人脸识别错误的成因有:其一,人脸识别算法的品质可能存在很大差异;其二,所拍摄照片的质量对于匹配的精度有显著影响;其三,即便在照片质量较高的情况下,系统的某些设置也可能导致识别错误发生。除了人脸识别技术较高的出错率之外,人脸识别技术的应用对个人的隐私和自由可能构成威胁。正是基于这些原因,人脸识别在很多国家都引发了法律上的争议。
一、Clearview AI公司的法律争议
Clearview AI公司是一家位于纽约的美国科创型企业,成立于2016年。该公司使用图像扫描器自动收集社交媒体和其他网站上公开的人脸照片,以建立其生物识别数据库;它向执法机构和私营公司出售其服务。Clearview的人脸识别技术包含四个步骤:首先,Clearview在公众可以访问的网络平台及Facebook(已改名为Meta)、Twitter、Instagram、LinkedIn等社交媒体上“抓取”人脸照片,并存入其数据库;其次,创建生物识别标识符,以数字化方式来表达每一幅人脸图片;再次,允许用户上传图片,与数据库中的生物识别符进行匹配和比对;最后,提供一序列比对结果,包括所有被比对的照片和数据,如果用户点击其中任何结果,软件可以将其指引到照片的源文件。Clearview存储了超过三十亿张人脸图片和相应的生物识别符,其中包括很多儿童照片。仅在美国,该公司就已向超过600家执法机构提供了数据及人脸识别系统服务,包括联邦调查局、国土安全部和许多州警察局。2021年1月6日美国国会骚乱事件后,Clearview发现其人脸搜索应用的数量增长了26%,佛罗里达和阿拉巴马等州警察局使用其应用来识别参与骚乱的人员。
但Clearview在美国的多个州都遭遇了诉讼,包括伊利诺伊州、弗吉尼亚州、纽约州、佛蒙特州,其中,仅在伊利诺伊州就被提起至少三起诉讼,包括针对著名零售商Macy的诉讼,后者是Clearview的大客户之一,被指控使用其人脸识别应用。另外,Google和Twitter明确向Clearview发出了停止访问函,禁止其从它们网站上收集人脸照片。但Clearview认为它拥有收集人们公开发布的照片的权利。同样,一些外国的执法机构因为使用其服务而在本国引发争议。2021年2月,瑞典隐私保护机构IMY对瑞典警察部门罚款250万瑞典克朗,理由是后者使用Clearview的服务违反了瑞典“犯罪数据法”。瑞典警察部门在2019年秋季至2020年3月期间,曾间断性地使用Clearview人脸识别应用,查找犯罪的受害人及嫌疑人。IMY认为这一做法违反了“犯罪数据法”的多个条文,根据该法,生物识别信息及基因信息只能在有明文规定的情况下,用于绝对必须的处理目的。
2021年2月,加拿大隐私专员办公室与魁北克、不列颠哥伦比亚及阿尔伯塔三省的个人信息保护机构所联合发起的、针对Clearview的调查报告指出,其人脸识别工具违反了加拿大个人信息保护法的统一和适当目的等要求。尽管加拿大个人信息保护法对于“可公开获得的信息”豁免信息主体的同意要求,但是,从公开的网站包括社交媒体上所获得的人脸信息并不适用公开获得信息的豁免规则。此外,Clearview违反了个人信息保护法的适当目的要求,这一要求对于有效同意的场景也仍然适用。Clearview公司收集和使用图片是不适当的,因为这些用途与照片最初被上传的目的没有关联,这些照片被无限期的保留,并且其使用损害了个人的利益(譬如被用于随后针对其所发起的起诉),而且其使用的方式对个人造成了重大风险。此外,Clearview无差别地从网站抓取人脸照片,属于信息收集的不合理方式。
二、北美地区的法律:对政府机构使用人脸识别技术进行限制
在美国,率先就人脸识别问题作出法律规定的是一些州的城市。2019年5月,加利福尼亚州旧金山市成为美国最先以立法禁止政府机构使用人脸识别技术的城市。同年6月,马萨诸塞州的萨默维尔市议会一致表决通过议案,禁止政府机构使用人脸识别技术。随后,马萨诸塞州的波士顿、伊斯特汉普顿以及密苏里州的斯普林菲尔德等城市也相继通过了类似禁令。与之类似,纽约市的法令规定,娱乐场所、零售店、食品与饮料商店在其营业范围内,不得使用人脸识别技术。不过,对于一般商业机构,纽约市并不禁止其对消费者使用人脸识别技术,但要求在消费者入口处以清晰和显著的标识告知消费者进入人脸识别区域。
就州层面而言,一些州对于生物识别信息作出了法律规定,例如德州、伊利诺伊州和华盛顿州,这些法律要求企业收集和使用生物识别信息必须尽到事先告知和知情同意义务。例如,根据伊利诺伊州的“生物识别信息隐私法(BIPA)”,私立机构在使用消费者的生物识别信息之前,必须书面告知消费者,其生物识别信息正在收集和存储以及其期限;该机构不得利用这些信息,向他人出售、出租或营利。纽约州的法律亦有类似规定;俄克拉荷马州和肯塔基州的法律规定,必须要有清晰的告知和获得个人的知情同意;佛罗里达州和犹他州则在其隐私法中强化信息主体的权利及相关的告知和同意要求。
在美国,华盛顿州被认为在科技立法领域经常走在各州前列。2020年3月,华盛顿州通过法律对人脸识别应用进行规制,要求人脸识别技术必须确保其公平性和准确性;执法机构如需使用人脸识别技术,需获得法院的授权令;另外,法律责成州政府设立专门的研究小组,研究公共机构如何使用和部署人脸识别设施。另有一些州对人脸识别采取了暂缓禁令(moratorium)或将其应用限于特定领域的做法。例如,2019年3月,加州通过立法为警察机构使用人脸识别技术设定了三年的禁止期限,自2020年1月起实施。2021年5月,马萨诸塞州通过法律,要求警察局等执法机构在使用州机动车登记处、联邦调查局或州警察局所建立的人脸数据库的照片进行比对之前,须获得法院的许可令;为防止人脸识别技术的滥用,法律要求其应用仅限于犯罪侦查领域,不得扩展至民事纠纷。而与之相对照的是,缅因州则通过了更为严厉的立法。根据缅因州议会在2021年6月通过的法律,执法机构原则上不得使用人脸识别技术,除非其有证据证明特定个人犯下“严重的罪行”,另外,人脸识别技术还可以用来识别死者或失踪人员;人脸识别的结构本身并不能成为警察逮捕嫌疑人的证据。法律也限制警察部门使用人脸身份识别技术,在某些特定情形下警察部门可求助于联邦调查局或州机动车登记处;执法机构如果使用了人脸识别技术,必须留存记录备查。另外,如果公民认为执法机构非法使用了人脸识别技术,可以对其提起诉讼;法律还明确禁止在政府机构的大部分区域、公立学校等场所使用人脸识别技术。这被认为是美国迄今为止最为严厉的人脸识别法律。
在联邦层面,值得注意的是,2021年6月,美国参议员在国会提出了《人脸识别和生物识别技术禁止法案》,准备对联邦和大多数州的全部生物识别技术采取一揽子禁止,包括在全国范围内禁止执法机构使用人脸识别技术。这一法案也被批评为可能会剥夺生物识别技术给执法机构所带来的便利,包括:查找被绑架的受害人,识别在机场入口所使用的伪造身份文件,在关键场合帮助反恐侦查,使得无辜的人免受犯罪指控等。
在加拿大,并无专门针对人脸识别的法律,而适用个人信息保护法的一般规则。具体来说,私立机构处理个人信息适用“个人信息保护法(PIPEDA)”,而公立机构处理个人信息则适用“隐私法案”。“个人信息保护法”规定,收集、使用或公开个人信息必须告知个人并征得其同意。对于某些敏感信息,必须征得个人的“有效同意”。根据该法第6.1条,只有以下事实是可以合理被期待的时候——个人可以理解其给予同意的信息收集、使用或公开等行为的性质、目的和结果,个人的同意方可被认为是有效的。对于政府机构,“隐私法案”限定其使用或公开个人信息必须用于“指定的目的”,除非个人对于其他用途的使用或公开给予了同意;法案还要求政府机构必须告知个人信息收集的目的。“个人信息保护法”要求收集、使用或公开个人信息,必须基于一个通情达理的人在所处的具体环境下认为是适当(appropriate)的目的。
三、欧洲国家的法律:严格限制下的例外允许
就英国而言,2020年8月,英国法院裁定南威尔士警方使用人脸识别技术侵犯了人权和个人信息保护法。南威尔士警方在2017年5月至2019年4月期间,曾在公共事件中使用人脸识别设备扫描了50万余张人脸图像,后被一名叫Edward Bridges的民权人士提起诉讼,他声称曾两次接近人脸识别设备,尽管并非设备识别的对象,但他认为其图像仍被设备抓取,侵害了欧洲人权公约第8条所保护的隐私权,也违反了英国的个人信息保护法及2010年平等法案中的“公立部门平等职责(PSED)”等法律规定。2019年9月,一审法院驳回了其起诉,但上诉法院则支持了其请求,认为具体执法的警官的裁量权过大,很难清楚地预知谁会在人脸识别的名单上。法院认为,警方违反了“公立部门平等职责”,警方未能采取合理措施来判断人脸识别应用软件是否存在种族或性别歧视。
2021年6月,英国信息专员办公室发布了新的“实践指南”,对视频监控和人脸识别技术提供了指引。新指南指出,“(人脸识别)系统是有价值的工具,有助于提升公共治安和安全的水准,可以保护人身和财产安全”。就公共场所的视频监控设备使用,指南尝试列出最佳实践和指导原则。这一文件认为可以允许公共机构和企业在公共场所使用远程生物识别技术,但认为应设置较高的准入门槛;不过,该文件并不赞成采取完全的禁止。指南要求人脸识别的使用必须合法,信息的控制者必须对处理特殊类别的信息提供合法基础,并确保其处理符合必要原则,与其所实现的目的成比例,并考虑使用人脸识别对个人所造成的潜在危害。
在法国,关于人脸识别的法律框架主要有:1978年的信息与自由法(2018年12月修订);欧盟《通用数据保护条例》(GDPR);欧盟2016年第2016/680号关于刑事领域个人信息保护的“警察—司法指令”。根据GDPR第4条,生物识别信息属于敏感信息,原则上禁止处理,仅在该条所列明的例外情况下方可进行处理:信息主体明确同意,履行法定职责,保护自然人的重大利益,保护公共利益,信息主体已公开的信息,基于医疗诊断或评估雇员工作能力需要等。
在法国,个人信息监管机构是1978年所创立的“信息与自由委员会(CNIL)”,该机构同时是政府与国会的咨询机构,就信息立法提供咨询意见。鉴于法国一些机构申请试用人脸识别技术,CNIL对此设定了三个条件:第一,划定所应遵守的红线,遵守欧盟GDPR条例和“警察—司法指令”。CNIL认为,尽管存在可以合法使用人脸识别技术的一些情形,但是不能据此推论一切皆合乎需要,或者一切皆可为;必须将人的尊重和保护置于这一体系的中心地位,特别是确保对隐私权的保护;必须要获得个人的知情同意,用户必须可以控制其信息,并可能行使其同意的撤回权;人脸识别系统对个人应保持完全透明,应确保生物识别信息的安全。第二,将人的尊重和保护置于这一体系的中心地位,特别是确保对隐私权的保护。必须获得个人的知情同意,用户可以控制其信息,并可能行使其同意的撤回权;人脸识别系统对个人应保持完全透明,应确保生物识别信息的安全;私立机构如果使用人脸识别技术,应获得个人的知情同意,这一同意必须明确、特定、自由作出且毫不含糊,符合GDPR的要求。为此,必须提供人脸识别的替代措施,这些替代措施应提供与人脸识别技术同样的便利。第三,对于人脸识别的试用必须设定时间与空间上的明确限制,并具有明确的可识别的目标,且有绩效评估模式。
就人脸识别而言,CNIL提出“在现在和未来并非一切皆可为”。在此前,CNIL曾拒绝同意尼斯和马赛的两所中学在其入口处安装人脸识别设备;CNIL强调应遵守比例性原则,所使用的手段与所达到的目的之间应当相称;此外,应当对未成年人给予特殊保护。2019年,尼斯市政府安装了具有人脸识别功能的视频监控,拍摄了上千人的面部照片,这些照片被相关软件进行实时分析。CNIL认为,尼斯市政府就此提交的报告太过于模糊,缺乏对技术因素的必要说明。因此,报告无法让人就人脸识别试用得出客观的视角,也无法评估其有效性。在新冠肺炎疫情期间,戛纳市政府希望安装监控设备,以核实人们是否按要求佩戴了口罩,市政府准备购买一家名为Datakalab的设备和服务,该公司的设备同样安装在巴黎市中心的夏特莱地铁站进行试用,该公司声称,它们并非用于识别公众,而只是在计算佩戴口罩的人数。但CNIL则认为,公众无法行使其异议权,因为他们根本不知道系统在分析他们的脸部。因此,CNIL叫停了戛纳市的人脸识别应用计划,同时也叫停了巴黎夏特莱地铁站人脸识别设备的试用。还值得注意的是,2020年10月,由万喜(Vinci)集团管理的里昂机场试用Mona公司人脸识别系统,在法国机场中首开先河。这一技术的主要目的是减少旅客的排队等候时间,因为旅客通常需要被查验身份(身份证件、机票等),比较费时。根据这一系统的使用方法,旅客自行在手机上下载软件,开设账号,上传人脸照片;到机场后可以走专门通道,“仅需刷脸”闸机即自动放行;每位旅客平均可节约半小时左右的时间。这套设备首先试用于Transavia和TAP两家航空公司用于飞往波尔图和里斯本的航班的旅客,未来将逐步扩展至其他航班。
就欧盟而言,欧盟委员会2021年4月所提交的“人工智能条例”草案将执法机构在公共场所使用的实时生物识别系统定性为“不可接受的风险”,除非基于某些明确限定的目的。草案采取了以风险为基础的方法,根据人工智能产品和服务的风险,将其区分为低风险、中风险和高风险的不同等级,还有一些人工智能应用则被完全禁止。草案建议禁止在公共场所使用包括人脸识别在内的“远程生物识别体系(RBIS)”,除法律所规定的例外情形,这些例外情形都是为实现重大的公共利益所必须,所保护利益的重要性超过其风险,包括:查找潜在的犯罪受害人包括失踪儿童,对自然人的生命和身体安全的某些威胁或者恐怖主义攻击,侦测、定位、识别或检控犯罪嫌疑人。与欧盟委员会的立场不同,欧盟议会2021年10月6日以压倒性多数决议通过了一项名为“关于在刑法领域的人工智能及其由警察与司法机构在刑事事务中的应用”为题的决议,呼吁全面禁止公共场所的大规模生物识别监控技术。决议认为,人工智能驱动的远程监控技术,如面部识别,对隐私等基本权利和自由有巨大影响,但已经在欧洲的公共场合悄然开始使用。为了尊重“隐私和人类尊严”,欧洲议会议员表示,欧盟立法者应通过一项永久禁令,禁止在公共场所对个人进行自动识别,并表示公民只有在涉嫌犯罪时才应受到监控。欧盟议会还呼吁禁止使用私人数据库,如Clearview的数据库,并表示基于行为数据的预测性警务也应被禁止。欧洲议会的决议要求欧盟采取措施,必要时甚至可以启动追责程序,以全面禁止就基于执法目的对生物识别信息的任何处理包括人脸识别而在公共场所实施的大规模监控;要求欧盟委员会停止资助有关的研究项目。
四、构建符合我国国情的人脸识别法律规制框架
从前述分析可以看出,人脸识别技术是人工智能十分强大的应用,对于法律执行机构和商业实体都能带来很大的便利,譬如,维护公共安全,协助警方查找受害人或犯罪嫌疑人,查找失踪人口等。其使用成本也较为低廉,因此,其使用范围有不断扩大的趋势。但是,人脸识别技术也是一项高度侵入性(invasive)的监控技术,对隐私和人权可能造成风险,并可能造成歧视。另外,人脸识别涉及高度敏感的生物识别信息的收集和处理,而生物识别信息对每个人来说都是独一无二的,并且很难随着时间的推移而改变。因此,一旦泄露或被非法获取,会给个人带来严重影响。结合大多数国家的普遍经验,基于我国经济和社会发展实际情况,人脸识别技术已广泛应用于公共安全、智慧产业发展、网络支付等多个领域,因此,不宜采取一刀切式禁止,而应充分考虑其所可能带来的风险,由法律进行严格规制。
最高人民法院于2021年7月发布了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,这也是我国专门针对人脸识别应用进行规制的第一部法律文件,具有里程碑式的重要意义。2021年8月,备受瞩目的《个人信息保护法》由立法机关通过,其中关于敏感个人信息的规定、关于公共场所安装图像采集、个人身份识别设备的规定,与人脸识别密切相关。2021年11月,国家互联网信息办公室发布了《网络数据安全管理条例(征求意见稿)》。另外,《民法典》在其第四编人格权编规定了个人信息保护的基本原则和框架。这些法律规则构成了我国关于人脸识别规制的主要法律框架。在充分借鉴和吸收国际经验的基础上,我国对人脸识别进行法律规制的主要内容有:
人脸信息属于生物识别信息,是敏感个人信息。《民法典》第1034条引入了“生物识别信息”这一重要范畴;《个人信息保护法》第28条第1款明确将生物识别信息列为首要的敏感个人信息类型,足见其极端重要性。最高人民法院“人脸识别司法解释”第1条进一步明确:人脸信息属于“生物识别信息”。因此,信息处理者如处理人脸识别信息,需遵守关于敏感信息处理的相关规则。《个人信息保护法》对敏感信息的处理设定了严格的法律规则,根据该法第28条第二款,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
人脸识别信息的收集和处理须遵循合法、正当、必要原则,特别是最小够用原则,不得擅自与第三方分享。根据《民法典》第1035条和《个人信息保护法》第5条和第6条,处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理;收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。《个人信息保护法》第26条规定:在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的。由此,公共场所人脸识别的设备应基于公共安全目的仅用于身份识别,而不能用于分析其经济状况、消费能力及偏好、个人兴趣、健康状况等其他用途,以防止“购房人戴头盔看房”现象的重演。
处理人脸识别信息须获得个人的单独同意。《个人信息保护法》第29条规定,处理敏感个人信息应当取得个人的单独同意。因此,从比较法的经验看,对于人脸识别,信息处理者需要在其隐私政策和使用条件之外以单独文件向信息主体进行告知,并获得信息主体的明确同意。信息处理者在履行告知义务的时候,充分保障信息主体的知情同意权,因此,必须遵循《个人信息保护法》第7条所规定的公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。此外,处理者还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。另外,根据《个人信息保护法》第15条,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。“人脸识别司法解释”第4条进一步规定信息处理者不得对信息主体采取强迫同意、捆绑同意等手段,包括:信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外;信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的;强迫或者变相强迫自然人同意处理其人脸信息的其他情形。
如果采取人脸识别作为身份识别的方式,则应同时提供非人脸识别的身份识别方式,由信息主体选择使用。《网络数据安全管理条例(征求意见稿)》第25条规定:“数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。”由此,基于信息主体的同意权,其可以对信息处理者处理其人脸信息给予同意,也可以拒绝,此种拒绝不得影响其享有公共服务的权利。因此,个人应享有同意和拒绝之间的选择。据此,“人脸识别司法解释”第10条规定,物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。
原则上不应使用人脸识别方式对不满十四周岁的未成年人进行身份识别。当下大量的手机App(如短视频、直播及游戏类)的主要用户群体为未成年人,而不少应用软件以身份认证为由要求进行人脸识别。但未成年人由于其身心发育特点,对人脸识别的风险缺乏必要的认知和警惕性,甚至由于好奇心驱使而轻易向平台提供其人脸信息,这些信息如被擅自分析、泄漏或被盗用,可能对其未来一生的成长产生不利影响,导致其成为一些犯罪行为(如绑架拐骗)的受害对象。因此,对未成年人的个人信息特别是敏感信息给予特别保护,这是全世界的普遍做法。就我国而言,《个人信息保护法》第28条规定,不满十四周岁未成年人的个人信息属于敏感个人信息;《个人信息保护法》第31条及《未成年人保护法》第72条规定:个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。“人脸识别司法解释”第3条也特别规定:人民法院认定信息处理者承担侵害自然人人格权益的民事责任,应考虑受害人是否为未成年人这一重要因素。基于这些法律规则和立法精神,应原则上禁止对不满十四周岁的未成年人进行人脸识别;如基于公共安全(如校园安全)等原因确需对未成年人进行人脸识别,应征得未成年人的父母或者其他监护人的明确同意,经公安部门及履行个人信息保护职责的主管部门批准,并应采取严格的信息安全保护措施。
【注:本文系国家社科基金重大项目“健全以公平为原则的产权保护制度研究”(项目编号:20ZDA049)的阶段性成果】
|