SCI论文(www.lunwensci.com)
摘要:近年来,人脸识别技术作为新型智能技术被广泛应用于金融、交通等商业领域。尽管人 脸识别技术满足了人们对便捷和高效的需求,但是无边界的应用使个人信息面临被非法收集、滥 用和过度检索的风险。本文从人脸识别个人信息保护技术出发,结合域外人脸信息保护路径,针对 当前一般知情同意规则下个人信息保护力度不强、人脸信息持有者行业自律管理机制缺位、单一 处罚性事后行政监管机制效用不足的现实困境,提出明确“ 知情 — 同意 ”规则具体适用标准、设 置专门外部行政监管机构以及建立“ 事前机制 + 事中机制 + 事后机制 ”全责任机制的优化路径。
随着互联网科技的发展,人脸识别技术被广 泛应用于各个领域。自“ 人脸识别第一案 ”之后, 人脸识别个人信息领域的法律问题也层出不穷。 那么,在人脸信息适用与日俱增的情况下,人脸 信息保护还存在哪些风险、如何有效防范等均成 为当前研究中需要直面回应的问题。基于此,本 文通过梳理人脸信息背后的逻辑、问题、成因,寻 求突破思路,进行法理上的考察分析,并提出相 应的优化进路。
一、人脸识别中个人信息保护概述
( 一)人脸识别个人信息的法律属性
1.人脸信息具有人格利益属性
《 中华人民共和国民法典》(以下简称《 民法 典》)人格权编第六章中仅规定“ 私密信息 ”适 用隐私权,对于其他个人信息用“ 等权利 ”“人 格权益 ”等表述,表明民法体系中人格权益保护 的开放性。最高人民法院 2021 年 7 月发布的《最 高人民法院关于审理使用人脸识别技术处理个人 信息相关民事案件适用法律若干问题的规定》第 二条通过“ 列举 + 兜底 ”的方式,将非法处理人 脸信息行为界定为侵害自然人人格权益的行为。 同时,在第二条至第九条中规定了非法处理人脸 信息的权责义务[1]。
2.人脸信息属于个人生物识别信息
人脸信息属于“ 数字人权 ”,通过大数据、新 型智能技术获取和处理,与自然人的面部特征高 度相关 ,可以此直接识别或者判断自然人身份。
( 二)人脸识别个人信息的模式及特征
从人脸识别技术获取个人信息的运行原理看,根据应用场景可分为“ 人脸验证 ”与“ 人脸监控 ”两种模式。“ 人脸验证 ”模式主要是进行人脸比对 确定是否是同一人员,即将摄像头抓取的现场人 脸信息与先前数据库中已有的照片或图像进行比 对,通过程序验证识别是否为同一人员。在实践 中,该模式被应用于交通行业的通行、取票,企 业中的签到打卡、门禁通行以及移动“ 刷脸 ”支 付等需要人脸识别验证的场景[2]。“ 人脸监控 ” 模式主要是进行人脸比对判断是否有特定人员存 在,即将摄像头抓取的现场人脸信息与先前数据 库中已有的照片或图像进行比对,通过程序验证 识别判断是否有特定人员存在。在实践中,该模 式被应用于政府数据开放、公安机关抓捕犯罪嫌 疑人或寻找失踪人员等特殊场景。两种模式的人 脸信息均具有如下特征。
1.人脸信息的唯一性
一般个人信息包括姓名、居民身份证信息、 指纹、虹膜、瞳孔识别以及掌纹等其他相关个人 信息。而人脸信息属于公民独有的个人信息,对于 个人信息主体公民或者消费者个人具有不可替代 性,具有唯一性[3]。
2.程序的验证识别性
一般个人信息不需要涉及计算机技术的鉴定 和识别,更鲜少用及算法技术进行信息验证、鉴 别。而人脸识别信息自身的信息复杂性决定了程序 验证比一般个人信息更为复杂,人脸信息采集时通 常需要进行计算机的验证识别。
3.信息损害的不可逆性
人脸信息是公民的一种身份,具有唯一的代 表性,与其他信息之间的关联较为密切。因此,一 旦人脸信息泄露或者被非法使用,对于公民、消费者或其他相关自然人将造成不可逆的损害[4]。
4.与其他个人信息的高度关联性
人脸信息的敏感性特征,表明人脸识别信息 和其他个人信息之间具有的较强的关联性。人脸 信息通常与其他个人信息绑定作为识别个人的验 证方式。一旦人脸识别数据信息发生泄漏或者被 非法使用,则容易侵犯公民隐私权、财产权以及 性别平权等权益。
二、人脸信息保护的域外实践
( 一 )美国
美国将人脸识别信息认定为敏感个人信息,并且将其与公民或者消费者自然人的人格、尊严 等人身权益和财产权益联系起来。目前,美国在 联邦层面对于人脸识别技术的规制,尚未制定统 一的法律规范,由各州独立管理。现阶段制定生 物识别信息相关法案的州已多达七个,其中伊利 诺伊州 2008 年颁布的《生物识别信息隐私法案 》 是美国第一部关于收集、使用“ 生物识别信息 ” 和虹膜扫描、声纹等信息的专门法律文件[5]。同 时,美国以《加州消费者隐私法 》的确立原则为 基础,形成了相对统一的个人信息保护标准,人脸 识别中个人信息保护也适用上述标准,赋予了个 人对企业违反义务行为提起相应的民事诉讼的权 利,明确企业在人脸信息使用中的义务和责任。
此外,美国对于政府机构和非政府机构使用人脸 信息采取不同的规制方式。对政府部门机构的法 律规制主要存在以下三种制度:禁止使用制度 , 任意使用制度 ,特别许可使用制度[6]。
( 二 )欧盟
判断人脸识别中个人信息数据的处理是否合 法合理合规,应当从数据处理者的处理目的以及 追求目标出发。自 2016 年以来,欧盟关于数据保 护方面采用目的针对性使用方法,只有通过特定 技术处理、能够识别特定的公民的图片才能被认 为是生物识别数据。欧盟在立法中采取了集中监 管、统一立法的治理模式,将人脸信息权上升为 公民人格权的一部分,形成相对统一的人脸识别 信息保护机制。欧盟 2018 年出台的《通用数据保 护条例》(以下简称“GDPR”) 中将人脸识别信 息数据归类于特殊种类的信息数据,适用“ 原则 禁止,特殊例外 ”原则,即对生物特征识别信息 进行数据处理原则上是被禁止的,只有在特殊 目的、特殊情形之下,才能评估关于处理的人脸 信息数据是否相关、安全并合乎既定比例等。在 GDPR 中,对于包括人脸识别信息数据在内的生 物数据,适用主动明确、直接且具体的同意,否则 任何超出个人信息主体的主观意愿之外的被动同 意都是违反 GDPR 的违法行为[7]。
(三 )法国
人脸识别信息是个人信息主体特有的生物特 征,具有永久性与数据主体密不可分性。法国将 人脸信息视为生物特征识别信息、敏感信息,并对 其进行特殊保护,且适用较为严格的法律规制。 2018 年法国颁布的《法国数据保护法》对其先 前的数据保护立法进行了修订,与欧盟的 GDPR 基本保持一致,并畅通了公民关于信息权利的救 济途径。即在未经法律授权和个人信息主体同意 的情况下,无论是政府行政部门主体还是非政府 行政部门如商业部门,均不得实施生物特征识别 数据的处理行为。
三、人脸识别中个人信息保护的现实困境
( 一)“ 知情 — 同意 ”规则下个人信息保护力 度不强
我国《 民法典》在第一千零三十五条中对个 人信息的处理仅作出了原则性规定,并未明确规 定是否可以适用新型智能技术进行共享、收集和 分析私密信息和非私密信息。若同意收集,关于 信息收集主体、收集程序、收集信息事后监管措 施、收集信息是否需要不同级别的保存措施以及是 否有权委托第三方进行保存等问题,尚未作出细化 规定。目前,对于个人信息普遍采用“ 知情 — 同 意 ”规则,针对人脸识别中个人信息的“ 同意 ”范 围是否界定清楚,是对“ 局部信息的同意 ”还是 对“ 整体信息的同意 ”,是否包含“ 同意人脸信 息实际控制者再次或多次共享和检索该信息 ”, 均需具体明确[8]。
在实践中,人脸识别技术既被广泛地应用到 金融支付、信息保管等重要领域,也被应用于签 到打卡、门禁通过等一般生活性场景。针对上述 不同适用场景中人脸识别技术实际控制者的权责 是否一致,当前立法也缺乏相应规定。在立法上 关于人脸信息的保护力度不强、在行政监管方面 对消费场所或者企业、平台终端适用人脸识别技 术未发挥作用,监管机制失灵,不利于人脸信息 在消费场所或者公司、平台终端以及其他领域的 保护以及公民相关合法权益的保护。
( 二)人脸信息实际控制者行业自律管理机制 缺位
当前,人脸识别技术实际控制者行业自律管 理机制缺失,对于平台终端、消费场所等营利性 机构适用人脸识别技术的标准、条件以及获取其 他信息的程度未作出具体化规定,导致营利性机 构未经公民同意使用人脸识别技术采集、共享人 脸信息,过度获取公民其他方面信息的情形日益 增多。在实践中,行业自律管理机制失灵,行政监 管力度有限,行业协会内部也无相关行业细则约束消费场所或者公司、平台终端适用人脸识别技 术,极易致使公民的人脸信息泄露、收集、共享以 及被过度获取,难以发挥行业内部监督的作用。
(三 )单一处罚性事后行政监管机制效用尚有 不足
当前由于对企业、平台终端以及营利性机构 适用人脸识别技术缺乏事前以及事中行政监管, 存在人脸识别技术行政监管主体缺失以及行政 监管措施不明等问题,导致人脸信息侵权案件频 出。我国当前关于人脸识别行政监管主要体现在 《 中华人民共和国个人信息保护法》《 中华人民共 和国数据安全法》《 中华人民共和国网络安全法 》 以及《 中华人民共和国消费者权益保护法》(以 下简称《 消费者权益保护法》)等四部法律中。 监管方式较为单一,多数案件为“ 责令改正 ”和 “ 罚款 ”的形式,而“ 警告 ”的方式占比较低。整 体的行政监管机制体现为处罚性监管机制,对于 事前监管机制以及事中监管机制并未覆盖提及,行 政监管机制效用尚有不足[9]。
四、人脸识别中个人信息保护的优化进路
(一 )明确“ 知情 — 同意 ”规则具体适用标准
在 2013 年第二次修正的《消费者权益保护法》 中,仅对经营者采取措施保护消费者个人信息作 出笼统性规定,但是对于采取措施的种类、级别并 未作出细化规定。因此,应当根据“ 知情 — 同意 ” 规则,明确备案制、核准制和审批制的具体适用 标准。规定备案制适用于仅拥有非私密信息的机 构,即应用一般生活场景的人脸信息;核准制适 用于仅拥有私密信息的机构或者同时拥有双重信 息的集合单位;审批制适用于第三方专业存储机 构,考虑巨大的数据存储规模,应对其设置准入 门槛,定期进行风险评估。此外,对于既拥有私 密信息又拥有双重信息的集合单位,在征得当事 人同意的情况下,可以将信息存储于第三方专业 存储机构。在这个阶段,应当设置第三方平台的 “ 知情 — 同意 ”条款,提前告知人脸信息当事人 存储风险以及权限。
( 二)设置专门外部行政监管机构
在人工智能时代,随着人脸识别技术的应用, 人脸信息保护越来越重要。实践中关于人脸识别 技术持有者自律性不足和人脸识别技术持有行业 自律管理机制缺失等问题,除了对人脸技术持有 者的规范进行行政监管,还需要人脸识别技术持 有者行业协会内部设立相应的自律管理机制。为 了减轻司法负担,可以在行政监管阶段设置专门 的外部行政监管机构,定期对于第三方专业信息 储存机构进行风险评估,以期对消费场所、平台 或者后台终端适用人脸识别技术获取人脸信息进 行外部监督。同时也有利于实现当前关于人脸识别技术对于公民或者消费者自然人人脸识别信息 的平衡。通过外部行政监管机构的监管,有利于 增加人脸识别技术持有者相关市场主体进入该行 业的准入门槛,将有效降低人脸识别信息领域中 权益损害情形的出现。
(三 )建立“ 事前机制 + 事中机制 + 事后机 制 ”全责任机制
实践中,人脸识别技术的应用也给监管部门 带来相应的行政负担。在行政机关依法监管过程 中,单一的处罚性事后监管机制对人脸识别信息 的保护和一般民商事案件一样,具有事后救济的 特征,无法起到“ 事前监管 + 事中监管 + 事后监 管 ”的全监管机制的效用。因此,应当在当前单 一处罚性事后监管机制的基础上进行改进,建立 “ 事前机制 + 事中机制 + 事后机制 ”全责任机制。 此外,还应当加强对人脸信息保护的监管,引入 信用机制,以期构建“ 行政监管 + 行业监管 ”的 双监管模式。
五 、结语
随着人工智能以及大数据的快速发展,人脸 识别技术被广泛应用于多个领域。关于人脸信 息的保护,无论是理论层面还是实践层面均具 有较大的研究价值。人脸信息保护只有通过明确 “ 知情同意 ”规则具体适用标准、设置专门外部 行政监管机构以及建立“ 事前机制 + 事中机制 + 事后机制 ”全责任机制,才能有效保护人民群众 的人脸识别信息合法权益。
参考文献
[1] 姜野,杨颖.人脸识别技术刑法规制的限度、维度 与强度[J].河北公安警察职业学院学报,2023.23 (2):57-60 .
[2] 马腾飞,冯晓青.政府数据开放背景下人脸识别 法律规制研究[J].中国政法大学学报,2023(3): 180-191 .
[3] 杨华.人脸识别信息保护的规范建构[J].华东政法 大学学报,2023.26(2):68-79 .
[4] 王毓莹.人脸识别中个人信息保护的思考[J].法律 适用,2023(2):15-24 .
[5] 龚炜琪.人脸识别技术应用背景下个人信息的法律 保护[J].韶关学院学报,2023.44(1):63-69 .
[6] 沈磊,邢恩铭.人脸识别技术引发的个人信息保 护问题研究[J].牡丹江大学学报,2023.32(1):37- 41.59 .
[7] 康铭,钟瑞栋.大数据时代人脸识别信息侵权构成 的二元解释论——基于人脸识别信息二元属性的 分析[J].征信,2023.41(1):40-49 .
[8] 张嘉鑫.论商业人脸识别中隐私权和个人信息的 双重保护[J].行政与法,2022(8):78-87 .
[9] 倪楠,王敏.人脸识别技术中个人信息保护的法律 规制[J].人文杂志,2022(2):121-131 .
关注SCI论文创作发表,寻求SCI论文修改润色、SCI论文代发表等服务支撑,请锁定SCI论文网!
文章出自SCI论文网转载请注明出处:https://www.lunwensci.com/falvlunwen/70292.html
