人工智能的进步推动了人脸识别技术的普及性应用,随之而来,社会必然面临平衡科技效率、公众安全和个人隐私的关键问题,如何划定其中合理的界限是各国政府面临的最新挑战。
引言
“中国人脸识别第一案”,浙江一大学教授以侵犯隐私权将实行人脸识别入场的某动物园告上法庭;“北京地铁将用人脸识别技术实现乘客分类安检”;旷视科技“智慧课堂解决方案”等人脸识别技术的舆论争议引发了公众对这一技术的隐忧。其实人脸识别技术并非刚刚诞生的全新事物,在出入境管理、网上追逃、机要部门系统门禁等涉及国家安全和公用安全的领域早已开始运用人脸等生物信息识别技术,近期之所以引发关注是因为人脸识别技术的实践应用已经推广到了每个公民的日常生活,地铁安检、刷脸支付、公司考勤、甚至访客进入写字楼都需要采集人脸信息,而这些个人生物信息的搜集和保管者不少只是普通的商业企业,这就直接引发了公众对个人隐私安全的深度担忧。生物信息特征比如人脸、指纹、虹膜不同于其他的公民个人信息,具有不可更改性,一旦泄露将极大增加冒用个人信息的风险,甚至可能直接危害人身安全。但是,从我们日益被人脸识别设备包围的现状来看,人脸识别的普及趋势似乎势不可挡,然而我国法律制度对人脸信息进行采集的权限和边界、对已采集信息的处理、信息保护的责任主体、侵权救济等都还有不少需要完善的地方。
一、人脸识别技术的概念和特点
人脸识别技术(Face Identification Technology)是基于人的脸部特征,用摄像机或摄像头采集含有人脸的图像或视频流,并自动在图像中检测和跟踪人脸,进而对检测到的人脸进行脸部识别的一系列相关技术,也称作面部识别、人像识别。广义的人脸识别包括构建人脸识别系统的一系列相关技术,如人脸图像采集、人脸定位、人脸识别预处理、身份确认以及身份查找等。狭义的人脸识别特指通过人脸进行身份确认或者身份查找的技术或系统,本文是基于对后者的应用研究。当前,人脸识别、指纹识别、虹膜识别、步态识别、声纹识别、DNA识别是最主要的六大生物识别技术。人脸识别技术相对于其他生物识别技术,具有如下特点:
1. 非接触性。人脸识别技术不需要和设备直接接触就能获取人脸图像,而其他多数生物识别技术都需要通过个体与设备接触来提取。比如,指纹识别技术对指纹的提取有很高的技术要求,每次手指捺印的方位、着力点不同,获取的指纹会有不同程度的变形。
2. 隐蔽性。无需数据主体靠近数据捕捉设备即可获取信息,也不需要像其他的生物识别数据一样,需要信息主体配合才能完成采集,比如DNA检验需要被采集者配合提取毛发或者血液样本,检验环境不合格、流程不规范、检材污染等都会影响检验的结果。
3. 实用性强。人脸识别系统主要是对发际、眉弓、眉形、眼形、鼻形、嘴形等进行识别计算结果,以剪裁人脸截图或照片,识别出样本(人脸库)的相似度,按百分比由高向低排序,并可以实现多个人脸的分拣、判断及识别。同样非接触性的声纹识别技术受环境干扰较大,在多个环境中呈现变异性特点,实用效果不强。
4. 性价比高。横向比较采集成本、比对的效率和生命特征的唯一性,人脸识别系统性价比较高。虽然虹膜识别技术具有高精准和唯一性,但是采集成本高、识别效率低,不适合大范围的推广应用。
二、人脸识别技术的应用领域及发展趋势
目前人脸识别技术主要有身份识别和身份验证两大应用模式,身份识别的应用场景比如出入境管理、道路监控等,用来发现恐怖分子、犯罪嫌疑人和交通违法者;人机交互场景中自动识别用户身份,提供个性化界面等。身份验证的应用诸如海关、港口、机要部门查验持证人身份是否合法,建筑楼宇的安全进入、企业面相识别考勤等。
人脸识别技术极大地提高了效率,节省了人力投入。其非接触性特征降低了信息采集的难度,简化了采集的程序。无意识性特征降低了对被采集者配合度的要求,但是这同时增加了个人面部信息被非法采集的风险。人脸识别相比较于其他的生物识别技术成本较低,适于推广应用,未来将会有更多的硬件搭载人脸识别设备。在人脸识别设备普及趋势下,尽快形成生物识别信息保护机制需要社会各界的协力。
三、存在的法律风险
人脸识别技术的对象是人脸信息,人脸信息属于生物识别信息,根据《信息安全技术 个人信息安全规范》的规定,生物识别信息不仅属于个人信息的一种,甚至为保护要求更高的个人敏感信息。同时,随着技术的发展,人脸识别技术中受到保护的信息已不止于直接来源于用户的个人信息,利用大数据等技术将用户信息进行处理后生成的可识别图像等同样也成为了法律监管和保护的一部分。2020版《信息安全技术 个人信息安全规范》特别地将“个人信息控制者通过个人信息或其他信息加工处理后形成的信息,例如用户画像或特征标签,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的信息”划分为个人信息范畴。
《信息安全技术个人信息安全规范》对个人敏感信息的界定为:“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。注 1:个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童的个人信息等。”显然人脸信息属于上述个人敏感信息的范畴,对人脸信息的广泛采集正在引起公众的不适感甚至是忧虑。
1. 人脸识别存在引发犯罪的风险
前段时间在社交媒体疯狂刷屏的AI换脸软件ZAO,可以对视频中的人物进行换脸,既可以换成自己的脸,也可以换成别人的脸,所有这些仅需要一张正脸照即可实现,这也意味着不法分子有可能利用换脸技术盗用身份,进行敲诈勒索等违法犯罪活动。值得特别注意的是,我国2018年发生了利用人脸识别技术进行的刑事诈骗案件,五名被告人非法窃取人脸数据 2000 万,通过软件制作 3D 头像通过支付宝人脸识别认证诈骗钱财,该案已于2020年1月终审判决,各被告人被判犯有侵犯公民个人信息罪、诈骗罪,分别被判处有期徒刑和罚金。因为人脸识别技术相对其他生物识别技术具有较强的隐蔽性,在监控摄像无处不在的时代,人脸何时被捕捉识别,我们根本无从察觉,因此人脸识别信息被滥用带来的刑事犯罪风险将是巨大的。
2. 对隐私权的侵害的风险加大
首先,在采集环节,相比于其他个人信息,人脸识别被采集者的知情权和同意权往往在实践中较难得到保障,处于完全被动的处境,对此清华大学的劳东燕教授指出:包含人脸识别在内的生物学数据的个人指向性更为明确,尽管生物学数据的收集按规定需要征得被收集人的同意,但在实践中,由于收集过程非接触性、隐蔽性等特点(即可能通过AI等技术直接进行识别,而无需被收集人主动提供),信息收集者可能会主观上忽略或者客观上无法达到法律要求的“知情同意”要求。除此之外,企业收集海量数据后,可能会建立商业数据库,这些都可能会被不法分子利用。
其次,就数据保管环节,采集到的信息如何进行处理也存在很大的隐患。很多人脸信息的采集者是普通的商业企业,比如酒店、办公楼的经营者,他们未必就有完善的风控制度和技术措施防止存储的用户敏感信息被泄露,企业内鬼出卖和外部黑客入侵都有可能出现大规模的隐私数据泄露事件。
最后,就人脸识别技术本身而言,尚存在很大的缺陷。计算机视觉产业发展参差不齐,业内人士表示存在大量人脸识别设备相似度仅匹配到六成就认定为同一个人。在人脸识别技术尚未形成一个统一的、完善的行业技术标准(目前仅有针对人脸识别技术中部分技术问题的国家标准,如《GB∕T 35678-2017 公共安全 人脸识别应用图像技术要求》)之前大规模普及人脸识别设备,将给公民安全带来巨大隐患。
3. 人脸数据采集的法律依据尚待明确
在公权力机构作为信息采集主体的场合,要遵循”法无授权即禁止”,对公民个人面部信息的采集缺乏法律的明确授权,将违反行政行为的合法性原则。虽然为了公共利益的需要,让渡部分个人权利具有一定的合理性,但是也不可逾越最基本的比例原则,为了公共利益的需要对个人权利进行限制,必须选择对个人利益侵害最小的方式,并且可实现的利益必须大于对个人利益造成的损害。因此,公权力机构在什么限度内可以对公民面部信息进行采集必须有法可依,在这个方面我国还需要加大立法的力度,防止公权力机构过度采集公民生物信息数据。
在商业主体应用面部识别技术的场合,首先面临的问题是商业主体采用人脸识别的法律依据在哪里,以及消费者能否享有选择权以及能否拒绝。比如浙江某大学教授状告野生动物园一案,买过票的游客也必须人脸识别才能入园实质是格式条款,限制了游客对是否允许采集面部信息的选择权,这种限制是否合法是很有疑问的。根据《合同法》第四十条的规定:凡是免除提供格式条款一方当事人主要义务,排除对方当事人主要权利的,一律无效。对商业主体单方面强制采集用户人脸数据否则不予服务的行为,必须立法予以严加规范。
四、自然人对人脸识别依法可主张的权利
我国现行法律对公民面部信息保护主要通过肖像权和个人信息保护两种方式。
1. 个人可主张“肖像权”来保护人脸信息
根据1986年的《民法通则》(仍有效)第100条,公民享有肖像权,未经本人同意,不得以营利为目的使用公民的肖像;第120条,公民的姓名权、肖像权、名誉权、荣誉权受到侵害的,有权要求停止侵害,恢复名誉,消除影响,赔礼道歉,并可以要求赔偿损失。2017年颁布的《民法总则》第110条规定:自然人享有生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权利。很明显新的《民法总则》不再把“以营利性为目的使用”作为侵犯肖像权的条件。
从《民法总则》的条文和精神可以推导出以下结论:自然人原则上有权禁止他人在未获得本人许可的情况下制作、使用、侮辱、玷污、毁损、或丑化自己的肖像。但是我国法律没有明文列举哪些情况可以不经过个人同意使用个人肖像权,但这样的情况现实中大量存在,最典型的如公安机关通缉逃犯。这种对肖像权强制制作和使用应该是要有直接法律依据的,而且要限于某些特定情况,我国法律层面对此没有明确规定。这就会导致产生一些肖像权保护的模糊地带,尤其是在自然人处于相对弱势地位的情形下,其在多大程度上可以捍卫自己的肖像权就很值得研究。目前《个人信息保护法》和《民法典》都在立法进程中,相信会对这些问题有更明确细致的规定。
2. 个人可主张“个人信息权利”保护人脸信息
《民法总则》第111条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”。《消费者权益保护法》第29条规定 “经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息”。《网络安全法》第76条第5款规定:“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。《刑法》253条规定了侵犯公民个人信息罪。 这些都是自然人可以将其“人脸”信息纳入个人信息权利进行保护的法律基础。但具体什么情况下搜集、使用人脸信息是非法行为,还需要立法进一步明确。比如前面提到的强制要求用户刷脸才能进入动物园,比如楼宇运营商强制要求访客必须刷脸才能进入办公楼访问(即使出示了身份证),这些是否构成非法搜集人脸信息?如果这些设施是国有企业或政府机构所有,是否行为性质又不一样?这都值得进一步探讨。
值得注意的是,2020年3月6日由国家市场监督管理总局、国家标准化管理委员会正式发布的2020版国家标准《信息安全技术 个人信息安全规范》(下称《规范》)针对人脸识别中信息保护的相关问题进行了更加明确的规定。《规范》对收集人脸识别信息的告知和存储要求作出了明确的规定要求,个人生物识别信息需单独告知使用目的、方式和范围,并且应当与个人身份信息分开存储且原则上不应存储原始个人生物识别信息。1)《规范》第5.4条增加了“收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意”的规定。此条款的增加,意味着网络运营者在收集人脸识别等生物识别信息时,需要专门设计获得用户特别同意的说明和环节,也意味着当用户提起争议时,企业负有更高的举证责任。2)对于个人生物识别信息的共享和转让也提出了原则上禁止,但确有需要的应当单独告知并取得同意的要求。3)同时,对于生物识别信息的存储,《规范》提出“首先,个人生物识别信要与个人身份信息分开存储;其次,原则上不应存储原始个人生物识别信息,可采取的措施包括但不限于:a. 仅存储个人生物识别信息的摘要信息;b. 在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;c. 在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。”但这个规范只是推荐性的标准,本身没有法律强制约束力。
五、欧美对人脸识别技术的规范趋势
从欧盟《通用数据保护条例》(GDPR)的严厉度来看,欧盟对人脸识别技术可能引起的人权担忧是显而易见的。在2019年12月欧盟《人工智能白皮书(草案)》中,欧盟委员会表示考虑实施史上最严的人工智能监管措施,对公共或私人机构在公共场所使用人脸识别技术可能被禁止3至5年的时间。但2020年欧盟最终发布的《人工智能白皮书》却删除了禁止人脸识别技术的措施。这主要还是考虑到人脸识别技术的普及趋势,以及过于严苛的限制可能会导致欧盟经济技术的发展大幅受损。但是,为了加强个人隐私保护,欧盟在《人工智能白皮书》提出人工智能企业必须通过相关部门的安全测试和资质审核才能进入欧盟市场,并对人脸识别等远程生物识别系统提出严格要求,即此类技术的应用只能基于正当和相称的目的,并具备足够的安全保障。预计欧盟将在2020年底出台《欧盟数据服务法》,对相关提议正式法律化。
美国在联邦政府层面没有一部统一的规范个人生物信息收集和使用的法律,但是在地方政府层面,很多州都有立法保护公民的生物信息,比如伊利诺伊州和加州都颁布了《生物信息隐私法案》。这些法案原则上均要求企业进行人脸识别要获得预先知情同意,并不得将数据出售给第三方,同时对相关生物信息数据有明确存储期限限制,州政府可以对此予以监督检查。而美国旧金山、马萨诸塞州的萨默维尔和加州的奥克兰等地相继出台禁止政府机构使用人脸识别的禁令(但有有限的除外情况),这体现出美国一些地方政府对人脸识别技术的应用非常敏感。同时,在联邦政府层面,2020年2月美国已有议员提议《道德使用人脸识别法案》,要求暂时禁止政府机构使用人脸识别,直到形成政府使用准则和限制条件,以防止人脸识别技术违反美国宪法第一修正案中规定的公民言论自由权利。值得注意的是,在一项伊利诺伊州用户的集体诉讼中,Facebook在2020年1月底花费了5.5亿美元和解一项人脸识别争议(即Facebook在未经用户许可的情况下将其通过用户照片获取的面部数据用于标签建议)。
六、 建议
1. 对于个人用户而言
由于个人的力量在面对政府公权力或企业组织的时候相对弱小,因此个人对自己的面部数据要有强烈的保护意识,防止自己的生物信息被滥用。在自己个人的面部数据可能被针对性采集的时候,要尽可能询问采集面部数据的原因和用途,是否有合法依据,以及数据搜集方对数据安全的保护措施。在自己的安全担忧无法被合理排除的情况下,可以拒绝面部数据的采集。针对不合理的强制性采集,可以向当地网信办和消费者权益保护协会投诉,甚至直接诉至法庭。
2. 对于企业而言
首先要评估确认自己的业务是否真的需要搜集用户的人脸数据,并务必要遵守最小必要和单独特别同意原则。比如在办公楼宇进入时候,有些运营商强制要搜集访客的人脸数据很可能就是过当的,因为身份证核查一般就可以满足安检要求。不当存储了过多的用户人脸数据,一方面加大了数据存储难度和加剧了泄露后果;另一方面可能面临大量的集体诉讼风险和更严格的政府监管和调查。
对于人脸数据的商业化,企业更要异常谨慎。目前社会上利用人脸数据进行诈骗已经呈现明显上升趋势,而终端的诈骗案件都有可能回溯过来导致人脸数据搜集方和加工方承担衍生责任。前几年业界比较知名的数据堂事件就是一个很好的警醒。
企业一般应做好以下数据保护措施:A. 制定严格完善的数据隐私保护制度,对敏感数据接触人员进行背景核查;B. 将隐私政策进行公示,并尽量给用户选择权、修改权和删除权,避免过度的格式条款;C. 对员工进行全面和定期的数据隐私安全培训,增强数据安全意识;D. 和数据类公司进行业务合作时,要对合作方进行数据保护尽职调查。
3. 对于国家机构而言
国家应尽快完善公民生物信息保护的法律体系,加快立法,将在司法实践中行之有效的处理意见上升为法律。在执法方面建议加大对企业不合理使用公民个人信息的行政处罚力度,提高侵犯公民个人信息的违法成本,欧盟、美国等对Google、Facebook等企业不当处理用户数据的处罚力度以亿元计算。没有高额的处罚难以形成对企业滥用用户隐私的真正约束力。
进一步明确企业的披露义务,企业必须向数据主体披露数据采集者、数据处理者、数据处理的目的以及所依据的规则,企业对于隐私条款应当以简明易懂的语言表述,并尽到提示说明义务,采用足以引起对方注意的方式进行提醒。对于侵犯用户隐私严重的企业,拉入企业信用黑名单。
在政府自身成为人脸信息搜集主体时候,政府要有明确的法律依据并遵循合理必要原则,并限制公权力的过度扩张,尽可能较少对公民隐私权的侵犯,为企业做好榜样。