关于政府部门使用人脸识别的法律规制,特别许可使用制度既发挥了人脸识别技术的优势,又防止了人脸识别技术的弊端,是一种更加理性的方式。进近规则安排。关于非政府部门使用人脸识别的法律规范,人脸信息的特殊保护和特殊规定比一般个人信息更加严格,更有利于个人人脸信息的保护。当人脸识别技术应用于非竞争性服务领域(如民航、铁路、学校、社区等),当人们拒绝“刷脸”时,应提供其他替代验证机制,而不是“刷脸”脸”。不能使用或输入。即使政府部门不完全停止安装和使用人脸识别技术,也应该实施严格的法律规定,以防范安全风险和防止滥用。随着科技的发展,人脸识别(俗称“人脸识别”)在我国逐渐普及。目前,我国还没有专门针对人脸识别技术的法律法规。无论是政府、社区、机构还是企业,都可以随意安装人脸识别技术,强制人们“刷脸”进行验证。而如果人们拒绝“刷脸”,则基本无法使用相关服务。如果不满意,投诉无门,只能诉诸法院,但诉讼成本高。基于此,有必要对人脸识别的法律规制进行深入研究,确定人脸识别技术应遵循的法律底线,明确人脸识别技术法律规制的基本要点。人脸识别技术的特点、优势和风险人脸识别可以简单概括为:机器对静态或视频人脸图像进行特征提取、分类和识别,以达到身份识别的目的。人脸识别技术的应用场景越来越丰富,其功能主要是身份验证和监控。这可以分为政府机构的公共应用和非政府组织的商业应用和慈善应用。人脸具有以下特点:唯一性和直接识别性、便利性、不可更改性、可变性、易收集性、非匿名性、多维性。人脸的上述特征直接决定了人脸识别技术的复杂性,但现实中,很多采集人脸的机构并不具备相应的风险防控、安全保障能力、组织机构和机制。人脸识别技术的好处是全世界公认的,人脸识别技术可以应用于很多场景。然而,另一方面,人脸识别技术的风险也不容小觑。风险主要包括:一是错误风险。如果面部识别技术不够成熟,可能会出现混乱。此外,由于人脸的非刚性性、人脸之间的相似性以及各种变化因素的影响,准确的人脸识别仍然存在困难。二是身份认证被破解的风险。密码是保密的,但面孔是公开的。最新的人脸验证技术,结合3D图片进行登录和验证,比之前的技术破解难度更大,但破解也不是不可能。三是信息泄露风险。保存人脸信息的电子计算机系统存在被黑客入侵和病毒入侵的风险,可能导致信息泄露。此外,内部员工的犯罪行为也可能导致信息泄露。生物信息是100%可识别的。一旦泄露或使用不当,后果将不可估量。国外人脸识别法律规制的经验从美国有限的现有立法或立法草案和建议来看,美国政府部门对人脸识别使用的法律规制与人脸识别的法律规制有所不同。非政府组织使用人脸识别。两者分别立法和监管,监管的具体方式和价值取向完全不同。政府部门对人脸识别的使用主要有三方面的法律规定:一是禁止使用制度,二是特准使用制度,三是任意使用制度。禁令制度最早由美国旧金山市创立,目前备受关注。特殊许可制度尚处于民间建议阶段。任意使用制度是指政府对人脸识别的使用没有专门的立法,政府部门可以任意使用人脸识别。在美国,对非政府组织使用人脸识别的法律规定主要将人脸信息作为生物信息之一进行规范。也可以分为两种路径:一种是比一般个人信息保护更为严格的高强度监管路径或特殊监管路径,另一种是与保护个人信息无异的普通监管路径一般个人信息并具有相同级别的保护。欧盟和美国对政府部门和商业部门使用人脸识别技术有单独的立法。欧盟《通用数据保护条例》(以下简称GDPR)适用于公共和私营部门。这意味着无论是政府部门还是非政府部门,只要使用了人脸识别技术,就必须遵守同样的规范。GDPR第4条将“生物识别数据”定义为包括“面部图像”。GDPR第9条规定了对特殊类别个人数据(包括生物数据)的处理。GDPR对生物数据的处理遵循“原则上禁止,特殊例外”的原则。数据控制者可以援引“数据主体的同意”作为处理个人生物数据的例外情况,但该同意必须是“自愿给予的、明确的、具体的和明确的”。数据主体的任何被动同意都不符合GDPR的规定。2019年7月,欧洲数据保护委员会(EDPB)颁布《关于通过视频设备处理个人数据的3/2019指引》,提供风险最小化措施,例如,单独存储和传输原始数据;加密生物特征数据,尤其是分离的碎片数据,并制定加密和密钥管理政策;整合有关反欺诈的组织和技术措施;为数据分配集成代码;禁止外部访问生物识别数据;及时删除原始数据,必须保留的保护方法,采取加噪措施。关于政府部门对人脸识别使用的法律规制,虽然目前国外三种制度并存,但随意使用制度显然是大数据时代之前的做法,人脸识别技术给人们带来的风险还没有被认可;禁用制度也过于激进,不利于发挥人脸识别技术的优势,扼杀了技术的发展。相比较而言,专用证使用制度既发挥了人脸识别技术的优势,又避免了人脸识别技术的劣势。这是一种比较合理的制度安排,值得我国借鉴。关于非政府部门使用人脸识别的法律规制,虽然国外两种制度并存,但将人脸信息作为一般个人信息对待的一般监管方式,显然没有认识到人脸信息和人脸识别技术的特殊性,使个人处于极大的危险之中。人脸信息的特殊保护和特殊规定比一般个人信息更为严格,更有利于个人人脸信息的保护,值得我国借鉴。但是,每个国家的政治、社会和技术背景都有其特殊性,这决定了国外人脸识别技术的相关系统不一定适合我国,我国在引入相关系统时需要谨慎。完善我国人脸识别法律规制的建议2020年5月颁布的民法典第1034条第一款规定“自然人的个人信息受法律保护”,并在个人信息的定义中本条第2款明确将生物识别信息列为个人信息,但对个人生物识别信息没有特殊保护。《个人信息保护法(草案)》第二十七条规定:“公共场所设置图像采集和个人身份识别设备,应当是维护公共安全所必需的,符合国家有关规定,并设置显着提示标志。收集的个人图像1、个人身份信息只能用于维护公共安全的目的,不得向他人泄露或者提供;征得个人同意或者法律、行政法规另有规定的除外。”这里所说的“图像采集”包括人脸识别。《个人信息保护法(草案)》第29条将个人生物信息作为个人敏感信息进行保护,规定了以下原则:“充分与必要”。但总体而言,《个人信息保护法(草案)》在规范人脸识别技术方面还是比较单一。目前,我国对包括人脸信息在内的生物识别信息的特殊保护,呈现出软法优先的特点。2020年2月,国家金融标准化技术委员会审议通过的《个人金融信息保护技术规范》(JR/T0171-2020)(以下简称《规范》)将生物识别信息列为最敏感的C3信息,要求金融机构不得向机构提供金融行业不具备相关资质的,应当委托或授权采集C3信息,金融机构及其受托人通过公用网络采集、传输、存储C3信息时,应当采用加密措施。2020年3月新修订的中国国家标准GB/T35273-2020《信息安全技术个人信息安全规范》明确规定个人生物识别信息属于个人敏感信息,对个人敏感信息进行特殊保护。2020年11月27日,工信部发布电信终端行业协会团体标准《APP收集使用个人信息最小必要评估规范 人脸信息》,规定了人脸信息采集、使用、存储、销毁的最低必要规范和评价方法。移动应用程序,以及在个人信息处理活动中使用典型应用场景来说明如何实施最低限度必要原则。数据治理的普遍性、技术性、复杂性和时效性决定了数据治理具有一定的软法空间,但软法缺乏强制力决定了包括人脸信息在内的个人生物识别信息被严格禁止。特殊保护离不开硬法的支持。因此,有必要从硬法角度系统思考包括人脸信息在内的个人生物识别信息的特殊法律保护和人脸识别的特殊法律规制。1.建立健全统一的安全责任底线。对人脸识别技术进行法律规制的目的并不是要一味地制止这项技术的使用,而是提倡在保证安全的前提下负责任地使用。为此,作者建议建立以下适用于公共和私营部门的安全和责任底线。如果不满足这些安全和底线原则,收集个人信息是违法的。首先,无论谁使用人脸识别技术,人脸识别系统都必须由第三方独立机构定期进行测试,以测试其准确性和非歧视性。必要时,人脸识别系统及其定期检测结果应报监管部门备案。第二,无论是谁通过公共网络收集、传输、存储人脸信息,都应采取加密措施,对收集到的人脸信息分段单独存储,不得公开泄露人脸信息。第三,无论谁使用人脸识别技术,都应该建立可追溯的技术体系。谁查询、使用、修改、下载人脸信息都可以进行事后验证,从而在侵权发生时,人脸识别技术主体可以验证并追究侵权人的责任。四、法律应当规定,无论谁使用人脸识别技术,其收集的信息经证实被盗窃、泄露、非法使用、非法销售、非法提供等,给信息主体造成损失的,收集者对受害人的实际损失承担连带责任;受害人实际损失难以证明的,每名受害人至少应获得一定数额(如2000元)的法定定额赔偿。受害人实际遭受的损失小于法定定额赔偿的,受害人可以直接请求法定定额赔偿。第五,无论谁使用人脸识别技术,都有拒绝“刷脸”的权利。如果人脸识别技术应用于非竞争性服务领域(如民航、铁路、学校、社区等),当人们拒绝“刷脸”时,应提供其他替代验证机制,而不是“刷脸”脸”。”不能使用或输入。毕竟每个人的风险偏好不同,法律规则应该对风险偏好低的人给予宽容和尊重,尤其是在目前人脸识别系统还不能100%安全的情况下。2.区分具有不同监管重点的公共和私营部门。政府部门使用人脸识别技术要事前监管,非政府部门使用人脸识别技术要事中事后监管。政府部门在执行公务过程中构成侵权,由于国家赔偿法规定的赔偿有限,当事人很难获得全额赔偿,政府部门一旦涉嫌侵权,将面临对政府部门声誉造成重大负面影响。预防,即政府部门安装和使用人脸识别技术,应坚持主管部门审批同意的原则。未经主管机构批准同意,任何政府部门不得安装、使用人脸识别技术。授权机构在审批时应考虑安装和使用人脸识别技术的必要性和合法性,并应经过一定的法定正当程序,遵循公开、透明、民主参与的原则。如果我们坚持对商业部门安装和使用人脸识别技术进行事先批准,由于政府部门在技术上往往落后于商业部门,这可能无法形成有效的批准,更重要的是,它可能也遏制了商业创新。和技术创新。但如果商业领域的人脸识别对消费者造成损害,受害人可以通过后续的民事诉讼追究责任,执法部门也可以通过事中或事后执法进行监督追责。当然,这需要我们完善法律体系,让执法部门有法可依,让受害人依法维权。至于我国是否需要全面禁止政府部门安装和使用人脸识别系统,这是政治程序决定的结果。我国公安机关部署的天眼系统,可以通过城市公共场所安装的摄像头,实时、准确、快速地检测人脸,让不法分子无处可逃。但通过面部识别技术进行监视对人身自由的威胁也越来越受到关注。人们对全面监视感到压抑和焦虑。即使政府部门不完全停止安装和使用人脸识别技术,也应该实施严格的法律规定,以防范安全风险和防止滥用。3、人脸信息的收集比一般个人信息的收集更加规范。人脸信息不同于一般的个人信息,即使作为生物信息的人脸信息也与其他生物信息(如指纹)有很大区别。.因此,人脸信息采集要坚持专项监管,即差异化监管,即坚持更强的知情同意原则。收集一般个人信息,除法定例外情况外,通常需要数据主体的知情同意。然而,面部信息是特殊的。除法定例外情况外,其适用的知情同意原则应比一般个人信息适用的知情同意原则更为严格,即应坚持书面知情同意原则。此外,法律应当规定,采集人脸信息前,采集者应当告知被采集者具体类型、目的、存储时间、被采集者的风险和权利,通知方式必须采用书面形式。
