內容摘要
當前,刷臉的屬性已發生了轉變。刷臉不再限于“把人認出來”的身份識別過程,而是重在人臉驗證/人臉辨析基礎上所進行的人臉分析或其他關聯分析,已從純粹的身份識別機制轉換為識別分析機制。識別分析機制的應用正是刷臉引起社會普遍憂慮的核心問題所在。此時,刷臉的安全風險被重新放大,監視權力進一步擴張,為基本權利保護帶來了更為嚴峻的挑戰。為應對風險變遷,刷臉的規制機制適用亦出現了轉向的需求,即在生物識別信息保護機制中限制告知同意的適用;在公共監控信息保護機制中引入自動化決策及風險影響評估的框架;在規制理念上向數字人權保護與場景化規制轉向。對此,構建適應識別分析機制的法律治理路徑要求:應以比例原則作“最小必要”檢驗,適用自動化決策框架進行場景化規制,通過優化架構設計以進一步降低識別分析的風險。
關鍵詞:人臉識別 個人信息保護法 生物識別信息 公共監控 數字人權 用戶畫像
引 言
人臉識別俗稱刷臉,刷臉解鎖、刷臉支付、刷臉進站、刷臉入校等形塑了數字時代的生活方式,也帶來了信息保護的挑戰。2021年4月全國信息安全標準化技術委員會公布了《信息安全技術人臉識別數據安全要求(征求意見稿)》(以下簡稱“人臉識別國標草案”),從安全處理的角度對刷臉進行規范;2021年7月最高人民法院發布“人臉識別司法解釋”(法釋〔2021〕15號),明確將刷臉納入生物識別信息保護的范疇;2021年8月20日通過的《個人信息保護法》第62條第2項更是明確要求國家網信部門針對人臉識別制定專門的規則。
在比較法上,部分發達國家和地區亦發布了相關規范。例如,早在2012年,美國聯邦通訊委員會即發布了“人臉識別技術的最佳商業實踐建議”;2019年,美國馬塞諸塞州薩默維爾市、加州奧克蘭市等地通過立法禁止政府部門使用人臉識別;同年,歐盟人工智能高級專家組(HLEGAI)提出必須適當使用人臉識別技術,歐盟基本權利機構發布了“人臉識別技術:執法過程中的基本權利考慮”報告;2020年,美國華盛頓州通過了針對政府機構的“人臉識別法”,紐約州亦立法禁止了在學校中使用人臉識別。
然而,直接套用上述規范實難以對刷臉的根本問題形成清晰的認識。在“刷臉進小區”的爭議中,為何保安“看”可以而機器“看”不行?在我國“人臉識別第一案”中,同為利用生物識別信息進行的身份識別,又為何當事人能接受指紋識別卻強烈反對刷臉?這些問題均與刷臉的技術肌理密不可分。筆者將沿著刷臉技術屬性轉換的主線,考察刷臉的風險變遷與規制機制轉向,最終提出適應于技術發展的法律治理路徑。
一、刷臉的屬性轉換
從人“看”到技術“看”的升級中,刷臉的技術特征就是模仿人的認知模式,底層技術邏輯是通過捕獲圖像、人臉檢測、人臉提取、匹配,最終完成驗證或識別,屬于一種身份識別機制。隨著技術發展,在眾多應用場景中,刷臉又走向了利用人臉信息對個人進行分析的技術路線。此時,刷臉進一步使用了人工智能技術,在識別/驗證的基礎上對人進行了情感計算、健康評估、習慣分析等畫像,其屬性已轉換為一種識別分析機制。
(一)刷臉的起源與實質:身份識別機制
“臉”具有直接識別性、方便性、不可更改性、易采集性、不可匿名性等獨特的屬性,是“生物性的通用標識符”。臉是人體的重要組成部分。人類一直以來都通過臉來表達情感、辨識個人。以小區刷臉門禁系統為例,在沒有采用刷臉的技術系統前,小區門衛保安亦通過直接的臉部特征、行為模式辨識業主。刷臉實際是通過自動化手段完成人工的身份識別。這一技術源于20世紀60年代,伍迪·布萊索團隊發明的第一套半自動的面部識別系統,該系統通過計算機識別人像照片的若干特征,進而進行進一步的人工測量。隨著計算機與人工智能技術的發展,最終實現在自然環境下對人臉信息的完全自動化采集與比對,發展成為今天的刷臉科技。又由于臉的普遍性和獨特性,刷臉被應用在密碼驗證、安全監控、受害者和失蹤者識別等多種領域,成為了應用最廣泛的生物識別方法。
刷臉與賬號密碼、數字簽名、人工核驗等多種方式共同發揮著身份識別機制的作用。《人民法院在線訴訟規則》規定,既可以“通過證件證照在線比對、身份認證平臺認證等方式驗證身份”,也可以“采取人臉識別方式驗證身份”。《人民檢察院辦理網絡犯罪案件規定》指出,“賬戶信息、身份認證信息、數字簽名、生物識別信息等”都可用于識別犯罪嫌疑人。中國銀保監會更是明確指出,可通過“銀行預留信息核實、人臉識別、人工核驗方式”“設置有效的身份識別機制”。實踐中,刷臉在一定程度上替代了密碼,成為更為便捷的識別/驗證機制。密碼驗證對保密的安全要求較高,部分系統會定期提示用戶更換密碼,部分系統更會要求用戶采用高度復雜的密碼,如同時包含大小寫字母與特殊字符。然而,用戶將不可避免地會忘記密碼,從而需要郵箱驗證、短信驗證、掃二維碼驗證等其他識別/驗證機制找回密碼。與之相對,通過刷臉驗證有顯而易見的優勢,其不僅極為便捷而且還不存在密碼丟失的煩惱。2018年,國務院辦公廳即將刷臉登錄便捷辦理民生服務作為優化營商環境的典型做法進行通報。
(二)刷臉的發展與憂慮:識別分析機制
在身份識別外,臉亦是被觀察、分析的對象。生活中,人們時常直觀地通過臉對人的個性、狀態進行分析。慈眉善目、兇神惡煞、賊眉鼠眼、蓬頭垢面均指向截然不同的狀態。這些判斷大多是主觀的,有時還具有一定的迷信色彩,如民間大多將“天庭飽滿、地閣方圓”視為福相。采取量化分析方法,對臉進行分析可追溯至一百多年以前龍勃羅梭的“天生犯罪人”理論,其根據“對1279名意大利罪犯的人體測量和相貌分析”,指出特定外貌特征的人具有犯罪傾向。顯然,這一理論有極大的歷史局限性,且極易導致種族主義傾向的結論。2002年著名科幻電影《小數派報告》描繪了刷臉的識別分析應用的兩類場景:一是根據預測性分析在嫌疑人將要實施犯罪前就實施逮捕;二是購物消費時對顧客進行刷臉以調取其購物記錄并結合已知的數據庫進行分析。當前,電影中的商業應用場景已經成為現實,部分商場的刷臉廣告牌已具備了根據路過人群進行客流量統計、根據停留時間或其他注意力標準作參與度估算、根據個性化分析結果進行定向廣告等多項功能。在部分公共監控中,刷臉也已被用于識別目標對象的情緒,服務于社會治理與維穩目的。廣州互聯網法院的在線調解系統便使用了情感計算,根據臉部的微表情進行數據畫像,實時顯示出當事人的“平靜、高興、憤怒、恐懼、悲傷、厭惡、驚奇”7項指標數值。
此時,刷臉的屬性已發生了轉變。刷臉不再限于“把人認出來”的身份識別過程,而是重在人臉驗證/人臉辨析基礎上所進行的人臉分析或其他關聯分析,已從純粹的身份識別機制轉換為識別分析機制。從技術上看,刷臉的這種識別分析機制又極具特殊性,與人主觀的“看臉”、龍勃羅梭的測量分析系相比至少有三大差異。第一,不僅采用量化的數學方法進行,而且預測分析的特征更為深入和廣泛。通過刷臉可對個人進行性別、年齡和種族的特征進行深入分析。第二,利用互聯網與既有數據庫,能結合大數據進行預測分析。實驗表明,可以輕易地將刷臉設備所采集的信息與社交網站上的公開信息相關聯,進而推斷出額外的信息。第三,能分析更為隱秘的、敏感的信息,且分析結論更為準確、可信。2017年,斯坦福大學即開發出一套通過人臉識別判斷性取向的神經網絡算法,準確率達91%。
刷臉的識別分析機制通過自動化的技術閉環對個人信息進行整合分析,正是引起社會普遍憂慮的根本問題所在。借用技術哲學的分析框架,人的直接“看臉”行為無關技術;人利用工具對臉進行測量,工具是一階技術;刷臉的身份識別機制中,人通過設備感知臉部,再作用于識別、驗證程序,是二階技術運用;刷臉的識別分析機制中,往往是完全自動化的,形成了設備感知、識別/驗證、關聯分析的三階技術邏輯。此時,相關結論往往又重新作用于新的識別分析,由此形成技術閉環。在此種技術閉環中,公眾擔心的不是身份識別機制本身,而是將人臉信息與個人的購物記錄、健康情況、行蹤軌跡、親友關系等信息進行關聯匹配,以及可能產生的歧視、異化等問題。
二、刷臉的風險變遷
伴隨著從身份機制到識別分析機制的屬性轉換,刷臉的風險也發生了變化和遷移。雖然,隨著技術的升級,身份識別機制的信息安全風險已在很大程度上得到了有效控制,但在識別分析機制的應用中,安全風險又被重新放大。此外,刷臉的識別分析機制在公共監控中的應用更是直接導致監視權力的擴張,為基本權利保護帶來更為嚴峻的挑戰。
(一)安全風險的產生、緩解與再現
身份識別機制中,刷臉的安全風險突出地表現為錯誤率高與易被破解。一方面,刷臉系統的錯誤率較高。刷臉受姿態、表情、光線、角度等因素的影響,并極大局限在正面識別的應用。2017年,英國警方嘗試在歐冠決賽中使用刷臉系統,但卻出現了高達92%的誤報率。另一方面,刷臉系統有被破解的風險。曾經有小學生成功用打印照片開啟了小區的智能快遞柜。近年更是出現了利用刷臉技術漏洞實施違法犯罪的案件,如利用公民照片制作3D人臉動態圖像后通過刷臉登錄竊取網絡賬戶金額,或結合相關人臉圖像與其他非法獲取的個人信息,假冒他人身份注冊網絡賬戶牟利。
隨著刷臉的算法不斷發展,識別分析機制的上述安全風險已在一定程度上得到緩解。當前,刷臉的正確率已大為提升。所采集的人臉關鍵點亦已由最初的21個提高到240個甚至更高精度的采集,能適應側臉、表情變化、局部遮擋等變化。例如,DeepID算法驗證準確率已達97.45%。部分刷臉系統已升級至動態的活體檢測系統,要求用戶完成一定動作,亦提升安全性。若采取雙重或多重因子認證,將進一步提升身份識別機制的安全性。在這個意義上,刷臉增強了身份識別的安全可靠。例如教育部即明確提出,高考考生身份核驗要輔之以刷臉的技術措施;國家廣播電視總局亦曾經要求,要結合實名驗證、人臉識別、人工審核等措施以落實網絡實名制。
然而,識別分析機制的應用,又再次放大了刷臉的安全風險。一方面,刷臉的代碼/算法一旦出現漏洞,將不僅僅涉及身份識別錯誤,更可能得出對個人不利的分析結論,進而作出侵害個人權益的自動化決策。另一方面,識別分析機制也可能關聯錯誤的信息,且可能導致錯誤在技術閉環的反饋中被反復放大。因此,在刷臉的識別分析機制中,即便是極低的錯誤率也有可能帶來不可接受的風險。
(二)監視權力的形成、擴張及后果
一方面,借助刷臉的身份識別機制,監控能更為高效、迅速地在公共空間中識別出特定個人,其運行邏輯高度契合“確保不對稱、不平衡和差異”的權力機制。福柯曾借用邊沁的“全景敞視監獄”闡釋監視權力的邏輯,即面對觀看的權力,被觀看者只能選擇服從。“持續可見”的監視“造成一種有意識的和持續的可見狀態,從而確保權力自動地發揮作用”。聯合國人權事務高級專員曾表示這種監視權力有可能侵犯人權。
另一方面,刷臉的識別分析機制,又使監視權力進一步擴張。研究表明,公共視頻監控實現權力規訓的程度,往往取決于監控系統的網絡化程度、回應速度與識別分析能力。識別分析機制中,常借助互聯網、大數據對人臉信息進行分析。2020年《紐約時報》報道用于執法的Clearview刷臉應用,可以自動地對人們在就業、新聞、教育、社交等各種網站上的數據進行爬取。利用網絡社會所形成“觀看—權力”關系,識別分析機制將輕易揭示出極為隱秘的信息,形成個人的數字形象,對個人進行持續的追蹤和監視,“構成了一座‘超級全景監獄’”。
監視權力的野蠻生長直接對基本權利保護帶來更為嚴峻的挑戰。當下,刷臉至少涉及以下基本權利保護問題。第一,政治權利和自由的保護。2019年,歐盟基本權利機構即表示,類似應用將產生寒蟬效應,對言論自由、集會自由、結社自由以及行動自由帶來消極影響。第二,平等權利的保護。研究表明,女性和有色人種刷臉出錯率更高,容易產生有偏見的結果。第三,人格尊嚴、信息權利的保護。2016年,俄羅斯開發商TrinityDigital推出“FindFace”程序,通過該程序進行人臉識別,可以找出個人的社交賬號,有網民利用該服務披露性工作者和色情影片演員的真實身份。這些刷臉應用“正在迅速地將一個以信息保護為基礎的社會轉變為透明社會”。
值得注意的是,刷臉的識別分析機制亦指向大數據經濟中的另一種監視。被稱為“監視資本主義”的生產過程,即通過對用戶數據進行識別分析,并將相關分析結果用作定向營銷,最終實現數據要素向利潤的轉化。刷臉廣告的運行機制與這一過程完全吻合。由此亦帶來了個人信息保護的風險。
三、刷臉的規制機制適用與轉向
刷臉作為一種身份識別機制指向特定自然人,屬于個人信息的處理,適用信息保護機制。隨著刷臉技術的發展,生物識別信息保護機制的適用,需要限制告知同意的適用;公共監控信息保護機制的適用,又需要引入自動化決策及風險影響評估的框架;信息保護的規制理念,更需向數字人權保護與場景化規制轉向。
(一)生物識別信息保護機制的適用與轉向
從生物識別信息保護機制來看,“人臉識別司法解釋”第1條第3款明確規定人臉信息屬于生物識別信息。無論是身份識別還是識別分析,刷臉均適用生物識別信息保護機制。傳統的生物識別信息保護機制在很大程度上仍遵循告知同意的規則。基于敏感個人信息的處理規則,個人信息保護法第29條、“人臉識別司法解釋”第2條第3項均強調了單獨同意或書面同意的要求。個人信息保護法第13條第2款亦實際確立了同意為原則的個人信息合法處理要件。域外法中,美國伊利諾斯州生物信息隱私法(以下簡稱BIPA)第15條即明確提出了書面告知與書面同意的要求。歐盟通用數據保護條例(以下簡稱GDPR)第9條亦將“信息主體明確同意”規定為敏感信息的處理依據之一。
然而,在刷臉的實踐中,告知同意的機制已經出現失靈。歐洲國家的個人信息保護機構已明確表示,面對不特定主體自動化運行的刷臉應用難以依靠同意而獲得合法性。分析可知,告知同意機制的適用存在以下障礙:第一,臉部信息具有易采集性,刷臉是通過非接觸方式進行的,無須自然人進行配合。尤其是在無感刷臉的場景中,信息主體難以知悉其正在被技術監控。第二,刷臉常在權力/地位不對等的環境中被使用,難以確保同意的有效性。2019年,瑞典的一所學校采用刷臉方式考勤,且征得了學生同意,瑞典數據保護局認為“鑒于信息主體和信息控制者之間的不平衡,同意不是有效的法律依據”,最終對該學校開具了1000萬瑞典克朗的罰單。該案件也是瑞典適用GDPR的首個案件。第三,刷臉技術較為復雜且缺乏透明度,信息主體難以理解同意的后果和風險。尤其是在識別分析機制下,信息主體不僅難以知悉其臉部信息在何種程度上與何種數據庫進行關聯比對,最終又將被何種機構用于何種用途,更難以獲得關于信息存儲安全性、自動化決策算法邏輯的信息。
因此,在刷臉的生物識別信息保護中,需要嚴格限制告知同意的事由。參照歐盟法的規定,同意只有在自由的、知情的前提下作出,而且是明確、單獨地針對具體的信息處理行為的同意,才是有效的。在告知同意外,BIPA第15條亦提出“不得出售、出租、交易或以其他方式”利用生物識別信息牟利的規定。GDPR第9條則亦規定了履行義務或實施權利所必要、保護信息主體權利所必須等多項例外事由。事實上,無論同意是否有效,刷臉的合法性亦必須回歸到敏感信息處理的一般條款中進行分析。根據個人信息保護法第28條,刷臉的處理必須符合“具有特定的目的和充分的必要性”“并采取嚴格保護措施”的規定。
(二)公共監控信息保護機制的適用與轉向
當刷臉被用于公共監控場景時,此時刷臉不僅適用于生物識別信息的保護機制,而且還適用建立在人權法框架之下的公共監控信息保護機制。從制度發展來看,公共監控信息保護隨著技術的發展而不斷加強。在美國法中,監控技術的發展直接推翻了“公共場無隱私”的觀點。在著名的“凱諾案”中,美國聯邦最高法院認定使用熱成像設備掃描住宅外部構成了不合理的搜查。“瓊斯案”中,美國聯邦最高法院又認定未經授權使用GPS信息監控構成違憲。英國“調查權力法案”和“公共監控實務守則”,更是直接適用于公共監控中的刷臉,其規定公共監控必須遵循比例性、合法性、可靠性、必要性原則,限定在合法必要的目的使用,且充分考慮對個人權利的影響。隨著刷臉被廣泛使用于商業和其他目的,發端于人權法框架的公共監控規制邏輯也逐漸被拓展到一般的公共場所刷臉之中。近年來,我國法院也注意到私人主體在公共空間安裝智能監控的風險。例如,在“劉某與沈某隱私權糾紛案”中,法院認為具有刷臉功能的智能門鈴對鄰居的“出行規律、人員流動等進行了記錄”,造成了侵擾后果,應予拆除。
然而,傳統公共監控信息保護制度實難以全面回應前述監視權力擴張的風險。對于刷臉的識別分析機制,至少還應涵蓋自動化決策框架下的透明度和結果公平合理的要求,以及引入風險影響評估制度,這些要求將對公共監控的合法性判斷產生重要影響。2019年英國“布里奇斯案”中,基于傳統公共監控信息保護制度,英國高等法院認定南威爾士警方對示威者使用自動面部識別技術合法。英國信息專員辦公室對該案提出批評,認為警方沒有對信息保障進行恰當的風險影響評估,在“全面和不加區分的基礎上”收集個人信息將產生過大風險。2020年英國上訴法院改判,認定該刷臉系統的使用方式侵犯了人權。針對刷臉的最新發展與應用,2021年英國信息專員辦公室發布“公共場所中人臉識別技術的使用”報告指出,公共場所中的刷臉應當符合公平、透明、必要性、風險影響評估等基本要求。
此外,從我國立法來看,公共監控信息保護機制與生物識別信息保護機制之間存在相對割裂的問題。根據個人信息保護法第26條規定“公共場所安裝圖像采集、個人身份識別設備”,是“為維護公共安全所必需”以及“設置顯著的提示標識”。“人臉識別司法解釋”第5條第2項規定亦將“為維護公共安全,依據國家有關規定在公共場所使用人臉識別技術的”作為明確的免責事由,缺乏對公共安全作基本的必要性分析與比例原則衡量的要求。若直接適用這些條款,將存在架空敏感個人信息保護機制的危險。公共監控信息保護機制是進一步限制刷臉的機制,不應成為突破生物識別信息保護機制的例外。必須通過相關條例的解釋,使得公共監控中的刷臉適用“生物識別信息保護機制+公共監控信息保護機制”的雙重限制。
(三)呼喚信息保護的理念轉向
信息保護機制失靈的根本原因在于,傳統隱私和信息保護的代表性理論已難以適應刷臉的技術發展。第一,從獨處權理論來看,一個多世紀以前,為應對新興的攝影技術,沃倫、布蘭代斯首次借用“獨處權”的概念對隱私權進行了論述。這一經典理論所強調的是物理空間的隱私保護,難以適應于數字時代的刷臉。第二,從有限接近和保密理論來看,加夫森將隱私描述為“保密、匿名和獨處”。有國內學者亦指出,“看破不說破”是隱私規范的重要內容,即要求知情人“在一定范圍內掩飾其對特定信息的占有或使用狀態”。然而,刷臉對個人權益的侵害不因其泄密,在識別分析機制中更是常會利用信息主體主動上傳分享的數據。第三,從個人信息控制權理論來看,“隱私是對自己信息的控制”。對于是否被刷臉,刷臉信息如何被比對,信息主體往往缺乏控制力。
對此,首先應從數字人權的高度把握刷臉中的信息保護理論命題。刷臉的機制與人的“數字屬性”息息相關,刷臉的信息保護必須堅持數字人權的引領。在“雙層空間、虛實同構”的數字時代中,發生了“從自然人到‘信息人’的轉變”。一方面,刷臉的身份識別機制本身就是一種通過“信息人”證明自然人身份的“可信身份認證”模式;另一方面,刷臉的識別分析機制通過數據匯集、比對、分析,進一步強化了“生活方式的數字化表達”。正是人的“數字屬性”賦予了人權數字屬性,構成了數字人權的基礎。以數字人權的理念引領,即要求以人權的尺度作為評判刷臉的根本標準,由此可對信息保護機制進行重新審視。
其次,從信息保護理論發展角度,應通過“情景脈絡完整性理論”,引入場景化規制的方法。尼森鮑姆指出,若信息流動脫離既定的語境和場景,將構成對隱私的侵犯。也就是說,信息保護與具體場景中的社會規范息息相關。物理空間的生活中“看臉”與設備刷臉的場景有極大差異,在身份識別意義上的刷臉又與在識別分析意義上的刷臉場景大為不同。身份識別的場景中,信息流動的范圍較為有限,對傳統信息保護機制的挑戰較小。識別分析的場景中,卻極易使人臉信息脫離其特定的使用背景,必須予以重點規制。由此,可進一步構建適應識別分析機制的法律治理路徑。
四、適應識別分析機制的法律治理路徑
在邁向識別分析的屬性轉換中,刷臉的法律治理路徑可分為三個層次。第一,在刷臉法律治理的一般原則上,強調比例原則的檢驗。第二,在識別分析機制的特殊規制上,適用自動化決策框架進行場景化規制。第三,以架構設計進一步降低識別分析的風險,支持刷臉的合法應用與發展。
(一)一般原則的優化:以比例原則作“最小必要”檢驗
適應識別分析機制的法律治理,絕非只適用于識別分析機制的法律治理。如前所述,刷臉的識別分析機制中的許多突出問題,是身份識別機制中相關問題的放大。對此,必須根據數字人權的價值指引,從信息保護一般原則的優化出發,以比例原則作“最小必要”檢驗。
比例原則的檢驗是個人信息保護“最小必要”原則的題中應有之義。必要原則一直是我國個人信息保護的基本原則。個人信息保護法第6條更是明確指出處理個人信息“應當采取對個人權益影響最小的方式、限于實現處理目的的最小范圍”。同時,刷臉作為生物識別信息處理,依該法第28條亦須以“充分的必要性”為前提。“人臉識別國標草案”更是將“非人臉識別方式安全性或便捷性顯著低于人臉識別方式”作為刷臉的前提條件。
比例原則要求信息處理者在使用刷臉系統前應嚴格審查使用該系統的預期目標,同時考慮對信息主體權利的影響。信息處理者必須證明其不能通過使用侵入性較低的其他方式合理地實現相關目的。如果有可能通過其他對個人權利干預較小的方式合理地實現相同或類似結果,那么刷臉的使用就是不合比例的。當刷臉并非實現目標的唯一可能手段時,就必須考慮其他侵入性較小的替代措施。提高效率并非刷臉的正當理由,即便稍微比其他不使用生物識別信息的措施更具效率,刷臉也可能是不必要的。在前述瑞典對學校使用刷臉考勤的處罰案件中,瑞典數據保護局即根據比例原則指出,應采取對學生個人信息權益侵害更小的其他方式實現考勤目的。
未經比例原則檢驗,僅憑“為維護公共安全”本身不能認定刷臉的必要性。如前所述,個人信息保護法第26條、“人臉識別司法解釋”第5條第2項必須作嚴格限縮。對信息保護基本權利的限制需要有充分的理由。即便是為執法的目的,對敏感個人信息的處理亦必須符合“充分的必要性”要求。在“馬普爾案”中,歐洲人權法院即表示,以公共利益為由無限期保留已無罪釋放的嫌疑人的生物識別信息屬于不合比例的措施。
此外,比例原則檢驗是一個利益衡量的過程。追求的是信息處理者的利益、個人的權利和社會的公共利益之間的平衡,因此必須進行風險影響評估。實際上,根據個人信息保護法第55條第1項及第2項,刷臉的機制至少涉及“處理敏感個人信息”與“利用個人信息進行自動化決策”,必須在事前進行風險評估。根據該條,至少應結合刷臉的目的、處理方式、對個人可能造成的影響、安全措施進行綜合評判。參照GDPR序言第75條,可通過對個人身體、財產或其他非物質損害的角度評價具體風險。經風險評估和利益衡量,若刷臉的預期目標足夠重要,且能證明對個人信息權益的干預是必要、合理的,即可進行相關應用。例如,在特定地點進行刷臉以抓捕逃犯、為高效防控疫情進行刷臉均符合數字人權價值與比例原則的要求。
(二)特殊規則的細化:自動化決策框架下的場景化規制
在個人信息保護法第73條第2款的意義上,自動化決策的概念與識別分析存在一定混同。刷臉的識別分析機制天然應適用自動化決策的分析框架。從自動化決策的角度,根據該法第24條第1款,刷臉的識別分析至少需要滿足“保證決策的透明度和結果公平、公正”的基本要求。第一,透明度的要求超越了該法第30條敏感信息處理的告知義務。參照英國的相關文件,自動化決策的透明度不僅要求向信息主體告知“必要性以及對個人權益的影響”,而且需要提供關于臉部信息被如何處理的清晰信息,即需要采取便利、可獲取的方式,向信息主體充分展示刷臉的使用狀態與目的、數據處理方式、維權途徑等信息。第二,結果公平、公正不僅要求技術的上有效和準確,而且要求排除偏見和歧視的風險。參照歐盟的相關文件,刷臉系統不得根據種族、民族、宗教信仰、性取向等高風險類別對人群進行分類。
自動化決策的分析框架,應進一步適用于刷臉的具體應用場景中。尤其是當刷臉的識別分析機制被用于金融、住房、保險、教育、司法、就業、健康等將對個人權益有重大影響的場景時,根據個人信息保護法第24條第3款,信息主體具有“要求個人信息處理者予以說明”的權利與自動化決策拒絕權。該條款在邏輯結構上與GDPR第22條第1款高度相似。參考算法解釋權的理論,應將“予以說明”解釋為以簡單易懂的語言、易于獲取的形式,清晰地向信息主體解釋刷臉識別分析機制的基本邏輯,展示根據何種要素作出相關決策,以便信息主體行使拒絕權。此外,就信息主體的拒絕權而言,對于刷臉的拒絕權絕不限于自動化決策。對于任何不符合比例原則、不必要的刷臉,個人均有權拒絕。“人臉識別司法解釋”第10條即指出,個人有權拒絕將刷臉作為“出入物業服務區域的唯一驗證方式”,并有權“請求其提供其他合理驗證方式”。
值得注意的是,常見的公共部門/私營部門分別規制的模式,不應作為場景化規制引入。該種規制模式下,公共部門刷臉可以分為絕對禁止和嚴格限制兩種類型。前述美國馬塞諸塞州薩默維爾市、加州奧克蘭市等即嚴格禁止公共部門獲得、保留、接入或使用人臉識別技術。美國華盛頓州“人臉識別法”則采取了嚴格限制的立場,對刷臉明確提出了算法解釋、算法問責、算法審計等要求。與之相比,對私營部門的刷臉則更為強調告知同意機制的優化。筆者并不贊同我國采用這一規制邏輯,理由有三:第一,公共部門與私營部門的劃分多見于美國法,是美國行業分散立法的信息保護模式所決定的。我國個人信息保護已采取統一立法模式,無須根據行業或部門對某一信息保護事項進行區分。第二,對公共部門進行重點規制的理由并不充分。公共部門刷臉不一定比私營部門具有更高的風險。而且從社會公共利益與商業利益比較的角度,更可能得出對私營部門嚴格規制的結論。第三,公共部門與私營部門只是刷臉的主體,無法指向刷臉的具體應用場景。唯有從具體的應用場景出發,才能充分評估刷臉對信息主體的影響和風險,并提出相應的規制策略。
(三)“隱私設計”與去標識化、匿名化的倡導
個人信息保護法第51條明確要求信息處理者應采取措施實現個人信息保護。該規定契合了“隱私設計”的邏輯。參照GDPR第25條,“隱私設計”即要求將個人信息保護理念提前融入到刷臉的產品設計之中。就刷臉的架構設計而言,至少可采取以下方式:第一,在選擇技術解決方案時,應首選“隱私計算”技術,并不斷提高刷臉的安全性、精確度、活體檢測技術,制定合理的安全保護措施,以“最小必要”原則約束產品代碼。第二,在開發刷臉產品和服務時考慮信息的敏感性,且采取措施保障信息主體的知情權、選擇權。例如在手機端的刷臉應用中,可通過“彈窗”的方式直接履行告知義務,且應同時提供其他驗證方式,不得通過“默認勾選”的方式逾越信息采集的必要范圍。第三,鼓勵開發供用戶使用的信息保護技術。例如感應到鏡頭時發出閃光從而破壞圖像“防狗仔裝置”,或通過手機端向一定范圍內的信息處理者廣播拒絕刷臉的技術。
針對刷臉的識別分析機制,應充分發揮去標識化與匿名化的作用。個人信息保護法第51條第3項即明確將去標識化規定為一種安全技術措施。通過“計算機視覺偽裝”技術,可對臉部圖像可作去標識化處理。當達到“經過處理無法識別特定自然人且不能復原”的標準時,即進一步構成匿名信息。在前述刷臉廣告的事例中,當相關信息被用于日后的廣告推送時,即便進行了相關去標識化處理也必然是具有識別性的,屬于個人信息處理。然而,這并不表明人臉信息就無法實現匿名。2016年,德國零售商Real使用AdPack人臉分析技術進行戶外廣告,該技術僅在150毫秒內對所采集的人臉信息進行本地化緩存隨后即馬上刪除。對于類似的“瞬態刷臉”而言,無論是信息處理者還是任何第三方均無法通過合理的成本復原相關信息并識別到特定個人,已經實現了匿名化。
盡管如此,以AdPack為代表的應用還是受到了大量批評與投訴,最終被迫下架。這里的核心問題是:識別分析機制中的匿名信息是否應受到信息保護機制約束。對此,有學者主張,“應當將用戶匿名行為信息納入個人信息的范疇”,“采取特殊的個人信息保護機制”。筆者認為,不能輕易動搖個人信息的基本概念,作為非個人信息的匿名信息屬于可自由流動的信息。對刷臉的限制措施并非越多越好,刷臉的法律治理必須從刷臉的實際風險出發,切勿由于對新技術的恐懼而不當限制技術的發展。桑斯坦指出,對新風險的認知偏差導致容易產生“概率忽視”的現象,即人們傾向于關注負面結果,而不是它的可能性。法律可能會過度補償以解決消費者的憂慮,從而導致“花費巨大卻收效甚微或毫無收獲”。歷史經驗表明,如果過度補償短期恐懼,基于最敏感的一方設定規則,將不利于新技術的發展與應用。
就刷臉的法律治理而言,必須認識到滯后性不是法律的缺點而是法律的特性,對于一個尚未發展成熟的新技術應保持適當的謙抑。當前,刷臉的匿名化有極大的應用空間和現實需求。刷臉的分析機制本身即不一定建立在身份識別的基礎之上,人臉驗證、人臉辨析、人臉分析可以相互獨立。公共場所人流量統計、體溫檢測、圖片美化都屬于典型的不以識別為基礎的人臉分析應用。在匿名化后,刷臉即可合法地應用于自動駕駛的行人判斷、公共場所的人流量統計等眾多場景之中。由此,通過架構設計的優化,推動刷臉的合法應用不斷發展,刷臉的風險將會降低,人們對刷臉的恐懼也將消除。
結 語
信息保護制度隨著技術的發展而發展。1890年,在攝影技術的背景下,沃倫與布蘭代斯提出了“隱私權”的理論。1983年,在計算機技術的背景下,在著名的“人口普查案”基礎上,德國學者提出了“個人信息自決權”理論。當前,數字時代已經到來,刷臉作為一種高效、便捷、可用的技術,其未來應用必將更加廣泛和深入。總而言之,在人“看”到技術“看”升級的過程中,刷臉風險的核心既不在于“看”也不于“臉”,而在于對個人信息的數字化處理、比對和分析。作為一種身份識別機制,刷臉的技術邏輯與規制方式均不復雜。在身份識別機制向識別分析機制的轉換中,刷臉的風險了發生遷移,規制機制的適用產生了轉向。對此,必須從比例原則檢驗、自動化決策下的場景化規制與技術架構設計三個方面予以應對,使野蠻生長的刷臉回歸到合法的軌道上,捍衛數字時代的個人信息權益。
