• 媒体华政

    • 【上海法治报】高富平:从司法解释谈人脸识别信息保护

    发稿时间:2021-08-24浏览次数:540

     

    高富平(华东政法大学教授)

    □在认定人脸信息处理行为合法或违法的规定基础上,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》将法律后果接入民事救济体系,填补人格权益侵害难认定的空白,具有十分重要的理论和实践意义。

    □人脸识别信息保护的关键问题不是在于保护个人的意志,而在于消除人们对人脸信息关联分析等再利用的担忧。在法律禁止人脸信息再利用原则下,允许个人同意作为例外,更能有效保护个人,同时也能够促进人脸识别技术在社会中的应用。

     

    《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(法释〔202115号,下称《规定》)将人脸信息明确为《民法典》规定的“生物识别信息”,细化了《民法典》关于个人信息保护规范在人脸识别中的应用,对于规范人脸识别应用具有重要作用。但是,如何有效保护个人权益仍然值得进一步探讨。

    人脸信息保护填补民法规则空白

    人脸信息涵盖一切可以与特定自然人联系起来的数字化面部轮廓。在法律上人脸信息落入民法的肖像范畴,只是传统肖像以有形载体(如纸)呈现,而在数字化环境下表现为一组数据。在过去,人们判断一个人是否是照片上的人(或者相反),是依赖肉眼辨识相似度来得出结论;随着数字技术特别是算法的进步,人们借助机器可以更加准确地判断一个人是否与保存在系统内部的“肖像”一致。这就是用于验证人身份的人脸识别。人脸识别技术不断进步发展,除了用于身份验证外,还可以用于人脸信息之间的关联分析、状态分析、注意力检测、人脸属性分析等功能,实现非接触的行为信息采集分析。显然,人脸识别技术是人脸信息的一种应用,但如果把这种应用定义为“收集、存储、使用、加工、传输、提供、公开等”,那么对于人脸信息的保护就涉及非常宽泛的权益保护问题。在宽泛的人脸信息处理定义下,必须从使用行为或目的入手来决定人脸信息保护方式。

    在《民法典》框架下,人脸信息既受肖像权保护,也受个人信息保护,显然这两种保护分别保护不同的人格利益。肖像权保护的主要是肖像公开使用利益,因为肖像可以使公众识别其本人,因而可将某种行为或事实与其本人联系起来作联想或形象评价(积极或负面评价)。法律给予个人对于肖像公开使用的决定权,以防范他人擅自使用肖像(建立了非个人许可不得使用“人脸”的规则)。虽然人脸数字化为“生物识别信息”,但人仍然不丧失其基本的肖像利益,故人脸信息的使用、公开也触及肖像权保护。人脸与个人之间的直接关联性,以及人脸直接识别、表示本人的功能,决定了它成为识别个人的重要信息形态。尤其在人工智能技术发达的今天,人脸的识别个人功能被广泛应用。人脸识别行为纳入个人信息处理规范,以防范人脸信息的滥用或随意识别个人的风险,保护社会身份自主性或个人自治权益。

    由于人脸信息落入“生物识别信息”范畴,因而被个保法视为敏感或特殊信息,需要强化个人对信息使用的控制,比如严格的事先同意或者事后监督权利。《规定》依据这样的思路,在个保法出台之前,将个保法草案中的一些规则(比如单独同意),按照民法规范的范式进行详细列举。在第2条明确了不法处理人脸信息的行为,在第4条列举出法院不认可的同意情形。这些规则填补了人脸信息处理规范缺失,有利于建立人脸信息合法使用的情形,扼制滥用同意或其他违法使用行为,从而有利于降低人脸信息滥用风险。在认定人脸信息处理行为合法或违法的规定基础上,《规定》将法律后果接入民事救济体系,填补人格权益侵害难认定的空白,具有十分重要的理论和实践意义。

    人脸识别合法适用的边界

    人脸信息的个人信息保护区别于肖像权保护。肖像权保护的是个人在公众中的形象利益,因而赋予其决定权;而人脸信息作为个人信息保护区别于肖像权在于,此时的人脸信息保护不是保护其形象利益,而是发挥人脸的识别功能,这种识别功能本质上是社会主体识别个体的社会功能。

    在笔者看来,为了辨识人们身份,国家建立了权威身份识别系统,通过肉眼人证比对核验人们的身份;而人脸识别技术应用之后,机器识别判断替代了肉眼判断,使人证比对更加快捷、准确和便利。如果人脸识别仅用于身份验证和识别的话,那么,人脸识别就是一项利国利民的技术。这项技术现在已经在出行、门禁、远程开户、支付验证等领域广泛应用,这种应用已经被人们接受和认可。但是,人们对人脸识别应用存在较大担忧,这些担忧不在于身份验证,而是在身份验证同时收集了人们的人脸信息。人脸信息的生物特征性、与人直接关联性、唯一性等特征,使得其一旦被人们随意再利用,就会损害人们社会身份的自主性或自治利益,甚至给人们带来隐私和安全风险。因此,超出身份验证目的或用途的人脸识别应用对个人有危害风险。在这样的情形下,如果我们不加区分两类使用,而将所有人脸识别纳入“单独同意+公共利益例外”范式,那么就会使许多必要、社会有益的应用让位于个人自主决策。

    例如,《规定》第10条特别对物业人脸识别作出规范,认为物业服务企业必须充分尊重业主的意愿,给不同意业主或使用人以其他通道。这虽然尊重业主或使用人的选择权,但就身份核验而言似乎过分强调个人意愿。假如大多数业主均自愿选择人脸识别,以提升效率,降低成本,甚至改善小区安全,而对个别业主利益的保护可能侵害业主共同利益。关键问题是,是否实施人脸识别系统应当由业主大会做出有效决定,而不能由物业服务企业决定,个别业主应当服从团体决定。更为关键的问题是采用人脸识别系统是否直接地给个人带来危害,如果仅仅是核验身份这种功能性使用,而不允许对人脸信息存储和再利用,那么保护个别业主的反对权就没有必要,甚至缺失正当性。

    因此,关键的问题不是在于保护个人的意志,而在于消除人们对人脸信息关联分析等再利用的担忧。在笔者看来,人脸信息应当原则上禁止再利用,而不是交由个人选择。在人脸识别不可避免情形下(比如,要进门就必须同意),让个人选择反而使人脸识别的经营单位获取各种再利用人脸的“授权”。

    人民法院支持业主拒绝使用人脸识别根本上并不能解决个人权益保护问题,甚至并不是社会效用最大化的一种制度选择。在人脸识别对身份核验方面具有巨大优势的现实面前,无论再如何强化或严苛当事人的同意条件,都不如法律禁止人脸信息再利用更有助于保护个人。问题不在于让个人选择是否采纳人脸识别,而在于防范人脸信息再利用对个人造成的危害。这不是靠有效自治和个人维权能够解决的问题。也许,在法律禁止人脸信息再利用原则下,允许个人同意作为例外,更能有效保护个人,同时也能够促进人脸识别技术在社会中的应用。

    (来源《上海法治报》,2021818日,B06版)


    最新导读

    关闭