人脸识别技术运用的法律原则On the Legal Principles of the Technological Application in Face Recognition
杨建军;李童心;
摘要(Abstract):
人脸识别是基于人的脸部特征信息进行身份识别的一种生物识别技术。中国的人脸识别技术已广泛应用于安防、支付系统、交通和智慧门禁等领域。人脸识别技术极大地便利了人们的生活,提高了社会管理效率,也伴随着如数据泄露、隐私权被侵犯等各种风险。人脸识别技术的运用涉及信息主体、企业和政府三方利益,即牵涉个人隐私、商业利益与公共利益三者之间的博弈和权衡。通过对人脸数据进行处理和分析,数据控制者不仅能识别特定个人身份,而且能够进一步追踪其日常活动轨迹,从而建构出精准的个人综合行为档案。基于人脸识别技术获取的数据一旦被滥用或泄露,则可能对信息主体个人权利造成严重损害。目前世界上对人脸识别技术的运用主要形成了禁止使用、政府基于公共利益的正当使用及严格限制企业使用三种法律规制模式。虽然这三种模式的法律价值选择存在一些差异,但其也存在共同的理念:其一,高度尊重公民隐私权利和自由;其二,主张人脸识别技术的运用必须是有限度的,而不是不受约束的,它必须接受法律规制。对中国而言,明晰人脸识别技术的应用边界,协调技术进步与公民隐私权保护是目前亟待解决的问题。中国的人脸识别技术的运用与发展应遵循必要性、保护隐私、专门机构常态化监管、行业自律、数据安全与责权一致等法律原则。
关键词(KeyWords): 人脸识别技术;隐私权;公共利益;个人信息商业化;个人信息保护
基金项目(Foundation): 国家社会科学基金项目“惩戒性党内法规和国家法律的冲突与化解研究”(17BFX014)
作者(Authors): 杨建军;李童心;
DOI: 10.16601/j.cnki.issn2096-7349.2020.03.003
参考文献(References):
- [1] 庞辽军,裴庆祺,李慧贤.信息安全工程[M].西安:西安电子科技大学出版社,2010:238.
- [2] 李梅,范东琦,任新成,等.物联网科技导论[M].北京:北京邮电大学出版社,2015:44-45.
- [3] 刘晓洁,毛欣娟.侦查视角下人脸识别技术应用研究[J].山东警察学院学报,2018,30(6):53-58.
- [4] 李一凡.预见2019:中国人脸识别产业全景图谱[EB/OL].(2019-03-09)[2020-02-17].https://www.qianzhan.com/analyst/detail/220/190308-235289bd.html.
- [5] 陈如伟.浅谈人脸识别技术在机场领域的应用[J].通讯世界,2019,26(9):10-11.
- [6] ILYUSHINAM.How Russia is using authoritarian tech to curb coronavirus[EB/OL].(2019-03-29)[2020-04-17].https://edition.cnn.com/2020/03/29/europe/russia-coronavirus-authoritarian-tech-intl/index.html.
- [7] 人脸数据网上被售:5千多张卖10元?多款APP“下黑手”[EB/OL].(2019-11-29)[2020-02-01].http://news.cctv.com/2019/11/29/ARTIRfxdVNaQ40XNkBUQ7V61191129.shtml.
- [8] 人脸信息安全吗?多款APP无协议采集人脸数据信息[EB/OL].(2019-11-29)[2020-02-10].http://jingji.cctv.com/2019/11/29/ARTISfJkwSohy1HmVdMDDavh191129.shtml.
- [9] 贾萨诺夫.发明的伦理:技术与人类未来[M].尚智丛,田喜腾,田甲乐,译.北京:中国人民大学出版社,2018:104-109.
- [10] GHAFFARY S.San Francisco’s facial recognition technology ban,explained[EB/OL].(2019-05-14)[2020-03-16].https://www.vox.com/recode/2019/5/14/18623897/san-francisco-facial-recognition-ban-explained.
- [11] 洪延青.人脸识别技术的法律规制研究初探[J].中国信息安全,2019(8):85-87.
- [12] 柯卫,冯海舒.域外被遗忘权法律制度保护的比较及启示[J].常州大学学报(社会科学版),2019,20(4):9-19.
- [13] 张莉.数据治理与数据安全[M].北京:人民邮电出版社,2019:171-173.
- [14] 李玲.GDPR一周年记:欧盟开出5600万欧罚单!快看这份合规指引[EB/OL].(2019-05-29)[2020-02-12].https://www.sohu.com/a/317213705_161795.
- [15] 王岩,叶明.人工智能时代个人数据共享与隐私保护之间的冲突与平衡[J].理论导刊,2019(1):99-106.
- [16] 段伟文,纪长霖.网络与大数据时代的隐私权[J].科学与社会,2014,4(2):90-100.
- [17] 齐鹏飞.论大数据视角下的隐私权保护模式[J].华中科技大学学报(社会科学版),2019,33(2):65-75.
- [18] 王学辉,赵昕.隐私权之公私法整合保护探索:以“大数据时代”个人信息隐私为分析视点[J].河北法学,2015,33(5):63-71.
- [19] 布兰代斯.哈佛法律评论·侵权法学精粹[M].徐爱国,译.北京:法律出版社,2005:6-10.
- [20] 孙平.政府巨型数据库时代的公民隐私权保护[J].法学,2007(7):23-41.
- [21] 王融.大数据时代:数据保护与流动规则[M].北京:人民邮电出版社,2017:3.
- [22] 中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见[EB/OL].(2020-04-09)[2020-04-10].http://www.xinhuanet.com/politics/zywj/2020-04/09/c_1125834458.htm.
- [23] PAUL M.Schwartz,property,privacy,and personal data[J].Harvard Law Review,2004,117(7):2056-2128.
- [24] 朱健勇,中国人脸识别第一案杭州一动物园被起诉[N].北京青年报,2019-11-04(7).
- [25] 汪玉凯.中国政府信息化与电子政务[J].新视野,2002(2):54-56.
- [26] 葛虹.政府巨型数据库与隐私权保护:日本“住基网络诉讼”的启示[J].法学,2010(10):89-97.
- [27] 刘欢.各医院录入两千号贩子信息[N].北京日报,2019-02-22 (10).
- [28] 王利明.论个人信息权的法律保护:以个人信息权与隐私权的界分为中心[J].现代法学,2013,35(4):62-72.
- [29] 王泽鉴.人格权的具体化及其保护范围·隐私权篇:上[J].比较法研究,2008(6):1-21.
- [30] 周汉华.探索激励相容的个人数据治理之道:中国个人信息保护法的立法方向[J].法学研究,2018,40(2):3-23.
- [31] 齐爱民.中华人民共和国个人信息保护法学者建议稿[J].河北法学,2019,37(1):33-45.
- [32] 胡文涛.我国个人敏感信息界定之构想[J].中国法学,2018(5):235-254.
- [33] 张新宝.从隐私到个人信息:利益再衡量的理论与制度安排[J].中国法学,2015(3):38-59.
- [34] 做好数据治理更快更好地推进数字化转型[EB/OL].(2019-12-02)[2020-03-12].http://www.xinhuanet.com/finance/2019-12/02/c_1125298138.htm.
- [35] 何渊.大数据战争:人工智能时代不能不说的事[M].北京:北京大学出版社,2019:72-73.
- (1)2019年11月,艾媒咨询发布的《2019年中国刷脸支付技术应用社会价值专题研究报告》显示,2018年中国刷脸支付用户达0.61亿人,预计2022年将突破7.6亿人。
- (2)萨默维尔市《反面部识别条例》指出:“在公众场所大范围进行人脸监控,相当于要求每个公民在任何时候都必须携带并出示一张个人照片身份证。”具体见前瞻网:https://t.qianzhan.com/caijing/detail/190701-303a9011.html。
- (3)本案针对的是南威尔士警方自2017年以来一直进行的“AFR定位”的试验项目(AFR定位比较两幅图像的面部特征时会生成一个“相似性得分”,这是一个表明两个面部匹配可能性的数字值,数值越高,表明两个面部之间正匹配的可能性越大)。布里奇斯对使用AFR定位系统的合法性提出质疑,并对其具体在卡迪夫被使用的两次具体部署提出申诉。
- (4)《欧洲人权公约》(ECHR)第8条:“人人都有权要求尊重其隐私、家庭生活、住宅和通信自由。公共机构不应妨碍上述权利的行使”,除非是“依照法律规定及民主社会中为保障国家安定、公共安全、国家经济福利、预防社会秩序混乱及犯罪、保护健康或道德、或保护他人权利和自由的必要”。
- (5)DPA2018第34条概述了6项数据保护原则:处理必须合法且公平;处理目的必须特定、明确且合法;基于任何执法目的而处理的个人数据必须充分、相关、适度;个人数据应当准确并保持最新;个人数据的保存时间不得超过必要时间;个人数据应当以安全的方式处理。
- (6)根据DPA2018,任何出于执法目的而进行的“敏感处理”,须经过数据主体同意,或该处理对于执法目的(法律明确授权、维护重大公共利益等)是绝对必要的。
- (7)判决指出,有证据表明自从AFR定位试验以来,南威尔士警局定位罪犯的能力有了显著提升。在审判期间,这一技术在37起案件中导致逮捕或处置,大大节省了用于抓捕的警力资源。
- (8)参见State of Washington,ENGROSSED SUBSTITUTE SENATE BILL 6280.
- (9)参见GDPR第83条5、6款规定:违规处罚最高处2 000万欧元的行政罚款或者对于企业而言处以上一财政年度全球总营业额的4%,以较高者为准。
- (10)2014年颁布施行的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条规定,网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。
- (11)参见江苏省南京市中级人民法院(2014)宁民终字第5028号判决书。
- (12)参见《中华人民共和国网络安全法》第七十六条。
- (13)参见《信息安全技术·个人信息安全规范》第四节。
- (14)2019年9月3日,针对换脸 “ZAO” APP,工信部网络安全管理局对北京陌陌科技有限公司相关负责人问询约谈,指出其存在“用户隐私协议不规范”和“数据泄露风险”等网络数据安全问题,要求其严格按照国家法律法规以及相关主管部门要求,组织开展自查整改,依法依规收集使用用户个人信息,规范协议条款,强化网络数据和用户个人信息安全保护,但该企业并未受到任何实际层面的处罚。参见:http://www.cs.com.cn/sylm/jsbd/201909/t20190904_5982480.html。
- (15)这个系统除了能自动识别学生的出勤情况,还能识别出学生是否认真听讲,课堂上抬头低头了几次,低头是否在玩手机、是否闭眼打瞌睡等,参见:http://www.inewsweek.cn/life/2019-10-21/7329.shtml。