網際網路時代,人臉識別技術受到了日益廣泛的應用。「刷臉」支付、解鎖、登機、住宿、上課、進門……人臉的價值得到了前所未有的提升。
在公共領域,應用人臉識別技術可以及時抓獲潛逃多年的犯罪嫌疑人,可以及時尋找到失散多年的被拐賣婦女兒童,執法效率和社會公共安全得以大幅提高。在商業領域,應用人臉識別技術不僅可以大大節約企業運營成本,提高管理效率,還可以開發更多的智能產品和智能服務,從而獲得新的利潤增長點。對於個人來說,應用人臉識別技術不僅可以提供便利性,減少輸入密碼或刷卡的繁瑣性,還可以提高安全性,減少竊密、造假、冒用、頂替等違法行為的產生。
科技是一把雙刃劍。人臉識別技術既能給人類社會帶來福利,也存在不小的風險。人臉信息屬於「活體數據」,一旦泄露或被濫用,其危害遠高於其他個人信息。首先,人臉識別技術可能侵犯隱私。人臉信息可能被不當收集,甚至用來非法交易。只要擁有人臉信息,個人行蹤軌跡和行為內容就可能一直被監控。其次,如果人臉識別被用於深度偽造,不僅可能侵犯肖像權、名譽權、智慧財產權等權利,還可能被用於詐騙等犯罪活動。再次,人臉識別技術可能導致歧視,造成新的不平等。通過人臉識別出不同的種族、性別、身份等信息,個人可能受到不公平對待,算法歧視問題可能更嚴重。最後,如果一國的大規模人臉信息不當出境,沒有遵守個人信息出境安全評估的要求,還可能影響國家安全。
在域外,對於人臉識別技術的規制存在不同的做法。歐盟制定的《一般數據保護條例》(GDPR)已於2018年5月生效,被稱為史上最嚴的個人信息保護規定,對於人臉識別等信息處理進行了系統規定。GDPR將人臉信息視為特殊種類的個人信息,屬於生物學數據,原則上禁止使用。只有獲得個人明示同意且成員國沒有禁止、或出於履行勞動社會保障義務的必要、或為了實現重大公共利益所必需、或為了實現醫學目的、或出於統計目的等情形,才能依據嚴格的條件和程序進行處理。針對包括人臉信息處理在內的數據處理嚴重違法行為,GDPR設定了巨額行政處罰,監管部門最高可處以2000萬歐元,或上一財年全球營業額4%的行政處罰,以較高者為準。2019年8月,瑞典數據監管機構根據GDPR,對使用人臉識別系統的一所學校罰款20萬瑞典克朗(約人民幣14.8萬元),其理由是通過人臉識別系統記錄22名學生的出勤率,侵犯了學生的隱私,學校完全可以用其他損害較小的方式統計出勤率。
「刷臉」好用但須慎用。人臉識別技術如果運用不當,確實可能產生很多風險,但不能由此因噎廢食簡單加以禁止,而應有效地加以規範引導。壯大數字經濟,拓展「智能+」,需要充分利用各種數據,實現數據賦能。但數字科技需要在法律的軌道下發展創新,技術中立並不表明技術可以脫離法治,人臉識別技術必須受到法律規制。
首先,應用人臉識別技術應遵循目的正當性原則。收集和處理人臉信息必須基於具體而明確的正當目的,企業不得出於非法牟利目的而濫用人臉識別技術,公共機構不得以寬泛的「維護公共利益」為由而強制收集和處理人臉信息。在人臉信息的收集、存儲、處理、使用等各環節應設置邊界。即使合法收集的人臉信息也可能被濫用,所以要同時規範人臉信息的收集與處理行為。一旦目的完成,就應當及時刪除銷毀存儲的人臉信息。
其次,完善人臉信息所有人的同意和撤銷機制,尊重和保護個人隱私。人臉識別技術的應用必須尊重和保護個人隱私,充分保障個人的知情權和選擇權。在大數據時代,絕不能讓「以隱私換取便利」成為常態,而應在有效保障隱私的前提下不斷提高便利性。人臉信息收集行為很多時候個人可能並不知情,大街上、商場中、小區里安裝的攝像頭,可能隨時收集人臉信息。收集人臉信息原則上必須獲得明示同意,應確保人臉信息主體的明示同意是其在完全知情的基礎上自願給出的、具體的、清晰明確的意思表示。應完善特定人群的同意機制,如學生與學校之間事實上存在管理與被管理的關係,學生同意學校使用人臉識別系統可能並非真實的意思表示,而且如果個別或少數同學不同意,可能就無法正常上課。需要注意的是,並非所有處理人臉信息的行為都應當獲得同意,如確實出於保護重大公共利益的需要,當然,並非一經同意就可以進行任何人臉信息處理行為,應當在合法的收集目的下進行合理使用。要完善人臉信息授權撤銷機制,使人臉信息所有人可以隨時便利地撤回授權。
再次,加強對濫用人臉識別技術的平等性執法,並提高監管效能。隨著人臉信息價值的不斷提高,濫用人臉識別技術的違法行為可能越來越多。應當運用各種智能科技手段積極發現違法線索,杜絕選擇性執法,禁止偏袒,防止權力尋租。一經發現違法行為,無論是網際網路巨頭企業還是中小微企業,都應當一視同仁,做到同樣情況同等對待,不同情況區別對待。政府部門應在各自職權範圍內,及時開放共享相關信息,進行有效的執法協作,形成敏捷治理合力,既減少多頭執法的積極亂作為,也克服懶政怠政的消極不作為。
最後,細化濫用人臉識別技術的責任設置,加大懲罰力度。責任設置應當科學合理,既能最大限度地預防減少濫用人臉識別技術的違法行為,又能有效促進數字經濟的規範健康發展。國家新一代人工智慧治理專業委員會發布的《新一代人工智慧治理原則——發展負責任的人工智慧》明確要求:「建立人工智慧問責機制,明確研發者、使用者和受用者等的責任。」除了應當細化不同主體的責任外,還應當加大行政處罰的力度,加強個人信息的行政法保護。人臉信息的私法保護存在一定的局限性,因為很多情形往往難以確定致損主體、難以確定損害大小、難以判斷損害與人臉信息處理的因果關係。而人臉信息的刑法保護往往會對企業造成毀滅性的打擊,出於對刑法謙抑性的確保,可以考慮適當加大濫用人臉識別技術的行政處罰力度。
來源:《學習時報》2019年10月16日第2版