人臉識(shí)別中個(gè)人生物識(shí)別信息的法律保護(hù)

蔣淑旭，胡 丹

(甘肅政法大學(xué) 法學(xué)院，甘肅 蘭州 730000)

科技發(fā)展日新月異，“現(xiàn)在有著前所未有的途徑獲取個(gè)人信息”[1]。人臉識(shí)別技術(shù)是在圖像或視頻流中檢測(cè)和跟蹤人臉，再基于人的臉部特征信息進(jìn)行身份識(shí)別的一種生物識(shí)別技術(shù)。[2]在信息化疾速發(fā)展的今天，人臉識(shí)別技術(shù)應(yīng)用領(lǐng)域和場(chǎng)景廣泛。面部信息屬于個(gè)人生物識(shí)別信息，與一般個(gè)人信息不同，具有唯一性和不可更改性，一旦泄露，對(duì)個(gè)人造成的損害結(jié)果是不可逆的。

一、人臉識(shí)別技術(shù)對(duì)個(gè)人生物識(shí)別信息保護(hù)帶來挑戰(zhàn)

我們?cè)缫蚜?xí)慣生活在攝像頭下，享受刷臉認(rèn)證、刷臉解鎖、刷臉支付等方式為工作、生活帶來的便利，但忽視了人臉識(shí)別技術(shù)一旦濫用、失控，便會(huì)對(duì)公民個(gè)人信息安全、隱私保護(hù)帶來前所未有的挑戰(zhàn)。

(一)規(guī)制人臉識(shí)別技術(shù)的原因

1.侵犯方式的隱蔽性

人臉識(shí)別技術(shù)能夠在我們沒有感知、非接觸、未經(jīng)同意的情況下采集面部信息，只要開始使用人臉識(shí)別技術(shù)，就會(huì)有一雙眼睛隨時(shí)盯著你我，而我們卻無從知曉，也幾乎無法意識(shí)到我們的隱私可能正在被侵犯。2019年5月，美國舊金山通過法案禁止包括當(dāng)?shù)鼐皆趦?nèi)的53個(gè)政府部門使用人臉識(shí)別技術(shù)。法案提議人佩斯金表示不反對(duì)人臉識(shí)別技術(shù)，但要確保安全和負(fù)責(zé)任地使用并允許公眾參與決策。

2.侵犯后果的不可逆性

面部是“行走的密碼”，一旦泄露，我們無法對(duì)其重置。2015年6月，黑客入侵美國聯(lián)邦人事管理局系統(tǒng)，超過2200萬美國人的個(gè)人敏感信息被盜；2018年3月，F(xiàn)acebook被爆超過5000萬的用戶個(gè)人信息泄露。一系列大規(guī)模信息泄露事件對(duì)我們個(gè)人和社會(huì)造成的損害后果是無法挽救的，警醒我們必須對(duì)技術(shù)進(jìn)行規(guī)制。技術(shù)沒有立場(chǎng)，但使用該項(xiàng)技術(shù)的人卻是有立場(chǎng)的。在生活中已出現(xiàn)利用該技術(shù)進(jìn)行違法犯罪的情形，如：張某等人利用軟件將公民頭像照片制作成3D頭像通過支付寶人臉識(shí)別認(rèn)證進(jìn)行非法獲利。不敢想象如果在仿真機(jī)器人中嵌入生物識(shí)別信息會(huì)怎樣？技術(shù)一旦失控不僅嚴(yán)重影響公民個(gè)人權(quán)利，泄露公民隱私，還可能會(huì)危害社會(huì)穩(wěn)定和國家安全。

3.公民的自我決定權(quán)

個(gè)人信息中的個(gè)人生物識(shí)別信息屬于隱私中的私密信息，應(yīng)同時(shí)受到個(gè)人信息權(quán)保護(hù)和隱私權(quán)保護(hù)。信息性隱私權(quán)是指他人所享有的對(duì)其個(gè)人信息、能夠被識(shí)別的個(gè)人信息的獲取、披露和使用予以控制的權(quán)利。[3]德國法院在1983年“人口普查案”中，首次在判決中提出“信息自決權(quán)”，信息自決權(quán)強(qiáng)調(diào)任何公民的個(gè)人信息不能被隨意的收集和處理，需要尊重公民的“自決”。[4]信息性隱私權(quán)和信息自決權(quán)都強(qiáng)調(diào)主體對(duì)個(gè)人信息享有自主控制和支配的權(quán)利?！爸袊四樧R(shí)別第一案”讓我們意識(shí)到，無論是“收集、處理他人的私密信息”，還是“收集、處理自然人個(gè)人信息”，都應(yīng)當(dāng)賦予公民對(duì)個(gè)人生物識(shí)別信息自我決定權(quán)，即公民個(gè)人有權(quán)自主決定其個(gè)人生物識(shí)別信息是否被收集、公開、利用及其使用方式。

(二)規(guī)制人臉識(shí)別技術(shù)的意義

“無隱私即無自由”[5]，絕不能讓“隱私換取便利”成為常態(tài)。[6]我國目前對(duì)人臉識(shí)別技術(shù)的規(guī)制已滯后于現(xiàn)實(shí)發(fā)展，我們需要冷靜思考如何讓技術(shù)具有可控性，如何引導(dǎo)技術(shù)向善，依法合規(guī)使用，真正發(fā)揮技術(shù)優(yōu)勢(shì)。

1.有利于厘清國家權(quán)力與公民權(quán)利的邊界

公權(quán)力機(jī)構(gòu)利用人臉識(shí)別技術(shù)采集公民面部信息是否有法可依？根據(jù)《居民身份證法》第三條規(guī)定，公安機(jī)關(guān)有權(quán)采集公民相片和指紋信息等。而相片和面部信息存在區(qū)別，面部信息需要通過人臉識(shí)別技術(shù)對(duì)相片或者面部提取。為了公共安全需要，將人臉識(shí)別和隨處可見的攝像頭結(jié)合，是否形成了對(duì)公民的全方位監(jiān)控？清華大學(xué)勞東燕教授曾發(fā)文表示“不想成為透明人”，在全方位監(jiān)控之下，我們還有隱私嗎？即使公安機(jī)關(guān)可以在刑事偵查中利用人臉識(shí)別技術(shù)，但并不意味著其可以無限制地使用，應(yīng)該把保護(hù)公民的個(gè)人信息和隱私放在首位，需要以嚴(yán)格程序與限定條件來規(guī)制技術(shù)應(yīng)用。

2.有利于尊重和保護(hù)公民個(gè)人隱私

以人為本的科學(xué)發(fā)展觀，要求技術(shù)的研發(fā)與使用都必須尊重和保護(hù)公民的個(gè)人隱私與個(gè)人信息安全，否則便喪失了研發(fā)技術(shù)的初心。收集面部信息必須基于正當(dāng)目的和明確告知風(fēng)險(xiǎn)，要在公民知情并明示同意的前提下采集，尊重公民的自我決定權(quán)。

3.有利于規(guī)范收集、存儲(chǔ)、使用等程序

人臉識(shí)別技術(shù)是新興技術(shù)，在收集、保管和使用面部信息等各個(gè)環(huán)節(jié)都存在諸多問題。合法性是公權(quán)力機(jī)構(gòu)采集面部信息的前提，同時(shí)對(duì)面部信息的采集也要遵循比例原則。對(duì)人臉識(shí)別技術(shù)進(jìn)行法律規(guī)制，能夠使公權(quán)力主體和私權(quán)利主體在獲得法律授權(quán)之后，對(duì)面部信息的采集基于正當(dāng)目的，不得向任何人出售、泄露相關(guān)信息，否則將受到法律嚴(yán)懲。明確人臉識(shí)別技術(shù)在收集、存儲(chǔ)、使用等程序上應(yīng)遵守的邊界、目的、原則和方法。

4.有利于規(guī)范人臉識(shí)別技術(shù)的應(yīng)用場(chǎng)景

當(dāng)前人臉識(shí)別技術(shù)應(yīng)用廣泛，是否所有領(lǐng)域都能使用人臉識(shí)別技術(shù)還有待商榷，對(duì)于應(yīng)用場(chǎng)景也需謹(jǐn)慎選擇。對(duì)于北京地鐵應(yīng)用人臉識(shí)別技術(shù)對(duì)乘客實(shí)行分類安檢，我們不禁思考：其分類依據(jù)、標(biāo)準(zhǔn)是什么？是否存在歧視？公民如何獲得救濟(jì)？分類安檢是否違反平等原則？片面強(qiáng)調(diào)使用人臉識(shí)別技術(shù)以提高乘客的通行效率是否真的能夠?qū)崿F(xiàn)最小成本獲取最大利益？北京西城區(qū)某小區(qū)將人臉識(shí)別技術(shù)運(yùn)用到垃圾分類，通過識(shí)別垃圾袋上的二維碼便可準(zhǔn)確定位是哪戶家庭的垃圾。通過垃圾也可以了解一個(gè)人、一個(gè)家庭的生活習(xí)慣、消費(fèi)習(xí)慣、飲食喜好等，掌握一定的個(gè)人信息。這些應(yīng)用場(chǎng)景是否真的有必要呢？

二、比較視角下對(duì)個(gè)人信息的法律保護(hù)

使用人臉識(shí)別技術(shù)，必然會(huì)采集個(gè)人面部信息，而一旦生物識(shí)別信息泄露，可能會(huì)侵犯人們的信息自決權(quán)、安寧生活權(quán)。如今，對(duì)個(gè)人信息的保護(hù)和監(jiān)管已成為全球性問題，是各國立法關(guān)注的焦點(diǎn)。目前主要有兩種立法模式，美國的專門立法模式和歐盟的統(tǒng)一立法模式。

(一)美國的專門立法模式

1.重視個(gè)人隱私權(quán)

美國對(duì)個(gè)人信息的保護(hù)，主要通過對(duì)隱私的保護(hù)來實(shí)現(xiàn)，其是世界上第一個(gè)通過法律來保護(hù)隱私的國家。如：1974年頒布的《隱私法案》、1986年頒布的《電子通訊隱私法案》、1988年先后頒布《電腦匹配與隱私權(quán)法》及《網(wǎng)上兒童隱私權(quán)保護(hù)法》。其中，1974年的《隱私法案》最為核心，對(duì)政府如何收集和開放個(gè)人信息、信息主體的權(quán)利、政府機(jī)關(guān)的義務(wù)、民事救濟(jì)措施等作出了較為詳細(xì)的規(guī)定。

2.各州立法針對(duì)性強(qiáng)

2008年，伊利諾伊州議會(huì)通過《生物識(shí)別信息隱私法》(簡稱BIPA)，該法案通過專門立法規(guī)范“私人實(shí)體”對(duì)個(gè)人生物識(shí)別信息的處理行為，包括信息的采集、應(yīng)用、處理、儲(chǔ)存、披露和銷毀行為，以保護(hù)個(gè)人生物識(shí)別信息權(quán)。此外，BIPA還規(guī)定了以下內(nèi)容：(1)妥善保管及銷毀；(2)書面授權(quán)及告知義務(wù)；(3)不得泄露及牟利；(4)權(quán)利侵害訴訟及賠償。2017年，加利福尼亞州頒布《加州生物信息隱私法案》對(duì)生物信息進(jìn)行細(xì)化，要求初次收集面部數(shù)據(jù)需要遵循“知情同意原則”。

舊金山市和薩默維爾市于2019年先后通過了《停止秘密監(jiān)視條例》和《人臉識(shí)別全面禁止條例》，成為美國率先禁止使用面部識(shí)別技術(shù)的城市。此外，美國在2019年還出臺(tái)了一系列法案，如佛羅里達(dá)州的《生物識(shí)別信息隱私法案》，要求私主體使用生物識(shí)別信息時(shí)，需要獲得數(shù)據(jù)主體的授權(quán)并妥善保管信息；華盛頓州的《華盛頓隱私法案》賦予消費(fèi)者對(duì)個(gè)人數(shù)據(jù)享有訪問權(quán)、更正權(quán)、刪除權(quán)、限制處理權(quán)、可攜帶權(quán)等權(quán)利。

(二)歐盟的統(tǒng)一立法模式

1.強(qiáng)調(diào)公民人格尊嚴(yán)不受侵犯

歐盟個(gè)人信息權(quán)的核心在于保護(hù)公民人格尊嚴(yán)不受侵犯。其采用統(tǒng)一立法模式，將不同種類、級(jí)別、性質(zhì)的個(gè)人信息納入統(tǒng)一的個(gè)人信息保護(hù)法之下，將行政、民事以及刑事法律的保護(hù)措施集為一法，[7]80且對(duì)歐盟各成員國都具有法律拘束力，可轉(zhuǎn)化為各成員國國內(nèi)法或者直接適用。

2.對(duì)個(gè)人信息保護(hù)標(biāo)準(zhǔn)最為嚴(yán)格

2016年，歐盟先后通過了《一般數(shù)據(jù)保護(hù)條例》(簡稱：GDPR)以及《2016 年刑事犯罪領(lǐng)域個(gè)人信息保護(hù)指令》。該《指令》從刑事犯罪角度出發(fā)，對(duì)各成員國公共機(jī)構(gòu)提出了處理個(gè)人信息的必要限制，以平衡保護(hù)個(gè)人信息權(quán)利和保障公共安全的實(shí)際需要。[8]

史上最嚴(yán)的《一般數(shù)據(jù)保護(hù)條例》是歐盟保護(hù)個(gè)人信息的核心法律，主要適用于個(gè)人數(shù)據(jù)處理以及用戶畫像的非自動(dòng)個(gè)人數(shù)據(jù)處理，并對(duì)數(shù)據(jù)控制者、處理者、運(yùn)營者的責(zé)任和義務(wù)作明確規(guī)定。根據(jù)GDPR第四條第十四款規(guī)定，“生物特征數(shù)據(jù)”是通過對(duì)自然人的身體、生理或行為特征進(jìn)行特定技術(shù)處理得到的個(gè)人數(shù)據(jù)，構(gòu)成識(shí)別該自然人的獨(dú)特標(biāo)識(shí)，包括人臉圖像。面部圖像在通過人臉識(shí)別技術(shù)的應(yīng)用下固化為個(gè)人數(shù)據(jù)后，具有隱私的特征，不得未經(jīng)主體授權(quán)被公開、使用、儲(chǔ)存、傳輸?shù)?。根?jù)GDPR第九條第一款規(guī)定，生物特征數(shù)據(jù)屬于特定類型個(gè)人數(shù)據(jù)，企業(yè)收集個(gè)人數(shù)據(jù)必須基于明確、合法目的，除某些特殊情況外，不得處理該類數(shù)據(jù)，對(duì)該類數(shù)據(jù)的商業(yè)應(yīng)用只能基于數(shù)據(jù)主體同意。

通過對(duì)比兩種立法模式，我們發(fā)現(xiàn)：美國的專門立法模式，讓各州有權(quán)根據(jù)自身特殊情況制定與其社會(huì)經(jīng)濟(jì)發(fā)展相適應(yīng)的法律，立法針對(duì)性較強(qiáng)，訴訟保護(hù)方便，更有利于平衡人臉識(shí)別技術(shù)的發(fā)展與對(duì)生物識(shí)別信息安全的保護(hù)。歐盟的統(tǒng)一立法模式，保護(hù)層級(jí)清晰，具有系統(tǒng)化的保護(hù)效果，更利于歐盟各國的統(tǒng)一保護(hù)并解決數(shù)據(jù)境外傳輸中統(tǒng)一標(biāo)準(zhǔn)的問題。但專門立法保護(hù)模式在保護(hù)方法、保護(hù)措施上較為單一，具有局限性；統(tǒng)一立法模式以行政法律保護(hù)方法為主，同時(shí)結(jié)合民事訴訟救濟(jì)以及刑事制裁的規(guī)定，方法更為全面。[7]82

三、歐美立法模式對(duì)我國的啟示

雖然兩種立法模式都有可資借鑒之處，但如何完善我國對(duì)個(gè)人生物識(shí)別信息的相關(guān)立法，需結(jié)合我國國情以及社會(huì)經(jīng)濟(jì)發(fā)展?fàn)顩r進(jìn)行探討。

(一)我國立法現(xiàn)狀

我國目前對(duì)于個(gè)人信息及隱私保護(hù)的規(guī)定散見于法律法規(guī)、規(guī)范性文件中，并沒有統(tǒng)一、專門的立法。

首先，是憲法層面對(duì)個(gè)人信息保護(hù)的規(guī)定，第三十八條規(guī)定的公民人格尊嚴(yán)權(quán)不受侵犯和第四十條規(guī)定的公民通信自由和通信秘密權(quán)為保護(hù)個(gè)人信息提供憲法支撐。

其次，是法律層面對(duì)個(gè)人信息保護(hù)的規(guī)定，《民法總則》《侵權(quán)責(zé)任法》《網(wǎng)絡(luò)安全法》等多部法律涉及到對(duì)個(gè)人信息的保護(hù)。此外，《個(gè)人信息保護(hù)法》(草案)對(duì)個(gè)人信息進(jìn)行專門立法以及《民法典》(草案)第四編第六章對(duì)隱私權(quán)和個(gè)人信息權(quán)保護(hù)也作了專章規(guī)定。雖然都將生物識(shí)別信息納入個(gè)人信息保護(hù)范疇，但并未對(duì)個(gè)人生物識(shí)別信息作出進(jìn)一步分類及細(xì)化。

最后，法規(guī)、規(guī)章、規(guī)范性文件對(duì)個(gè)人信息保護(hù)也有規(guī)定，如：《外國人入境出境管理?xiàng)l例》《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(2017版)等。其中新修訂的《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(2020版)對(duì)個(gè)人信息保護(hù)作出較全面地規(guī)定，但其僅為推薦性國家標(biāo)準(zhǔn)，不具有強(qiáng)制效力。[9]

可見，我國對(duì)個(gè)人信息保護(hù)雖有法可依，但現(xiàn)有立法仍存在不足：首先，關(guān)于生物識(shí)別信息的立法較為碎片化，散見于其他領(lǐng)域的立法條文中。且條文規(guī)定過于抽象，沒有詳盡的、專門性的針對(duì)生物識(shí)別信息的收集、儲(chǔ)存、保管、傳輸?shù)纫幌盗谐绦虻囊?guī)范立法。其次，法律法規(guī)之間銜接不夠，缺乏有效救濟(jì)途徑。如何保護(hù)特殊敏感個(gè)人信息沒有法律依據(jù)，使得法律治理滯后于信息技術(shù)的發(fā)展。最后，我國缺乏專門的政府部門來對(duì)個(gè)人信息應(yīng)用過程進(jìn)行監(jiān)管以及相關(guān)懲處措施。

(二)完善對(duì)個(gè)人生物識(shí)別信息的保護(hù)路徑

1.制定《個(gè)人生物識(shí)別信息保護(hù)法》

我國《個(gè)人信息保護(hù)法》(草案)雖對(duì)個(gè)人信息的保護(hù)原則、信息業(yè)者、政務(wù)信息部門的行為作了詳盡規(guī)定，但未對(duì)個(gè)人生物識(shí)別信息進(jìn)行專章規(guī)定，宜進(jìn)行專門立法。一方面，結(jié)合我國《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(2020版)和《信息技術(shù)安全技術(shù) 生物特征識(shí)別信息的保護(hù)要求(征求意見稿)》中對(duì)個(gè)人敏感信息的界定、采集、存儲(chǔ)、傳輸?shù)葍?nèi)容，將一般個(gè)人信息與特殊敏感個(gè)人信息進(jìn)行區(qū)分，對(duì)特殊生物識(shí)別信息結(jié)合人臉識(shí)別技術(shù)作特殊法律規(guī)定。另一方面，借鑒歐美立法，如：人臉識(shí)別技術(shù)的應(yīng)用主體及相關(guān)權(quán)利，設(shè)定數(shù)據(jù)控制者、處理者以及監(jiān)管機(jī)構(gòu)的義務(wù)和責(zé)任等。

2.銜接法律規(guī)范，完善救濟(jì)途徑

考慮三大訴訟機(jī)制與《個(gè)人生物識(shí)別信息保護(hù)法》銜接，對(duì)于侵犯個(gè)人生物識(shí)別信息的情形、舉證主體、投訴部門、民事賠償義務(wù)機(jī)關(guān)、刑事追訴對(duì)象等分別作出明確規(guī)定。如：在民事案由中增加侵犯個(gè)人信息權(quán)，進(jìn)一步分為一般個(gè)人信息權(quán)和特殊敏感個(gè)人信息權(quán)；在刑事犯罪方面，可以增加非法獲取公民個(gè)人信息罪下的特別法條，非法采集、使用、傳輸、泄露、處理個(gè)人生物識(shí)別信息罪等；在行政方面，可以增設(shè)公權(quán)力主體不當(dāng)處理個(gè)人生物識(shí)別信息等行為給信息主體造成損害的訴訟以及信息主體有權(quán)向監(jiān)管機(jī)構(gòu)提出控訴。

3.設(shè)立專門的政府監(jiān)管部門

我國工信部、公安部、網(wǎng)信辦等部門雖然對(duì)人臉識(shí)別技術(shù)規(guī)制和生物識(shí)別信息保護(hù)都有責(zé)任，但目前各部門僅對(duì)其各自負(fù)責(zé)的領(lǐng)域進(jìn)行監(jiān)管，并未對(duì)人臉識(shí)別技術(shù)作專項(xiàng)管制。我們可以借鑒域外立法經(jīng)驗(yàn)，對(duì)個(gè)人信息以及個(gè)人生物識(shí)別信息的保護(hù)設(shè)立專門的、獨(dú)立的行政監(jiān)管機(jī)構(gòu)，明確監(jiān)管機(jī)構(gòu)的名稱、組織、工作原則、職權(quán)、責(zé)任。該獨(dú)立監(jiān)管機(jī)構(gòu)依照《個(gè)人生物識(shí)別信息保護(hù)法》及相關(guān)法律法規(guī)對(duì)公權(quán)力主體和私主體在應(yīng)用人臉識(shí)別技術(shù)過程中的從采集到刪除信息等一系列行為進(jìn)行嚴(yán)格監(jiān)管。

四、結(jié)語

人臉識(shí)別技術(shù)應(yīng)用的最大挑戰(zhàn)是如何對(duì)個(gè)人生物識(shí)別信息進(jìn)行保護(hù)，這是全球面臨的挑戰(zhàn)。通過借鑒域外先進(jìn)立法經(jīng)驗(yàn)，結(jié)合我國國情，對(duì)我國在個(gè)人生物識(shí)別信息的保護(hù)上進(jìn)行專門立法。借鑒國際通行的生物識(shí)別信息保護(hù)原則、信息主體權(quán)利、政府監(jiān)管責(zé)任、信息控制者義務(wù)等規(guī)定，實(shí)現(xiàn)規(guī)制人臉識(shí)別技術(shù)、保障個(gè)人生物識(shí)別信息與國家安全利益、社會(huì)經(jīng)濟(jì)發(fā)展之間的平衡。