点击右上角微信好友

朋友圈

请使用浏览器分享功能进行分享

正在阅读:如何对人脸识别进行法律规制
首页> 理论频道> 文史科教 > 正文

如何对人脸识别进行法律规制

来源:经济参考报2020-12-22 09:41

调查问题加载中,请稍候。
若长时间无响应,请刷新本页面

  作者:中央财经大学法学院教授 邢会强

  就政府部门使用人脸识别的法律规制,特别许可使用制度既发挥人脸识别技术之利,又防范人脸识别技术之弊,是一种更加理性的制度安排。就非政府部门使用人脸识别的法律规制,对人脸信息作出比一般个人信息更为严格的特别保护和特别规制,更有利于保护个人的人脸信息。

  在无竞争性的服务领域(如民航、铁路、学校、社区等)使用人脸识别技术,当人们拒绝“刷脸”时,应提供其他替代性的验证机制,而不能不“刷脸”就不能使用或进入。即使不全面叫停政府部门安装、使用人脸识别技术,也应该对其进行严格的法律规制,防范安全风险,防止被滥用。

  随着技术的发展,人脸识别(俗称 “刷脸”)在我国逐渐盛行。我国目前对人脸识别技术尚无专门的法律规定,无论是政府、社区、事业单位还是商家,均可以任意安装人脸识别技术,强制人们“刷脸”验证。而人们若拒绝“刷脸”,则基本上无法使用相关服务。如若不服,则投诉无门,只能对簿公堂,但诉讼成本高昂。基于此,有必要对人脸识别的法律规制予以深入研究,厘定人脸识别技术应遵循的法律底线,明晰人脸识别技术法律规制的基本要点。

  人脸识别技术的特征、收益与风险

  人脸识别可简单地概括为:机器对静态或视频中的人脸图像进行特征提取、分类识别,以达到身份鉴别的目的。人脸识别技术的应用场景日渐丰富,其功能归纳起来主要是身份验证和监控。这又可以分为政府机构的公共应用和非政府机构的商业应用与慈善应用等。

  人脸具有如下的特征:独特性和直接识别性,方便性,不可更改性,变化性,易采集性,不可匿名性,多维性。人脸的上述特征直接决定了人脸识别技术具有复杂性特征,而现实中很多收集人脸的机构并不具备相应的风险防控、安全保障能力、组织和机制。

  人脸识别技术的收益是世所公认的,人脸识别技术可以应用于诸多场景。

  但是,另一方面,人脸识别技术的风险也是不可小觑的。其风险主要有:一是误差风险。如果人脸识别技术不够成熟,可能出现混淆。此外,由于人脸为非刚体性,人脸之间的相似性以及各种变化因素的影响,准确的人脸识别仍较困难。二是身份认证被破解的风险。密码是秘密保存的,但人脸却是公之于众的。最新的人脸验证技术,结合了3D图片进行登录与验证,这比以前的技术更难破解,但破解并非完全不可能。三是信息泄露风险。用于保存人脸信息的电子计算机系统存在被黑客入侵、病毒入侵的风险,这可能导致信息泄露。此外,内部员工的作案也可能导致信息泄露。生物信息具有100%的可识别性,一旦被泄露或是被不当利用,后果无法估量。

  国外人脸识别法律规制的经验

  从美国有限的既有立法或立法草案、建议来看,美国对政府部门使用人脸识别的法律规制,有别于对非政府机构使用人脸识别的法律规制,二者是分别立法、分别规制的,规制的具体方法和价值取向截然不同。对政府部门使用人脸识别的法律规制主要分为三种:第一种是禁止使用制度,第二种是特别许可使用制度,第三种是任意使用制度。禁止使用制度为美国旧金山市所首创,目前备受关注。特别许可使用制度目前尚处于民间建议阶段。任意使用制度即对政府使用人脸识别尚未特别立法,政府部门可以任意使用人脸识别。而美国对非政府机构使用人脸识别的法律规制,主要是将人脸信息作为生物信息之一加以规制,它也可以分为两种路径:一种是比对一般个人信息的保护更为严格的高强度规制路径或特别规制路径,另一种是与对一般个人信息的保护没有区分的、同等程度保护的普通规制路径。

  欧盟与美国对政府部门和商业部门使用人脸识别技术分别进行立法不同,欧盟《通用数据保护条例》(以下简称GDPR)是对公私部门一体适用的。这就意味着,无论是政府部门还是非政府部门,只要使用人脸识别技术,就必须遵守相同的规范。

  GDPR第4条定义条款对“生物数据”(biometric data)进行的界定包括“面部图像”(facial images)。GDPR第9条规定了特殊种类的个人数据处理,其中就包括生物数据。GDPR对生物数据的处理,遵循“原则禁止,特殊例外”的原则。数据控制者可援引“数据主体的同意”作为个人生物数据处理的例外,但该同意必须是“自由给予、明确、具体、不含混”的,数据主体的任何被动同意均不符合GDPR的规定。

  2019年7月,欧洲数据保护委员会(EDPB)颁布了《关于通过视频设备处理个人数据的3/2019指引》提供了尽量降低风险的措施,例如,对原始数据进行分离存储和传输;对生物识别数据尤其是分离出的片段数据进行加密并制定加密和秘钥管理政策;整合关于反欺诈的组织性和技术性措施;为数据分配整合代码;禁止外部访问生物识别数据;及时删除原始数据,如果必须保存则采取添加干扰(noise-additive)的保护方法。

  就政府部门使用人脸识别的法律规制,目前国外虽然三种制度并存,但任意使用制度显然是大数据时代之前的做法,未认识到人脸识别技术给人们带来的风险;禁止使用制度也太过于激进,不利于发挥人脸识别技术的优势,扼杀了技术的发展。相比较而言,特别许可使用制度既发挥人脸识别技术之利,又防范人脸识别技术之弊,是一种更加理性的制度安排,值得我国借鉴。

  就非政府部门使用人脸识别的法律规制,目前国外虽然两种制度并存,但将人脸信息作为一般个人信息对待的普通规制路径显然是没有认识到人脸信息及人脸识别技术的特殊性,将个人置于极大的风险之中。而对人脸信息作出比对一般个人信息更为严格的特别保护和特别规制,更有利于保护个人的人脸信息,更值得我国借鉴。

  但是,各国的政治、社会和技术背景存在各自的特殊性,这就决定了国外对于人脸识别技术的相关制度未必适合于我国,我国在引进相关制度时需要审慎甄别。

  完善我国人脸识别法律规制的建议

  我国2020年5月颁布的民法典第1034条第1款规定,“自然人的个人信息受法律保护”,并在该条第2款个人信息的定义中,明确将生物识别信息列举为个人信息,但也未对个人生物识别信息作特别保护。个人信息保护法(草案)第27条规定:“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。”这里“图像采集”包括人脸识别。个人信息保护法(草案)第29条将个人生物信息作为敏感个人信息加以保护,并规定了“充分必要”原则。但总体而言,个人信息保护法(草案)对人脸识别技术的规制仍较为简略。

  我国目前对包括人脸信息在内的生物识别信息的特别保护呈现出软法先行的特点。2020年2月,全国金融标准化技术委员会审查通过的《个人金融信息保护技术规范》(JR/T 0171-2020)(以下简称《规范》)将生物识别信息列为敏感性最高的C3类信息,并要求金融机构不应委托或授权无金融业相关资质的机构收集C3类信息,金融机构及其受托人收集、通过公共网络传输、存储C3类信息时,应使用加密措施。2020年3月新修订的我国国家标准GB/T 35273-2020《信息安全技术个人信息安全规范》明确规定个人生物识别信息属于个人敏感信息,并对个人敏感信息进行了特殊保护。2020年11月27日,工信部组织发布了电信终端产业协会团体标准《APP收集使用个人信息最小必要评估规范人脸信息》,规定了移动应用软件对人脸信息的收集、使用、存储、销毁等活动中的最小必要规范和评估方法,并通过个人信息处理活动中的典型应用场景来说明如何落实最小必要原则。

  数据治理的普遍性、技术性、复杂性、应时性等特点决定了数据治理具有一定的软法空间,但软法欠缺强制力的特点决定了对包括人脸信息在内的个人生物识别信息的特别保护离不开硬法的托底。因此,有必要从硬法的角度系统思考对包括人脸信息在内的个人生物识别信息的特别法律保护、对人脸识别的特别法律规制问题。

  1、建立健全一体适用的安全与责任底线

  法律规制人脸识别技术的目的,不是一味地叫停该项技术的使用,而是要在确保安全的前提下,倡导一种负责任的使用。为此,笔者建议建立如下公私部门一体适用的安全与责任底线。如果不符合这些安全与底线原则,则为违法收集个人信息。

  其一,无论谁使用人脸识别技术,人脸识别系统要经第三方独立机构定期检测,以检测其准确性与非歧视性。必要时,人脸识别系统及其定期检测结果应向监管部门备案。

  其二,无论谁通过公共网络收集、传输、存储人脸信息,都应使用加密措施,并对收集到的人脸信息进行分片段单独存储,并不得公开披露人脸信息。

  其三,无论谁使用人脸识别技术,都应该建立可追踪的技术体系。谁在何时何地查询、使用、修改、下载了人脸信息,事后都可查证,以便发生侵权时,人脸识别技术使用主体对侵权人进行查证和追责。

  其四,法律应该规定,无论是谁使用人脸识别技术,如果其收集的信息被证明出现被盗窃、泄露、非法使用、非法出售、非法提供等情形,从而给信息主体造成损失的,收集者对受害人受到的实际损失承担连带赔偿责任;如果受害人的实际损失难以证明,则应对每个受害人至少赔偿一定数额(如2000元人民币)的法定定额赔偿金。受害人受到的实际损失小于该法定定额赔偿金的,受害人可直接主张法定定额赔偿金。

  其五,无论是谁使用人脸识别技术,人们均有权拒绝“刷脸”。如果是在无竞争性的服务领域(如民航、铁路、学校、社区等)使用人脸识别技术,当人们拒绝“刷脸”时,应提供其他替代性的验证机制,而不能不“刷脸”就不能使用或进入。毕竟,每个人的风险偏好是不尽相同的,法律规则的设置应容忍和尊重那些低风险偏好的人,尤其是在当前不能做到人脸识别系统百分之百安全的情况下。

  2、区分公私部门配置不同的规制重心

  对政府部门使用人脸识别技术应以事前事中规制为主,对非政府部门使用人脸识别技术应以事中事后规制为主。

  政府部门执行公务过程中构成侵权,因有国家赔偿法的限额赔偿而使当事人难以获得充分赔偿,且一旦政府部门涉嫌侵权对政府部门的声誉将造成重大不良影响,因此,应着重从事前进行风险防范,即对政府部门安装、使用人脸识别技术应坚持有权机构批准同意原则,未经有权机构批准同意,政府任何部门不得安装、使用人脸识别技术。有权机构在批准时,应考虑到安装、使用人脸识别技术的必要性、正当性,且应通过一定的法律正当程序,遵循公开、透明、民主参与等原则予以批准。

  如果对商业部门安装、使用人脸识别技术坚持事前批准的话,因政府部门在技术上往往落后于商业部门,这可能发展不出来一种有效的审批,更为重要的是,还可能遏制商业创新和技术创新。但是,如果商业部门的人脸识别给消费者造成损害的话,受害人可以通过事后的民事诉讼来进行追责,执法部门也可以通过事中或事后的执法进行监管和追责。当然,这需要我们健全法律框架,使执法部门有法可依,使受害人可以依法维权。

  至于我国是否需要全面禁止政府部门安装、使用人脸识别系统,这属于政治过程决定的结果。我国公安机关布控的天眼系统,通过安装在城市公共场合的摄像头对人脸进行实时、精准且快速的甄别,让犯罪分子无处可逃。但通过人脸识别技术所进行的监控对个人自由的威胁也越来越引起人们的重视。人们对全面监控感到压迫和焦虑。即使不全面叫停政府部门安装、使用人脸识别技术,也应该对其进行严格的法律规制,防范安全风险,防止被滥用。

  3、对人脸信息的采集施加比对一般个人信息的采集更强的规制力度

  人脸信息不同于一般个人信息,甚至人脸信息作为生物信息也与其他生物信息(如指纹)也有较大区别。因此,人脸信息的采集应坚持特别规制即差异化规制,即应坚持更强的知情同意原则。

  采集一般个人信息,除了法定例外情形,一般都需要征得数据主体的知情同意。但人脸信息具有特殊性,除了法定例外情形,其所适用的知情同意原则,应比一般的个人信息所适用的知情同意原则更严格,即应坚持书面(written)知情同意原则。此外,法律应规定采集人脸信息之前,采集者应告知被采集者其采集的信息具体类型、目的、保存时间、被采集者的风险与权利,告知的方式必须是书面的。

[ 责编:徐倩阳 ]
阅读剩余全文(

您此时的心情

光明云投
新闻表情排行 /
  • 开心
     
    0
  • 难过
     
    0
  • 点赞
     
    0
  • 飘过
     
    0

视觉焦点

  • 新质生产力引领下的共同富裕之路

  • 数字化转型赋能中小企业高质量发展

独家策划

推荐阅读
高质量构建“大思政课”工作体系要聚焦目标、效果和特色,着力破解思政课建设中的重点、难点和关键问题,带动思政课叙事表达体系和场景体验模式的深层变革。
2024-03-18 10:28
中华文化的主体性植根于5000多年的文化沃土,是在创造性转化、创新性发展中华优秀传统文化、传承革命文化、发展社会主义先进文化的基础上,借鉴吸收人类一切优秀文明成果的基础上建立起来的。
2024-03-08 16:31
数字化网络化智能化加速发展,各国既面临着新的发展机遇,也需要应对新的全球性问题,国际社会迫切需要携手合作,共同打造和平、安全、开放、合作的网络空间,携手构建网络空间命运共同体。
2024-03-01 14:51
中华民族传统节日春节即将到来。值此之际回望2023年,中国经济主要预期目标圆满实现。展望新的一年,我国经济发展依然将面临一些困难和挑战,但同时也具有体量大韧性强创新后劲足的竞争优势、宏观经济政策回旋空间大的支撑效应、新一轮全面深化改革开放的增长红利等三重有利支撑。
2024-02-09 16:37
要聚焦新时代新征程党的中心任务,以加快政府职能转变和优化政府职责体系为重点,在“加减乘除”上做文章,推进机构改革再深化,为在新征程上全面推进中国式现代化提供新动力。
2024-01-30 11:31
面对不断升级的数字社交产品,反而需要青年人意识到沉浸式社交环境背后的营销策略与运作逻辑,从而与社交媒体生成的感官刺激与虚拟自我保持距离。
2024-01-15 09:41
“人民美好生活需要”的提出,内含着马克思主义的价值宗旨,体现社会主义的本质要求,根植于中国经济社会发展实际,符合中国共产党的初心使命,体现合规律性与合目的性的高度统一。
2024-01-12 09:39
冬至阳生,岁回律转。在新的一年,我们站在这一年的不易成果上,对未来充满信心,更加需要接续奋斗、砥砺前行,取得更多发展成果。
2024-01-04 15:35
针对目前思政课教师供给能力不能有效满足思政课强起来的发展需要这一突出矛盾,要切实提升教师供给能力,改进教学方式,推动新时代思政课朝着高质量发展。
2023-12-14 17:59
我国始终主动实行扩大进口的战略和政策,连续举办进口博览会,倡导开放合作,与既往的贸易保护理论和政策主张存在根本差异,为维护开放的世界经济注入了强大动力。
2023-11-09 10:22
面向未来,要进一步扩大“朋友圈”,绘制好“工笔画”,对接好“硬联通”与“软联通”,秉持包容、合作、共赢的原则,为实现民族复兴和推进全人类的福祉而努力奋斗。
2023-10-24 11:06
文化交流很重要,我们在讲“一带一路”的时候,也需要讲“共建国家”给我们带来的好处。其实我们面临着如何正确对待自己的问题,“一带一路”不是单方面的施与,而是双向的或多向的互利。
2023-10-10 09:58
我们必须要全面把握东北向北开放的历史使命,通过推动东北亚次区域、国别合作,破解东北亚各国战略意图和利益不同、战略互信缺失的困境。
2023-09-27 09:53
2022年我国数字经济规模达50.2万亿元,总量稳居世界第二,同比名义增长10.3%,占国内生产总值比重提升至41.5%,数字经济成为我国稳增长促转型的重要引擎。
2023-09-15 10:49
坚持以习近平法治思想和总体国家安全观为指导,准确把握完善国家安全法治体系的时代内涵和实现路径,是新时代新征程把中国特色国家安全法治建设推向前进的必由之路。
2023-08-22 09:41
习近平总书记进一步推进马克思主义基本原理同中国具体实际、同中华优秀传统文化相结合,创造性回答了关系党和国家事业发展的重大问题,形成一系列原创性理论成果。
2023-08-18 09:14
深刻的理论来源于人民大众的实践,只有不断拓展理论的深度和广度,用“大众话语”说清“理论话语”,理论才能真正变成人民群众手中的尖锐武器。
2023-07-18 17:59
“千万工程”把村庄整治与发展经济结合起来,以乡村经营为抓手,持续打通“绿水青山就是金山银山”转化通道,将生态红利变为民生福利。
2023-07-12 09:32
区域国别学是典型的交叉学科,只有从不同学科视角贡献知识增量,通过融合、碰撞和创新,才能最终形成学科共识。
2023-06-28 09:36
加载更多