“不刷臉為原則”應(yīng)推而廣之

　　作者：趙宏

　　發(fā)于2024.12.16總第1168期《中國新聞周刊》雜志

　　近日，上海進(jìn)行了“亮劍浦江2024”消費領(lǐng)域個人信息權(quán)益專項執(zhí)法行動的總結(jié)，明確提出公共場所“不刷臉為原則、刷臉為例外”。這則消息是繼今年酒店業(yè)普遍取消“刷臉才能入住酒店”的規(guī)定后，對人臉識別技術(shù)濫用的另一明確抑制舉措。

　　在較長一段時間內(nèi)，人臉識別技術(shù)在我國被持續(xù)泛化濫用。由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會等機構(gòu)發(fā)布的《人臉識別應(yīng)用公眾調(diào)研報告》顯示，在兩萬名受訪者中，有94.7%的人表示使用過人臉識別技術(shù)，而近30.86%的人反映已出現(xiàn)過隱私泄露和權(quán)利受損的問題。實踐中，刷臉支付、刷臉開門、刷臉進(jìn)站等早已隨處可見。

　　這種對個人信息的精準(zhǔn)化和大規(guī)模收集，雖然帶來管理的高效，卻埋下數(shù)據(jù)泄露甚至個人被數(shù)據(jù)操縱的風(fēng)險。其原因就在于，人臉識別技術(shù)具有侵入性強的特點，可在當(dāng)事人不知情的情況下反復(fù)收集，而且此種信息又因為具有單獨的可識別性和明確的可辨性，一旦被泄露就會給當(dāng)事人的基本權(quán)利乃至人格尊嚴(yán)都造成巨大傷害。

　　所以，在適用新興技術(shù)時，技術(shù)可能引發(fā)的風(fēng)險大小和強度以及是否可逆，必須是考慮其是否可被允許適用的基準(zhǔn)。如果某項技術(shù)應(yīng)用可能帶來無法估量且難以逆轉(zhuǎn)的風(fēng)險，在道德與倫理層面也受到一致批判，就應(yīng)為法律所完全禁止；如果某項技術(shù)應(yīng)用雖然帶來較大效益但風(fēng)險難以預(yù)測，其中蘊含的政治性和社會性風(fēng)險甚至?xí)€人權(quán)利構(gòu)成嚴(yán)重威脅，就只應(yīng)例外適用而原則禁止。歐盟對人臉識別技術(shù)采取原則上禁止的立場就是基于這一考慮。

　　我國的《民法典》和《個人信息保護法》對人臉信息收集和適用的規(guī)定，迄今都較為粗疏?！秱€人信息保護法》僅將人臉信息歸入“敏感個人信息”，并借由“只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護措施的情形下，個人信息處理者方可處理敏感個人信息”的規(guī)定，對其予以規(guī)范。但無論是“特定目的”“充分必要”還是“嚴(yán)格保護”，這些要件因為過于模糊，所以對抑制人臉識別技術(shù)的濫用并無太大作用。而司法實務(wù)中，也已大量出現(xiàn)因人臉信息泄露所導(dǎo)致的“被貸款”“被詐騙”等案件?？傊?，無限度的刷臉已經(jīng)導(dǎo)致很多個體“臉面盡失”。

　　也是在上述背景下，國家網(wǎng)信辦在去年8月出臺《人臉識別技術(shù)應(yīng)用安全管理規(guī)定(試行)(征求意見稿)》(下稱《征求意見稿》)。該《征求意見稿》對人臉識別技術(shù)應(yīng)用的門檻，設(shè)備安裝到圖像采集，數(shù)據(jù)的處理、存儲、提供、刪除以及技術(shù)應(yīng)用的準(zhǔn)度、精度到置信度閾值、技術(shù)適用者或服務(wù)提供者的責(zé)任都做了有針對性的規(guī)定。

　　尤其值得指出的是，該《征求意見稿》首先明確，為防止人臉識別的濫用，在公共浴室、衛(wèi)生間、酒店客房、更衣室等涉及個人隱私的場所，不得安裝圖像采集和個人身份識別設(shè)備。而在賓館、銀行、車站、機場、體育場館、博物館、圖書館等經(jīng)營場所，除非法律、行政法規(guī)有明確規(guī)定，否則不得以辦理義務(wù)、提升服務(wù)質(zhì)量等為由強制個人接受人臉識別驗證身份。

　　該《征求意見稿》還明確，即使是酒店賓館等公共場所有法律、行政法規(guī)授權(quán)可以采集個人的人臉信息，也必須堅守“特定目的”和“充分必要”的要求。換言之，人臉識別終端的安裝和使用對于酒店和賓館來說并非強制，如果可采用其他非人臉識別技術(shù)就可達(dá)到核實客人身份的目的，就不能再采用人臉識別。相應(yīng)地，個人完全可基于自主權(quán)和控制力，對人臉識別說“不”。

　　從這個角度出發(fā)，上海提出的公共場所“不刷臉為原則、刷臉為例外”的原則，相較《征求意見稿》更加明確了地方政府對于人臉識別技術(shù)適用的基本立場。上海還進(jìn)一步細(xì)化了公共場所安裝人臉識別設(shè)備要遵循的三大原則：“為公共安全所必須”“有法律依據(jù)”“做到單獨告知”；還提出了在收集端總體減量，存儲端確保安全的總體目標(biāo)，以及“最大可能退”“最小范圍用”“最小范圍存”的基本手段。

　　上海的舉措無疑為未來人臉識別技術(shù)應(yīng)用管理規(guī)范，乃至更大范圍內(nèi)的生物識別信息應(yīng)用管理規(guī)范的制定都提供了樣本和參照。技術(shù)的發(fā)展無疑會帶來社會治理和政府監(jiān)管的極大賦能，但同樣伴有巨大的，甚至是不可控的風(fēng)險。由此，法律也必須盡力平衡可能的收益和風(fēng)險，避免新興技術(shù)反而成為壓制個人自由甚至吞噬個人主體性的工具。

　　(作者系北京大學(xué)法學(xué)院研究員)

　　《中國新聞周刊》2024年第46期

　　聲明：刊用《中國新聞周刊》稿件務(wù)經(jīng)書面授權(quán)