SCI论文(www.lunwensci.com)
【摘要】在大数据时代下,人脸识别技术发展迅速,人脸识别摄像头遍布大街小巷,该技术在顺应了隐私数据化发展趋势的同时,也对公民的个人隐私产生了威胁。数据隐私化是隐私数据化发展的必然要求,其核心要义在于找到公共利益与个人隐私权益保护的平衡点。在实践中由于缺乏制度化建设、现有法律法规体系不完善;个人隐私让渡虚位和公共隐私保护缺位存在着种种问题,需要通过对应的策略加以规制和解决。
【关键词】隐私的数据化,数据的隐私化,人脸识别技术,守门人理论,技术伦理
随着科学技术日新月异地发展,传播介质逐步由传统纸质向电子、移动数据转变,人脸识别技术作为识别个人信息的新兴技术,在社会各领域的应用中扮演着重要的角色。但是由于人脸识别技术所使用的识别技术模块和智能识别系统,既缺乏技术性正当程序和规章的约束,也缺乏必要的法律规制,存在对个人隐私的侵犯的风险,需要对该项技术进行深入研究,并加以规范,构建数据化时代的隐私保护规范机制。
一、基础概念和发展背景
大数据时代,随着信息规模和源信息捕捉设备的多元化,催生了以人脸识别为代表的个人生物信息采集和识别方式的发展,高科技监控图像设备通过与IT技术、AI技术的深度有机结合,为推动社会高效管理发挥了重要作用。人脸识别技术又被称为人像识别、面部识别技术,是基于人的脸部特征信息进行身份识别和确认的一种生物识别技术,其工作流程主要是通过采集设备、采集含有人脸信息的图像或视频,再通过智能捕捉设备提取人脸,最后结合数据库中个人人脸信息进行比对。
(一)大数据时代隐私数据化发展的特征
在以物联网、5G传输协议为代表的新兴科学技术的发展下,个人各项信息呈现出数据化趋势,储存介质与传播手段都向数据化转换。一方面,高效的电子媒介提供了更加方便快捷的信息传播速度,另一方面,隐私保护边界的模糊增加了个人信息泄露的风险。对大数据时代以及在该时代背景下的个人信息发展情况进行精准把控,是分析隐私数据化的一项重要工作。
1.隐私数据化的发展背景。隐私的数据化是指个体的各项隐私以及关联信息储存介质由物理实体介质向网络虚拟介质转化。随着“数字治理”程度的不断加深,各项隐私的捆绑技术也不断提高。隐私数据化的迅速发展离不开高速发展的信息传播技术与计算机科学技术,线下实体设施的数量和种类不断增多,逐渐取代原有的纸质被动式信息收集方式,转向电子主动收集,机构之间通过信息数据库的互通,很快搭建起庞大的信息王国,而个人由于信息互通的便捷性,也选择了顺应各项隐私数据化的趋势。隐私数据化趋势虽然能够加快信息传播以及各项信息流的流动速度,但也导致了数据化后的隐私更容易泄露,不利于保护个人隐私。
2.隐私数据化时代下个人信息的发展现状。个体生物特征可以分为个人隐私信息、一般个人信息和个人数据三种[1]。一般个人信息与个人隐私信息具有个人隐私属性,与个人关联密切,但主要区别在于其内涵、应用范围以及受法律保护的强度不同。一般个人信息中涵盖范围更广,大部分信息不需要经过个人的同意便可进行采集,并且具有财产属性,在经个人同意后可以通过脱敏交易;但个人隐私信息不能通过简单的知情前置来验证其采集的合理性,通过人脸识别等技术获得的个人信息具有人格与财产的双重属性,应当纳入个人隐私的范围中,通过法律加以约束和保护,并且个人隐私因具有个人人格性与隐私性,不能进行有关的交易。但在现今的适用中,个人信息中的个人数据通过各项终端设备被智能采集,一般个人信息由于不同机构的“洗白”程度不同,存在着泄露和还原风险;个人隐私信息由于法律法规建设不全面,若被有心机构所利用或过度采集,会导致隐私泄露风险。
(二)人脸识别技术概述
人脸识别技术作为生物识别技术的一种方式,在近年高速互联网技术的发展和终端设备的多样化趋势下得到了较快的发展。刷脸进小区、刷脸过安检、刷脸打卡上下班等智能认证行为已遍布生活的每个角落。人脸识别技术作为智能社会的重要代表,为推动社会智能化发挥了重要作用,但在应用中对于个人信息的过限攫取以及隐私侵犯等问题较为突出。因此,明确人脸识别技术以及其带来的收益风险,是进行体系化管理的重要前提。
人脸识别作为个人信息采集方式,区别于传统的指纹识别、虹膜识别等,除了无需携带、易于采集、成本低廉的特点,还具有非接触性、主体唯一性、不易复制性的优势。在推动社会高效快捷解决问题上发挥了重要的作用,但是在发展过程中也存在着诸多问题,需要结合实际情况进行分析和解决。
1.人脸识别技术分析。人脸识别信息技术通过采集面部信息进行比对识别,应用过程大致以输入转化—提取分析—识别比对三步完成。第一步是面部信息采集输入,通过公共场所设置的摄像头、监控等设施对面部信息进行采集和获取,并在人脸数据库中进行存储和完善;第二步是特征提取采集,通过专有的技术设备,对2D或3D人脸模型特征进行采集,通过特殊的算法以数字代码的形式将面部特征信息表现出来;最后一步则是识别比对,通过将获得的人脸信息与数据库中已获得的人脸信息进行对比分析,根据相似度判别分类,从而达到身份确认或身份查询的目的。其核心内涵在于通过机器对静态或视频中的人脸图像进行特征提取、分类识别,以达到身份鉴定的目的[2]。
2.人脸识别技术的收益与风险。人脸识别技术为社会带来了高效便捷的通讯和识别方式,但也对人身安全与个人隐私带来了新的风险和问题,引发了人们对于相关的技术伦理和技术性正当程序的思考。与一切新兴技术一样,人脸识别技术机遇与风险并存。如在人脸识别中,通过智能设备收集的各项购物习惯、购物信息的个人数据,通过成长化的个人数据总结,能够进行智能推荐,为个人提供改良的购物方案;通过智能设备提前对个人的信息进行确认,能够节省相关个人隐私再识别的时间,帮助个人提高个人效率。但也存在风险,如“中国人脸识别第一案”中郭兵录入了姓名、手机号、指纹等信息。但是在2019年10月,园方将年卡用户的身份核验系统由指纹识别改为人脸识别,而郭兵不愿意被强制刷脸,于是将杭州野生动物世界告上了法庭。郭兵最终的胜诉也预示着我国个人隐私意识的觉醒,除了隐私阀门的松懈,很多收集人脸的机构并不具备相应的风险防控、安全保障能力以及相应的组织和机制,其获得的信息往往会被交易或泄露,在“大数据是未来的石油”的基本认知之下,置公民个人信息安全于不利局面[3]。更需要关注的是,不同于身份证和指纹,人脸识别具有更强的非接触性,每个人每天在不知不觉就被采集了个人人脸信息,并且区别于指纹等主动性识别设备,人脸识别个体能够更快被捕捉和发现,其侵入性更强。因此,人脸识别技术虽然已是世界发展的潮流所向,但就其实际的应用上,却是收益与风险两掺,发展充满未知与不确定。
(三)数据隐私化发展的内在要求
数据隐私化是数据安全要求下折射出的必然要求,社会中每个个体都是公众的组成部分,因此人身权利受到侵害时,对公众的隐私也会构成相应的威胁。归根结底,应当对传播过程中的数据进行加密和保护,对数据本身进行加密,对传播过程加以控制,对处理机构的处理手段标准化,通过传播前、传播中、传播后三方面体系化入手进行处理。有学者提倡法律应着力保护“数据安全法益”,即数据的保密性、完整性和可用性的保护,维护数据在社会往来中的安全性和可信赖性[4]。这不仅是促进人脸识别技术更快更广发展的有益助力,也是数字社会隐私重塑,推动识别技术合理“去识别化”建设的必经之路。
1.人脸识别信息的安全法益划分。人脸识别信息中主要的载体和识别对象是人脸数据,一方面,人脸识别数据具有较强的人格利益,如果非法使用“AI换脸”等技术,恶意伪造虚拟事实,将会对个人的名誉产生严重不良的影响,也会对民法典中人格权编规定的肖像权造成侵害,可见人脸识别数据具备较强的人格利益;另一方面,人脸识别数据具备稍弱的财产价值,人脸识别数据的关联功能可以帮助经营者更精准地掌握和利用消费者信息,这使得人脸识别数据逐渐呈现与其他个人数据同等的使用价值[5]。按照原有的对生物信息的三分法,人脸识别信息应当划分为个人隐私信息。此外,随着隐私数据化的趋势进一步增强,人脸识别信息所涵盖的不仅仅是公民个人的肖像权,还包括个人的身份、隐私、财产等多方面的权利,所具有的安全法益理应受到法律更高层次的保护,提高其法律地位。
2.公共场所人脸识别技术的“匿名化”分析。在公共场所的摄像头除了日常的信息记录外,基本都带有识别人脸信息并存储的效能,而由于对识别系统没有进行专门的法律规制,人脸识别采集情况非常普遍。目前人脸识别技术的识别模式主要有三种,第一种是一对一类型的识别,包括进站乘车、上下班打卡等;第二种是一对多或多对多的识别类型,包括对特定范围内群体的识别,数据追踪等方式;第三种是检测模式,如车流量、景区人流量检测等。三类识别方式中,除了第三种没有对个人人脸数据进行详细采集外,前两种均对个人的人脸进行了识别和提取。而各项终端设备在相应机构没有进行规制的情况下,对人脸的采集和精细程度往往都会高于其正常使用要求,并进行了储存及流通,对公民的隐私构成了侵害。因此在数据隐私化的发展背景下,对人脸识别技术提出了“匿名化”的要求。该观点强调使用隐私加密和保护技术,提出人脸识别信息的处理准入标准尺度,由国家立法或设立专门的监督机构等方式对人脸识别信息统一标准处置,再根据具体办案和国家安全的需要,对有需要的机构组织进行人脸识别信息的还原,保证相关行为的正当性。但由于数据化时代的技术更迭速度较快、终端数量庞大、监管能力受限等因素的影响,匿名的状态只是暂时的,不存在绝对的“去识别化”,对于个人信息的隐匿仅限于在特定的场景中有效,在国家法律制度建设与科学技术发展尚不全面的情况下,对人脸识别技术进行“匿名化”一刀切处理不仅达不到防止信息泄露的目的,还会使得法律适用存在困难,个人信息被再识别风险增大,阻碍原有效信息的自由流动。因此,对人脸识别信息进行“匿名化”只能是调整优化数据隐私化的一项决策,并不能从根本上解决相关问题。
二、隐私数据化发展下人脸识别技术发展困境与法律问题分析
随着科学技术进一步发展,对信息传播交换速度的要求也随之上升,人脸识别技术通过“非接触性采集”有效解决了个人信息提交与隐私关联保护问题,虽然加快了信息沟通,顺应了隐私数据化的要求,但过于宽松的法制环境以及缺乏规制的新兴技术很容易导致其陷入“野蛮生长”的状态。通过对各方面问题进行充分分析,以期对实现数据隐私化提供有益助力。
(一)技术伦理与技术中立难题
同一切新兴科技一样,人脸识别技术具有收益与风险的两面性,在为日常生活识别带来便利的同时,也必然会带来社会风险与技术隐患。人脸识别技术属于人工智能科技的一部分,人工智能科技依赖人为先前制定的算法,在算法分析数据的基础上进行处理,但由于技术本身存在不可避免的偏差,过于盲目依赖技术会出现唯技术论的现象,排斥人为化的干预与支持,因而需要根据技术伦理与技术中立发展要求进行修正,推动人脸识别技术向正当化发展。
1.技术伦理与技术中立的必要性。技术伦理是通过对技术的行为赋予伦理化的导向,使技术主体在技术活动中不仅仅考虑技术的可能性,还要考虑活动的目的、手段以及后果的正当性,这不仅仅是对技术本身提出的要求,更是对技术操控者提出的要求。在这一发展趋势下,技术性伦理和技术中立更加重要,它不仅要充分发挥技术的工具属性,也应当在目的属性上依照正常的程序进行,符合正当的目的。技术中立则是在使用技术时应当对其使用目的与使用手段保持中立,依照正当目的进行使用,不得对采集方或被采集方提供任何有利倾斜措施。
技术伦理不仅是技术发展的要求,也是缓解阶级种族矛盾、修补人脸识别技术缺陷的重要一步。如谷歌2015年的AI智能识别案便是其中的典型。谷歌在2015年为方便用户进行照片智能收纳,推出了自动识别分类服务,但将一名黑人程序员识别成了黑猩猩,涉嫌种族歧视,谷歌也因此陷入舆论旋涡。显然,人脸识别中,对人像的采集仍是根据原有的算法所确定的,而算法的建立基础是一系列大数据搭建的人类特征,识别的精确程度与算法以及个人人脸特征匹配度密切相关。虽然个人人脸具有独特性,但由于识别技术固有的偏差,终端设备摄像头等硬件设施问题,人脸识别会出现相应的偏差,如果缺乏伦理的修正,在使用过程中将会导致技术识别偏差化严重,产生一系列伦理问题。
此外,人脸识别技术的应用范围不断扩大,发展更迭也产生了更多的衍生品和拓展,包括换脸视频、人脸表情控制等。其中,换脸技术依托于人脸识别设备对个人人脸特征的提取分析,再将相关人脸数据转接至视频中,尤其是通过对网络名人进行换脸,制作色情视频等,对人脸识别技术发展伦理提出了新的挑战,各类真真假假的视频传播,不仅侵害了个人的隐私权,也会对社会整体稳定造成威胁。因此,将人脸识别技术装进规范的笼子,不仅能够规范当前技术的正当使用,还能为之后人脸识别技术的发展衍生产品指明正确价值导向。
2.人脸识别技术工具价值和目的价值冲突问题。人脸识别技术作为一项技术,带有工具价值和目的价值的双重价值性。在工具价值中,人脸识别技术作为一项新兴科学技术,通过人像采集提取分析的方式对社会公众进行识别分析,发挥其工具效用;在目的价值中,人脸识别技术最终的目的是为采集方服务,通过采集相关主体的各项信息后进行联想记忆,帮助采集者更好地了解被采集者的信息,但也违反了技术工具价值中对技术无目的性中立的要求。人脸识别从“识别”进一步拓展至“深度学习”,被采集者的信息暴露在采集者的控制下,在工具价值和目的价值的冲突下隐含着道德的选择问题,是采取事前规制、划定范围的方式,还是选择补充完善、实践推进的模式,成为价值冲突下的选择焦点。
(二)法律法规建设问题
人脸识别技术及其提供的各项数据化的隐私为数字经济发展提供了强有益的助力,但人脸识别技术的过度使用将使社会安全系数降低。关于人脸识别的犯罪也层出不穷,因此对其进行法律的规制迫在眉睫。我国在2020年《民法典》中通过对人格权单独成编,以及《个人信息保护法》的公布,都意味着我国正在逐步完善隐私数据化背景下的人脸识别技术法律框架,积极的立法进程不仅是修正人脸识别合理性的重要手段,也是促进社会信息化转型的必经之路。
1.《个人信息保护法》中个人隐私的立法规定。人脸识别的载体和主要对象仍然是以人脸承载的个人生物信息以及与之关联的个人隐私。为了对个人信息进行更周全的保护,我国在2021年制定了《个人信息保护法》,在第四条中对个人信息加以明确界定,“个人信息是以电子或者其他方式记录的和已识别或可识别的自然人的各种信息,但不包括匿名化处理后的信息”。在这项规定中,对数据化的个人信息进行了明确的保护,明确了数据化的隐私受到《数据安全法》和《个人信息保护法》的双重保护规制,对个人隐私实现了进一步的保护。除了在定位上进行保护,该法也通过积极创新主体责任,引入“看门人理论”,在第五十八条中强调个人信息处理者应当对可能存在个人信息泄露风险的行为采取补救措施,履行相应义务,但进行的约束多为原则性的约束,不具备刚性,虽然能够起到一定的保护作用,但目前守门人必须履行的数据监管义务完全缺位,有认定标准而无行为规范,只能称为“半个守门人条款”[6]。从个人信息保护法落地实施的实践进行分析,守门人条款对信息垄断平台的合规的规制并没有触及根本,相应的信息处理黑箱仍然存在,对于数据化的个人隐私虽然明确了其受到法律的保护和控制,但在应用上对信息收集机构的管控方案与义务设置缺乏配套手段,在适用的过程中存在着诸多缺陷。
2.我国人脸识别的立法现状。虽然我国对个人信息进行了较为完善的立法,将数据化时代各项被电子化、数据化处理的个人隐私纳入了保护的范畴,但就宏观体系而言,并没有对人脸识别技术进行专门性的国家层面立法,相关规定散见于行政法规、民法、刑法以及各项法规之中,缺乏统一的立法规制。但我国《个人信息保护法》对人脸识别技术在适用过程中的问题进行了初步解答,将个人信息处理者的义务、履行个人信息保护职责的部门、法律责任等进行了说明,呼应了《民法典》中对公民个人权利保护的要求。对于采集机构要求进行事先审批和备案,明确个人信息保护负责人,规范信息采集;对于采集过程主要采取“告知-同意”模式,强调个人通过自愿、明确的意识表示开展相关的活动,并确定了相应告知的原则与例外情形,强调事先许可的重要性。
总体来看,我国人脸识别技术的立法倾向于欧盟模式,统一在个人信息项下,以此进行综合规制[7]。但该类型的立法也存在着较大问题:首先,该类立法对人脸识别技术下所保护的法益并没有进行明确界定,由于个人信息存在人格权与财产权双重属性,在保护的过程中更倾向于《民法典》中人格权进行保护,对个人信息及隐私缺乏必要的衔接;其次,虽然落实了具体的法律地位界定,但对侵犯个人隐私,超出权限使用人脸识别技术的处罚与维权设置仍是空白状态;最后,由于缺乏相应的理论实践基础,法律制定过于宏观,在与其他法律进行衔接的过程中仍然存在空隙,在采集终端设备、采集场所设置等具体落实细化上还存在着缺陷和不足,因此将散见于各类法律中的人脸识别技术与个人隐私保护标准与使用条件进行统一,是推动人脸识别技术进一步发展的重要举措。
(三)个人隐私权利侵蚀问题
在数据化背景下,互联网已经对个人日常生活与信息交互方式产生了深远的影响,人们越来越借助互联网等数据化介质进行隐私存储与使用。但人脸识别技术提取人脸信息后关联识别到个人其他财产、身份等信息会对个人隐私权造成侵害;此外,借助人脸信息进行新型犯罪等情况屡见不鲜,这映射出的不仅是个人隐私权利被侵蚀,还有个人权利让渡尚未得到有效解决。
1.个人隐私权利保护与让渡许可问题。在进行人脸识别的过程中,会将采集的人脸信息与数据库中的数据进行比对,会借助人脸追踪到个人活动轨迹、人际圈子、财产状况等隐私信息,会对个人隐私权利构成侵害。对个人信息的采集到个人隐私权之间的关系,大致存在三类观点,分别是隐私权包含说、个人信息包含说与交叠关系说[8]。就实际发展而言,结合原有对生物信息的三分法,部分由人脸信息、个人信息可以关联得出的隐私信息处于二者的交叠关系之下,对人脸信息的采集和使用既有可能侵害到公民的隐私权,也有可能对公民的个人信息进行侵犯,并且可以预见,随着隐私数据化的速度进一步加快,具备非接触性、更高安全性的人脸信息将逐步与越来越多的个人隐私关联起来,个人隐私与人脸信息关联越发紧密。
隐私的让渡主要是指公民个体在参与社会公共生活的过程中,不仅要借助相关互联网网络完成自身特定的任务,也要对其中输出自身的内容进行储存或交流互换,其本质是一种回馈行为,即在数据化时代中自我线上管理行为,将相关个人隐私在线依照自身事前同意的方式让渡给采集机构在其授权的范围内进行使用。但在公共识别空间和网络社交媒体中,公民的让渡意识不强,让渡行为往往是被动无奈的选择,手机众多APP在使用前对用户提出了人脸信息的采集和各项个人隐私提取的要求,用户不同意采集便无法正常使用,给用户提出了二选一的难题,个人最终也只能因为使用需要勾选同意,有的用户也在无意识情况下为了使用勾选同意,因此造成了无意识让渡或被动让渡个人隐私权的问题。在让渡后,个人也很难对个人隐私进行保护或请求数据收集者停用或封存,这也增加了个人信息被非法获取、使用、泄露的风险。
2.个人隐私的过度采集与隐私泄露问题。对于个人隐私过度的采集是人脸识别技术侵犯个人隐私的第一层次。2021年,一名大学生在杭州某商场购物时,发现某门店外安装了人脸识别抓拍摄像头。消费者只要到店,就会自动被抓拍并注册为会员,而商家通过将人脸信息与消费行为结合分析,来进行精准营销。人脸识别技术在应用过程中对个人信息进行不必要信息采集或过度采集的情况,除了通过摄像头进行采集外,还通过数据爬取等技术从其他数据库中非法获取,其采集度往往超出了适用活动本身的要求。
对采集后的信息通过算法预测整合信息主体的个人信息,并对其他隐私进行关联,造成个人数据化隐私的泄露,是人脸识别技术侵犯个人隐私的第二层次。在315晚会中曝光的科勒卫浴购买“偷脸”服务,在门店安装了具有人脸识别功能的摄像头,用来捕捉、记录人脸信息,进而分析出顾客购物习惯偏好、年龄、性别等信息,再通过深度学习归纳得出其购物习惯提供针对性服务的行为。此外,由于采集设备摄像头像素参差不齐,识别技术主要以二维图像进行识别,较三维图像而言,个体生物信息含量较低,容易被他人盗用或仿造,对个人信息的获取与使用中频频出现越轨行为,据媒体报道,浙江一小学生用一张照片就能刷开快递柜。因此,在采集后处理不当、采集技术参差不齐双重因素的作用下,个人信息的泄露风险进一步加大,对个人隐私权造成了较大威胁。而个人对数据化后的自身隐私掌控程度进一步下降,对互联网信任程度也会进一步降低,不利于个人隐私的发展。
(四)公共隐私权利侵占与界限问题
公共隐私权是公民人格权不断扩张,法益中心由个人本位发展到社会本位的产物。传统的隐私权认定只有在处于私人场所的隐私权才值得保护,但随着人脸识别技术在公共场合的适用范围不断扩大,对个人隐私的关联程度越来越高,人们的各项行为都能被人脸识别技术进行捕捉或间接追踪,一举一动都被人脸识别技术所操控,人脸识别技术的适用主体并没有受到法律的严格规制和限缩,如果允许个人在公共空间安装视频监控采集设备,在巨大的经济利益或其他诱惑,且缺乏行之有效的监督机制之下,很有可能成为某些人非法牟取利益的工具[9]。公共隐私权的保护迫在眉睫。美国凯兹诉讼案经过美国联邦最高法院重审,明确了在公共电话中通信的信息同样属于隐私权的一部分,国家机构不得在未经许可的情况下采取监听或监视手段。该案明确提出了公共场所存在隐私权这一观点,在人脸识别技术迅速发展的背景下,公共场所隐私权的侵占问题日渐突出,同时,在公共隐私权和国家权力之间如何进行明确界限划分,也是明确公共隐私权的内涵外延的重要步骤。
1.公共环境中对隐私权的侵占问题。在隐私数据化的时代背景下,数据化迅速发展,导致个人隐私与数据被采集的难度进一步降低,虽然确立了公共隐私权这一概念,但是在实践中存在着诸多困难。首先,我国立法存在滞后性,缺少明确的立法规范,在行政法规层面,国务院制定的公共场所隐私保护的规范性法律文件包括《娱乐场所管理条例》《保安服务管理条例》等,仅仅适用于特定的场景和主体,在使用上无法对公共领域的人脸识别技术做到完全覆盖。地方的立法虽然有进行尝试,但由于数据传播速度迅速以及跨区域流动性较强,不同的规范管理存在混乱现象;其次,公共环境中人脸识别技术安装主体混乱,在缺乏必要法律规制的情况下,一些个人、单位、机构出于维护自身安全和发展的需要都安装了视频监控采集设备。但在公共空间设置监控设备是为了公共利益考虑,不得侵犯他人的隐私,而一些企业、私人或为了内部管理或为了自身安全,多出于私人利益,在缺乏社会监管的情形下,极有可能侵犯到他人的隐私权[10];最后,强势网络平台在公共环境中过度攫取个人隐私并造成垄断情况。在频繁的商业交流中,各类强势APP平台或特定行业借助其实体优势储存了大量个人的资金或关键隐私。这些平台或企业为独占数据带来的利益,扩大自身利用、处理权限,往往设置门槛,拒绝与中小企业、机构共享数据[11]。在垄断发展背景下,对公民个人隐私的处理处于未知黑箱状态,近年来屡发的储存数据丢失、信息泄露等情况证明了对公共隐私的保护并不周全,而垄断平台在公共场所的人脸识别信息采集仍在持续,这也让公民个人对公共环境中数据隐私化的进程持怀疑态度,阻碍数字化进程。
2.公共隐私和国家权力的界限划分问题。公共场所的隐私权建设是对公民个人以及整个社会隐私保护的重要体现。随着数字科学技术的进一步发展,人脸识别系统涉及的范围也在不断扩大,国家机构为了公共安全和国家安全,也需要借助人脸识别系统或其他生物信息识别方式对个人信息加以识别和关联性搜索。在这一背景下,存在着国家监管与公共隐私交叉并存的问题,国家作为监管者,其自身也在使用人脸识别技术,对涉嫌违法犯罪的犯罪嫌疑人进行抓捕,但为了实现有效证据链条,需要对犯罪嫌疑人相关的甚至其相邻的公民进行识别和分析,借助公共场所的各项识别设备,在公共隐私的保护与国家正常行政活动之间找到明确的平衡点,不仅是保护公民权利,规范国家行为的重要举措,也是推动数据化进程的重要一步。
三、数据隐私化下人脸识别技术推进与实践方案
数据隐私化是隐私数据化背景下维护个体信息安全,规范人脸识别技术的应有之义,自新冠疫情暴发以来,人们对于非接触性办事的特殊需要有效推动了隐私数据化和数字产业发展进程,以“健康码”等为代表的数据采集系统将个人的各项数据和隐私载入储存的各项数据库中,形成了关于个人数据和隐私的初步全覆盖。虽然人脸识别技术的发展呈现欣欣向荣的良好态势,但仍然需要从技术程序、法律法规、个人权利让渡和公共利益保护四大层面入手,并针对我国现有的人脸识别技术难题对症下药,有针对性地解决问题。
(一)“制度化”建设下推进技术性正当程序建设
随着社会的发展,个人的隐私意识已经逐渐觉醒,并重视自身的隐私权。《个人信息保护法》第五条已经明确要求对个人信息处理应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。这不仅是对个人信息处理者的要求,也是对人脸识别技术贯彻技术性正当程序的核心要义。随着人脸识别技术的不断精进,算法升级带来了数字鸿沟与社会分层的隐患[12],但再精密的机器、再周全的算法,也会受到人脸识别技术中人脸特征等客观因素的干扰,对于人脸的识别也会出现错误,通过将技术进行制度化的规制,关进制度的笼子,才能更好地维护个人隐私与社会公共利益。
对人脸识别技术制度化建设首要任务便是搭建起与之配套的完整的技术框架程序,在推进制度建设中应当重申技术伦理与技术中立的重要性。首要举措便是将算法公开、透明化,通过建立新的准入程序,将人工智能识别算法的程序公开透明,但由于算法的复杂性,必须由专业人士通过算法审计判断是否存在算法歧视,包括是否存在数据的歧视性分类与标记。算法审计的标准是要求其具有“程序一致性”[13]。“程序一致性”的含义即是搭建标准化平台,其中各类算法必须一体化进行适用,不应受到特定的求的人脸识别算法才能被相关设备加以使用,在标准化制度下,将人脸识别技术从混乱整合至有序的状态。
制度化建设除了要在人脸识别技术适用前发挥作用,也应当在适用中和适用后及时结合专业审计人员进行审查并及时纠错,由于算法与人脸识别技术并不是呈现顺序线性的模式,而是通过模型反馈、不断修正发展的过程,在推进正当程序的建设中应不断修正。人脸识别技术以制度化加以规制,是推进正当程序建设的重要手段。
(二)“规范化”建设下推进法律法规建构完善
就推进人脸识别技术的规范化进程,我国已经有多部法律法规直接或间接对其进行了规制和管理,但我国现有的法律法规整体规制方式仍然是从事后追责和事后侵权责任补偿等角度出发,对个人权益加以保护。因此,需要从以下几个方面进行完善。
1.使用主体规制。由于我国原有的人脸识别技术使用主体没有明确限制,加之人脸识别技术本质上是通过科学技术取代人工的管理方式,因此人脸识别设备被各类机关、公司、学校等使用。在立法建设中对使用主体应当进行限缩,在公共场所安装与使用人脸识别等个人信息采集设备主体应当由公安机关进行兜底,并通过立法赋予公安机关专属权,但仍应注意部分地区如银行、学校、广场、行政机关等由于需要对往来人员加以识别,便于自身进行管理,可以在公安机关的指导帮助下,安装使用相关的人脸识别系统,同时其数据库应当与公安机关进行对接,及时进行反馈。此外,其他的诸如公司打卡、应用签到等,人脸识别技术应当仅限于数据库对比,不得再借助人脸识别系统深度学习或过度采集人脸。
2.使用范围规制。从我国具体国情出发,采取限缩化的方式对适用的范围进行规制,是我国人脸识别技术立法需要遵循的重要原则。就当前使用范围而言,我国对人脸识别技术的立法持积极开放态度,尤其是在疫情期间,人脸识别技术为查验风险人员足迹、各类检测记录查询提供了方便,但将使用范围过度扩张将不利于搭建数据化时代的隐私保护体系。就使用范围而言,应当进行价值利益的衡量,即应当以维护社会公共利益为目的,使得公共监控采集技术所维护的公共利益高于其可能使个人权益遭受的损失[10]。在人脸识别安装的区域主要分为公共场所和私密场所,在私密场所如个人住宅、封闭区域内,应当严格禁止安装人脸识别设备或使用相关识别技术;公共场所应当按照公共利益受损可能性进行划分,对于完全开放以及人流量较大的交通枢纽、大型商场、购物中心等,人员流动性较大,对于公共利益存在的不确定威胁也较高,应当设置人脸识别技术设备,保护公民利益。但对于人员流动相对较弱的旅馆、公司内部等,应当通过立法审查,完善信息保护者职能的方式,限制性使用或规划人脸识别设备。
3.使用目的规制。就人脸识别技术使用目的上,针对垄断信息与隐私机构,造成隐私泄露与信息黑箱的情况,对使用目的应当强化立法监督,构建“事前准入许可—事中审查规制—事后认定规制”的立法体系,对使用目的进行周全的立法保护。在事前准入同意上,参照《个人信息保护法》第十三条处理规则,并对十三条中各项必需条件进行细化,实现标准化准入制度;在处理过程中强化事中审查与风险评估,应当以成长式的发展思想分析立法,定期对隐私处理情况、匿名化去识别过程、再识别的风险进行评估,防止被不法机构或个人再进行使用或识别关联;在事后,对个人侵权模式进行明确划分,虽然个人隐私的侵权认定依赖具体的情形设定,但可以尝试具体的立法过程在原有“定义+列举”的基础上,进行兜底式、简易式的侵权情况认定。
(三)“合作化”建设下个人权利的让渡与个人隐私的保护
在个人权利的让渡与个人隐私的保护上,公民对个人的人脸信息以及隐私具有选择和让渡的权利,应当充分尊重公民的自决权,与此同时也应当兼顾效率,搭建“柔韧化”知情同意制度,协调各主体之间的兼容性,在保持对人的个体理性尊重的同时考虑人的理性不足问题。通过对知情和同意进行“柔韧化”处理,为当事人通过合同重新配置个人与国家、信息业者三者之间权利义务提供了空间[8]。鉴于个人认知能力不足,面对APP二选一的难题,个人往往会被迫勾选“知情同意”,虽然在《个人信息保护法》中已经要求信息处理者要将其处理的目的、方式进行告知,但是在使用过程中仍然存在让渡弱许可的情况,需要对个人的许可进行及时补足,保护个人的隐私权;另外,就提升社会活动效率而言,还应当结合发展情境,对当事人同意或许可的模式作进一步约定,对原有的“默示视为不同意”的情形设置一定的例外情形,推定当事人同意,这有助于对不知情主体的信息进行收集,帮助其他活动的正常开展,通过更多的例外规定或补充协议等能更丰富权利让渡的形式,对个人隐私在不同情境中的保护也能有的放矢,让个人隐私权的过渡更具合理性。
就个人隐私的保护,除了法律法规和制度的建设,应当积极贯彻事前知情同意制度和事后认定模糊制度相结合的方针政策。各类服务提供者在通过人脸识别技术收集个人信息前应当进行及时告知并说明使用目的与使用风险,对有明确个人理性的主体充分告知收集和使用的规则,在网络用户的隐私让渡中采取清晰易懂的语言对隐私政策进行合理化解读,让网络用户在得到充分认知后再让渡自身权利,得到网络用户实质性的同意,保护其对权利的自决权。在事后认定删除层面主要是个人信息采集机关在获得权利的让渡后对个人隐私的使用问题,不仅需要严格限制隐私共享范围,在信息处理完毕后还应当及时进行“匿名化”处理,防止被其他机构窃取。在事后模糊的建设中,可以尝试有选择性引入“被遗忘权”。虽然我国在《网络安全法》《个人信息保护法》中规定了公民有权要求网络运营者删除个人信息的权利,但对于删除信息的内容以及申请的主体没有进行细化规定,但通过适当性引入“被遗忘权”,赋予信息主体以同意撤销权在各国达成广泛共识,将其纳入我国现行的个人信息保护体系中确有必要[14]。同时将信息加以保护性共享,才能更好推进隐私数据化下个人隐私的保护。
(四)“比例化”建设下基于守门人理论对公共利益的保护
隐私数据化趋势下除了对个人隐私应当加以保护,随着人脸识别技术在公共场所的使用范围不断扩大,公民个人意识的逐步觉醒,对于公共隐私权也需要适时跟进保护。国家作为公共利益的保护者,不仅应当坚持合法合理行政原则,保护公民隐私权,也应当积极建立数字守门人制度,推动数据隐私化保护进一步发展。
1.合法行政原则。合法行政原则不仅是行政活动的首要原则,更是推动数据化时代下个人隐私保护的重要步骤。积极遵守现行法律的规定,是合法行政的第一层次。行政机关实施各项行政活动时不得与现有的法律相抵触。最新的《个人信息保护法》对敏感个人信息处理与国家机关处理个人信息的方式都进行了特殊立法规定,国家机关应当加强对自身的规制和管理,保护个人隐私在采集后的安全性,对于侵犯隐私权的行为,应当及时进行打击。依照法律授权进行行动,不得法外设定权力,是合法行政的第二层次。国家机关作为信息数据库的掌控方,对于个人隐私的掌控具有先天的技术优势,应当坚持审慎原则适用,通过立法或法律法规的方式明确公共场所的适用范围。在符合需要的公共场所设置人脸识别监控设施,采集过程中也应当严格依照法律的授权进行,不得进行过度采集,采集过程中对周边的无关个人应当进行模糊化处理,并及时删除其个人数据。
2.合理行政原则。国家机关除了要在法律上进行明确的规定,在行政的过程中也应当坚持合理行政的原则,保持理性。一方面,应当坚持公平公正原则,搭建的人脸识别技术平台应当坚持标准化准入,坚持制定统一的公共视频监控使用的具体规范,同等情况同等对待,对于社会中个人应当采取统一的识别标准。不同情况区别对待,在追踪犯罪嫌疑人、抓捕逃犯等违法犯罪案件中,可以通过提升监管标准的方式,增强识别精准程度和加强隐私联想等方式;另一方面,应当坚持比例原则,在公共利益与个人隐私的保护间找到平衡点,为了公共利益对个体权益进行限制在所难免,但应当经过限制和法律规制,通过人脸识别对公民个人隐私造成的侵害应当小于保护的公共秩序与公共利益,应当将损害降到最小,不能突破维护公共安全所必要的合理限度范围。
3.完善数字守门人制度。平台与经济进行跨界融合决定了传统监管手段的无效性和不可持续性。如果对数字垄断行业进行直接划线监管,将导致整个行业的萎缩,同行业的小微企业仍然无法发展,但如果对其放任自流,数字垄断的态势也将对数字化进程造成严重阻碍。推动数字守门人制度的发展,要做到明确分类分级,对数字守门人进行明确界定。我国《个人信息保护法》中守门人条款的第58条确定对“提供重要互联网平台服务、用户数量巨大、业务类型复杂”负有守门人义务。对于守门人主体的判断,既要满足利用互联网平台等新型数据化方式采集个人信息的分类,也要满足用户数量巨大、业务数据复杂的等级,还要对其开展的活动进行区分,国家监管的重心应当在其提供的个人数据存储互换服务方面。国家机关通过体系化的思维对守门人进行监督,不仅能够打破数字经济行业守门人对数据的垄断,促进行业的发展,还能改变原有“一抓就死,一放就乱”的治理死循环,推动数字经济和隐私保护发展走上新台阶。
四、结语
现如今,人脸识别技术已经随着科学技术的发展深入到生活的方方面面,在隐私数据化的时代为推动城市管理,便利个人日常生活,打击违法犯罪起到了重要作用。但若无科学有效的法律规制,过度过量的人脸识别也会对个人隐私造成侵害。当前我国在隐私数据化背景下对人脸识别技术的规制缺乏技术伦理指引、法律法规体系化建设,对个人隐私与公共隐私两大方面的保护程度均有待提升。因此,不仅要推进制度化建设,将技术关进制度的笼子,完善法律法规建设,做到有法可依,执法有据,还要把握数字人权的时代脉搏,充分保护不同场景下个人隐私权,推动数字化社会稳步前进,为社会转型打好基础。
【参考文献】
[1]张勇.个人生物信息安全的法律保护——以人脸识别为例[J].江西社会科学,2021,41(5):157-256.
[2]徐竟泽,吴作宏,徐岩等.融合PCA、LDA和SVM算法的人脸识别[J].计算机工程与应用,2019(18):34.
[3]邢会强.人脸识别的法律规制[J].比较法研究,2020(5):51-63.
[4]杨志琼.我国数据犯罪的司法困境与出路:以数据安全法益为中心[J].环球法律论,2019,41(6):151-171.
[5]刘军平,杨芷晴.人脸识别数据保护困境及其法律应对[J].科技与法律(中英文),2021,6(6):18-28.
[6]周汉华.《个人信息保护法》“守门人条款”解析[J/OL].法律科学(西北政法大学学报),2022(5):1-14.
[7]王鑫媛.人脸识别技术应用的风险与法律规制[J].科技与法律(中英文),2021(5):93-101.
[8]郭春镇.数字人权时代人脸识别技术应用的治理[J].现代法学,2020,42(4):19-36.
[9]刘成波.公共场所视频监控的法律规制——以隐私权保护为视角[D].吉林大学,2013.
[10]张硕.公共场所监控图像采集与个人隐私权保护[J].阜阳师范大学学报(社会科学版),2021(1):138-142.
[11]钟伟.警惕数据寡头终极垄断[J].新金融,2020(1):14-18.
[12]郑戈.在鼓励创新与保护人权之间——法律如何回应大数据技术革新的挑战[J].探索与争鸣,2016(7):79-85.
[13]刘东亮.技术性正当程序:人工智能时代程序法和算法的双重变奏[J].比较法研究,2020(5):64-79.
[14]万方.终将被遗忘的权利——我国引入被遗忘权的思考[J].法学评论,2016,34(6):155-162.
关注SCI论文创作发表,寻求SCI论文修改润色、SCI论文代发表等服务支撑,请锁定SCI论文网! 文章出自SCI论文网转载请注明出处:https://www.lunwensci.com/jingjilunwen/73304.html
