人脸识别在治理领域的应用与规制

来源:誉澄智能 2020/6/12 13:17:28      点击:

近年来,人脸识别技术在基层治理中的应用日渐广泛,在身份验证领域,自欧盟EES系统引入面部图像作为生物识别符号并将人脸识别技术用于身份验证后,人脸识别逐渐广泛应用于交通枢纽、出入境、安防等领域的票务检查和人员信息登记等工作。基层治理中也在诸如证件许可核验、社保资格核实等资格认证、特定人员的实时预警中广泛采用了人脸识别技术,此前南通市就有逃犯被人脸识别系统发现并报警抓获。同时,人脸识别技术能够自动记录被识别个体的人脸信息、活动轨迹和行为数据,是统计分析实时人流量、常住人口等动态数据的重要工具,为精准治理提供重要依据。

人脸识别带来高效、便利的治理的同时,也给个人信息与隐私保护带来了隐忧与风险。人脸不属于隐私,因为隐私是不愿意被他人知晓的。人脸每天都暴露在公众面前,个人不可能对其拥有合理的隐私期待。但是,人脸能够标识出特定的个人身份,具有个体识别性,因此应当属于个人信息。我国《民法典》第111条规定:“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”人脸识别的风险在于,首先,人脸虽然不属于隐私,但是人脸识别能够根据个体面部特征,分析和发现种族、年龄等个人隐私,因为人脸这种生物特征具有唯一性;其次,基层治理主体掌握了诸多数据库,一旦将人脸信息与其他信息结合,个人隐私甚至个人具体活动将无所遁形;此外,人脸识别要依靠人脸信息数据库,理论上,该数据库储存的人脸信息越多,其识别的精确性就越高。但是反过来,这种人脸信息数据库越大,其被滥用或者泄露所造成的危害也就越大。一旦掌握了该数据库,就等于掌握了“通往个人隐私和其他个人权利(比如用户将人脸作为支付密码)”的钥匙。因此,在当前无法充分保障人脸信息数据库的安全性的情况下,公众对人脸识别的担心是可以理解的。

15881665447364210.jpg

根据个人信息自主权的理论,人脸识别要经过当事人的同意。首先,当事人的同意只是针对特定时空下的识别,并非概括性允许任何时候的识别;其次,当事人的同意只是基于特定的目的(比如进入某个区域),不能用于其他的目的。但问题是,当事人即使同意,由于信息不对称,一方面并不充分了解人脸识别的风险,很难理性行使其自主权,另一方面,由于存在技术壁垒,也无法了解乃至监督对方是否正确使用了人脸信息。如果当事人不同意,往往都会带来负面的影响(比如无法通行或办理某些业务),此时人脸识别就带有一定的强制性,因此,很难判断当事人的同意是否出于“真实意愿”。此前,瑞典北部的一所学校基于同意书使用面部识别技术跟踪学生的入学情况,但由于数据主体与控制人之间地位明显不平衡,该同意书被当地的数据保护部门认定不足以成为使用人脸识别技术的法律依据。可见,人脸识别并非仅仅获得当事人同意就可以应用,还需采取给被识别人提供多种可行且效果相似的识别手段、经由中立机构的审查等方式来规制人脸识别技术的使用。

从个人信息自主权的角度,个人的自主要建立在充分知情的基础上,即个人要充分了解风险,这就要求人脸信息流动的全过程要对个人“公开透明”,从而给个人监督信息使用留下通道。域外有关人脸识别的立法,比如美国华盛顿州《人脸识别服务法》、加利福尼亚州《人脸识别法》草案中均提出了通过问责报告、年度报告等形式来说明人脸识别使用情况的要求。这种报告制度能够在一定程度上保障个人的知情权,帮助个人正确认识人脸识别技术,以便在充分权衡利弊的基础上形成其内心真意,从而理性行使其个人信息自主权,这对于基层治理中使用人脸识别技术有一定的参考价值。

相较于私营主体,公共部门在基层治理中基于法定职责的需要使用人脸识别技术,具有目的正当性,同时也符合大数据时代智慧治理的发展趋势。但是也要对其进行规制,防止其滥用该技术。基层治理中使用人脸识别技术必须尊重个人信息的自主权,才会具有手段的正当性。对此,我国的《民法典》不仅专设“隐私权与个人信息保护”一章,并且在第1039条中规定,“国家机关、承担行政职能的法定机构对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供”。

【本文作者为北京航空航天大学法学院教授、宪法与行政法研究中心主任】