姜晓阳 齐静芳|人脸识别技术应用潜在伦理风险及法治保障路径

随着科技创新的迅猛发展,人脸识别技术作为一项重要的身份验证和安全监控工具,在各个领域得到了广泛应用。与此同时,人脸识别技术应用的潜在伦理风险也日益显露,诸如人脸识别技术存在算法偏见与歧视、侵犯公民信息安全等。事实上,这是技术创新与人文关怀失衡发展的表现,不利于人脸识别技术健康可持续发展。通过检视人脸识别技术存在的风险点,剖析风险背后的原因,立足技术创新与人文关怀平衡发展理念,倡导坚持以“科技向善”为导向,完善“知情同意”原则,筑就“监管评估”压舱石,采用“事前+事后”法律救济途径,规范人脸识别技术应用,增强科技伦理治理效能,保障公民个人信息权益,推动科技事业健康可持续发展。

姜晓阳 齐静芳|人脸识别技术应用潜在伦理风险及法治保障路径

引言

党的二十大报告提出要实现高水平科技自立自强、完善科技创新体系,加强科技伦理治理已成为完善科技创新体系的重要内容。近年来,我国政府将人工智能作为战略性新兴产业进行重点扶持,并将人脸识别技术视为其中重要一部分。人脸识别技术作为一项基于人工智能和计算机视觉技术的创新应用,可以快速准确地识别和验证人脸信息,充分发挥身份验证、安全监控、个性化推荐等多种功能。与此同时,人脸识别技术应用也引发了一系列伦理风险,包括技术自身风险和技术侵权风险等。在技术自身风险中,主要存在人脸识别技术失准与歧视风险;在技术侵权风险中,主要涉及公民个人信息安全问题,常见的情况是未经授权或事先告知,个人的脸部特征被商业实体或组织收集、存储、分析和使用。人脸信息的唯一性和不可更改性决定了其一旦被非法泄露,可能会为信息主体带来不可逆转的危害。本文将通过分析人脸识别技术应用的优势和潜在风险,探讨如何有针对性地攻克技术伦理风险点,从法治角度促进人脸识别技术可持续性发展,遵循“科技向善”原则,使得技术创新与人文关怀相统一。

一、缘起:人脸识别技术伦理风险及应用挑战

人脸识别技术起步于20世纪60年代,20世纪90年代后期取得实质性进展,21世纪进入蓬勃发展阶段。人脸识别技术不仅可以用于身份认证、门禁管理、支付安全、考勤打卡等,提高人们生活质量和工作效率,还可以用于监控场所、边境管控、追踪犯罪嫌疑人等,提高公共安全水平,推进法治国家、法治政府、法治社会一体化建设。近年来,人脸识别技术在社会治理方面中做出突出贡献,我国许多地区都使用人脸识别技术进行安全监控、识别犯罪嫌疑人、寻找失踪人口等。例如,2021年重磅推出“团圆行动”,旨在寻找被拐失踪儿童,通过建立人脸数据库,比对失踪人口的面部特征,并与数据库中的人脸数据进行匹配,从而识别出可能的线索。正如电影《亲爱的》原型孙某洋寻子14年后,得益于现如今较为发达的“大数据+人脸识别技术”,终于在深圳与儿子孙某相认。2023年4月7日,“孙某被拐案”在深圳市南山区法院公开开庭审理,犯罪嫌疑人将受到司法制裁。“公平与效率”是实践高质量人民司法的核心要义,而人脸识别技术在实现高质量人民司法之路上起到不可否认的助推作用。然而,在人脸识别技术为人们日常生活和社会治理带来便利的同时,也衍生出一系列技术风险点,主要是伦理风险点,包括技术存在算法与歧视、技术侵犯人格尊严及个人合法权益等。

尽管人脸识别技术在近年来取得了显著的进展,但它依然存在着无法忽视的局限性。例如,光线条件、表情变化、角度变化、遮挡物等因素都可能导致识别错误,进而导致误认或漏认。误认指的是使无辜者被误判有罪或者犯罪嫌疑人被误认为无辜,例如,将A的照片误认为B的照片;漏认则指未正确识别出某人身份,例如,未识别出犯罪嫌疑人C,从而导致犯罪嫌疑人逃脱惩罚。因此,在社会治理和司法裁判中过度依赖人脸识别技术可能造成不可挽回的错误,影响法治权威及公正性。

人脸识别算法的训练数据可能存在歧视或不平衡,导致对不同种族、性别、年龄等群体的识别准确度不同,且此问题已经得到证实。实践中,人脸识别技术算法确实存在一定的歧视问题,训练数据的偏见可以导致算法更容易将某些群体的面部特征与负面标签相关联,从而产生歧视性结果。一方面,因人脸识别技术算法失衡导致某些特定群体受到不公正待遇,可能会引起社会不满,从而增加社会矛盾和风险点;另一方面,在司法裁判领域,若该算法对某些群体的人脸识别准确率较低,那么可能会导致某些人被错判或者漏判,损害司法公平与正义。

人脸识别技术只是一个辅助工具,而不能替代人类的判断和推理能力。尽管人脸识别技术有助于快速验证嫌疑人身份,但在某些情况下,仅凭人脸识别难以确定嫌疑人,仍需人工确认识别结果。例如,人脸识别技术难以区分双胞胎,相关工作人员仍然需要进行详尽的调查,包括讯问嫌疑人、案情研判、收集其他证据等。但人脸识别技术往往是黑盒子,难以解释其决策的依据。这可能导致司法机关无法理解、审查和质疑人脸识别技术在裁判过程中所发挥的作用,甚至掌握该技术的运行规律并有意滥用,从而导致权力机关难以发现和纠正潜在的偏见和歧视。

21世纪我国综合国力突飞猛进,技术创新也大力加强,人脸识别技术从萌芽阶段到如今茁壮成长正是大势所趋。人脸识别技术极大方便了人们日常生活和社会治理,与此同时,也存在着对人格尊严侵犯和对人文关怀疏忽的风险。人脸信息是个人生物识别信息,属于个人敏感信息,其具有不可更改的特性,一旦被泄露、非法提供或滥用,将危害信息主体人身和财产安全,甚至产生不可逆转的后果。

截至2024年1月17日,在中国裁判文书网以“人脸识别技术”为关键词,共检索到1242篇民事裁判文书,其中关键字为“侵权行为”的有12篇,较为典型的是顾某诉兰州城某物业服务集团有限公司等个人信息保护纠纷案。该案一审法院以隐私权纠纷为案由开展审理,二审法院则认为该案系因处理个人信息引发的纠纷,案由应确定为个人信息保护纠纷。这桩案件对于顾某而言,这是从败诉到胜诉的“护脸成功”之路,对于司法裁判而言,这是对隐私权与个人信息保护权益相区分的有力证明,对于整个社会而言,这是技术创新与人文关怀相平衡的体现。

从近代民法到现代民法,人的自由和尊严获得了更加充分的保障。人文主义作为民法典编纂的立法指导思想,在我国体现在“人格权独立成编”的构造上。我国民法典人格编第六章的标题为“隐私权和个人信息保护”,“隐私”和“个人信息”处于并列关系,是两个不同的概念,当自然人人脸信息被泄露、非法提供或滥用,侵权客体究竟是隐私权还是个人信息保护权益需要严格划分。

依据民法典第1034条之规定,个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。由此可知,个人信息中的私密信息属于隐私的范畴。个人信息保护法将生物识别信息纳入“敏感个人信息”,给予生物识别信息特殊保护,而理论界存在一种误解,认为敏感个人信息就是私密信息,实则不然。民法典第1032条强调自然人享有隐私权,且将“隐私”定义为“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”。按照民法典之规定,私密信息的界定必须符合“不愿为他人知晓”之条件。值得注意的是,私密信息是主客观相统一的,不但强调主观上不愿为他人知晓,还强调客观上处于隐秘状态。而自然人的人脸常出现于公共场合,其人脸信息随时随地都有可能被识别,人脸识别信息具有天然的公开性。因此,人脸识别信息敏感但非私密,不属于私密信息(详见图1)。若人脸个人信息主体的人脸识别信息受到侵害,则涉及人信息权益被侵犯的问题。

姜晓阳 齐静芳|人脸识别技术应用潜在伦理风险及法治保障路径

二、追根溯源:人脸识别技术伦理风险原因探析

人脸识别技术在应用中面临伦理风险,这些问题不仅侵犯个人信息安全,也违背了伦理道德。而要解决这些问题,首先需要对其风险产生的原因进行深度探析,找准原因,各个击破才能保障技术的健康可持续发展。

“科技战略博弈的焦点,是科技伦理治理。”在我国立法规定中,包含了对于人脸识别技术涉及“知情同意”的具体规定。知情-同意原则要求信息处理者在处理个人信息时,应事先向相关个人明确告知并取得同意。然而,知情同意原则往往伴随着知而不告、告而不知的形式。一方面,信息处理者知道信息主体的信息及其处理信息的目的、方式、范围而不明确告知;另一方面,信息处理者采用隐蔽手段或晦涩难懂方式告知信息主体相关事项,导致信息主体不充分知情。知情同意原则落实不彻底,不仅会侵犯公民个人信息安全,而且也是对道德伦理与人文关怀的践踏,容易引起公民不满,从而导致对该项技术应用的排斥和唾弃,不利于人脸识别技术的可持续发展,这就是斯诺所说的“科学文化”与“人文文化”的观念冲突。

随着“人工智能”的应运而生,我国在保护个人信息方面做出了不少努力,就目前立法而言,对于人脸信息虽有所保护,但仍局限于事后救济。民法典第995条规定一般侵害人格权应当承担民事责任,可将此民事责任划分为三类:轻度责任为赔礼道歉,中度责任为恢复名誉、消除影响、消除危险,重度责任为排除妨碍、停止侵害,这些民事责任均为事后救济措施,其可以惩治侵权者,但是不能预防侵权行为发生。例如,“消除影响”这项民事责任,在侵害行为已产生、侵害结果已造成且因果关系明确的情形下,无法真正消除对当事人的影响;再如“停止侵害”,在侵害正在发生之时,停止侵害只能防止损失扩大,并不能使自然人的合法权益恢复到被侵害之前的完整、圆满状态。法律不仅仅是用来惩罚犯错者的,更是为了规范人们的行为,发挥其指引作用。人脸信息不单单是个体的面貌信息,还包括自然人的身份信息、行程轨迹、生理健康状况甚至是心理状况,人脸信息一旦泄露,对当事人所产生的危害是终身的、不可逆转的。因此,仅靠事后救济是远远不够的。

人脸识别技术在当今社会的广泛应用中引起了许多关注,监管人脸识别技术是确保其合理使用的重要一环。当前,我国已经采取了一系列措施来监管人脸识别技术的使用,例如,制定了数据安全法、个人信息保护法等法律法规,明确了对个人信息的保护要求。同时,相关部门也发布了行业标准和技术规范,规范了人脸识别技术的应用场景和数据处理方式。此外,政府也加强了对人脸识别技术使用单位和运营商的监管,要求他们遵守相关法律法规,保护用户的个人信息安全。然而,人脸识别技术的监管仍然是一个不断发展和完善的过程,随着技术的快速发展和应用场景的增多,确保人脸识别技术的合法合规使用仍然面临挑战,强制索权和捆绑索权行为仍然存在。

人脸识别技术的强制索权是指特定主体在某些情况下,通过强制手段获取个人的人脸数据以进行识别和监控。近年来,信息技术发展较快,许多物业等服务机构纷纷采用智能化管理手段,例如,物业使用“刷脸”作为业主出入小区的认证方式,这有助于提高人身安全、公共安全,便于服务机构进行管理,但这一过程往往伴随物业服务机构的强制索权行为。虽然《最高人民法院关于审理适用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称“《适用规定》”)第10条规定,物业服务企业或者其他建筑物管理人不得以人脸识别作为出入管理场所的唯一验证方式,但是对该规定的落实并不彻底,强制索权行为屡禁不止。例如,在“中国人脸识别第一案”中,涉案动物世界以“人脸识别”交换“入园服务”,如果不进行人脸识别就无法获取相关服务,这不仅属于格式条款,更是变相的强制举措,无视消费者选择权,侵犯消费者合法权益。

捆绑索权指的是经营者强制性地将人脸识别技术与其他服务或产品捆绑在一起。根据中国消费者协会发布《100款App个人信息收集与隐私政策测评报告》显示:有68.9%的受访者认为当前App在收集、存储用户信息时存在不规范情况;近八成受访者表示在使用App时遇到过广告、弹窗、弹窗广告问题。例如,自然人在使用某些手机软件时,需要进行人脸识别,并弹出告知声明,阅读完毕后可点击同意即可继续使用该软件,如果不同意则无法继续使用。该告知声明看似是在明示告知相关规则,实则以捆绑的方式让使用者毫无选择余地。个人信息保护法第7条规定处理个人信息应当公开个人信息处理规则,明示处理的目的、方式和范围,此条款符合公开、透明原则,而在实践中,由于监管不力,不乏少数的明示是“伪明示”。

“强制索权和捆绑索权”是人脸识别技术存在侵权风险的重要原因。无论是物业服务机构在不事先告知且未经业主同同意的情况下,擅自录入业主人脸识别信息,或是经营者为用户提供相关服务以用户同意其收集人脸信息为前提条件,都违背人脸识别技术应用的伦理道德,存在侵犯个人信息安全的风险。

三、破解困惑:人脸识别技术应用伦理风险法治保障路径

人脸识别技术的广泛应用给社会带来了许多便利,但同时也引发了一系列伦理风险,为有效解决这些问题,需要找寻既能保障人脸识别技术应用的合法性和效用性,又能充分尊重和保护个人权益的路径。

(1)欧盟模式:欧盟对个人信息保护非常重视,采用了严格的知情同意原则来保护个人合法权益。欧洲委员会在2014年发布的通用数据保护条例(以下简称“GDPR”)中,要求收集用户数据时需要获得用户的明确授权,并且要为用户提供退出选项;GDPR还要求使用相关数据时应进行“有限授权”,保障个人数据安全性;另外,GDPR提出一些具体规定,如应遵循“最小、必要原则”,必须始终、明确告知用户收集、使用用户信息的目的和方式等。这些法律法规均要求在收集、使用和存储个人信息时,应当事先获得个人的知情同意,并明确告知其数据处理的目的、方式和范围。并且GDPR规定的同意为“明示同意”,不包括默示的同意。

(2)美国模式:美国1974年出台的隐私法是第一部有关个人隐私保护的综合性联邦立法,对于较为敏感的领域,美国采用的是分散式的立法模式保护个人信息,例如消费者网上隐私法、电子通讯隐私法等。与欧洲相比,美国主要以各州法律及行业标准为主,对个人权利的规定相对较少,更侧重于数据安全和监管。GDPR对违反隐私规定的组织设立了高额罚款制度,而美国对惩罚标准缺乏类似统一制度。美国在重点领域采取了与欧盟类似严格的知情同意原则,而在其他领域采取的是“基于行业自律”的知情同意原则。

我国首次将知情同意作为基本原则是在2012年全国人大常委会颁布的《关于加强网络信息保护的决定》。知情同意包含两层含义:一是“知情”,即信息主体对信息处理者处理处理个人信息行为的了解掌握;二是“同意”,即信息主体对信息处理者处理信息的许可。我国知情同意原则与源自德国的“信息自决权”类似,但德国“信息自决权”范围更广,其在某种程度上也限制了公权力。

我国民法典、个人信息保护法、网络安全法等不同程度地对生物识别信息收集作出相关规定。民法典第1035条规定,处理个人信息应征得自然人或者监护人同意,法律、行政法规另有规定的除外;依网络安全法规定,未经被收集者同意不得向他人提供个人信息;《适用规定》也规定人脸信息属于敏感个人信息,在未经同意的情况下不得擅自采集使用。这些规定的初衷是赋予信息主体个人信息自决权,即个人对其自身信息享有掌握和决定权,个人信息能否被收集、使用等由个体自行决定。但人脸识别信息的收集具有隐蔽性、无感性、主动性,当其被收集时信息主体可能并未发觉,何谈“自决”?又或者,当事人察觉到个人人脸信息被识别,但基于“捆绑服务”,不得不以“人脸信息”换取“相关服务”,如此一来自然人的“信息自决”形同虚设。

我国应当立足中国国情,学习国外有关“知情同意”的先进理念,取其精华,去其糟粕,构建属于中国自己独有的“知情同意”新模式,以确保告知是“充分告知”,不采取任何隐蔽方式和隐晦难懂言语的告知;同意是“自由同意”,不附加任何强制手段和捆绑服务的同意。除明确规定“告知”和“同意”之外,还应扩大知情同意原则适用范围。

为了确保人脸识别技术为提供合法、准确、有效的证据或数据,并且不违背社会伦理需求,需要持续对该技术进行监管和评估。《适用规定》第2条规定,未采取应有技术措施或者其他必要措施确保其收集、存储的人脸信息安全,致使人脸识别信息泄露、篡改、丢失的,人民法院应认定属于侵害自然人人格权益的行为。滥用人脸识别技术,将会存在侵犯个人信息安全的风险,因此应引入第三方审查机构,严格把控人脸识别技术的使用。

人脸识别技术的研发工作是一项繁杂、综合性的工作,需要结合计算机视觉、模式识别、深度学习等多个领域的知识和方法。在社会治理领域,利用人脸识别技术识别嫌疑人、抓捕犯人等,可以提高社会治理效率,推动的法治社会建设。然而,在应用人脸识别技术时,不可避免会出现技术失准的情况。虽说利用人脸识别技术之余会进行人工确认,但是智慧化识别结果会对人工确认产生一定的导向性,干扰人工识别,进而存在辨认嫌疑人错误风险,侵犯其人格尊严。为确保人脸识别技术合理使用,保障公民个人信息安全,政府和相关机构可以委托独立的第三方机构对人脸识别技术进行评估和审查,增强人脸识别技术使用的透明度和可解释性,实现人脸识别精准打击,为社会治理提供正确指引和有效保障。

知情同意原则要求信息处理者在处理个人信息时,事先向相关个人明确告知并取得同意。“告知”应是明确、明显、充分的告知,坚决杜绝个人信息处理者采取模棱两可、隐晦难懂等方式对个人信息主体进行告知。“同意”是指个人信息主体同意信息处理者处理其信息,此处的“同意”应当是完全自愿的同意,是无附加条件和捆绑服务的同意。审查评估个人信息处理者是否进行了告知-同意,有利于个人信息处理者履行告知义务,保障个人信息主体自由选择权。

收集人脸识别信息应合法收集,与此相对应,个人信息的处理也应合法处理、不超出收集目的。正如上述郭某诉杭州动物世界一案,双方曾就入园方式达成一致意见,即通过指纹识别入园,动物世界为方便管理,要求郭某提交了人脸照片一张,动物世界这一行为并无不妥。然而,动物世界又通过发短信的方式,告知郭某需要激活人脸识别系统,否则不能入园,动物世界这一行为明显超出了事先收集人脸照片的目的。审查评估个人信息处理者处理目的是否超出事前收集目的,有利于规范和约束人脸识别技术的使用,是对人格尊严的重视。

民法典第1035条规定,处理个人信息应遵循合法、正当、必要原则。其中“必要”的评定标准我国现有法律尚无明确规定。本文认为,不采用人脸识别就无法保障个人权益及公共安全才符合“必要”之标准,例如,高铁站、地铁站不安装摄像头无法保障站内人身安全、财产安全及公共安全等。审查评估个人信息处理者处理目的和手段是否超出最小必要原则,可以防止人脸识别技术被滥用。

合理性替代性验证方式是指提供不止一种验证方式进行身份验证,且该方式不违背公序良俗,不侵犯公民人格权益。正如,上述顾某诉兰州城某物业服务集团有限公司等一案中,被告将人脸识别门禁作为业主唯一通行方式。该案一审法院认为被告系因疫情防控所需,未侵犯住户隐私权。二审法院作出改判,要求物业公司删除人脸信息并为其提供其他验证方式。由此可知,物业服务企业或者其他建筑物管理人不得以人脸识别作为出入管理场所的唯一验证方式。审查评估个人信息处理者是否为个人信息主体提供合理的替代性验证方式,可以约束信息处理者行为,是对公民合法权益的保障。除此之外,对于违法使用人脸识别技术的行为,应当加大处罚力度,例如对个人或企业进行罚款、吊销许可证、行政拘留等处理。同时,还可以建立黑名单制度,建立健全征信体系,对滥用人脸识别技术的主体进行公示,既可以惩罚违法行为,又可以达到以儆效尤的效果,保障公民个人信息安全,保护公民人格尊严,促成行业自律,打造风清气正的人脸识别技术应用环境。

法律事后救济途径包括私益诉讼和公益诉讼,公益诉讼可以筑起个人信息保护的“防火墙”,是保护个人信息安全的有效途径。个人信息保法第70条设置公益诉讼条款,赋予检察机关诉讼主体资格,加大了对个人信息领域权益保护的力度。司法实务中,私益救济存在一定的局限性,尤其对于涉人脸识别技术侵权案件而言,侵权行为具有隐蔽性强等特点,导致被侵权人调取证据难度大,提起诉讼维权成本高,且胜诉率较低。而相比私益诉讼,公益诉讼可以弥补原告举证能力、举证经济成本等方面的短板。例如,2023年6月9日,杭州市萧山区人民检察院对一起利用“AI换脸”技术侵犯公民个人信息的案件,依法向杭州互联网法院提起民事公益诉讼,解决了受害者诉讼成本高、举证困难等问题。因此,当人脸识别技术不仅侵犯了公民个人合法权益,还侵犯社会公共利益时,公益诉讼的原告作为公共利益的代表,理应肩负起保护个人信息“公地”的重任,防止“公地悲剧”的发生。

在“治已病”的同时,还应做实“抓前端、治未病”。在人脸识别技术领域,无论是经营者还是公权力主体,其与个人信息主体的关系是不对等的,信息并不对称,个人信息主体信息相对闭塞,加之人脸信息被采集具有“无感”的特质,使得个人信息主体在对抗各类信息处理者时显得捉襟见肘、力不从心。立法的主要目的并不是为了惩罚违法行为,而是为了保障公民合法权益。虽然事后救济诚然很重要,民法典、个人信息保护法等也相应地规定了侵权责任及其他事后救济措施,但“事后诸葛亮”无法根治人脸识别技术部侵权问题,因此,单靠事后救济措施难以保障公民个人信息安全,还应构建相应的事前救济机制,例如,在使用人脸识别技术之前,相关主体对于使用目的、方式、范围等信息的公示应增强透明度;再如,建立群众反馈渠道,设立匿名投诉信箱,保护公民合法权益等,让潘多拉魔盒永久封存。

结语

人脸识别技术的快速发展给社会带来了许多便利和进步,同时,也引发了一系列人们对个人信息安全的担忧。技术是客观的,但人是主观的,人脸识别技术是潘多拉魔盒还是丰饶角取决于人们如何使用它。“科技向善”是一个激励和引导技术发展的理念,它强调了技术应该为人类福祉和社会进步服务的重要性。在当今快速发展的科技时代,我们需要思考和探讨如何将技术的力量用于造福人类。技术的发展应该以人的需求和幸福为中心,重视人类尊严、隐私权、公平正义等价值。因此,在拥抱人脸识别技术时,既要考虑保障公民信息安全,又要遵循伦理道德,同时,还需要规范技术应用,加强对人脸识别技术的监管评估,对人脸识别技术的应用进行约束和规范。只有这样,才能使人们真正享受人脸识别技术的“红利”,确保人脸识别技术的发展与人文关怀相统一。

姜晓阳 齐静芳|人脸识别技术应用潜在伦理风险及法治保障路径

陈文君|生物科技犯罪的实践检视与适用方向

任赖锬 朱雨琪|算法自我指涉与规范冗余机制的阐释与面对——以外卖配送平台为例

齐俣|数字时代平等权的挑战与回应

郭欣怡|网络暴力治理中的法益冲突与刑法立场

万美秀|企业数据民事司法保护的现状分析、适用困境与优化路径——基于342份裁判文书的实证分析

李东亮|伦理载体的虚实之间:元宇宙性侵的法律规制与理论勘误

上海市法学会官网

http://www.sls.org.cn

特别声明:本文经上观新闻客户端的“上观号”入驻单位授权发布,仅代表该入驻单位观点,“上观新闻”仅为信息发布平台,如您认为发布内容侵犯您的相关权益,请联系删除!