随着数字时代的到来,人脸识别技术的发展取得了长足的进步。人脸识别技术已经开始流行,并广泛应用于许多领域。尤其是在新冠肺炎疫情防控期间,人脸识别已经走进社区、校园、写字楼。前段时间,它甚至还进驻了东莞的星级公厕,引发舆论热议。人脸识别技术在给人们生活带来便利的同时,也给个人隐私、财产安全和公共安全带来了风险和威胁。2020年11月20日,杭州市富阳区人民法院对我国首例人脸识别案件作出宣判。2019年的第一起瑞典GDPR案件因瑞典学校使用面部识别技术登记学生出勤而对其处以罚款。Facebook在伊利诺伊州因面部识别技术而提起的集体诉讼中获赔6.5亿美元。加拿大商场擅自使用人脸识别技术,收集了超过500万张人脸信息。美国公开禁止人脸识别技术的八个城市包括旧金山、波特兰和萨默维尔。欧盟发布的《欧盟人工智能白皮书》提议在公共场所禁用人脸识别技术3至5年。1、人脸识别技术应用存在的风险随着人工智能和大数据的发展,人脸识别技术已经成为热门的人工智能技术。最常用的人工智能应用包括“刷脸”解锁、“刷脸”支付和“刷脸”签到。美国商会认为面部识别技术在交通等多元化领域的创新潜力巨大、零售、酒店和金融服务。人脸识别技术与其他生物识别技术的不同之处在于它具有不可复制、非接触、可扩展和快速等特点。人脸识别技术的应用对于个人隐私、财产权和民事权利的保护存在法律风险。(1)采集人脸信息违反隐私保护。人脸识别技术日趋完善。街道上随处可见摄像头,采集个人面部生物识别信息更加方便。人脸识别技术捕捉个人面部信息,并将其与数据库中的现有数据进行比较。通过将人的图像与广为人知的图像数据库进行比较来确定未知人的身份是一种侵入个人领域的行为。人脸信息采集虽然不属于隐私,但由于个人人脸生物识别信息的唯一性,通过信息比对可获知个人基本信息、出行轨迹、密切接触者等相关信息,因此对隐私保护提出了挑战。一方面,人脸信息采集方式挑战“信息隐私”。隐私权是自然人享有的一种人格权,其私生活安宁,私人信息的隐私权依法受到保护,不被他人非法侵入、知晓、收集、利用和公开。究竟什么是隐私?隐私可以看作是在物理私人空间中不被打扰的权利,也可以包括在数字和虚拟世界中不被打扰的权利。隐私权理论起源于美国,是自由主义影响的产物。美国的隐私理论随着信息技术的发展,从基于“独处权”的隐私理论扩展到适应信息社会飞速发展的信息隐私理论。1967年,威斯汀在他的著作《隐私与自由》中提出了“信息隐私”。“所谓隐私权,是指自然人享有的自主决定何时、如何以及在何种程度上向他人公开其个人信息的权利。”从威斯汀对“信息隐私”的定义可以看出,在信息时代,隐私权更多的是一种决定权。决定何时、如何以及在多大程度上披露信息的权利。威斯汀的信息隐私理论在司法实践中得到了联邦最高法院的认可。在具体案例中,法院对信息隐私理论进行了系统的阐释。信息隐私理论的核心是“控制权”,信息隐私权是指自然人对其个人信息以及可识别个人信息的获取、披露和使用所享有的权利。目前,人脸信息的采集大多采用在日常生活场景中放置摄像头的方式进行拍摄识别。例如,售楼处使用人脸识别系统来捕捉观众。这种非接触式采集方式侵犯了被采集者的“信息隐私”,被采集者无从知晓人脸信息的采集时间和地点,更谈不上对人脸信息的控制。另一方面,人脸信息的比对和识别有损“人格尊严”。隐私权保护自然人的安宁和个人的人格尊严。信息主体的人格尊严和自由价值需要得到保护已成为共识。“人格尊严”意味着人是主体和目的,而不是手段和工具,具有不可侵犯和不可剥夺的尊严。人对自身价值有着本能的、微妙的感知,对自身价值的贬损不亚于对身体和财产的损害。人格尊严是一种基本的、终极的价值,需要通过具体的权利来实现。隐私权是人格尊严在私法领域的体现,是人格尊严的必要条件。数字时代,人的尊严体现在一个可以自主掌控的私人空间,可以在私人空间不受打扰地展示自己。人脸识别技术中心的“识别”,不再只是个体对世界的识别,而逐渐演变为社会机器对个体的识别。与此同时,隐私理论也在经历着从古典时期的空间范式向信息时代的控制范式的转变。个人“信息自主权”最早由德国施泰姆勒在20世纪70年代个人信息保护法草案中提出。个人“信息自决权”强调的是信息主体对个人信息的自决权。从“个人信息权”的角度看,个人行使自主决定权的前提是充分知晓,即个人需要充分了解风险,同时要求个人参与个人信息选择权的过程。信息贯穿始终。人脸识别技术进行无感抓拍、无接触采集。在这种情况下,个人无法控制甚至意识到自己的面部生物信息正在被收集和使用。如果人脸识别信息被泄露或滥用,将对个人隐私造成巨大损害,同时严重侵犯人的尊严。正如瑞典在2019年使用人脸识别技术登记学生就读情况一样,瑞典数据监管局认为这一行为严重侵犯了学生的个人隐私,学校受到了瑞典历史上首个GDPR的处罚。人脸识别信息是典型的个人敏感信息。我国的?和《个人信息安全规范》规定,敏感信息的收集需要信息主体的明示同意和授权。学校收集、处理和使用人脸信息需征得学生同意和授权(二)非法使用人脸信息侵犯财产权益我国人脸识别技术已开始广泛应用于安防、交通、金融,教育.通过摄像头可以轻松获取面部生物信息。同时,人脸信息容易被破解,而破解厦门银行APP人脸识别技术的“黑客”也只是一名初中文化程度的00后。人脸识别技术给人们的生活带来便利,让管理高效有序。但是,如果人脸信息被泄露和滥用,将对信息主体、信息控制者和信息使用者的财产权益造成损害。首先,人脸信息泄露侵犯了信息主体的财产权。人脸信息属于生物识别信息,我国《信息安全技术个人信息安全规范》将生物识别信息列为敏感数据。我国的?和《个人信息安全规范》区分一般信息和个人敏感信息,规定敏感信息的收集需要信息主体的明示同意和授权。即在采集人脸信息时,以信息主体的知情同意为前提;使用人脸信息时,应当在确保安全的前提下公开使用规则、目的、方式和使用范围。随着人脸识别技术的发展,信息泄露导致信息主体财产权益受损的案件频频发生。就像许多售楼处使用人脸识别系统来区分不同的顾客以获得不同的折扣一样。判断购房优惠力度的关键在于购房者是否曾经被人脸识别系统拍过照片,而有了这个人脸识别系统,即使戴着口罩也能识别购房者的身份。为保护个人信息,避免产权流失,曾有购房者戴头盔看房的消息。其次,人脸信息滥用影响企业商业利益和国家公共利益。人脸信息是复合权益的体现。一方面,个人面部生物信息不仅承载“人格要素”,还承载“财产利益”。此前,在某网上商城,有商家公开售卖“人脸数据”,数量高达17万张,当事人对此毫不知情。另一方面,个人面部生物识别信息有多个利益相关者。人脸信息对数据主体具有个人价值,对企业具有商业价值,对社会具有公共价值。人脸信息的滥用既损害了企业的商业利益,也损害了国家的公共利益。就像我国第一起人脸信息刑事案件一样,犯罪嫌疑人利用人脸信息伪造头像,损害了企业的产权。在“净网2020”行动中,龙岗警方在广东、河南、山东等地抓获犯罪嫌疑人13名。不法分子利用人脸信息提供虚假注册、刷脸支付等非法数据服务。(3)人脸信息识别错误损害人权保障。人脸识别技术主要是将公共场所摄像头捕捉到的人脸信息与数据库中的图像进行比对识别。人脸识别技术对人权的侵犯主要来自人脸。识别技术的核心算法设计。根据美国国家标准技术研究院的一项研究,算法的准确性因开发人员而异。该研究评估了软件算法,发现在一对一匹配中,亚裔和非裔美国人的人脸图像比白人人脸的错误率更高;在一对多匹配中,非裔美国女性的错误率更高。一是面部信息的不对称。随着数字时代的到来,从传统社会到信息社会,从单一物理空间到物理/电子(真实/虚拟)双重空间转换。信息时代的三个变化:“双重空间”、“人机协作”和“双重属性”。“历史告诉我们,重大的技术变革将导致社会和经济范式的转变。”人脸识别技术的应用,将引发数字时代人权的重塑与变革。“所有数据都是我们自己产生的,但所有权不属于我们。”就像各个街道、企业、银行、学校等的摄像头,无感觉地实时捕捉到我们自己产生的独一无二的、不可改变的人脸信息,但我们无法控制和使用这些信息,我们甚至没有办法知道它。何时何地采集人脸信息。由于未经用户同意非法收集和存储数百万用户的生物识别数据,2015年Facebook在美国伊利诺伊州遭到用户起诉,Facebook同意将赔偿金额从5.5亿美元提高到6.5亿美元。双方已达成和解。由于信息控制的不对称性,人脸信息被采集者往往无法知晓信息被采集,未经本人同意采集和使用人脸识别将侵犯其人身人权。二是人脸数据的差距。由于缺乏互联网设备、缺乏互联网知识等技术或经济原因,数据鸿沟为一些社会群体赋能,但没有为其他群体赋能。由于数据的鸿沟、知识储备和技术掌握程度的不同,人们对人脸识别技术的看法不尽相同。有人认为人脸识别技术是科技的进步,给我们的生活带来了便利,我们自然而然地享受着便利;有人认为人脸识别技术的泄露和滥用存在侵犯人权的风险;人脸识别技术带来便利的同时,也有必要对人脸识别技术的使用进行规范和限制。由于数据鸿沟,人脸识别技术的算法不易为人们所理解,算法的识别错误侵犯了公民的基本权利。例如,为提高安检效率,北京地铁站正准备对乘客进行分类安检,针对不同类型的乘客采取不同的安检方式。这样的分类标准是一种算法的体现。由于数据鸿沟的存在,该算法不易被人们理解和接受。这种分类行为将侵犯公民的人权。2、境外人脸识别技术的法律规制由于政治、经济、社会和文化等方面的差异,欧美国家对人脸识别技术的法律规制方式和路径也有所不同。美国采用分散管理模式,美国各州在联邦政府之前就开始规范人脸识别技术的使用。目前,已有八个州公开禁止使用人脸识别技术;欧盟采取统一禁止的态度,强调保护“基本权利”。(一)美国人脸识别应用的法律规制美国在数据隐私和数据安全领域有单独的立法,美国没有制定联邦层面统一的基本数据保护法。根据相关数据保护法律,进行分类管理。美国各州都形成了各具特色的数据保护法律框架。关于人脸识别技术的使用,目前美国联邦层面还没有统一的法律法规,但一些州在联邦政府之前就对人脸识别技术进行了限制。由于历史传统、文化和立法驱动力的差异,美国侧重于在保护个人数据主体权利的基础上,促进数据共享的流动和数据的商业利用价值。关于人脸识别的数据保护,美国对政府和其他公共机构以及商业和私人机构采取了不同的监管态度。通过打压政府部门的权力,利用美国各个行业之间的严格自律来达到人脸数据隐私保护的目的。由于人脸生物识别信息易于获取、唯一、不可篡改、难以补救,《2019年商业面部识别隐私》提出禁止商用人脸信息,足以说明人脸生物识别信息保护的特殊性和重要性。2020年2月,美国两名民主党参议员提出人脸识别合乎道德的使用法案,主要包括三个方面:一是成立国会委员会,制定美国人脸识别技术使用指南;在使用人脸识别技术指南之前,政府机构被限制使用人脸识别技术;三是实施救助渠道和限制联邦资金使用。美国科技行业的代表企业相继就公共当局使用人脸识别技术发表了看法。IBMCEOKrishna宣布不再提供通用人脸识别软件。颁布相关法律。目前,已有八个国家对人脸识别技术的应用做出了相关规定。旧金山、奥克兰、萨默维尔、麦迪逊等美国城市均已发布人脸识别技术禁令。2019年5月,美国旧金山颁布法令停止秘密监视,禁止在公共部门使用人脸识别技术,成为美国第一个禁止使用人脸识别技术的城市。伊利诺伊州制定了一项与生物识别数据相关的特别法案。《生物识别信息隐私法》于2008年颁布,是美国第一部规范“生物识别标识符和信息”的法律。伊利诺伊州拥有美国最全面的生物识别隐私保护法律。基于此,Facebook同意支付6.5亿美元来解决伊利诺伊州的用户诉讼。2020年3月,华盛顿州通过了人脸识别服务法案,强调州和地方政府机构应以造福社会和保护公民自由的方式使用人脸识别技术。首先,州或地方政府机构在开发、使用和获取人脸识别服务时需要向立法机关提交问责报告;二是对运营条件下的人脸识别服务进行合法、独立、合理的测试,确保准确性。最后,从事人脸识别服务的技术人员需要定期培训。可见,华盛顿州对政府使用人脸识别技术有着严格的限制。加州也在2020年制定专门的人脸识别法,赋予个人对自己的人脸识别信息进行确认、删除、撤销、更正或质疑的权利;同时,加州人脸识别法规定了强制性处罚,违规可处以不超过2500美元的民事罚款,或故意违规可处以7500美元的罚款。(二)欧盟对人脸识别技术的法律规制欧盟目前没有专门针对人脸识别技术应用的法律法规,主要通过《通用数据保护条例》(GeneralDataProtectionRegulation,以下简称GDPR)进行法律规制。欧盟的GDPR以高人权和天价罚款为保护个人数据权利设定了最高标准。GDPR第一章是基本规定,第二章是数据保护的基本原则,第三章专门有一章数据权利保护,可见GDPR对数据权利的重视。欧盟对人脸识别技术的监管与美国不同,采用统一的禁止管理模式。欧盟不仅限制公共权力机构收集人脸信息,也严格限制私人公司收集人脸数据。具体到欧洲国家,他们对人脸识别技术的监管持不同态度。瑞典GDPR第一案和法国数据保护法都显示出对人脸识别数据的强监管态度。但英国却表现出不同的态度,承认警方使用人脸识别技术的合法性。2019年5月,英国公民里奇斯认为,南威尔士警方在未经他同意的情况下,使用人脸识别技术获取他的面部生物识别数据,侵犯了他的隐私权。原告认为,警方使用人脸识别技术“AFRLocate”的行为违反了《欧洲人权公约》,违反了英国数据保护法的相关规定,没有履行公共部门的平等职责。法院认为:第一,警方使用“AFRLocate”具有官方依据。警察的普通法权力允许警察使用人脸识别设备,警察有权合理使用个人照片以预防和侦破犯罪。其次,警方使用“AFRLocate”符合合法性原则。警方在部署人脸识别设备时告知公众;该技术的使用有时间限制和覆盖范围;对原告权利的限制仅限于比对其人脸数据,比对成功最多保留24小时。未比对成功将被自动删除,不涉及原告信息的披露和存储。3、完善我国人脸识别技术的法律规制随着万物互联时代的到来,数据已经成为一种财富,成为驱动商业的重要模式。人脸识别技术采集的人脸生物信息,让个人生活更加便捷、智能;对于企业来说,人脸数据具有很高的变现价值;对于政府而言,人脸识别技术的使用有利于社会治理。由于信息革命的推动,引发了价值观念、生产方式、生活方式、社会关系、社会秩序等全方位的变革。在利用人脸识别技术推动我国智慧社会建设的同时,也要关注人脸识别技术使用带来的法律风险,完善我国人脸识别技术的法律规制。(一)构建统一的法律规范体系关于个人信息保护,我国多部法律、行政法规、部门规章、地方性法规、地方性法规和司法解释均作出了相关规定。目前,我国采取以安全防范为主,兼顾数字经济发展的个人信息保护模式。我国制定了许多与安全相关的规范,如《国家安全法》、《网络安全法》、《个人信息安全条例》、《网络安全审查办法》、《数据安全法草案》、《个人信息保护法草案》等,法律规范体系以安全为基础风险防范同时,我国高度重视数字经济的发展。总体而言,由于我国个人信息保护法律体系不完善,呈现出“碎片化”、“分散化”和“块状化”的特点。我国需要制定统一的个人信息保护法。关于人脸识别的监管,目前我国还没有人脸数据监管的专门立法,多以地方性法规和部门规章的形式进行规范。《信息安全技术个人信息安全规范》定义个人敏感信息,区分一般信息和个人敏感信息,规定采集指纹、虹膜、人脸信息等敏感信息需要征得信息主体明示授权同意。《信息安全技术个人信息安全规范》是国家标准,法律效力较低。生物识别信息的法律属性和功能尚无具体规定,缺乏系统统一的法律规制机制。因此,有必要制定统一的个人信息保护法。(二)建立政府主导的多元治理机制随着互联网、人工智能、大数据的发展,人类已经进入数字时代。大数据时代,人脸识别技术的应用对企业具有可实现的价值。在使用人脸识别技术时,人脸数据保护应强调政府和社会的共同参与与合作,鼓励互联网企业、行业协会等单位依法收集、处理和使用人脸数据。只有在保护数据权益的前提下,才能更多地推动人脸识别技术的使用和发展。各大互联网企业是数据维权的重要主体,加强企业自律机制也是数据维权的重要内容。正如美国对数据立法采取以强监管为基础的自由市场治理模式。为方便数据的流动,CCPA采用选择退出模式,并采用通知的原则进行数据收集。CCPA的管辖范围设置了三个门槛:第一是年收入门槛,即年总收入超过2500万美元;第二个门槛是数量门槛,即个人信息5万条及以上;第三个门槛是收入比例门槛,即50%或以上的年收入来自出售消费者个人信息。只有当企业满足上述一个或多个门槛并且“出于商业目的处理加州居民的个人信息”时,它才属于CCPA的管辖范围。由于美国在数据上的价值取向鼓励数据的自由流动,美国鼓励企业实行自律管理,但当企业无法自律时,美国联邦贸易委员会(FTC)拥有强大的监管权力。欧盟GDPR采用选择加入模式。GDPR非常重视对人权的保护,要求数据主体在选择加入前同意使用数据。我国应采取“选择加入”为主、“选择退出”为辅的模式。人脸数据补充模式,由于人脸数据等生物特征数据属于敏感信息,只有在主数据明示同意和授权的基础上才能进入,选择进入后,应给予企业进入的空间和权利过程数据,例如风险评估。(三)塑造“数字人权”的正义理念随着大数据和人工智能的发展,人脸识别技术也正在走进人们的日常生活。人脸识别技术在给人们生活带来便利的同时,也存在侵犯公民人权的风险。2011年,联合国宣布上网权是一项基本人权。2016年,联合国认为与互联网相关的权利是人权的重要组成部分。2018年,联合国社会发展研究所(UNRISD)讨论了新技术对传统三代人权的影响。变化和破坏。瓦萨克提出的“人权三代论”为公众所熟知和接受。“第一代人权”倡导公民权利和政治权利;“第二代人权”强调经济、社会和文化权利;人权主张民族自决权和生存发展权。自治、福利和自由构成最高层次的人权三位一体。三代人的人权观念都是基于传统工商业时代,涉及物理时空的生产生活关系。在当今的数字时代,传统的人权概念已无法保护数字时代在线上和线下空间中遇到的人权挑战,例如算法霸权、算法歧视和数字鸿沟。数字人权以数据和信息为载体,展示了人们在智慧社会中的数字化生存状况和发展需求的基本权利。算法歧视、监视扩展和其他人权问题。“数字人权”的意义在于以人权的权力和权威强化对数字技术发展和应用的伦理约束和法律规制。尽管“数字人权”的概念目前仅处于学术讨论阶段,并没有相关的法律法规或制度予以确立。但是,随着数字技术的发展,社会已经进入智能时代,“数字人权”是更适合数字时代的人权概念。“没有数字,就没有人权”。数字时代带来的全方位社会变革,使得对“数字人权”的探讨和研究变得紧迫而重要。结语郭兵诉杭州野生动物世界有限公司案被誉为中国“人脸识别第一案”。法院于2020年11月20日作出判决,引起了学术界的关注和讨论。人脸识别技术目前广泛应用于各个领域。“人脸识别”技术在便利生活、发挥技术潜力的同时,也存在法律风险,例如人脸信息的采集侵犯隐私保护、人脸信息的非法使用侵犯财产权、人脸识别错误等。信息损害人权。保护。其他地区关于人脸识别技术的法律法规也不尽相同。欧盟采取统一禁止的态度;美国八个州已公开禁止使用人脸识别技术。目前,我国尚未制定专门规范“人脸识别”技术的法律法规。为防范“人脸识别”使用带来的法律风险,需要构建统一的法律体系,建立政府主导的多元治理机制,塑造“数字人权”司法理念等监管手段促进“人脸识别”技术合法合理使用,同时保护公民隐私、财产权和人权。
