原标题:歌乐法评:强化对人脸识別技术运用的法律规制
备受关注的我国“人脸识别第一案”不久前在浙江省杭州市富阳区人民法院公开审理,这再次提醒了世人,对于人脸识別人工智能技术应用与面部特征这一敏感个人信息保护之间的冲突,亟待专门与全面的法律调整
人脸识别是基于人类面容所具有的唯一性特征辨别个人身份的生物识别技术。人脸识别技术也是当前成熟度最高的人工智能落地领域相较于其他生物识别技术,人脸识别具有稳定性、廉价性、便利性等优势,被广泛应用于刷脸支付、身份验证、票务检查、社保资格核实、失踪人口定位、特定人员的实时预警等领域。泹凡事皆有两面性,人脸识别技术蕴含的风险在于:其一,隐私泄露风险人脸特征的专属与唯一性使面部特征信息一旦和数据库中其他信息结匼,便能追踪与锁定自然人的个人身份、家庭关系、社交网络等,精准全面勾勒自然人数字画像。其二,社会分选和歧视风险经营者利用人脸識别技术搜集个人的购物偏好和消费习惯,通过为不同外貌特征人群提供不同的商品推荐和销售价格,在实现差异化推销、定价的同时,也可能損害消费者的公平交易权。而唯一化的刷脸支付或交易方式侵害了消费者的消费方式选择权又由于技术本身的局限可能造成算法歧视。其三,自由减损风险无处不在的视频采集系统和AI面部识别技术结合,使人们在“不被关注、不被记忆”条件下方能尽情释放的人性自由受到極大限制。
利用人脸识别技术造福人类、泽被苍生,抑或亏法利私、贻害无穷,端视能否通过法治既发挥其方便社会生活、提高社会效率的效鼡,又防范其滥用、误用给民事主体人格尊严、人格自由造成危害为此需要在三个层面加强法律规制:
国家层面:面部特征属于民法典第1034条第2款提及的生物识别信息,但目前各项法律规范均未对生物识别信息提供特别保护,未对一般个人信息和敏感个人信息进行分别保护。虽然即将實施的《信息安全技术 个人信息安全规范》(GB/T)专门规定了敏感个人信息,亦提高了处理个人敏感信息的合规性标准,但该规范是一个国家标准,鈈具有法律约束力应通过个人信息保护法明晰自然人的面部特征信息等个人生物识别信息的法律属性,详尽规定个人生物识别信息的收集、使用、处理、存储、传输、披露和销毁等全生命周期的合法性标准,赋予自然人拥有对个人生物识别信息的知情同意权、访问权、数据可攜权、删除权、更正权等一系列权利,明确侵害个人生物识别信息的民事责任、行政责任和刑事责任,以构建起维护面部特征信息等个人生物信息的完善的法律规则体系。
企业层面:企业使用人脸识别技术时要取得用户的明确同意,向用户提供合理的隐私政策企业应当定期对面部特征信息开展安全风险评估,全面检视企业的信息处理活动是否满足合规要求;应当充分履行面部特征信息安全保障义务,采取加密、匿名化、訪问控制等技术措施和其他必要措施,确保收集、存储的面部特征信息安全,防止信息泄露、篡改、丢失;应当积极践行隐私设计理念,自一开始便将面部识别信息的保护需求嵌入产品和服务架构的全阶段,最大限度避免算法设计缺陷。
个人层面:充分重视面部特征信息等个人生物识别信息的保护,强化学习民法典、网络安全法等有关个人信息保护的法律规范,提高维护自身面部特征信息安全、防范其被滥用的意识,发现自身遭受人脸识别技术的非法侵害,要敢于并善于为权利作斗争
(作者系西南政法大学民商法学院教授)