一、 背景
计算机视觉技术作为人工智能(AI)技术发展的重要应用之一已经在我们的日常生活中屡见不鲜。在金融、移动、安防等产业,作为主流技术之一的人脸识别被广泛应用于账号身份认证、手机刷脸解锁、人流自动统计和特定人物甄别等诸多场景 。在人脸识别技术为生活创造更加便捷和安全环境的同时,考虑到人脸的特殊敏感性,社会各界也愈发关注人脸识别技术潜在的技术缺陷、歧视性及不可预见性对自然人隐私和平等保护带来的威胁和挑战。
仅就2019年而言,全球范围内人脸识别技术使用相关的案件便层出不穷:瑞典数据保护机构(DPA)因当地一所高中使用人脸识别技术来记录学生出席情况开出金额20万瑞典克朗(约人民币14.6万元)的罚单 ;美国四个城市相继禁止政府部门使用人脸识别技术 ;微软公司疑似因隐私保护和授权瑕疵方面的原因删除了曾为全球最大的人脸识别数据库MS Celeb ;Facebook因人脸识别功能或面临着可高达350亿美元的集体索赔 ;我国AI换脸软件ZAO因涉嫌侵犯隐私被工信部约谈整改 等等。
本文将从人脸的特殊属性出发,旨在探讨人脸信息的多层次内涵,分析人脸识别技术可能引发的隐私相关问题,同时比较研究不同司法辖区对于人脸识别信息被利用前的知情权、信息采集范围和使用边界等问题的规制思路,以期为企业合规应用人脸识别技术提供参考。
二、 人脸的多重属性
在全球范围内,当技术不断将人脸识别先进性推向新的高度时,对其秉持保留或反对意见的声音却愈演愈烈。而这与 "人脸"所具有的多重特殊属性紧密关联,具体而言:
人脸具有更强的人格属性。相比于其他个人信息,人脸图像与自然人就其人格所享有的精神性权利密切相关。肖像权作为一项重要的人格权,是指自然人对其肖像拥有的包括允许他人使用在内的绝对支配权并有权禁止他人非法使用。 而以侮辱或恶意筹划的形式使用他人肖像,将进一步构成侵犯名誉权的行为。因此,相比于其他个人信息,面部图像带有的更强的人格属性,体现着人格利益与精神价值,从而相关使用行为更易引发侵犯自然人人格权益的顾虑。然而,对于那些不会牵涉任何自然人人格属性的使用行为而言,如仅将人脸信息用于机器算法演练的行为,从人格权所衍生出的法益保护主张可能难以适用。
人脸信息在当前经济下不同的财产价值。在人格层面上的精神性权利之外,人脸中体现出的财产利益最早起源于名人肖像的商业化利用活动,随着人脸所蕴含的财产价值渐渐被认可,在不同司法辖区就是否承认独立的肖像财产权形成一元保护和二元保护的不同模式。然而,在传统法学研究中,能够就人脸主张包含财产利益的权利主体一般只限于名人,而普通人的肖像仅具有潜在的财产价值。进而当肖像被非法商业化利用时,名人能够主张财产损害赔偿,而普通人原则上仅限于精神损害赔偿。 然而,在人脸识别技术得以普及的当下,人脸信息不仅仅是自然人的肖像、名誉等人格利益的体现,更是代表着门禁的钥匙、银行卡支付的密码,当人脸信息所蕴含的财产价值得以极大地挖掘时,传统肖像权保护领域中针对财产价值名人/普通人的划分边界也被突破。
人脸背后具有更广泛的信息内涵。技术的发展不单单将人脸的可识别性进行最大化发挥,更是不断深入地挖掘人脸背后的价值。通过人脸识别技术,人脸信息不仅可以用来准确地识别"我是谁"(身份识别场景),;同时可以用来比对"我是否是我"(身份验证场景),;甚至,通过结合大数据技术能够获知、预测"我是一个什么样的人",而根本无需知道"我是谁"(标签画像场景)。相比于其拟用于的处理目的及所携带的更高的安全风险而言,处理人脸数据更可能构成对数据隐私保护制度中收集个人信息"必要性"原则的违反。
除上述人脸信息的特殊属性外,从技术层面而言,人脸识别信息的使用可能带来更高的安全风险。相较于其他个人信息类型,人脸识别可以通过远距离与较为隐蔽的操作实现,人脸图像的收集更可能以被收集人无感知的方式进行,存在更大的技术滥用的潜在隐患。
在尚缺乏具体法律规则加以规范的情形下,如何更好地平衡利益冲突从而识别出更为优先保护的法益,我们理解就场景不同可能遵循着以下基本原则:
商业化场景:在满足个人信息主体"知情同意"情形下,鉴于人脸信息蕴含着更高的信息安全风险以及潜在的更广泛的信息内涵,企业应当谨慎评估使用行为是否遵循"合法、正当、必要"原则,避免被质疑"杀鸡焉用宰牛刀"。
基于公共利益的应用场景:与传统法学上对于肖像权的限制观点相类似,基于社会公共利益所需的情形下,自然人就其人脸信息所享有的权利也得以在一定程度内被限制。然而考虑到过度使用人脸识别技术可能对种族平等、言论自由可能带来的威胁,一般认为在公共场所使用这一技术时,建议注意遵守授权原则、法律保留原则、比例原则等。
三、 人脸识别技术应用的合规问题
下文中,我们将围绕几个典型的人脸识别应用场景中涉及的问题展开讨论,以期一同探索可能的合规路径。
1. 含人脸图像的照片的性质认定
场景1:为了统计火车站检票口在特定时间点的客运流量情况,某国当地工作人员从监控录像中捕捉到一些清晰度有限的监控图像。虽然这些截图中可能包含有人脸图像,但由于拍摄距离较远且像素较低,在缺乏进一步技术处理的情形下,并不具有能够识别或确认特定自然人的属性。
讨论:对于包含人脸图像的截图能否被认定是人脸识别信息,进而构成个人敏感信息?
分析:《信息安全技术 个人信息安全规范》("《个人信息安全规范》")中,面部识别特征与个人基因、指纹、声纹、掌纹、耳廓、虹膜等一并构成个人敏感信息下的"个人生物识别信息",保护程度和相关的合规要求均较一般个人信息更高。今年6月,全国信息安全标准化技术委员会发布了《信息技术 安全技术 生物特征识别信息的保护要求(征求意见稿)》,其中对于生物特征识别数据(biometric data)的定义为"生物特征样本、生物特征、生物特征模型、生物性质、原始描述数据的生物识别特征,或上述数据的聚合",而"人脸"被列为可据以对个体进行识别的生理特征之一。然而,对于承载人脸图像的照片是否会被认定为个人敏感信息,我国目前尚未予以明确。
根据欧盟地区的数据保护法《通用数据保护条例》("GDPR")的规定,面部图像(facial image)构成特殊类型个人数据下的"生物识别数据",进而相较于一般个人数据受制于更高的保护要求。根据其定义,"生物识别数据"是指经由特定技术处理,获取的有关自然人身体、生理或行为特征的个人数据,并且该个人数据能够识别或确认特定自然人。 GDPR进一步指出,处理照片并不当然地被认为是处理生物识别数据,而仅在当通过特定技术方法对照片进行处理,使其能够识别或确认特定自然人时,才被视为构成生物识别数据。
因而一般而言,包含人脸图像的照片在性质上并非当然构成受到更高保护程度的生物识别信息/个人敏感信息,而是当经由特定技术处理后能够使其具有可识别个人身份的属性时,才会受制于更高的合规要求。
2. 人脸识别信息采集的必要性探讨
场景2:瑞典一间学校对其某班级试点使用人脸技术识别技术进行学生课堂考勤。该学校声称学生已同意参与该试点应用,但并未就采用人脸识别技术进行影响评估或向瑞典DPA进行事前咨询。2019年8月,瑞典DPA针对这一行为处以自GDPR实施以来的瑞典首例处罚。
讨论:在存在其他可行的且对个人信息主体影响较小的替代性方案情况下,人脸识别信息采集用于考勤、计数等用途是否具有必要性?
分析:《网络安全法》("《网安法》")规定了网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则。《个人信息安全规范》中对于个人信息收集进一步提出了最小化要求。
对于人脸识别信息的采集,由于其相比其他的个人信息具有更为特殊的性质,企业在采集之前需要谨慎考虑是否有其他可替代的方案,通过收集敏感度相对较低的信息,是否能够实现同样的目的。
在上述案件中,瑞典DPA即认为,因人脸识别技术可能构成对个人隐私的严重侵犯,且存在其他可行、高效的考勤记录方式,该学校对于这一技术的应用超出了实现目的之必要限度,违背了数据处理的最小化原则。然而,随着科技和企业商业模式的日新月异,对于不同企业实现某一功能产品或服务数据采集的必要性可能越来越难以用同一标准予以衡量而需要做个案的分析。
3. 人脸识别技术的商业化使用
场景3:在新零售场景中,超市运营商通过监控影像中的人脸信息识别出存量用户之后,将继续跟踪其在货架或区域的停留时间等,进一步分析其关注点和兴趣,并向销售人员推送此用户此前的喜好和购物习惯等,以对用户进行进一步的精准广告营销。
讨论:基于监控、安保目的安装的安监设备所收集的人脸图像、影像信息,能否进一步用于商业化精准广告营销?
分析:《网安法》要求网络运营者收集、使用个人信息,应明示收集、使用信息的目的、方式和范围,并经被收集者同意。将监控设备基于安监目的所收集的人脸图像、影像信息进一步应用于商业化的精准广告营销,超出了消费者对于其个人信息使用的正常预期。因而,超市运营者需要对于该述信息被用于精准广告营销的目的、方式和相关个人信息范围等予以全面的披露,并获得用户的授权同意。在消费者拒绝该精准广告营销的行为以后,超市运营商不得再向其进行定向推送。
类似地,以美国华盛顿州于2017年5月发布的众议院1493号法案("H.B. 1493")为例,其对于出于商业目的获取个人生物识别数据的行为确立了通知和同意规则 。原则上,法案要求收集生物识别数据并可将其与特定身份个人进行匹配的企业,应当披露其如何使用该生物识别数据,并在获取处理 或更改个人生物识别符之前向个人进行告知并征得其同意 。
因此,企业因安全监控等目的所获知的人脸图像、影像,如后续被用于其他商业目的,则需保障个人信息主体的知情、同意要求。此外,企业还需采取合理措施防止对该述信息的未经授权访问或获取,并遵循保存时限合理必要的最小化要求。
4. 公共场所使用人脸识别技术的限制
场景4:某国在道路两侧安装了人脸识别系统,主要用于抓拍闯红灯的行人和非机动车驾驶者,在晚上也能清晰成像。行人被"抓了现行",闯红灯的短视频和放大后的头像将直接曝光在路口的显示屏上,呈现在公众面前。此外,这套设备还与居民身份信息系统相连,通过人脸识别出的违法者姓名、身份证号码等个人信息,也将显示在电子屏上。
讨论:对于基于公共安全等目的在公共场所安装视频监控是否需要满足一定的限制要求,从而与个人隐私保护相平衡?
分析:一方面,政府基于建设智慧城市如在地铁等公共交通枢纽场地安装人脸识别装置或基于行政执法目的收集、使用人脸信息,是对公共安全的保障甚至能够推动公共出行的便捷。另一方面,在日益增多的公共场所监控场景中,个人无法拒绝对于人脸识别信息的获取,也同时增加了个人信息被滥用的风险。
2019年9月4日,作为首例肯定警方使用人脸识别技术合法性的法院判决,在Edward Bridges诉南威尔士警察局局长与英国内政大臣一案 中,英格兰和威尔士高等法院行政庭判决支持了被告南威尔士警方使用部署了人脸识别技术的街道闭路电视获取原告的实时位置信息并将其逮捕的行为。法院认为(1)该案中人脸识别技术的应用均符合英国《数据保护法》、各级相关法律法规与南威尔士警方完备的系列执法政策与敏感信息处理政策,(2)南威尔士警方将部署该技术的措施均告知公众,限定使用时间与范围,且没有对外披露原告个人信息,且(3)该技术的应用具有维护公共治安和保护重大公共利益的必要性。综上,该法院认为该人脸识别技术的应用实现了个人隐私权利与公共利益的平衡,没有违反《欧洲人权公约》第8条与英国《数据保护法》第35条对执法机关的限制。
虽然上述为公权力使用场景,但其中所体现出的利益权衡对于在公共场所部署监控设备的企业而言依然有一定的借鉴意义。企业在处理人脸识别信息时应当考虑行为的正当性和必要性,应积极制定并遵从敏感信息处理政策,以明示告知信息主体并取得信息主体的妥当授权,确保收集和处理该信息仅应以其业务目的之必要为限度,并在上线监控技术之前对其可能对个人隐私造成的影响予以评估。
5. 人脸识别技术下的歧视问题
场景5: 人脸识别的迅速发展使其能够运用于求职、交友、教育等多个领域。在求职领域,通过对应聘者的人脸图像的实时分析,AI能够基于其强大丰富的数据分析处理能力,评价应聘者的性格、情绪、心理状态、能力,从而协助雇主决策他或她是否是最合适招聘岗位的人员。
讨论:在缺乏监管、有效保障措施、透明度和问责机制的情形下,如何避免人脸识别算法所导致的歧视现象?
分析:受限于技术发展现状、原始数据的偏差、算法设计者自身的偏见,使用人脸识别算法通过标签化的判断方式增加了作出歧视性决策的风险,而这些风险绝大程度上将由本身已处于相对劣势地位的人群承担。在缺乏监管、有效保障措施、透明度和问责机制的情形下,人脸识别算法的运用将加速现有的不平等现象。而令人担忧的是,通过借助复杂晦涩的算法,歧视往往以一种不易察觉的方式进行。
作为第一个规范在视频面试中对AI使用行为的州法,美国伊利诺伊州通过了人工智能视频面试法案(Artificial Intelligence Video Interview Act),其将于2020年1月1日生效。在法案下,雇主仅有当满足下列条件时才可对面试视频进行AI处理以决定其是否合适相关岗位:(1)已告知应聘者应聘视频会被AI处理以判断其是否适格;(2)向应聘者告知AI的工作原理以及AI将使用何种特征来评估应聘者;(3)就拍摄视频行为以及后续的AI处理行为获取应聘者的同意。同时,该法案还禁止雇主对应聘者视频的进一步分享行为,除非被分享方具有分析应聘者适格与否的必要专业知识或技能。尽管该法在算法使用透明度上具有很大的推动意义,但考虑到一般算法仅作为雇主决策的辅助性手段,法案本身并未明确提及应对算法歧视性潜在的救济渠道。
随着我国对于个人信息处理的合法性、透明性要求日渐增强,企业在完全依靠自动化算法处理人脸识别信息并作出显著影响个人信息主体权益的决定时(例如基于用户画像决定个人信用及贷款额度,或将用户画像用于面试筛选),为了避免可能的算法歧视对自然人造成的影响,建议应:(1)全面告知人脸识别信息的使用用途;(2)AI自动算法的工作原理以及AI将使用何种特征来评估数据主体;(3)就收集人脸识别信息以及后续的AI处理行为获取数据主体同意;以及(4)向个人信息主体提供申诉方法,以保障受影响的主体质疑自动化决策所做结论的权利。
四、 建议和我们的思考
人脸识别技术已经在多个场景被广泛应用,尽管目前全球对于人脸识别中的法律规制边界和更深层次的道德伦理问题仍未达成明确的共识,但考虑到目前已经生效的法律要求,当前企业在部署或使用包括人脸在内的生物识别技术时应当关注以下问题:
- 审慎考量,遵守合法、正当、必要原则
可以预见,随着车联网、物联网的建设,人脸识别等生物识别技术的应用广度和深度也将逐步拓展和加强。然而,瑞典GDPR处罚案件的核心问题围绕于该技术在特定应用场景中是否具备合法性基础且符合必要的限度。考虑到人脸识别信息的高度敏感性,监督态势将可能呈现趋严态势。因此,企业在对相关技术进行部署和应用时,应持续遵守合法、正当与必要的原则,在部署前开展必要的个人信息安全影响评估,以确保生物识别信息的处理严格遵从法律法规和监管要求。
- 有渠道让被采集人知情并获得同意
在我国《网安法》第四十一条的要求下,对于人脸图像的获取和后续可能的处理活动,建议企业应确保被采集人对拟开展的处理活动的充分知悉,并征得其同意。在运用人脸识别技术进行自动化决策时,应谨慎评估该决策对个人主体权益的影响,以及是否需要为相关个人提供通畅的申诉渠道。
- 承担更高的数据安全保护义务,确保数据安全
人脸识别系统捕获的面部特征信息可能属于个人敏感信息。根据我国的个人信息保护制度,企业对此类信息需要承担较为严格的安全保护义务。因此,企业应注意持续提升对人脸识别信息等生物识别信息的安全防护,按实际情况的需要采取加密保护、隔离存储、脱敏使用等技术措施,并在确认不具备处理的必要性后进行及时、彻底的销毁。
- 密切关注行业立法与监管态势,积极应对相关主管部门对人脸识别技术应用有关的规范出台情况
除2019年6月发布的《信息技术 安全技术 生物特征识别信息的保护要求(征求意见稿)》外,我们了解到多达二十余个与生物特征识别技术相关的标准规范也正在制定过程中。
众多的技术应用规范,既能为处于不同行业的企业在业务经营与企业管理过程中应用人脸识别等生物识别技术提供明确指导,同时也或将带来更高的合规要求。相应地,企业应当继续保持高度的合规意识,确保在规章制度与技术规范上能够及时、积极地响应生物识别技术的应用规范。
除要求企业遵守现行的法律法规要求,合规使用包括人脸识别在内的生物识别技术以外,从行业发展和法律规制两个不同的角度,社会各界可能都需要进一步讨论生物识别技术所触及到的技术、法律及道德难题:
1. 通常大家理解的生物识别技术以"识别"特定个人为主要目的,但实际运用中仍存在其他多样化场景,例如有些未来自动驾驶技术中采取的生物识别技术是以识别"人类"与"其他物体"为诉求(比如路测阶段),并不一定会涉及特定个人的人格或财产权益。对此类不以"识别"特定个人为目的的生物识别技术是否有必要严格的受制于个人信息保护的规制?或者生物识别设备的本地匿名化处理能否降低告知同意的标准?
2. 随着技术的发展,生物识别的物理或环境要求可能会大幅度降低。除支付、身份验证等私密场景以外,生物识别技术会更为广泛的应用在公共场合,比如小区安防 、"智慧城市"等。未来个人信息主体可能会更为隐蔽地被"识别",而企业在应用生物识别技术时也愈发缺乏与个人信息主体的交互界面来主动告知个人信息主体,并获得其同意。如何解决技术进步与个人信息保护的平衡会是将来长时间困扰社会公众和企业的难题,是通过加强公共场合的告知或者对于新型技术应用的社会媒体宣传,还是建立沟通渠道加强事后的救济来维系这种平衡?
3. 基于公共场所安全监管要求被收集的生物识别信息(比如机场安检等),其收集的合法性可能基于特定的交互场景(比如飞机上视频和音频采集的告知),也基于公众对于法律法规的合理预期(法律法规的公示效果)。然而,对于新商业场景下收集的生物识别信息是否可以通过合理预期来降低告知同意的标准?比如无人超市等新零售场景,在媒体宣传以及公众告知的前提下,在满足提醒义务后,是否可以认为主动步入无人超市的个人已经被对生物识别信息收集有了合理预期?对于类似的新型业务生态,是否有必要通过立法立规的方式来加强公示作用?
4. 生物识别信息(比如人脸识别信息)已在一定程度上突破了肖像权等法律权利保护和适用的范围。这类信息在大数据经济背景下的法益可能已经超出了现有法律制定时的社会及经济基础。我们理解这类生物识别信息具有多层次的内涵:
a) 识别内涵:这类信息的最大商业价值是作为唯一并相对方便和准确的身份标识符(不同于DNA或者设备识别码等),基于唯一性的人格属性而衍生出商业价值,比如生物识别信息与应用场景之间的强关联关系(比如刷脸支付、门禁)。
b) 关联内涵:人脸等生物识别信息除了识别以外,还能根据识别特征来通过大数据分析等技术以关联特定主体的其他信息,比如性别、年龄、皮肤状况、种族、性取向、婚姻状况、儿女长相、甚至五十年后长相预测等。
c) 验证内涵:生物识别信息除识别或关联特定主体,在很大程度上能验证统计场景下的结果。比如智慧城市的应用中,通过验证真实的个体流动,来测试交通热力图的真实性和有效性。
在上述不同内涵中,无论是信息可能存在的人格属性还是附属的财产价值程度可能不尽相同,涉及的主体多样,因而以个人信息附属的"权益"而不是绝对的"权属"来区分保护的对象和边界可能更具可行性。
5. 对于生物识别信息的关联内涵而言,尽管其用途广泛,但容易引发比如判断错误、歧视等道德伦理问题,比如通过人脸识别信息来实现判断个人的性取向、种族、宗教信仰等非识别性目的。由于生物识别技术的自动化特征,类似的关联信息可能通过自动化处理或决策,缺乏透明性也不易于监管,即使实际上发生了失误或歧视等问题也很难追溯。如何加强算法可解释性,避免算法歧视或者信息不完整而导致决策误差?
随着科技的日新月异,人脸的价值将得到更多的开发、应用场景也会更加丰富多样,现有法律法规对于肖像权或者个人信息主体权益的保护形式和边界可能都将受到挑战。如何在确保公共安全、个人权益的同时,促进人脸应用相关新科技的发展仍然有待各界的深入讨论。