規範人臉識別 保護個人信息
人臉識別技術在爲社會生活帶來便利的同時,引發的個人信息保護問題也日益凸顯。規範人臉識別,保護個人信息,在司法層面,應充分衡量信息主體利益、信息處理者利益以及公共利益;在執法層面,執法機關可定期對信息處理者進行檢查,要求其提供已採取有效安全保障措施的證據,提高信息處理者的違法成本,從而激發信息處理者保護人臉信息的內生動力。
黨的二十屆三中全會強調,要健全因地制宜發展新質生產力體制機制,健全促進實體經濟和數字經濟深度融合制度,完善發展服務業體制機制,健全現代化基礎設施建設體制機制,健全提升產業鏈供應鏈韌性和安全水平制度。近年來,隨着信息技術飛速發展,我國已進入“刷臉”時代。大到智慧城市建設,小到手機客戶端的登錄解鎖,都能見到人臉識別的應用。然而,人臉識別技術在爲社會生活帶來便利的同時,引發的個人信息保護問題也日益凸顯,相當一部分羣體認爲人臉識別技術有被濫用的趨勢,被收集人臉信息的公民與收集方發生矛盾衝突、甚至訴諸法院的事件也曾多次被報道。
我國《信息安全技術公共及商用服務信息系統個人信息保護指南》(GB/Z 28828-2012)中明確,收集個人敏感信息時必須獲取信息主體的明示同意,而收集個人一般信息時可認爲信息主體默示同意,除非其表示明確反對。這種分類保護方式在人臉識別技術被廣泛應用的今天漸顯弊端,它對缺乏專業知識和技術手段的信息主體施加了過重的風險承擔責任,容易引發糾紛。筆者認爲,如何界定個人敏感信息的邊界是其中的重要問題。因此,本文通過對人臉識別技術的法律規制案例分析,以期爲司法實踐中相關糾紛處理提供思路。
就目前來看,人臉信息傳統保護路徑存在一定的困境,這主要表現在:
一是告知同意原則的侷限性。告知同意原則是人臉信息傳統保護路徑的核心,將信息主體的“同意”視爲人臉信息處理行爲的必要條件,暗含着法律認可人臉信息由個人支配或控制,人臉信息如何處理由信息主體最終決定的觀點。若將告知同意原則適用於所有人臉信息處理場景,實質上是默認在所有場景中信息保護的位階均高於信息利用。然而,由於信息處理者與個人之間存在着明顯的信息不對稱,個人往往缺乏足夠的信息和知識來評估信息收集的風險和後果,導致信息主體隨意瀏覽甚至放棄閱讀同意條款,這干擾了告知同意背後蘊含的基本機制的實現。二是難以有效協調信息保護與利用之間的利益衝突。如果一味地強調人臉信息保護,在所有場景中均毫不例外地遵循告知同意原則不僅會阻礙信息的合理利用,亦可能對信息主體利益造成損害。比如某企業或者單位出於合法且合理的商業目的,負責處理人臉信息並向其發送商業信息。在此場景中,企業對該人臉信息有着合理利用的需要,且在與信息主體簽署的合同解釋之內,亦未對信息主體造成損害。此時若仍要求必須經信息主體同意後方可發送商業信息,不僅可能影響企業、單位的正常工作開展,還可能導致信息主體因不斷增加的同意請求而備受困擾。三是告知同意原則的適用對人臉信息被濫用、泄露的風險具有較大的隱患。現階段,以人工智能爲代表的新技術廣泛應用並加速迭代,在促進數字經濟和國家科技創新發展的同時,其所帶來的“雙刃劍”效應也引發了許多前所未有的挑戰與風險。如深度僞造技術氾濫,引發真實性危機,特別是AI換臉,通過生成高度逼真、難以甄別的虛假內容,以此達到以假亂真、歪曲事實的目的。
司法實踐中,在判斷人臉信息處理行爲的正當性時,司法工作者需結合參與者、信息類型、流動原則三大關鍵要素對一個核心問題進行考量:人臉信息處理行爲的風險是否超過信息主體的合理預期。以債權人利用債務人人臉信息進行債務追償爲例,信用卡中心利用個人信息進行債務的追償符合信息主體的合理預期,正常來說並不構成侵權。但實踐中一些APP超範圍、強制性採集使用者人臉信息,導致大量的信息數據進入“市場”倒賣,極易引發次生犯罪案件,滋生灰色產業鏈。而且,法院在審理人臉信息相關案件時,例如,在借款或者其他合同中,受害人個人信息被他人盜用或者受害人不知情時錯籤借款合同,受害人多以不知情爲由進行抗辯,但又往往難以舉證,導致法院在審理過程中難以甄別被泄露個人信息的受害人。
通過前述分析不難發現,法院在具體案件的審理中已經認識到在具體場景中,法律效果不應僅僅取決於單一的信息主體是否同意,而考慮由多個要素相互作用、相互影響所形成的整個場景,來共同決定人臉信息處理的風險高低。換言之,人臉信息處理的風險高低受到信息主體身份、信息內容、人臉信息的具體處理方式和損害後果以及信息主體的合理預期等多重因素的影響,不能僅僅依靠人臉信息處理行爲是否經過信息主體同意來對人臉信息處理行爲的風險一概而論,場景風險理論的思想在司法實踐中得以展現。
因此,在大數據時代,鑑於人臉信息處理行爲所帶來的風險呈現出“牽一髮而動全身”的跨邊界特徵,該技術可能引發各項潛在風險和衝突,筆者認爲,需要更多治理主體達成合作關係共同處理應對。
具體而言,在司法層面,應充分衡量信息主體利益、信息處理者利益以及公共利益。人臉識別應用是在一個個具體場景中進行的,爲了讓人臉信息處理行爲符合信息主體的合理預期,應留有適當的彈性和裁量空間。當信息主體認爲信息處理者的行爲超出其合理預期而訴諸法院時,法院應根據具體場景,判斷該種選擇是否具有正當性。司法機關也可以通過加大對司法判決和司法案例的編撰來分析人臉信息保護,幫助信息處理者判斷具體場景中的信息主體合理預期的範圍。在執法層面,執法機關可定期對信息處理者進行檢查,要求其提供已採取有效安全保障措施的證據,提高信息處理者的違法成本,從而激發信息處理者保護人臉信息的內生動力。在社會合作層面,應綜合考慮各行業技術應用場景及特點。行業也是人臉信息處理場景的重要影響因素,不同行業內的人臉信息處理行爲可能呈現出不同的特徵。可鼓勵行業主管部門和行業協會、企業等主體進行合作,對一線場景中的人臉信息保護進行研究與總結,制定符合具體場景的風險管理規範,以引導信息處理者在運營過程中根據人臉信息處理行爲的特點衡量侵害風險和應對模式。(鄧永民,常曉曉)
來源:人民法院報