随着互联网信息技术的发展,人脸识别技术应用场景日益广泛,大部分情况下比肉眼识别更准确,速度更快,能极大地节省成本。在社会治理、治安防控、疫情防控等领域,其精准性和高效性,既大大节约社会治理成本、提高治理效能,也对违法犯罪行为形成有效震慑;在商品交易和服务领域,其便利性和及时性也为消费者带来了良好的生活体验,节约了交易成本。
但是,随着“刷脸”成为人们进门、购物、游乐、签约、取款等日常生活的“不二”选择,网络上出现多款可以任意下载的AI“换脸”软件,“换脸”导致案件频发……人脸识别技术及其应用可能引发的个人信息仿造、危害经济社会安全乃至国家安全等风险凸显,社会忧虑日渐加深,因此,一些人选择抵制使用。特别是浙江省杭州市富阳区人民法院“人脸识别第一案”宣判后,社会上更是出现了禁止人脸识别技术应用的声音。这种从一个极端走向另一个极端的状况,暴露了人脸识别技术应用、个人信息保护所面临的窘境。
从法律上看,处理好这个问题的核心在于妥当处理科技进步与个人隐私保护、技术运用与风险防范之间的关系。在鼓励发展大数据、人工智能技术及其应用的同时,对于“人脸”这种具有生物特征唯一性、不可再生性的重要信息,本着生物识别技术作为“最后手段”的原则,在数据采集、存储和应用方面做出更为严格的规范。
一是明确所有使用人脸识别技术主体的安全与责任底线,确立安全使用原则。所有人脸识别系统须经第三方独立机构定期检测其准确性与非歧视性,必要时向监管部门备案;所有通过公共网络收集、传输、存储的人脸信息都应采取加密措施,并对信息进行分片段单独存储;建立可追踪技术体系,保障对所有查询、使用、修改、下载人脸信息的行为可查证和可追责。所有因被收集人脸信息而遭遇盗窃、泄露或者非法使用或出售等造成的损失,收集者应对受害人实际损失承担连带赔偿责任;实际损失难以证明的,应对每个受害者赔偿法定的定额赔偿金。任何人都有拒绝“刷脸”的权利,应在无竞争性服务领域(如民航、铁路、学校、社区等)设置替代性验证机制。
二是明确政府部门与非政府部门的不同规范重点。对政府部门以事前事中规制为主:设立审查批准机构,明确公开、透明、民主参与等审查原则与审查程序,对安装、使用人脸识别技术的必要性、正当性进行严格审查后批准使用。未经批准,政府任何部门不得安装、使用人脸识别技术;对非政府部门以事中事后规制为主:尽早制定个人信息保护法及其配套规章,明确执法部门及执法权限;降低受害人的举证负担,便利受害人维权。
三是采取严格的人脸信息采集知情同意措施。除了法定的例外情况,人脸信息采集者须书面告知被采集者信息类型、应用场景、保存时间及有关风险和权利。