近年来随着信息技术的快速发展,人脸识别技术在越来越多的场景与领域得到广泛应用,基于人的脸部特征进行身份识别相较于传统的密码验证等方式更加快捷、准确,同时能够基于人脸的独特性被用于身份的自动确认与识别,降低人力成本。
【资料图】
然而,人脸信息作为可识别自然人的信息,其应用涉及个人信息保护与数据安全问题,一方面,人脸识别技术能够用于线上支付、解锁门禁、验证门票等场景,为商业经营与社会管理带来便利;另一方面,也会带来个人敏感信息泄露、人身安全威胁、换脸欺诈等风险。
面对新兴技术带来的社会风险,如何把握发展与安全的平衡,避免“一刀切”,引导科技向善,是法律不得不面对的问题。8月8日,国家互联网信息办公室公布了《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(下称《征求意见稿》)并向社会公开征求意见,回应了人脸识别技术滥用等问题。
纵观《征求意见稿》全文,规范人脸识别技术应用充分遵循了常态化监管的内在要求,从以下方面规范人脸识别技术的使用,在更好保障科技红利所带来的便民化和均等化的同时,防止科技滥用,促进科技向善。
第一,《征求意见稿》坚持发展与安全并重的总体原则。
近年来,在全球范围内对人脸识别技术的规制逐渐收紧,欧盟通过的《人工智能法案》禁止实时远程生物识别技术,意味着不能在公共场合实时扫描人脸;美国旧金山、马萨诸塞州萨默维尔市等多地也已正式通过了在公共场所禁用人脸识别软件的法案。面对人脸识别技术应用中出现的风险与挑战,《征求意见稿》第三条规定不得利用人脸识别技术从事危害国家安全、损害公共利益、扰乱社会秩序、侵害个人和组织合法权益等法律法规禁止的活动,体现了以安全为底线的使用和管理原则。
同时,《征求意见稿》除明确上位法《个人信息保护法》第二十八条对包括生物识别的敏感个人信息“特定的目的”“充分的必要性”并“采取严格保护措施”的敏感个人信息处理规则,还提出了“实现相同目的或者达到同等业务要求,应当优先选择非生物特征识别技术方案”,鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等权威渠道,强调了人脸识别技术只能在必要的情形下使用,一方面是对我国人脸识别技术应用广泛的现实情况的回应,另一方面也为技术发展预留了一定的空间,体现出我国并未对人脸识别技术进行“一刀切”监管,注重发展与安全并重。
第二,在上位法原则性规定的基础上对人脸识别技术应用构建了全流程、全要素、规范化监管规则。
2021年出台的《个人信息保护法》第六十二条规定,国家网信部门统筹协调有关部门依据本法针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准。
《征求意见稿》是在其上位法制定的个人信息保护原则性规定下,对人脸识别设置更为具体的规则标准与操作指引。《征求意见稿》将人脸识别技术的使用前提条件,人脸信息采集、处理、删除规则,人脸识别技术的应用评估与备案,人脸识别技术使用者、产品或者服务提供者的法律责任与义务等环节将人脸识别技术的应用全流程与全要素置于规制范围内。
全流程、全要素、规范化监管有利于最大限度地降低人脸识别技术应用产生的风险,将风险控制在每一环节与每一要素的管理中,能够在一定程度上缓解人脸识别技术监管的滞后性。譬如《征求意见稿》第十六条提出的针对人脸识别技术的个人信息保护影响评估制度与备案制度,对人脸识别技术使用者提出了更高的合规要求,通过设定高标准的人脸识别技术条件,有助于适当降低人脸识别技术在部分领域的非必要使用,特别是严格人脸识别技术在公共场所的使用条件。
同时,由于备案制度的性质,人脸识别技术使用者仅需提供所需材料即可进行技术使用活动,并不需要经过监管机构审批,合规成本并没有过度提高,有利于保护企业合规与发展的积极性,达到更好的监管效能,科学区别人脸识别技术的使用场景和条件。
第三,注重场景化规制,明确为不同场景下的人脸识别技术应用设定不同的义务内容,推动规制措施的精准化。
《征求意见稿》首先将使用场景区分类为“公共场所”和“组织机构实施内部管理”两大类别,并对两大使用场景的安装图像采集、个人身份识别设备的行为提出了不同严格程度的要求,体现了根据不同应用场景风险程度大小的精准规制,但对于二者具体的区分标准尚待进一步明确。
针对当前有关人脸识别技术应用滥用问题,《征求意见稿》第九条也对技术应用中的具体场景进行了分级规定:“旅馆客房、公共浴室、更衣室、卫生间及其他可能侵害他人隐私的场所”不得使用人脸识别技术;“宾馆、银行、车站、机场等经营场所”则要求在个人自愿的前提下使用人脸识别技术;“出入物业管理区域”则不得将人脸识别技术验证个人身份作为唯一方式。
然而,虽然《征求意见稿》以分类分级的形式确立了较为精准的场景化规制框架,在实践中其实施则具有较大的难度,随着近年来人脸识别技术的广泛应用,在许多使用场景下都已经安装了采集人脸信息的前端设备,例如部分社区门禁和校园门禁仅能通过“刷脸”进入,并未从设备上设置其他的进入方式,“自愿原则”难以实际践行,因此,场景化分类分级规制将对现有的人脸信息采集设备提出较大的合规要求,使用者可能面临加装其他设备或更换设备的问题,增加合规成本,使得场景化规制面临一定的困难。
第四,规定“人脸识别技术使用者”“相关产品或者服务提供者”等概念,为具化问责依据提供了基础,但仍需进一步细化概念的内涵与范畴。
《征求意见稿》在条文中较为分散地规定了“人脸识别技术使用者”处理不满十四周岁未成年人人脸信息的规则,进行事前个人信息保护影响评估、备案、设备安全性和风险评估等义务,初步确定了人脸识别信息保护违法责任主体及法律责任与义务。但在问责层面,《征求意见稿》仍存在以下不足:首先,对于何为“人脸识别技术使用者”“相关产品、服务提供者”等,《征求意见稿》并没有作出明确的解释与界定,容易造成实践中适用对象与范围的模糊不清;其次,对于处罚的规定较为笼统,仅提出依照《网络安全法》《数据安全法》《个人信息保护法》等上位法进行处罚,并未规定约谈、警告、通报批评等措施以及罚款的情况与具体罚款数额,难以起到威慑作用;最后,《征求意见稿》并未规定侵权行为产生后的具体救济途径与渠道,当人脸信息被泄露或滥用时,个人没有明确的救济途径和渠道,一旦发生较为严重的泄露问题,《征求意见稿》也并未提出相应的应急预案。
第五,充分关注个人重大利益与未成年人等弱势群体的利益保护,促进科技向善,保障科技红利均等化享用。
《征求意见稿》第十二条指出,涉及社会救助、不动产处分等个人重大利益的,不得使用人脸识别技术替代人工审核个人身份,人脸识别技术可以作为验证个人身份的辅助手段。当前,有较多与民生领域息息相关的业务都引入了人脸识别技术,与此同时,也出现了“94岁老人被抬进银行进行人脸识别”“广西十多名业主刷脸买房被骗超千万”等极端事件,此类事件违背了“增进人类福祉、尊重生命权利”的科技伦理,此条规定则对此类事件做出了回应,促进科技向善,实现科技红利均等化。
同时,未成年人的认知分辨能力还在形成阶段,对人脸信息等个人敏感信息的保护意识较弱,随着人工智能技术的发展,各类采集人脸信息的新应用层出不穷,未成年人往往更容易泄露自身的个人敏感信息,因此《征求意见稿》第十三条规定使用未满十四岁的未成年人人脸信息需要其监护人同意,保护了未成年人利益。
第六,跨部门对人脸识别技术应用进行协同联动监管。
根据《征求意见稿》第二十一条与二十二条,网信部门会同电信主管部门、公安机关、市场监管部门对人脸识别技术使用履行监督检查职责,并接收相关投诉与举报。一方面,人脸识别技术作为数字技术,被广泛应用于身份信息识别与确认,并在此基础上衍生了AI换脸等一系列商业应用,与网信、电信、公安、市场监管息息相关;另一方面,人工智能技术近年迎来发展的突破口,其与人脸识别技术的结合给个人数据安全、公共安全甚至国家安全都带来了更大的风险,因此《征求意见稿》确立了对人脸识别技术的协同监管机制,将有利于对人脸识别技术的应用进行多层次、全方位、全环节的监管,提高监管效能。同时,由于人脸信息属于个人敏感信息,各部门之间如何进行安全有效的协同还需进一步细化。
(陈兵系南开大学竞争法研究中心主任、法学院副院长、教授,南开大学数字经济交叉科学中心研究员;董思琰系南开大学竞争法研究中心研究助理)
标签: