人臉識(shí)別中個(gè)人信息保護(hù)合規(guī)審計(jì)的路徑研究

孫 悅

一、引言

《中華人民共和國(guó)個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱(chēng)《個(gè)人信息保護(hù)法》)首次以法律的形式明確了個(gè)人信息保護(hù)合規(guī)審計(jì)制度,其中第五十四條以個(gè)人信息處理者為主體,規(guī)定了其要定期進(jìn)行合規(guī)審計(jì)的義務(wù),從內(nèi)督促個(gè)人信息處理者自我約束,自我管理。第六十四條以監(jiān)管部門(mén)為主體,規(guī)定了監(jiān)管部門(mén)具有要求處理者進(jìn)行合規(guī)審計(jì)的職權(quán),從外加強(qiáng)了對(duì)個(gè)人信息處理活動(dòng)的監(jiān)督。內(nèi)、外兩方面規(guī)定,為個(gè)人信息處理活動(dòng)加上雙保險(xiǎn)。2023年8月,網(wǎng)信辦發(fā)布了《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法(征求意見(jiàn)稿)》,完善了《個(gè)人信息保護(hù)法》第五十四條、六十四條關(guān)于合規(guī)審計(jì)的具體執(zhí)行規(guī)則,填補(bǔ)了下位法空白,開(kāi)創(chuàng)新的審計(jì)實(shí)踐。

人臉識(shí)別是指使用攝像設(shè)備采集人臉圖像或視頻,基于個(gè)體的人臉的特征進(jìn)行檢測(cè)、跟蹤,進(jìn)而對(duì)個(gè)體進(jìn)行識(shí)別的技術(shù)。人臉識(shí)別已經(jīng)應(yīng)用于我們生活的方方面面,例如手機(jī)解鎖、小區(qū)門(mén)禁、面部支付等,為我們帶來(lái)的巨大便利。但人臉識(shí)別屬于個(gè)人敏感信息,一旦泄漏,容易導(dǎo)致信息主體的人格尊嚴(yán)、人身安全、財(cái)產(chǎn)安全受到侵害。人臉識(shí)別技術(shù)存在知情同意規(guī)則失靈、算法“技術(shù)中立”陷阱,算法濫用等風(fēng)險(xiǎn),所以,對(duì)人臉識(shí)別進(jìn)行合規(guī)審計(jì)具有合理的目的和充分必要性。

二、人臉識(shí)別技術(shù)的合規(guī)要求

(一)個(gè)人信息保護(hù)影響評(píng)估

《個(gè)人信息保護(hù)法》第五十五條規(guī)定在處理敏感個(gè)人信息前應(yīng)當(dāng)進(jìn)行個(gè)人信息保護(hù)影響評(píng)估。個(gè)人信息保護(hù)影響評(píng)估的內(nèi)容包括:一是評(píng)估處理活動(dòng)的安全、合法、必要。這也是處理個(gè)人信息的基本原則,發(fā)揮著統(tǒng)領(lǐng)作用[1]。二是評(píng)估對(duì)個(gè)人權(quán)益的影響,人臉面部信息承載了多項(xiàng)個(gè)人權(quán)益,不僅包括人身、財(cái)產(chǎn)安全,還會(huì)涉及隱私和人格尊嚴(yán)等,而人臉識(shí)別過(guò)程必然會(huì)對(duì)這些權(quán)益有著或多或少的影響,應(yīng)當(dāng)進(jìn)行審慎評(píng)估,避免事后造成不可逆的傷害。三是評(píng)估所采取的保護(hù)措施是否合法、有效。在評(píng)估了對(duì)個(gè)人權(quán)益的影響后,需要采取保護(hù)措施,保護(hù)措施要限制在合理的成本范圍內(nèi),且要合法、有效,不能停留在應(yīng)付檢查的表面功夫,這也應(yīng)該成為合規(guī)審計(jì)的重點(diǎn)[2]。在對(duì)人臉識(shí)別進(jìn)行合規(guī)審計(jì)的過(guò)程中,要重點(diǎn)審查事前是否進(jìn)行了個(gè)人信息保護(hù)影響評(píng)估,并且要向個(gè)人告知進(jìn)行人臉識(shí)別的必要性和其對(duì)個(gè)人權(quán)益的影響。

(二)收集

在收集階段,首先,個(gè)人信息處理者要履行告知義務(wù),告知對(duì)方自己的身份、聯(lián)系方式、處理規(guī)則,并切以清單的形式列明所收集的個(gè)人信息及其處理目的、方式、范圍。作為敏感個(gè)人信息,《個(gè)人信息保護(hù)法》還明確強(qiáng)調(diào)了需要告知收集人臉識(shí)別數(shù)據(jù)的必要性和對(duì)個(gè)人信息權(quán)益的影響,這種影響不僅包括負(fù)面影響,也包括積極的影響、事前影響、事后影響,是全方面的。如果有可以替代人臉識(shí)別的其他方案,需要將其他方案和人臉識(shí)別進(jìn)行權(quán)衡。當(dāng)人臉識(shí)別的安全性、便捷性明顯強(qiáng)于其他方案時(shí),才會(huì)啟動(dòng)人臉識(shí)別方案,如果有其他方案,也需要告知對(duì)方。其次,收集人臉信息必須采用單獨(dú)同意的機(jī)制,不能使用概括授權(quán)、捆綁授權(quán)、兜底授權(quán)等方式,目前實(shí)踐中,個(gè)人信息知情同意機(jī)制存在復(fù)雜冗長(zhǎng)、流于形式等問(wèn)題,而人臉識(shí)別關(guān)系到身份認(rèn)證、金融支付等重要人身、財(cái)產(chǎn)權(quán)益的實(shí)現(xiàn),采用單獨(dú)同意可以盡量做到信息處理和權(quán)益保護(hù)之間的平衡。最后,收集個(gè)人信息不能過(guò)度,要在目的范圍內(nèi)且遵循最小必要原則,不要超度、超頻次。

(三)存儲(chǔ)

個(gè)人信息處理者要采取有效的技術(shù)措施存儲(chǔ)信息,防止人臉數(shù)據(jù)被泄露、篡改、濫用。存儲(chǔ)在原則上是不存儲(chǔ)不加密的原始人臉圖像,在完成人臉識(shí)別的過(guò)程后應(yīng)當(dāng)立刻刪除,如果在法律規(guī)定情況下需要存儲(chǔ)人臉的原始圖像,應(yīng)當(dāng)設(shè)置存儲(chǔ)期限,最長(zhǎng)不能超過(guò)3年。雖然《個(gè)人信息保護(hù)法》沒(méi)有明確規(guī)定,但在實(shí)踐中,人臉識(shí)別數(shù)據(jù)需要進(jìn)行加密存儲(chǔ)且要與其他的個(gè)人信息進(jìn)行隔離,可以是物理層面的隔離也可以是算法層面的邏輯隔離。另外,未經(jīng)批準(zhǔn),個(gè)人信息處理者不得向境外提供存儲(chǔ)的信息。

(四)共享、轉(zhuǎn)讓

一般來(lái)說(shuō),對(duì)收集來(lái)的人臉數(shù)據(jù)不得向第三人共享、轉(zhuǎn)讓,如果確實(shí)有共享、轉(zhuǎn)讓的需要,則要進(jìn)行事前的個(gè)人信息保護(hù)影響評(píng)估,并且履行告知的義務(wù),告知的內(nèi)容包括共享、轉(zhuǎn)讓的目的、接收方的身份、聯(lián)系方式、數(shù)據(jù)安全能力以及可能產(chǎn)生的影響等相關(guān)信息,處理者還需要審核接收方的數(shù)據(jù)保護(hù)能力,與其簽訂數(shù)據(jù)共享協(xié)議,共享、轉(zhuǎn)讓中需要取得另外的單獨(dú)同意,并且這里的單獨(dú)同意不能涵蓋在收集環(huán)節(jié)中的。

(五)特殊的合規(guī)要求

人臉識(shí)別數(shù)據(jù)的應(yīng)用場(chǎng)景可以大致歸為三種,對(duì)于這三種不同的場(chǎng)景,除了上述一般的合規(guī)要求外,還有其自身的特別要求。

第一種是人臉驗(yàn)證,是將即時(shí)的人臉和已經(jīng)提取的面部信息進(jìn)行一對(duì)一的比較,識(shí)別到“你是你”的過(guò)程,例如手機(jī)面部解鎖、刷臉支付等。這種場(chǎng)景下要求用來(lái)比對(duì)的數(shù)據(jù)庫(kù)的來(lái)源必須是合法的,可以來(lái)自政府相關(guān)部門(mén),或者是來(lái)自經(jīng)授權(quán)的機(jī)構(gòu)。第二種是人臉辨識(shí),個(gè)人信息處理者要事先收集到多個(gè)人臉數(shù)據(jù),建立數(shù)據(jù)庫(kù),然后將當(dāng)下的人臉信息與數(shù)據(jù)庫(kù)中的信息進(jìn)行比對(duì),從而識(shí)別出自己,這種場(chǎng)景在門(mén)禁查驗(yàn)上應(yīng)用最為廣泛。這里的數(shù)據(jù)庫(kù)的數(shù)據(jù)需要是個(gè)體主動(dòng)登記、上傳的人臉圖像,并且需要經(jīng)過(guò)單獨(dú)的告知、單獨(dú)的收集。第三種是人臉?lè)治?不同與前兩種只是身份的比對(duì),人臉?lè)治鰧⑹占降娜四様?shù)據(jù)進(jìn)行二次加工,例如客流量統(tǒng)計(jì)、面部情況測(cè)評(píng)等。在這種場(chǎng)景下,處理者不能把即時(shí)收集到的人臉數(shù)據(jù)再重新關(guān)聯(lián)、識(shí)別到用戶(hù)個(gè)人,并且嚴(yán)格保護(hù)用戶(hù)個(gè)人的隱私權(quán)。

三、人臉識(shí)別合規(guī)審計(jì)的完善路徑

(一)理論方面的原則指導(dǎo)

1.合法原則

《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法(征求意見(jiàn)稿)》第三條指出個(gè)人信息保護(hù)合規(guī)審計(jì)是審查、評(píng)價(jià)個(gè)人信息處理活動(dòng)是否遵循法律、行政法規(guī)的監(jiān)督活動(dòng)。這條規(guī)定表明合規(guī)審計(jì)的依據(jù)是法律和行政法規(guī)。但這樣合規(guī)審計(jì)的依據(jù)范圍是否過(guò)于狹窄,法律、行政法規(guī)的內(nèi)容是否能夠涵蓋所有個(gè)人信息處理活動(dòng)的要求?作為一種特殊的個(gè)人信息處理活動(dòng),司法解釋、部門(mén)規(guī)章、其他規(guī)范性文件對(duì)其有著單獨(dú)的規(guī)定,例如《最高人民法院關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問(wèn)題的規(guī)定》《信息安全技術(shù)人臉識(shí)別數(shù)據(jù)安全要求》等,這些也是人臉識(shí)別過(guò)程中需要遵守的“法”。另外,《信息安全技術(shù)個(gè)人信息安全規(guī)范》(GB/T35273-2020)等國(guó)家標(biāo)準(zhǔn)、金融、醫(yī)療等具體的行業(yè)標(biāo)準(zhǔn),這些標(biāo)準(zhǔn)文件也會(huì)涉及關(guān)于人臉識(shí)別技術(shù)的要求,不能對(duì)此視而不見(jiàn),也應(yīng)該成為合規(guī)審計(jì)的依據(jù)。所以,這里的合法原則遵守的“法”不應(yīng)該局限于法律、行政法規(guī),要有廣度、有深度地看待。

2.比例原則

比例原則是指手段和目的的平衡,即對(duì)人臉識(shí)別信息處理者監(jiān)管的手段要和保護(hù)個(gè)人利益的目的相當(dāng)。人臉信息承載了多項(xiàng)個(gè)人權(quán)益,人臉識(shí)別技術(shù)勢(shì)必會(huì)帶來(lái)或多或少的安全風(fēng)險(xiǎn)。因此,需要對(duì)人臉識(shí)別活動(dòng)的風(fēng)險(xiǎn)等級(jí)和采取的安全保障措施進(jìn)行審查。合規(guī)審計(jì)是為了監(jiān)督人臉識(shí)別企業(yè)的行為,而不是打壓人臉識(shí)別這項(xiàng)技術(shù)的發(fā)展應(yīng)用,尤其是對(duì)監(jiān)管部門(mén)的合規(guī)審計(jì)活動(dòng),其審查的成本,對(duì)企業(yè)的審查方式、程度不能過(guò)分超于保護(hù)的利益,避免造成形式主義。企業(yè)在制訂合規(guī)計(jì)劃時(shí),也要避免設(shè)立過(guò)多冗長(zhǎng)、復(fù)雜、難以實(shí)現(xiàn)的合規(guī)規(guī)則,讓合規(guī)制度淪為形式主義。

3.目的正當(dāng)原則

人臉識(shí)別領(lǐng)域的合規(guī)審計(jì)的直接目的在于確保處理者按照法律規(guī)定的要求處理人臉信息,根本目的在于確保人臉信息的真實(shí)性、準(zhǔn)確性、完整性。由于人臉識(shí)別技術(shù)中人臉信息的主體和人臉信息的處理者相分離,而處理者對(duì)人臉信息具有更強(qiáng)的控制力,信息主體處于弱勢(shì)地位,所以,需要通過(guò)合規(guī)審計(jì)來(lái)監(jiān)督處理者是否按照法律要求和原則來(lái)處理這些信息數(shù)據(jù)。

(二)實(shí)踐層面的制度構(gòu)建

1.重構(gòu)知情同意規(guī)則

在上述人臉識(shí)別合規(guī)要求的論述中,知情同意規(guī)則幾乎貫串始終,屬于核心要求,而在實(shí)踐中,知情同意規(guī)則的運(yùn)行存在失靈的風(fēng)險(xiǎn)?！吨腥A人民共和國(guó)民法典》的一千零三十四條,《中華人民共和國(guó)個(gè)人信息保護(hù)法》的十四條、十五條、二十三條、二十五條、二十九條等法律法規(guī)均對(duì)知情同意規(guī)則做出了規(guī)定。知情同意規(guī)則是個(gè)人信息保護(hù)的核心架構(gòu),其中蘊(yùn)含著對(duì)信息主體人格尊嚴(yán)的保護(hù)以及主體對(duì)個(gè)人信息的自主決定權(quán)。但是,在很多情況下,企業(yè)對(duì)用戶(hù)的知情同意規(guī)則流于表面。作為人臉信息主體的用戶(hù),應(yīng)當(dāng)作為同意與否的決策者,但是用戶(hù)群體廣泛,素質(zhì)層次不齊,對(duì)于煩瑣冗長(zhǎng)的隱私聲明,用戶(hù)群體往往直接點(diǎn)擊同意,沒(méi)有經(jīng)過(guò)仔細(xì)閱讀,即便閱讀,由于專(zhuān)業(yè)知識(shí)的缺乏以及告知內(nèi)容表述的晦澀難懂,特別是在驗(yàn)證、辨識(shí)的場(chǎng)景下,信息主體很難知曉其面部信息在何種數(shù)據(jù)庫(kù)中的對(duì)比程度,更難以知曉信息存儲(chǔ)安全性、自動(dòng)化決策算法邏輯的信息。對(duì)于這個(gè)問(wèn)題,知情同意規(guī)則的形式需要簡(jiǎn)潔明了、重點(diǎn)突出,要摒棄現(xiàn)在繁雜的條款內(nèi)容,對(duì)涉及信息主體權(quán)利的內(nèi)容盡到提示義務(wù)。在簡(jiǎn)潔易懂的同時(shí),企業(yè)要將條款內(nèi)容向監(jiān)管部門(mén)備案,保證真實(shí)性。

知情同意規(guī)則的另一個(gè)困境在于數(shù)據(jù)技術(shù)對(duì)人臉識(shí)別信息的持續(xù)處理、對(duì)比和分析,導(dǎo)致人臉識(shí)別信息的屬性轉(zhuǎn)化、應(yīng)用場(chǎng)景的復(fù)雜性、安全風(fēng)險(xiǎn)的持續(xù)性。如果同意是一種概括的同意,那么僅在收集階段,存在用戶(hù)對(duì)人臉信息的授權(quán)。在存儲(chǔ)、共享、轉(zhuǎn)讓等后續(xù)階段,人臉信息的安全性和風(fēng)險(xiǎn)不斷變化,收集階段的同意將無(wú)法保障用戶(hù)的知情權(quán)、決定權(quán)。所以,知情同意應(yīng)該變成動(dòng)態(tài)的同意,需要對(duì)變化的人臉信息使用方式、范圍、目的進(jìn)行披露,提示用戶(hù)風(fēng)險(xiǎn)程度,降低用戶(hù)和企業(yè)之間的信息不對(duì)稱(chēng)。

2.企業(yè)算法問(wèn)責(zé)制度

從主體的角度來(lái)看,人臉識(shí)別合規(guī)風(fēng)險(xiǎn)可能是多方面造成的,但是企業(yè)對(duì)于算法的輸出具有安全審查義務(wù),企業(yè)有著無(wú)法逃避的責(zé)任。當(dāng)企業(yè)作為算法的設(shè)計(jì)者時(shí),算法的設(shè)計(jì)范圍不僅包括對(duì)人臉信息的收集、存儲(chǔ)、使用,還要包括對(duì)外部網(wǎng)絡(luò)環(huán)境的實(shí)時(shí)反應(yīng)方式、對(duì)不良數(shù)據(jù)的反應(yīng)能力[3]。當(dāng)企業(yè)在作為算法的使用者時(shí),算法的來(lái)源必須合法合規(guī),有些企業(yè)為了提高效益,違法販賣(mài)、購(gòu)買(mǎi)人臉信息,嚴(yán)重?fù)p害了個(gè)人權(quán)益。此外,作為使用者,企業(yè)在投放前啟動(dòng)安全測(cè)試,根據(jù)風(fēng)險(xiǎn)等級(jí)設(shè)置安全保障機(jī)制。所以,無(wú)論是作為設(shè)計(jì)者還是使用者,當(dāng)出現(xiàn)合規(guī)風(fēng)險(xiǎn)時(shí),企業(yè)都需要被問(wèn)責(zé),承擔(dān)相應(yīng)的責(zé)任。

企業(yè)算法問(wèn)責(zé)制度應(yīng)當(dāng)遵循主客觀相一致的原則。在算法的設(shè)計(jì)、運(yùn)行過(guò)程中,企業(yè)的主觀方面存在過(guò)錯(cuò),責(zé)任的設(shè)置要和主觀過(guò)錯(cuò)相符合。主觀過(guò)錯(cuò)的內(nèi)容包括保障存儲(chǔ)面部信息的安全、不得操縱用戶(hù)行為、保護(hù)用戶(hù)人格尊嚴(yán)等技術(shù)倫理問(wèn)題。同時(shí)要警惕“技術(shù)中立”的陷阱,即算法作為技術(shù)本身是中立的,ABC技術(shù)(即算法algorithm)、大數(shù)據(jù)(big data)、云存儲(chǔ)(cloud))的復(fù)合運(yùn)用掩蓋了企業(yè)的“主觀能動(dòng)性”、削弱了認(rèn)定主觀過(guò)錯(cuò)的基礎(chǔ),造成了“技術(shù)中立”和“工具理性”的假象。對(duì)于企業(yè)的算法問(wèn)責(zé),應(yīng)當(dāng)是動(dòng)態(tài)過(guò)程,不僅包括算法設(shè)計(jì)的監(jiān)管,也包括投入使用過(guò)程中的監(jiān)督,算法應(yīng)用時(shí)出現(xiàn)違規(guī)情況,審計(jì)還需重點(diǎn)審查企業(yè)是否采取了有效的控制措施,防止損害結(jié)果的擴(kuò)大。

3.區(qū)分場(chǎng)景公開(kāi)算法

人臉識(shí)別技術(shù)具有算法歧視、泄露信息的風(fēng)險(xiǎn),問(wèn)題在于算法的濫用。一部分學(xué)者認(rèn)為算法濫用的根源在于算法的使用者利用算法運(yùn)行的專(zhuān)業(yè)性和不透明性,在設(shè)計(jì)算法時(shí)為謀求個(gè)人目的違背技術(shù)中立性,設(shè)計(jì)出對(duì)自身有利的算法,也就是“算法黑箱”?；谶@項(xiàng)理論基礎(chǔ),治理“算法黑箱”最有效的治理方法應(yīng)該是公開(kāi)算法,這項(xiàng)看似合理的方法在實(shí)踐中存在多項(xiàng)難點(diǎn)。首先,算法具有極強(qiáng)的專(zhuān)業(yè)性,公開(kāi)算法普通公眾也很難辨別其是否違背技術(shù)中立性,是否有濫用的風(fēng)險(xiǎn)。其次,由于技術(shù)水平的發(fā)展,算法已經(jīng)升級(jí)到可以自行設(shè)計(jì)、自行進(jìn)化的程度,即使公開(kāi),算法實(shí)質(zhì)已經(jīng)發(fā)生變化,解讀只會(huì)更加困難。最后,算法作為人臉識(shí)別技術(shù)的核心,是企業(yè)競(jìng)爭(zhēng)力的體現(xiàn),也是知識(shí)產(chǎn)權(quán)所保護(hù)的對(duì)象,如果為了防止濫用而全部公開(kāi),會(huì)打擊企業(yè)創(chuàng)新積極性,違背商業(yè)倫理。

針對(duì)上述難點(diǎn),全面公開(kāi)算法是不具可操作性的,可以根據(jù)算法的主體、使用場(chǎng)景,對(duì)公開(kāi)程度加以不同規(guī)定。對(duì)于普通的非壟斷性企業(yè),正常使用人臉識(shí)別技術(shù),沒(méi)有損害用戶(hù)權(quán)益的情況下,不強(qiáng)行要求其進(jìn)行算法的公開(kāi),這樣既保護(hù)了企業(yè)的知識(shí)產(chǎn)權(quán),也保護(hù)了算法創(chuàng)新的動(dòng)力,以及為算法的優(yōu)化提升創(chuàng)立了寬松良好的制度環(huán)境等。當(dāng)企業(yè)發(fā)生損害用戶(hù)權(quán)益結(jié)果或者存在算法濫用的風(fēng)險(xiǎn)時(shí),要求其向?qū)徲?jì)部門(mén)和用戶(hù)公開(kāi)算法并進(jìn)行算法的解釋。多個(gè)企業(yè)進(jìn)行算法合作時(shí),企業(yè)在事前就要向?qū)徲?jì)部門(mén)公開(kāi)算法,做好實(shí)時(shí)被監(jiān)督、被抽查的準(zhǔn)備?；诠芾砺毮?政府使用人臉識(shí)別技術(shù)具有合法性基礎(chǔ),當(dāng)政府利用人臉識(shí)別算法進(jìn)行自動(dòng)化行政時(shí),需要在最大范圍內(nèi)公開(kāi)算法,公開(kāi)算法可以使政府的實(shí)際意圖呈現(xiàn)在公眾面前,從而得以被監(jiān)督,其行使權(quán)力時(shí)便能“有所忌憚”。