張凌寒
人工智能正深刻改變?nèi)藗兊纳a(chǎn)�����、生活和學(xué)習(xí)方式����,推動(dòng)人類社會(huì)迎來人機(jī)協(xié)同�����、跨界融合、共創(chuàng)分享的智能時(shí)代���。人臉識(shí)別技術(shù)經(jīng)歷了從無到有�、從2D到3D等發(fā)展歷程�����,已經(jīng)普遍應(yīng)用于社會(huì)生產(chǎn)和生活的各個(gè)領(lǐng)域����。人臉識(shí)別被普遍稱為“刷臉”,給公眾帶來便利的同時(shí)也引發(fā)了隱私侵害���、信息泄露等方面的廣泛擔(dān)憂����。
近年來�,《中華人民共和國民法典》、《最高人民法院關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問題的規(guī)定》(以下簡稱《人臉識(shí)別司法解釋》)和《中華人民共和國個(gè)人信息保護(hù)法》相繼出臺(tái)�����,為人臉識(shí)別法律治理提供了依據(jù)。從2019年“人臉識(shí)別第一案”到2025年山姆超市強(qiáng)制人臉識(shí)別被起訴立案����,人臉識(shí)別的相關(guān)案例也逐漸確立了技術(shù)應(yīng)用的邊界。作為人臉識(shí)別的專門性立法�,《人臉識(shí)別技術(shù)應(yīng)用安全管理辦法》(以下簡稱《辦法》)的出臺(tái),意味著人臉識(shí)別步入系統(tǒng)性治理新階段�����。
彰顯以人為本的治理理念
習(xí)近平總書記強(qiáng)調(diào)�����,“堅(jiān)持以人為本�����、智能向善�����,在聯(lián)合國框架內(nèi)加強(qiáng)人工智能規(guī)則治理”����。“以人為本”內(nèi)在要求是以增進(jìn)人類共同福祉為目標(biāo)�����、尊重人類權(quán)益為前提����,確保人工智能技術(shù)始終朝著有利于人類文明進(jìn)步的方向發(fā)展?!掇k法》貫徹以人為本的理念,增強(qiáng)對(duì)于個(gè)人信息和用戶權(quán)益的保護(hù)��,尤其是加強(qiáng)對(duì)殘疾人�、老年人和不滿十四周歲未成年人的法律保護(hù)。
第一��,人臉識(shí)別技術(shù)應(yīng)用處理聚焦個(gè)人信息保護(hù)����。人臉識(shí)別技術(shù)應(yīng)用的對(duì)象既包括技術(shù)應(yīng)用開發(fā)部署的行為,也包括技術(shù)應(yīng)用運(yùn)行的結(jié)果��。而人臉信息則是人臉識(shí)別技術(shù)應(yīng)用法律治理的“抓手”和“關(guān)鍵”�。人臉信息是指在驗(yàn)證個(gè)人身份、識(shí)別特定個(gè)人時(shí)應(yīng)用面部生物特征識(shí)別技術(shù)���,識(shí)別人的面部特征而形成的信息��。
從《中華人民共和國網(wǎng)絡(luò)安全法》的“個(gè)人生物識(shí)別信息”開始��,到《中華人民共和國民法典》和《中華人民共和國個(gè)人信息保護(hù)法》的“生物識(shí)別信息”��,我國人臉識(shí)別的法律治理的關(guān)切就是用戶個(gè)人信息的保護(hù)����。
《辦法》目的條款開宗明義“為了規(guī)范應(yīng)用人臉識(shí)別技術(shù)處理人臉信息活動(dòng)”����,而且相關(guān)七個(gè)條文也作如此表述,指向“人臉信息”�。
從《辦法》對(duì)人臉信息的定義來看,保護(hù)的是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的面部特征生物識(shí)別信息����,不包括匿名化處理后的信息。
按照《中華人民共和國個(gè)人信息保護(hù)法》對(duì)個(gè)人信息處理的界定��,應(yīng)用人臉識(shí)別技術(shù)對(duì)人的面部進(jìn)行“識(shí)別”��,是個(gè)人信息處理的一種方式,屬于個(gè)人信息處理的“收集”行為��,識(shí)別之后形成的“人臉信息”屬于敏感個(gè)人信息�。同時(shí),將征求意見稿中的主體概念“人臉識(shí)別技術(shù)使用者”�����,調(diào)整為“個(gè)人信息處理者”�,體現(xiàn)了治理重點(diǎn)在個(gè)人信息與用戶權(quán)益保護(hù)���。
第二�,人臉識(shí)別技術(shù)應(yīng)用治理關(guān)注用戶權(quán)益保護(hù)����。人工智能的法律治理同時(shí)并存風(fēng)險(xiǎn)治理和權(quán)益保護(hù)的制度進(jìn)路,這也同時(shí)適用于人臉識(shí)別技術(shù)應(yīng)用���?!掇k法》中基于風(fēng)險(xiǎn)的治理思路��,主要體現(xiàn)在個(gè)人信息保護(hù)影響評(píng)估的主要內(nèi)容���,包括發(fā)生人臉信息泄露����、篡改、丟失��、毀損或者被非法獲取�����、出售����、使用的風(fēng)險(xiǎn),保護(hù)措施與風(fēng)險(xiǎn)程度相適應(yīng)����。但是《辦法》更加側(cè)重權(quán)利保護(hù)的治理進(jìn)路,主要從三個(gè)維度強(qiáng)化對(duì)權(quán)利保障�����。
一是以“個(gè)人權(quán)益”的概括性表達(dá)��,盡可能地加大對(duì)合法權(quán)益的保護(hù)��,防范人臉識(shí)別潛在的監(jiān)控、歧視����、隱私侵害和個(gè)人信息泄露等風(fēng)險(xiǎn)?����!掇k法》要求應(yīng)用人臉識(shí)別技術(shù)處理人臉信息活動(dòng)����,之前應(yīng)告知對(duì)個(gè)人權(quán)益的影響���、個(gè)人依法行使權(quán)利的方式和程序�,之后應(yīng)進(jìn)行對(duì)個(gè)人權(quán)益帶來的影響進(jìn)行評(píng)估�。尤其是,要采取對(duì)個(gè)人權(quán)益影響最小的方式��,以及不得侵害個(gè)人合法權(quán)益��。
二是在具體條款中與《中華人民共和國個(gè)人信息保護(hù)法》中的具體條款充分對(duì)接�����。目的條款強(qiáng)調(diào)對(duì)“個(gè)人信息權(quán)益”的保護(hù),第五條要求個(gè)人信息處理者應(yīng)用人臉識(shí)別技術(shù)處理人臉信息前��,應(yīng)當(dāng)以顯著方式��、清晰易懂的語言真實(shí)���、準(zhǔn)確����、完整地向個(gè)人告知相關(guān)事項(xiàng)���,充分保障“知情權(quán)”��。第六條對(duì)“同意權(quán)”作了充分規(guī)定����,不僅強(qiáng)調(diào)處理人臉信息應(yīng)該基于“個(gè)人同意”�����,而且單獨(dú)同意應(yīng)該是在充分“知情”和“自愿”情形下作出�,對(duì)書面同意作出了引致性規(guī)定。除此之外���,還重申《中華人民共和國個(gè)人信息保護(hù)法》中撤回同意的權(quán)利�,要求個(gè)人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式,充分地為個(gè)人提供退出或者不參與的可能性��。其中�,“便捷的撤回方式”有助于解決實(shí)踐中出現(xiàn)的“告知-同意”規(guī)則適用形式化困境。
三是《辦法》第十七條針對(duì)違法應(yīng)用人臉識(shí)別技術(shù)處理人臉信息的活動(dòng)設(shè)定了救濟(jì)機(jī)制��。任何組織�����、個(gè)人有權(quán)向履行個(gè)人信息保護(hù)職責(zé)的部門對(duì)前述違法活動(dòng)進(jìn)行投訴����、舉報(bào)�����。為了保障該救濟(jì)之權(quán)得以充分實(shí)現(xiàn)�����,同時(shí)規(guī)定“收到投訴�、舉報(bào)的部門應(yīng)當(dāng)依法及時(shí)處理�,并將處理結(jié)果告知投訴人���、舉報(bào)人”�。
劃定紅線底線推動(dòng)人臉識(shí)別技術(shù)產(chǎn)業(yè)高質(zhì)量發(fā)展
習(xí)近平總書記始終將人工智能發(fā)展置于國家戰(zhàn)略高度�,指出“人工智能是引領(lǐng)這一輪科技革命和產(chǎn)業(yè)變革的戰(zhàn)略性技術(shù),具有溢出帶動(dòng)性很強(qiáng)的‘頭雁’效應(yīng)”��。人臉識(shí)別技術(shù)產(chǎn)業(yè)的高質(zhì)量發(fā)展��,需要依托立法的引領(lǐng)和推動(dòng)作用���?!掇k法》從人臉識(shí)別技術(shù)或設(shè)備的應(yīng)用方式���、安裝場(chǎng)所和非唯一性����,以及排除人臉識(shí)別技術(shù)產(chǎn)品或服務(wù)等方面�,為人臉識(shí)別技術(shù)產(chǎn)業(yè)高質(zhì)量發(fā)展擴(kuò)展空間。
第一��,明確人臉識(shí)別技術(shù)的應(yīng)用范圍���?���!掇k法》通過正向確定和反向排除的方式作了明確規(guī)定,有利于相關(guān)主體的行為預(yù)期�����。第十條和第十二條體現(xiàn)了“身份驗(yàn)證”��,第十一條以并列方式歸納了“驗(yàn)證個(gè)人身份”和“辨識(shí)特定個(gè)人”��,相應(yīng)地在第十九條中分別界定各自法律術(shù)語含義���。刪除征求意見稿中的“分析敏感個(gè)人信息”行為����,即為維護(hù)國家安全����、公共安全�、緊急情況下保護(hù)自然人生命健康和財(cái)產(chǎn)安全所必需,以及取得個(gè)人單獨(dú)同意而應(yīng)用人臉識(shí)別技術(shù)分析敏感個(gè)人信息的情形�。除此之外,第二條第二款排除了為從事人臉識(shí)別技術(shù)研發(fā)、算法訓(xùn)練活動(dòng)而應(yīng)用人臉識(shí)別技術(shù)處理人臉信息的情形�����。如此�,將人臉識(shí)別技術(shù)的應(yīng)用行為限定為兩類,有利于促進(jìn)研發(fā)活動(dòng)����,推動(dòng)產(chǎn)品市場(chǎng)發(fā)展。
第二����,明確了人臉識(shí)別設(shè)備的安裝使用場(chǎng)所。一是《辦法》明確了設(shè)備范圍和安裝場(chǎng)所���。在設(shè)備范圍上�,一是以“人臉識(shí)別設(shè)備”替代了征求意見稿中的“圖像采集����、個(gè)人身份識(shí)別設(shè)備”,二是將“非生物特征識(shí)別技術(shù)方案”改為“非人臉識(shí)別技術(shù)方式”��。因?yàn)槿四樧R(shí)別設(shè)備僅僅是眾多圖像采集、個(gè)人身份識(shí)別設(shè)備中的一類���,且人臉識(shí)別的范圍小于生物特征識(shí)別���。二是《辦法》以“公共性”約束安裝場(chǎng)所。首先��,以“公共場(chǎng)所的公共安全所必需”為一般規(guī)則����,即在公共場(chǎng)所安裝人臉識(shí)別設(shè)備,應(yīng)當(dāng)為維護(hù)公共安全所必需����。其次,禁止安裝人臉識(shí)別設(shè)備的場(chǎng)所�����,由“其他可能侵害他人隱私的場(chǎng)所”縮小到“公共場(chǎng)所中的私密空間內(nèi)部”��,例如,任何組織和個(gè)人不得在賓館客房���、公共浴室、公共更衣室、公共衛(wèi)生間等公共場(chǎng)所中的私密空間內(nèi)部安裝人臉識(shí)別設(shè)備�。這種公共性還體現(xiàn)在,刪除征求意見稿第八條“組織機(jī)構(gòu)為實(shí)施內(nèi)部管理所需”條款�����。如此����,劃定禁止安裝人臉識(shí)別設(shè)備的紅線,其他非公共性空間不受該規(guī)則限制��,比如為實(shí)現(xiàn)個(gè)人或家庭之用安裝人臉識(shí)別設(shè)備����,有利于拓展人臉識(shí)別產(chǎn)品市場(chǎng)。
第三����,明確了人臉識(shí)別作為身份驗(yàn)證方式的非唯一性。隨著人臉識(shí)別技術(shù)的應(yīng)用逐漸成熟�����,許多場(chǎng)所可能出于效率的考慮���,將人臉識(shí)別作為唯一的身份驗(yàn)證方式�����。在為實(shí)現(xiàn)相同目的或者達(dá)到同等業(yè)務(wù)要求的情形�,存在其他技術(shù)方案時(shí),相比征求意見稿的“應(yīng)當(dāng)優(yōu)先選擇非生物特征識(shí)別技術(shù)方案”��,《辦法》規(guī)定“不得將人臉識(shí)別技術(shù)作為唯一驗(yàn)證方式”��,為人臉識(shí)別技術(shù)產(chǎn)業(yè)發(fā)展提供了廣闊空間��。因?yàn)樵凇皟?yōu)先選擇”的強(qiáng)制性約束之下�����,由于“非生物特征識(shí)別技術(shù)”范圍非常之大�����,意味著絕大多數(shù)場(chǎng)景中的身份驗(yàn)證和識(shí)別方式都會(huì)回歸以前�,不利于人臉識(shí)別技術(shù)產(chǎn)業(yè)發(fā)展。在“非唯一方式”的情況下����,只要求提供“非人臉識(shí)別技術(shù)”作為一種可選擇項(xiàng)即可����,人臉識(shí)別設(shè)備依然可以作為首選�。
第四�����,降低人臉識(shí)別技術(shù)產(chǎn)品或服務(wù)提供者的合規(guī)負(fù)擔(dān)�����?!掇k法》不僅在適用范圍中刪除了“提供人臉識(shí)別技術(shù)產(chǎn)品或者服務(wù)”,而且還相應(yīng)地刪除產(chǎn)品或者服務(wù)提供者的配合監(jiān)督檢查義務(wù)和法律責(zé)任����,以及列入網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄的設(shè)備被限制銷售或提供。如此����,將對(duì)人臉識(shí)別技術(shù)產(chǎn)業(yè)發(fā)展和相應(yīng)產(chǎn)品和服務(wù)市場(chǎng)繁榮起到促進(jìn)作用。
促進(jìn)人臉識(shí)別信息的高水平安全
高水平安全是推動(dòng)人工智能健康發(fā)展的深刻內(nèi)涵��。在推動(dòng)人臉識(shí)別技術(shù)產(chǎn)業(yè)高質(zhì)量發(fā)展的同時(shí)�,既要重視技術(shù)治理——“不斷提升人工智能技術(shù)的安全性����、可靠性��、可控性���、公平性”�����,也要注重制度治理��,《辦法》主要從共治體系����、一般規(guī)則��、基礎(chǔ)設(shè)施和設(shè)備內(nèi)存儲(chǔ)等方面促進(jìn)人臉信息的高水平安全����。
第一,構(gòu)建人臉識(shí)別的多元規(guī)則共治體系����。相較于以往二元利益比較模式�����,人臉識(shí)別更適宜以整體性利益架構(gòu)為基礎(chǔ)進(jìn)行動(dòng)態(tài)權(quán)衡���?��!掇k法》形成了法律�、道德倫理��、商業(yè)道德���、職業(yè)道德和誠實(shí)守信的維度治理規(guī)范�,以此構(gòu)建多領(lǐng)域協(xié)同共治體系�。除了法律治理作為主要治理策略以外,其他治理規(guī)范遵從人臉識(shí)別技術(shù)及其應(yīng)用的倫理性�、商業(yè)性和專業(yè)性,誠實(shí)守信更是體現(xiàn)了對(duì)社會(huì)主義核心價(jià)值觀的貫徹落實(shí)��。
第二����,擴(kuò)大適用范圍為人臉信息提供更高水平法律保障�?!掇k法》通過刪除或替代征求意見稿中的特定限定條件,把特定場(chǎng)景規(guī)則提升為一般性規(guī)則�����,擴(kuò)大了適用范圍�����,有利于為人臉信息提供更高水平安全�����。一是針對(duì)個(gè)人不同意通過人臉信息進(jìn)行身份驗(yàn)證問題���,在征求意見稿第十四條設(shè)定的“應(yīng)當(dāng)提供其他合理����、便捷的方式”規(guī)則基礎(chǔ)上����,刪除“物業(yè)服務(wù)企業(yè)等建筑物管理人”主體限定條件,并整合征求意見稿第四條,形成《辦法》第十條的“相同目的和同等業(yè)務(wù)”條款�,實(shí)際上是從“物業(yè)服務(wù)”場(chǎng)景擴(kuò)大了一般性目的和場(chǎng)景,擴(kuò)大了人臉信息保護(hù)范圍��。二是禁止強(qiáng)迫接受人臉識(shí)別�����。在設(shè)定“不得以辦理業(yè)務(wù)�、提升服務(wù)質(zhì)量等為由,誤導(dǎo)�����、欺詐�、脅迫個(gè)人接受人臉識(shí)別技術(shù)驗(yàn)證個(gè)人身份”規(guī)則時(shí)���,以“任何組織和個(gè)人”替代了賓館�、銀行�、車站、機(jī)場(chǎng)��、體育場(chǎng)館����、展覽館�����、博物館�、美術(shù)館�、圖書館等經(jīng)營場(chǎng)所。三是限定人臉識(shí)別采集區(qū)域���?���!案鶕?jù)實(shí)際需求合理確定采集區(qū)域”條款���,在征求意見稿中是作為組織機(jī)構(gòu)因內(nèi)部管理所需而安裝識(shí)別設(shè)備的約束條件���,在《辦法》中提升為一般性規(guī)則,即在公共場(chǎng)所安裝人臉識(shí)別設(shè)備需要確定合理采集區(qū)域����,不僅擴(kuò)大了適用范圍,而且通過限定物理區(qū)域�,盡可能少地收集不特定公眾的人臉信息。
第三,鼓勵(lì)使用可信數(shù)字基礎(chǔ)設(shè)施���?����!掇k法》鼓勵(lì)應(yīng)用人臉識(shí)別技術(shù)時(shí)�����,優(yōu)先使用國家人口基礎(chǔ)信息庫����、國家網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)等渠道��?���!掇k法》設(shè)置非強(qiáng)制性規(guī)定的積極意義主要在于��,通過減少人臉信息收集�、存儲(chǔ)來加強(qiáng)人臉信息安全,也有利于維持人臉識(shí)別技術(shù)��、產(chǎn)業(yè)、市場(chǎng)的競(jìng)爭性和活力����。
第四,強(qiáng)制人臉信息的設(shè)備內(nèi)存儲(chǔ)����。《辦法》第八條規(guī)定��,“除法律����、行政法規(guī)另有規(guī)定或者取得個(gè)人單獨(dú)同意外,人臉信息應(yīng)當(dāng)存儲(chǔ)于人臉識(shí)別設(shè)備內(nèi)���,不得通過互聯(lián)網(wǎng)對(duì)外傳輸”����。該規(guī)定構(gòu)筑了“物理隔離+最小暴露”的保護(hù)屏障���,即將人臉信息存儲(chǔ)在設(shè)備本地����,能有效避免云端存儲(chǔ)或在線傳輸過程可能引發(fā)的規(guī)模化泄露等風(fēng)險(xiǎn)���,從源頭上實(shí)現(xiàn)風(fēng)險(xiǎn)最小化效果���。
綜上所述,技術(shù)滲透的邊界不斷擴(kuò)張��,亟須以法治筑牢網(wǎng)絡(luò)安全屏障��。舒適地?fù)肀А盁o感式”的人臉識(shí)別�����,需要法治保駕護(hù)航����。人臉識(shí)別是人工智能的重要應(yīng)用場(chǎng)景,《辦法》在高質(zhì)量發(fā)展和高水平安全之間實(shí)現(xiàn)了很好的平衡����,這一中國方案或?qū)槿蛉四樧R(shí)別治理提供新的價(jià)值坐標(biāo)�����。
(作者系中國政法大學(xué)數(shù)據(jù)法治研究院教授)
法治號(hào)
