《【《浅析人脸识别的法律规制》14000字(论文)】.docx》由会员分享,可在线阅读,更多相关《【《浅析人脸识别的法律规制》14000字(论文)】.docx(12页珍藏版)》请在课桌文档上搜索。
1、浅析人脸识别的法律规制一、引言1二、人脸识别技术的概述1三、人脸识别技术的价值和风险2(一)人脸识别的价值2(二)人脸识别的风险3四、人脸识别带来的法律挑战4(一)我国对人脸识别法律规制的现状4(二)知情同意原则未能落实4(三)用户数据空间侵权救济困难5(四)行业自律组织尚未成熟6五、域外人脸识别信息保护的法治经验及其启示6(一)欧盟人脸识别技术的法律6(二)美国人脸识别技术的法律7(三)域外法律规制的启示和借鉴意义8六、我国人脸识别技术法律规制的对策与建议8(一)书面告知与同意原则8(二)多元救济原则9(三)完善行业自律监督机制10七、结语H参考文献11摘要:近年来人脸识别的合法使用逐渐成为
2、社会热点。目前,人脸识别技术在实践中参差不齐,误差很大,尽管其可能会在一定程度上节省人力成本,但其风险也不可小觑。本文通过探究欧盟、美国和我国人脸识别的法律规制路径,提出构建合宜的人脸识别法律规制。分别从知情同意原则、多元救济原则、行业自律、监管机构和专项责任审核五个方面构建多维度、多主体的人脸识别法律规制机制,最终为我国数据保护制度安排提供新的可能。关键词:人脸识别法律规制个人信息隐私权隐私保护一、引言人工智能迅猛发展的今天,产生便利的同时催生出一些新的问题。随着大数据时代的到来,由于技术发展的快速性和法律本身的滞后性,使得现阶段还无法依据法律的规定或对某一人工智能的运用加以明确限制,或在利
3、用人工智能侵犯公民权益时提供有效保护。导致作为近年来快速发展并被广泛运用的人脸识别处在这样一种法律规定不明的状态之下。此外,大数据的产生使个人信息的收集和使用成为常态,由于互联网的实时性和难以预知性,往往不可避免的出现个人信息被运用到不法行为中的情况。再借助互联网的快速传播,个人信息被过度暴露早已成为普遍现象,但法律同样未能充分对此方面做出较为全面的规定个人信息难以实现规范地收集和利用。特别是现如今在对个人信息利用的过程中通常可以挖掘出巨大的商业价值,导致一些具有逐利想法的个人和企业为以信息换取利益,常对个人信息进行过度收集、使用甚至泄露和滥用,侵犯公民的人身和财产权益。欲使用人脸识别,必然涉
4、及对自然人人脸信息的收集,在法律既没有对人脸识别的运用做出规定,也没有对人脸信息在何种情况下可以收集及其后续利用加以明确的情况下,人脸信息与其他个人信息一样都面临难以保护的境地。此外,“人脸识别”是通过对特定个体生物特征的鉴别,统计分析的一种新型信息采集利用和分析的技术。由于具有仅凭借信息本身就可以直接判定特定个人的独特属性,更应该对人脸信息加强保护。因此,本文从人脸识别角度切入,对当前利用该技术收集和使用个人人脸信息的行为进行分析,指出实践中出现的问题并提出一些可行性的对策。二、人脸识别技术的概述相对于传统的生物特征识别技术,人脸识技术是一项全新的个体生物特殊性识别研究的技术,具体指针对特定
5、场景下的静态图像或动态视频,利用已经存入数据库的若干人脸图像,验证和识别特定场景下的单人或多人的身份匹配,人脸识别通常由具体场景中人脸检测分割人脸、抽取分析人脸特征、匹配数据库识别人脸三部分组成。人脸识别技术以大量的图像数据研究作为基础。人脸识别技术,主要是基于人的脸部特征信息从而对身份进行识别的一种生物识别技术,第一次由Chan和BlCdoSC在1965年提出,人脸识别技术随着人工处理、人机交互和计算机自动人脸识别经历了三个阶段的发展,已经具有相当的成熟性。近年来,由香港中文大学汤晓鸥教授团队发布基于深度学习的人脸识别系统和谷歌公司研制的人脸识别系统,将人脸识别技术带入了更精准,更快速的领域
6、。现今,人脸识别技术已具备自然性、非强制性、非接触性这三个方面的特点O类红乐、魏忠恒、彭延军:人脸识别机器人的设计与实现c.电脑知识与技术2011(31):13.!王玉:基于图像集合和视频序列的视频人脸识别算法研究DL吉林:吉林大学.2017.第一,所谓的自然性就是指通过观察人们所具有的自然性的面部特征就可以区分和确认身份。该识别方式十分便捷,用户不需要携带任何证件或额外进行其他操作,在使用中可以减少用户额外的负担。第二,非强制性是由于人脸识别技术大多利用可见光获取人脸图像信息,或者是红外线与可见光融合的多光源人脸图像识别技术,使被识别的人脸图像信息可以主动获取而不被被测个体察觉,对个体是隐蔽
7、的。第三,非接触性指的是与其他生物识别技术相比较而言,人脸识别技术在使用中用户不需要和识别设备直接进行接触,只需要面部进入到摄像头可捕捉的范围即可,该特点能够给用户带来非侵扰性的体验,降低用户对其信息采的排斥心理,提高用户的接受度,减少采集的难度。三、人脸识别技术的价值和风险(一)人脸识别的价值1 .公益目的应用及价值“人脸识别技术可以应用于诸多场景,从改善银行业和零售业的消费者体验到加快机场边境管制。该项技术的发展创造了大量裨益社会的机会。”人脸识别技术的收益主要在于它有时候比肉眼识别更准确,识别速度更快,能极大地节省成本。以机场安检前检查身份证为例,肉眼识别既慢又欠隹确。但人脸技术识别既快
8、又准。又以支付为例,输入6位数密码平均需要3秒,指纹支付只需1秒,而“刷脸”支付仅需300毫秒。人脸识别技术在追缉不法分子,减少违法犯罪行为,维护社会治安等方面也屡立奇功。人脸识别技术运用于社会治理领域,能够实现精准治理,提高社会管理水平。例如,医院的人脸识别系统能有效打击号贩子;养老金认证启用“人脸识别”系统,可使养老金认证工作通过网络终端完成,解决了长期以来退休人员只能到指定地点或机构认证的烦琐做法,同时还可以有效遏制冒领养老金的现象。目前,人脸识别技术主要被运用于安防、支付系统、交通和智慧门禁等领域。在安防方面,人脸识别技术与大数据、人工智能等先进技术相结合,在犯罪侦查与预防、出入境管理
9、、安保等方面已有较多应用。在金融支付方面,“刷脸”支付作为一种全新的支付方式,有取代扫码支付而成为主要的支付方式的趋势。如此一来,消费者便可以摆脱忘带现金或手机的麻烦,缩短支付时间,提高消费便捷性。在交通方面,人脸识别已经应用于机场自助登机和安检、网约车行业驾驶员身份认证等场域。如在北京大兴国际机场,旅客不用打印纸质登机牌或办理电子登机牌,可以通过全程“刷脸”实现空手登机。在智慧门禁方面,基于身份识别的智慧门禁系统可通过将摄像头采集的待检测人脸图像与数据库对比进行身份识别,进而对门禁发出控制指令,方便快捷,易于操作。另外,在紧急情况下,有助于加强执法。如据俄罗斯媒体报道,2020年3月,莫斯科
10、警方通过17万个摄像头组成的面部识别系统抓获了200名违反疫情期间自我隔离规定的民众,这些涉嫌违规者出现在户外不到半分钟就被摄像头捕捉到了。2 .私益目的应用及价值随着人识技术的应用,手机从密码、指纹解锁转向人脸识别智能解锁,银行从现场身份验证发展到人脸识别远程验证、人们不再满足于繁而复杂的手工修图,逐渐选择“一键人脸美颜”,WFE,AFrameworkforResponsibleLimitsonFacialRecognitionUseCase:FlowManagement,Feb.2020.i王丹娜:生物识别:传统信息安全在新技术环境的创新应用UL中国信息安全.2019(02):61.佚名:
11、合肥:养老金认证启用“人脸识别”系统,EBOL.http:/WWW2019年11月,艾媒咨询发布的2019年中国刷脸支付寂术应用社会价值专题研究报告显示,2018年中国刷脸支付用户达0.61亿人,预计2022年将突破7.6亿人.人脸识别技术的商业化应用在给企业带来“低成本、高效率”的同时,也给人们带来了“更安全、更方便”的全新体验此外,人识别技术也可以有效助力于企业合规性实践,减少道德及法律风险。人脸识别技术以其“高效便捷、稳定安全”的特点,一方面,保障了企业和客户对安全的需求,另一方面,又有效提高了用户体验,因此逐渐为企业与客户所接纳。以商业银行为例,无论是传统的“账号+密码”认证方式,还是
12、动态口令牌,都在存在遗失与被盗的风险,无法确保操作者是用户本人,而人脸识别技术所具备的不易被盗或伪造、不会丢失、遗忘等优势恰好可以解决这一系列难题,从而保障资金安全。与此同时,人脸识别技术可以实现人与机器的直接交互,为客户提供更加方便、快捷的服务,极大提高了金融服务的质量与效率。人脸识别技术的应用不但能够积极正面地促进企业发展,而且能够保障企业合规性经营,从而降低道德、法律风险,促进企业积极承担社会责任。以腾讯游戏王者荣耀为例.该款游戏因存在大量低龄玩家,被新华社和人民日报连续痛批八次,一度陷入道德与法律的双重危机。直至2018年,腾讯游戏开始使用人脸识别技术,加强对未成年人游戏时间的监控,使
13、得该款游戏成功达到了网络游戏监管规范的要求,坏仅使得腾讯游戏以其积极承担企业社会责任的形象获得社会一致认可,更为重要的是,通过创新管理方式,将人脸识别技术引入游戏监管中,为未成年人打造了更健康的游戏环境。(二)人脸识别的风险科技是一把双刃剑,作为人工智能落地的前沿风口,人脸识别技术给人类社会带来福利同时,也存在种种风险。其风险主要有:(1)误差风险。人脸识别技术“本质上是容易出错的。生物特征比较系统提供的答案从来不是是或否,它是匹配的概率”。误差是客观存在的,任何技术都有。但人脸识别技术水平目前可能超出应有的容错率。在进行人脸识别验证的时候,有时会遇到相似度较高的两个或多个生物个体。如果人脸识
14、别技术不够成熟,则可能出现混淆。此外,由于人脸为非刚体性,人脸之间的相似性以及各种变化因素的影响,准确的人脸识别仍较困难。为了满足自动人脸识别技术实时性的要求,在必要时需与指纹、虹膜、语音等识别技术相融合。但很多验证仍是仅凭人脸,而没有结合其他认证手段。人脸识别误差的负面影响不可羟视。在比对犯罪嫌疑人的时候,这种误差会促成错判,将无辜者投入监狱。这种误差还可能会导致无辜者受到骚扰,或带来各种不便。“用于身份识别功能的系统对容错率的要求相当高,由系统本身的不准确性造成的潜在消极效益难以评估。(2)身份认证被破解的风险。密码是秘密保存的,但人脸却是公之于众的。人脸识别验证最早出现于2009年,但是
15、很快被证明是不可信赖的,因为黑客用一张打印的照片就能解锁。之后,人脸识别技术结合了动态验证,如眨眼等,但也很容易被规避。最新的人脸验证技术,结合了3D图片进行登录与验证,这比以前的技术更难破解,但破解并非完全不可能。人脸识别技术有利于识别和抓捕小偷,但抓捕的往往是低级小偷,更高级的小偷则能李国鑫.人脸识别技术的发展与应用J.金融纵横2018.10(19):102-103.张青.商业银行应用人脸识别技术的场景探析J.金融纵横,2018(10):60-63.王者荣耀率先启用人脸识别验证!腾讯未成年防沉迷接连出招EB0L.法国国家数据保护委员:人脸识别的挑战,李蒙译.2019年11月15日。G祝秀萍
16、、吴学毅、刘文峰:人脸识别综述与展望J.计算机与信息技术.2008.(4):56.王皓、张磊:安全、隐私和公民自由一一公共场所人脸识别系统的技术安全问题反思UL胜利油田党校学报2019.(01):75.BcnDickson,TheSecurityandPrivacyRisksofFaceRecognitionAuthentication,Oct.21,2017,https:/Z够利用人脸识别技术的漏洞对身份进行破解,从而实现手段更为隐蔽、金额更大的盗窃。对此类高级小偷,破案更难。(3)信息泄露风险。用于保存人脸信息的电子计算机系统存在被黑客入侵、病毒入侵的风险,这可能导致信息泄露。此外,内部员
17、工的作案也可能导致信息泄露。生物信息具有100%的可识别性,一旦被泄露或是被不当利用,后果无法估量。总之,人脸识别技术能带来可观的收益,但其风险也是不可小觑甚至是难以估量的,风险大于收益的可能性也是存在的。这就是说,人脸识别的风险与收益关系目前尚不明确。即使人脸识别技术的收益大于风险,也有必要创建强有力的治理架构来降低风险。四、人脸识别带来的法律挑战(一)我国对人脸识别法律规制的现状新技术的产生和运用需要法律进行回应,以期通过法律规则和权威机构,创造有序的公共秩序,保障公民大众福祉以及确定该技术价值的社会意义。我国保护个人信息的法律规定较为分散,且保护的效力较低,专门性的个人信息保护法尚未出台
18、,现有法律通过“人格尊严”、“个人隐私”、“个人秘密”、“保障信息安全”等范畴对个人信息实现直接或间接的保护。现如今信息安全技术个人信息安全规范已经对生物识别信息进行了较权威和全面的规定,在规定中将个人生物识别信息归为个人敏感信息。但是法律对生物识别信息的法律属性、功能及作用没有进行明确的界定,这其中就包括人脸识别信息;对其进行收集、使用、加工处理等环节尚无明确法律规制,目前没有法律具体规定谁有权采集我们的人脸信息,导致商家出现随意进行用户人脸信息收集的情况,甚至存在“不刷脸就不提供服务”的恶性条款;保护生物识别信息的法律原则以及权利义务责任的规定不够清晰明了;对信息主体的权利救济缺乏相应法律
19、保护机制等。此外,还缺乏相应的配套监管措施,不论是“保护的能力”还是“保护的意愿”,基本都要靠企业的自觉性。当涉及具体法律追责的时候,会发现有一定的困难。如果被采集者提起民事诉讼,则要举证自己的人脸信息被相关企业收集,被其泄露或者不当使用,对自己造成了损害。由于被采集者能力的不足,信息的不对称,这个在实际操作中是比较困难的。随着技术自我敏感度的提升,“刷脸”行为几乎可以瞬间完成,政府和企业利用人脸信息作为个人ID密匙中独特的“社交安全”码,开展公共管理和商业服务。而人脸信息具有高度敏感性,任何对人脸识别技术的不当使用(具体体现在越来越多的机构未经授权或用户同意擅自使用该技术进行实时监控、用户对
20、于数据空间的侵权救济困难、人脸信息泄漏被用于不法目的等方面)都将实实在在地给个人隐私带来威胁。但人脸识别数据不等同于隐私信息,机构对人脸信息的收集也不同于隐私侵权,因而,建基于隐私的个人信息保护原则面临一系列挑战。(二)知情同意原则未能落实目前,人脸识别技术应用主要分为三种:一是为保障公共安全在公共场所进行人脸识别,例如在休闲场所、广场、公共交通枢纽等安装人脸识别感应器,提高公共管理效率,维护社会稳定。二是以提高生产管理效率、流通速率等为目的的人脸识别技术使用,如车站、码头、机场和海关的刷脸通行、企业和机关的面部识别考勤等极大地节省了人力成本。三是移动终端对人脸信息的九江一男子利用人脸识别技术
21、,盗取他人支付宝3万余元被判刑,载中国质量万里行2019年8月22日。参见朱宁宁:立法应为公民个人生物信息提供特殊保护,载法制Fl报2019年4月16日,第6版。SeeWFE,FrameworkforResponsibleLimitsonFacialRecognitionUseCase:FlowManagement,Feb.2020.采集,例如支付平台、社交平台采集人脸信息,为用户提供服务。无论哪种人脸识别应用,都建立于以“同意”原则为核心的平台一一用户协议之上,但是人脸识别技术的快速发展,出现了机构和企业无协议收集使用人脸识别数据,以及人脸识别数据的功能性扩展突破了“同意”使用的合法性等问题
22、。一是信息收集主体未与用户达成同意协议而收集人脸信息。目前,网络服务提供者多数会与用户达成“使用即同意”协议,如用户只有同意ZAO,支付宝、各银行APP等服务协议,才能享受相应的服务。用户如果以个人信息保护为理由拒绝提供人脸信息,将被排除在网络信息服务使用之外。“使用即同意”协议是网络服务提供者单方面享有的权力,用户只有“同意”的权利,没有协商谈判的权力。二是“同意”原则下的权利与义务将允许网络服务者识别用户的人脸信息并转换为数字安全码,进而与其他关联实体或数据库进行交叉对比,但有些协议以“包含但不限于”的条款无限扩大对用户人脸信息的使用。“同意”原则保障协议双方自我行为的可控性与信息和技术使
23、用的安全性,但人脸信息只有进行大数据匹配后才产生商业价值,人脸信息收集规模越大经济效益越高。如果网络服务提供者依据“包含但不限于”条款任意使用和处理人脸识别信息,则可能突破收集人脸信息是为了提供信息服务的初衷;如果借助这个条款,对收集的人脸信息进行结构化处理.使其脱离一般意义的个人信息与主体的直接对应,进而与其他企业乃至跨国机构开展人脸信息商业交易,那么,将彻底突破协议的“同意”原则,给用户带来信息泄露等安全隐患。三是“同意”原则许可下的人脸识别信息通过与数据库的比对整合,进一步对信息主体开展行为轨迹、心理轨迹和地理位置画像,致使人脸识别信息的深度分析侵害个人隐私。人脸信息既能转化为数字“模板
24、”,也能存在于购物、旅游、驾照等数据库、政府身份记录或社交媒体帐户中,对特定的面部信息进行识别提取后,就可以与该主体以往被记录的所有面部信息进行匹配比对,进而为其历史活动轨迹开展全方位画像;如果与数据库里的信息、个人账户中的文字信息、消费信息、定位信息等整合,一份“个人精准行为记录”将立即呈现出来。无论是面部信息的自我匹配与多次传输,还是个人信息的交叉识别,人脸信息再结构化与使用均将导致协议中的默示同意或明示同意失去制约信息滥用和保护个人信息的作用,“同意”仅仅是享用技术的门槛,难以成为保护个人用户信息安全的壁垒。(三)用户数据空间侵权救济困难智能技术的发展促进了文化、科技、政治等领域构架方式
25、的演变,物联网、智能媒介、传感器等概念被逐步应用到多样的生活场景中,个人信息通过算法进行分类、解析、匹配,被存储到各云端库中成为数据,人们使用各种终端进行观看、交流、表达等行为也被固定为数据交换过程,数据空间逐渐与物理空间的所有内容一一对应,形成线上与线下全时段互动的生态场景。数据控制者与个人信息主体之间存在高度不平衡性,用户无法控制繁杂算法背后的数据控制者行为,在涉及个人数据使用侵权案件中用户往往因举证难度大而丧失维权能力。公民自我数据保护边界亦颇受争议。对于公民面部信息所涉及的自我数据以及数据影子,其所涵盖的个人隐私信息是动态的,具有基于个人需求和选择的复杂属性。用户在不同情境中因人脸信息
26、使用导致自我感受到的侵权程度往往不同,从评判“实际伤害程度”到对各方主体利益博弈的衡量,人脸信息侵权对被侵权方、侵权责任人以及法院等各方主体而言诉讼成本都比较高,从主体诉讼能力到侵权证据乃至案件审理的整个流程都会导致人脸信息侵权问题难以得到高效解决,一个案件往往成为耗时良久的拉锯战。基于以上原因,现有立法对于诉讼主体和程序均普遍比较保守。由于数据收集方掌控数据收集和算法权,且算法内部运作十分复杂,普通用户将难以完成侵权举证费任,致使个人缺乏有效的数据侵权救济渠道和权利。(四)行业自律组织尚未成熟现代社会管理日益趋于网络化、自治化、多样化的复杂但又科学的治理模式,面对日新月异的人脸识别技术所引发
27、的诸多风险,仅仅依靠具有严重滞后性、严谨性的法律法规和行政监管,便显得有些力不从心了。因此,转变国家治理观念和方式,整合行业内部核心力量,以科技向善作为治理目标,强化人脸识别技术生命周期全过程监管,通过安全、可靠、高效、便捷的产业链推动人脸识别技术行业的健康发展,显得尤为重要。一方面,该技术的实际使用主体大多数是企业,企业通过人脸识别技术与一般社会群体接触最为密切,由其作为人脸识别技术的守护者是最合适的;另一方面,企业作为科技的研发者、创造者、使用者、利益获得者,对于人脸识别技术所引发的风险,理应承担相应监管责任,此外,经济实力强大、科研力量雄厚、数据信息全面的企业有能力在人脸识别技术风险防范
28、中发挥其关键性作用。以IEEE为例,其组织业内行业组织,至今制定超过1300余项电子与信息科学标准,其中包括许多国际通用的生物信息标准叱极大的促进了电子信息行业的安全、稳定、有序、健康发展。再以我国中国支付清算协会为例,2020年1月,为规范人脸识别线下支付(以下简称刷脸支付)应用创新,防范刷脸支付安全风险,保障企业合法权益,维护社会公众利益,中国支付清算协会发布人脸识别线下支付行业自律公约(试行),即日起实施。在国家法律法律尚未制定的当下,行业自律组织率先行动,不仅有利于人脸技术行业的发展,更为未来制定法律法规和国家监管提供了有益经验和探索。然而,就我国目前人脸识别技术相关行业自律组织而言,
29、存在较大缺陷。首先,相较于人脸识别技术的企业数量,加入行业协会并严格遵循协会制定安全标准的企业占比较少,行业标准不存在法律强制力,在行业企业之间难以得到贯彻落实。其次,行业企业标准由该行业的相关核心企业自行制定,以盈利为首要目标的企业,由其制定的行业标准,无疑是以维护自身利益为首要目的,行业自律规范,处处掺杂着企业私利。最后,相较于国家法律法规的制定而言,行业自律组织囿于本身经济实力、制定规范能力等的客观限制,其制定的行业规范本身存在着较大缺陷,难以完全为行业健康发展,提供指引。五、域外人脸识别信息保护的法治经验及其启示我国在规制人脸识别、保护个人信息的法律保护现状上存在诸多不足之处,为完善有
30、关规定,使人脸识别得以规范使用,需要借鉴其他国家、地区的立法情况,为我国保护包含人脸信息在内的个人信息提供指引。欧盟和美国在保护个人信息方面采用两种不同的方式,一种是统一性立法,制定专门的法律对成员国进行规制;另一种是分散性的,由各州依据白身情况订立法案。尽管他们的立法模式有所不同,但在人脸识别的规制上,都是通过专门的数据保护法律予以规范。下面就依据相关规定对两种方式进行具体阐述。(一)欧盟人脸识别技术的法律欧盟规制人识别技术的法律是通用数据保护法规(GeneralDataProtectionRegulation以下简称“GDPR”)%GDPR第9条将生物数据纳入到个人数据的特殊类别,规定未经
31、数据主体的明UniversityofTexasatArlington.AssociatedeannamedfellowofInstituteofElectricalandElectronicsEngineerstJ.NewsRxHealth&Science,2019(11):31-32.四川省支付清算协会.中国支付清算协会关于印发人脸识别线下支付行业自律公约(试行)的通知EB0L.http:WW,根据GDPR第4(14)条的定义,生物识别数据明确包括面部图像,且与美国伊利诺伊州颁布的生物信息隐私法案(即BIPA)相同,GDPR对面部识别数据和照片进行了区分。确同意不得将数据用于商业用途
32、,且同意的意思需真实、自由、明确、不模糊。因考虑处置肖像权和隐私权的冲突,GDPR叙文第51条将嫄片排除在生物数据规范之外,即经特殊技术处理能识到个人的照片才属该法的规制范畴”。但该法案中未对视摄像收集到的人脸信息进行规定,但可类推适用,如“采用特定技术手段”来识别或认证特定信息主体,则通过视摄像收集的个人生物信息也属于法案中提及的“生物识数据”。欧盟数据保护条例对成员国处理生物识别数据做出了限制,如克罗地亚的数据保护法便对监控安全系统的生物数据做出了排除性规定。同美国赋予各州较大规制权限的去中心化规制路径不同,欧盟在赋予成员国部分自由裁量权的基础上,对生物数据的使用采取了严格限制的模式。(二
33、)美国人脸识别技术的法律美国联邦层面并未针对人脸识别技术的应用出台专门法律以保护个人隐私,但是部分州已经发布了关于生物识别特征的隐私保护法案。以伊利诺伊州为例,2008年出台了生物识别信息隐私法案(BiOmetriCInformationPrivacyAct,以下简称“BIPA”),规定十分严格,不仅从数据全周期出发规定了全面的生物识别信息保护措施,更是要求有关实体以书面形式对信息主体进行告知并取得其书面同意,公开书面的生物识别信息政策并对数据的留存和销毁作出计划。与德克萨斯州、华盛顿特区类似的对生物识别信息进行规制的法案相比,BlPA还规定了个人可提起民事诉讼要求赔偿的权利,违规公司视主观恶
34、意的不同将被处IOoO至5000美元的赔偿金E这对中国而言很有借鉴意义,我国现行法律就没有对个人生物识别信息进行全周期的规范性保护,即便有提到获取用户同意,也未明确有效同意的形式,亦未规定个人在其信息受到侵犯情况下的诉权等。除了专门的生物识别信息法案,加州作为美国众多互联网公司的总部所在地,还出台了2018年加州消费者隐私法案(TheCalifOmiaOnSUmerPriVaCyACtof2018,以下简称aCCPA),就消费者的个人信息安全和隐私保护提出更高要求,规定受保护的个人信息包括但不限于消费者的生物特征信息,消费者享有知情同意权、删除权、选择退出权、损害赔偿请求权和诉讼私权等,并为受
35、规制企业设置了相应的义务,还设立了“消费者隐私基金”,罚款也存入基金.款项用于支持法案的执行。此外还有三大联邦数据隐私法提案正在酝酿中,分别是消费者数据隐私和安全法案、消费者在线隐私权法案以及消费者数据隐私法案。由此可见,隐私保护始终是美国立法者的重要关注点,美国对数据业务中隐私控制和透明度的要求只增不减,联邦层面出台统一的数据隐私法律也将成为必然趋势。在州层面之外,美国某些城市还颁布了人脸识别禁令。2019年5月,旧金山市通过(停止秘密监视条例(TheStopSecretSurveillanceOrdinance)首当其冲地禁止全市53个政府部门包括警察局在内在执法时使用人脸识别技术。如有部
36、门确有特殊需要将使用此项技术,则须对使用目的和范围进行详细报告并召开听证会。一个月后,马塞诸塞州的萨默维尔市通过了人脸监控全面禁止条例(TheFaceSurveillanceFullBanOrdinance),作为第二个对市政部门使用人脸识别技术说不的城市,该市的政府部门和官员自此不得访问、使用和存储由人脸监控系统获得的信息,同年7月,加利福尼亚州的奥克兰市因通过监视及社区安全条例(SurveillanceandCommunitySafetyOrdinanCe)成为美国第三个禁止市政机构使用人脸识别技术的城市,原因在于该项技术欠缺准确IGDPR叙文第51条指出,“处理照片并不当然地被认为是处理
37、个人敏感数据。仅在通过特定技术方法对照片进行处理,使其能够识别或认证特定自然人时,照片才被认为是生物识别数据”。之赵淑钮.生物识别信息法律规制的国际经验与启示J.中国信息安全,2019(11):35.崔亚冰:加州消费者隐私法案的形成、定位与影响UL网络法律评论,2017(01):UT3.性、标准不统一、可能具有入侵性。由人脸识别禁令的相继出台可见,美国对人脸识别技术的规制态度趋于严格。(三)域外法律规制的启示和借鉴意义首先,在人脸识别技术尚未成熟时,可以先采取区分场景适用的方式,稳步推进。在人脸识别技术尚未成熟时,欧需采取限制其使用范围,只有在法律规定范围内的使用才是合法的.同时,区分不同场景
38、适用,在公共利益上,允许使用,在商业利益上存在较多的限制。尽管美国多个州限制政府使用人脸识别技术,但该禁止性规定仅仅是为了保护公民的自由和基本权利,言外之意,在保证该前提下,是允许使用的,如伊利诺伊州明确规定执法构成披露信息的原因之一。在商业利益上的使用,美国和欧盟一样采取了严格限制的态度。其次,充分尊重用户的自由意志。无论是欧盟要求使用脸部数据信息时,需要获得数据主体书面、明确、显著同意,并献予数据主体拒绝权、撤销同意权,要求数据控制者使用数据过程透明,积极与数据主体沟通,抑或是美国伊利诺伊等州要求收集数据时需要明确的书面同意,说明使用目的及期限,无不体现出对公民自由意志的尊重。面对风险重重
39、的人脸识别技术,充分尊重用户的自由选择权是至关重要的,包括是否选择使用以及选择使用后,面对风险,自由选择是否撤销选择的自由。此外,对于特殊数据以及基于特定目的,划定人脸识别技术使用的“禁区”。欧盟规定,对揭示种族或民族出身、政治观点、宗教或哲学信仰、性取向等方面的数据应当被禁止收集,美国各州因顾及人脸识别技术可能对公民自由以及基本权利造成损害,严禁政府部门使用人脸识别技术。基于对该技术歧视风险、自由风险等的考量,在风险不可控或者弊大于利领域,严禁人脸识别技术未尝不是一种理性选择。最后,通过严格惩罚措施以及赋予公民诉权的方式,对公民权利进行救济。欧盟成员国瑞典对于不符合GDPR规定的行为,以高额
40、的行政处罚进行威慑。美国伊利诺伊州则率先赋予公民诉权,并且故意或者过失均需要对受害人进行赔偿。“没有救济,就没有权利”,严格的行政处罚对于新兴事物或许也存在一定阻碍,但对于其稳步发展未尝也不是一件好事,此外,赋予公民救济权利,既是对公民基本权利的尊重,亦是促进企业积极承担企业责任的良好方式,对于促进该技术积极健康发展无疑是有益的。六、我国人脸识别技术法律规制的对策与建议(一)书面告知与同意原则为网络服务商收集、使用、交易用户数据制定行业标准是各国宣示网络空间主权及数据市场发展主导权的重要举措。欧盟通用数据保护条例第7条规定,用户有效同意是数据收集方处理数据的基本要件,数据控制者必须能够证明数据
41、主体确实同意处理其个人数据,通过书面声明方式作出的同意应以易于理解且与其他事项显著区别的形式呈现。基于用户数据安全与价值开发的均衡考量.各国较为一致地将用户同意视为数据处理的前提性条件,而未对书面告知进行强制性要求或具体情境划分。一方面由于智能技术发展与未来数据收集、处理领域的未知性,书面告知在某些应用场景中会主动或被动“失灵”;另一方面网络服务涉及数据内部使用、外部使用以及内部外部互动等场景,严格规整的书面协议要求难免限制网络服务的灵活性,若多种意义层级董潇、袁琼、董俊杰:人脸识别技术的法律与实践研究,载君合法律评论EBOL.http:WWWjunhe.COm/legal-UPdateS/1
42、054,2020-01-06/2021-Q221的用户数据自动化识别与处理均被要求写入书面协议,可能会导致本来就冗长的网络服务协议更加流于刻板化和形式化。人脸信息经过机器识别被收入数据库后,虽然属于个人数据受到法律保护,但它毕竟进入数据产业加工领域而有其特殊性,不能将人脸识别信息简单地等同于曝光于公众面前的自然人脸部信息乃至隐私信息。2008年通过的伊利诺伊州生物特征信息隐私法(BIPA)作为美国已颁布的人脸识别最“强硬”的州法律,规定收集人脸信息的实体必须以书面形式告知被收集者或者其合法授权代表,实体将收集或存储其生物识别符或生物识别信息,明确实体收集、存储和使用生物识别符或生物识别信息的目
43、的与存储期限,在收到信息主体或其合法授权代表的书面豁免协议后才能开始收集,否则收集生物特征识别符违法,这项规定对生物识别信息收集进行了最严格的限制。BIPA在用户同意基础之上增加了书面协议的强制性要求,将传统的同意原则具体区分为书面告知与书面授权,使用不可逆转的书面方式固定信息收集者和公民之间的权利义务,在一定程度上有利于落实个人对脸部信息使用权利的自决,避免因处于弱势地位未经同意即被实施“强制性”的人脸识别;另一方面,严格规范实体收集他人面部信息的权利,通过提高对人脸信息收集实体的法律要求,有助于保障个人面部信息不被市场利益裹挟成为商业滥用的工具。2015年5月,伊利诺伊州几位用户对FaCe
44、bOOk提起一项集体诉讼,认为用户上传到该平台的照片使用了分析人脸细节(眼睛,鼻子和其他特征之间的距离)技术,在创建可用于对其他照片进行识别的人脸模板中可以自动标记用户好友这项功能不符合BIPA的要求。美国第九巡回法院拒绝了Facebook请求撤销集体诉讼的上诉,巡回法官桑德拉尹库塔(SandralkUta)在裁决书中写道:“我们得出的结论是,未经同意使用人脸识别技术开发面部模板会侵犯个人的私人事务和具体权利。”可见,BIPA设定的书面同意与授权规定对信息收集者做出的严格要求,让企业以推定同意轻易收集用户数据受到了很大的限制,可以较高程度限制实体对生物特征识别符的使用。书面同意及授权可以为人脸
45、信息在数据空间的自我保护提供法律支持,但实施层面也存在难题。首先,人脸具有强社交属性,在公共场合被“无感识别”符合公共利益原则,因而法律的原则性要求与技术在实体空间的落地应用产生对抗。其次,眼部虹膜信息提取难度较高,需要用户主动对准识别仪器或软件,但伴随设备灵敏度提升,对于脸部其他部位的整体识别几乎可以在毫秒间精准完成,上一秒社交下一秒解锁的行为模式会伴随人脸识别技术的普及提升频次,机器自动化操作在识别过程中享有高度主动权,用户签订一次性书面同意协议,所同意的不是单项服务而是平台对人脸全程全息识别,收集次数、数据流向以及泄露源头都难以得到有效规范。最后,书面同意原则未将以生物识别符作为唯一身份
46、识别方式或密匙的实体纳入考虑范围,并未明确解决公众在与此类实体达成协议时若不同意则无法享受服务的问题,若只规定同意原则的作用方式却未实质性落实用户享受服务之平等权利,将会给人脸识别保护留下法律后窗。(二)多元救济原则法律最具体的实际效用在于救济,一方面是救济手段是否有效,另一方面则是基本的救济渠道是否畅通。GDPR支持每一个数据主体向监管机构投诉、提起司法诉讼以及索要赔偿的权利。数据虽然是被机器结构化后的电子化表征,但数据在有效“脱敏”前直接指向用户个人信息,企业实体可以合法成为数据集的控制方,但具有指向性的数据还是属于用户的信息财产或人格利益,用户理应受到法律的有效保护。美国法院规定用户可以
47、通过面部识别技术起诉Facebook,EBOL.http:/www.Ikeji/201908/1716.htmb2019-08-17/2021-02-21纵观域外人脸识别立法,在大多数情况下,若个人因脸部信息被泄露或相应侵权行为发生时,受害者主要有四种救济选择:私人诉讼、集体诉讼、小额索偿法庭、监管措施。人脸信息往往呈现出群体性泄露,部分法案选择将这一“集体”性的权利直接归于州检察长,但BlPA认为:“任何因违反本法而受损害的人,有权向州巡回法院提起诉讼,或向联邦地区法院提起补充诉讼,胜诉一方可就每项违规行为获得赔偿。”这项规定支持私人提起诉讼,体现了法律对个体权利的重视与保障。以脸部信息为代表的生物特征识别符对个体来说具有生物学上的唯一性与不可更改性,一旦受到损害,个人若无权追索,则后续身份被盗的不可逆风险将更高。以公共利益为目的支持私人提起个人信息侵权之诉,不仅可以发挥行业规范、警示与引领作用,也有利于减轻法院或检察院的司法负担。因此,为避免多项重复诉讼而将寻求救济的权利赋予检察长一人或许有其社会环境和司法的考量,但在实践中将私人、集