规范人脸识别 保护个人信息
人脸识别技术在为社会生活带来便利的同时,引发的个人信息保护问题也日益凸显。规范人脸识别,保护个人信息,在司法层面,应充分衡量信息主体利益、信息处理者利益以及公共利益;在执法层面,执法机关可定期对信息处理者进行检查,要求其提供已采取有效安全保障措施的证据,提高信息处理者的违法成本,从而激发信息处理者保护人脸信息的内生动力。
党的二十届三中全会强调,要健全因地制宜发展新质生产力体制机制,健全促进实体经济和数字经济深度融合制度,完善发展服务业体制机制,健全现代化基础设施建设体制机制,健全提升产业链供应链韧性和安全水平制度。近年来,随着信息技术飞速发展,我国已进入“刷脸”时代。大到智慧城市建设,小到手机客户端的登录解锁,都能见到人脸识别的应用。然而,人脸识别技术在为社会生活带来便利的同时,引发的个人信息保护问题也日益凸显,相当一部分群体认为人脸识别技术有被滥用的趋势,被收集人脸信息的公民与收集方发生矛盾冲突、甚至诉诸法院的事件也曾多次被报道。
我国《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z 28828-2012)中明确,收集个人敏感信息时必须获取信息主体的明示同意,而收集个人一般信息时可认为信息主体默示同意,除非其表示明确反对。这种分类保护方式在人脸识别技术被广泛应用的今天渐显弊端,它对缺乏专业知识和技术手段的信息主体施加了过重的风险承担责任,容易引发纠纷。笔者认为,如何界定个人敏感信息的边界是其中的重要问题。因此,本文通过对人脸识别技术的法律规制案例分析,以期为司法实践中相关纠纷处理提供思路。
就目前来看,人脸信息传统保护路径存在一定的困境,这主要表现在:
一是告知同意原则的局限性。告知同意原则是人脸信息传统保护路径的核心,将信息主体的“同意”视为人脸信息处理行为的必要条件,暗含着法律认可人脸信息由个人支配或控制,人脸信息如何处理由信息主体最终决定的观点。若将告知同意原则适用于所有人脸信息处理场景,实质上是默认在所有场景中信息保护的位阶均高于信息利用。然而,由于信息处理者与个人之间存在着明显的信息不对称,个人往往缺乏足够的信息和知识来评估信息收集的风险和后果,导致信息主体随意浏览甚至放弃阅读同意条款,这干扰了告知同意背后蕴含的基本机制的实现。二是难以有效协调信息保护与利用之间的利益冲突。如果一味地强调人脸信息保护,在所有场景中均毫不例外地遵循告知同意原则不仅会阻碍信息的合理利用,亦可能对信息主体利益造成损害。比如某企业或者单位出于合法且合理的商业目的,负责处理人脸信息并向其发送商业信息。在此场景中,企业对该人脸信息有着合理利用的需要,且在与信息主体签署的合同解释之内,亦未对信息主体造成损害。此时若仍要求必须经信息主体同意后方可发送商业信息,不仅可能影响企业、单位的正常工作开展,还可能导致信息主体因不断增加的同意请求而备受困扰。三是告知同意原则的适用对人脸信息被滥用、泄露的风险具有较大的隐患。现阶段,以人工智能为代表的新技术广泛应用并加速迭代,在促进数字经济和国家科技创新发展的同时,其所带来的“双刃剑”效应也引发了许多前所未有的挑战与风险。如深度伪造技术泛滥,引发真实性危机,特别是AI换脸,通过生成高度逼真、难以甄别的虚假内容,以此达到以假乱真、歪曲事实的目的。
司法实践中,在判断人脸信息处理行为的正当性时,司法工作者需结合参与者、信息类型、流动原则三大关键要素对一个核心问题进行考量:人脸信息处理行为的风险是否超过信息主体的合理预期。以债权人利用债务人人脸信息进行债务追偿为例,信用卡中心利用个人信息进行债务的追偿符合信息主体的合理预期,正常来说并不构成侵权。但实践中一些APP超范围、强制性采集使用者人脸信息,导致大量的信息数据进入“市场”倒卖,极易引发次生犯罪案件,滋生灰色产业链。而且,法院在审理人脸信息相关案件时,例如,在借款或者其他合同中,受害人个人信息被他人盗用或者受害人不知情时错签借款合同,受害人多以不知情为由进行抗辩,但又往往难以举证,导致法院在审理过程中难以甄别被泄露个人信息的受害人。
通过前述分析不难发现,法院在具体案件的审理中已经认识到在具体场景中,法律效果不应仅仅取决于单一的信息主体是否同意,而考虑由多个要素相互作用、相互影响所形成的整个场景,来共同决定人脸信息处理的风险高低。换言之,人脸信息处理的风险高低受到信息主体身份、信息内容、人脸信息的具体处理方式和损害后果以及信息主体的合理预期等多重因素的影响,不能仅仅依靠人脸信息处理行为是否经过信息主体同意来对人脸信息处理行为的风险一概而论,场景风险理论的思想在司法实践中得以展现。
因此,在大数据时代,鉴于人脸信息处理行为所带来的风险呈现出“牵一发而动全身”的跨边界特征,该技术可能引发各项潜在风险和冲突,笔者认为,需要更多治理主体达成合作关系共同处理应对。
具体而言,在司法层面,应充分衡量信息主体利益、信息处理者利益以及公共利益。人脸识别应用是在一个个具体场景中进行的,为了让人脸信息处理行为符合信息主体的合理预期,应留有适当的弹性和裁量空间。当信息主体认为信息处理者的行为超出其合理预期而诉诸法院时,法院应根据具体场景,判断该种选择是否具有正当性。司法机关也可以通过加大对司法判决和司法案例的编撰来分析人脸信息保护,帮助信息处理者判断具体场景中的信息主体合理预期的范围。在执法层面,执法机关可定期对信息处理者进行检查,要求其提供已采取有效安全保障措施的证据,提高信息处理者的违法成本,从而激发信息处理者保护人脸信息的内生动力。在社会合作层面,应综合考虑各行业技术应用场景及特点。行业也是人脸信息处理场景的重要影响因素,不同行业内的人脸信息处理行为可能呈现出不同的特征。可鼓励行业主管部门和行业协会、企业等主体进行合作,对一线场景中的人脸信息保护进行研究与总结,制定符合具体场景的风险管理规范,以引导信息处理者在运营过程中根据人脸信息处理行为的特点衡量侵害风险和应对模式。(邓永民,常晓晓)
来源:人民法院报