作者:赵精武,北京航空航天大学法学院助理教授,工业与信息化法治战略与管理重点实验室办公室主任,北京科技创新中心研究基地研究员,华东政法大学数字法治研究院特聘研究员。
摘 要:深度学习算法的创新和实践为决策者提供规避风险和效率优化的可视化预测,以此为基础的人脸识别技术正在重新塑造已有的社会生产方式,但技术本身的不成熟以及外部的安全风险也在增加人脸识别技术应用的不稳定因素。《民法典》首次回应了社会所关注的“个人信息”保护问题,完成了“理性人”向信息人”的过渡,但却未能回应人脸识别信息不可更改性和人格权益属性所提出的特殊保护需求。面对刷脸支付、人脸搜索等应用实践的持续深入以及“杭州人脸识别第一案”对司法审判提出的新问题, 方面,司法栽判者需要在《民法典》既有体例下重新解释“知情同意”等具体规则的适用方式;另一方面,在“回应型法”导向下,立法者需要在行政法规和部门规章层面确立生物特征识别信息的特殊保护规则。
关键词:人脸识别信息;人脸识别技术;知情同意;信息控制论;损害赔偿
一、问题的提出
刷脸支付、刷脸进出等人脸识别技术应用缩短了以往人工身份核验的繁琐程序,“人脸”毋庸置疑地成为“陌生人社会”框架下信赖重构的重要工具。不过,正所谓“正复为奇,善复为妖”,信息技术的频繁迭代在推进数字化社会进程的同时,也増加了数据泄露、隐私侵犯等诸多不确定因素。尽管中国《民法典》《网络安全法》《数据安全法(征求意见稿)》等诸多规范性文件已经确认了自然人对个人信息所享有的民事权益,但问题在于,数据安全和信息权益的场景化属性远超传统的民事法律客体,尤其在确定“数据分级分类管理”的基本方向之后,个人信息保护的语境分析趋势愈发明显。倘若继续沿用功利主义立场的技术行政管制模式,势必会僵化技术与法律之间的互动关系,故而有必要重新审视人脸识别技术应用所产生的的法律问题。继美国学者诺内特和塞尔兹尼克提出“压制型法”“自治型法”之后,法律已经处于“回应型法”的发展阶段。所谓“回应”,既是指向现有的法律现实和社会现实,地是指向实用主义的实质正义观。人脸识别技术作为一种客观的技术现象,自身并非是法律意欲调整和规范的直接目标,该项技术在应用过程中所形成的新型民事法律关系才是法律所亟需回应的实质内容。
人脸识别信息作为人脸识别技术的直接产物,其内在的人格权益属性显而易见,但该项人格权益的内涵与外延、实现方式等具体内容却无从寻之。诚然,《民法典》在“民事权利”一节中规定了“自然人的个人信息受到法律保护”,在人格权编中也规定了一般个人信息的保护规则。然而,这些规定在适用过程中仍然存在诸多疑问:自然人对人脸识别信息相关事项的“知情”范围如何认定?信息控制者如何在公共场所获得自然人对面部数据采集和处理的“同意”?“优化用户产品体验”“保障其他用户安全”等理由能否构成信息处理者处理人脸识别信息的免责事由?
二、人脸识别技术的应用场景与风险定位
(一)人脸识别技术的应用场景
虽然现行立法并未对“人脸识别技术”的内涵和外延作出界定,但学界普遍认同该项技术属于身份核验的生物识别技术,通过“自动定位、跟踪采集、比对提取、分离存储”等人脸特征信息处理环节完成录人数据与人脸数据库的关联比对,最终指向特定自然人。还有学者进一步将人脸识别技术的应用模式总结为和“1对N”的人脸识别,进一步细化该项技术的内在结构。所谓“1对1”的人脸验证,是指通过比较被识别对象的人脸信息和库存模板中的人脸信息,以判定两张人脸是否属于同人,其广泛应用于微信、支付宝的购物支付程序;智能门禁的刷脸认证程序等;而“1对N”的人脸识别,则是指通过对比被识别对象的脸部信息与集中数据库中存储的多个模板信息来辨识身份,其广泛应用于安防检查、疑犯追踪、照片自动圈人等领域。例如,沃尔玛超市正在开发能够检测识别顾客面部表情的人脸识别信息系统,通过摄像机记录下顾客从排队到结账过程的面部表情和体态动作,以此评估和解决顾客对服务的不满。相较于其他生物识别技术,此类技术具有无接触、交互性强、高效迅速、符合人类识别习惯等优势,且能够广泛应用于身份验证、安全监控、接入控制、人机交互等领域,场景化应用特征明显。
在金融领域,人脸识别技术应用主要包括安全防控和业务优化两类。在安全防控场景下,人脸识别技术的应用涵盖了银行从现金押运到前台业务办理各个环节,在现金押运、保险柜黄金放置等环节, 存在综合门禁卡、指纹验证、人脸识别和密码验证等多个验证方式,确保核心业务工作人员身份验证的准确性与唯一性。在日常经营活动中,银行分支机构通过营业大厅摄像头采集、存储、分析短期人员来往,通过后台与公安信息系统的连接,能够有效识别可疑人员,如反复“踩点”、面部遮挡较多以及可能胁迫他人取款等危险人群。在使用自助取款机、自助终端机办理个人业务时,人脸识别技术的应用方式表现为“1对1”的人脸验证,确保办理业务的卡主与银行信息系统留存信息一致,避免盗刷。在业务优化领域,《中国人民银行关于改进个人银行账户服务加强账户管理的通知》第一项中明确支持在核验身份信息环节,“有条件的银行可探索将生物特征识别技术和其他安全有效的技术手段作为核验开户申请人身份信息的辅助手段”,银行消费者在远程办理开设个人账户时,可通过人脸识别信息系统等多重身份验证技术手段缩减线下办卡的诸多不便。例如,在中国农业银行研发的“超级柜台”业务模式中,针对日常个人业务中常出现的银行卡挂失补办、重置遗忘的密码等问题,该行以“网点初审身份、软件识别人脸、后台复核身份”的三重风控措施实现业务效率与业务安全的兼顾。
在现阶段,人脸识别技术的实用功能早已不再局限于智能终端用户解锁等基础业务,而是伴随着市场精细化程度的深入,其应用领域呈现纵深化趋势,如表1所示。有观点认为当今人脸识别技术的应用基本可分为“安全应用”“医疗保健”“产品服务营销”三大领域:“安全应用”是指通过深度学习算法识别欺诈行为,减少对密码验证的依赖性;“医疗保健”是指通过利用人脸表情特征的识别,准确跟踪病患的药物消耗与疼痛感知状况;“产品服务营销”则是指人脸识别技术对个性化服务的优化将服务对象从“特定偏好人群”进一步精确到“满足面部特征的特定个体”。
表1 国外人脸识别技术的应用场景
(二)人脸识别技术的风险定位:隐私、主体平等与技术独裁
从立法目的来看,立法规制始终离不开对技术损害合法权益的实践问题总结,规制人脸识别技术需要审视场景化视野下该类技术的法律风险与损害权益的具体表现形式。总结刷脸支付、出人口刷脸识别、智能设备解锁等场景下人脸识别技术的应用模式,如前文所述,大致可分为“1对1”“1对N" 两种识别模式,前者是为了验证“A是否是真的A”,后者则是为了验证“A到底是谁”。人脸识别技术的法律风险主要集中于“1对N”模式,因为前者仅是特定自然人面部特征数据的简单比对,无需比对该自然人的姓名、住址、电话等具体身份信息,属于单纯的身份核验;而后者则需要通过大量的人脸数据录入形成深度学习训练集合来完成特定自然人的精准定位,其识别过程既包括特定自然人的面部特征识别,也包括特定自然人身份信息的关联比对,以此来实现如何“排他性”地解释“A究竟是谁”。在欧盟,人脸数据采集受到严格限制,欧盟委员会在《人工智能战略白皮书》( White Paper on Artificial Intelligence—a European Approach to Excellence and Trust)中提及欧盟正在考虑是否限制政府部门和私营机构在公共场所使用摄像头收集生物识别信息并识别个人身份,不过诸如使用面部图像解锁设备等安全身份验证的应用模式并不在限制范围内。从国内外技术实践来看,人脸识别技术所存在的社会风险主要表现为三类:其一,隐私侵犯风险。即无论该项技术以何种方式融入具体的信息服务中,都无法摆脱对人脸生物特征数据库的依赖。唯有对通过数据库所形成的深度学习训练集合进行关联比对才能完成身份验证这一基础功能,而数据库所存储的各类信息往往直接关涉到自然人的年龄、健康状况、情绪波动等个人私密信息,潜在的网络安全威胁直接影响到用户个人隐私保护。其二,主体平等风险。即人脸识别技术在具体业务中往往与社会信用系统、公安系统等社会公共服务信息系统相互连接,借由对收人和购物行为的分析,信息技术可能直接对特定人群标识“警惕”的标签,尤其在国外商场、超市购物场景下,低收入黑人群体可能直接成为治安管理的重点对象。其三,技术滥用风险。在国外,人脸识别监控往往被视为“公权力滥用”的征兆,反对警察采集人脸信息的活动并不鲜见。也有学者将此种技术濫用风险总结为“技术独裁风险”,因为人脸识别信息的采集与使用通常以社会公共利益和国家安全为例外情形,在国家治理现代化过程中,过度依赖人脸识别技术对社会公共空间的监视,以“技术权威”取代“政府权威”,不免存在服务型社会向管制型社会倒退的问题。
国外立法者普遍将人脸识别技术视为一种高风险技术应用,美国旧金山、加州奥克兰以及波土顿禁止在市区使用人脸识别技术,其原因大多认为该项技术仍处于发展阶段,尚未形成具体的技术安全标准,容易造成对公民隐私权的侵犯,并且在公共场所使用人脸图像采集与监控也存在歧视风险,容易引发高危人群的剧烈反抗。不过,这些禁令大多是与政府部门在公共场所监控直接相关,智能设备人脸解锁等安全身份验证并不在此列。2019年,美国国会议员至少提出过六个限制人脸识别技术使用的法案,都均未形成实际的立法文件。尽管人脸识别技术存在诸多法律风险,但美国立法者仍然采取审慎态度监管该项技术的实际应用,即便在之前的提案中,对人脸识别技术应用的限制也极为有限。例如,参议院提出的“2019年人脸识别技术许可法案”(S.2878)对该项技术的限制仅以追踪个人物理位置超过三天的“进行中的监管”为限。相较于美国,中国现行立法对人脸识别技术的行政监管与私法规范尚存在空白,结合人脸识别技术的信息系统构成和数据处理流程来看,以信息安全风险为核心的法律风险存在于从人脸数据采集到人脸数据关联比对的信息处理全生命周期。在人脸数据收集阶段,信息处理者需要收集用户的人脸图像,其渠道主要包括摄像头采集、照片和录像上传等方式。该阶段的法律风险主要表现为信息处理者以何种方式采集才能满足中国现有立法规范,《网络安全法》第41条和《民法典》第1035条规定收集个人信息时需要经过权利人同意,并且告知权利人处理个人信息的方式、范围和目的,但现有的人脸数据采集方式除了通过智能设备终端的摄像头扫描采集之外,还有可能通过用户协议、访问权限设置等方式来获取用户人脸数据,在公共场所的人脸数据采集以及网络平台公开照片的人脸数据采集似乎难以在实践层面寻求每一个自然人的“同意”。并且,人脸识别技术的应用不仅仅需要对用户个体的人脸数据收集,在“1对N”的模式下更需要海量的人脸数据形成数据比对库,用于面部特征的提取,这也就导致信息处理者往往会抓取大量公开照片进行深度学习。这种数据采集方式显然未经特定自然人的明确同意,并且中国现行立法亦未承认在网络公开照片等于默示同意商业化使用照片,信息处理者可能陷入侵犯个人信息权益的泥沼之中。在人脸数据分析(包括眼睛定位、肤色像素化)、存储、更新等处理环节,《网络安全法》第42条和《民法典》第1038条要求信息处理者应当采取必要措施确保个人信息安全,加之人脸识别信息的敏感性,信息处理者在设计人脸识别信息系统时,势必需要考虑如何规避数据泄露、损害或丢失等问题。进一步而言,由于人脸识别信息的高度敏感性,一旦发生数据泄露等数据安全事件时,除非致损原因表现为现有技术水平无法应对、第三方网络攻击等形式、未履行《数据安全法(征求意见稿)》第27条规定的数据安全保护义务外,信息处理者极有可能面临以人格权益受损为由的集体索赔。在人脸识别信息维护、更新阶段,信息处理者若未能及时更新存在内容偏差的人脸识别信息,且该人脸识别信息关联的信息服务对特定自然人产生重大影响时,构成对《民法典》第1037条规定的“更正权益”的损害。
三、技术治理的法理基础: 人脸识别信息的法律属性
(一)人脸识别信息保护的必要性与特殊性:从“杭州人脸识别第一案”谈起
人脸识别技术本身并没有社会评价层面的好坏之分,之所以亟需立法回应,是因为伴随着该项技术开发和应用的纵向深入,其目的不再局限于对被识别者脸部生理特征进行识别,而是将人的脸部信息与其个人身份、偏好、位置、财产等信息链接,进行分析比对获得其他关联信息。依据《网络安全法》第76条关于个人信息的定义,人脸识别技术中的人脸信息能够与其他信息相结合而具有高度可识别性,因此人脸信息的基本性质为“可识别的个人信息”,且其一旦被泄露、非法收集或者不正当地使用,则会对信息主体的个人名誉、身心健康造成严重损害甚至使信息主体受到歧视性的待遇,因此人脸信息可以被依法纳入“个人敏感信息”范畴。与其他个人信息相比,人脸信息具有不可更改性,人脸数据能准确、真实、无法更改地识别信息主体;人脸识别技术具有无接触性,人脸信息的收集可以通过远距离、无感知的方式实现,因此人脸信息滥用的安全隐患呈现高危性。
在“杭州人脸识别第一案”中,杭州野生动物世界在未与郭兵进行任何协商也未征得郭兵同意的情况下,以短信的方式告知郭兵“园区人园系统已经由指纹识别升级为人脸识别,未注册人脸识别的用户将无法正常入园”。待郭兵到园区核实后,短信的内容属实,工作人员表示如果不进行人脸识别注册将无法入园,也无法办理退卡退费手续。郭兵认为,人脸识别所收集到的面部特征等个人生物识别信息属于个人敏感信息,一旦泄露、非法提供或者滥用,将极易危害消费者人身和财产安全,野生动物世界未经原告的同意,变相强制收集原告个人生物识别信息,严重违反了《消费者权益保护法》第29条的规定,损害了原告的合法权益。由于该案发生在《民法典》颁布之前,故而仍需适用《合同法》《侵权责任法》《民法总则》等规定。从侵权纠纷的角度来看,尽管在《侵权责任法》第2条所罗列的“民事权益”范围中并无“个人信息权”等表述,但《民法总则》第11条却是规定了自然人对个人信息享有民事权益。动物园“胁迫式”收集人脸识别信息显然构成对“不得非法使用、加工、传输个人信息”的违反。可问题在于庭审过程中,动物园主张人脸识别之目的是为了提升消费者入园效率且确实有效,那么这种另类的“消费者权益保护”能够构成免责事由呢?此外,从《侵权责任法》第6条所规定的“过错行为一损害”的立法模式来看,动物园的刷脸进入行为实难构成侵权法中的“过错行为”,因为在刷脸支付的同时,动物园还允许年卡持有人每次入园时进行身份核验,难以证成动物园之行为满足侵权行为构成要件。从合同纠纷的角度来看,郭兵与动物园之间构成年卡服务合同(无名合同),动物园最初是以个人身份证、指纹为人园条件,但在之后变更为“刷脸进入”,实质属于单方变更合同之行为,理应对购买年卡服务的郭兵不产生法律效力,其也有权要求动物园按照最初约定的方式入园。
国外同样存在针对人脸识别技术的诉讼纠纷,如在近期二审宣判的“英国人脸识别第一案”中,原告诉称在经过警察部署的面部识别(AFR)设备时,警察并未告知其正在使用AFR技术,依据《欧洲人权公约》《英国2018年数据保护法》等规定主张警察之行为构成对个人隐私的侵犯。而当地的警察部门则主张AFR设备部署地区具有明确的标识,且这些设备仅能识别警察“监视清单”上的危险人群,无法识别清单之外自然人的身份信息。英国上诉法院认为警方有权依法使用信息技术收集特定范围的信息,但警察依据《英国2018年数据保护法》第64条所提供的“数据保护影响评估”相关文件未能正确评估AFR技术对数据主体权利的安全风险。上诉法院还指出AFR技术与其他信息技术的核心区别在于该项技术需要抓拍和采集英国公民的面部照片与数据,涉及个人敏感信息,当地警察部门所提供的证明材料未能直接说明清单监视人员范围与AFR 设备部署地点选择的正当性,亦未能证明其已经采取合理步骤评估该项技术可能存在的歧视问题。
(二)人脸识别信息的法律属性
从私法的角度出发,人脸识别信息作为特殊类型的个人信息,《民法典》《网络安全法》《数据安全法(征求意见稿)》等法律对其性质均有所涉猎,大抵是置于赋权式的个人信息保护规范框架下予以规定,或是以人格权解释个人信息内在的人格利益属性,或是以“交易”等表述承认人脸识别信息的财产属性。事实上,在立法层面,意欲梳理人脸识别信息的法律属性与规制方式,则仍应当以人脸识别信息的独特性为规范起点,溯源该类信息的人格利益与财产利益在商业实践中的表现形式。尽管学界有关人脸识别技术规制路径的讨论尚处于初步探索阶段,但学者们普遍认可人脸识别信息具有不可更改性、可识别性、专属性和直观性。学者们认为,之所以需要通过立法干预和规制人脸识别技术的应用,原因在于人脸识别信息具有“直观”地识别特定自然人的能力,一且与身份信息关联比对,特定自然人难以采取有效措施彻底消除“识别可能性”,因而,通过法律规制人脸识别技术凸显其必要性与合理性。诚然,这种高度识别能力正在蚕食自然人私密信息空间,使得个人在现实社会与网络空间“无所遁形”,但这种特殊性的观察视角却是以静态的信息类型为基础,切断了技术应用与信息结果之间的关联性,同时也模糊了人脸识别信息与人脸数据两个概念之间的差别。从刷脸支付、刷脸进出等具体的商业实践来看,人脸识别信息的形成涉及人脸数据采集与录人、人脸数据录入与特征提取、人脸大数据与特征算法比对等诸多环节,人脸识别信息并不能简单地等同于人脸生物特征的数据测量。人脸识别信息与人脸数据最大的差别在于“识別”之表述,单纯以数字或字符形式存在的人脸数据仅仅只是对特定自然人面部轮廓的客观表述,亦可理解为自然人肖像的数字化形式,而人脸识别信息则更强调通过人脸生物识别特征的不可更改性与对应自然人身份信息的关联比对,通过设备端的图像采集与数字化处理,验证自然人的特定身份。然而,这种“识别性”亦不同于一般个人信息,后者的识别”能力如《民法典》第1034条所规定的,表现为单独识别和结合其他信息识别两种方式,而前者在未“绑定”对应自然人身份信息之前不具备可识别能力。即便该数据是特定自然人面部的数据集合,但这种“识别”实际上仅限于机器可读层面的识别,对于自然人而言,绝无可能直接通过面部数据定位特定自然人身份。而利用不特定面部特征数据与特定自然人身份信息关联的人脸识别技术则将传统个人信息保护理念中的“可识别”转换为精准识别和持续识别。所谓精准识别,是指人脸识别信息能够精准地定位特定自然人,因为面部特征的绝对专属性和直观性导致识别对象错误的可能性微乎其微;所谓持续识别,则是指面部特征的不可更改性决定了人脸识别信息的识别能力不会因为行为人的日常行为模式剧变而失去,即使面部会衰老,但面部骨架结构、五官位置等基本衡量指标并不会改变,除非服务提供方取消人脸识别信息的关联机制或者进行大幅度的面部整容,该类信息始终能够定位特定的自然人。
这种精准且持续的识别能力在立法层面表现为人格利益在信息空间的异化与延伸。《民法典》第990条不仅明确了生命权、健康权、肖像权、隐私权等具体人格权利,同时还将以“人格自由”和“人格尊严”为基础的其他人格权益纳入保护范畴。从《民法典》对于人格权利的具体条款来看等权利”“人格利益”之表述在实质上确定了中国民法体系中人格权利保护的开放性。面对日趋丰富的民事社会实践,守着传统人格权利的“一亩三分地”不是对法律稳定性和权威性的维护,而是僵化了《民法典》民事权利的保护方式。有限的人格权利类型与复杂的侵权形式之间的紧张关系早已是不争的事实,学者们也认为《民法典》意欲保护的不是特定的具体人格权,而是具备开放性的人格权益。在此背景下,人脸识别信息的可识别利益显而易见是《民法典》所确认的信息空间人格权益,在权益性质层面,有学者在解释自然人对个人信息享有民事权益这一命题时指出,信息处理活动始终属于平等主体之间法律关系基本范畴;在权益性质的认定层面,有学者根据《民法典》人格权编草案(三次审议稿)指出,认定个人信息具备人格权益是以个人信息自决的两项权能为基本规范框架,一是自我决定个人信息公开的诸多事项,二是自我决定个人信息处理的诸多流程。进一步而言,“人脸识别信息具备人格权益”的依据在于该类信息能够直接影响到自然人对识别自身身份可能性的控制能力,无法实现信息空间中的“个人自由”。需要说明的是,自然人对人脸识别信息享有人格权益并不是承认存在所谓的“人脸识别信息权”。《民法典》未以“个人信息权”的形式确定新型人格权利的原因在于回避有关权益具化阻碍数据和信息自由流动的争议。事实上,无论是“人脸识别信息权”,还是“个人信息权”,这些对个人信息权益的具体表达实际上并不重要,重要的是这些新型人格权益的内容与保护方式。同时,自然人对人脸识别信息享有人格权益并不排除信息处理者对人脸识别信息享有财产权益,因为人脸识别信息的形成需要信息处理者支付涉及面部特征提取算法、人脸数据采集、构建“人脸大数据”等信息处理环节的成本,这种“劳动支出”决定了人脸识别信息的保护方式不能以“完全限制”或“严苛限制”的方式为主,而是要在两个层面强化对人脸识别信息的事前保护,避免因信息复制成本低廉和指数式传播等基本特性导致的损害结果不可弥补:一是明确规范信息处理者在信息收集、比对、分析等处理环节的具体义务,明确人脸数据与特定自然人身份信息比对的必要性与合比例性;二是在承认信息处理者、控制者的经济性支出的基础上,细化人脸识别技术应用的合法标准和例外情形,包括用户表示同意和撤回同意等实际方式。
四、人脸识别技术应用的修缮式解释与填补式标准设计
(一)《民法典》第1035条的修缮式解释
在现行立法框架下,人脸识别信息终究是“个人信息”的子概念,始终需要遵循个人信息保护的一般规则,“知情同意”理所当然地应当同样适用于人脸识别信息保护。《民法典》第1035条所确立的“知情同意”要求信息处理者在处理个人信息时应当征得自然人或其监护人同意,并告知自然人有关信息处理的目的、方式和范围等事项,但该规则在适用于人脸识别技术生成、处理人脸识别信息的过程中需要进一步完善“知情同意”的可操作性。在商业实践中,如何在公共场合获取自然人或其监护人“同意”、如何判断自然人是否对人脸信息处理行为“知情”“同意”是否能够撤回等问题直接影响到人脸识别技术的应用模式选择,现有“知情同意”缺乏具体标准去衡量场景化视域下个人信息的保护。国内学界有关“知情同意”的讨论大多也是围绕“一般人理性知情”和“差异化知情”等判断标准展开论述,有观点认为基于信息社会的复杂性,“同意”的适用方式随着个人信息类型的变化而有所偏移, “同意”是“知情”的决策结果,且内容应当是具体内容,而非概括式同意。还有学者主张知情同意的本质为“风险分配”,通过用户协议等方式以“同意授权”重构自然人与信息处理者之间的信赖关系。从个人信息保护实践来看,知情同意原则的局限性是客观存在的,通过“同意”来实现充分的信息自决或意思自治仅是立法所追求的理想法益状态,该项制度在商业实践中已经演变为信赖的重新建构,一方面,自然人通过知情同意原则建构起对信息处理活动的初步信赖;另一方面,信息处理者在遵守前述“信赖”内容的基础上完成信息的自由流动。因此,需要明确的是,以“知情同意”规制人脸识别技术应用并非是苛求信息处理者支付一定的经济成本完成权利保障,而是通过信息处理活动的规范化确保个人信息的合理使用。在此业务领域,立法所需要明确的是如何判断信息处理者是否采取必要措施规避个人信息处理活动的安全风险和法律风险。例如,非政府部门及其委托机构在公共场所采集人脸图像时,信息处理者应当以“醒目”的标识提醒自然人已经进入人脸图像采集范围;通过智能设备采集人脸图像时,应当以字体加粗、高亮突出、授权同意等方式强化用户对人脸图像采集和人脸识别信息使用范围的基本认知。除此之外,囿于专业知识有限、技术实现的可能性等诸多因素,用户不可能对所有人脸识别信息的处理活动有着足够且清晰的认知,法律法规所要规定的“同意”应当为一般理性人的概括式同意,即以一般理性人所能认知和预测的信息处理目的、范围和方式为实际内容,至于部分学者所提出的逐项点击“同意”信息处理行为,既不符合人脸识别技术的实践现状,也不符合用户使用信息服务的习惯。
(ニ)人脸识别技术安全标准的“填补式”风险治理
在现代“风险社会”理论框架下,英国学者珍妮?斯蒂尔将贝克和吉登斯的“反思性现代性”特点总结为不良结果与决策的关联深化,即出现预料之外的风险事件,人们侧重于确定该事件背后的人为原因。信息技术创新所带来的社会风险虽然同工业社会的“现代风险”均属于人为引发的客观风险,但前种风险因技术和人为因素的无序组合难以直接追求人为原因。即便通过法律法规苛以事前的法律义务来规避风险,何种限度的法律义务能够兼顾风险最小化与产业发展两种法益尚未可知,更遑论公法层面的直接监管。尽管刷脸支付、刷脸出入等技术应用模式已经相当普及,但这并不能说明人脸识别技术自身已经处于完全成熟的阶段,相关的破解技术与安全问题同样存在。当下,立法者所要明确的并非是人脸识别技术如何进行监管,而是如何明确与解释围绕人脸识别信息的权利义务关系,避免行政监管可能造成的技术创新枷锁。当然,这并不意味着放弃监管,而是以技术标准的方式规范人脸识别信息的处理活动,形成行业内统一的行为规范降低新兴信息技术的安全风险。同时,信息处理者是否遵循相应的行业标准也将成为司法审判中判断责任归属之依据,技术引发的现代化风险也于此在信息处理者与自然人之间进行再次分配。技术标准与法律责任的关联意味着技术标准自身需要以个人信息保护的“安全、合法、正当且必要”基本原则为核心理念,将人脸识别技术按照信息处理流程切割为人脸识别信息系统的代码编写与系统架构设计、人脸图像的采集、人脸识别信息的关联比对、人脸识别信息的更新、维护与删除等诸多环节。在个人信息保护的早期研究中,“收集一分析一处理一存储一删除”式的全生命周期一直被学者们奉为圭桌,但如今值得质疑的是,基于信息全生命周期的规范内容是否能够真正适用于信息处理实践活动?在人脸识别技术应用中,安全风险的产生根源除了以往的数据挖掘、大数据分析等具体环节之外,还在于技术本身的不确定性。因此,在技术标准中,或许可以借鉴欧盟《通用数据保护条例》(GDPR)的经由设计的数据保护”思路,除了提供一般意义上的个人信息处理行为规范,强化人脸识别技术对个人信息安全的影响评估,包括人脸大数据建构的合规性评估、人脸识别技术更新的安全评估、人脸识别信息及其数据库的更新维护评估等内容,尽可能在事前阶段完成信息安全风险的最大化分散。例如,在人脸大数据的建构过程中,信息处理者应当评估人脸图像数据来源的合法性,不得未经自然人同意擅自采集其人脸图像。又如,集团公司应当对人脸识别信息的共享开放进行安全性和合规性评估,评估内部共享人脸识别信息和向政府部门共享人脸识别信息的安全性。这种评估并非无源之水,而是可以嵌入至《数据安全法(征求意见稿)》第四章“数据安全保护义务”中,既是第25条“开展数据活动应当依照法律、行政法规的规定和国家标准的强制性要求”的基本内容之一,也是第28条“重要数据的处理者应当按照规定对其数据活动定期开展风险评估”的应有之义。
五、余论
观之个人信息保护的现有观点与论证,或是以个人信息的权益内容为切口,或是在“信息主体信息控制者”的主体论范式下讨论权益平衡,观察视角不尽相同,但在法理层面,始终无法回避对技术中立难题的自觉性研究。在信息技术变革的浪潮下,没有任何法律客体能够“独善其身”。法律对技术最合理的回应莫过于参与技术的重构过程,维系法律价值与技术价值的内在统一。《民法典》作为中国“承上启下”的第一部法典,承接了既有的民事法律制度,同时也开启了“信息民法”“绿色民法”的新道路。人脸识别技术作为诸多商业活动的主流技术架构,天然地具备民商法调整的必要性和优先性,如若将行政管制主义置于优先顺位,只会促成行政监管对技术应用的制度東缚。自然人对人脸识别信息所享有的民事权益可从《民法典》第126条“其他民事权利和利益”寻求正当性基础,这并非是数据时代“权利泛化”的表征,而是对《民法典》第1034条的合理解读和延伸。在“后民法典”时代, 《民法典》立法工作重心已然转向司法实践中对具体条款的解读与适用。进一步而言,司法机关所要面对的特殊个人信息绝非人脸识别信息只此一种, 健康医疗信息、未成年人身份信息等其他特殊个人信息同样有赖于法院扩大解释个人信息保护的具体规则。同时,借助技术安全标准等可操作性规范性文件补足“是否履行个人信息保护义务”的判断标准,达成“经设计的信息保护”之法律效果。