郭春镇 厦门大学 法学院 福建 厦门 361005
▲原刊于《现代法学》2020年第4期,约20000字
作为人工智能和大数据发展重大成果的人脸识别技术,应该被“认真对待”,在考虑扩充其使用范围以便利人们生活的同时,也应将之置于风险社会的背景和框架中进行审视,并对其在某些领域的应用持审慎态度。1.人脸信息所面临的隐私威胁和财产风险。一方面,对人脸信息的收集可能会侵犯个人隐私。人脸不是隐私的直接载体,但它是重要的个人信息,与隐私有密切的关联。若将“可识别性”作为个人信息及其保护的标准的话,人脸甚至是最具有代表性的个人信息。即便人脸自身不属于个人隐私,但其所携带的个人信息和它所出现的时间、空间等信息结合在一起,却可能构成隐私。另一方面,对人脸信息的收集和应用有可能会给个人的人身财产安全带来不可预测的风险,甚至威胁到公共利益和国家安全。对于个人来说,很多银行或网络金融产品的支付行为,小区门禁乃至私宅房门的开启,都会应用到人脸识别技术,而这些人脸信息被人脸识别设备生产商、小区物业机构获取后,难以保证其不被泄露而致滥用。同时,这些机构的网络安全设施、相关人员的网络安全意识和技术等也难以保障人脸信息长期处于安全状态,人脸信息一旦被非相关主体收集使用后,可能会给个人带来不可预测的风险。如果人脸信息过多地被收集,对社会秩序和国家安全都可能会带来消极影响。2.人脸信息面临的尊严贬损风险。在某些情况下,人脸识别的应用直接关涉到人的尊严问题,贬损这一人们享有的所有权利的价值核心。“脸”作为个人社会身份的象征,是人际交往和构建信任的通行证。但在刷脸时代,人脸被摄像头等设备自动抓取后生成数字图像以识别、认证或核实特定个体,成为识别与被识别的工具。由此,未经当事人真正知情同意的“刷脸”行为成为一种权力与服从行为——不管这种权力是国家权力还是社会权力。人脸背后的人格因素及其所承载的信任与尊严等价值被稀释,被技术俘获并遮蔽。计算机技术和新型的测量手段,成功地将一个具有独立人格的人,变成一系列的数字和符码,将活生生的人转化为一行行数据。此时,识别的是人脸,得到的是数据,失去的或被贬损的则是人的主体性及其尊严。1关于不同主体的衡量。人脸识别技术应用的风险收益评估应该考量信息收集者、信息被收集者这两大类主体,以及代表公共利益的社会和国家。信息收集者既包括应用这一技术的个人、企业、政府等主体,也包括开发这一应用技术的企业。这些主体能够在销售技术和服务之后获取源自前述主体的人脸信息。信息被收集者是个人,不仅包括在单位被要求进行人脸识别的员工,也包括在机场、地铁站、汽车站等场所的旅客,还包括在商场购物的顾客、在公共服务机关办理事务的行政相对人、在医院就诊的患者乃至街头的行人等。当然,这些人之间也可能存在着身份的交叠。2.风险与成本的衡量。成本和风险是一体的,除了现实的支出或损失外,风险的大小及其发生的概率也是确定成本的方式,甚至仅仅风险自身也构成一项重要的成本。当然,这种成本既包括具体的物质财富的损失,也包括权利丧失所带来的情感与精神损害,以及由此而来的对人的尊严的贬损。相应地,收益也有客观和主观的方面。主观利益具有主观性和难以认定的特点。不同的生活空间、生活方式乃至个体的生活经历,都可能影响到对这种利益的感觉和判断。即便主客观利益在当前背景下尚无有效的通约计算与衡量的方法与机制,但至少在评估时应考虑这两方面的因素。3.公共秩序与安全的衡量。公共秩序和公共安全包括线上线下两个领域。线上领域是指网络安全。网络安全涉及网络产品和服务安全、网络运行安全、网络数据安全、网络信息安全等主要方面。网络安全既是国家也是公民所需要的基本公共物品。线下领域是指互联网之外的真实生活中的安全,它包括良好的治安、安全的交通、有序的社会生活和可预期的行为模式与结果。这部分收益虽然不是针对特定的个体,但为所有社会主体所享有。它既能使得每个个体现实的安全得到保护,又为其长远的发展提供保障,因而是不可或缺的公共利益。1.形塑具有“数字理性”的主体。第一,“数字理性”主体的自我修养。主体首先应有互联网思维。这意味着主体在互动过程中基于关系理性看待个人和网络上的商品与服务提供者之间的关系、个人信息使用和产业发展之间的关系,理解自己为享受的服务所面临的成本和风险,了解自己和相关主体的基本的权利义务。在真正知情同意的基础上使用网络服务,而不是完全忽略知情同意书或由于其过于复杂而无视它。“数字理性”主体应基于法律和公序良俗在互联网上进行活动,同时知晓网络主管部门和相关机关具有治理互联网的权力和职责,其中包括为避免个人信息被滥用而进行有效监管的职权。他还应不断提高其理性社会认知能力,消除认知偏差。能够认识到保护本人信息的重要性,也能够从诸多对泄露个人信息的网络平台和个人进行追责的案件中,认识到自我保护和国家采取措施保护个人信息的必要性,从而避免夸大其中的某一面并产生认知偏差。第二,公权力机构对“数字理性”的推动。首先,公权力机构应该以负责的态度对待包括人脸在内的个人信息,这既包括对收集到的信息要采取严密的安防措施以免泄露,也包括让公众知晓收集、应用此类信息的风险;不能只宣传人脸识别或安装设备对于公共安全和管理的便利,有意无意忽视公开相关信息,使得公众无法得知、了解和理解这些措施对自身所产生的潜在风险与消极影响。其次,国家应该更有效地实施法律法规,消减公众对个人信息泄露的不安全感。通过对网络诈骗、电话诈骗有力打击,对网络平台和其他握有个人信息的公权力机关和企事业单位进行有效监管,让人们真正享有免于个人信息泄露之恐惧的自由。再次,做好舆情引领、心理干预工作,合理引导并优化社会认知。权力机构应做好舆情引导工作,避免公众对某种负面行为的脱敏,避免让人们形成被侵权而不救济的内隐性社会认知。2.建构合理的规范体系。需要制定一部个人信息保护法。该法律应该在立法理念和原则方面体现出对公民利益和权利的尊重、保护和保障,对公共利益的强化和推进,以及对新兴产业发展的重视和引领。同时,能与现行宪法和法律相互协调,保持法律体系的融贯性。未来个人信息保护立法应当在坚持知情同意框架的同时提升其兼容性,吸纳对个人信息保护的一些新理念,力求兼容“场景理论”和“社会控制”,为与其相应的制度安排都留下空间,形成一个有整合性的基本法律架构,同时又有实施细则和不同层级具体实施规范的多重治理机制,我们就有更大的可能性对个人信息保护进行有效治理。3.基于责任和参与的多重治理机制。第一,数据监管者和掌控者的责任。在培养公众理性的同时,将注意力放在如何对数据监管者和掌控者配置义务是成本更低也更有效的工作,我们可以参考经济合作与发展组织《隐私保护和个人数据跨境流动指南》所确定的责任原则,授权或委托个人信息的数据监管者制定相应的规则,要求数据控制者和掌控者在符合法律原则、规则和监管理念与措施的前提下,制定行业规程并采取具体措施。第二,公众和专业人士的有效参与。这种机制强调规则制定和决策的公开、民主和包容,同时强调专业人士有效参与。第三,提高“柔韧化”知情同意的兼容性。首先,兼顾并强调监管者和掌控者的责任。其次,在保持对人的个体理性尊重的同时考虑人的理性不足问题。最后,提高与场景理论的兼容度。第四,多重治理机制的实现方式。首先,设置专门的数据保护机构。在网络信息安全领域,我国已形成以中共中央网络安全和信息化委员会牵头抓总的统一领导体制。为强化该领域监管工作的权责统一,保障相关政策思维和实践具有整体性,可参照欧盟和欧洲各国设立专门数据保护机构的思路,在中央统一领导下,设置或选定一个部门统筹个人信息保护领域的政策制定和执法协调工作。其次,制定多重制度以规制多方主体,实现从公权力机关到私人机构、从法律到社会规范、从交易到保险机制的立体化治理。通过社会规范对政府和商业主体的数据行为进行制约,通过合同与交易机制促成各利益相关主体就个人信息收集、存储、使用、交易和利益分配等问题形成多样化、情景化的权益安排。此外,还应加强对个人信息损害保险机制的研究与设计,充分利用保险机制,弥补民事诉讼在风险管理和损失修复方面的不足。最后,对接不同部门法规范实现对个人信息一体化保护。除了在民事领域合理配置权利、尊重对个人信息使用的市场创新并进行有效规制外,还应该与行政法、刑法的相关规则进行有效对接,对那些突破道德底线、性质恶劣的侵犯个人信息行为,如对个人敏感信息、未成年人信息的收集、买卖甚至用于诈骗等行为,进行严厉惩处并长期保持高压态势。
