计算机视觉和机器学习技术的不断发展和人类社会的实际需求,催生了人脸识别技术。从安防刑侦、疫情防控,到门禁控制、支付安全、客流分析,人脸识别技术给人们生活带来便利的同时,也产生了相应的法律乃至技术伦理问题。近年来,我国相继颁布了《民法典》《数据安全法》和《个人信息保护法》,同《网络安全法》《消费者权益保护法》一道构建起我国数据安全与个人信息保护的基本框架。最高院也围绕人脸信息处理所产生的民事侵权、违约纠纷等问题出台了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(下称《人脸识别司法解释》)。在上述法律、司法解释适用基础上,为了更好顺应人脸识别技术的发展,本文试图从司法、执法案例中梳理其中可能存在的法律风险并提供相应的合规方略。
我国针对人脸识别的行政处罚案例集中于商场门店、物业、售楼处场景。该类案件中当事人使用摄像头等设备,对到访消费者进行人脸抓拍、比对以实现费用结算或者用户分析。对此,行政监管机关一般援引我国《消费者权益保护法》第29条和《侵害消费者权益行为处罚办法》第11条对违规行为依法予以处罚,违规事项主要体现于“告知-同意”义务的履行。具体而言:1.当事人在收集、使用人脸信息时,未告知消费者存在人脸信息采集事宜;2.当事人虽通过告知牌等方式对信息采集事宜进行公示告知,但并未明确告知收集使用的目的、方式和范围,也未征得消费者的同意。人脸识别信息可以划入个人隐私和个人信息两个范畴,两者存在交叉重叠,因此涉及人脸识别的民事纠纷案例,一般划为隐私权纠纷或个人信息保护纠纷。不过,在侵权责任之外,《人脸识别司法解释》第十二条还规定了违约责任。当违约责任和侵权责任两种请求权基础存在竞合时,当事人可以选择更有利维护自身合法权益的请求权基础。[1]例如在侵权案件中,被侵权人可获得相较于违约更高的赔偿金额;或基于违约责任,当事人可通过约定违约金以解决主张个人信息侵权之诉时赔偿额难以确认的问题。该类案件的争议焦点为涉案设备采集的信息是否超过了合理边界,侵犯了一方当事人的隐私权。法院从实际场景出发实地勘察,综合考量设备的安装场地、安装目的、所采集的信息等因素,判断当事人是否侵犯隐私权,一般援引《民法典》第111条、第990至第995条、第1032条、第1033条。人脸识别信息属于《个人信息保护法》中所定义的敏感个人信息。法院一般援引《消费者权益保护法》第29条、《个人信息保护法》第5条、第6条、第13条、第14条、第17条和人脸识别司法解释第1条至第4条,争议焦点通常集中于四个方面:《刑法》第253之一规定了“侵犯公民个人信息罪”,最高人民法院、最高人民检察院发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对侵犯公民个人信息犯罪的定罪量刑标准做出了进一步解释,包括具体列举了“非法获取、出售或者提供公民个人信息”的严重情节。从现有的司法判决来看,此类案件并非人脸识别技术引发,而是由于人脸信息未得到妥善管理进而被非法窃取和出售。侵犯公民个人信息犯罪往往呈现链条化、产业化特征,呈现为“上游窃取信息—中间购买加工—下游运营获利”的犯罪链条。为避免恶性事件发生,人脸识别技术使用者可从源头化解此类风险:1. 就内部管理而言,企业应当提升自身数据安全能力,确保人脸识别技术采集、存储、使用、共享等环节的数据安全可靠。2. 就业务合作而言,企业选择技术供应商、合作方时应当充分考量其数据安全能力,以数据协议、审计等方式督促第三方履行数据保护义务。
人脸识别技术的应用本身并不违法,技术的使用目的与方式才是合规与否的决定性因素。综观现有的司法、执法案例,人脸识别技术应用的法律风险主要体现于:技术应用的三性、“告知-同意”义务、替代性验证方式、以及企业内部管理与第三方管控。企业应当充分考量以上的法律风险,制定相应的合规方略。虽然人脸识别技术对于用户体验更佳、运营成本更低,但对于用户个人隐私、个人信息权益的侵权性与损害风险也相较更高。在应用人脸识别技术时,应当审慎考量合法性、正当性以及必要性,其中必要性问题是重点考虑的问题。相较于合法性、正当性,必要性并非一个绝对概念,而是一个立足场景的程度性概念。必要性以紧迫性、有效性、最小侵扰性、相称性为内涵,四项子要素的变化会影响必要性的程度。[2]- 紧迫性是指不采用人脸识别技术将会造成负面影响,例如不采用人脸识别技术将会危害金融安全,危及公民财产权利。关涉的利益越大则紧迫性越强。
- 有效性是指人脸识别能够有效地促进正当目的的实现,同时带来个体或社会效益,例如人脸识别技术的应用是为了大型演出的安全防范,且该措施能够促进前述的应用目的。
- 最小侵扰是指在同等有效的信息处理行为中选择对个人信息权益侵扰与风险最小的行为。例如,人脸识别技术虽然能够实现公司考勤,但打卡考勤、指纹考勤同样能够实现应用目的且风险更小,就不符合最小侵扰。
- 相称性是指检验各利益攸关方的利益是否达到平衡,是否会损害弱势群体的利益(如儿童、员工、残疾人、同性恋者等)。
根据《个人信息保护法》第30条,个人信息处理者除本法第17条第1款规定的事项外,应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响,告知义务豁免的情形除外。
《个人信息保护法》第13条规定了包括“同意”在内的七项合法性基础。若人脸识别技术使用者基于“同意”这一合法性基础处理人脸信息,应当遵循第26条(公共场所)、第29条(敏感个人信息)、第31条(未成年人个人信息)的单独同意要求。“单独同意”是一种增强的同意方式。实践中,人脸识别技术可能在线上、线下均有部署,使用目的、方式以及部署场所也较为多元,因此单独同意的形式需要根据具体场景进行专门设计,可以参考国家标准 《GB/T 42574—2023信息安全技术 个人信息处理中告知和同意的实施指南》9.3。《个人信息保护法》第26条对公共场所应用人脸识别技术提出专门要求:第一,目的限制。公共场所安装图像采集、个人身份识别设备应为维护公共安全所必需。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;第二,设置显著的提示标识。此外,2023年5月23日,信安标委发布《网络安全标准实践指南—人脸识别支付场景个人信息保护安全要求》(征求意见稿v1.0),主要针对在非移动终端的人脸识别支付。本规范在上述要求外还作出了更细化的指引,例如(1)场所管理方为单一组织内部提供服务的人脸识别支付宜通过在该单位内部搭建局域网、不接入互联网的形式实现;(2)人脸识别支付所使用的摄像头固定朝向某一区域时,不应朝向重要敏感区域收集人脸数据,包括政府办公区出入口、军事管理区、人流或车流密集区域等。提供合理的替代性验证方式实际上同样是最小必要原则的体现,即存在其他更为风险更小的技术替代方案,应当优先选择风险更小的。目前,《人脸识别司法解释》第10条明确规定物业、建筑物管理人不得仅以人脸识别作为唯一门禁方式,不同意的业务或者物业使用人有权向法院请求为其提供其他合理验证方式。《杭州市物业管条例》,规定物业服务人不得强制业主通过指纹、人脸识别等生物信息方式进入物业管理区域或使用共用部分。上述规定仅限制于物业场景,上海市发布的《公共场所人脸识别分级分类应用规范(征求意见稿)》将“不得将人脸识别作为唯一验证方式”落实到了中低风险及以上的场景中,保障信息主体的选择权。该征求意见稿的附录A中“替代性方案”一栏明确了人脸识别技术的可替代性以及可供选择的替代性方案。根据《网络安全法》《数据安全法》《个人信息保护法》,企业对人脸信息信息需要履行严格的安全保障义务。因此,企业应注意持续提升对人脸识别信息等生物识别信息的安全防护,建立健全数据管理制度。具体建议如下:1. 加密存储人脸信息,对人脸数据保密性保护,以在数据遗失或被窃时对数据做到保护;同时对人脸数据进行备份,以具备相应的恢复能力;2. 人脸信息与个人身份信息分开存储,且仅存储人脸的摘要信息,在使用面部识别特征实现识别身份、认证等功能后删除可提取人脸识别信息的原始图像;3. 采用满足数据传输安全策略相应的安全控制措施,增加多重防御,如安全通道、可信通道、数据加密等;4. 为了降低对人脸数据使用时的风险,需限制人脸数据访问人员数量,同时对数据访问人员进行身份校验,防止无关人员访问用户人脸数据。在众多场景中,人脸识别技术使用方并非技术设备的设计者、制造者,同时其还可能与其他主体存在数据传输行为,因此第三方数据合规管控同样值得重点关注。人脸识别技术使用方与供应商、合作方之间可以是委托处理、共同处理,也可以仅是提供数据。不同的数据关系对应着差异化的数据合规义务。实践中,合规工作通常会面临两种情形:一是业务模式已成型,需要结合法律法规的要求,对存量业务进行梳理、调整与改造;二是对新开展业务的合规研判,事前选择合规路径。“万变不离其宗”,角色定位、行为定性是破题之关键。在第三方数据合规管控的具体工作,可以从以下几个方面展开:1. 构建供应商、合作方遴选审批机制。审查供应商、合作方的业务资格、数据合规水平、数据安全能力以及历史违规记录等,确保其具备数据安全管控能力;2. 签订数据处理协议。根据双方选择数据处理模式签订数据处理协议,明确双方权利义务,要求供应商、合作方严格遵守角色定位,采取适当的技术措施和管理措施确保数据安全;3. 通过审计、违约责任督促第三方履行数据合规义务。
现今,中国的人脸识别技术发展的如火如荼,人脸识别算法精确率居全球领先水平,国内对人脸识别的接受度高,舆论和监管氛围相对宽松。而反观欧美国家对于人脸识别应用的争议一直不断,有的观点认为,需以公民隐私保护为要,对于人脸识别等新兴技术,因采取审慎态度。反对的观点认为,这样严厉的数据保护法律阻碍了其在人工智能领域的创新。当前,我国对人脸识别技术、人工智能的法律规制正在日渐增强,企业应当在确保人脸识别技术应用符合个人信息保护相关规范的同时,保持对人工智能、算法治理的前瞻性观察,预先梳理已应用技术的风险等级并施以合适的风险管控措施。[1].陈际红、蔡鹏:《明晰人脸识别案件司法裁判规则,推动AI行业规范发展——最高院人脸识别司法解释解读》,https://zhuanlan.zhihu.com/p/396331429.[2].张继红、郑书康:《论劳动者个人信息处理的合法性基础》,《上海大学学报(社会科学版)》2022年第1期。