張凌寒
人工智能正深刻改變?nèi)藗兊纳a(chǎn)����、生活和學習方式�,推動人類社會迎來人機協(xié)同�、跨界融合、共創(chuàng)分享的智能時代��。人臉識別技術(shù)經(jīng)歷了從無到有��、從2D到3D等發(fā)展歷程���,已經(jīng)普遍應用于社會生產(chǎn)和生活的各個領(lǐng)域�。人臉識別被普遍稱為“刷臉”����,給公眾帶來便利的同時也引發(fā)了隱私侵害、信息泄露等方面的廣泛擔憂����。
近年來,《中華人民共和國民法典》��、《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》(以下簡稱《人臉識別司法解釋》)和《中華人民共和國個人信息保護法》相繼出臺�����,為人臉識別法律治理提供了依據(jù)。從2019年“人臉識別第一案”到2025年山姆超市強制人臉識別被起訴立案���,人臉識別的相關(guān)案例也逐漸確立了技術(shù)應用的邊界���。作為人臉識別的專門性立法,《人臉識別技術(shù)應用安全管理辦法》(以下簡稱《辦法》)的出臺��,意味著人臉識別步入系統(tǒng)性治理新階段�����。
彰顯以人為本的治理理念
習近平總書記強調(diào)�����,“堅持以人為本����、智能向善��,在聯(lián)合國框架內(nèi)加強人工智能規(guī)則治理”�。“以人為本”內(nèi)在要求是以增進人類共同福祉為目標�、尊重人類權(quán)益為前提�����,確保人工智能技術(shù)始終朝著有利于人類文明進步的方向發(fā)展���。《辦法》貫徹以人為本的理念�,增強對于個人信息和用戶權(quán)益的保護,尤其是加強對殘疾人�����、老年人和不滿十四周歲未成年人的法律保護�。
第一,人臉識別技術(shù)應用處理聚焦個人信息保護�。人臉識別技術(shù)應用的對象既包括技術(shù)應用開發(fā)部署的行為,也包括技術(shù)應用運行的結(jié)果���。而人臉信息則是人臉識別技術(shù)應用法律治理的“抓手”和“關(guān)鍵”�。人臉信息是指在驗證個人身份��、識別特定個人時應用面部生物特征識別技術(shù)�����,識別人的面部特征而形成的信息。
從《中華人民共和國網(wǎng)絡(luò)安全法》的“個人生物識別信息”開始�,到《中華人民共和國民法典》和《中華人民共和國個人信息保護法》的“生物識別信息”,我國人臉識別的法律治理的關(guān)切就是用戶個人信息的保護�。
《辦法》目的條款開宗明義“為了規(guī)范應用人臉識別技術(shù)處理人臉信息活動”,而且相關(guān)七個條文也作如此表述����,指向“人臉信息”。
從《辦法》對人臉信息的定義來看�,保護的是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的面部特征生物識別信息,不包括匿名化處理后的信息�����。
按照《中華人民共和國個人信息保護法》對個人信息處理的界定����,應用人臉識別技術(shù)對人的面部進行“識別”,是個人信息處理的一種方式����,屬于個人信息處理的“收集”行為�,識別之后形成的“人臉信息”屬于敏感個人信息。同時�,將征求意見稿中的主體概念“人臉識別技術(shù)使用者”�����,調(diào)整為“個人信息處理者”����,體現(xiàn)了治理重點在個人信息與用戶權(quán)益保護��。
第二�,人臉識別技術(shù)應用治理關(guān)注用戶權(quán)益保護。人工智能的法律治理同時并存風險治理和權(quán)益保護的制度進路����,這也同時適用于人臉識別技術(shù)應用?!掇k法》中基于風險的治理思路,主要體現(xiàn)在個人信息保護影響評估的主要內(nèi)容�����,包括發(fā)生人臉信息泄露�、篡改、丟失��、毀損或者被非法獲取、出售��、使用的風險����,保護措施與風險程度相適應。但是《辦法》更加側(cè)重權(quán)利保護的治理進路���,主要從三個維度強化對權(quán)利保障�����。
一是以“個人權(quán)益”的概括性表達�,盡可能地加大對合法權(quán)益的保護�,防范人臉識別潛在的監(jiān)控、歧視���、隱私侵害和個人信息泄露等風險�?��!掇k法》要求應用人臉識別技術(shù)處理人臉信息活動�����,之前應告知對個人權(quán)益的影響����、個人依法行使權(quán)利的方式和程序��,之后應進行對個人權(quán)益帶來的影響進行評估�。尤其是,要采取對個人權(quán)益影響最小的方式��,以及不得侵害個人合法權(quán)益�。
二是在具體條款中與《中華人民共和國個人信息保護法》中的具體條款充分對接。目的條款強調(diào)對“個人信息權(quán)益”的保護��,第五條要求個人信息處理者應用人臉識別技術(shù)處理人臉信息前�����,應當以顯著方式�、清晰易懂的語言真實、準確��、完整地向個人告知相關(guān)事項��,充分保障“知情權(quán)”����。第六條對“同意權(quán)”作了充分規(guī)定��,不僅強調(diào)處理人臉信息應該基于“個人同意”����,而且單獨同意應該是在充分“知情”和“自愿”情形下作出����,對書面同意作出了引致性規(guī)定。除此之外�����,還重申《中華人民共和國個人信息保護法》中撤回同意的權(quán)利�����,要求個人信息處理者應當提供便捷的撤回同意的方式��,充分地為個人提供退出或者不參與的可能性�。其中,“便捷的撤回方式”有助于解決實踐中出現(xiàn)的“告知-同意”規(guī)則適用形式化困境�����。
三是《辦法》第十七條針對違法應用人臉識別技術(shù)處理人臉信息的活動設(shè)定了救濟機制。任何組織���、個人有權(quán)向履行個人信息保護職責的部門對前述違法活動進行投訴、舉報����。為了保障該救濟之權(quán)得以充分實現(xiàn),同時規(guī)定“收到投訴��、舉報的部門應當依法及時處理�����,并將處理結(jié)果告知投訴人����、舉報人”。
劃定紅線底線推動人臉識別技術(shù)產(chǎn)業(yè)高質(zhì)量發(fā)展
習近平總書記始終將人工智能發(fā)展置于國家戰(zhàn)略高度�,指出“人工智能是引領(lǐng)這一輪科技革命和產(chǎn)業(yè)變革的戰(zhàn)略性技術(shù),具有溢出帶動性很強的‘頭雁’效應”�。人臉識別技術(shù)產(chǎn)業(yè)的高質(zhì)量發(fā)展,需要依托立法的引領(lǐng)和推動作用��?!掇k法》從人臉識別技術(shù)或設(shè)備的應用方式��、安裝場所和非唯一性���,以及排除人臉識別技術(shù)產(chǎn)品或服務等方面,為人臉識別技術(shù)產(chǎn)業(yè)高質(zhì)量發(fā)展擴展空間���。
第一��,明確人臉識別技術(shù)的應用范圍�����?����!掇k法》通過正向確定和反向排除的方式作了明確規(guī)定��,有利于相關(guān)主體的行為預期��。第十條和第十二條體現(xiàn)了“身份驗證”��,第十一條以并列方式歸納了“驗證個人身份”和“辨識特定個人”�����,相應地在第十九條中分別界定各自法律術(shù)語含義����。刪除征求意見稿中的“分析敏感個人信息”行為,即為維護國家安全���、公共安全、緊急情況下保護自然人生命健康和財產(chǎn)安全所必需��,以及取得個人單獨同意而應用人臉識別技術(shù)分析敏感個人信息的情形�。除此之外,第二條第二款排除了為從事人臉識別技術(shù)研發(fā)�����、算法訓練活動而應用人臉識別技術(shù)處理人臉信息的情形�。如此,將人臉識別技術(shù)的應用行為限定為兩類���,有利于促進研發(fā)活動��,推動產(chǎn)品市場發(fā)展���。
第二�,明確了人臉識別設(shè)備的安裝使用場所��。一是《辦法》明確了設(shè)備范圍和安裝場所����。在設(shè)備范圍上,一是以“人臉識別設(shè)備”替代了征求意見稿中的“圖像采集�、個人身份識別設(shè)備”,二是將“非生物特征識別技術(shù)方案”改為“非人臉識別技術(shù)方式”���。因為人臉識別設(shè)備僅僅是眾多圖像采集���、個人身份識別設(shè)備中的一類,且人臉識別的范圍小于生物特征識別���。二是《辦法》以“公共性”約束安裝場所�����。首先��,以“公共場所的公共安全所必需”為一般規(guī)則����,即在公共場所安裝人臉識別設(shè)備,應當為維護公共安全所必需��。其次����,禁止安裝人臉識別設(shè)備的場所,由“其他可能侵害他人隱私的場所”縮小到“公共場所中的私密空間內(nèi)部”��,例如,任何組織和個人不得在賓館客房���、公共浴室����、公共更衣室�、公共衛(wèi)生間等公共場所中的私密空間內(nèi)部安裝人臉識別設(shè)備��。這種公共性還體現(xiàn)在��,刪除征求意見稿第八條“組織機構(gòu)為實施內(nèi)部管理所需”條款�。如此,劃定禁止安裝人臉識別設(shè)備的紅線�,其他非公共性空間不受該規(guī)則限制,比如為實現(xiàn)個人或家庭之用安裝人臉識別設(shè)備,有利于拓展人臉識別產(chǎn)品市場��。
第三����,明確了人臉識別作為身份驗證方式的非唯一性。隨著人臉識別技術(shù)的應用逐漸成熟���,許多場所可能出于效率的考慮��,將人臉識別作為唯一的身份驗證方式�。在為實現(xiàn)相同目的或者達到同等業(yè)務要求的情形�����,存在其他技術(shù)方案時����,相比征求意見稿的“應當優(yōu)先選擇非生物特征識別技術(shù)方案”,《辦法》規(guī)定“不得將人臉識別技術(shù)作為唯一驗證方式”��,為人臉識別技術(shù)產(chǎn)業(yè)發(fā)展提供了廣闊空間��。因為在“優(yōu)先選擇”的強制性約束之下����,由于“非生物特征識別技術(shù)”范圍非常之大���,意味著絕大多數(shù)場景中的身份驗證和識別方式都會回歸以前,不利于人臉識別技術(shù)產(chǎn)業(yè)發(fā)展��。在“非唯一方式”的情況下��,只要求提供“非人臉識別技術(shù)”作為一種可選擇項即可����,人臉識別設(shè)備依然可以作為首選。
第四�����,降低人臉識別技術(shù)產(chǎn)品或服務提供者的合規(guī)負擔��?!掇k法》不僅在適用范圍中刪除了“提供人臉識別技術(shù)產(chǎn)品或者服務”�����,而且還相應地刪除產(chǎn)品或者服務提供者的配合監(jiān)督檢查義務和法律責任���,以及列入網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄的設(shè)備被限制銷售或提供�����。如此����,將對人臉識別技術(shù)產(chǎn)業(yè)發(fā)展和相應產(chǎn)品和服務市場繁榮起到促進作用。
促進人臉識別信息的高水平安全
高水平安全是推動人工智能健康發(fā)展的深刻內(nèi)涵���。在推動人臉識別技術(shù)產(chǎn)業(yè)高質(zhì)量發(fā)展的同時��,既要重視技術(shù)治理——“不斷提升人工智能技術(shù)的安全性����、可靠性�、可控性、公平性”��,也要注重制度治理���,《辦法》主要從共治體系�、一般規(guī)則����、基礎(chǔ)設(shè)施和設(shè)備內(nèi)存儲等方面促進人臉信息的高水平安全�����。
第一�,構(gòu)建人臉識別的多元規(guī)則共治體系�。相較于以往二元利益比較模式,人臉識別更適宜以整體性利益架構(gòu)為基礎(chǔ)進行動態(tài)權(quán)衡�。《辦法》形成了法律���、道德倫理��、商業(yè)道德��、職業(yè)道德和誠實守信的維度治理規(guī)范����,以此構(gòu)建多領(lǐng)域協(xié)同共治體系����。除了法律治理作為主要治理策略以外���,其他治理規(guī)范遵從人臉識別技術(shù)及其應用的倫理性�����、商業(yè)性和專業(yè)性��,誠實守信更是體現(xiàn)了對社會主義核心價值觀的貫徹落實�����。
第二�����,擴大適用范圍為人臉信息提供更高水平法律保障�。《辦法》通過刪除或替代征求意見稿中的特定限定條件����,把特定場景規(guī)則提升為一般性規(guī)則,擴大了適用范圍�,有利于為人臉信息提供更高水平安全。一是針對個人不同意通過人臉信息進行身份驗證問題�����,在征求意見稿第十四條設(shè)定的“應當提供其他合理、便捷的方式”規(guī)則基礎(chǔ)上����,刪除“物業(yè)服務企業(yè)等建筑物管理人”主體限定條件,并整合征求意見稿第四條���,形成《辦法》第十條的“相同目的和同等業(yè)務”條款�,實際上是從“物業(yè)服務”場景擴大了一般性目的和場景�,擴大了人臉信息保護范圍。二是禁止強迫接受人臉識別�。在設(shè)定“不得以辦理業(yè)務、提升服務質(zhì)量等為由��,誤導���、欺詐��、脅迫個人接受人臉識別技術(shù)驗證個人身份”規(guī)則時����,以“任何組織和個人”替代了賓館�、銀行、車站����、機場、體育場館�、展覽館、博物館��、美術(shù)館��、圖書館等經(jīng)營場所����。三是限定人臉識別采集區(qū)域?�!案鶕?jù)實際需求合理確定采集區(qū)域”條款�,在征求意見稿中是作為組織機構(gòu)因內(nèi)部管理所需而安裝識別設(shè)備的約束條件,在《辦法》中提升為一般性規(guī)則�,即在公共場所安裝人臉識別設(shè)備需要確定合理采集區(qū)域,不僅擴大了適用范圍�����,而且通過限定物理區(qū)域�����,盡可能少地收集不特定公眾的人臉信息。
第三�,鼓勵使用可信數(shù)字基礎(chǔ)設(shè)施?�!掇k法》鼓勵應用人臉識別技術(shù)時����,優(yōu)先使用國家人口基礎(chǔ)信息庫、國家網(wǎng)絡(luò)身份認證公共服務等渠道���?����!掇k法》設(shè)置非強制性規(guī)定的積極意義主要在于��,通過減少人臉信息收集����、存儲來加強人臉信息安全��,也有利于維持人臉識別技術(shù)����、產(chǎn)業(yè)��、市場的競爭性和活力�����。
第四,強制人臉信息的設(shè)備內(nèi)存儲�����?!掇k法》第八條規(guī)定,“除法律��、行政法規(guī)另有規(guī)定或者取得個人單獨同意外��,人臉信息應當存儲于人臉識別設(shè)備內(nèi)��,不得通過互聯(lián)網(wǎng)對外傳輸”����。該規(guī)定構(gòu)筑了“物理隔離+最小暴露”的保護屏障,即將人臉信息存儲在設(shè)備本地�����,能有效避免云端存儲或在線傳輸過程可能引發(fā)的規(guī)模化泄露等風險���,從源頭上實現(xiàn)風險最小化效果�����。
綜上所述���,技術(shù)滲透的邊界不斷擴張,亟須以法治筑牢網(wǎng)絡(luò)安全屏障����。舒適地擁抱“無感式”的人臉識別,需要法治保駕護航�。人臉識別是人工智能的重要應用場景,《辦法》在高質(zhì)量發(fā)展和高水平安全之間實現(xiàn)了很好的平衡���,這一中國方案或?qū)槿蛉四樧R別治理提供新的價值坐標���。
(作者系中國政法大學數(shù)據(jù)法治研究院教授)
法治號
