許靜文

人臉識別,被稱為 “21世紀(jì)十大人類生活”的革命性技術(shù)。僅在2018年,人臉識別技術(shù)的市場增幅便達(dá)到167%,位列生物識別技術(shù)細(xì)分市場第一位。其中,72%應(yīng)用在安防領(lǐng)域,20%應(yīng)用在金融領(lǐng)域。〔1〕杜峰:《北大弒母案嫌犯被抓背后:看人臉識別有多強(qiáng)大》,載通信信息報,http://www.txxxb.com/yc/yc/2019/0429/214225.shtml,2020年1月20日訪問。對于安防領(lǐng)域而言,北京和重慶等地的公租房已開始采用了人臉識別的門禁系統(tǒng);全國已有近70家知名景區(qū)實現(xiàn)了 “刷臉”入園;“刷臉”乘車的正式商用也已逐漸普及到公交和地鐵?！?〕楊金祝:《發(fā)現(xiàn)吳謝宇的 “天眼”是只什么眼? 人臉識別已覆蓋全國80%以上大型重點機(jī)場》,載華西都市報,http://www.txxxb.com/yc/yc/2019/0429/214225.shtml,2020年1月20日訪問。對于金融領(lǐng)域而言,“刷臉支付”更成為人們?nèi)粘Ｉ畈豢苫蛉钡囊徊糠?。支付寶?018年底推出的 “蜻蜓”和微信于2019年3月推出的 “青蛙”便是代表性產(chǎn)品。值得一提的是,可實現(xiàn)支付寶 “刷臉”支付的國內(nèi)城市已超過300個,且已實現(xiàn)了部分境外主要城市的市場普及。微信 “刷臉”支付也宣布將投入30億人民幣幫助商家在三年內(nèi)實現(xiàn)數(shù)字化轉(zhuǎn)型。

根據(jù)前瞻產(chǎn)業(yè)研究院的研究預(yù)測,我國人臉識別市場規(guī)模將在2021 年達(dá)到53.16 億元?！?〕同前注 〔1〕。不難預(yù)見,人臉識別技術(shù)將伴隨著社會認(rèn)同廣度和技術(shù)的自身成熟度,在不遠(yuǎn)的將來有更為廣闊的應(yīng)用空間。

一、現(xiàn)狀:人臉識別機(jī)遇與風(fēng)險并存

人臉識別又被稱為面部識別,產(chǎn)生于上世紀(jì)60年代,主要技術(shù)原理在于通過人的面部特征來識別或驗證某個人身份,包括人臉探測 (face detection)、人臉抓取 (face capture)和人臉匹配 (face matching)三個子過程?！?〕高富平:《人臉識別的法律風(fēng)險和規(guī)制》,載上海法治報,http://www.sohu.com/a/341722243_289260,2020年1月20日訪問。人臉識別技術(shù)也被稱為 “人體密碼”,是生物特征識別的最新應(yīng)用,已成為繼指紋、虹膜掃描、語音識別等之后識別或驗證人身份的便捷生物識別技術(shù)。

(一)機(jī)遇:以 “北大弒母案”為例

正如前文所述,人臉識別已開始廣泛應(yīng)用于與企業(yè)和個人相關(guān)的方方面面,利用得當(dāng)還可為政府帶來新的機(jī)遇。例如,印度警方就曾利用人臉識別技術(shù),在短短4天內(nèi)就發(fā)現(xiàn)了近3000名失蹤兒童?！?〕洪延青:《人臉識別技術(shù)的法律規(guī)制研究初探》,載 《中國信息安全》2019年第8期。再如我國享譽(yù)全球、被外界稱為神器的 “天網(wǎng)”系統(tǒng),可以通過依托于公安網(wǎng)數(shù)據(jù)庫海量的已知人員圖像,模擬其在時間、場景、光線和視角變化下的景象,進(jìn)而與監(jiān)控視頻中捕獲的人像進(jìn)行比對,準(zhǔn)確率甚至高達(dá)90%。

曾經(jīng)有BBC記者約翰·蘇得沃斯 (John Sudworth)試圖挑戰(zhàn)中國的 “天網(wǎng)”系統(tǒng)。約翰在貴陽警方處留下了一張正面照片后,就信心滿滿地開始了自己的 “逃亡生活”,然而從約翰出門到被 “捕”全程只用了7分鐘。約翰沒有想到的是,當(dāng)傳統(tǒng)意義的攝像頭安裝上人工智能的翅膀后,其功能和能力遠(yuǎn)超出他的既有認(rèn)知。一張清晰的正面照片就仿佛一個搜索引擎中的關(guān)鍵詞一樣,茫茫人海從此也可以 “天涯咫尺”。

以去年震驚中外的 “北大弒母案”為例,該案嫌疑人吳謝宇于2019年4月20日凌晨進(jìn)入重慶江北機(jī)場,在防爆安全檢查區(qū)域等待檢查期間,被 “天網(wǎng)”系統(tǒng)抓拍了4次,且每次相似度比對都大于或等于98%,最終被機(jī)場警方抓獲。此時距吳謝宇潛逃已過去了1380天,然而從機(jī)場的安檢識別到被抓捕,卻僅用了十分鐘。值得一提的是,重慶江北機(jī)場此前于2018年9月剛剛完成了所有安檢通道旅客的人臉識別系統(tǒng)升級工作,最為重大的一項升級在于可以回查旅客人臉比對的數(shù)據(jù)。簡言之,在被該人臉識別系統(tǒng)抓拍了一張清晰照片后,便可通過與公安系統(tǒng)的聯(lián)網(wǎng),依托于數(shù)據(jù)共享,通過比對的方式快速找到布控人員并發(fā)出警報。由此可以看出,一張被抓拍的清晰照片不僅可以作為機(jī)場內(nèi)的通行證,還可成為公安機(jī)關(guān)找人、抓逃、布控等的智能化武器。〔6〕黃馳波:《北大學(xué)子弒母案嫌疑人落網(wǎng)機(jī)場:剛升級人臉識別系統(tǒng)! 可比對報警》,載南方周末網(wǎng),http://www.infzm.com/contents/148615,2020年1月20日訪問。

正所謂 “天網(wǎng)恢恢,疏而不漏”,正義不會永遠(yuǎn)遲到,科技力量讓犯罪分子無處遁形。無獨有偶,蕭山國際機(jī)場也曾基于其先進(jìn)的人臉識別系統(tǒng),在一個多月的時間里便成功 “揪”出5名冒用身份證的旅客。蘇州火車站也曾依托于其先進(jìn)的 “人臉識別”系統(tǒng)在候車室內(nèi)查獲一名網(wǎng)上通緝犯。長沙機(jī)場磁懸浮車站也曾基于 “人臉識別”警務(wù)系統(tǒng)紅色預(yù)警,抓捕過一名被法院系統(tǒng)列為失信被執(zhí)行人的 “老賴”?！?〕同前注 〔1〕。除此之外,為人們所津津樂道的 “演唱會變流動派出所”,很大程度上也要歸功于人臉識別技術(shù)這個 “逃犯克星”。

(二)挑戰(zhàn):以 “中國人臉識別第一案”為例

2019年11月,浙江理工大學(xué)特聘副教授郭兵起訴了杭州野生動物園,該案被廣大媒體冠以 “中國人臉識別第一案”的稱號并在社會上引起了諸多關(guān)注。

本案原告郭兵認(rèn)為,2019年4月辦理動物園年卡時,入園時僅需進(jìn)行指紋識別和檢驗?zāi)昕?并未要求人臉識別,而半年后因為系統(tǒng)升級,入園方式演變?yōu)?“不刷臉無法入園”。郭兵認(rèn)為其作為消費(fèi)者的合法權(quán)益遭到了侵犯,不愿配合錄入臉部數(shù)據(jù),經(jīng)雙方協(xié)商未果后,郭兵將園方告上法庭,當(dāng)?shù)胤ㄔ阂惨褯Q定正式受理此案?！?〕謝軍:《刷臉商用化離不開法治扶杖》,載中國青年報,http://news.cyol.com/yuanchuang/2019－11/05/content_18224246.htm,2020年1月20日訪問。

退而思之,其訴訟價值遠(yuǎn)高于 “一起違約之訴”,表達(dá)的是原告對于 “刷臉”技術(shù)潛在風(fēng)險的焦慮與不安,牽涉到的是該技術(shù)應(yīng)用的權(quán)界問題。簡言之,從 《合同法》的視角來分析,涉事動物園在合同履行過程中,突然增加人臉識別這一限制性條件,單方面變更合同內(nèi)容,其明顯有違反合同約定、不守契約精神之嫌。與此同時,從 《消費(fèi)者權(quán)益保護(hù)法》視角切入的話,動物園之所以能夠使用指紋與人臉識別,并非基于動物園自身擁有的權(quán)力,而是顧客為了一定的便利性,讓渡了自己的部分權(quán)利。正如郭兵提起的侵權(quán)之訴,即園區(qū)收集個人生物識別信息、進(jìn)行人臉識別,侵犯了其公民個人信息?！?〕歐陽晨雨:《“中國人臉識別第一案”,用法律為技術(shù)運(yùn)用定邊界》,載新京報網(wǎng),http://www.bjnews.com.cn/opinion/2019/11/03/644895.html,2020年1月20日訪問。

換言之,從個人信息安全的角度而言,指紋數(shù)據(jù)泄露存在一定的危害,無法迅速且直接地與當(dāng)事人構(gòu)建聯(lián)系。如果人像信息被泄露,基于人眼虹膜的獨特性,以及人的面部結(jié)構(gòu)能夠在被拍攝成圖片后進(jìn)行數(shù)據(jù)化編輯,一旦動物園留存的其他身份信息也被盜取,則完全可能被他人利用建立起一個立體的身份信息庫。換言之,我們的人臉信息一經(jīng)泄露,很可能就會成為這些 “信息業(yè)者”“幫”你開啟潘多拉盒子的一把關(guān)鍵鑰匙?！?0〕宇多田:《中國人臉識別第一案,來的太晚了》,載虎嗅網(wǎng),https://www.huxiu.com/article/324525.html,2020年1月20日訪問。

二、癥結(jié):人臉識別技術(shù)引發(fā)的法律新話題

生物特征之所以被稱為 “安全的最后防線”,是基于其具有終身唯一且無法改變的特點,這也是與數(shù)字密碼最大的不同之處。人們可以通過頻繁更換密碼來保證人身和財產(chǎn)的安全,而頻繁 “換臉”卻很難實現(xiàn)。例如去年引發(fā)國內(nèi)外巨大關(guān)注的名為ZAO 的AI換臉軟件,在人們尋求 “以假亂真”“換臉”“刷屏”刺激的同時,更是將 “人臉識別”問題推上了風(fēng)口浪尖。該軟件只需要一張正臉照,便可實現(xiàn)對視頻中人物的臉進(jìn)行替換,既可以將別人的臉換成自己的,也可以將自己的臉換成別人的。該軟件引發(fā)的社會討論和潛在的法律問題已然超出了軟件開發(fā)團(tuán)隊的預(yù)期設(shè)想,更展現(xiàn)了弱人工智能向強(qiáng)人工智能的轉(zhuǎn)化。甚至有聲音擔(dān)憂,一旦自己面部特征的數(shù)據(jù)被他人所擁有,3D 高清面具加上配合系統(tǒng)指令完成相應(yīng)動作,他人是否就有可能冒名頂替自己實施各種欺詐?！?1〕李懷瑾:《人臉識別技術(shù)風(fēng)險的法律防范》,載中國社會科學(xué)網(wǎng),http://news.cssn.cn/zx/bwyc/201903/t201 90306_4843411.shtml? COLLCC＝3628982790＆,2020年1月20日訪問。影視作品 《變臉》將被現(xiàn)實化,其背后的社會危害性讓人毛骨悚然。

(一)人臉識別引發(fā)的技術(shù)恐慌

前述擔(dān)憂絕非杞人憂天。人臉識別技術(shù)的一個重要特征就是取樣方式的非強(qiáng)制性,用戶甚至是 “路人甲”并不需要特意去配合相關(guān)的人臉采集設(shè)備,便可能在無意間被取得了自己的人臉圖像。〔12〕參見姜潤松:《人臉識別技術(shù)在唐氏綜合征青少年篩查中的應(yīng)用》,浙江大學(xué)2018年博士學(xué)位論文。更讓人不安的是,在深度學(xué)習(xí)的推動下,人臉識別技術(shù)在分析、讀取和比對環(huán)節(jié)的功能將愈發(fā)強(qiáng)大,不僅能把你 “看個清楚”,通過對面部表情的深度識別,還可以實現(xiàn)對個體內(nèi)心世界真實情感的計算和分析,甚至還能把你 “想個明白”?！?3〕蔡斐:《以法律堵住人臉識別濫用的口子》,載新京報網(wǎng),https://m.bjnews.com.cn/detail/15730306931531 3.html,2020年1月20日訪問。

在人臉識別技術(shù)應(yīng)用較早的西方,主流學(xué)術(shù)觀點認(rèn)為,該技術(shù)的出現(xiàn)不僅可能侵犯公民隱私權(quán)、民主自由和人權(quán),甚至很可能會從根本上影響甚至是改變公民在公共場合的存在方式?！?4〕同前注 〔4〕。簡言之,民主權(quán)利的有效行使,要求人們自由行動而不受政府監(jiān)督,但無處不在的受制于政府的攝像頭則可能會將人臉識別技術(shù)、強(qiáng)大的計算能力和云存儲相結(jié)合,實現(xiàn)對每一位公民不間斷、基本無死角的監(jiān)視,那么民主活動將會從根本上受到影響。

反觀我國既有的法律規(guī)定,在十三屆全國人大三次會議表決通過 《中華人民共和國民法典》(后文簡稱 “民法典”)之前,公民的個人隱私與個人信息之間更多地呈現(xiàn)出一種相互交叉的關(guān)系。簡言之,高度公開的個人信息一般不屬于個人隱私,而公民的敏感信息尤其是涉及私生活的敏感信息則屬于個人隱私?！?5〕參見張新寶:《從隱私到個人信息:利益再衡量的理論與制度安排》,載 《中國法學(xué)》2015年第3期。而在這次的民法典中,我國法律不但把隱私權(quán)確認(rèn)為一項獨立的人格權(quán),對公民的隱私權(quán)益進(jìn)行了直接保護(hù),并且對隱私和個人信息兩者進(jìn)行了區(qū)分?！?6〕陳昶屹:《私密空間偷拍、AI換臉? 看看民法典人格權(quán)編如何回應(yīng)》,載北京海淀法院公眾號,https://mp.weixin.qq.com/s/uJtx Um Hpkr Tr BSU41h_ －nw,2020年6月13日訪問。具體而言,在民法典人格權(quán)編第六章的標(biāo)題中,明確區(qū)分了隱私權(quán)和個人信息保護(hù)是兩個不同的概念,并明確界定了 “隱私”是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息;“個人信息”則包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、行蹤信息等。目前,人臉識別技術(shù)已廣泛應(yīng)用于火車站、機(jī)場安檢通行、手機(jī)解鎖、面部識別防盜、企業(yè)考勤、學(xué)校課堂簽到等日常生活中。去年4月1日,濟(jì)南地鐵成為國內(nèi)首條采用人臉識別閘機(jī)的地鐵線路,更多城市如廣州、福州、南昌等都已成功實施刷臉乘車試行站點。隨著智慧城市的建設(shè)以及刷臉技術(shù)的普及,陸續(xù)有學(xué)者將該技術(shù)的迅速普及與2019年8月21日瑞典數(shù)據(jù)保護(hù)機(jī)構(gòu)的首張人臉技術(shù)罰單相結(jié)合,進(jìn)行了比較研究并表達(dá)了擔(dān)憂和忐忑的心情。

概言之,目前關(guān)于人臉識別技術(shù)應(yīng)用的質(zhì)疑或負(fù)面評價大體上表現(xiàn)為以下三種觀點:第一,對倫理、道德層面的擔(dān)憂;第二,對合法與非法界限的困惑;第三,對基本人權(quán)侵害的恐懼?！?7〕勞東燕:《人臉識別技術(shù)運(yùn)用中的法律隱憂》,載愛思想,http://m.aisixiang.com/data/118805.html? click time＝1573531832＆enterid＝1573531832,2020年1月21日訪問。

(二)人臉識別引發(fā)的法律隱憂

1.人臉上的法律要素需要明確

人臉識別定位到臉部即肖像,其與指紋識別的基本邏輯類似,人臉識別同樣是依靠分析人體某個部位的細(xì)節(jié)特征,從而達(dá)到驗證和識別的效果。此時得到的人臉信息并非傳統(tǒng)意義上的個人信息,而是一組能夠定位或指向一個自然人的生物數(shù)據(jù)。

在“民法典時代”之前,人臉的法律要素對應(yīng)到我國既有的法律體系內(nèi),主要在于下述兩個方面:一方面,主要基于我國 《民法通則》和 《民法總則》中有關(guān)于肖像權(quán)的規(guī)定,即公民享有肖像權(quán),未經(jīng)本人同意,不得以營利為目的使用公民的肖像。除此之外,民事法律中的名譽(yù)權(quán),也在相當(dāng)程度上保護(hù)著公民的肖像。肖像與公民的人格尊嚴(yán)緊密相連,對他人肖像的公開侮辱可能會被視為對公民名譽(yù)的破壞、尊嚴(yán)的踐踏,而因此構(gòu)成名譽(yù)權(quán)侵權(quán)。另一方面則主要參見 《網(wǎng)絡(luò)安全法》第76條關(guān)于 “個人信息”的具體解釋,即認(rèn)為是能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息,其中也包括個人生物識別信息。據(jù)此,人臉除了承載有肖像外,其所包含的個人生物數(shù)據(jù)同樣捆綁有敏感的個人信息,甚至關(guān)乎個人信用與財產(chǎn)安全,是自然人珍貴的白金數(shù)據(jù)。〔18〕劉彥伶:《“人臉識別第一案”:細(xì)數(shù)你臉上白金數(shù)據(jù)》,載周公觀娛,https://weibo.com/ttarticle/p/show?id＝2309404435938137735258,2020年1月21日訪問。

2.技術(shù)標(biāo)準(zhǔn)有待明朗

技術(shù)的發(fā)展日新月異,尤其是現(xiàn)今人工智能的發(fā)展又具有與生俱來的不確定性。那么人們不禁開始思考,人臉識別技術(shù)究竟已經(jīng)發(fā)展到何種程度,是否每個使用人臉識別技術(shù)的機(jī)構(gòu)都擁有著基本衡平的技術(shù)精度和操作標(biāo)準(zhǔn),未來又將是怎樣的走向。

美國公民自由聯(lián)盟在對亞馬遜的面部識別軟件Recognition進(jìn)行審計時發(fā)現(xiàn),當(dāng)把國會議員與2500名罪犯數(shù)據(jù)庫進(jìn)行匹配時,亞馬遜的軟件錯誤地將其中28名議員識別為罪犯。我國也在去年曾有新聞報道稱,四名上海的小學(xué)生憑借打印出來的父母頭像照片,成功打開了需要人臉識別的快遞柜?！?9〕唐小麗、軒召強(qiáng):《奉賢小學(xué)生破解刷臉取件 一張照片就能開箱》,載人民網(wǎng),http://sh.people.com.cn/n2/2019/1018/c134768－33448831.html,2020年6月23日最后訪問。

就目前的法律規(guī)定看,歐盟通用數(shù)據(jù)保護(hù)條例 (General Data Protection Regulation,后文簡稱 “GDPR”)可適用于生物識別信息的技術(shù)處理。根據(jù)GDPR (Art.5－11),對于面部識別技術(shù)中涉及的生物識別信息的處理,可適用個人數(shù)據(jù)處理的公開透明、合法性、目的限制、最小化等原則;根據(jù)GDPR (Art.13－23),個人數(shù)據(jù)主體的知情權(quán)、同意權(quán)、訪問權(quán)、可攜帶權(quán)、被遺忘權(quán)等的客體也包括個人的生物識別信息?！?0〕靳雨露:《人臉識別技術(shù)的法律進(jìn)路與退路》,載宜律無憂,https://mp.weixin.qq.com/s/QNe74Sy HuqfIsc QqPk RcQ,2020年1月21日訪問。根據(jù) 《GDPR 執(zhí)法案例精選白皮書(2018—2019)》統(tǒng)計數(shù)據(jù)表明 (GDPR 生效以來至2019年3月期間,涵蓋了歐洲經(jīng)濟(jì)區(qū)22個國家的執(zhí)法案例),〔21〕中興通訊數(shù)據(jù)保護(hù)合規(guī)部、數(shù)據(jù)法盟聯(lián)合發(fā)布: 《GDPR 執(zhí)法案例精選白皮書 (2018—2019)》,載未來智庫,https://www.vzkoo.com/doc/6111.html? a＝3,2020年6月7日訪問。GDPR 自2018年5月25日實施以來,歐洲數(shù)據(jù)監(jiān)管機(jī)構(gòu)共開出了約3.7億歐元的行政處罰。其中引起較大社會反響的有號稱 “GDPR 生效以來首張罰單”的針對Anderstorps高中的罰款,該高中因在教室內(nèi)使用人臉識別相機(jī)前未充分征得數(shù)據(jù)主體的同意,并且違反了數(shù)據(jù)最小化原則,因此被處罰20萬瑞典克朗 (約合人民幣14.8萬元)。

對于我國而言,在 “民法典時代”之前,統(tǒng)一的個人信息保護(hù)立法缺位,這便導(dǎo)致了個人信息與個人數(shù)據(jù)的范疇、數(shù)據(jù)使用合法與非法的界限等都一直處于模糊地帶。在邁入 “民法典時代”之后,民法典第1019條明確規(guī)定了肖像權(quán)的消極權(quán)能,其中不得 “利用信息技術(shù)手段偽造等方式侵害他人的肖像權(quán)”的規(guī)定,積極回應(yīng)了當(dāng)前利用各種網(wǎng)絡(luò)信息技術(shù)手段非法侵害他人肖像權(quán)的社會現(xiàn)實?！?2〕同前注 〔16〕。盡管如此,在法律法規(guī)的統(tǒng)領(lǐng)下,技術(shù)標(biāo)準(zhǔn)的未盡事項和爭議問題依舊需要進(jìn)一步的回應(yīng)和細(xì)化規(guī)定。

3.信息使用亟需規(guī)范

個人信息被盜取、泄露的情況已經(jīng)屢見不鮮,人們對于明星等公眾人物的行程、航班號、電話號碼甚至身份證號碼被買賣交易似乎也已經(jīng)見怪不怪。根據(jù) 《2019年網(wǎng)絡(luò)犯罪防范治理研究報告》,2018年每分鐘泄露的可標(biāo)識信息為8100條;2019年百度累計下線 “涉嫌竊取公民個人隱私”惡意網(wǎng)站46.2萬個,累計下線 “涉嫌竊取公民個人隱私”網(wǎng)站230萬個。〔23〕百度、公安部第三研究所網(wǎng)絡(luò)安全法律研究中心聯(lián)合發(fā)布:《2019年網(wǎng)絡(luò)犯罪防范治理研究報告》,載公安三所網(wǎng)絡(luò)安全法律研究中心,https://jing.baidu.com/h5/cybersecurityresearch.html,2020年6月23日訪問。根據(jù) 《GDPR 執(zhí)法案例精選白皮書 (2018—2019)》統(tǒng)計數(shù)據(jù)表明,截至2019年3月,共上報281，088例案件,其中近三分之一 (89，271件)是數(shù)據(jù)泄露通知?！?4〕同前注 〔21〕。據(jù) 《GDPR 執(zhí)法案例全景白皮書 (2020)》統(tǒng)計數(shù)據(jù)表明 (發(fā)生于2019年5月25日至2020年5月期間,涵蓋了歐洲經(jīng)濟(jì)區(qū)19個國家的執(zhí)法案例),截至2020年5月,已辦結(jié)GDPR 違規(guī)處罰的案件共183起,其中37% (68起)案件是基于 “數(shù)據(jù)處理的法律依據(jù)不足”進(jìn)行的罰款處罰。〔25〕《GDPR 執(zhí) 法 案 例 全 景 白 皮 書 (2020)》,載 《數(shù) 據(jù) 發(fā) 盟》,https://www.chainnews.com/articles/407245038958.htm,2020年6月13日訪問。

國內(nèi)外對個人信息的保護(hù)方式并不一致,有將其納入隱私權(quán)進(jìn)行保護(hù)的,也有將個人信息單獨列為受法律保護(hù)的一類對象。采取前一種做法的以美國伊利諾伊州為例,當(dāng)?shù)毓窬驮贔acebook公司推出的 “標(biāo)簽建議”功能有涉嫌通過用戶照片侵犯隱私的嫌疑,對其提起了違反2008年 《生物信息隱私法案》的訴訟。至于后一種做法,歐盟的GDPR 被認(rèn)為是史上最為嚴(yán)格的個人數(shù)據(jù)保護(hù)條例,不僅明確規(guī)定了允許收集個人信息的條件、獲取的程序和方式,給予數(shù)據(jù)主體拒絕權(quán),甚至規(guī)定了對泄露數(shù)據(jù)行為的處罰,如果企業(yè)存在數(shù)據(jù)泄露行為,可能面臨高達(dá)上千萬歐元的罰款。

對于我國而言,一方面,在全國人大常委會法工委2019年12月20日舉行的第三次記者會上,新聞發(fā)言人、全國人大常委會法制工作委員會立法規(guī)劃室主任岳仲明介紹,2020年的立法工作計劃已經(jīng)全國人大常委會第四十四次委員長會議原則通過,2020年將制定個人信息保護(hù)法、數(shù)據(jù)安全法等。另一方面,已于今年5月28日十三屆全國人大三次會議表決通過的民法典也將于明年1月1日起施行。

(三)問題關(guān)鍵

通常而言,密碼被破解了還可以更換密碼,而人臉數(shù)據(jù)一旦泄露卻很難進(jìn)行補(bǔ)救。這是因為人臉被數(shù)字化處理后構(gòu)成了一組與人相關(guān)的 “活體數(shù)據(jù)”,人臉數(shù)據(jù)的安全問題便由此演變成了生物信息安全問題。如前所述,個人生物信息是個人信息中最具唯一性的識別信息,一經(jīng)泄露或被不法利用,其風(fēng)險遠(yuǎn)高于其他識別性信息。人們的擔(dān)憂當(dāng)然并無道理。但是目前來看,人臉數(shù)據(jù)泄露被直接利用的案例所幸還很少,例如ZAO “假視頻制作”等 “換臉”其實目前除了被用來惡搞,尚無可以參考的真實犯罪案例。另據(jù)一位安全工程師透露,〔26〕同前注 〔10〕。目前人臉數(shù)據(jù)泄露尚未產(chǎn)生大規(guī)模黑灰產(chǎn),雖有一些零散的事件發(fā)生,但從整體看,人臉識別數(shù)據(jù)泄露直接導(dǎo)致的案例數(shù)量還很少。

著名的人臉識別技術(shù)供應(yīng)商瑞為科技的CTO 曾表示,人臉識別跟指紋并沒有本質(zhì)區(qū)別,可將其視為一種精準(zhǔn)度與防偽性更高的升級版鑰匙。當(dāng)人臉數(shù)據(jù)維持一種孤島狀態(tài)時,并不會帶來太多危害,但如果能同時獲取目標(biāo)人物的身份證、電話、具體消費(fèi)出行信息以及行為蹤跡等其他若干 “關(guān)聯(lián)”信息,那么危害就很直接了?！捌鋵嶋[私被侵犯,主要是指線上服務(wù)和交易系統(tǒng)中對敏感數(shù)據(jù)采集、存儲、使用以及共享等環(huán)節(jié)出現(xiàn)的問題。這與人臉識別以及其他生物識別技術(shù)無關(guān),屬于應(yīng)用系統(tǒng)問題。”〔27〕同前注 〔10〕。概言之,采集和存儲數(shù)據(jù)的 “旁門左道”跟 “人臉識別”技術(shù)自身是根本不同的?！?8〕同前注 〔10〕。

由此可以看出,人臉識別本身是一項用來核驗身份、確保個人安全的技術(shù),確實可能存在著技術(shù)被不法利用、信息泄露和生物信息濫用三重風(fēng)險?！?9〕高富平:《不讓客戶“丟臉”才能贏得客戶“芳心”》,載法制生活報,http://szb.fzshb.cn/fzshb/20191023/html/page_06_content_003.htm,2020年1月20日訪問。然而,前述的質(zhì)疑和法律邊界問題的本質(zhì)并不在于人臉識別技術(shù),技術(shù)本身并不存在價值判斷,關(guān)鍵在于人們對技術(shù)的利用以及怎樣去利用。〔30〕參見高志朋:《人工智能新發(fā)展對法律知識生成方式與制度體系的影響》,載 《長白學(xué)刊》2019年第1期。

三、方案:用制度剛性確?！翱萍枷蛏啤?/h2>

人臉識別的本質(zhì)可看作是一套復(fù)雜的代碼設(shè)計、一套程序,由算法和數(shù)據(jù)結(jié)構(gòu)共同構(gòu)成。因此,法律人在討論作為 “黑箱”的人臉識別技術(shù)時,尤其是探討立法調(diào)整時,不妨針對人臉識別算法和數(shù)據(jù)這兩個構(gòu)成性要素,針對其 “自身專業(yè)科技和賦能科技的雙重屬性”,〔31〕龍衛(wèi)球:《人工智能立法規(guī)范對象與規(guī)范策略》,載 《政法論叢》2020年第3期。進(jìn)行規(guī)則的內(nèi)生性和外生性兩個視角的問題分解。按照內(nèi)生性的商業(yè)邏輯視角,對于通常被詬病為“黑箱”的算法及算法控制而言,安排調(diào)配生產(chǎn)性資源、授予用戶某種權(quán)利或 (與)義務(wù)的行為主要是基于互聯(lián)網(wǎng)公司內(nèi)部規(guī)則而非國家法律。而外生性的政治或監(jiān)管邏輯視角,則集中反映了對于新技術(shù)帶來的問題與挑戰(zhàn),國家權(quán)力試圖進(jìn)行介入和干預(yù)的努力過程?！?2〕參見胡凌:《人工智能的法律想象》,載 《網(wǎng)絡(luò)信息法學(xué)研究》2017年第1期。

(一)橫向考察:美國和歐盟對人臉識別數(shù)據(jù)保護(hù)模式的比較研究

目前,對于人臉識別數(shù)據(jù)的保護(hù)做法較為先進(jìn)的主要可分為美國和歐盟兩種模式。美國采用的是相對自由的方式,即將數(shù)據(jù)的規(guī)制權(quán)限賦予各州,聯(lián)邦層面并不統(tǒng)一限制面部識別數(shù)據(jù)的使用;歐盟采用的則是在整體上嚴(yán)格限制生物識別數(shù)據(jù)的使用,同時賦予歐盟成員國一定的自由裁量權(quán),允許特定情況下的例外情形。

1.美國模式:整體自由,日漸保守

美國人臉識別數(shù)據(jù)較具代表性的法案為2008年伊利諾伊州頒布的 《生物信息隱私法案》(Biometric Information Privacy Act,后文簡稱 “BIPA”)。該法案將照片之外的 “臉部結(jié)構(gòu)的掃描”定義為 “生物標(biāo)識符”(biometric identifier),與其相關(guān)的術(shù)語是 “生物信息”(biometric information),指的是 “通過用以識別特定自然人的生物標(biāo)識符所獲取的信息”。該法案也被視為美國境內(nèi)第一部旨在規(guī)范 “生物標(biāo)識符和信息的收集、使用、保護(hù)、處理、存儲、保留和銷毀”的法律。

整體來看,BIPA 的規(guī)制范疇并不在于能否使用生物識別數(shù)據(jù),而在于如何使用。首先,初次收集某自然人的生物標(biāo)識符或生物識別信息時,須進(jìn)行詳細(xì)告知并獲得書面授權(quán)。其次,企業(yè)須制定書面政策設(shè)定生物識別數(shù)據(jù)的保留時間表,且當(dāng)收集數(shù)據(jù)的目的已達(dá)到或距信息主體與企業(yè)最后一次聯(lián)絡(luò)已滿三年時 (以先發(fā)生者為準(zhǔn)),應(yīng)當(dāng)摧毀該數(shù)據(jù)。最后,生物識別數(shù)據(jù)不得出售,且除非獲得相關(guān)自然人的同意或如法律規(guī)定的特定例外情況不得對他人披露。〔33〕同前注 〔5〕。

當(dāng)前,國土安全局和FBI等聯(lián)邦機(jī)構(gòu)若想使用面部數(shù)據(jù)識別潛在犯罪嫌疑人,是不需要事先獲得搜查令的。美國共和黨和民主黨領(lǐng)導(dǎo)人在去年的一次國會聽證會上,共同討論和表達(dá)了對執(zhí)法部門使用面部識別軟件所帶來的擔(dān)憂,認(rèn)為面部掃描可能侵犯了美國公民的憲法權(quán)利。同時,兩黨還一致認(rèn)為是時候認(rèn)真研究這項技術(shù)并起草相關(guān)的監(jiān)管法律。此外,專家警告稱,由于這項技術(shù)推出太快并且存在嚴(yán)重缺陷,可能會導(dǎo)致調(diào)查人員對潛在嫌疑人進(jìn)行誤判?！?4〕《刷臉時代的逆行者——人臉識別禁令正在美國全面鋪開》,載中美高端人才交流促進(jìn)會,http://www.sino－ustalent.com/article－item－122.html,2020年1月21日訪問。

2019年5月,美國對于人臉識別技術(shù) (尤其是實時運(yùn)用在公共場所)采取了一項全球矚目的行政舉措,具體而言,美國舊金山市成為全世界范圍內(nèi)的首個禁止面部識別監(jiān)控的城市,成為美國第一個禁止警察和其他政府機(jī)構(gòu)使用面部識別技術(shù)的城市。此后,加利福尼亞州參議院開始考慮一項法案,擬禁止該州的警察使用生物識別技術(shù) (如面部識別)和身體攝像機(jī)。馬薩諸塞州在成為美國第二個禁止面部識別技術(shù)的城市后,國會兩黨共同提案,擬立法暫停使用人臉識別軟件,并且該州立法機(jī)構(gòu)正在考慮由波士頓地區(qū)立法者贊助的 “面部監(jiān)視暫停法案”?！?5〕同前注 〔16〕。目前,美國境內(nèi)共有七個州或城市制定了與生物識別數(shù)據(jù)相關(guān)的法案,除了前述加利福尼亞州舊金山市以及馬薩諸塞州的薩默維爾市,還有伊利諾伊州、華盛頓州、得克薩斯州、俄勒岡州以及新漢普郡。

科技的發(fā)展向來就是一把雙刃劍,任何一項新技術(shù)的應(yīng)用通常都是喜憂參半的。概言之,美國在人臉識別這項技術(shù)的應(yīng)用方面似乎走向了保守的道路。雖然警方和其他政府部門對使用面部識別協(xié)助警務(wù)有需求,但受到侵犯隱私、人權(quán),涉嫌歧視等的指責(zé),以及對面部識別的批判越來越多,面部識別技術(shù)在美國的推進(jìn)困難重重?！?6〕同前注 〔34〕。除前述已推廣禁令的七個州或城市外,奧克蘭、紐約等城市也在考慮類似做法。

2.歐盟模式:愈加嚴(yán)厲的技術(shù)立法

美國并非唯一對面部識別技術(shù)惶惶不安的國家。2019年4月8日,歐盟發(fā)布了一份人工智能道德準(zhǔn)則 (Draft Ethics Guidelines for Trustworthy AI),宣布啟動人工智能道德準(zhǔn)則的試行階段。起草該準(zhǔn)則的歐洲人工智能高級別專家組 (European High－level Expert Group on Artificial Intelligence,“AI HLEG”)同時發(fā)布報告提議,“歐洲應(yīng)該禁止AI進(jìn)行大規(guī)模監(jiān)視和社會信用評分?！薄罢畱?yīng)承諾只部署和采購值得信賴的人工智能系統(tǒng),其設(shè)計宗旨是尊重法律和基本權(quán)利,符合倫理原則,社會技術(shù)健全?！薄?7〕同前注 〔34〕。

截至今日,歐盟保護(hù)人臉識別數(shù)據(jù)的核心法律依舊是GDPR,與美國不同,歐盟規(guī)制范疇主要在于能否使用生物識別數(shù)據(jù)。首先,GDPR 明確規(guī)定了面部數(shù)據(jù)屬于生物識別數(shù)據(jù)(Art.4),并針對照片采取了與BIPA 相似的做法,即對面部識別數(shù)據(jù)和照片進(jìn)行了區(qū)分。根據(jù)GDPR 的規(guī)定 (Art.51), “處理照片并不當(dāng)然地被認(rèn)為是處理個人敏感數(shù)據(jù),僅在通過特定技術(shù)方法對照片進(jìn)行處理,使其能夠識別或認(rèn)證特定自然人時,照片才被認(rèn)為是生物識別數(shù)據(jù)”。對于視頻影像,GDPR 則未作出明確的說明,但有學(xué)術(shù)觀點認(rèn)為應(yīng)當(dāng)類推適用相同的處理原則,即如果使用 “特定技術(shù)手段”來識別或認(rèn)證特定自然人,則通過照片或視頻收集的任何圖像均構(gòu)成生物識別數(shù)據(jù)。其次,GDPR 明確規(guī)定 (Art.9),生物特征數(shù)據(jù)屬于個人數(shù)據(jù)的“特殊類別”,不得隨意處理,除非法律規(guī)定的特定例外情況。例如,人臉識別技術(shù)的商業(yè)應(yīng)用可適用的唯一例外情形是 “數(shù)據(jù)主體已明確表示同意”,且同意須 “自由給予、明確、具體、不含糊”。換言之,數(shù)據(jù)主體任何形式的被動同意均不符合GDPR 的規(guī)定。再次,GDPR(Art.9)允許歐盟各成員國在自行規(guī)定的特定情況下可以不適用GDPR 中對處理生物識別數(shù)據(jù)的限制。例如,荷蘭的例外情形為 “完成認(rèn)證或安全需要時”,克羅地亞的例外情形為 “排除適用監(jiān)控安全系統(tǒng)”?！?8〕同前注 〔5〕。

除了前文提到的針對瑞典高中 “GDPR 生效以來的首張罰單”,2019年7月,英國數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu) (Information Commissioner’s Office,后文簡稱 “ICO”)先后對英國航空和萬豪國際進(jìn)行了1.83億英鎊和9920萬英鎊的罰金處罰,兩筆巨額罰款事項都是基于違反GDPR 導(dǎo)致了信息泄露?！?9〕凌斌:《2019年十大個人信息數(shù)據(jù)保護(hù)事例盤點》,載數(shù)據(jù)法盟,https://www.chainnews.com/articles/512812613356.htm,2020年1月21日訪問。此后,ICO 在8月又對倫敦國王十字車站人臉識別系統(tǒng)的安全性發(fā)起了調(diào)查。該機(jī)構(gòu)的專員表示,“在日常生活中掃描人臉以識別他們的身份,這種對隱私的潛在威脅值得所有人重視,尤其是在沒有經(jīng)過告知或理解的情況下?！薄?0〕李汶龍:《歐美網(wǎng)絡(luò)法2019年述評之六:人臉識別的合法性爭議》,載人民法治網(wǎng),http://www.rmfz.org.cn/contents/4/264558.html,2020年1月22日訪問。該調(diào)查發(fā)生的一個月后,英國高院作出判決,認(rèn)定南威爾士警方使用人臉識別技術(shù)是合法的。雖然英國權(quán)力機(jī)關(guān)ICO 在人臉識別這一問題上較為審慎,但在現(xiàn)實場景中,尤其是在公共場所,人臉識別技術(shù)的數(shù)據(jù)采集近乎是實時的。盡管從數(shù)據(jù)保護(hù)的角度觀察,人臉識別技術(shù)主要涉及數(shù)據(jù)處理的法律基礎(chǔ)問題,以及同意能否 (以及在什么情形下)成為有效的法律基礎(chǔ)問題,實際上,獲得個人的明示同意在操作上是非常困難的。ICO 于是主張在某些情形下,警方使用該項技術(shù)不需要明示同意,但需要達(dá)到法律設(shè)定的 “嚴(yán)格必要標(biāo)準(zhǔn)”(strictly necessary)。

對于ICO 的做法,愛丁堡大學(xué)法學(xué)院學(xué)者Judith Rauhofer表達(dá)了強(qiáng)烈不滿。根據(jù)她的觀點,人臉識別技術(shù)的違法性非常明顯,數(shù)據(jù)保護(hù)機(jī)關(guān)不應(yīng) “淪為政治博弈的砝碼”,而應(yīng)積極實施法律賦予的權(quán)力。此外,人權(quán)、大數(shù)據(jù)與技術(shù)項目組 (Human Rights,Big Data and Technology)也在其獨立報告中指出,英國警方使用人臉識別技術(shù)缺乏明確的法律基礎(chǔ)。從人權(quán)法層面而言,該技術(shù)的使用不具有足夠的可預(yù)見性,一旦啟動司法審查并上訴到最高法院,人臉識別技術(shù)很有可能被認(rèn)定為非法。〔41〕同前注 〔40〕。

在此之前,歐盟委員會的高級官員曾透露正在計劃出臺一項關(guān)于人臉識別數(shù)據(jù)使用的立法,目的在于限制公司和公共機(jī)構(gòu) “不加區(qū)分地使用人臉識別技術(shù)”,并且歐洲居民將有權(quán)“知道人臉識別數(shù)據(jù)何時被使用”,即使有例外情況,也應(yīng)該是基于 “嚴(yán)格限制的例外情況”,以確保適當(dāng)使用,這項立法同時也將成為歐洲AI監(jiān)管改革的一部分。此外,據(jù) 《金融時報》報道,歐盟還曾提出希望制定一套 “AI監(jiān)管的世界性標(biāo)準(zhǔn)”,以建立 “足以保護(hù)個人的明確的、可預(yù)測的、統(tǒng)一的規(guī)則”。該標(biāo)準(zhǔn)將在GDPR 的現(xiàn)有義務(wù)框架基礎(chǔ)上更加嚴(yán)格,將目標(biāo)鎖定為 “帶來特定風(fēng)險”的人臉識別等技術(shù)。〔42〕《人臉識別技術(shù)觸動 “隱私黑盒”,AI 技術(shù)應(yīng)用是否該有 “邊界”》,載維識教育科技,http://baijiahao.baidu.com/s?id＝1643643086077715823＆wfr＝spider＆for＝pc,2020年1月22日訪問。

值得注意的是,歐盟委員會在布魯塞爾于2020年2月19日正式發(fā)布了 《人工智能白皮書——通往卓越和信任的歐洲路徑》。白皮書提出一系列人工智能研發(fā)和監(jiān)管的政策措施,并提出建立 “可信賴的人工智能框架”。其中,白皮書特意針對使用人臉識別等遠(yuǎn)程生物識別系統(tǒng)提出了嚴(yán)格的限制,規(guī)定將不僅適用于歐洲本地企業(yè),在歐盟運(yùn)營的第三國數(shù)字企業(yè)也必須遵守相應(yīng)規(guī)定,此舉可能會對我國人工智能企業(yè)發(fā)展帶來沖擊?！?3〕明書聰、張瑤:《解讀歐盟 〈人工智能白皮書——歐洲追求卓越和信任的策略〉》,載國家工業(yè)信息安全發(fā)展研究中心公眾號,http://vlambda.com/wz_w BmC4TJr QM.html,2020年6月14日訪問。

(二)縱向推進(jìn):“自治＋法治”的整體框架

2017年,微軟研究院的首席研究員Kate Crawford和Google開放研究的創(chuàng)始人Meredith Whittaker聯(lián)合創(chuàng)辦了第一家跨領(lǐng)域的人工智能研究所AI Now (AI Now Institute),該研究所還同時與紐約大學(xué)的8個院系合作,包括紐約大學(xué)法學(xué)院和文化、教育與人類發(fā)展學(xué)院等。研究所聯(lián)合創(chuàng)始人Kate曾公開表示,在這個時代,AI Now 不止于代碼,我們需要的不僅僅是技術(shù)上的改進(jìn),還應(yīng)意識到這些工具和技術(shù)在發(fā)生故障時會造成危險的后果。因此,需要為所有生物識別監(jiān)視系統(tǒng)提供法律監(jiān)管,尤其是在提高準(zhǔn)確性和入侵性方面?！?4〕Kate Crawford.Halt the use of facial:recognition technology until it is regulated.Nature,https://www.nature.com/articles/d41586－019－02514－7,2019－08－27/2020－01－20.

由此可以看出,盡管人臉識別技術(shù)尚處于發(fā)展初期,但其暗藏的風(fēng)險顯而易見。我們理應(yīng)在技術(shù)層面積極尋找出路的同時,充分發(fā)揮法律的指引和評價功能,并積極鼓勵行業(yè)自治,形成各種商業(yè)使用人臉識別技術(shù)的最佳準(zhǔn)則,建立人臉識別技術(shù)應(yīng)用的行業(yè)規(guī)范。

1.政府層面:以數(shù)據(jù)流轉(zhuǎn)為治理重點

多年來,學(xué)者們一直在強(qiáng)調(diào)面部識別的技術(shù)和社會風(fēng)險。提高面部識別的準(zhǔn)確性并非重點,一旦缺乏有力的管理主體,即使是相對健全的制度也會淪為 “水中月,鏡中花”,這項技術(shù)最終可能使所有人都變得更不自由?；貧w到本土化的語境中,除如前文所示,從使用數(shù)據(jù)源頭嚴(yán)格監(jiān)管的歐盟模式和賦予自由的美國模式外,我國不妨根據(jù)實際國情制定相適應(yīng)的數(shù)據(jù)規(guī)制方案,介于前述兩種既有規(guī)制路徑之間的中間道路也同樣值得參考。即以數(shù)據(jù)流轉(zhuǎn)為治理重點,在處理人臉識別數(shù)據(jù)的方式上,放置相應(yīng)的限制措施;對于處理人臉識別數(shù)據(jù)的重要方面和基本原則,進(jìn)行同步的統(tǒng)籌規(guī)制?！?5〕同前注 〔5〕。一方面,讓社會享有人臉識別的主要權(quán)利,充分激發(fā)以企業(yè)為主體的機(jī)構(gòu)潛能;另一方面,形成法律規(guī)制責(zé)任主體的倒逼機(jī)制,促進(jìn)個人弱保護(hù)和科技發(fā)展強(qiáng)保護(hù)之間的平衡?！?6〕參見李慶峰:《人工識別技術(shù)的法律規(guī)制:價值、主體與抓手》,載 《人民論壇》2020年第4期。除此之外,還應(yīng)該兼顧個人信息保護(hù)的問題,著力解決信息泄露和濫用問題;關(guān)注技術(shù)的使用行為方式,建立智能化的人臉識別倫理規(guī)范;在法律尚不明確的當(dāng)下,除了不觸碰法律禁止底線外,更要以對人的尊重作為行為準(zhǔn)則?！?7〕同前注 〔4〕。

2.行業(yè)層面:以倫理和行業(yè)自律引導(dǎo)新技術(shù)的發(fā)展方向

AI Now 研究所聯(lián)合創(chuàng)始人Kate在創(chuàng)辦之初便制定了一個包含四條原則的人臉識別數(shù)據(jù)保護(hù)框架。其一,人臉識別系統(tǒng)只有在經(jīng)過審查并得到強(qiáng)有力監(jiān)管的前提下,政策制定者才可對其進(jìn)行資助或部署。該原則同樣適用于禁止私人和政府?dāng)?shù)據(jù)庫之間的鏈接。其二,立法應(yīng)要求公共機(jī)構(gòu)嚴(yán)格審查生物識別技術(shù)的偏見、隱私和民權(quán)問題,并在使用之前征求公眾意見。但凡有意愿部署這些技術(shù)的機(jī)構(gòu),應(yīng)該進(jìn)行正式的算法影響評估 (Algorithm impact assessment,“AIA”)。其三,政府應(yīng)出面解決科技公司利用商業(yè)保密法保護(hù)自己免受公眾監(jiān)督的法律 “黑匣子”。其四,技術(shù)工作者本身已成為一種強(qiáng)有力的問責(zé)力量,應(yīng)為技術(shù)公司員工提供更好的舉報保護(hù),以確保其他三項原則正常運(yùn)作。除此之外,微軟副總裁Brad Smith于2018年12月17日在布魯金斯學(xué)會的會議演講中也明確提出了微軟在人臉識別技術(shù)應(yīng)用的 “六項原則”,即公正、透明、負(fù)責(zé)、非歧視、告知和同意以及合法監(jiān)控。亞馬遜公司也主張應(yīng)負(fù)責(zé)任地應(yīng)用面部識別,面部識別不應(yīng)該以侵犯個人權(quán)利 (包括隱私權(quán))的方式使用,或者對需要人為分析的場景做出自主決策。所有這些均體現(xiàn)了個人信息保護(hù)的基本精神——對人的尊重?！?8〕同前注 〔29〕。

習(xí)近平總書記在中央政治局以 “網(wǎng)絡(luò)強(qiáng)國”為主題的學(xué)習(xí)中指出:“隨著互聯(lián)網(wǎng)特別是移動互聯(lián)網(wǎng)的發(fā)展,社會治理模式正從單向管理轉(zhuǎn)向雙向的互動,從線下轉(zhuǎn)向線上線下融合,從單純的政府監(jiān)管向更加注重社會協(xié)同治理轉(zhuǎn)變?！薄?9〕《習(xí)近平在中共中央政治局第三十六次集體學(xué)習(xí)時強(qiáng)調(diào) 加快推進(jìn)網(wǎng)絡(luò)信息技術(shù)自主創(chuàng)新 朝著建設(shè)網(wǎng)絡(luò)強(qiáng)國目標(biāo)不懈努力》,載人民網(wǎng),http://politics.people.com.cn/n1/2016/1010/c1001－28763755.html,2020年6月14日訪問。概言之,從政府層面規(guī)制人臉識別技術(shù)的確更為有力,但企業(yè)也應(yīng)充分發(fā)揮行業(yè)自治的功能。相關(guān)企業(yè)在使用并制定人臉識別技術(shù)和數(shù)據(jù)的相關(guān)政策時不妨考慮一套可以兼顧為收集、使用人臉識別數(shù)據(jù)提供保護(hù),以贏得用戶信任的原則體系。例如用戶同意、數(shù)據(jù)合規(guī)使用、透明性、數(shù)據(jù)安全保護(hù)措施、隱私設(shè)計、準(zhǔn)確性和用戶權(quán)利和問責(zé)制度等原則?！?0〕同前注 〔5〕。

3.法律層面:充分發(fā)揮法律評價和指引功能

對于工業(yè)社會過度發(fā)展而引發(fā)的新型社會問題,傳統(tǒng)的社會治理體系顯得孤立無助,這便是法律的確定性與風(fēng)險的不確定性發(fā)生了背離?！?1〕參見吳漢東:《人工智能時代的制度安排與法律規(guī)制》,載 《法律科學(xué)》2017年第5期。科技發(fā)展是 “第一性”,法律是 “第二性”的。法的 “第二性”原理是法律調(diào)整社會生活中已經(jīng)發(fā)生的現(xiàn)實,第二性的法不應(yīng)該直接干預(yù)、影響甚至抑制第一性科技發(fā)展?！?2〕同前注 〔13〕。人臉識別的本質(zhì)是一種中立技術(shù),所以立法過快回應(yīng)甚至采取 “一刀切”的禁止方式均可能會錯過技術(shù)創(chuàng)新的黃金期,〔53〕參見蔡士林:《“深度偽造”的技術(shù)邏輯與法律變革》,載 《政法論叢》2020年第3期。故而應(yīng)在現(xiàn)有刑事法律體系中尋求答案。

整體而言,基于現(xiàn)有國際社會的通行規(guī)范策略和法律規(guī)范經(jīng)驗,人臉識別在法律層面的規(guī)范路徑主要應(yīng)遵循合法性原則與比例原則這兩項傳統(tǒng)法律規(guī)范工具?；诤戏ㄐ栽瓌t,規(guī)范我國人臉識別技術(shù)首先應(yīng)當(dāng)解決的問題是增補(bǔ)相應(yīng)的法律依據(jù)。如前文所述,此次民法典在第1019條通過立法的方式在權(quán)利保護(hù)的技術(shù)層面對濫用信息技術(shù)手段侵犯肖像權(quán)的情況進(jìn)行了禁止性規(guī)定,此條款也被視為現(xiàn)階段肖像權(quán)保護(hù)的根本性條款。至于比例原則,則不妨結(jié)合個人信息自主權(quán)的理論對我國人臉識別技術(shù)進(jìn)行規(guī)范?；陔[私所具有的不愿被他人知曉的特性,人臉不屬于隱私而屬于個人信息。因此,根據(jù)個人信息自主權(quán)的理論以及民法典第111條和第1034條關(guān)于 “自然人的個人信息受法律保護(hù)”的相關(guān)規(guī)定,人臉識別技術(shù)在啟動之前,理應(yīng)經(jīng)過當(dāng)事人的同意且建立在其充分知情的基礎(chǔ)上。即便獲得了當(dāng)事人的同意,也只是非概括性的、針對特定時空下的識別,絕不是概括性的、允許任何時候的識別;其次,當(dāng)事人的同意只是基于特定的目的,不能用于其他的目的?！?4〕王鍇:《人臉識別在治理領(lǐng)域的應(yīng)用與規(guī)制》,載人民論壇網(wǎng),http://www.rmlt.com.cn/2020/0611/58337 1.shtml,2020年6月14日訪問。暫且不論這一理想化場景的現(xiàn)實可行性,僅就公共部門而言,法無授權(quán)即不可為。如果政府是人臉識別信息的收集主體,那么需要法律明確予以授權(quán),即目的正當(dāng)性。在符合了目的正當(dāng)性的同時,也應(yīng)注意兼顧手段的正當(dāng)性,防止技術(shù)的濫用。這是因為對個人而言,其生物識別數(shù)據(jù)個人指向性更為明確,也顯然比一般的個人信息更為重要。對此,我國民法典不僅專設(shè) “隱私權(quán)與個人信息保護(hù)”一章,并且在第1039條中規(guī)定,“國家機(jī)關(guān)、承擔(dān)行政職能的法定機(jī)構(gòu)對于履行職責(zé)過程中知悉的自然人的隱私和個人信息,應(yīng)當(dāng)予以保密,不得泄露或者向他人非法提供?！?/p>

結(jié) 語

歷史告訴我們,一旦一項技術(shù)變得無處不在,即使安全問題還沒有得到充分解決,人們也開始學(xué)著去接受它?！?5〕同前注 〔10〕。無論是本文所討論的人臉識別技術(shù)還是其他新型科技,既有規(guī)范顯然已經(jīng)跟不上科技進(jìn)步的步伐。在法律體系尚未成形、潛在隱患未得到評估之時,很多西方學(xué)者建議讓技術(shù)使用的速率降下來。AI Now 研究所聯(lián)合創(chuàng)始人Kate就曾發(fā)文呼吁,在相關(guān)的法律機(jī)制形成之前,人臉識別技術(shù)的使用應(yīng)當(dāng)暫緩。類似地,英國數(shù)據(jù)保護(hù)機(jī)關(guān)專員Elizabeth Denham 在一篇博客中也建言英國警方,不要過早過快地信任和使用新科技,否則會對國民的合法生活造成過度地侵犯?！?6〕同前注 〔40〕。

2019年6月,我國 《新一代人工智能治理原則》正式發(fā)布,在提出對人工智能治理的框架和行動指南的同時,呼吁發(fā)展 “負(fù)責(zé)任的人工智能”,即技術(shù)的發(fā)展應(yīng)該符合人類的價值觀和倫理道德,避免誤用,禁止濫用、惡用?！?7〕朱寧寧:《讓人臉識別應(yīng)用以 “必要”為限》,載法制網(wǎng),http://www.legaldaily.com.cn/IT/content/2019－11/12/content_8044235.htm,2020年6月14日訪問。同樣,面部識別技術(shù)的初衷也是為了便利人們的生產(chǎn)生活。因此,在法律的框架下,我們也應(yīng)該對人臉識別技術(shù)的大規(guī)模使用提出 “必要性原則”“比例原則” “正當(dāng)程序原則”,甚至在某些特殊場景下考慮設(shè)立禁用 “黑名單”制度,用制度的剛性來確保 “科技向善”。〔58〕同前注 〔13〕。