這是一個看臉的時代。乘坐飛機、高鐵需要刷臉,入住賓館、酒店需要刷臉,進入單位、小區需要刷臉,觀看演出、賽事需要刷臉,辦理各種業務需要刷臉,甚至疫情期間使用衛生間也需要刷臉。我刷臉,故我在。
這些每天可感知的刷臉,還只是人臉識別技術應用場景的冰山一角。在機場、車站、碼頭、地鐵、街道、商場、酒店、餐館、教室等公共空間,還有數不勝數的無感式圖像采集探頭,它們睜大著不知疲倦的“眼睛”,默默地、但一絲不茍地注視著你我的一舉一動。
將人臉圖像信息數字化,輔之以人工智能化數據比對,從而對自然人進行身份識別,這是人臉識別技術的底層邏輯。隨著數字化和人工智能技術對社會生活全方位的滲透,人臉識別技術的應用場景不斷拓展。過去幾年的疫情防控,更是為這種技術應用提供了必要性及正當性加持。
以人臉識別為代表的數字技術對國家和社會治理領域的全方位滲透,符合“目標—手段”的邏輯。數字技術與當代公共管理的風險管控目標之間存在高度耦合。在現代風險社會中,治理目標已從傳統的秩序維護和修復,逐步轉向風險預防和調控。政府需要針對各種不確定的經濟和社會風險進行未雨綢繆式的調控,以高效、精準地維護社會安全與秩序。
對個人的身份進行精準化、大規模識別和監控,恰是對各種社會風險進行管控的數據基礎。以大數據為基礎,結合算法、自動化決策等技術,可大大擴展國家和社會治理所涵蓋的人口與地域范圍,化解一系列治理難題。因此,一旦某種新技術興起,其實現治理目標的潛在效用和規模效應自然得到青睞。這也正是人臉識別技術應用無處不在、遍地開花的底層動力。
然而,我們必須警惕的是,數字技術對國家和組織的“賦能”,并非技術的免費午餐。數字賦能并非沒有風險,可能為各種權力濫用披上“摩登”的技術合理性外衣。在國家和社會治理的數字化轉型進程中,我們需要對技術的風險進行充分認知并予以規制。
以人臉識別技術為例,無論是1:1還是1:N的人臉數據比對,都需要采集人臉信息,需要建設不同規模的人臉信息數據庫。說到底,就是將人當做數字化的對象和治理工具。人臉信息是自然人生物信息,法律上屬于“敏感個人信息”,涉及個人尊嚴、隱私等各種人格權益。如果這些信息被不當采集、處理、使用,將會給個人的人格、隱私、財產等權益帶來巨大侵害風險。例如,沒有門檻的人臉識別應用,將導致人臉信息被過度甚至非法采集,構成對人格權和個人信息權益的侵害,也會帶來巨大的數據安全風險。
人臉識別技術應用的失范,已經引發一些列社會問題,例如倒賣人臉信息、非法查閱甚至買賣圖像監控信息、運用人臉信息進行深度合成從而進行詐騙、敲詐勒索等犯罪活動;一些犯罪分子利用非法手段破解人臉識別驗證程序,實施竊取財產等犯罪。可以說,如果不對人臉識別技術的誤用和濫用進行有效規制,人臉識別將會毫無臉面。
從現實看,人臉識別技術的風險正成為明顯而急迫的危險。全國信息安全標準化技術委員會等機構發布的《人臉識別應用公眾調研報告》顯示,在兩萬多名受訪者中,94.07%的人表示用過人臉識別技術,64.39%的人認為人臉識別技術有被濫用的趨勢,30.86%的人反映已經因為人臉信息泄露、濫用等遭受損失或者隱私受侵犯。因人臉信息泄露導致“被貸款”“被詐騙”及隱私權、人格權被侵害等案例日益增多。
盡管我國刑法、民法典、網絡安全法、數據安全法、個人信息保護法等法律法規均對個人信息保護和數據安全做了規定,但針對人臉識別的現實問題,制定專門的技術應用安全規范,以明確人臉識別技術應用門檻和條件,保護個人信息權益和數據安全,遏制人臉識別技術濫用,在當前具有必要性和緊迫性。
在這個背景中,國家網信辦近日公布了《關于人臉識別技術應用安全管理規定(征求意見稿)》(下稱《規定》)并向社會公開征求意見,可謂正當其時。《規定》對人臉識別技術應用的門檻、設備安裝到圖像采集規范,數據的處理、存儲、提供、刪除等規則、技術應用的準度、精度到置信度閾值、技術使用者或服務提供者的責任義務等,作出了有針對性的規定,力圖實現對人臉識別技術應用的全要素監管和全流程規范。
對人臉識別技術的管理和規范,核心是對技術應用的風險管理,這需要在充分認知技術應用的全要素和全流程風險源基礎上,進行有針對性的規則設計,其關鍵在于合理設定人臉識別技術應用的紅線、底線、控制線和安全線。
首先,要劃定人臉識別技術應用的“紅線”。當前存在的一個突出亂象是:人臉識別和監控探頭無處不在,泛濫成災。劃定紅線,就是要確定最低限度的私密空間。風能進,雨能進,探頭不能進。紅線是“禁區”,禁區之內禁止人臉識別和監控。針對人臉識別泛濫的突出問題,《規定》明確:在公共浴室、衛生間、酒店客房、更衣室等涉及個人隱私等場所,不得安裝圖像采集、個人身份識別設備。這一規定看起來似乎不言自明,但劃定明確的、不可觸碰的“紅線”,有助于培育社會的“私人空間”意識,對個人的人格和心理安全感具有積極影響。此外,《規定》提出了在賓館、銀行、車站、機場、體育場館、博物館、圖書館等經營場所,除非法律、行政法規有明確規定,否則不得以辦理業務、提升服務質量等為由強制個人接受人臉識別驗證身份。這實際上為這些經營性場所使用人臉識別技術印證身份,設定了很高的門檻,同樣也有助于抑制人臉識別技術沖動。《規定》還有針對性地明確了,物業服務企業等建筑物管理人不得將使用人臉識別技術驗證個人身份作為出入物業管理區的唯一方式。可以說,如果這些“紅線”能夠得到落實,將在源頭上對人臉識別的濫用產生遏制效果,我們所遭遇的到處刷臉的無奈困境將得到一定緩解。
其次,要劃定人臉識別技術應用的“底線”。即便在紅線之外可以應用人臉識別技術的場域,也必須滿足底線要求。這一底線要求就是“目的明確”和“充分必要”原則。處理人臉信息,必須說明具體的、特定的目的;必須證明人臉識別對于實現目的的必要性和不可替代性。《規定》在個人信息保護法所規定的目的合理和最小必要原則基礎上,針對人臉信息的敏感性和重要性,進一步規定“只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,方可使用人臉識別技術處理人臉信息”。而且,“特定目的”和“充分必要”二要素缺一不可。換言之,即便具有特定目的,但如果采用其他非人臉識別技術可以實現目的,也不得采用人臉識別處理個人信息。
再次,要設定人臉識別技術應用的“控制線”。人臉信息是敏感個人信息,必須尊重和保障個人的自主性和控制能力。面對人臉識別,個人應當有權說“不”,這就是個人對技術的拒絕權。《規定》明確:使用人臉識別技術處理人臉信息,除非法律、行政法規有相反規定,否則必須取得個人“單獨同意”或者“書面同意”。單獨同意,就是禁止采取“一攬子”條款,而必須單獨就處理個人的人臉信息獲得個人同意。需要特別指出的是,個人同意應當是個人在充分知情的基礎上做出的。使用人臉識別的主體必須以清晰易懂的語言,告知個人處理人臉信息的目的、用途及必要性。這種“告知—同意”規則在一定程度上構成對人臉識別技術的控制線。
最后,要設定人臉識別技術應用的“安全線”。無論是人臉比對還是公共場所監控,處理的都是敏感個人信息,且數量巨大。這些數據很容易成為違法犯罪活動的攻擊目標,時刻面臨巨大的安全風險。從個人的角度來看,沒有數據安全,就沒有安全感,就可能時刻受困于焦慮和不安的心理折磨。從社會治理角度看,沒有數據安全,公眾對人臉識別技術就沒有信任,就會以各種形式進行抵制。現實中,人臉識別和公共場所監控等敏感信息被違規查閱、復制、公開、傳播的情形時有發生,數據安全堪憂。因此,“安全第一”不能只是喊喊口號,而必須落到實處。《規定》凸顯了安全責任保護義務這一核心,圍繞設備安全、安裝安全、運行安全、數據庫安全、管理人員安全等要素設定安全管理標準;從數據采集、存儲、處理、轉移、使用、銷毀等環節規范數據處理全流程,這可為相應的各種技術標準和運行規范提供指引。
隨著技術迭代發展,技術權力與傳統權力之結合日益緊密,在應用廣度和深度上不斷拓展。數字技術在對公共管理進行賦能的同時,也塑造了日益龐大的數字技術系統。人臉識別是當今數字化治理的一種典型技術。在國家治理的宏觀視角中,人臉識別和公共監控等技術可能被當做社會管理和規訓的工具。不過,“全景敞視”式的社會治理,表面上似乎有助于規制社會風險,但其本身也可能是一種風險。歸根結底,技術手段的應用必須服務于價值依歸。好的治理應當以人為本;有效的治理技術離不開對人的尊重。
因此,無論是從價值理性還是工具理性角度看,對人臉識別技術的規制,必須在追求技術賦能的同時,把持住技術向善的方向,否則就會出現主客體異化悲劇。實現技術向善,需要倡導技術倫理,但主要還是靠法律規制。倫理與法治結合,才能有效維護好人臉識別技術的臉面。
(作者系北京大學法學院教授)
作者:王錫鋅
