我國《民法典》第1034條規定:自然人的個人資訊受法律保護。《民法典》原則性的規定,可以為後期立法奠定基礎。可不可以搞人臉識別?侵犯人臉識別個人資訊又當面臨什麼責任?這些問題估計也只有等不久將出臺的“公民個人資訊保護法”的具體規定了。
2020年6月8日,IBM的CEO克里什納宣佈退出人臉識別業務。6月10日,亞馬遜暫時禁止向美國警察提供人臉識別技術(禁令持續一年)。6月11日,微軟禁止將人臉識別技術銷售給警方。這與美國黑人弗洛依德事件引發的種族矛盾有重大關係。更為重要的是,人臉識別與公民的隱私權訴求發生嚴重衝突。2020年初,Clearview AI公司遭遇重大資料洩露,30億張人臉資料被洩露,引發全美社會的巨大擔憂。2020年2月12日,兩名民主黨參議員提出《人臉識別道德使用法案》,要求暫時禁止政府機構使用人臉識別技術,防止其侵犯公民隱私權和影響公民自由。
人臉識別的商業價值到底有多大
人臉識別首先被應用於身份認證領域。在一個信用社會,任何事情幾乎都需要身份認證,賣東西、買東西、註冊公司、投票等等;當然,最重要的身份認證場景還是付款。當下,主流的人身認證方法還是開啟手機,輸入密碼。如果不帶手機,刷一下臉能否直接身份認證呢?如果真能實現,懶漢們開心了。如此,“面子”就真地成為最有信用的東西。一切需要身份認證的領域,都可以用臉。其實,人的生物特徵中可用於身份識別的資訊還有很多,如指紋、聲音、視網膜等,為啥人臉識別格外受資本青睞呢?這裡需要說一說其他生物特徵識別的壞處了:1、指紋識別,需要手指與裝置親密接觸。這樣很不衛生,疫情期間,最忌諱這個。2、聲音識別,即使當事人一定在現場,用錄製好的聲音亦可以透過識別,這很不安全。3、視網膜識別,需要眼睛靠近採集裝置,如此,人自然會有一種被侵略的感覺。即使甘願被“侵略”,視網膜感染等眼疾也會極大影響識別效果。
當然,人臉識別也並非盡善盡美。比如,某犯罪團伙就曾製作公民的3D頭像,騙過支付寶人臉識別認證來非法獲利,當然,犯罪分子最終被懲罰了。不過,綜合看來,人臉識別還算是優點最多的身份認證方法了。所以,社會資本會一窩蜂地湧向它。
人臉識別與公民隱私權
人臉識別會帶來極大便利,同時引發的公民隱私權問題卻備受關注。由此也引發了全球範圍內的大討論。縱觀全球,有兩種代表性的立法模式:
美國模式。準確地說,是美國很多州的模式。美國聯邦層面並沒有統一的法律來規制人臉識別資料。但至少有伊利諾伊州等六個州制定了生物識別資料法案。
其中,伊利諾伊州頒佈的《生物資訊隱私法案(Biometric Information Privacy Act)》(BIPA)具有參考意義。該法案於2008年頒佈,是美國境內第一部規範生物識別資訊的收集、使用、保護、處理、儲存、保留和銷燬的法律。它從以下三個層面保護公民資訊:
1、知情權和同意權。採集公民生物識別資訊,需告知公民並且經其同意。Facebook就曾因違反該規定收集使用者人臉資訊而被起訴。後來Facebook同意支付5.5億美元,以解決其所遭遇的集體訴訟,這也讓個人隱私權獲得了重大勝利。2、企業有即時銷燬資料的義務。收集目的達到或者最長三年必須要銷燬(以個人最後一次聯絡企業起算)。3、生物識別資訊不能轉讓賣錢。當然,它也規定了例外情況,相關自然人同意或者法律法規的例外情況。
歐盟模式。2018年5月25日,被譽為史上最嚴的歐盟《通用資料保護條例》正式生效。當然,這裡的“資料”,泛指一切公民個人資訊。人臉識別資訊作為生物識別資訊,也被納入公民個人資訊統一受到保護(參見該條例第51條規定)。公民可據此享有如下權利:
1、知情權與同意權。企業要收集使用者個人資訊,需提前告知並經使用者同意。2、刪除權。使用者可以基於以下任何一種理由主張刪除企業儲存的個人資訊:(1)資料的存在不再被需要;(2)資料主體不再同意;(3)資料儲存期限屆滿。
歐盟模式之所以被稱為史上最嚴,緣於違反它的天價處罰。最高可以處罰2000萬歐元或者上一年度營利額的百分之4%。可以掐指算一算,以Google為例,按照它全年1000億美元的收入來算,最高可罰40億美元。
在我國搞人臉識別是否合法
在我國,已經發生人臉識別第一案,消費者起訴了動物園。
2019年4月27日,郭某花錢購買了動物園年卡,入園時要求驗證年卡和指紋。約半年後,動物園向他發來簡訊,稱要人臉識別才能入園,未註冊人臉識別的將無法入園。
郭某以《消費者權益保護法》第29條作為自己的重要武器,“經營者收集、使用消費者個人資訊,應當遵循合法、正當、必要的原則,明示收集、使用資訊的目的、方式和範圍,並經消費者同意。”那些力挺郭某的人們還拿出了《合同法》,認為:動物園與郭某的合同已經定立,雙方同意指紋認證方式;在合同關係上,動物園單方改為人臉認證,這屬於違約。
在郭某這個案件中,《合同法》的違約規定或是《消費者權益保護法》中的“同意權”,似乎都是在郭某一邊的。然而,更為重要的問題還在於,郭某之後的那些消費者怎麼辦?試想,一群大人、小孩在動物園排隊,被告知:入園要人臉識別。當然,一切取決於消費者是否同意,然而,問題的關鍵還在於,如果你不同意,你就不能入園。
那麼,人臉識別涉及人的什麼權利?
我國《民法典》第四編“人格權”之第六章規定了“隱私和個人資訊保護”。顯然,“隱私權”和“公民個人資訊”是兩個獨立的概念。
我國《民法典》第1034條規定:自然人的個人資訊受法律保護。個人資訊是以電子或者其他方式記錄的能夠單獨或者與其他資訊結合識別特定自然人的各種資訊,包括自然人的姓名、出生日期、身份證件號碼、生物識別資訊、住址、電話號碼、電子郵箱、健康資訊、行蹤資訊等。個人資訊中的私密資訊,適用有關隱私權的規定;沒有規定的,適用有關個人資訊保護的規定。
隱私與公民個人資訊是兩個相互獨立的權利,當然,它們有交叉的部分。個人在自己房間裡的活動情況,就屬於典型的隱私;公民的姓名、電話號碼又屬於典型的公民個人資訊(不是隱私)。人臉識別屬於公民個人資訊範疇。按照《民法典》之規定,企業要收集個人資訊,同樣需要徵得個人同意。
《民法典》原則性的規定,可以為後期立法奠定基礎。然而,現實的問題卻是:消費者不得不同意;以動物園人臉識別為例,如果不同意人臉識別就無法入園,消費者估計也只有同意,如此在法律上又當如何定性呢?企業侵犯人臉識別個人資訊又當面臨什麼責任?這些問題估計也只有等不久將出臺的“公民個人資訊保護法”的具體規定了。
盜取、倒賣公民個人資訊屬於犯罪
侵犯公民個人資訊,最惡劣的情況莫過於盜竊和倒賣。我國法院已經判處了一批盜取、倒賣公民個人資訊的犯罪。倒賣個人資訊是一件一本萬利的事,但是要頂著坐牢的風險。
2009年,我國就出臺了《刑法修正案(七)》,正式將公民個人資訊納入刑法保護。《刑法》第253條設立了“出售、非法提供公民個人資訊罪”和“非法獲取公民個人資訊罪”。
2015年,我國《刑法修正案(九)》將此前的二罪整合為一罪:“出售、非法提供公民個人資訊罪”(老) “非法獲取公民個人資訊罪”(老)=“侵犯公民個人資訊罪”(新)。將此類犯罪的主體擴充套件到任何人,而不再限於金融、電信等單位工作人員。
2017年,最高人民法院、最高人民檢察院聯合制定了《關於辦理侵犯公民個人資訊刑事案件適用法律若干問題的解釋》,明確了此類犯罪的立案標準。倒賣人臉識別資訊,要達到多少數量才會構成犯罪呢?司法解釋規定:行蹤軌跡資訊、通訊資訊、徵信資訊、財產資訊50條及以上;住宿資訊、通訊記錄、健康生理資訊、交易資訊等500條及以上;其他資訊5000條及以上。在司法解釋中沒有看到“人臉識別資訊”、“生物識別資訊”,因此它只能算作是其他資訊,那麼要達到5000條才會構成犯罪。5000條人臉資訊,其法律重要地位僅相當於50條通訊記錄,人臉識別資訊自然很沒有“面子”。期待以後立法完善吧。
在我國,從事人臉識別技術開發的企業總體上分為二類:一類是傳統的網際網路巨頭,人臉識別是其人工智慧版塊的重要組成部分,如百度、阿里巴巴、騰訊等企業;另一類則是專項研發圖形識別技術的人工智慧企業,代表性的企業包括商湯科技、依圖科技、雲從科技、暖果科技等。
由於法律尚未禁止人臉識別,這也為人臉識別留足了市場空間。酒店住宿、機場安檢、支付身份識別、工商辦理身份識別等場景下都大量使用人臉識別,甚至去個動物園都要人臉識別。似乎,除了竊取和倒賣,其他的都可以明目張膽地幹。未來,這一切會有改變嗎?
法律在技術和隱私之間會作出怎樣選擇?這既關係到每一位公民的切身利益,同時也關乎人臉識別技術企業的戰略選擇。
參考國外立法,我國未來大機率會選擇如下立法模式:1、允許商用和執法適用,明確知情權、同意權和消除權等權利;2、只允許政府在管理中使用,不允許商業性使用人臉識別;3、除特殊情形,常規政府管理和商用場景均禁止使用人臉識別技術。
上述三種立法模式,技術企業的商業空間逐漸遞減。這在國外的諸多立法中均可以看到。美國舊金山、奧克蘭、薩默維爾等市,開始禁止城市政府官員以及執法部門使用人臉識別技術。2020年初,歐盟釋出了《歐盟人工智慧白皮書》,其中也明確提出在3-5年內禁止人臉識別技術應用於公共場所,以評估該技術風險。果真如此的話,人臉識別技術還能賣給誰?
立法對商業模式的影響還將長期存在。美國伊利諾伊州的《生物資訊隱私法》一直困擾著那些推銷語音助手、門鈴攝像頭、照片標籤等技術公司;同樣,歐盟的《通用資料保護條例》也讓一些網際網路巨頭們急劇增加了資料合規成本。同樣,我國不斷健全的公民個人資訊立法,也將開始重塑未來的全新商業模式。
(楊延超 作者為中國社科院智慧財產權中心研究員)