从法理视角看“人脸识别”治理的国际经验
2021-08-04 11:23:00
字号:大 中 小
人脸识别是智慧城市的重要应用之一。人脸识别系统的部署在令人们享有生活和工作便捷的同时,也衍生出技术滥用、信息泄露等风险。由于人脸信息属于敏感的生物识别信息,社交属性强、易采集,且具有唯一、不可更改,隐私权及肖像权属性,一旦泄露将可能导致多重危害。因此,人脸识别的合法性边界和治理框架等问题近年来引发了广泛关注和热议。
今年7月28日,中国最高人民法院发布了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,以16个条文对涉及人脸识别技术相关案件在侵权责任、合同规则以及诉讼程序方面的法律适用做出了规定,明确信息处理者若以捆绑、强迫自然人同意等手段获得人脸识别授权,法院将不予以支持。(来源:中国法院网)中国关于人脸识别的法规日臻完善,但仍处于初创和探索阶段,尚有不少问题有待研究和解决。合理参考相关国际治理经验和实践成果,将对我国进一步健全人脸识别治理框架、扩充治理手段有所裨益。
今年4月,英国苏塞克斯大学法学院全球法治研究中心主任卜庆修(QingxiuBu)在学术期刊《国际网络安全法评论》2021年第二期(International Cybersecurity Law Review volume2,2021)上发表题为《自动面部识别的全球治理:伦理、法治机遇与隐私挑战》(The Global Governance on Automated Facial Recognition(AFR):Ethical and Legal Opportunities and Privacy Challenges)的研究论文,分析欧美等国开展人脸识别治理的立法与实践经验,讨论了亟需伦理关切的一些问题,并提出若干治理建议。
卜庆修认为,人工智能的人脸识别应用为数字时代制造了重大的法律和伦理挑战。如果使用得当,这项技术可以提高执法能力,有助于预防犯罪和反恐,维护公共安全,反之则会侵害隐私权等公民基本权利,并固化系统性的不公正。一味禁止人脸识别绝非解决之道,但必须对其设定边界、充分监管。
“人脸识别”治理的国际经验
卜庆修对欧盟、美国、英国等国家和地区开展人脸识别治理的实践及特点分别加以了解读。其中,欧盟对面部识别的治理侧重于立法和监管的路径,主要以《通用数据保护条例》(GDPR)为基础开展。GDPR将生物识别数据定义为“经由特定技术处理,获取的有关自然人身体、生理或行为特征的个人数据,并且该个人数据能够识别或确认特定自然人”。根据GDPR规定,面部图像构成特殊类型个人数据下的“生物识别数据”,因而比一般个人数据适配更高的保护要求。该条例禁止未经同意处理和分享生物识别数据,特别是商业应用。并且,数据主体任何形式的被动同意均不符合GDPR的规定。但是,GDPR也保留了诸如事关重大公共利益等例外适用情况。同时,条例还专门提出了关于新的数据存储机制和生物识别数据转移机制的合法性问题。通过严格的立法和监管,欧盟有效加强了对非欧盟互联网科技巨头的限制,但也在一定程度上削弱了创新,催生出新问题。
卜庆修认为,美国针对人脸识别的治理则呈现出轻监管的特点,以政策不阻碍AI技术和产业发展、降低创新门槛和成本为优先考虑。目前,美国在联邦层面尚没有统一的法律规制人脸识别数据的收集和使用,但发布了一些政策指南等指导文件。在州的层面,主要通过各州单独立法分别进行规制。其中,《加州消费者隐私法2019》(CCPA2019)为部署人脸识别系统设置了很高的法律标准。为保护公民个人隐私免受过分侵扰,防止执法机构滥用执法权,加州旧金山市甚至全面禁止了人脸识别的适用。CCPA2019对美国的隐私权和消费者保护立法具有较强示范效应。美国参议院参考该法案提出了《商业人脸识别隐私法案》(CFRPA2019),以对人脸识别的商业应用进行立法监督。CFRPA2019禁止在没有得到数据主体同意的情况下对其使用人脸识别,且企业在获得面部识别数据之前必须进行告知。该法案对企业可以在哪些情况下从个人那里收集和分享哪些信息,以及数据的用途都做出了限制,反映出美国保护消费者隐私的进步。
脱离欧盟后的英国在治理人脸识别方面尚处于法律滞后于技术发展的状态。目前既没有针对人脸识别应用的监管框架,也缺乏限制人脸识别商业应用的立法,只是简单规定警方在部署和使用人脸识别系统时需遵守《数据保护法案2018》(DPA2018)和《监视摄像机业务守则》。缺乏正确使用生物识别技术的监管体系保障,可能导致司法不公,因此亟需加快立法步伐。不过,一些既有判例能够反映出英国对人脸识别偏向理性和务实的态度。2019年9月,在爱德华•布里奇斯(Edward Bridges)诉南威尔士警察局局长与英国内政大臣一案中,英格兰和威尔士高等法院行政庭判决支持了被告南威尔士警方使用部署了人脸识别技术的街道闭路电视获取原告的实时位置信息并将其逮捕的行为。法院认为该技术的应用具有维护公共安全和保护重大公共利益的必要性,实现了个人隐私权利与公共利益的平衡。这是英国首例肯定警方使用人脸识别技术合法性的法院判决,有较大参考意义。
“人脸识别”的伦理关切
人脸识别在伦理方面还存在一些争议问题,需要引起关注。首先是关于维护安全与保护隐私的平衡。卜庆修认为,人脸识别技术和应用在融入公共生活之前需要被赋予公共价值,在有足够保障措施与明确公共利益的前提下,方能适应公众对隐私的合理期望,为公众所接受。问题较大的是商业公司对该项技术可能的滥用,包括收集、传输、交易和挖掘数据价值用于牟利等。必须为商业公司设置准入前提,令其证明使用人脸识别技术是严格必要和相称的,并有明确法律依据,且事先取得数据主体的同意,如此才能获得部署面部识别技术的资格,以避免风险不成比例地由某一特定群体承担,或利益不成比例地流向某一特定群体。其次是关于使用人脸识别的好处是否超过了侵犯隐私和牺牲公民自由的损害的争论。鉴于这个问题的复杂性,制定具有约束力的规则和政策必须考虑不同国家的不同价值观、传统和国情等因素,不能仅按照单一道德标准来下定论。此外,数字经济时代,对数据的收集和分析采取过于严格的限制,可能会在一定程度上损害企业的创业积极性和创新动力。如何平衡监管与创新,还需妥善考虑。
加强“人脸识别”治理的建议
没有哪个国家或哪一类数字治理方式是万能和完美适用的。卜庆修强调,目前的当务之急是各国需要在遵守相称性和必要性原则的前提下,就负责任地使用人脸识别技术达成共识,有效应对该项技术带来的治理挑战。为此。他提出了若干建议:
首先是适时开展全球对话,推动形成对于人脸识别治理规则框架的共识,以及相对统一又能兼顾开放性的数据共享与数据保护标准,整合目前碎片化的治理模式、填补法律空白,以便在更高层面上平衡隐私保护、执法效率、创新活力三者的关系。
其次,在治理人脸识别过程中贯彻对应用必要性和相称性的检验。为防止技术滥用,可参照GDPR提倡的数据最小化原则,规定收集个人数据仅限于与处理这些数据的目的有关的必要内容。同时,需要判断目标是否足够重要且足以证明限制受保护的权利具有合理性;所采取措施是否与要实现的目标存在合理联系;是否还能使用侵扰性较低的措施等。检验相称性主要是因为某些情况下出于合法目的应用人脸识别技术,会无可避免地影响基本人权,所以要把握好目标与手段之间的相称,尽量减少政策对公民基本权力的干涉,保持恰当透明度和监控力度,并提供有效的检查和验证措施,以保障数据主体的权益。
此外,还需要制定高效的保障和救济措施,确保数据主体有权在其权利受到侵害时得到有效救济,并配备问责制度、确立拥有足够资源和专业知识的独立监督机构,避免让政府同时成为人脸识别的玩家和裁判。
卜庆修认为,现有保护个人生物识别数据的法律框架和治理体系并不足以应对人脸识别带来的挑战,然而目前有效的治理规范和监管制度又供给不足,导致了全球范围内治理效果的不均衡。因此,亟需一个新的法律和监管框架,涵盖必要性、相称性和合理性原则,适配新兴技术的发展,既能发挥技术的积极作用,又能激励公私部门都以负责任的态度正确使用人脸识别技术。
(《澎湃新闻》2021-08-03,吕娜)