呂 凱,栗嘉悅
(天津大學 法學院,天津 300072)
作為個人生物識別信息的一種,人臉信息具有 其自身的獨特性,其相較于 指紋、聲音等傳 統(tǒng)生 物識別 信息而言,使用起來 更高效,也更符合人類識別習慣,因此 在維護 公共安全、保障信息安全、保護金融交 易安全等多方面得 到普遍應用。但與此同時,人臉識別技術的發(fā)展也會給個人信息保護帶來難題。在中國知網(wǎng)上進行“人臉識別信息”主題搜索,共顯示 6000 余篇搜索結果。表面上看,與該主題相關的文章可謂是卷帙浩繁,但將學科限定為法律相 關之后 ,相關結果僅有 60 余篇。由此可見,我國從法律角度對人臉識別技術的研究尚不充分。從現(xiàn)有文獻來看,學者主要從人臉信息的定義、特征、風險、成因以及對策等方面展開研究。而本文從人臉識別角度出發(fā),分析人臉識別技術運用現(xiàn) 狀,希冀 從人臉 識別角度為 消費者個人信息 保護提 供 可行 性 決 策參考。
2020 年 11 月 20 日,杭州市富陽區(qū)人民法院公開開庭宣判郭某與杭州野生動物世界有限公司服務合同糾紛一案。該案原告郭某因為對進入動 物園需 要 激 活人臉 識別 系 統(tǒng)的要求 不 滿 ,將該動物園告上法庭。因涉及人臉信息的收集、使用等問題,該案件被稱為“人臉識別第一案”。該案中法院判定消費者勝訴,究其原因,在于作為經(jīng)營者的動物園單方變更合同,擅自將指紋識別入園改為人臉識別入園。但該案只能作為喚醒公眾人臉信息保護意識的一次嘗試,想要實現(xiàn)全方位、制度化的人臉識別應用限制,仍是未解難題。
2021 年 3 月 15 日,央視“3·15”晚會報道,科勒衛(wèi)浴上千家門店安裝了有人臉識別功能的攝像頭,這些攝像頭會在進店消費者不知情的情況下,抓取其人臉信息,以后消費者再去哪家門店、去了幾次,都能夠被獲知[1]。
上述“人臉識別第一案”和科勒衛(wèi)浴事件受到社會各界廣泛關注,引發(fā)了人們從法律角度思考人臉識別的運用給消費者個人信息保護帶來的挑戰(zhàn)。
根據(jù) 2020 年修訂的 《信息安全技術個人信息安全規(guī)范》(以下簡稱《規(guī)范》),人臉信息屬于個人敏感信息。不同于姓名、出生日期等具有易重復特征的信息,此類敏感信息往往具有獨特性、唯一性,僅憑一項敏感信息就很可能識別出特定主體,且若被泄露會嚴重威脅特定主體的人身和財產(chǎn)安全。因此,在人工智能快速發(fā)展的今天,選擇人臉識別信息這一敏感信息作為切口,分析其給個人信息保護帶來的法律困境,有利于司法實踐中對 《民法典》《消費者權益保護法》《個人信息保護法》 等法律法規(guī)的具體條款更好地進行解讀與適用,同時使得作為個人敏感信息的人臉信息在實踐中獲得有效保護與合理利用。
總體來講,人臉識別應用場景分為兩類,一種是 1∶1 認證,將一對人臉圖像進行對比,判斷是否為同一人[2],比如現(xiàn)實生活中的門禁系統(tǒng)、手機面部解鎖等。應用落地場景為有算法識別技術的軟件供應商為手機廠商內置 SDK,輔助代碼移植,使手機在本地即可進行人臉識別解鎖,而不將信息上傳[3]。另一種是 1∶N 人臉辨識問題,也叫作 1∶N 匹配,將輸入圖像在系統(tǒng)底庫中搜索,看底庫中哪張人臉圖像與其相似度更高。
在《規(guī)范》中有規(guī)定,若產(chǎn)品或服務提供者僅提供工具給個人信息主體使用而不訪問個人信息,則不屬于“收集”。同時,《規(guī)范》中列舉了離線導航軟件不回傳信息至軟件提供者便不屬于收集的例子來進一步闡明??梢?,相較于上傳至云端而言,人臉信息本地化存儲所面臨的信息泄露等風險較低,因此《規(guī)范》也將人臉信息本地化存儲的行為與經(jīng)營者的信息收集行為進行了明確的區(qū)分,使得經(jīng)營者在對人臉信息控制權減弱的同時,其責任也隨之降低,從而實現(xiàn)權責一致。雖然根據(jù)個人信息保護相關法律規(guī)范的要求,經(jīng)營者對于消費者人臉信息的保護義務并不能在人臉信息本地化存儲的情形下被豁免,但本文的研究重點主要集中 在 危害性可能 更大的 1 ∶N 人臉辨識問題上,對 1∶1 人臉認證不做主要探討。另需說明,由于該技術已被廣泛應用于公私領域,本文僅限于私領域中對消費者人臉信息保護的探討。
知情同意原則奠基于“小數(shù)據(jù)時代”,大數(shù)據(jù)時代的知情同意原則陷入重重困境[4]。目前,我國《個人信息保護法》第 14 條、《民法典》第 1035 條和《消費者權益保護法》第 29 條中均存在關于知情同意原則的規(guī)定,然而,個人信息保護中的知情同意原則在人臉信息識別問題上遇到了挑戰(zhàn)。一個重要原因在于,若想要收集除人臉信息之外的其他個人信息,或多或少需要自然人的配合才能夠實現(xiàn),比如下載、安裝軟件后需要勾選同意協(xié)議才能開始使用。而人臉信息則不然,想要收集人臉信息可以不需要自然人的主動配合,生活中的商場、銀行、學校、街道等場所,攝像頭無處不在,只要走出家門,人們便不可能將面部信息隱藏于公眾視野,更何況一些處在隱蔽之處的攝像頭使得人們的面部信息在完全不知情的情況下被拍攝、收集。
具體分析人臉信息識別中的知情同意原則難以適用 的 原因時,可以將該 原 則分為“ 知情”與“同意”兩部分進行解釋與探討。“知情”是“同意”的基礎 和 必要前提條 件,如 果 沒有 真正“ 知情”,則“同意”便無從談起,此 時即 便有“同意”也屬于無效同意。正如在歐盟《一般數(shù)據(jù)保護條例》(GDPR)中認定,數(shù)據(jù)主體 的“同意 ”是 指 其通 過聲明或 明 確的行動,自由、具 體、知情 和明確地表明同意對與其相關的個人數(shù)據(jù)進行處理的意愿[5]。
如何判定是否符合“知情”這個前提條件?本文認為,可以憑借《個人信息保護法》第 14 條的規(guī)定來進行解釋,第 14 條第 1 款規(guī)定,個人應在充分知情的前提下作出意思表示;第 2 款規(guī)定了何種情形下應重新取得同意。其中第 1 款的“充分知情”可以理解為對第 2 款中不完全列舉的個人信息處理目的、方式和種類等重要相關信息的知悉。由此,可以提出三種在人臉識別中實質上不能判定為“知情”的情形。
1.有協(xié)議而不知情
某些經(jīng)營者提供的知情同意協(xié)議以“包括但不限于”條款或者“霸王條款”來無限擴大對用戶人臉信息的收集、使用[6]。例如,2019 年 8 月,一款名為“ZAO”的換臉 APP 開始流行,僅需上傳一張正臉照,就能使用戶 成為影視作品中 的“主角”。在該 APP 起初版本的用戶協(xié)議中規(guī)定,用戶人臉信息的授權是免費、永久、可轉授權的[7]??梢?,該協(xié)議中的知情同意形同虛設,若經(jīng)營者將此類知情同意 協(xié)議作為其任意 使用用戶人臉信息的保護 傘,以謀求經(jīng)濟利益 ,或者進 行有關人臉信息的商事交易等,則可能給用戶的人臉信息帶來安全隱患。
此外,從人臉識別信息延伸到個人信息領域的知情同意協(xié)議,本文通過調查美團、淘寶、百度APP 的用戶服務協(xié)議和隱私政策,從以下幾方面對比、歸納了幾點特征,如表 1、表 2 和表 3 所示。可以看出,在這三家商業(yè)機構 APP 中,用戶都必須“閱讀并接受服務協(xié)議”才能夠注冊使用,在用戶 服務協(xié)議和隱私政策中也存在對需 要授權才能收集 使用的個人信息的列舉以及如何使 用收集來的個人信息的說明。在用戶僅使用瀏覽、搜索等基本功能時通常無需注冊或授權。此外,三家商業(yè)機構 APP 的隱私政策中均存在相類似的免責聲明。
表 1 美團關于個人信息的收集、使用政策
表 2 淘寶關于個人信息的收集、使用政策
表 3 百度關于個人信息的收集、使用政策
根據(jù)表 1、表 2 和表 3 分析可知,若用戶接受了用戶服務協(xié)議和隱私政策并授權,即表明該用戶:(1) 同意將某些個人敏感信息交予商業(yè)機構收集、使用,如靜態(tài)或動態(tài)的面部特征等;(2)同意商業(yè)機構對收集來的個人信息以提供服務為主要目的而進行使用;(3)同意商業(yè)機構未詳盡列舉的知情同意協(xié)議項目;(4)同意將某些檢索記錄等信息作為不需要授權的信息供商業(yè)機構任意收集、使用;(5)同意承擔免責事由中未詳盡列舉的不具有可預測性的信息泄露風險。若商業(yè)機構在收集、使用個人信息時普遍采取前述隱私政策,那么在完全遵循個人自決原則的情況下,該商業(yè)機構做出的任何可能對個人信息權益造成損害的行為都屬于有用戶授權的合法行為,這顯然不是用戶所能預知并且認可的。
2.無協(xié)議且不知情
此類情形下,經(jīng)營者可能借助人臉信息數(shù)據(jù)庫對信息主體開展行為軌跡、心理軌跡和地理位置畫像。比如將某一特定主體曾經(jīng)在購物消費、旅游出行等多個數(shù)據(jù)庫中被收集、記錄的人臉信息進行識別和對比,便可以對該主體開展全方位的地理位置畫像以及精準的個人行為記錄。若龐大的信息數(shù)據(jù)庫相連,一次簡單識別就可能發(fā)掘無盡的信息①。正如前文提到的科勒事件中,經(jīng)營者利用人臉識別技術鏈接大數(shù)據(jù)技術,收集進入科勒衛(wèi)浴門店顧客的人臉信息鏈接到 大數(shù)據(jù)上 ,如,此消費者的 購 買能力、購物偏好便一覽無余。在此基礎上,經(jīng)營者可能通過分析潛在客戶,進行誘導消費,消費者的真情知悉權、公平交易權等權利便極有可能因此而受到侵害。
總之,以上兩種情形均屬于沒有真正“知情”。無論是多次識別還是交叉匹配,人臉信息的再結構化和利用都將導致上述知情同意協(xié)議喪失制約信息濫用的效力。這種對知情同意原則的違反更是對消費者意思自治和人格尊嚴的侵犯。
3.知情但被迫同意
對于“同意”這 部分來 說,即使 有 了“知情 ”這一前提條件,消費者在某些場景下也可能被動甚至被迫接受人臉識別。如沃爾瑪利用有人臉識別功能的監(jiān)控來捕捉消費者表情,分析其心理活動。再如一些銀行 APP 中,消費者初次登陸時只有勾選了知情同意協(xié)議并通過“眨眨眼”等方式驗證人臉后,才能開始享受手機銀行服務。此時消費者并沒有與之協(xié)商的權利,如果以保密為由拒絕提供自己的面部信息,將被排除在網(wǎng)絡信息服務使用之外??梢姡拖褚粋€亟需養(yǎng)活家人的勞動者不得不簽訂一個內容苛刻且待遇微薄的勞動合同那樣[7],很多情形下人們只是迫 于現(xiàn)實需 要 而“同 意 ”,這也是 對知 情 同 意原則的違背。此外,現(xiàn)實中由于網(wǎng)絡技術迅猛發(fā)展以及其匿名性特征,一些被侵權的消費者根本沒有察覺自己被侵權,或者雖有所察覺但卻難以查清侵權經(jīng)營者的真實身份。無論是因為被侵權的消費者相對于侵權經(jīng)營者而言處于弱者地位,還是因為確認侵權經(jīng)營者的成本過高,結果都會導致個人信息被泄露、被非法利用的消費者權利難以得到救濟。
根據(jù)《民法典》第 1034 條第 2 款規(guī)定可知,人臉信息作為一種私密信息,既受個人信息相關法律法規(guī)的保護,也受隱私權的保護。1967年,美國聯(lián)邦最高法院在 Katz v.United States 案[8]中確立 了“合 理的隱 私期待 ”標準,該標準 可以總結為:若依照一般人的認識,對某項信息具有私密期待,公眾也認為該信息不應被他人所知,此時隱私權成立[9]。該標準在世界多國范圍內已形成一種常用的判定方法,然而人臉信息的特殊性可能會給個人信息保護中的合理期待標準帶來挑戰(zhàn)。
人臉信息雖然屬于個人信息的范疇,但又存在區(qū)別于其他普通個人信息的特別之處。美國最高法院在訴迪奧尼西奧案的判決書中說:“沒有人能合理期待別人不知道他的聲音,就像他不能合理期待他的臉對世界是一個謎一樣”[10]。我們并不能期待自己不會與熟人在公共場合相遇并被認出,同樣的道理,我們也并沒有合理的理由期待自己的人臉信息在公共場合完全不被識別。
此外,隨著技術進步,隱私權保護很難抵御技術對消費者人臉信息安全的威脅。從主體角度看,傳統(tǒng)隱私權侵權通常針對某一特定主體。從損害結果角度看,隱私權受到損害的過程較易梳理,損害結果也容易識別。正是由于傳統(tǒng)隱私權侵權在主體和損害結果等方面較為清晰,受害人此時可以直接以侵犯隱私權為由提起訴訟獲得賠償。然而,當傳統(tǒng)救濟方式遇到人臉信息受到侵害的情形時,消費者往往會因為無法證明損害結果而難以得到救濟。這是因為經(jīng)營者運用人臉識別技術實施侵害行為往往極為隱蔽,可能不會造成損害。只有當經(jīng)營者將運用該技術收集來的消費者人臉信息不合法地使用或未妥善存儲而導致人臉信息泄露時,才會對個人產(chǎn)生損害結果。正如在 2008 年,美國伊利諾伊州立法機構頒布首個個人生物信息保護法《生物特征信息隱私法》(以下簡稱“BIPA”)。2010 年,F(xiàn)acebook 推出“標簽建議”功能,即利用人臉識別技術標注用戶照片里出現(xiàn)的人。由于此功能默認開啟,2015 年,三位伊利諾伊州用戶依據(jù) BIPA 將 Facebook 告上法庭,他們的訴訟后來被合并為集體訴訟[11]。原告Patel 指出,該項功能既沒有征得用 戶同意 ,也因未 公 開 數(shù) 據(jù) 存 儲 時 間 而 違 反 了 BIPA 規(guī) 定 。 而Facebook 卻辯稱,原告在指控中未能列舉出具體損害,因此原告缺乏訴訟資格。雖然 Facebook 的理由沒有被美國聯(lián)邦第九巡回上訴法院認可,但可見在具體損害的認定問題上,人臉信息相比于其他信息存在的爭議更大。
目前我國司法實踐中,無論民事案件還是刑事案件,大多以涉案行為的合法性和正當性為中心進行陳述、申辯,法院也將行為是否合法、正當作為審理和裁判的主要依據(jù)。而在“人臉識別第一案”中,原本通過指紋識別就可進入園區(qū),現(xiàn)在必須通過人臉識別的方式才能進入,這將不可避免地引向對經(jīng)營者收集、使用人臉信息的必要性審查問題。
《個人信息保護法》第 6 條規(guī)定,處理個人信息應限于實現(xiàn)處理目的的最小范圍?!睹穹ǖ洹返?035 條規(guī)定,處理個人信息應當遵循必要原則?!兑?guī)范》中更為細化,規(guī)定了收集個人信息要遵循最小化要求,包括:1.收集的個人信息類型應與實現(xiàn)業(yè)務功能有直接關聯(lián);2.自動采集個人信息的頻率應是實現(xiàn)業(yè)務功能所必需的最低頻率;3.間接獲取個人信息的數(shù)量應是實現(xiàn)業(yè) 務功能所必需的最少數(shù)量。根據(jù)以上法律法規(guī)可知,杭州野生動 物世界有限公司用 人臉識 別替代原先指紋識別的入園方式,違背了《規(guī)范》中關于個人信息收集的最小化要求。盡管《規(guī)范》并非法律規(guī)定,但 是 作 為 我 國 首 部 個 人 信 息 方 面 的 國 家 標 準 ,《規(guī)范》 無疑在法官進行必要性原則審查時起著重要的參照作用。
作為具有唯一性、難獲取性的人臉信息,在過去通常是由 國家機 關、政府部門、醫(yī)院等 公 益單位來收集和使用,收集和使用的場景均較為有限。然而,隨著近年來技術的發(fā)展,越來越多的人臉信息被手機廠商和安防設備廠商收集并應用到個人信息終端、公共場所安防等領域。這些信息往往與公民的人身財產(chǎn)安全和人身安全密切相關。近年來,利用公民個人信息的犯罪活動越來越多,社會各界要求加強對公民個人信息安全保護的呼聲也越來越高。在這種背景下,杭州野生動物園有限公司未經(jīng)消費者同意對其采用人臉識別技術,既不能解釋使用該技術的必要性,也沒有向社會公開將會采取什么措施來確保信息的安全,這將不可避免地導致人們的擔憂和疑慮。
想要增強 我 國人臉 識別運用 中 的 信 息 保 護力度,需要首 先明確 必要 性原 則,即 在均 可 達 成目的的數(shù)種手段之間,應該選擇對被限制的利益干預最輕的手段,也可稱為最小侵害原則[12]。將必要性原則與我國國情相結合,可以提出以下兩點消費者人臉信息保護的完善建議。
1.應明確必要性原則具體實施的層次。經(jīng)營者在收集消費者個人信息時應遵循必要性原則。具體來說,首先對經(jīng)營者在收集消費者個人信息的廣度 上進行限縮,從前文所述的“包括但不 限于”到“有且僅有”,將消費者 個人信 息 的收集 限制在其核心服務之中。當經(jīng)營者提供服務時,通常需要一定量的信息來實現(xiàn)正常運轉,這些信息均屬于與經(jīng) 營者目的相符的“合目的”信 息。但是,這些“合目的”信息并不一定是無法替代的信息,此時應限 制收集的深度,對能夠 實 現(xiàn) 目 的 的各類信息進行強度劃分。若存在能夠實現(xiàn)核心業(yè)務功能的強度較低的信息,便應禁止對高強度信息的收集,從而減少因信息整合而被還原真實信息主體人格的可能性。這樣經(jīng)過劃分與篩選后,最終使信息達到無法替代的標準,即如果經(jīng)營者不收集該項信息便無法實現(xiàn)其核心服務目的。堅持此種多層次劃分與篩選的必要性原則,能夠有效降低消費者的個人信息風險。
2.明確技術使用邊界。目前,只有北京、天津等少數(shù)地方的規(guī)章 、條例就公 共安全 圖 像 信息的采集作出了規(guī)定。北京市政府頒布的《北京市公共安全圖像信息系統(tǒng)管理辦法》規(guī)定了五類應當安裝公共安全圖像信息系統(tǒng)的單位和區(qū)域[13]。2021 年 1 月 1 日起正式實施的 《天 津市 社會信用條例》中,也列舉了禁止 市場信 用信息提 供 單位采集的自然人個人信息 類型 。 而 人 臉識 別 不需 要消費者主動配合 即可收集,甚 至 可 以 在 消費 者毫不知情的情況下被收集,因此,厘清人臉識別技術應用范圍是當務之急。為此,應確立禁止處理原則,進一步明確經(jīng)營者使用該技術的禁止性規(guī)定,具體 包括:第一,非經(jīng)法定事由,經(jīng)營者不得收集、購買或以其他方式獲取消費者人臉信息;第二,非經(jīng)法定事由,經(jīng)營者不得披露或以其他方式傳播消費者人臉信息;第三,禁止出售、出租或其他利用消費者人臉信息獲利的行為。
個人信息的決定主體始終是個人。個人是其私生活的直接感受者,只有個人最清楚自己的生活是否受到不正當干擾,也只有個人最有資格和能力來評判 自己的個 人信息 是否遭 到 違 反 個 人意志的使用或泄露。因此,個人信息自決權的重要性不言而喻,這也體現(xiàn)了對消費者人格尊嚴和隱私權的尊重與保護。然而,隨著大數(shù)據(jù)時代的發(fā)展,個人信息自決的基礎在各種新型沖突的紛擾中被動搖。一方面,不能排除消費者在對新技術、新概念不真正知情的情況下隨意對自己的個人信 息做出 不合理決 定;另一方 面,隨著 個人信息公共性價值的突顯,難以避免一些大數(shù)據(jù)商業(yè)機構出 于商業(yè)利益的考慮而迫切想 要 獲 取 個 人信息 ,促使消費者的“知情同意”成為其收集、使用個人信息的保護傘,從而對消費者合法權益造成損害。
從前文中對于美團、淘寶、百度 APP 的用戶服務協(xié)議和隱私政策的調查也能夠看出,若完全遵循個人信息自決原則,經(jīng)營者收集、使用消費者個 人信息的行為很可能給用戶帶來難 以預計的損害,因此,該原則不足以使得信息收集、存儲、使用合法化,理應 對該原則的有效性 進行限制。因此,本文建議,想要實現(xiàn)對消費者個人信息的有效保護和合理利用,不能僅以個人信息自決原則來判斷信息收集、使用者是否可以免責,而應當 結合法律 法規(guī)、行業(yè)規(guī)范、技 術指引等多種手段來進行綜 合評判 ,盡量避免信息收集 、使用者因“知情同意”而獲得不當豁免的情形出現(xiàn)。同時,需要收集個人信息的經(jīng)營者應將信息使用的方式詳盡列出,完全依照與消費者訂立的知情同意協(xié)議來行使權利、履行義務。
人臉識別技術作為經(jīng)營者識別、發(fā)現(xiàn)用戶價值 取向的一 種工具 ,在使用 時 理應 受 到 一定 限制,以避免技術脫離法律而運行。特別是如前文所述,個人信息自決 的效力基礎并不 牢靠,往往難以做出對風險衡量的理性判斷。因此,基于平衡數(shù)據(jù)產(chǎn)業(yè)發(fā)展與消費者個人信息保護的考慮,采用 經(jīng)營者使用人臉 識別技術的事前備案制是相對于審批或核準制來說更加高效、適當?shù)男姓?guī)制手段。通過人臉識別技術備案制就可以對經(jīng)營 者的使用是否兼 具合法性、合目的性、合 比 例性作出預測,從而有利于降低人臉識別技術被經(jīng)營者濫用的風險。
至于具體操作方面,應當對所有經(jīng)營者使用人臉識別技術以及收集人臉信息做出嚴格規(guī)定:1.所有經(jīng)營者在使用人臉識別技術前,均需向專業(yè)機構提交資質審核申請;2.通過資質審核申請后,應當經(jīng)過第三方機構的評估與定期檢測,確保 技 術 的 平等 性 、準 確 性 ;3.實 行人 臉 識 別 設備購買者實名制和用途備案制,經(jīng)營者使用的人臉識別系統(tǒng)及其定期檢測結果應向監(jiān)管部門備案;4.通過資質審核后,使用人臉識別技術的經(jīng)營者應當建立一個可追溯的技術系統(tǒng)。利用該系統(tǒng),應當實現(xiàn)對任何人在任何時間、地點搜集、存儲、使用、修改人臉信息都能進行明確查證。如此,當侵權發(fā)生后,自身合法權益受到侵害的消費者便可以憑 借該技 術追溯系統(tǒng)來查證并追究侵權人的法律責任。
由于大數(shù)據(jù)技術的不斷發(fā)展,很多原本的普通個人信息經(jīng)過碰撞或計算發(fā)掘甚至能夠預測出敏感個人信息,而一 些敏感個 人信息 經(jīng)過匿名或新型隱私保護技術處理后風險大幅減小。因此,可以在備案機關設置生物識別信息保護專員或 專門機構,讓專業(yè)人員結合其他技術對人臉識 別技術中的算法、信息采集協(xié)議、信息使用途 徑等情況進行法律和倫理審查,對人臉識別技術的安全性和合理性做出風險判斷 并隨著形勢的變 更而不斷更新這種判斷,從而嚴格區(qū) 分合理使用與濫用,保障消費者免受人臉識別技術濫用的困擾。
注 釋:
① 2019 年 8 月 31 日版本的“ZAO”換臉軟件的用戶協(xié)議第 6 項。