我國《民法典》第1034條規(guī)定:自然人的個人信息受法律保護(hù)�?����!睹穹ǖ洹吩瓌t性的規(guī)定,可以為后期立法奠定基礎(chǔ)��?����?刹豢梢愿闳四樧R別�����?侵犯人臉識別個人信息又當(dāng)面臨什么責(zé)任����?這些問題估計也只有等不久將出臺的“公民個人信息保護(hù)法”的具體規(guī)定了��。
2020年6月8日�����,IBM的CEO克里什納宣布退出人臉識別業(yè)務(wù)。6月10日���,亞馬遜暫時禁止向美國警察提供人臉識別技術(shù)(禁令持續(xù)一年)�����。6月11日,微軟禁止將人臉識別技術(shù)銷售給警方�。這與美國黑人弗洛依德事件引發(fā)的種族矛盾有重大關(guān)系。更為重要的是�����,人臉識別與公民的隱私權(quán)訴求發(fā)生嚴(yán)重沖突��。2020年初��,ClearviewAI公司遭遇重大數(shù)據(jù)泄露��,30億張人臉數(shù)據(jù)被泄露,引發(fā)全美社會的巨大擔(dān)憂����。2020年2月12日���,兩名民主黨參議員提出《人臉識別道德使用法案》�����,要求暫時禁止政府機(jī)構(gòu)使用人臉識別技術(shù)�����,防止其侵犯公民隱私權(quán)和影響公民自由。
人臉識別的商業(yè)價值到底有多大
人臉識別首先被應(yīng)用于身份認(rèn)證領(lǐng)域�。在一個信用社會��,任何事情幾乎都需要身份認(rèn)證�,賣東西�、買東西�����、注冊公司��、投票等等�;當(dāng)然��,最重要的身份認(rèn)證場景還是付款�。當(dāng)下��,主流的人身認(rèn)證方法還是打開手機(jī)��,輸入密碼����。如果不帶手機(jī)����,刷一下臉能否直接身份認(rèn)證呢��?如果真能實(shí)現(xiàn)��,懶漢們開心了�。如此�����,“面子”就真地成為最有信用的東西����。一切需要身份認(rèn)證的領(lǐng)域�����,都可以用臉���。
其實(shí)�����,人的生物特征中可用于身份識別的信息還有很多�,如指紋����、聲音�����、視網(wǎng)膜等�����,為啥人臉識別格外受資本青睞呢���?這里需要說一說其他生物特征識別的壞處了:1���、指紋識別��,需要手指與設(shè)備親密接觸�����。這樣很不衛(wèi)生�,疫情期間��,最忌諱這個����。2����、聲音識別�����,即使當(dāng)事人一定在現(xiàn)場�,用錄制好的聲音亦可以通過識別����,這很不安全���。3、視網(wǎng)膜識別��,需要眼睛靠近采集設(shè)備��,如此���,人自然會有一種被侵略的感覺�����。即使甘愿被“侵略”����,視網(wǎng)膜感染等眼疾也會極大影響識別效果。
當(dāng)然�,人臉識別也并非盡善盡美。比如��,某犯罪團(tuán)伙就曾制作公民的3D頭像�,騙過支付寶人臉識別認(rèn)證來非法獲利����,當(dāng)然��,犯罪分子最終被懲罰了��。不過��,綜合看來,人臉識別還算是優(yōu)點(diǎn)最多的身份認(rèn)證方法了����。所以�����,社會資本會一窩蜂地涌向它。
人臉識別與公民隱私權(quán)
人臉識別會帶來極大便利�,同時引發(fā)的公民隱私權(quán)問題卻備受關(guān)注�。由此也引發(fā)了全球范圍內(nèi)的大討論�?����?v觀全球��,有兩種代表性的立法模式:
美國模式��。準(zhǔn)確地說,是美國很多州的模式���。美國聯(lián)邦層面并沒有統(tǒng)一的法律來規(guī)制人臉識別數(shù)據(jù)。但至少有伊利諾伊州等六個州制定了生物識別數(shù)據(jù)法案�。
其中��,伊利諾伊州頒布的《生物信息隱私法案(BiometricInformationPrivacyAct)》(BIPA)具有參考意義����。該法案于2008年頒布,是美國境內(nèi)第一部規(guī)范生物識別信息的收集����、使用�、保護(hù)���、處理��、存儲����、保留和銷毀的法律�。它從以下三個層面保護(hù)公民信息:
1��、知情權(quán)和同意權(quán)。采集公民生物識別信息���,需告知公民并且經(jīng)其同意�。Facebook就曾因違反該規(guī)定收集用戶人臉信息而被起訴����。后來Facebook同意支付5.5億美元�����,以解決其所遭遇的集體訴訟��,這也讓個人隱私權(quán)獲得了重大勝利�����。2、企業(yè)有即時銷毀數(shù)據(jù)的義務(wù)�����。收集目的達(dá)到或者最長三年必須要銷毀(以個人最后一次聯(lián)系企業(yè)起算)����。3�����、生物識別信息不能轉(zhuǎn)讓賣錢�。當(dāng)然��,它也規(guī)定了例外情況��,相關(guān)自然人同意或者法律法規(guī)的例外情況。
歐盟模式����。2018年5月25日��,被譽(yù)為史上最嚴(yán)的歐盟《通用數(shù)據(jù)保護(hù)條例》正式生效�。當(dāng)然,這里的“數(shù)據(jù)”�,泛指一切公民個人信息�����。人臉識別信息作為生物識別信息����,也被納入公民個人信息統(tǒng)一受到保護(hù)(參見該條例第51條規(guī)定)���。公民可據(jù)此享有如下權(quán)利:
1����、知情權(quán)與同意權(quán)��。企業(yè)要收集用戶個人信息,需提前告知并經(jīng)用戶同意�����。2��、刪除權(quán)。用戶可以基于以下任何一種理由主張刪除企業(yè)存儲的個人信息:(1)數(shù)據(jù)的存在不再被需要��;(2)數(shù)據(jù)主體不再同意���;(3)數(shù)據(jù)儲存期限屆滿。
歐盟模式之所以被稱為史上最嚴(yán)���,緣于違反它的天價處罰。最高可以處罰2000萬歐元或者上一年度營利額的百分之4%�。可以掐指算一算�����,以Google為例���,按照它全年1000億美元的收入來算�����,最高可罰40億美元����。
在我國搞人臉識別是否合法
在我國����,已經(jīng)發(fā)生人臉識別第一案,消費(fèi)者起訴了動物園���。
2019年4月27日,郭某花錢購買了動物園年卡�,入園時要求驗(yàn)證年卡和指紋����。約半年后,動物園向他發(fā)來短信�,稱要人臉識別才能入園�,未注冊人臉識別的將無法入園�����。
郭某以《消費(fèi)者權(quán)益保護(hù)法》第29條作為自己的重要武器����,“經(jīng)營者收集���、使用消費(fèi)者個人信息,應(yīng)當(dāng)遵循合法�����、正當(dāng)�����、必要的原則,明示收集���、使用信息的目的、方式和范圍��,并經(jīng)消費(fèi)者同意����。”那些力挺郭某的人們還拿出了《合同法》�����,認(rèn)為:動物園與郭某的合同已經(jīng)定立�����,雙方同意指紋認(rèn)證方式�����;在合同關(guān)系上�����,動物園單方改為人臉認(rèn)證,這屬于違約�。
在郭某這個案件中����,《合同法》的違約規(guī)定或是《消費(fèi)者權(quán)益保護(hù)法》中的“同意權(quán)”�����,似乎都是在郭某一邊的�。然而,更為重要的問題還在于�,郭某之后的那些消費(fèi)者怎么辦�����?試想�����,一群大人、小孩在動物園排隊(duì)�����,被告知:入園要人臉識別���。當(dāng)然�,一切取決于消費(fèi)者是否同意��,然而�����,問題的關(guān)鍵還在于�����,如果你不同意��,你就不能入園�����。
那么,人臉識別涉及人的什么權(quán)利��?
我國《民法典》第四編“人格權(quán)”之第六章規(guī)定了“隱私和個人信息保護(hù)”��。顯然,“隱私權(quán)”和“公民個人信息”是兩個獨(dú)立的概念�。
我國《民法典》第1034條規(guī)定:自然人的個人信息受法律保護(hù)���。個人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人的各種信息���,包括自然人的姓名�����、出生日期����、身份證件號碼���、生物識別信息�����、住址��、電話號碼�����、電子郵箱����、健康信息�、行蹤信息等�。個人信息中的私密信息��,適用有關(guān)隱私權(quán)的規(guī)定�;沒有規(guī)定的���,適用有關(guān)個人信息保護(hù)的規(guī)定�����。
隱私與公民個人信息是兩個相互獨(dú)立的權(quán)利��,當(dāng)然�����,它們有交叉的部分�����。個人在自己房間里的活動情況,就屬于典型的隱私��;公民的姓名�����、電話號碼又屬于典型的公民個人信息(不是隱私)��。人臉識別屬于公民個人信息范疇。按照《民法典》之規(guī)定�����,企業(yè)要收集個人信息�����,同樣需要征得個人同意。
《民法典》原則性的規(guī)定,可以為后期立法奠定基礎(chǔ)���。然而�,現(xiàn)實(shí)的問題卻是:消費(fèi)者不得不同意;以動物園人臉識別為例�����,如果不同意人臉識別就無法入園��,消費(fèi)者估計也只有同意,如此在法律上又當(dāng)如何定性呢�����?企業(yè)侵犯人臉識別個人信息又當(dāng)面臨什么責(zé)任�?這些問題估計也只有等不久將出臺的“公民個人信息保護(hù)法”的具體規(guī)定了���。
盜取����、倒賣公民個人信息屬于犯罪
侵犯公民個人信息,最惡劣的情況莫過于盜竊和倒賣�。我國法院已經(jīng)判處了一批盜取�、倒賣公民個人信息的犯罪。倒賣個人信息是一件一本萬利的事��,但是要頂著坐牢的風(fēng)險。
2009年���,我國就出臺了《刑法修正案(七)》,正式將公民個人信息納入刑法保護(hù)��。《刑法》第253條設(shè)立了“出售���、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”。
2015年�����,我國《刑法修正案(九)》將此前的二罪整合為一罪:“出售�、非法提供公民個人信息罪”(老)+“非法獲取公民個人信息罪”(老)=“侵犯公民個人信息罪”(新)����。將此類犯罪的主體擴(kuò)展到任何人�����,而不再限于金融�����、電信等單位工作人員。
2017年�,最高人民法院���、最高人民檢察院聯(lián)合制定了《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》,明確了此類犯罪的立案標(biāo)準(zhǔn)�����。倒賣人臉識別信息��,要達(dá)到多少數(shù)量才會構(gòu)成犯罪呢�����?司法解釋規(guī)定:行蹤軌跡信息、通信信息���、征信信息���、財產(chǎn)信息50條及以上�;住宿信息�、通信記錄��、健康生理信息�����、交易信息等500條及以上�����;其他信息5000條及以上�����。在司法解釋中沒有看到“人臉識別信息”、“生物識別信息”�����,因此它只能算作是其他信息���,那么要達(dá)到5000條才會構(gòu)成犯罪����。5000條人臉信息�����,其法律重要地位僅相當(dāng)于50條通信記錄�,人臉識別信息自然很沒有“面子”��。期待以后立法完善吧���。
我國人臉識別立法會走向何方
在我國���,從事人臉識別技術(shù)開發(fā)的企業(yè)總體上分為二類:一類是傳統(tǒng)的互聯(lián)網(wǎng)巨頭,人臉識別是其人工智能版塊的重要組成部分�����,如百度、阿里巴巴����、騰訊等企業(yè);另一類則是專項(xiàng)研發(fā)圖形識別技術(shù)的人工智能企業(yè)�,代表性的企業(yè)包括商湯科技、依圖科技���、云從科技�、暖果科技等�。
由于法律尚未禁止人臉識別,這也為人臉識別留足了市場空間����。酒店住宿、機(jī)場安檢�����、支付身份識別���、工商辦理身份識別等場景下都大量使用人臉識別�����,甚至去個動物園都要人臉識別���。似乎��,除了竊取和倒賣�,其他的都可以明目張膽地干�����。未來����,這一切會有改變嗎?
法律在技術(shù)和隱私之間會作出怎樣選擇����?這既關(guān)系到每一位公民的切身利益,同時也關(guān)乎人臉識別技術(shù)企業(yè)的戰(zhàn)略選擇��。
參考國外立法�,我國未來大概率會選擇如下立法模式:1�、允許商用和執(zhí)法適用�����,明確知情權(quán)、同意權(quán)和消除權(quán)等權(quán)利���;2���、只允許政府在管理中使用�,不允許商業(yè)性使用人臉識別�;3、除特殊情形��,常規(guī)政府管理和商用場景均禁止使用人臉識別技術(shù)�。
上述三種立法模式,技術(shù)企業(yè)的商業(yè)空間逐漸遞減��。這在國外的諸多立法中均可以看到。美國舊金山��、奧克蘭��、薩默維爾等市���,開始禁止城市政府官員以及執(zhí)法部門使用人臉識別技術(shù)�����。2020年初,歐盟發(fā)布了《歐盟人工智能白皮書》,其中也明確提出在3-5年內(nèi)禁止人臉識別技術(shù)應(yīng)用于公共場所,以評估該技術(shù)風(fēng)險�����。果真如此的話����,人臉識別技術(shù)還能賣給誰?
立法對商業(yè)模式的影響還將長期存在。美國伊利諾伊州的《生物信息隱私法》一直困擾著那些推銷語音助手、門鈴攝像頭����、照片標(biāo)簽等技術(shù)公司�;同樣,歐盟的《通用數(shù)據(jù)保護(hù)條例》也讓一些互聯(lián)網(wǎng)巨頭們急劇增加了數(shù)據(jù)合規(guī)成本�。同樣,我國不斷健全的公民個人信息立法�����,也將開始重塑未來的全新商業(yè)模式�。
京公網(wǎng)安備 11010202007567號京ICP備17054264號
